對于IEEE 802.1x協議在前面我們對它的基本情況已經做了介紹。大家這個局域網的認證協議的概念應該有所掌握了，現在我們再來介紹一下它的特點以及不足之處，之后我們在對他的應用進行介紹。

IEEE 802.1x協議的特點

IEEE 802.1x具有以下主要優點：

（1）實現簡單。IEEE 802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本。

（2）認證和業務數據分離。IEEE 802.1x的認證體系結構中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實現業務與認證的分離。用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求，業務可以很靈活，尤其在開展寬帶組播等方面的業務有很大的優勢，所有業務都不受認證方式限制。

IEEE 802.1x協議同時具有以下不足

802.1x認證是需要網絡服務的系統和網絡之間的會話，這一會話使用IETF的EAP（Extensible Authentication Protocol）認證協議。協議描述了認證機制的體系結構框架使得能夠在802.11實體之間發送EAP包，并為在AP和工作站間的高層認證協議建立了必要條件。對MAC地址的認證對802.1x來說是最基本的，如果沒有高層的每包認證機制，認證端口沒有辦法標識網絡申請者或其包。而且實驗證明802.1x由于其設計缺陷其安全性已經受到威脅，常見的攻擊有中間人MIM攻擊和會話攻擊。

所以802.11與802.1x的簡單結合并不能提供健壯的安全無線環境，必須有高層的清晰的交互認證協議來加強。幸運的是，802.1x為實現高層認證提供了基本架構。

IEEE 802.1x協議的應用

IEEE 802.1x協議使用標準安全協議（如RADIUS）提供集中的用戶標識、身份驗證、動態密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE 802.1x身份驗證提供對802.11無線網絡和對有線以太網網絡的經驗證的訪問權限。IEEE 802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理，可將無線網絡安全風險減小到最低程度。在此執行下，作為 RADIUS客戶端配置的無線接入點將連接請求和記帳郵件發送到中央 RADIUS 服務器。中央 RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。IEEE 802.1x協議為可擴展的身份驗證協議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書以及Message Digest 5（MD5） 算法這樣的身份驗證方法。

擴展身份驗證協議EAP是一個支持身份驗證信息通過多種機制進行通信的協議。利用802.1x，EAP可以用來在申請者和身份驗證服務器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質直接進行封裝。認證者負責在申請者和身份驗證服務器之間轉遞消息。身份驗證服務器可以是一臺遠程身份驗證撥入用戶服務（RADIUS）服務器。

以下舉一個例子，說明對申請者進行身份驗證所需經過的步驟：

（1）認證者發送一個EAP - Request/Identity（請求/身份）消息給申請者。

（2）申請者發送一個EAP - Response/Identity（響應/身份）以及它的身份給認證者。認證者將收到的消息轉發給身份驗證服務器。

（3）身份驗證服務器利用一個包含口令問詢的EAP - Request消息通過認證者對申請者做出響應。

（4）申請者通過認證者將它對口令問詢的響應發送給身份驗證服務器。

（5）IEEE 802.1x協議規定如果身份驗證通過，授權服務器將通過認證者發送一個EAP - Success響應給申請者。認證者可以使用“Success”（成功）響應將受控制端口的狀態設置為“已授權”。