- 当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求报文(EAPoL-Start),开始启动一次认证过程。
- 设备端收到认证请求报文后,将发出一个Identity类型的请求报文(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
- 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应报文(EAP-Response/Identity)发送给设备端。
- 设备端将客户端发送的响应报文中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
- RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
- 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
- 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
- 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
- RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
- 设备收到认证通过报文后向客户端发送认证成功报文(EAP-Success),并将端口改为授权状态,允许用户通过该端口访问网络
| 802.1x认证过程及EAPOL帧格式 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 22 | FA | F5 | 58 | 38 | 88 | 8e | 01 | 01 | ||||||||
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 对标注的解释 | ||||||||||||||||||||||||
| 解释 | A | 目的地址MAC地址,一般为广播地址:01-80-c2-00-00-03 | ||||||||||||||||||||||
| B | 源MAC地址 | |||||||||||||||||||||||
| C | 帧类型。EAPol帧为0x888e。 | |||||||||||||||||||||||
| D | 协议版本,固定为0x01。 | |||||||||||||||||||||||
| E | 报文类型。取值为:①、EAPOL-Packet : 0x00 ②、EAPOL-Start: 0x01 ③、EAPOL-Logoff: 0x02 | |||||||||||||||||||||||
| F | 帧长度。 | |||||||||||||||||||||||
| G | EAP通信类型。取值:①、EAP-Request: 0x01 ②、EAP-Resopnse: 0x02 ③、EAP-Success: 0x03 ④、EAP-Failure: 0x04 | |||||||||||||||||||||||
| H | EAP通信id。通常由服务器发来的报文指定,在连续的报文内使用这个id来协商或者计算MD5值的数据之一。 | |||||||||||||||||||||||
| I | EAP数据长度。 | |||||||||||||||||||||||
| J | EAP协商类型。取值: ①、Identity: 0x01 ②、MD5_Challenge: 0x04 | |||||||||||||||||||||||
| K | EAP扩展数据。 | |||||||||||||||||||||||
| 认证过程(详细数据包如下) | ||||||||||||||||||||||||
| 1、 | 主机向服务器(多播或广播地址)发送EAPOL-Start。 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-1E-90-76-A1-40。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 1E | 90 | 76 | A1 | 40 | 88 | 8e | 01 | 01 | 00 | 00 | ||||||
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 主机向服务器发送的帧数据为:01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-01-00-00 | ||||||||||||||||||||||||
| 2、 | 服务器向主机发送EAP-REQUEST-Identity要求验证身份的请求。 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-21-D7-16-B0-18。数据长度一般为60字节。假设通信ID为0C。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 21 | D7 | 16 | B0 | 18 | 88 | 8e | 02 | 00 | 00 | 05 | 01 | 0C | 00 | 05 | 01 | 00…… |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 服务器返回的数据为:01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-05-01-0C-00-05-01-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | ||||||||||||||||||||||||
| 3、 | 主机向服务器发送EAP-RESPONSE-Identity回应。 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-1E-90-76-A1-40。数据长度为28字节。通信ID为:05,用户名为:cdzq,其ASCII码(十六进制)为:63,64,7A,71。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 1E | 90 | 76 | A1 | 40 | 88 | 8e | 01 | 00 | 00 | 09 | 02 | 0C | 00 | 09 | 01 | 63 64 7A 71 |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 主机向服务器发送的帧数据为:01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-00-00-09-02-0C-00-09-01-63-64-7A-71 | ||||||||||||||||||||||||
| 4、 | 服务器向主机发送EAP-REQUEST-MD5_Challenge要求验证密码的MD5校验值 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-21-D7-16-B0-18。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 21 | D7 | 16 | B0 | 18 | 88 | 8e | 02 | 00 | 00 | 19 | 01 | 0D | 00 | 19 | 04 | 10…… |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 服务器返回的数据为:01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-19-01-0D-00-19-04-10-B4-9E-26-95-F3-A5-D9-AA-E8-26-A8-8B-FB-F3-CB-01-56-52-56-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | ||||||||||||||||||||||||
| 5、 | 主机向服务器发送EAP-RESPONSE-MD5_Challenge回应 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-1E-90-76-A1-40。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 1E | 90 | 76 | A1 | 40 | 88 | 8e | 01 | 00 | 00 | 1A | 02 | 0D | 00 | 1A | 04 | 10…… |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 主机向服务器发送的帧数据为: 01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-00-00-1A-02-0D-00-1A-04-10-F4-21-36-9A-CA-26-DD-24-BC-79-D3-C2-20-D9-D4-C2-63-64-7A-71 | ||||||||||||||||||||||||
| 6、 | 服务器向主机发送EAP-Success。 | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-21-D7-16-B0-18。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 21 | D7 | 16 | B0 | 18 | 88 | 8e | 02 | 00 | 00 | 04 | 03 | 0D | 00 | 04 | 00 | 00…… |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 服务器返回的数据为:01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-04-03-0D-00-04-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | ||||||||||||||||||||||||
| 9、 | 服务器向主机发送EAP-Failure。(若认证失败时发送的数据,例如密码错。) | |||||||||||||||||||||||
| 构造的帧。假设源地址为:00-21-D7-16-B0-18。 | ||||||||||||||||||||||||
| 帧号 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23…… |
| 内容示例 | 01 | 80 | c2 | 00 | 00 | 03 | 00 | 21 | D7 | 16 | B0 | 18 | 88 | 8e | 02 | 00 | 00 | 04 | 04 | 0F | 00 | 04 | 00 | 00…… |
| 说明 | 目的MAC(固定) | 源MAC | 帧类型 (固定) |
协议版本 | 报文类型 | 帧长度 | 通信类型 | EAP通信 id |
EAP数据长度 | EAP协商类型 | EAP数据 | |||||||||||||
| 标注 | A | B | C | D | E | F | G | H | I | J | K | |||||||||||||
| 以太网帧 | Ethernet-Header | EAPol特有 | ||||||||||||||||||||||
| 服务器返回的数据为:01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-04-04-0F-00-04-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | ||||||||||||||||||||||||
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/96520.html
