802.1x初探.pdf

H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 目 录 i 目 录 第 1 章 802.1x配置.1-1 1.1 802.1x简介.1-1 1.1.1 802.1x的体系结构.1-1 1.1.2 802.1x的工作机制.1-3 1.1.3 EAPOL消息的封装 .1-3 1.1.4 802.1x的认证过程.1-5 1.1.5 802.1x的定时器.1-8 1.1.6 802.1x在S3600 交换机上的实现 .1-9 1.2 配置 802.1x.1-11 1.3 配置 802.1x基本功能.1-12 1.3.1 配置准备.1-12 1.3.2 配置 802.1x基本功能.1-12 1.4 配置 802.1x的定时器及接入用户的最大数目 .1-13 1.5 配置 802.1x的应用特性.1-14 1.5.1 配置准备.1-14 1.5.2 配置用户的代理检查功能.1-14 1.5.3 配置客户端版本检测功能.1-15 1.5.4 配置允许DHCP触发认证.1-16 1.5.5 配置Guest VLAN功能.1-16 1.6 802.1x显示和维护.1-17 1.7 典型配置举例 .1-17 1.7.1 802.1x典型配置举例.1-17 第 2 章 HABP特性配置.2-1 2.1 HABP特性简介.2-1 2.2 配置HABP Server .2-1 2.3 配置HABP Client.2-2 2.4 HABP显示.2-2 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-1 第第1章章 802.1x 配置配置 1.1 802.1x 简介 IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1x 协议。 后来，802.1x 协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解 决以太网内认证和安全方面的问题。 802.1x 协议是一种基于端口的网络接入控制 （Port Based Network Access Control） 协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所 接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访 问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源相当于连 接被物理断开。 1.1.1 802.1x 的体系结构 使用 802.1x 的系统为典型的 Client/Server 体系结构，包括三个实体：Supplicant System（客户端）、Authenticator System（设备端）以及 Authentication Server System（认证服务器），如下图所示。 客户端PAE 客户端 认证服务器 认证服务器 设备端提供的服务设备端PAE 设备端 受控端口 端口非授权 非受控端口 LAN/WLAN 图1-1 802.1x 认证系统的体系结构 ? 客户端是位于局域网段一端的一个实体， 由连接到该链接另一端的设备端对其 进行认证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起 802.1x认证。 客户端软件必须支持 EAPOL （EAP over LANs， 局域网上的 EAP） 协议。 ? 设备端是位于局域网段一端的一个实体， 用于对连接到该链接另一端的实体进 行认证。设备端通常为支持 802.1x 协议的网络设备（如 H3C 系列交换机）， H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-2 它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端 口。 ? 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认 证、 授权和计费， 通常为 RADIUS 服务器。 该服务器可以存储用户的相关信息， 例如用户的账号、密码以及用户所属的 VLAN、优先级、用户的访问控制列表 等。 三个实体涉及如下四个基本概念：端口 PAE、受控端口、受控方向和端口受控方式。 1. PAE（Port Access Entity，端口访问实体） PAE 是认证机制中负责执行算法和协议操作的实体。设备端 PAE 利用认证服务器 对需要接入局域网的客户端执行认证，并根据认证结果相应地控制受控端口的授权/ 非授权状态。客户端 PAE 负责响应设备端的认证请求，向设备端提交用户的认证信 息。客户端 PAE 也可以主动向设备端发送认证请求和下线请求。 2. 受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口 和非受控端口。 ? 非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户 端始终能够发出或接受认证。 ? 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处 于断开状态，禁止传递任何报文。 ? 