802.1X用户身份验证过程

802.1X用户身份验证过程

802.1X为任何局域网，包括无线局域网提供了一个用户认证的框架，当工作站与接入点关联成功，工作站就可以

开始进行802.1X帧交换过程，尝试取得授权。802.1X认证交换和秘钥分配完成后，用户就会收到接口已经启用的

消息。本例一Radius为后端认证服务器，认证过程如下图所示：

1、申请者关联至802.11网络。

2、申请者发送一个EAPOL-Start帧，开始进行802.1X帧交换过程，这个过程并非必要的，并不是所有申请者都要发送EAPOL-Start帧，因此可能没有这个步骤。

3、EAP帧交换过程开始，认证者（接入点）发送一个EAP-Request/Identity帧。如果接入点只为已经认证成功的关联转送此帧，发送Request/Identity帧之前可能就没有EAPOL-Start帧。主动发送EAP-Request/Identity帧用来指示申请者必须进行802.1X认证。

4、申请者以Response/Identity帧进行回复，此帧随后被转为Radius-Access-Request帧发送给认证服务器。

5、Radius服务器判断需要使用哪个类型的认证，并且在发送的EAP-Request中指定认证方式，EAP-Request被封装于Radius-Access-Challenge封包中发送给接入点。接入点收到封包后将EAP-Request发送给申请者，EAP-Request通常会被表示为EAP-Request/Method，其中Method表示认证所使用的方法。如果目前使用的是PEAP，则返回的封包将以EAP-Request/PEAP表示。

6、申请者从用户方面取得响应，然后返回EAP-Response，认证者会将此响应转换为Radius-Access-Request封包，针对质询信息所做的响应则存放于数据字段中。

步骤5和步骤6不断重复进行，知道认证完成为止。如果使用的是需要交换证书的EAP认证方式，免不了需要多次重复这些步骤。有些EAP交换可能需要在客户端与Radius服务器之间反复进行10到20次。

7、既然Radius服务器发送一个Radius-Access-Accept封包允许对方访问网络，因此认证者会发送一个EAP-Success帧并且授权使用连接端口。访问权限也可以由Radius服务器所返回的参数决定。

8、收到Access-Accept封包后，接入点会立刻使用EAP-key帧将秘钥分配给申请者。

9、一旦申请者安装好秘钥，就可以开始传送数据帧来访问网络。DHCP配置通常会在此刻进行。

10、当申请者不再需要访问网络，就会送出一个EAPOL-logoff消息，使连接端口回复成未授权状态。

802.1X交换过程可以在任何时间点进行，用户并不需要发送EAPOL-Start消息来启动EAPOL交换过程。任何时刻，申请者都可以开始EAPOL交换过程，发送EAP-Request/Identity帧来更新认证数据。需要重新进行认证通常因为会话超时，此时必须更新秘钥。密钥交换帧只有在认证完成后才会传送，这样可以避免秘钥外泄。EAPOL-key帧也可以用来定期更新秘钥。