电子课件_任务27对无线连接进行认证与数据加密保护.ppt

2.7.2 引导文本 8、802.1x 　　802.1x协议是基于Client/Server的访问控制和认证协议。 它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。 在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 802.1x的核心是EAP协议（Extensible Authentication Protocol）。 2.7.2 引导文本 8、802.1x 　　在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 　　客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 　　认证系统：在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 　　认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的服务，并根据认证结果向认证系统发出打开或保持端口关闭的状态。 2.7.2 引导文本 8、802.1x 　　EAP是802.1x的核心，从客户端到验证端通过EAPOL协议传送，从验证断到验证服务器端是通过EAP over Radius协议传送。　 2.7.2 引导文本 8、802.1x 　　EAPOL在以太网帧中的位置　 同步头 7字节 起始帧 1字节 目的地址 6字节 源地址 6字节 长度/类型 2字节 数据 46~1500字节 CRC 4字节 PAE的以太网类型 2字节 协议版本 1字节 数据帧类型 1字节 数据帧长度 2字节 数据 N字节 以太网帧 EAPOL帧 0x888E 0x01 数据帧类型 值 EAP-Packet 0x00 EAPOL-Start 0x01 EAPOL-Logoff 0x02 EAPOL-Key 0x03 EAPOL-Encapsulated-ASF-Alert 0x04 2.7.2 引导文本 8、802.1x 　　典型的STA-AP-RADIUS认证过程　 EAPoL EAPoR 2.7.2 引导文本 9、PORTAL 　　PORTAL 在英语中是入口的意思。 PORTAL 认证通常也称为WEB 认证，一般将 PORTAL 认证网站称为门户网站。 　　未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 　　用户可以主动访问已知的 PORTAL 认证网站，输入用户名和密码进行认证，这种开始 PORTAL 认证的方式称作主动认证。反之，如果用户试图通过HTTP 访问其他外网，将被强制访问 PORTAL 认证网站，从而开始 PORTAL 认证过程，这种方式称作强制认证。 　　PORTAL 业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。　　 2.7.2 引导文本 9、PORTAL 　　PORTAL的系统组成： 　　Access Controller：接入控制器。实现用户强制Portal、业务控制，接收Portal Server发起的认证请求，完成用户认证功能。 　　Portal Server：门户网站。推送认证页面及用户使用状态页面，接收WLAN用户的认证信息，向AC发起用户认证请求以及用户下线通知。 　　Radius Server：中心认证服务器,和AC一同完成用户认证，并将用户使用网络信息提供后台计费系统。 　 2.7.2 引导文本 9、PORTAL 　　PORTAL认证分为两种模式, CHAP模式、PAP模式。其中CHAP模式是具有请求挑战字的模式，密码不以明文传输,较PAP的明文传输密码安全，所以是PORTAL认证的首选模式。 　　CHAP认证过程： 　　用户访问网站，经过AC重定向到Portal Server； 　　Portal server推送统一的认证页面； 　　用户填入用户名、密码，提交页面，向Portal Server发起连接请求； 　　Portal向Radius发出用户信息查询请求，由Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息； 2.7.2 引导文本 9、PORTAL 　　CHAP认