802.1X用户身份验证过程

802.1X用户身份验证过程

802.1X为任何局域网,包括无线局域网提供了一个用户认证的框架,当工作站与接入点关联成功,工作站就可以

开始进行802.1X帧交换过程,尝试取得授权。802.1X认证交换和秘钥分配完成后,用户就会收到接口已经启用的

消息。本例一Radius为后端认证服务器,认证过程如下图所示:


802.1X用户身份验证过程_第1张图片


1、申请者关联至802.11网络。

2、申请者发送一个EAPOL-Start帧,开始进行802.1X帧交换过程,这个过程并非必要的,并不是所有申请者都要发送EAPOL-Start帧,因此可能没有这个步骤。

3、EAP帧交换过程开始,认证者(接入点)发送一个EAP-Request/Identity帧。如果接入点只为已经认证成功的关联转送此帧,发送Request/Identity帧之前可能就没有EAPOL-Start帧。主动发送EAP-Request/Identity帧用来指示申请者必须进行802.1X认证。

4、申请者以Response/Identity帧进行回复,此帧随后被转为Radius-Access-Request帧发送给认证服务器。

5、Radius服务器判断需要使用哪个类型的认证,并且在发送的EAP-Request中指定认证方式,EAP-Request被封装于Radius-Access-Challenge封包中发送给接入点。接入点收到封包后将EAP-Request发送给申请者,EAP-Request通常会被表示为EAP-Request/Method,其中Method表示认证所使用的方法。如果目前使用的是PEAP,则返回的封包将以EAP-Request/PEAP表示。

6、申请者从用户方面取得响应,然后返回EAP-Response,认证者会将此响应转换为Radius-Access-Request封包,针对质询信息所做的响应则存放于数据字段中。

步骤5和步骤6不断重复进行,知道认证完成为止。如果使用的是需要交换证书的EAP认证方式,免不了需要多次重复这些步骤。有些EAP交换可能需要在客户端与Radius服务器之间反复进行10到20次。

7、既然Radius服务器发送一个Radius-Access-Accept封包允许对方访问网络,因此认证者会发送一个EAP-Success帧并且授权使用连接端口。访问权限也可以由Radius服务器所返回的参数决定。

8、收到Access-Accept封包后,接入点会立刻使用EAP-key帧将秘钥分配给申请者。

9、一旦申请者安装好秘钥,就可以开始传送数据帧来访问网络。DHCP配置通常会在此刻进行。

10、当申请者不再需要访问网络,就会送出一个EAPOL-logoff消息,使连接端口回复成未授权状态。


802.1X交换过程可以在任何时间点进行,用户并不需要发送EAPOL-Start消息来启动EAPOL交换过程。任何时刻,申请者都可以开始EAPOL交换过程,发送EAP-Request/Identity帧来更新认证数据。需要重新进行认证通常因为会话超时,此时必须更新秘钥。密钥交换帧只有在认证完成后才会传送,这样可以避免秘钥外泄。EAPOL-key帧也可以用来定期更新秘钥。

你可能感兴趣的:(802.1x,wifi)