北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统

802.1x准入流程

1．802.1x的认证过程可以描述如下

(1) 客户端（PC）向接入设备（交换机）发送一个EAPoL-Start 报文，开始802.1x认证接入;

(2) 接入设备（交换机）向客户端（PC）发送EAP-Request/Identity报文，要求客户端（PC）将用户名送上来;

(3) 客户端（PC）回应一个EAP-Response/Identity给接入设备（交换机）的请求，其中包括用户名;

(4) 接入设备（交换机）将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，通过路由器发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备（交换机）将RADIUS Access-Challenge报文发送给客户端（PC），其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备（交换机）通过EAP-Request/MD5-Challenge发送给客户端（PC），要求客户端（PC）进行认证

(7) 客户端（PC）收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在

EAP-Response/MD5-Challenge回应给接入设备（交换机）(8) 接入设备（交换机）将Challenge，Challenged Password 和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备（交换机）。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay) ，通过接入设备（交换机）获取规划的IP地址;

(11) 如果认证通过，用户正常上网。同时终端图标显示为

。

(12)根据服务器策略进行安检，安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。

2．终端用户安全安检：

当终端存在安全检查策略时，如下图：

杀毒软件及补丁安检策略图

设置本策略后，客户端软件根据策略设置的内容，如杀毒软件，补丁号进行监测。当未运行杀毒软件及未修复该补丁时，客户端自动阻止除策略内设置的例外服务器地址外的所有数据包。并自动打开策略内设置的IE地址提示终端必须安装。当修复成功后，客户端软件自动发开限制。

文件及进程运行验证图注册表及服务运行监测图