基于802.1X和DFW的网络安全研究及NAC系统的设计与(21)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

图2-5 802.1X认证流程

1)客户端向接入设备发送一个EAPoL-Start报文，开始802.1X认证接入；

2)接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来；

3)客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名；

4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器；

5)认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；

6)接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；

7)客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回应给接入设备；

8)接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证：

9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。