作为一个认证协议,802.1X在实现的过程中有很多重要的工作机制。下图显示了802.1X协议的基本原理:
Supplicant发出一个连接请求(EPAoL),该请求被Authenticator(支持802.1X协议的交换机)转发到Authentication Server(支持EAP验证的RADIUS服务器)上,Authentication Server得到认证请求后会对照用户数据库,验证通过后返回相应的网络参数,如客户终端的IP地址,MTU大小等。Authenticator得到这些信息后,会打开原本被堵塞的端口。客户机在得到这些参数后才能正常使用网络,否则端口就始终处于阻塞状态,只允许802.1X的认证报文EAPoL通过。
802.1X认证协议原理
1.1.1
基本认证流程
图3-6是一个典型的认证会话流程,采用的认证机制是MD5-Challenge:
(1)
Supplicant发送一个EAPoL-Start报文发起认证过程。
(2)
Authenticator收到EAPoL-Start后,发送一个EAP-Request报文响应Supplicant的认证请求,请求用户ID。
(3)
Supplicant以一个EAP-Response报文响应EAP-Request,将用户ID封装在EAP报文中发给Authenticator。
(4)
Authenticator将Supplicant送来的EAP-Request报文与自己的NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器(Authentication Server)。
典型的认证会话流程
(5)
认证服务器收到RADIUS Access-Request报文后,将用户ID提取出来在数据库中进行查找。如果找不到该用户ID,则直接丢弃该报文;如果该用户ID存在,认证服务器会提取出用户的密码等信息,用一个随机生成的加密字进行MD5加密,生成密文。同时,将这个随机加密字封装在一个EAP-Challenge Request报文中,再将该EAP报文封装在RADIUS Access-Challenge报文的EAP-Message属性中发给Authenticator。
(6)
Authenticator收到RADIUS Access-Challenge报文后,将封装在该报文中的EAP-Challenge Request报文发送给Supplicant。
(7)
Supplicant用认证服务器发来的随机加密字对用户名密码等信息进行相同的MD5加密运算生成密文,将密文封装在一个EAP-Challenge Response报文中发给Authenticator。
(8)
Authenticator收到EAP-Challenge Response报文后,将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证服务器。
(9)
认证服务器拆开封装,将Supplicant发回的密文与自己在第(5)步中生成的密文进行对比。如果不一致,则认证失败,服务器将返回一条RADIUS Access-Reject信息,同时保持端口关闭状态;如果一致,则认证通过,服务器将一条EAP-Success消息封装在RADIUS Access-Accept报文的属性中发送给Authenticator。
Supplicant发出一个连接请求(EPAoL),该请求被Authenticator(支持802.1X协议的交换机)转发到Authentication Server(支持EAP验证的RADIUS服务器)上,Authentication Server得到认证请求后会对照用户数据库,验证通过后返回相应的网络参数,如客户终端的IP地址,MTU大小等。Authenticator得到这些信息后,会打开原本被堵塞的端口。客户机在得到这些参数后才能正常使用网络,否则端口就始终处于阻塞状态,只允许802.1X的认证报文EAPoL通过。
802.1X认证协议原理
1.1.1
基本认证流程
图3-6是一个典型的认证会话流程,采用的认证机制是MD5-Challenge:
(1)
Supplicant发送一个EAPoL-Start报文发起认证过程。
(2)
Authenticator收到EAPoL-Start后,发送一个EAP-Request报文响应Supplicant的认证请求,请求用户ID。
(3)
Supplicant以一个EAP-Response报文响应EAP-Request,将用户ID封装在EAP报文中发给Authenticator。
(4)
Authenticator将Supplicant送来的EAP-Request报文与自己的NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器(Authentication Server)。
典型的认证会话流程
(5)
认证服务器收到RADIUS Access-Request报文后,将用户ID提取出来在数据库中进行查找。如果找不到该用户ID,则直接丢弃该报文;如果该用户ID存在,认证服务器会提取出用户的密码等信息,用一个随机生成的加密字进行MD5加密,生成密文。同时,将这个随机加密字封装在一个EAP-Challenge Request报文中,再将该EAP报文封装在RADIUS Access-Challenge报文的EAP-Message属性中发给Authenticator。
(6)
Authenticator收到RADIUS Access-Challenge报文后,将封装在该报文中的EAP-Challenge Request报文发送给Supplicant。
(7)
Supplicant用认证服务器发来的随机加密字对用户名密码等信息进行相同的MD5加密运算生成密文,将密文封装在一个EAP-Challenge Response报文中发给Authenticator。
(8)
Authenticator收到EAP-Challenge Response报文后,将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证服务器。
(9)
认证服务器拆开封装,将Supplicant发回的密文与自己在第(5)步中生成的密文进行对比。如果不一致,则认证失败,服务器将返回一条RADIUS Access-Reject信息,同时保持端口关闭状态;如果一致,则认证通过,服务器将一条EAP-Success消息封装在RADIUS Access-Accept报文的属性中发送给Authenticator。