[计算机]8021X.docVIP

802.1x/EAP用户认证 802.1x认证技术802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败，则禁止该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制定的，但它也适用于符合802.11标准的无线局域网，且被视为是WLAN的一种增强性网络安全解决方案。 802.1x体系结构包括三个主要的组件： 请求方（Supplicant）： 提出认证申请的用户接入设备，在无线网络中，通常指待接入网的无线客户机STA。 认证方（Authenticator）：允许客户机进行网络访问的实体，在无线网络中，通常指访问接入点AP。 认证服务器（Authentication Sever）：为认证方提供认证服务的实体。认证服务器对请求方进行验证，然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体，也可以不是，后一种情况通常是将认证功能集成在认证方Authenticator中。 802.1x草案为认证方定义了两种端口访问控制方法：受控端口访问法和非受控端口访问法。受控端口分配给那些已经成功通过认证的实体进行网络访问；而在认证尚未完成之前，所有的通信数据流从非受控端口进出。一旦认证成功通过，请求方就可以通过受控端口访问LAN资源和服务。下图列出802.1x认证前后的逻辑示意图。 802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中，无线用户端安装802.1x客户端软件，无线访问点AP内嵌802.1x认证代理，同时它还作为Radius服务器的客户端，负责用户与Radius服务器之间认证信息的转发。 802.1x报文格式 Version Type Data Length Data……. EAP报文格式 Code Identifier Data Length Type Data……. 其中Type值对应的类型如下表 Type 认证类型 MD5 4 TLS 13 LEAP 17 SIM 18 TTLS 21 PEAP 25 802.1x认证一般包括以下几种EAP(Extensible Authentication Protocol)认证模式 EAP-MD5 EAP-TLS(Transport Layer Security) EAP-TTLS(Tunnelled Transport Layer Security) EAP-PEAP(Protected EAP) EAP-LEAP(Lightweight EAP) EAP-SIM 802.1x认证技术802.1x协议仅仅关注端口的打开与关闭对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。接入认证通过之后，IP数据包在二层普通MAC帧上传送802.1x认证技术它提供与RADIUS服务器之间的认证，而不是与AP之间的认证EAP-MD5 这是一种出现比较早，采用MD5（Message Digest 5）单向 128 位散列802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，开始启动一次认证过程。 (EAPOW_Start) AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 (EAP_Request/Identity) 客户端程序响应AP发出的请求，将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器(AC)进行处理。 (EAP_Response/Identity) 认证服务器收到AP转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给AP，由AP传给客户端程序。 (Radius-Access- Request/Radius-Access-Challenge/EAP_Request) 客户端程序收到由AP传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，此处采用MD5算法），并通过AP传给认证服务器。(EAP_Response) 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向AP发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持AP端口的关闭状态，只