MAC认证简介
定义:
MAC认证,即MAC地址认证,是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法。
优点:
- 用户不需要安装任何客户端软件
- MAC认证过程中,不需要手动输入用户名和密码
- 能够对不具备802.1X认证能力的终端进行认证,如打印机和传真机等哑终端。
认证系统:
MAC认证系统是典型的C/S架构,包括三个要素:终端、接入设备和认证服务器。
- 终端:尝试接入网络的设备
- 接入设备:是终端访问网络的网络控制节点,是企业安全策略的实施者,负责按照客户网络指定的安全测量也,实施相应的准入控制。(允许,拒绝,隔离或限制)。
- 认证服务器:用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能够拥有的网络访问权限。
用户名形式:
终端进行MAC认证的时候使用的用户名和密码需要在接入设备上预先进行配置,缺省情况下,终端进行MAC认证时使用的用户名和密码均为终端的MAC地址。
MAC认证流程
接入设备与RADIUS服务器之间通过RADIUS报文进行交互,对于MAC认证用户密码的处理有PAP和CHAP两种方式:
- PAP:密码认证协议,设备使用随机生成的MD5挑战字对MAC认证用户的密码进行一次加密。
- 接入设备首次检测到终端的MAC地址,进行MAC地址的学习,触发MAC认证。
- 设备随机生成一个MD5挑战字,并且使用该挑战字对MAC认证用户的密码进行加密,然后将用户名、加密一次的密码以及MD5挑战字封装在RADIUS认证请求报文中发送给RADIUS服务器,请求RADIUS服务器对该终端进行MAC认证。
- RADIUS服务器使用收到的MD5挑战字对本地数据库中对应MAC认证用户的密码进行一次加密,入股与设备发来的密码相同,则向设备发送认证接受报文,标识终端MAC认证成功,允许终端访问网络。
- CHAP:质询握手协议,设备使用随机生成的MD5挑战字对MAC认证用户的密码进行两次加密。
CHAP方式的MAC认证与PAP方式的MAC认证相比,不同支持在于设备和RADIUS服务器使用MD5挑战字对MAC认证用户的密码进行了两次加密。