受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控 端口与非受控端口上均可见。 3. 受控方向 在非授权状态下，受控端口可以被设置成单向受控：实行单向受控时，禁止从客户 端接收帧，但允许向客户端发送帧。 默认情况下，受控端口实行单向受控。 4. 端口受控方式 H3C 系列交换机支持以下两种端口受控方式： ? 基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户 无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用 网络。 ? 基于 MAC 地址认证：该物理端口下的所有接入用户都需要单独认证，当某个 用户下线时，也只有该用户无法使用网络。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-3 1.1.2 802.1x 的工作机制 IEEE 802.1x 认证系统利用 EAP（Extensible Authentication Protocol，可扩展认证 协议）协议，作为在客户端和认证服务器之间交换认证信息的手段。 客户端PAE设备端PAE认证服务器 EAPOL RADIUS协议承载的 EAP/PAP/CHAP交换 图1-2 802.1x 认证系统的工作机制 ? 在客户端 PAE 与设备端 PAE 之间，EAP 协议报文使用 EAPOL 封装格式，直 接承载于 LAN 环境中。 ? 在设备端 PAE 与 RADIUS 服务器之间，EAP 协议报文可以使用 EAPOR 封装 格式（EAP over RADIUS），承载于 RADIUS 协议中；也可以由设备端 PAE 进行终结，而在设备端 PAE 与 RADIUS 服务器之间传送 PAP 协议报文或 CHAP 协议报文。 ? 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端 PAE 根据 RADIUS 服务器的指示（Accept 或 Reject）决定受控端口的授权/ 非授权状态。 1.1.3 EAPOL 消息的封装 1. EAPOL 数据包的格式 EAPOL是 802.1x协议定义的一种报文封装格式， 主要用于在客户端和设备端之间传 送EAP协议报文，以允许EAP协议报文在LAN上传送。格式如图 1-3所示。 PAE Ethernet typeProtocol versionLength 0234 Packet Body 6N Type 图1-3 EAPOL 数据包格式 PAE Ethernet Type：表示协议类型，802.1x 分配的协议类型为 0 x888E。 Protocol Version：表示 EAPOL 帧的发送方所支持的协议版本号。 Type： EAP-Packet（值为 00），认证信息帧，用于承载认证信息； EAPOL-Start（值为 01），认证发起帧； EAPOL-Logoff（值为 02），退出请求帧； EAPOL-Key（值为 03），密钥信息帧； H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-4 EAPOL-Encapsulated-ASF-Alert（值为 04），用于支持 ASF（Alerting Standards Forum）的 Alerting 消息。 Length：表示数据长度，也就是“Packet Body”字段的长度。如果为 0，则表示没 有后面的数据域。 Packet Body：根据不同的 Type 有不同的格式。 其中， EAPOL-Start， EAPOL-Logoff 和 EAPOL-Key 仅在客户端和设备端之间存在； 在设备端和认证服务器之间，EAP-Packet 报文重新封装承载于 RADIUS 协议上， 以便穿越复杂的网络到达认证服务器； EAPOL-Encapsulated-ASF-Alert 封装与网管 相关的信息，例如各种警告信息，由设备端终结。 2. EAP 数据包的格式 当EAPOL数据包格式Type域为EAP-Packet时，Packet Body为EAP数据包结构，如 图 1-4所示。 CodeIdentifierLengthData N 0124 图1-4 EAP 数据包格式 Code： 指明 EAP 包的类型， 一共有 4 种： Request， Response， Success， Failure。 Identifier：辅助进行 Response 和 Request 消息的匹配。 Length：EAP 包的长度，包含 Code、Identifier、Length 和 Data 的全部内容。 Data：由 Code 决定。 Success 和 Failure 类型的包没有 Data 域，相应的 Length 域的值为 4。 Request 和 Response 类型的 Data 域的格式如下。 TypeType Data 图1-5 Request 和 Response 类型的 Data 域的格式 Type：指出 EAP 的认证类型。其中，值为 1 时，代表 Identity，用来查询对方的身 份；值为 4 时，代表 MD5-Challenge，类似于 PPP CHAP 协议，包含质询消息。 Type Data：Type Data 域的内容随不同类型的 Request 和 Response 而不同。 