IEEE 802.1x协议及应用.ppt

:::RemoteAuthenticationDialInUserService,远程用户拨号认证系统,可以简单将其理解成一个存储有用户的用户名密码的服务器,能够对一些查询进行响应,从而得知用户是否合法【RFC2865】【RFC2866】EAP:ExtentionalAuthenticationProtocol,可扩展的认证协议,这是一个能够为没有接入网络的设备提供认证及网络接入的服务,工作于OSI七层模型中的数据链路层。之所以称其为“可扩展的”,是因为协议只是规定了一个框架,允许企业根据实际需要自行定制,但是它要求企业自己的标准符合IEEE标准中对于安全性的要求【RFC3748】EAPOL:EAPOverLAN,:DenialOfService,拒绝服务攻击。这是一个很广泛的概念,通常认为使服务不能正常完成的攻击都是DOS,譬如一群流氓要使一位客户不能在餐馆正常吃饭,那么他们可以伪装成老板告诉客户餐馆打烊,踢馆让餐馆瘫痪,伪装成老板收钱,阻止服务员上菜,等等,都可以成为拒绝服务攻击。【2001】。它能够提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。,又称EAPOE认证,因为这个协议依赖于EAP实现通常,、、:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备,譬如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入的设备,譬如以太网交换机或者无线接入点;认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口:受控端口和非受控端口,非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。这种方式可以通过某些方法实现,譬如防火墙。,EAPOL报文在认证方那里封装成EAP报文送往认证服务器,所以认证方与认证服务器之间传送的则是真正的EAP报文,EAP报文这时可以被进一步通过其它报文封装,譬如TCP/UDP,,请求方与认证方之间传送的是EAPOL报文,认证方与认证服务器之间传送的是EAP报文,。Type字段固定为0x888E,目前协议版本为1。定义的packettype有如下几种:ØType=0EAP-packer:认证信息帧,用于承载认证信息;ØType=1EAPOL-Start:认证发起帧,由客户端主动发起的;ØType=2EAPOL-logoff:推出请求帧,主动终止已认证状态;ØType=3EAPOL-key:密钥信息帧,支持对EAP报文的加密;Packetbodylength和packetbody则由