802.1x身份認證

這在早期企業網有線LAN套用環境下並不存在明顯的安全隱患。但是隨著移動辦公及駐地網運營等套用的大規模發展，服務提供者需要對用戶的接入進行控制和配置。尤其是WLAN的套用和LAN接入在電信網上大規模開展，有必 要對連線埠加以控制以實現用戶級的接入控制，802.lx就是IEEE為了解決基於連線埠的接入控制 (Port-Based Network Access Control) 而定義的一個標準。

IEEE 802.1X是根據用戶ID或設備，對網路客戶端(或連線埠)進行鑒權的標準。該流程被稱為“連線埠級別的鑒權”。它採用RADIUS(遠程認證撥號用戶服務)方法，並將其劃分為三個不同小組:請求方、認證方和授權伺服器。

802.1X 標準套用於試圖連線到連線埠或其它設備(如Cisco Catalyst交換機或Cisco Aironet系列接入點)(認證方)的終端設備和用戶(請求方)。認證和授權都通過鑒權伺服器(如Cisco Secure ACS)後端通信實現。IEEE 802.1X提供自動用戶身份識別，集中進行鑒權、密鑰管理和LAN連線配置。 整個802.1x 的實現設計三個部分，請求者系統、認證系統和認證伺服器系統。

請求者是位於區域網路鏈路一端的實體，由連線到該鏈路另一端的認證系統對其進行認證。請求者通常是支持802.1x認證的用戶終端設備，用戶通過啟動客戶端軟體發起802.1x認證，後文的認證請求者和客戶端二者表達相同含義。

認證系統對連線到鏈路對端的認證請求者進行認證。認證系統通常為支持802. 1x協定的網路設備，它為請求者提供服務連線埠，該連線埠可以是物理連線埠也可以 是邏輯連線埠，一般在用戶接入設備 (如LAN Switch和AP) 上實現802.1x認證。本文的認證系統、認證點和接入設備三者表達相同含義。

認證伺服器是為認證系統提供認證服務的實體，建議使用RADIUS伺服器來實現認證伺服器的認證和授權功能。

請求者和認證系統之間運行802.1x定義的EAPoL (Extensible Authentication Protocol over LAN)協定。當認證系統工作於中繼方式時，認證系統與認證伺服器之間也運行EAP協定，EAP幀中封裝認證數據，將該協定承載在其它高層次協定中(如 RADIUS)，以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時，認證系統終結EAPoL訊息，並轉換為其它認證協定(如 RADIUS)，傳遞用戶認證信息給認證伺服器系統。

認證系統每個物理連線埠內部包含有受控連線埠和非受控連線埠。非受控連線埠始終處於雙向連通狀態，主要用來傳遞EAPoL協定幀，可隨時保證接收認證請求者發出的EAPoL認證報文;受控連線埠只有在認證通過的狀態下才打開，用於傳遞網路資源和服務。

(1) 客戶端向接入設備傳送一個EAPoL-Start報文，開始802.1x認證接入;

(2) 接入設備向客戶端傳送EAP-Request/Identity報文，要求客戶端將用戶名送上來;

(3) 客戶端回應一個EAP-Response/Identity給接入設備的請求，其中包括用戶名;

(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，傳送給認證伺服器;

(5) 認證伺服器產生一個Challenge，通過接入設備將RADIUS Access-Challenge報文傳送給客戶端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入設備通過EAP-Request/MD5-Challenge傳送給客戶端，要求客戶端進行認證

(7) 客戶端收到EAP-Request/MD5-Challenge報文後，將密碼和Challenge做MD5算法後的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應給接入設備

(8) 接入設備將Challenge，Challenged Password和用戶名一起送到RADIUS伺服器，由RADIUS伺服器進行認證

(9)RADIUS伺服器根據用戶信息，做MD5算法，判斷用戶是否合法，然後回應認證成功/失敗報文到接入設備。如果成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權。如果認證失敗，則流程到此結束;

(10) 如果認證通過，用戶通過標準的DHCP協定 (可以是DHCP Relay) ，通過接入設備獲取規劃的IP位址;

(11) 如果認證通過，接入設備發起計費開始請求給RADIUS用戶認證伺服器;

(12)RADIUS用戶認證伺服器回應計費開始請求報文，用戶上線完畢。