网站虚拟建设策划,姚家园做网站,dedecms网站后台管理,编程在线培训802.1x认证原理802.1X认证简介802.1X认证协议802.1X认证流程802.1X认证简介
定义#xff1a;802.1x协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制#xff0c;是指在局域网接入设备的端口这一级验证用户身份#xff0c;并且控制其访问权限。优点#xff1…
802.1x认证原理802.1X认证简介802.1X认证协议802.1X认证流程802.1X认证简介
定义802.1x协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制是指在局域网接入设备的端口这一级验证用户身份并且控制其访问权限。优点802.1X是二层协议不需要到达三层对接入设备的整体性能要求不高可以有效降低建网成本认证报文和数据报文通过逻辑接口分离提高了安全性。802.1X认证系统典型的802.1X系统为典型的C/S架构包括三个实体包括客户端接入设备和认证服务器。 客户端一般为一个用户终端设备用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAP哦L。接入设备通常是支持802.1X协议的网络设备他为客户端提供接入到局域网的接口这个端口可以是物理接口也可以是逻辑接口。认证服务器用于实现对用户进行认证授权和计费通常为RADIUS服务器。
802.1X认证协议
802.1X认证系统使用可扩展认证协议EAP来实现客户端设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层包括数据链路层和上层协议如UDP和TCP等但是不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
在客户端和设备端之间EAP协议报文使用EAPoLEAP over LANS封装格式直接承载于LAN环境中。在设备端与认证服务器之间用户可以根据客户端支持情况和网络安全要求来决定采用的认证方式。EAP终结方式中EAP报文在设备端终结并重新封装到RADIUS报文中利用标准的RADIUS协议完成 认证授权和计费。EAP中继方式中EAP报文被直接封装到RADIUS报文中EAP over RADIUS简称EAPoR以便穿越复杂的网络到达认证服务器。
802.1X认证流程
EAP中继和EAP终结的认证流程 802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。以客户端主动发起认证为例EAP中继方式和EAP终结方式的802.1X认证流程。
EAP中继认证流程
1.
当用户需要访问外部网络时打开802.1X客户端程序输入已经申请登记过的用户名和密码。发起连接请求发起连接请求。此时客户端程序向设备发出认证请求报文EAPoL-Start开始启动一次认证过程。设备端收到认证请求报文之后将发出一个Identity类型的请求报文EAP-Response/Identity要求用户的客户端程序发送输入的用户名。客户端程序相应设备端发出的请求将用户名信息通过Identity类型的响应报文发送给设备端。设备端将用户发送的响应报文中的EAP报文封装在RADIUS报文中发送给认证服务器进行处理。RADIUS服务器收到设备端发送的用户名信息之后将信息与数据库中的用户名列表中对比找到该用户名对应的密码信息用随机生成的一个MD5 Challenge对密码进行加密处理同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。客户端收到设备端传来的MD5 Challenge后用该Challenge对密码部分进行加密处理生成EAP-Response/MD5 Challenge报文并发送给设备端。设备端将EAP-Response/MD5 Challenge报文封装在RADIUS报文中发送给RADIUS服务器。RADIUS服务器将已经收到的已经加密的密码信息和本地经过加密运算后的密码信息进行对比如果相同则认为该用户为合法用户并向设备端发送认证通过报文。设备收到认证通过报文后向客户端发送认证成功报文并将端口改为授权状态允许用户通过该端口访问网络。用户在线期间设备端会通过向客户定期发送挥手报文的方法对用户的在线情况进行监测。客户端收到握手报文之后向设备发送应答报文标识用户仍然在线。缺省情况下如哦设备端发送的两次握手请求报文都没有得到客户端的应答设备端就会让用户下线防止用户因为异常原因下线而设备无法感知。客户端可以发送EAPoL-Logoff报文给设备端主动要求下线。设备端可以把端口状态从授权状态改为未授权状态并向客户端发送EAP-Failure报文。 EAP终结认证流程 EAP终结方式与EAP中继方式的认证流程相比不同之处就在于用来对用户密码信息进行加密处理的MD5 Challenge由设备端生成之后设备端会把用户名、MD5 Challenge和客户端加密后的密码信息一起送到RADIUS服务器进行相关的认证处理。而再EAP中继方式中用来对用户密码进行加密处理的挑战字由服务器生成设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器整个认证处理都是由认证服务器来完成的。
