802.1x認(rèn)證過程

1、1.1.11.1.1802.1X802.1X認(rèn)證認(rèn)證IEEE802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，該技術(shù)提供一個(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過以后才能連接網(wǎng)絡(luò)。IEEE802.1x本身并不提供實(shí)際的認(rèn)證機(jī)制，需要和上層認(rèn)證協(xié)議(EAP)配合來實(shí)現(xiàn)用戶認(rèn)證和密鑰分發(fā)。EAP允許無線終端支持不同的認(rèn)證類型，能與后臺不同的認(rèn)證服務(wù)器進(jìn)行通信，如遠(yuǎn)程接入用戶服務(wù)(Radius)。Bgate系列AC支持802.

2、1X認(rèn)證方式，這里以設(shè)備端PAE對EAP報(bào)文進(jìn)行中繼轉(zhuǎn)發(fā)為例，IEEE802.1X認(rèn)證系統(tǒng)的基本業(yè)務(wù)流程如下圖所示。在WLAN網(wǎng)絡(luò)中，WLAN客戶端Station為客戶端PAE，提供WLAN服務(wù)的設(shè)備為設(shè)備端PAE。設(shè)備端通過產(chǎn)生一個(gè)隨機(jī)Challenge發(fā)送給客戶端；客戶端會使用配置的密鑰對該Challenge進(jìn)行加密處理并將處理后的信息返回設(shè)備端；設(shè)備端根據(jù)客戶端返回的加密后的Challenge以及原始的Challenge進(jìn)行比較判

3、斷，設(shè)備端完成對客戶端的單項(xiàng)認(rèn)證。客戶端PAE設(shè)備端PAERADIUS服務(wù)器EAPOLStartEAPResponseIdentityEAPResponseMD5ChallengeEAPRequestIdentityRADIUSAccessChallenge(EAPRequestMD5Challenge)RADIUSAccessAccept(EAPSuccess)握手定時(shí)器超時(shí)握手請求報(bào)文[EAPRequestIdentity]握手應(yīng)答

4、報(bào)文[EAPResponseIdentity]......EAPOLLogoff端口被授權(quán)端口非授權(quán)EAPOLEAPRADIUSAccessRequest(EAPResponseIdentity)EAPRequestMD5ChallengeRADIUSAccessRequest(EAPResponseMD5Challenge)EAPSuccessIEEEIEEE802.1X802.1X認(rèn)證系統(tǒng)的認(rèn)證系統(tǒng)的EAPEAP方式業(yè)務(wù)流程方式業(yè)務(wù)

5、流程整個(gè)802.1x的認(rèn)證過程可以描述如下(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoLStart報(bào)文，開始802.1x認(rèn)證接入客戶端PAE設(shè)備端PAERADIUS服務(wù)器EAPOLStartEAPResponseIdentityEAPResponseEAPTLSclient_helloEAPRequestIdentityRADIUSAccessChallenge(EAPRequestEAPTLSStart)......EAPOLEAPRADI

6、USAccessRequest(EAPResponseIdentity)EAPRequestEAPTLSStartRADIUSAccessRequest(EAPResponseEAPTLSclient_hello)RADIUSAccessChallenge(EAPResponseEAPTLS:TLSserver_helloTLScertificateTLSserver_exchangeTLScertificate_requestTLSs

7、erver_hello_done)EAPResponseEAPTLS:TLSserver_helloTLScertificateTLSserver_exchangeTLScertificate_requestTLSserver_hello_doneEAPResponseEAPTLS:TLScertificateTLSclient_key_exchange[TLScertificate_verify]TLSchange_cipher_sp

8、ecTLSfinishedRADIUSAccessRequest(EAPResponseEAPTLS:TLScertificateTLSclient_key_exchange[TLScertificate_verify]TLSchange_cipher_specTLSfinished)RADIUSAccessChallenge(EAPResponseEAPTLS:TLSchange_cipher_specTLSfinished)EAPR

9、esponseEAPTLS:TLSchange_cipher_specTLSfinishedEAPResponseEAPTLSRADIUSAccessRequest(EAPResponseEAPTLS)RADIUSAccessAccept(EAPSuccess)EAPSuccessEAPEAPTLSTLS認(rèn)證消息序列圖認(rèn)證消息序列圖當(dāng)EAPTLS認(rèn)證成功時(shí)，客戶端PAE和Radius服務(wù)器會對應(yīng)產(chǎn)生公用的對稱的RadiusKey，Rad

10、ius服務(wù)器會在認(rèn)證成功消息中將RadiusKey通知設(shè)備端PAE?？蛻舳薖AE和設(shè)備端PAE會根據(jù)該RadiusKey，客戶端MAC地址以及設(shè)備端MAC地址，產(chǎn)生種子密鑰PMK以及對應(yīng)的索引PMKID。根據(jù)IEEE802.11i協(xié)議定義的算法，設(shè)備端PAE和客戶端PAE可以獲得相同的PMK，該種子密鑰將在密鑰協(xié)商過程（EAPOLKey密鑰協(xié)商）中使用。1.WPAWPA采用了802.1x和TKIP來實(shí)現(xiàn)WLAN的訪問控制、密鑰管理與數(shù)據(jù)