开发者社区> 余二五> 正文

802.1x------4

简介:
+关注继续查看

.802.1X认证有三种方式

802.1X认证有三种方式:papchapeap-md5,接下来分别介绍这三种方式

11 pap方式

如图2.1所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端返回EAP-RESPONSE/IDENTITY响应报文表示连接建立。然后交换机发送EAP-REQUEST/PAP报文通知用户使用PAP方式验证身份,用户终端发送EAP-RESPONSE/PAP报文到交换机,该报文中含有用户名S[lxm1] 。交换机根据来自用户终端的EAP-RESPONSE/PAP报文组装并发送ACCESS REQUEST报文到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.1 使用PAP方式进行身份验证的过程

1.2 chap方式

如图2.2所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后交换机生成challenge信息,并发送EAP-REQUEST/CHALLENGE报文通知用户使用CHAP方式验证身份,用户终端返回EAP-RESPONSE/MD5-CHALLENGE响应报文给交换机。交换机根据来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文组装并发送ACCESS REQUEST报文送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.2 使用CHAP方式进行身份验证的过程

1.3 eap-md5方式

如图2.3所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后由交换机发送ACCESS-REQUESTRADIUS 服务器,RADIUS服务器生成challenge信息,并将ACCESS-CHALLENGE报文发送给交换机。接下来,交换机向用户终端发送EAP-REQUEST/CHALLENGE报文通知用户使用EAP-MD5方式验证身份,终端返回EAP-RESPONSE/MD5-CHALLENGE报文作为响应。交换机将来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文封装到ACCESS REQUEST报文中,并发送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,则返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

2.3 使用EAP-MD5方式进行身份验证的过程

1.4 三种认证方式的区别

  由以上的介绍可以知道pap方式和chap方式的认证过程是一样的,和eap-md5方式不同。但pap方式和其他两种方式的区别在于pap方式向交换机发送的用户密码是明文的,但是交换机发送给认证服务器的用户密码时加密的,加密密钥是交换机与认证服务器之间的共享密钥[lxm2] ,而其他两种方式由于发送给交换机的用户密码是加密的,所以交换机发送给认证服务器的用户密码没有经过再次加密,三种方式的加密算法都是MD5算法。而chap方式和eap-md5方式的区别在于加密密钥获得的不同,chap方式的加密密钥是由交换机产生,并由EAP-REQUEST/CHALLENGE报文通知用户使用chap方式验证身份,并将密钥发送给用户,而eap-md5方式是由认证服务器产生,并通过ACCESS-CHALLENGE报文发送给交换机,然后交换机将密钥信息封装在EAP-REQUEST/CHALLENGE报文中发送给用户,并通知用户使用EAP-MD5方式验证身份,这也是eap-md5方式和其他两种方式报文交互过程不同的原因所在。


 [lxm1]??应该只包含用户密码吧?

 [lxm2]此处可以加入radius加密的大概介绍,参照rfc2865attribute type 2User-Password










本文转自 帅枫小明 51CTO博客,原文链接:http://blog.51cto.com/576642026/652387,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
实战营第三期:MySQL数据库进阶实战
实战营第三期:MySQL数据库进阶实战
2 0
Eclipse+Java+Swing实现考试管理系统(上)
Eclipse+Java+Swing实现考试管理系统
3 0
冬季实战营第三期:MySQL数据库进阶实战
冬季实战营第三期:MySQL数据库进阶实战
3 0
服务器安装Jenkins
服务器安装Jenkins
3 0
穿梭时空的实时计算框架——Flink对时间的处理
Flink对于流处理架构的意义十分重要,Kafka让消息具有了持久化的能力,而处理数据,甚至穿越时间的能力都要靠Flink来完成。 在Streaming-大数据的未来一文中我们知道,对于流式处理最重要的两件事,正确性,时间推理工具。而Flink对两者都有非常好的支持。
3 0
快速了解Java虚拟机(JVM)以及常见面试题(持续更新中......)
JVM是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。引入Java语言虚拟机后,Java语言在不同平台上运行时不需要重新编译。Java语言使用Java虚拟机屏蔽了与具体平台相关的信息,使得Java语言编译程序只需生成在Java虚拟机上运行的目标代码(字节码),就可以在多种平台上不加修改地运行。
3 0
Java+Swing实现医院管理系统(上)
Java+Swing实现医院管理系统
6 0
超越Storm,SparkStreaming——Flink如何实现有状态的计算
超越Storm,SparkStreaming——Flink如何实现有状态的计算
4 0
Win系统 - 网速慢,网络卡,怎么办?(上)
Win系统 - 网速慢,网络卡,怎么办?(上)
3 0
+关注
20381
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载