참고로 http://blog.eztcp.com/sollae/810 에서 발췌한 내용이다.

IEEE 802.1X(이하 802.1X) 는 IEEE 802.1이라는 네트워크 프로토콜 그룹의 일부분으로

포트 기반의 네트워크 접근 제어(port-based Network Access Control – PNAC)에 관한 IEEE의 표준입니다.

이 표준에서는 유선랜이나 무선랜에 연결하고자 하는 장치에 대한 인증 메커니즘을 설명하고 있습니다.

이 표준은 주로 무선랜(WiFi) 환경에서 보안을 강화하기 위해 사용됩니다.

이 802.1X 인증 방식은 다음과 같이 세가지 구성 요소가 있습니다.

'Supplicant'

인증을 위한 정보를 입력하고 인증 결과를 받아서 접속하는 클라이언트, EAP Client (ex: 스마트폰, 노트북)

'Athenticator'

인증 중계 역할을 하고, 인증결과에 따라 통신을 접속 또는 차단하는 인증장치 (ex: 무선 공유기, AP, 스위칭 허브)

'Authentication Server'

사용자 정보를 구별하여 접속 허용 또는 접속 차단을 결정하는 인증 서버 (ex: Radius 서버)

위 구성으로 다음과 같은 절차를 통해 인증을 받은 후 사용자는 정상적인 통신을 할 수 있게 됩니다.

그 과정을 살펴보자면

1. AP(중계기)에서 새로운 사용자가 감지되면 802.1X 인증을 위한 상태가 활성화 되고 사용자에게 ID 정보를 요청합니다.
2. 사용자는 요청된 인증에 대한 인증 정보(ex:ID, 비밀번호)를 응답하여 AP(중계기)로 전송합니다.
3. AP(중계기)는 전달 받은 사용자의 인증 정보를 인증서버로 전송하고, 인증 서버는 사용자의 인증 정보를 미리 등록된 인증서버 내의 사용자 데이터베이스와 비교하여 일치할 경우, 인증서버는 AP(중계기)에게 인증이 성공하였다는 메세지를 보냅니다.
4. 이때 인증서버에서 암호화 키를 AP(중계기)에게 전달하고 AP(중계기)는 이 암호화 키를 이용하여 사용자와 암호화/복호화 과정을 거쳐 정상적인 통신을 하게 됩니다.

위와 같은 과정에서 인증 메세지 교환시에 EAP(Extensible Authentication Protocol)라는 프로토콜을 사용합니다.

무선랜 이나 PPP 연결시에 많이 사용되는 EAP(Extensible Authentication Protocol)는 인증 메커니즘에 따라 다양한 유형이 있습니다. 그 중에서도 무선랜 보안에서 다음과 같은 EAP가 주로 사용됩니다.

EAP-TLS, EAP-TTLS, PEAP, LEAP, EAP-FAST

상세한 EAP 인증 유형과 관련해서는 무선랜 보안과 연계하여 상세히 다뤄 보도록 하겠습니다.

정리하자면 IEEE 802.1X 는 보안을 강화하기 위해 인증되지 않은 장치의 접속을 차단하고 인증된 장치만 네트워크에 접근할 수 있도록 하는 인증 방식에 관한 표준이라고 할 수 있습니다.

참고 웹페이지

http://technet.microsoft.com/ko-kr/library/cc759077(v=ws.10).aspx
http://en.wikipedia.org/wiki/IEEE_802.1X

WPA/WPA2-PSK 가 기존 WEP 의 암/복호화 키 관리 방식을 중점적으로 보완한 방식인데 비해 WPA-Enterprise 는 사용자 인증까지 보완한 방식이다. WPA-EAP 로 불리는 WPA Enterprise 방식은 인증 및 암호화를 강화하기 위해 다양한 보안표준 및 알고리즘을 채택했다.
그중 가장 중요하고 핵심적인 사항은 유선 랜 환경에서 포트 기반 인증 표준으로 사용되는 IEEE 802.1x 표준과 함께, 다양한 인증 메커니즘을 수용할 수 있도록 IETF 의 EAP 인증 프로토콜을 채택한 것이다.
EAP 는 무선랜 클라이언트와 RADIUS 서버 간의 통신을 가능하게 하는 프로토콜이고 802.1x 는 포트에 대한 접근을 통제하는 프로토콜이다.
802.1x/EAP(Extensible Authentication Protocol)는 개인 무선 네트워크의 인증 방식에 비해 다음과 같은 기능이 추가되었다.

1. 사용자에 대한 인증을 수행한다.
2. 사용 권한을 중앙 관리한다.
3. 인증서, 스마트카드 등의 다양한 인증을 제공한다.
4. 세션별 암호화 키를 제공한다.

이 중에서 WEP 나 WPA-PSK 가 802.1x/EAP 와 근본적으로 다른 차이는 아이디와 패스워드를 통한 사용자 인증이라는 점이다. 그리고 WEP 또는 WPA-PSK 는 미리 양쪽에서 설정한 암호화 키를 사용하는데 반해 802.1x/EAP 는 무선랜 연결(세션)별로 재사용이 불가능한 다른 암호화 키를 사용해 암호화 키 복호화 가능성을 무력화시켰다는 점이 다르다.

802.1x/EAP 와 RADIUS 서버를 이용한 무선 랜 사용자 인증은 다음과 같이 이루어진다.

1. 클라이언트는 AP 에 접속을 요청한다. 이때 클라이언트와 AP 는 암호화되지 않은 통신을 수행한다. 그러나 클라이언트가 AP 와 연결된 내부 네트워크로 접속하는 것은 AP 에 의해 차단된다.
2. RADIUS 서버는 클라이언트에 인증 Challenge 를 전송한다.
3. 클라이언트는 Challenge 에 대한 응답으로서 최초로 전송받은 Challenge 값, 계정, 패스워드에 대한 해시 값을 구하여 RADIUS 서버에게 전송한다.
4. RADIUS 서버는 사용자 관리 DB 정보에서 해당 계정의 패스워드를 확인한다. 그리고 연결 생성을 위해 최초로 전송한 Challenge 의 해시 값을 구하여 클라이언트에서 전송받은 해시 값과 비교한다.
5. 해시 값이 일치하면 암호화 키를 생성한다.
6. 생성한 암호화 키를 클라이언트에게 전달한다.
7. 전달받은 암호화 키를 이용하여 암호화 통신을 수행한다.

802.1x 관련한 자료를 정리했다.

1. 802_1x.doc
2. 802_1x_system.doc