MAC认证原理描述

MAC认证简介

定义：
MAC认证，即MAC地址认证，是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法。
优点：

• 用户不需要安装任何客户端软件
• MAC认证过程中，不需要手动输入用户名和密码
• 能够对不具备802.1X认证能力的终端进行认证，如打印机和传真机等哑终端。

认证系统：
MAC认证系统是典型的C/S架构，包括三个要素：终端、接入设备和认证服务器。

• 终端：尝试接入网络的设备
• 接入设备：是终端访问网络的网络控制节点，是企业安全策略的实施者，负责按照客户网络指定的安全测量也，实施相应的准入控制。（允许，拒绝，隔离或限制）。
• 认证服务器：用于确认尝试接入网络的终端身份是否合法，还可以指定身份合法的终端所能够拥有的网络访问权限。

用户名形式：
终端进行MAC认证的时候使用的用户名和密码需要在接入设备上预先进行配置，缺省情况下，终端进行MAC认证时使用的用户名和密码均为终端的MAC地址。

MAC认证流程

接入设备与RADIUS服务器之间通过RADIUS报文进行交互，对于MAC认证用户密码的处理有PAP和CHAP两种方式：

• PAP：密码认证协议，设备使用随机生成的MD5挑战字对MAC认证用户的密码进行一次加密。
  

1. 接入设备首次检测到终端的MAC地址，进行MAC地址的学习，触发MAC认证。
2. 设备随机生成一个MD5挑战字，并且使用该挑战字对MAC认证用户的密码进行加密，然后将用户名、加密一次的密码以及MD5挑战字封装在RADIUS认证请求报文中发送给RADIUS服务器，请求RADIUS服务器对该终端进行MAC认证。
3. RADIUS服务器使用收到的MD5挑战字对本地数据库中对应MAC认证用户的密码进行一次加密，入股与设备发来的密码相同，则向设备发送认证接受报文，标识终端MAC认证成功，允许终端访问网络。

• CHAP：质询握手协议，设备使用随机生成的MD5挑战字对MAC认证用户的密码进行两次加密。

CHAP方式的MAC认证与PAP方式的MAC认证相比，不同支持在于设备和RADIUS服务器使用MD5挑战字对MAC认证用户的密码进行了两次加密。