802.1X认证过程

2024年4月26日发(作者：)

1.1.1 802.1X认证

IEEE 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和

密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不

提供实际的认证机制，需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP允许

无线终端支持不同的认证类型，能与后台 不同的认证服务器进行通信，如远程接入用户服

务(Radius)。

Bgate系列AC支持802.1X认证方式，这里以设备端PAE对EAP报文进行中继转发为例，IEEE

802.1X认证系统的基本业务流程如下图所示。

在WLAN网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。

设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge

进行加密处理并将处理后的信息返回设备端；设备端根据客户端返回的加密后的Challenge

以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。

客户端PAE

EAPOL

EAPOL-Start

EAP-Request/Identity

EAP-Response/Identity

EAP-Request/MD5 Challenge

EAP-Response/MD5 Challenge

EAP-Success

端口被授权

握手请求报文

[EAP-Request/Identity]

握手应答报文

[EAP-Response/Identity]

......

EAPOL-Logoff

端口非授权

握手定时器超时

RADIUS Access-Request

(EAP-Response/Identity)

RADIUS Access-Challenge

(EAP-Request/MD5 Challenge)

RADIUS Access-Request

(EAP-Response/MD5 Challenge)

RADIUS Access-Accept

(EAP-Success)

设备端PAE

EAPOR

RADIUS服务器

IEEE 802.1X认证系统的EAP方式业务流程

整个802.1x的认证过程可以描述如下

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送

给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送

给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的

Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由

RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失

败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果

认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获

取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

为了提高WLAN服务的数据安全性，IEEE 802.1X中使用了EAPOL-Key的协商过程，设备端

和客户端实现动态密钥协商和管理；同时通过802.1X协商，客户端PAE和设备端PAE协商相同

的一个种子密钥PMK，进一步提高了密钥协商的安全性。802.1X支持多种EAP认证方式，其中

EAP-TLS为基于用户证书的身份验证。EAP-TLS 是一种相互的身份验证方法，也就是说，客

户端和服务器端进行相互身份验证。在EAP-TLS 交换过程中，远程访问客户端发送其用户证

书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终断。

下图描述了EAP TLS认证方式过程：