校园网客户端认证使用EAPOL协议
2013-11-02 11:03
295 查看
66
![](http://baike.baidu.com/static/lemma/view3/img/icon/share_4088b1af.gif)
19
EAPOL
EAP是Extensible Authentication Protocol的缩写。
EAP是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网。EAP是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。这些机制被叫做EAP方法,现在大约有40种不同的方法。IETF的RFC中定义的方法包括:EAP-MD5,
EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 还包括一些厂商提供的方法和新的建议。[1]
EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。
EAPOL是基于802.1X网络访问认证技术发展而来的。
802.1X 的实现设计三个部分,请求者系统、认证系统和认证服务器系统。因此EAPOL也是。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如
RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
整个802.1X的认证过程可以描述如下
(1)
客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)
接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)
接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
![](http://baike.baidu.com/static/lemma/view3/img/icon/share_4088b1af.gif)
19
EAP是Extensible Authentication Protocol的缩写。
EAP是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网。EAP是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。这些机制被叫做EAP方法,现在大约有40种不同的方法。IETF的RFC中定义的方法包括:EAP-MD5,
EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 还包括一些厂商提供的方法和新的建议。[1]
EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。
EAPOL是基于802.1X网络访问认证技术发展而来的。
802.1X 的实现设计三个部分,请求者系统、认证系统和认证服务器系统。因此EAPOL也是。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如
RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
整个802.1X的认证过程可以描述如下
(1)
客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)
接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)
接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
相关文章推荐
- 在linux下使用 校园网认证拨号客户端 v1.1 上网
- UDP协议服务器、客户端使用实例Demo
- 使用 acl 较为底层的 HTTP 协议库写 HTTP 下载客户端举例
- ONVIF协议网络摄像机(IPC)客户端程序开发(9):鉴权(认证)
- mysql用户认证协议更换(mysql使用问题)
- java使用UDP协议进行服务器客户端通信
- Gentoo Linux--校园网(802.1x)拨号认证客户端解决方案
- 关于如何在ubuntu下校园网使用神州数码客户端上网?
- ONVIF协议网络摄像机(IPC)客户端程序开发(2):第一次使用IPC摄像头
- ONVIF协议网络摄像机(IPC)客户端程序开发(9):鉴权(认证)
- 使用OAuth打造webapi认证服务供自己的客户端使用
- CAS 使用 HTTPS 单向认证方式 服务端和客户端配置
- 使用OAuth打造webapi认证服务供自己的客户端使用(二)
- loadunner使用socket协议来实现多客户端连接同一服务器脚本(使用到IP欺骗技术)
- 使用OAuth打造webapi认证服务供自己的客户端使用
- Visual C#使用PoP3协议构建客户端邮件接收程序
- 配置Tomcat使用https协议(单向认证)
- 校园网环境下在虚拟机中安装dr.com客户端并在认证联网后与主机共享网络使主机能连入外网的方法
- phpMyAdmin配置后总出现客户端不支持认证协议错误的原因
- 安装WinSSHD实现Windows下的SSH协议并配置信任Linux客户端,scp使用