802.1X协议介绍（认证）-ielab

1X的认证触发方式：

802.1X的认证流程既可以由客户端主动发起请求,也可以由设备端进行操作。设备支持采用以下两种方式进行认证触发:

1. 客户端主动触发方式

发起方通过向接收端传输 EAPOL-Start 报文来完成认证流程；该报文的目的 MAC 地址为 IEEE 802.1X 协议指定的组播地址：01-80-C2-00-00-03。

另外，在某些情况下因部分网络设备不支持上述组播报文的技术特性而无法正常工作时

2. 设备端主动触发方式

设备会定期通过间隔N秒（如30秒）主动发送EAP-Request/Identity报文以触发认证流程；这种认证机制特别适用于那些无法主动发起EAPOL-Start报文的情况（如Windows XP内置的802.1X客户端）。

802.1X的认证过程

802.1X系统采用了EAP中继模式和终端模式与远方的RADIUS服务器进行交互以实现认证流程。对于这两种认证流程的具体描述我们主要从客户端发起认证请求的角度展开阐述。

第一部分：
这种机制源自IEEE 802.1X标准规定它通过将EAP协议嵌入到其他高层协议框架内例如在RADIUS之上实现了对认证数据的扩展传输从而克服了复杂网络环境中的障碍一般而言为了使这种机制得以生效RADIUS服务器必须具备相应的属性配置即提供用于封装认证数据包的字段以及保护已封装数据包的功能

认证流程如下：
当用户存在网络接入需求时打开802.1X客户端应用程序，在已注册的账号信息中输入用户名和密码进行身份验证请求（EAPOL-Start报文）。此时客户端将向设备端发送身份认证请求包（EAPOL-Start报文），开始执行一次完整的认证流程。

当设备接收到来自客户端的身份认证数据帧时

(3)客户端程序接收到设备端发出的请求，并将用户名信息通过数据帧（EAP-Response/Identity报文）传递给设备端。设备端接收封包处理后的数据帧（RADIUS Access-Request报文）被传递给认证服务器进行处理。

当RADIUS服务器接收到来自网络控制器的数据链路层分发器传输过来的用户名称信息后,系统会将其与本地存储的用户名表进行比对,从而查询到对应用户的密码信息.随后系统会采用一个随机产生的序列号对该密码信息进行加解密处理,并将此序列号嵌入到RADIUS Access-Challenge协商报文中发送至数据链路层分发器,后者则将其转发至客户端.
当客户端接收到数据链路层分发器传输回来的带有序列号的Access-Challenge协商报文后,系统会利用这个序列号对其所持密码部分进行加解密操作（这种加解密算法通常是不可逆的操作）,随后生成新的Access-Response协商报文并将其传递回数据链路层分发器.

RADIUS服务器接收并处理来自客户端的已加密的密码信息（RADIUS Access-Request报文），并将处理结果与本地经过加密运算后的密码信息进行比对。如果两者匹配，则确认该用户身份为合法用户，并发送成功认证结果（RADIUS Access-Accept报文和EAP-Success报文）。

当设备接收到认证成功的消息后，在这一阶段内，在线监控过程中实时跟踪用户的在线状态。通常情况下，在等待双方建立通信连接的过程中（即等待双方发送初始握手报文），若两次发起的握手请求报文中没有得到客户端的有效回应，则系统会主动发起重试请求，并在三次重试均未成功后触发强制断网操作。这样做的目的是为了确保一旦出现突发异常事件导致用户断网的情况发生时能够及时发现并采取应对措施。

客户端同样可以向设备端传输EAPOL-Logoff报文以实现 logout 请求。设备端将该端口的状态设置为非授权状态，并相应地返回EAP-Failure报文。

2. EAP终结方式

此方案实现了EAP报文从设备端到RADIUS报文的转换，并基于标准的RADIUS协议完成了身份验证、权限管理及费用计算功能。设备端与RADIUS服务器之间的通信可选用PAP或CHAP认证方法。

    EAP终结方式与EAP中继方式的认证流程相比，不同之处在于用来对用户密码信息进行加密处理的随机加密字由设备端生成，之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器，进行相关的认证处理。