基于802.1X和DFW的网络安全研究及NAC系统的设计与(19)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

－Authenticator＝

HMAC－MD5（Code+Idenfier+Length+Request Authenticator+Attributes）。

在Access-Challenge、Access-Reject、Access-Accept包中，计算方法同上，区别在于Authenticator域用先前受到的Access－Request包中的Request Authenticator代替，等计算完Message Authenticator，再进行Response Authenticator的计算。通过这个属性，服务器和客户端可以相互验证数据包，在EAP认证过程中保护有用信息，提供更好的安全性。

2.4 802.1X协议的报文格式

802.1X协议采用EAP协议在客户端、认证系统和认证服务器之间进行通信，

从而完成以太网端口的认证过程。其中客户端与认证系统之间的通信采用EAPOL,认证系统与认证服务器之间的通信采用EAP/RADIUS。他们都是EAP协议的扩展应用[28]。下面简要描述EAPOL协议与EAPORADIUS协议。

2.4.1 EAPOL报文格式

EAPOL协议的报文格式如图2-4所示，其中：

图2-4 EAPOL报文格式

PAE Ethernet Type包含PAE使用的以太网类型值，802.1X分配的协议类型为

0X888E。

Protocol Version指定EAPOL发送方所支持的EAPOL协议版本号。

Packet Type指明当前EAPOL帧的类型。802.l x共定义了五种包类型:

1)EAPOL-Packet:认证信息帧，其值为0000 0000，用于承载认证信息;

2)EAPOL-Start:认证发起帧，其值为0000 0001,Supplicant和Authenticator

均可发起;

3)EAPOL-Logoff:退出请求帧，其值为0000 0002,用户可主动终止己认证状态;