基于802.1X和DFW的网络安全研究及NAC系统的设计与(16)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

采用此种认证类型时，客户端用户使用SIM卡(GSM Subscriber Identity Module)与无线局域网认证服务器进行互认证以及密钥分发，通过使用EAPJSIM认证，GSM网络的SIM卡用户就可以接入WLAN的高速无线数据通信业务.

2.2.3 EAP的认证过程

一个典型的EAP认证的过程分为:Request, Response, success或failure阶段，每一个阶段的报文传送都由Information域所携带的EAP报文来承担。EAP认证过程简述如下[27]:

1)在链路建立阶段完成后，认证系统发送一个或多个请求(Request)数据包来对 对方进行认证，该数据包有一个类型域表明请求的类型。典型情况下，认证系统将发送一个最初的Identity请求，然后是一个或多个请求认证的Request。

2)客户端发送一个响应(Response)数据包对每一个请求(Request)做出应答。对应于每一个Request数据包，Response数据报包含一个type域，与Request中的type域对应。

3)认证系统发送一个成功(Success)或失败(Failure)数据包结束认证阶段。

2.3 RADIUS协议

2.3.1 RADIUS协议数据包格式

RADIUS即远程认证拨号用户服务（Remote Authentication Dial In User Service）协议，具有如下几个特点[23]：

● 客户机/服务器模型

客户端的任务是把用户信息(用户名，口令等)传给指定的RADIUS服务器并接受服务器的响应。RADIUS服务器的任务主要是:接受用户的连接请求，对用户身份进行认证，返回用户接入网络的所有配置信息。

● 网络安全

客户端和RADIUS服务器之间的交互经过了共享保密字的认证。此外，为防 止他人经过传输线路获得用户口令，在传输过程中对口令进行了加密。

● 灵活的认证机制

RADIUS服务器支持多种认证方法。当用户提供用户名和口令时，它可以支持PAP,CHAP,UNIX登录和其他认证方式。

● 协议的可扩展性

所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属