智能移动终端设备的802.1X认证技术研究.pptVIP

智能移动终端设备的802.1X认证技术研究;pc终端认证; 项目的目标是实现移动终端的802.1x认证，让Android手机也能畅享校园无线宽带。 实现的思路是在Android平台上发送及接收802.1X的认证数据包，TPID值为0x888E，并对数据包进行相应的处理，提取服务器认证数据，比如服务器请求用户名请求、请求密码请求、下线命令、错误提示，以此实现认证。认证后,你的手机可以使用当地（校园）需要认证的Wifi上网。;3.技术路线和实现方案;3.1 802.1X网络认证原理;3.1.2 802.1X认证的体系结构;请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1X认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。 认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备(如LAN Switch和AP)上实现802.1X认证。后文的认证系统、认证点和接入设备三者表达相同含义。 认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。 ;系统的工作流程： 请求者和认证系统之间运行802.1X定义APEO(Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。;3.1.3 认证工作过程 基于802.1X的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用EAP-MD5认证方法。基于EAP-MD5的802.1X认证流程如下图所示：;图3-2 EAP-MD5的802.1X认证流程图;认证步骤： (1).客户端向接入设备发送一个EAPOL-Start 报文，开始802.1X 认证接入； (2).接入设备向客户端发送EAP-Request/Identity 报文，要求客户端将用户名送上来； (3).客户端回应一个EAP-Response/Identity 给接入设备的请求，其中包括用户名； (4).接入设备将EAP-Response/Identity 报文封装到RADIUSAccess．Request 报文中，发送给认证服务器； (5).认证服务器产生一个Challenge，通过接入设备将RA DIUSAccess—Challenge 报文发送给客户端，其中包含有EAP-Request/MD5-Challenge； (6).接入设备通过EAP-Request/MD5-Challenge 发送给客户端，要求客户端进行认证； (7).客户端收到EAP-Request/MD5-Challenge 报文后，将密码和Challenge 做MD5 算法后的Challenged-Password; ，在EAP-Response/MD5-Challenge 回应给接入设备； (8).接入设备将Challenge，Challenged Password 和用户名一起送到RADIUS 服务器，由RADIUS 服务器进行认证； (9).RADIUS 服务器根据用户信息，做MD5 算法，判断用户是否合法，然后回应认证成功\失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束； (10).如果认证通过，用户通过标准的DHCP 协议(可以是DHCPRelay)，通过接入设备获取规划的IP 地址； (11).如果认证通过，接入设备发起计费开始请求给RADIUS 用户认证服务器； (12).RADIUS 用户认证服务器回应计费开始请求报文。用户上线完毕。