802 1X協議介紹（認證） ielab

802.1x的認證觸發方式：

802.1x的認證過程可以由客戶端主動發起，也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種：

1. 客戶端主動觸發方式

另外，由於網路中有些裝置不支援上述的組播報文，使得認證裝置無法收到客戶端的認證請求，因此裝置端還支援廣播觸發方式，即，可以接收客戶端傳送的目的位址為廣播mac位址的eapol-start報文。這種觸發方式需要h3c inode的802.1x客戶端的配合。

2. 裝置端主動觸發方式

裝置會每隔n秒（例如30秒）主動向客戶端傳送eap-request/identity報文來觸發認證，這種觸發方式用於支援不能主動傳送eapol-start報文的客戶端，例如windows xp自帶的802.1x客戶端。

802.1x的認證過程

802.1x系統支援eap中繼方式和eap終結方式與遠端radius伺服器互動完成認證。以下關於兩種認證方式的過程描述，都以客戶端主動發起認證為例。

1.eap中繼方式

這種方式是ieee 802.1x標準規定的，將eap（可擴充套件認證協議）承載在其它高層協議中，如eap over radius，以便擴充套件認證協議報文穿越複雜的網路到達認證伺服器。一般來說，eap中繼方式需要radius伺服器支援eap屬性：eap-message和message-authenticator，分別用來封裝eap報文及對攜帶eap-message的radius報文進行保護。

認證過程如下：

(1)當使用者有訪問網路需求時開啟802.1x客戶端程式，輸入已經申請、登記過的使用者名稱和密碼，發起連線請求（eapol-start報文）。此時，客戶端程式將發出請求認證的報文給裝置端，開始啟動一次認證過程。

(2)裝置端收到請求認證的資料幀後，將發出乙個請求幀（eap-request/identity報文）要求使用者的客戶端程式傳送輸入的使用者名稱。

(3)客戶端程式響應裝置端發出的請求，將使用者名稱資訊通過資料幀（eap-response/identity報文）傳送給裝置端。裝置端將客戶端傳送的資料幀經過封包處理後（radius access-request報文）送給認證伺服器進行處理。

(4)radius伺服器收到裝置端**的使用者名稱資訊後，將該資訊與資料庫中的使用者名稱表對比，找到該使用者名稱對應的密碼資訊，用隨機生成的乙個加密字對它進行加密處理，同時也將此加密字通過radius access-challenge報文傳送給裝置端，由裝置端**給客戶端程式。

(5)客戶端程式收到由裝置端傳來的加密字（eap-request/md5 challenge報文）後，用該加密字對密碼部分進行加密處理（此種加密演算法通常是不可逆的），生成eap-response/md5 challenge報文，並通過裝置端傳給認證伺服器。

(6)radius伺服器將收到的已加密的密碼資訊（radius access-request報文）和本地經過加密運算後的密碼資訊進行對比，如果相同，則認為該使用者為合法使用者，反饋認證通過的訊息（radius access-accept報文和eap-success報文）。

(8)客戶端也可以傳送eapol-logoff報文給裝置端，主動要求下線。裝置端把埠狀態從授權狀態改變成未授權狀態，並向客戶端傳送eap-failure報文。

2. eap終結方式

這種方式將eap報文在裝置端終結並對映到radius報文中，利用標準radius協議完成認證、授權和計費。裝置端與radius伺服器之間可以採用pap或者chap認證方法。

eap終結方式與eap中繼方式的認證流程相比，不同之處在於用來對使用者密碼資訊進行加密處理的隨機加密字由裝置端生成，之後裝置端會把使用者名稱、隨機加密字和客戶端加密後的密碼資訊一起送給radius伺服器，進行相關的認證處理。

802 1X協議介紹（認證） ielab

802 1X協議介紹（認證） ielab

802 1X認證協議及漏洞分析

802 1x協議解析

802 1X協議介紹（認證） ielab

802 1X協議介紹（認證） ielab

802 1X認證協議及漏洞分析

802 1x協議解析

相關推薦