802.1X认证原理

802.1X认证原理

简介

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。

如图1所示，802.1X系统为典型的Client/Server结构，包括三个实体：终端、RADIUS客户端和RADIUS服务器。

图1 802.1X认证系统示意图

 终端是位于局域网段一端的一个实体，由该链路另一端的接入控制设备（RADIUS客户端）对其进行认证。终端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN），用户可以在终端通过AnyOffice或者自带802.1X客户端发起认证。

接入控制设备是位于局域网段一端的另一个实体，对所连接的终端进行认证。接入控制设备通常为支持802.1X协议的交换机或AC，为终端提供接入局域网的接口。

RADIUS服务器是为接入控制设备提供认证服务的实体。RADIUS服务器用于对用户进行认证、授权和计费，Agile Controller-Campus的SC包含RADIUS服务器。

认证流程

使用操作系统自带802.1X客户端和AnyOffice的802.1X认证流程分别如图2和图3所示，主要区别在于使用AnyOffice的终端除在RADIUS服务器上下线外还需在AuthServer（Agile Controller-Campus服务器的另一模块）上下线，用于终端管理。

图2 802.1X认证流程（操作系统自带802.1X客户端）

上线流程：

（1）用户发起认证请求，向RADIUS客户端发送帐号和密码。

（2）RADIUS客户端根据获取到的帐号和密码，向RADIUS服务器发送认证请求（Access-Request），其中密码在共享密钥的参与下进行加密处理。

（3）RADIUS服务器对帐号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受报文（Access-Accept）；如果认证失败，则返回认证拒绝报文（Access-Reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

（4）RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文（Accounting-Request）。

（5）RADIUS服务器返回计费开始响应报文（Accounting-Response），并开始计费。

Agile Controller-Campus作为RADIUS服务器不支持计费功能，通过计费报文判断用户是否在线，计费报文的发送周期在接入控制设备和Agile Controller-Campus上必配且必须一致。

开始计费后将用户同时加入RADIUS客户端和RADIUS服务器的在线用户列表，用户访问网络资源时在RADIUS客户端的在线用户列表查找用户信息，如果存在则无需再次认证。

（6）用户根据授权开始访问网络资源。

1、用户主动下线流程：

2、用户执行注销操作，请求下线。

3、RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文（Accounting-Request）。

    RADIUS服务器返回计费结束响应报文（Accounting-Response），并停止计费。

    说明：

    停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。

4、用户访问结束。

管理员在Agile Controller-Campus上强制用户下线流程：

（1）RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM（Disconnect Message）-Request，该报文中包含Session ID、帐号和终端IP地址等信息。

（2）RADIUS客户端根据DM-Request报文中的信息查找在线用户列表，将符合条件的用户下线，并向RADIUS服务器发送下线成功响应报文DM-ACK。

（3）RADIUS客户端向RADIUS服务器发送计费停止请求报文（Accounting-Request）。

（4）RADIUS服务器返回计费结束响应报文（Accounting-Response），并停止计费。

    说明：

    停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。

（5） 用户访问结束。

图3 802.1X认证流程（AnyOffice）

用户使用AnyOffice上线时，在RADIUS服务器上线成功后自动在AuthServer上线，无需再发送帐号密码验证。

用户执行注销操作时，首先在SC服务器的AuthServer下线，然后再从RADIUS服务器下线。

管理员强制下线时，用户同时在RADIUS服务器和AuthServer下线。

802.1X认证流程与DHCP流程关系

在使用DHCP服务器给用户终端动态分配IP地址的网络中，用户终端需要首先通过DHCP服务器获得IP地址，然后再发起802.1X认证流程。

即用户终端接入网络后首先获得IP地址，但没有网络访问权限，只有经过802.1X认证后才会获得相应授权。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html