802.1x实现过程

802.1X的认证过程

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于802.1X认证过程的描述，都以客户端主动发起认证为例。

1. EAP中继方式

这种方式是IEEE 802.1X标准规定的，将EAP承载在其它高层协议中，如EAP over RADIUS，以便EAP报文穿越复杂的网络到达认证服务器。一般来说，需要RADIUS服务器支持EAP属性：EAP-Message和Message-Authenticator。

如图1-9所示，以MD5-Challenge类型的EAP认证为例，具体认证过程如下。

图1-9 IEEE 802.1X认证系统的EAP中继方式认证流程

(1)     当用户需要访问外部网络时打开802.1X客户端程序，输入用户名和密码，发起连接请求。此时，客户端程序将向设备端发出认证请求帧（EAPOL-Start），开始启动一次认证过程。

(2)     设备端收到认证请求帧后，将发出一个Identity类型的请求帧（EAP-Request/Identity）要求用户的客户端程序发送输入的用户名。

(3)     客户端程序响应设备端发出的请求，将用户名信息通过Identity类型的响应帧（EAP-Response/Identity）发送给设备端。

(4)     设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文（RADIUS Access-Request）中发送给认证服务器进行处理。

(5)     RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名列表对比，找到该用户名对应的密码信息，用随机生成的一个MD5 Challenge对密码进行加密处理，同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。

(6)     设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。

(7)     客户端收到由设备端传来的MD5 Challenge后，用该Challenge对密码进行加密处理，生成EAP-Response/MD5 Challenge报文，并发送给设备端。

(8)     设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文（RADIUS Access-Request）中发送给RADIUS服务器。

(9)     RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，并向设备端发送认证通过报文（RADIUS Access-Accept）。

(10)     设备收到认证通过报文后向客户端发送认证成功帧（EAP-Success），并将端口改为授权状态，允许用户通过端口访问网络。

(11)     用户在线期间，设备端会通过向客户端定期发送握手报文的方法，对用户的在线情况进行监测。

(12)     客户端收到握手报文后，向设备发送应答报文，表示用户仍然在线。缺省情况下，若设备端发送的两次握手请求报文都未得到客户端应答，设备端就会让用户下线，防止用户因为异常原因下线而设备无法感知。

(13)     客户端可以发送EAPOL-Logoff帧给设备端，主动要求下线。

(14)     设备端把端口状态从授权状态改变成未授权状态，并向客户端发送EAP-Failure报文。

2. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-10所示，以CHAP认证为例，具体的认证流程如下。

图1-10 IEEE 802.1X认证系统的EAP终结方式认证流程

EAP终结方式与EAP中继方式的认证流程相比，不同之处在于用来对用户密码信息进行加密处理的MD5 challenge由设备端生成，之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器，进行相关的认证处理。