2. Cấu trúc của luận văn
3.3.1. Chuẩn 802.1X
IEEE 802.1X là giao thức điều khiển truy cập dựa trên cổng (port-based) với mục đích là cho phép thực hiện việc điều khiển truy cập tại nơi người dùng liên kết vào mạng. Mạng 802.1X điển hình bao gồm 3 thực thể tham gia vào quá trình xác thực:
Người dùng (Supplicant) – thực thể muốn tham gia vào mạng
Bộ xác thực (Authenticator) – thực thể thực hiện việc điều khiển truy cập Máy chủ xác thực (Authentication Server) – thực thể thực hiện quá trình xác
thực người dùng.
Hình 3-4. 802.1X framework
Cổng (port) là khái niệm dùng để chỉ nơi người dùng kết nối vào mạng. Khái niệm này được sử dụng bởi 802.1X ra đời trước 802.11 nhằm phục cho mạng không dây cục bộ (LAN). Theo đó, với mỗi người dùng sẽ có một cổng được quản lý bởi một bộ xác thực.
Về mặt hình thức, cách hoạt động của 802.1X tương đối đơn giản: Các cổng ban đầu ở trạng thái mở (open). Mỗi khi người dùng kết nối vào một cổng, bộ xác thực sẽ kiểm tra và chuyển cổng sang trạng thái đóng (nếu người dùng được phép supplicant services authenticator authentication
server
LAN
authenticator system
supplicant sys auth server sys
truy cập). Khi đó, người dùng mới có khả năng gửi gói tin xác thực tới máy chủ xác thực. Máy chủ xác thực tiếp đó sẽ thực hiện việc xác thực người dùng. Việc truyền thông giữa người dùng, bộ xác thực được thực hiện nhờ giao thức EAPOL (EAP over LAN) [27].
Giao thức EAPOL được định nghĩa trong chuẩn 802.1X nhằm định ra cách truyền thông các thông điệp EAP trên mạng LAN. Về thực chất, EAPOL định nghĩa cách đóng gói thông điệp EAP trong các khung tin tầng liên kết dữ liệu. Tuy vậy chuẩn 802.1X không định nghĩa cách thức chuyển các thông điệp EAP giữa bộ xác thực và máy chủ xác thực. Trong mạng LAN sử dụng giao thức TCP/IP, máy chủ xác thực RADIUS (dịch vụ người dùng quay số truy cập từ xa) được sử dụng rộng rãi và phổ biến. Để gửi/nhận các thông điệp xác thực tới máy chủ RADIUS, bộ xác thực sử dụng giao thức EAP-over-Radius [29].
Khi áp dụng 802.1X vào mạng không dây WLAN, điểm truy cập sẽ đóng vai trò bộ xác thực, tạo ra các cổng logic và quản lý trạng thái của các cổng này. Mỗi khi, có một trạm tham gia vào mạng, điểm truy cập sẽ gán cho nó hai cổng: cổng bị điều khiển và cổng không bị điều khiển. Quá trình xác thực sẽ được diễn ra thông qua cổng không bị điều khiển, các luồng thông tin khác sẽ được chuyển thông qua cổng bị điều khiển. Tuy nhiên, điểm truy cập sẽ chặn cổng này lại cho đến khi quá trình xác thực diễn ra thành công.
Hình 3-5. Cổng 802.1X logic trong điểm truy cập
Cần chú ý rằng, ở đây máy chủ xác thực không nhất thiết phải là một máy chủ riêng (chẳng hạn: máy chủ Radius,…) mà có thể là một tiến trình nhỏ trong điểm truy cập làm nhiệm vụ quản lý danh sách người dùng/mật khẩu phục vụ quá trình
xác thực.