802.1x------4

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

.802.1X认证有三种方式

802.1X认证有三种方式:papchapeap-md5,接下来分别介绍这三种方式

11 pap方式

如图2.1所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端返回EAP-RESPONSE/IDENTITY响应报文表示连接建立。然后交换机发送EAP-REQUEST/PAP报文通知用户使用PAP方式验证身份,用户终端发送EAP-RESPONSE/PAP报文到交换机,该报文中含有用户名S[lxm1] 。交换机根据来自用户终端的EAP-RESPONSE/PAP报文组装并发送ACCESS REQUEST报文到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.1 使用PAP方式进行身份验证的过程

1.2 chap方式

如图2.2所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后交换机生成challenge信息,并发送EAP-REQUEST/CHALLENGE报文通知用户使用CHAP方式验证身份,用户终端返回EAP-RESPONSE/MD5-CHALLENGE响应报文给交换机。交换机根据来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文组装并发送ACCESS REQUEST报文送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.2 使用CHAP方式进行身份验证的过程

1.3 eap-md5方式

如图2.3所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后由交换机发送ACCESS-REQUESTRADIUS 服务器,RADIUS服务器生成challenge信息,并将ACCESS-CHALLENGE报文发送给交换机。接下来,交换机向用户终端发送EAP-REQUEST/CHALLENGE报文通知用户使用EAP-MD5方式验证身份,终端返回EAP-RESPONSE/MD5-CHALLENGE报文作为响应。交换机将来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文封装到ACCESS REQUEST报文中,并发送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,则返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.3 使用EAP-MD5方式进行身份验证的过程

1.4 三种认证方式的区别

  由以上的介绍可以知道pap方式和chap方式的认证过程是一样的,和eap-md5方式不同。但pap方式和其他两种方式的区别在于pap方式向交换机发送的用户密码是明文的,但是交换机发送给认证服务器的用户密码时加密的,加密密钥是交换机与认证服务器之间的共享密钥[lxm2] ,而其他两种方式由于发送给交换机的用户密码是加密的,所以交换机发送给认证服务器的用户密码没有经过再次加密,三种方式的加密算法都是MD5算法。而chap方式和eap-md5方式的区别在于加密密钥获得的不同,chap方式的加密密钥是由交换机产生,并由EAP-REQUEST/CHALLENGE报文通知用户使用chap方式验证身份,并将密钥发送给用户,而eap-md5方式是由认证服务器产生,并通过ACCESS-CHALLENGE报文发送给交换机,然后交换机将密钥信息封装在EAP-REQUEST/CHALLENGE报文中发送给用户,并通知用户使用EAP-MD5方式验证身份,这也是eap-md5方式和其他两种方式报文交互过程不同的原因所在。


 [lxm1]??应该只包含用户密码吧?

 [lxm2]此处可以加入radius加密的大概介绍,参照rfc2865attribute type 2User-Password










本文转自 帅枫小明 51CTO博客,原文链接:http://blog.51cto.com/576642026/652387,如需转载请自行联系原作者
目录
相关文章
|
算法
26.【算法五章-----02】
26.【算法五章-----02】
59 0
|
算法 C++
22.【算法五章-----01】
22.【算法五章-----01】
46 0
|
小程序 前端开发 程序员
小程序----网络数据请求
小程序----网络数据请求
|
弹性计算 Linux 云计算
初识-----深入了解
我是物联网工程专业的一次课程安排让我喜欢喜欢上了Linux
149 0
|
数据安全/隐私保护
|
安全 数据安全/隐私保护
|
数据安全/隐私保护 网络虚拟化 存储