802.1X, 802.1x, IEEE 802.1x   Institute of Electrical and Electronic Engineers 802.1x  

1. 802.1X  :  `Port Based Network Access Control (2001년6월 표준 인증)`

  ㅇ `포트 기반(port-based)의 접근제어`를 가능하게 하는 인증 구조


2. 802.1X 특징

  ㅇ 802.1X는 사실상 프레임워크 이지, 프로토콜 구현 스펙이 아님
     - 모든 IEEE 802 표준 계열에 적용이 가능
        . 기존,신규 모든 인증 체계 및 인프라를 그대로 활용할 수 있음

     - 유무선 모든 네트워크에 적용 가능하나,
        . 현재는 무선 LAN 접속방식(접근통제)에 주로 많이 사용됨

  ㅇ 단말인증(Machine) 보다는 사용자인증(User) 위주로써,
     - 각 포트에 대한 사용자인증 제공

  ㅇ 포트 레벨의 보안 기술
     - 유선 스위치(NAS 등), 무선 AP(Access Point)에서 포트 단위로 인증 수행
        . 유선은 스위치 내 물리적인 포트 단위
        . 무선은 AP 및 무선단말 간의 결합 단위

     - 포트 단위로 개별적인 과금 정책, 사용제한, 대역할당 등 제어 가능
        . 인증 이전에는 제어되지 않은 포트를 이용하며,
          인증 이후에는 제어된 포트를 이용하게 됨
         

  ㅇ Transport mechanism 
     - 802.1X는 실제 인증 수행이 아니고,
        . 포트 단위의 인증 메세지의 전달용 메커니즘 임

     - 주로, EAP 인증메세지(EAPOL)의 전송을 위함 
        . 802.1X에서는 EAP(IETF RFC 2284/3748)를 차용하여,
        . 실제 인증 수행은 주로 EAP라는 인증 프레임워크 상에서 이루어짐
        . 즉, 키 분배 등 키 관리 기능은 고려되지 않음

        


3. 802.1X 물리적 구성 요소

  ㅇ Supplicant (접속요구단말,인증 요청자)
     - 망에 접근하려는 PC 등 사용자단말
     - 무선인 경우 무선단말
        . 이 경우 Supplicant ~ Authenticator 간에는 공기매체

  ㅇ Authenticator (인증자,접속허가자,인증수행자)
     - 브리지, 스위치, 엑세스 포인트(AP) 등 망 접근을 제어하는 장치류 또는 서버
        . 인증 교환(Authentication Exchange)은 Supplicant 및 인증 서버 간에서 이루어지고,
          인증자는 가교 역할 만 수행

  ㅇ Authentication Server (인증 서버)
     - RADIUS 서버 등 인증 서버
        . 위 Authenticator는 Authentication Server의 클라이언트임

  ※ 일단은 비제어 포트(Uncontrolled Port)에 접속한 후에,  인증이 성공적이게되면
     제어 포트(Controlled Port)를 이용하여 데이터 전송

     


4. 수송(캡슐화)하는 프로토콜의 분리 운영

  ㅇ 인증 프로토콜을 수송(캡슐화)하는 프로토콜의 분리 운영
     - Supplicant 및 Authenticator 간             : EAP over LAN (EAPoL)
        . 즉, 단말 ↔ 스위치/AP 간
     - Authenticator 및 Authentication Server 간  : EAP over RADIUS
        . 즉, 스위치/AP ↔ 인증서버 간


5. 802.1X 관련 인증 (주로, 802.1X/EAP)

  ㅇ 기존에 존재하던 다양한 인증 프로토콜 PAP, CHAP, EAP 등에서,
     - 특히, 기본으로 EAP(Extensible Authentication Protocol, RFC 2284/3748) 사용을 권고

     - 여기서, `EAP 프로토콜`은 어떤 인증 프로토콜(EAP Methods)과도 결합이 가능
        . 즉, EAP는 인증/키 관리를 위한 일종의 뼈대를 형성하나, 
              특정 인증 프로토콜은 아님

  ㅇ 인증 종류                                                        ☞ EAP Methods 참조
     - 인증 방식 : TLS 형, AKA/SIM 형, Token Card 형, ID/Password(OTP) 등
     - 인증 방법 : (주로, 암호 키의 동적 처리 방법에 따른 차이)
        . EAP-MD5(비 권장),  EAP-TLS,  PEAP,  EAP-Cisco,  EAP-SRP 등

  ㅇ 802.1X/EAP 특징
     - 인증 및 권한부여
     - 동적으로 보안 키 생성 및 키 분배
        . 동적인 키 이란? 
           .. 사용자가 키에 대해 알 필요가 없으며, 사용자 마다 다른 키를 사용하는 등
        . 여기서, EAP는 동적으로 키 생성을 위해 `seeding/keying material`을 제공하게 됨