1.1.1 802.1X 认证 IEEE 802.1x是一种基于端口的网络接入控制技术,该技术提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不提供实际的认证机制,需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型,能与后台 不同的认证服务器进行通信,如远程接入用户服务 (Radius)。 Bgate系列AC支持802.1X认证方式,这里以设备端PAE对 EAP报文进行中继转发为例,IEEE 802.1X认证系统的基本业务流程如下图所示。 在 WLAN网络中,WLAN客户端Station为客户端PAE,提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端;客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返回设备端;设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断,设备端完成对客户端的单项认证。 客户端PAE设备端PAERADIUS服务器EAPOL-StartEAP-Response/IdentityEAP-Response/MD5 ChallengeEAP-Request/IdentityRADIUS Access-Challenge(EAP-Request/MD5 Challenge)RADIUS Access-Accept(EAP-Success)握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUS Access-Request(EAP-Response/Identity)EAP-Request/MD5 ChallengeRADIUS Access-Request(EAP-Response/MD5 Challenge)EAP-Success IEEE 802.1X 认证系统的EAP 方式业务流程 整个802.1x 的认证过程可以描述如下 (1) 客户端向接入设备发送一个EAPoL-Start 报文,开始802.1x 认证接入; (2) 接入设备向客户端发送EAP-Request/Identity 报文,要求客户端将用户名送上来; (3) 客户端回应一个EAP-Response/Identity 给接入设备的请求,其中包括用户名; (4) 接入设备将EAP-Response/Identity 报文封装到RADIUS Access-Request 报文中,发送给认证服务器; (5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge 报文发送给客户端,其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge 发送给客户端,要求客户端进行认证 (7) 客户端收到EAP-Request/MD5-Challenge 报文后,将密码和Challenge 做 MD5 算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge 回应给...
