802.1X认证过程.docVIP

802.1X认证 IEEE 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不提供实际的认证机制，需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台 不同的认证服务器进行通信，如远程接入用户服务(Radius)。 IEEE 802.1X认证系统的EAP方式业务流程 整个802.1x的认证过程可以描述如下 　　(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入; 　　(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来; 　　(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名; 　　(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器; 　　(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge; 　　(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证 　　(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备 　　(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证 　　(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; 　　(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址; 　　(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器; 　　(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。 EAP TLS认证消息序列图 当EAP TLS认证成功时，客户端PAE和Radius服务器会对应产生公用的对称的Radius Key，Radius服务器会在认证成功消息中将Radius Key通知设备端PAE。客户端PAE和设备端PAE会根据该Radius Key，客户端MAC地址以及设备端MAC地址，产生种子密钥PMK以及对应的索引PMKID。根据IEEE802.11i协议定义的算法，设备端PAE和客户端PAE可以获得相同的PMK，该种子密钥将在密钥协商过程（EAPOL-Key密钥协商）中使用。 WPA WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准，用户必须通过了认证并获得授权之后，才能通过端口使用网络资源。TKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法： 　　● 扩展的48位初始化向量（IV）和IV顺序规则（IV Sequencing Rules）; 　　● 每包密钥构建机制（per-packet key construction）; 　　● Michael（Message Integrity Code，MIC）消息完整性代码; 　　● 密钥重新获取和分发机制。 　　WPA系统在工作的时候，先由AP向外公布自身对WPA的支持，在Beacons、Probe Response等报文中使用新定义的WPA信息元素（Information Element），这些信息元素中包含了AP的安全配置信息（包括加密算法和安全配置等信息）。STA根据收到的信息选择相应的安全配置，并将所选择的安 全配置表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现ST与AP之间的加密算法以及密钥管理方式的协商。 　　支持WPA的AP工作需要在开放系统认证方式下，STA以WPA模式与AP建立关联之后，如果网络中有RADIUS服务器作为认证服务器，那么 STA就使用802.1x方式进行认证；如果网络中没有RADIUS，STA与AP就会采用预共享密钥（PSK，Pre-Shared Key）的方式。 　　STA通过了