EAP-MD5与EAP-PEAP的认证流程

EAP-MD5：

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始8021x认证接入；

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来；

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名；

(4) 接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中，发送给认证服务器；

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUSAccess-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备；

(8) 接入设备将Challenge，ChallengedPassword和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证；

(9) RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束；

(10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCPRelay)，通过接入设备获取规划的IP地址；

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器；

EAP-PEAP：

(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

EAP-PEAP：

（1）TLS 握手阶段

申请者向认证者发送EAPOL-Start 帧，启动8021x 认证流程。认证者向申请者发送

EAP-Request/Idnetity消息，要求申请者提供自己的身份。申请者发送EAP-Response/Identity

消息给认证者，消息中的Identity 域存放用户的网络访问标识符（Network Access Identifier，

NAI），一般为用户名@域名的形式。认证者将此EAP 消息通过RADIUS 协议封装后，转

发给认证服务器。认证服务器开始PEAP 认证，发送EAP-Request/PEAP/Start 消息给认证者，

认证者将其转发给申请者。这时开始TLS 握手过程，建立TLS 隧道。

申请者发送 EAP-Response/Clint_Hello 消息发送给认证者，Client_Hello 握手消息包含

TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法（为NULL）。

认证者将EAP 消息转发给认证服务器。认证服务器从Client_Hello 消息中的密码算法套件挑

选出自己支持的一组密码算法，连同服务器端随机数、会话ID、压缩算法组成Server_Hello

消息。Server_Hello、服务器端证书、Server_Key_Exchange 和Server_Hello_Done消息被封

装到EAP 消息中发送给认证者，认证者转发这个EAP 消息给申请者。申请者收到后验证服

务器的数字证书，并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和

Finisisd 消息。认证服务器接收到认证者发来的EAP 消息后，验证Finished 消息的正确性，

并回复自己的Change_Cipher_Spec 和Finished 消息给申请者。申请者收到认证服务器的消

息后校验Finished 消息，并发送一个空响应给认证服务器来进行第二阶段认证。此时申请者

和认证服务器协商都推导出会话密钥，从而建立了一个加密隧道，为接下来的第二阶段EAP

认证提供机密性和完整性服务。

（2）隧道阶段

利用 TLS 记录层协议，认证服务器初始化一个新的EAP 认证。新的交换过程根据具体

EAP 认证方法的要求，完成对申请者身份的认证。值得注意的是，当这一阶段认证方法结

束之后，在隧道内认证服务器和申请者会互相发送一个EAP-TLV/ Result-TLV 数据包来揭示

认证的结果。最后认证服务器根据第二阶段EAP 方法的认证结果，发送给认证者和申请者

的EAP-Success 或EAP-Failure 消息，整个PEAP 认证过程结束。

在公共场所通常我是不推荐使用公共WIFI的，因为现在很多路由都可以装商业插件，或是商业WIFI产品，他们都可以手机用户的个人信息。在这种情况下是非常容易泄露隐私的。如果某人在路由上做了手脚，他是可以监控你所有 *** 作的，甚至拦截你的各种数据信息，这对隐私而言已经没有什么安全可言了。甚至可以直接往你手机上移植木马。可能你会说哪有这么多高手，但我要告诉你的是，100次你遇到1次，你就有可能损失惨重，切忌公共WIFI 不要 *** 作重要软件。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch)就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

基本原理 IEEE 8021X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。

8021X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 8021X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个8021x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。

请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持8021x认证的用户终端设备，用户通过启动客户端软件发起8021x认证，后文的认证请求者和客户端二者表达相同含义。

认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802 1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现8021x认证。倎文的认证系统、认证点和接入设备三者表达相同含义。

认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。

请求者和认证系统之间运行8021x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

认证过程

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始8021x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

一种在以太网无源光网络上实现ＩＥＥＥ８０２．１ｘ用户端口认证的方法，其特征在于，包括如下步骤：步骤１ＯＬＴ运行标准的ＲＡＤＩＵＳ客户端模块，ＯＮＵ运行标准的ＩＥＥＥ８０２．１ｘ模块，用户ＰＣ机上运行标准的ＩＥＥＥ８０２．１ｘ模块；步骤２用户从ＰＣ机上拨号，拨号程序发出ＥＡＰｏＬ开始报文，触发ＯＮＵ认证模块开始工作；或者当ＯＮＵ检测到以太网端口的状态从非激活态变迁到激活态时，ＯＮＵ主动触发认证过程；步骤３ＯＮＵ的认证模块与用户ＰＣ机交互ＩＥＥＥ８０２．１ｘ的协议过程，获取用户信息；步骤４ＯＮＵ将包括用户信息在内的用户认证的相关信息封装在自定义的ＯＡＭ报文，通过ＯＡＭ通道发送给ＯＬＴ；步骤５ＯＬＴ收到报文后，将该报文转交给ＲＡＤＩＵＳ客户端模块，ＲＡＤＩＵＳ客户端模块将该报文内容组成标准的ＲＡＤＩＵＳ报文发送给ＲＡＤＩＵＳ服务器，请求鉴别用户的合法性；ＲＡＤＩＵＳ服务器根据数据库内存贮的用户鉴权信息，完成用户的合法性鉴别工作，然后将鉴权结果通过标准ＲＡＤＩＵＳ报文返回给ＲＡＤＩＵＳ客户端模块；步骤６ＯＬＴ的ＲＡＤＩＵＳ客户端模块接收到鉴权结果后，将其组成标准的ＥＡＰｏＬ报文格式，通过ＯＡＭ通道发送给ＯＮＵ；ＯＮＵ的ＩＥＥＥ８０２．１ｘ模块检查鉴权结果，如果成功，则打开ＯＮＵ的端口，允许所有用户报文通过ＯＮＵ的端口，如果失败，则保持端口关闭状态即可。

以上就是关于EAP-MD5与EAP-PEAP的认证流程全部的内容，包括:EAP-MD5与EAP-PEAP的认证流程、公共场所连接wifi热点，会不会泄露隐私、关于局域网的身份认证技术有哪些可行方案等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！