802.1x------4

八.802.1X认证有三种方式

802.1X认证有三种方式：pap，chap和eap-md5,接下来分别介绍这三种方式

1．1 pap方式

如图2.1所示，首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务，交换机返回EAP-REQUEST/IDENTITY报文到用户终端，要求用户提供身份标识，用户终端返回EAP-RESPONSE/IDENTITY响应报文表示连接建立。然后交换机发送EAP-REQUEST/PAP报文通知用户使用PAP方式验证身份，用户终端发送EAP-RESPONSE/PAP报文到交换机，该报文中含有用户名S[lxm1] 。交换机根据来自用户终端的EAP-RESPONSE/PAP报文组装并发送ACCESS REQUEST报文到RADIUS 服务器。RADIUS服务器对用户进行认证，如果认证通过，返回ACCESS ACCEPT报文给交换机，由交换机完成相应操作以允许用户接入，同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

图2.1 使用PAP方式进行身份验证的过程

1.2 chap方式

如图2.2所示，首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务，交换机返回EAP-REQUEST/IDENTITY报文到用户终端，要求用户提供身份标识，用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后交换机生成challenge信息，并发送EAP-REQUEST/CHALLENGE报文通知用户使用CHAP方式验证身份，用户终端返回EAP-RESPONSE/MD5-CHALLENGE响应报文给交换机。交换机根据来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文组装并发送ACCESS REQUEST报文送到RADIUS 服务器。RADIUS服务器对用户进行认证，如果认证通过，返回ACCESS ACCEPT报文给交换机，由交换机完成相应操作以允许用户接入，同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

图2.2 使用CHAP方式进行身份验证的过程

1.3 eap-md5方式

如图2.3所示，首先用户终端向Hammer交换机发送EAPOL-START报文请求接入服务，交换机返回EAP-REQUEST/IDENTITY报文到用户终端，要求用户提供身份标识，用户终端回复EAP-RESPONSE/IDENTITY表示连接建立。然后由交换机发送ACCESS-REQUEST到RADIUS 服务器，RADIUS服务器生成challenge信息，并将ACCESS-CHALLENGE报文发送给交换机。接下来，交换机向用户终端发送EAP-REQUEST/CHALLENGE报文通知用户使用EAP-MD5方式验证身份，终端返回EAP-RESPONSE/MD5-CHALLENGE报文作为响应。交换机将来自用户终端的EAP-RESPONSE/MD5-CHALLENGE报文封装到ACCESS REQUEST报文中，并发送到RADIUS 服务器。RADIUS服务器对用户进行认证，如果认证通过，则返回ACCESS ACCEPT报文给交换机，由交换机完成相应操作以允许用户接入，同时发送EAP-SUCCESS报文到用户终端通知用户接入成功。

图2.3 使用EAP-MD5方式进行身份验证的过程

1.4 三种认证方式的区别

  由以上的介绍可以知道pap方式和chap方式的认证过程是一样的，和eap-md5方式不同。但pap方式和其他两种方式的区别在于pap方式向交换机发送的用户密码是明文的，但是交换机发送给认证服务器的用户密码时加密的，加密密钥是交换机与认证服务器之间的共享密钥[lxm2] ，而其他两种方式由于发送给交换机的用户密码是加密的，所以交换机发送给认证服务器的用户密码没有经过再次加密，三种方式的加密算法都是MD5算法。而chap方式和eap-md5方式的区别在于加密密钥获得的不同，chap方式的加密密钥是由交换机产生，并由EAP-REQUEST/CHALLENGE报文通知用户使用chap方式验证身份,并将密钥发送给用户，而eap-md5方式是由认证服务器产生，并通过ACCESS-CHALLENGE报文发送给交换机，然后交换机将密钥信息封装在EAP-REQUEST/CHALLENGE报文中发送给用户，并通知用户使用EAP-MD5方式验证身份，这也是eap-md5方式和其他两种方式报文交互过程不同的原因所在。

 [lxm1]？？应该只包含用户密码吧？

 [lxm2]此处可以加入radius加密的大概介绍，参照rfc2865中attribute type 2（User-Password）