802.1x认证过程

802.1x认证过程

 

典型的认证会话流程 (5) 认证服务器收到 RADIUS Access-Request 报文后，将用户 ID 提取出来在数据库中进行查找。如果找不到该用户 ID ，则直接丢弃该报文；如果该用户 ID 存在，认证服务器会提取出用户的密码等信息，用一个随机生成的加密字进行 MD5 加密，生成密文。同时，将这个随机加密字封装在一个 EAP-Challenge Request 报文中，再将该 EAP 报文封装在 RADIUS Access-Challenge 报文的 EAP-Message 属性中发给 Authenticator 。 (6)  Authenticator 收到 RADIUS Access-Challenge 报文后，将封装在该报文中的 EAP-Challenge Request 报文发送给 Supplicant 。 (7)  Supplicant 用认证服务器发来的随机加密字对用户名密码等信息进行相同的 MD5 加密运算生成密文，将密文封装在一个 EAP-Challenge Response 报文中发给 Authenticator 。 (8)  Authenticator 收到 EAP-Challenge Response 报文后，将其封装在一个 RADIUS Access-Request 报文的 EAP-Message 属性中发给认证服务器。 (9) 认证服务器拆开封装，将 Supplicant 发回的密文与自己在第（ 5 ）步中生成的密文进行对比。如果不一致，则认证失败，服务器将返回一条 RADIUS Access-Reject 信息，同时保持端口关闭状态；如果一致，则认证通过，服务器将一条 EAP-Success 消息封装在 RADIUS Access-Accept 报文的属性中发送给 Authenticator 。 (10)  Authenticator 在接到认证服务器发来的 RADIUS Access-Accept 之后，将端口状态更改为 “ 已授权 ” ，同时将 RADIUS Access-Accept 中的 EAP-Success 报文拆出来发送给 Supplicant 。 (11)  Authenticator 向认证服务器发送一个 RADIUS Accounting-Request （ Start ）报文，申请开始计账。 (12) 认证服务器开始记账，向 Authenticator 返回 RADIUS Accounting-Response 报文。 (13) 用户下线时， Supplicant 向 Authenticator 发送 EAPOL-Logoff 报文。 (14)  Authenticator 向认证服务器发送 RADIUS Accounting-Request （ Stop ）请求。 (15) 认证服务器收到 Authenticator 送来的停止记账请求后停止记账，同时发送一条 RADIUS Accounting-Response 响应。 (16) Authenticator 发送一条 EAPoL Failure 消息给 Supplicant ，同时将端口状态置为 “ 未授权 ” 。