八.802.1X认证有三种方式
802.1X认证有三种方式:pap,chap和eap-md5,接下来分别介绍这三种方式
1.1 pap方式
如图2.1所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端返回EAP-RESPONSE/IDENTITY响应报文表示连接建立。然后交换机发送EAP-REQUEST/PAP报文通知用户使用PAP方式验证身份,用户终端发送EAP-RESPONSE/PAP报文到交换机,该报文中含有用户名S[lxm1] 。交换机根据来自用户终端的EAP-RESPONSE/PAP报文组装并发送ACCESS REQUEST报文到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。
图2.1 使用PAP方式进行身份验证的过程
1.2 chap方式
如图2.2所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后交换机生成challenge信息,并发送EAP-REQUEST/CHALLENGE报文通知用户使用CHAP方式验证身份,用户终端返回EAP-RESPONSE/MD5-CHALLENGE响应报文给交换机。交换机根据来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文组装并发送ACCESS REQUEST报文送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。
图2.2 使用CHAP方式进行身份验证的过程
1.3 eap-md5方式
如图2.3所示,首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务,交换机返回EAP-REQUEST/IDENTITY报文到用户终端,要求用户提供身份标识,用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后由交换机发送ACCESS-REQUEST到RADIUS 服务器,RADIUS服务器生成challenge信息,并将ACCESS-CHALLENGE报文发送给交换机。接下来,交换机向用户终端发送EAP-REQUEST/CHALLENGE报文通知用户使用EAP-MD5方式验证身份,终端返回EAP-RESPONSE/MD5-CHALLENGE报文作为响应。交换机将来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文封装到ACCESS REQUEST报文中,并发送到RADIUS 服务器。RADIUS服务器对用户进行认证,如果认证通过,则返回ACCESS ACCEPT报文给交换机,由交换机完成相应操作以允许用户接入,同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。
图2.3 使用EAP-MD5方式进行身份验证的过程
1.4 三种认证方式的区别
由以上的介绍可以知道pap方式和chap方式的认证过程是一样的,和eap-md5方式不同。但pap方式和其他两种方式的区别在于pap方式向交换机发送的用户密码是明文的,但是交换机发送给认证服务器的用户密码时加密的,加密密钥是交换机与认证服务器之间的共享密钥[lxm2] ,而其他两种方式由于发送给交换机的用户密码是加密的,所以交换机发送给认证服务器的用户密码没有经过再次加密,三种方式的加密算法都是MD5算法。而chap方式和eap-md5方式的区别在于加密密钥获得的不同,chap方式的加密密钥是由交换机产生,并由EAP-REQUEST/CHALLENGE报文通知用户使用chap方式验证身份,并将密钥发送给用户,而eap-md5方式是由认证服务器产生,并通过ACCESS-CHALLENGE报文发送给交换机,然后交换机将密钥信息封装在EAP-REQUEST/CHALLENGE报文中发送给用户,并通知用户使用EAP-MD5方式验证身份,这也是eap-md5方式和其他两种方式报文交互过程不同的原因所在。
