IEEE802.1X认证过程_tsc_IEEE802.1X

IEEE802.1X认证过程

2010/6/28 16:38:00

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者－－对接入的用户/设备进行认证的端口；请求者－－被认证的用户/设备；认证服务器－－根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。
身份验证步骤：
1. 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;
2. 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;
3. 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;
4. 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;
5. 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;
6. 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证
7. 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备
8. 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证
9. RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;