wpa认证流程
时间: 下载该word文档
1.1.1802.1X认证
IEEE802.1x是一种基于端口的网络接入控制技术,该技术提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。IEEE802.1x本身并不提供实际的认证机制,需要和上层认证协议(EAP配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型,能与后台不同的认证服务器进行通信,如远程接入用户服务(Radius。
Bgate系列AC支持802.1X认证方式,这里以设备端PAE对EAP报文进行中继转发为例,IEEE802.1X认证系统的基本业务流程如下图所示。
在WLAN网络中,WLAN客户端Station为客户端PAE,提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端;客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返回设备端;设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断,设备端完成对客户端的单项认证。
>>>>>客户端PAE
EAPOLEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-Response/MD5Challenge
EAP-Success
端口被授权
握手请求报文
[EAP-Request/Identity]握手应答报文
[EAP-Response/Identity]
......
EAPOL-Logoff
端口非授权
握手定时器超时
RADIUSAccess-Request(EAP-Response/IdentityRADIUSAccess-Challenge(EAP-Request/MD5ChallengeRADIUSAccess-Request(EAP-Response/MD5Challenge
RADIUSAccess-Accept
(EAP-Success
设备端PAE
EAPOR
RADIUS服务器
IEEE802.1X认证系统的EAP方式业务流程
整个802.1x的认证过程可以描述如下
(1客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;
(5认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证(7客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay,通过接入设备获取规划的IP地址;
(11如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
为了提高WLAN服务的数据安全性,IEEE802.1X中使用了EAPOL-Key的协商过程,设备端和客户端实现动态密钥协商和管理;同时通过802.1X协商,客户端PAE和设备端PAE协商相同的一个种子密钥PMK,进一步提高了密钥协商的安全性。802.1X