基于802.1X和DFW的网络安全研究及NAC系统的设计与(15)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

在接收时应该被忽略掉。

Data域为0个或者多个字节，Data域的格式由Code的值来决定。

Success和Failure类型的包没有Data域，相应的Length域的值为4;

Request和Response类型的包的格式为“Type(类型)－Type Data（类型数据）”。Type为一个字节，指出具体的EAP数据包类型，已经定义的部分Type如下：

1--Identity

认证者要求客户端发送用户名或者客户端应答给认证者用户名时使用该数据包类型;

2--Notification

认证者通过这种类型可以传递一个告知信息给客户端，客户端应当将该信息显示给用户或者将该信息存储于日志文件当中，客户端收到这种数据类型包应当回复一个相同的类型包，但Type Data不包含任何数据;

3--Nak (Response Only)

此种数据类型仅在应答包中存在。当客户端不支持认证者所要求的认证类型时，客户端就向认证者回复这种数据类型包，同时包含了客户端期望的认证类型;

4--MD5-Challenge;

这是一种类似PPP CHAP认证的认证类型，采用质询一应答的口令认证，认证算法使用MD5 (message-digest algorithm,信息一摘要算法)进行。认证者首先发送一个质询请求，客户端将口令通过MD5算法进行加密，然后将结果回复给认证者，认证者验证结果决定客户端能否通过认证;

5--One-Time Password (OTP)

一次性口令认证是基于用户名和口令的认证方式，该机制的最大优势是无需在网上传输用户的真实口令，也无需在服务器上存放日令，并且由于具有一次性的特点，可以有效防止重放攻击(Replay Attack)。值得注意的是，EAP-MD5和EAP-OTP都是单向认证机制，只能保证客户端到服务器的认证，并不保证服务器到客户端的认证。 13--TLS

既提供认证，又提供动态会话密钥分发。不但在无线客户端和服务器之间提供互相认证，还能提供数据完整性保护。所有的无线客户端以及服务器都需要事先申请一个标准的X.509证书并安装，在认证的时候客户端和服务器要相互交换证书。在交换证书的同时，客户端和服务器要协商出一个基于会话的密钥，一旦认证通过，服务器将会话密钥传给无线接入点并通知无线接入点允许该客户端使用网络服务。

18--Slid