3. EAP 属性的封装 RADIUS 为支持 EAP 认证增加了两个属性：EAP-Message（EAP 消息）和 Message-Authenticator（消息认证码）。RADIUS 协议的报文格式请参见 “AAA-RADIUS-HWTACACS-EAD 操作手册”中的 RADIUS 协议简介部分。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-5 EAP-Message属性用来封装EAP数据包，如图 1-6所示，类型代码为 79，string域 最长为 253 字节，如果EAP数据包长度大于 253 字节，可以对其进行分片，依次封 装在多个EAP-Message属性中。 typelengthstring. 012 EAP-Packets 图1-6 EAP-Message 属性封装 Message-Authenticator可以用于在使用CHAP、EAP等认证方法的过程中，避免接 入请求包被窃听。在含有EAP-Message属性的数据包中，必须同时包含 Message-Authenticator，否则该数据包会被认为无效而丢弃。格式如图 1-7所示。 type=80length=18string. 17012 图1-7 Message-Authenticator 属性 1.1.4 802.1x 的认证过程 H3C S3600 系列交换机支持 EAP 终结方式和 EAP 中继方式进行认证。 1. EAP 中继方式 这种方式是 IEEE 802.1x 标准规定的， 将 EAP 协议承载在其他高层协议中， 如 EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说， EAP 中继方式需要 RADIUS 服务器支持 EAP 属性：EAP-Message（值为 79）和 Message-Authenticator（值为 80）。 EAP 中继方式有四种认证方法：EAP-MD5、EAP-TLS（Transport Layer Security， 传输层安全） 、 EAP-TTLS 和 PEAP （Protected Extensible Authentication Protocol， 受保护的扩展认证协议）： ? EAP-MD5： 验 证 客 户 端 的 身 份 ， RADIUS 服 务 器 发 送 MD5 加 密 字 （EAP-Request/MD5 Challenge 报文）给客户端，客户端用该加密字对口令 部分进行加密处理。 ? EAP-TLS：验证客户端和 RADIUS 服务器端双方的身份，通过 EAP-TLS 认证 方法检查彼此的安全证书，保证双方的正确性，防止网络数据被盗窃。 ? EAP-TTLS：是对 EAP-TLS 的一种扩展。在 EAP TLS 中，实现对客户端和认 证服务器的双向认证。EAP-TTLS 扩展了这种实现，它使用 TLS 建立起来的 安全隧道传递信息。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-6 ? PEAP： 首先创建和使用 TLS 安全通道来进行完整性保护， 然后进行新的 EAP 协商，从而完成对客户端的身份验证。 以下以EAP-MD5 方式为例介绍基本业务流程，如图 1-8所示。 客户端交换机RADIUS服务器 EAPOLEAPOR EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Success EAP-Response/MD5 Challenge RADIUS Access-Requ (EAP-Response/Ide RADIUS Access-Chall (EAP-Request/MD5 Chal est ntity) enge lenge) RADIUS Access-Acce (EAP-Success) RADIUS Access-Reque (EAP-Response/MD5 Chal pt st lenge) 端口被授权 握手定时器超时 握手请求报文 EAP-Request/Identity 握手应答报文 EAP-Response/Identity EAPOL-Logoff . 端口非授权 图1-8 IEEE 802.1x 认证系统的 EAP 中继方式业务流程 认证过程如下： ? 当用户有上网需求时打开 802.1x 客户端，输入已经申请、登记过的用户名和 口令，发起连接请求（EAPOL-Start 报文）。此时，客户端程序将发出请求认 证的报文给交换机，开始启动一次认证过程。 ? 交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity 报文）要求用户的客户端程序发送输入的用户名。 ? 客 户 端 程 序 响 应 交 换 机 发 出 的 请 求 ， 将 用 户 名 信 息 通 过 数 据 帧 （EAP-Response/Identity 报文）送给交换机。交换机将客户端送上来的数据 帧经过封包处理后（RADIUS Access-Request 报文）送给 RADIUS 服务器进 行处理。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-7 ? RADIUS 服务器收到交换机转发的用户名信息后， 将该信息与数据库中的用户 名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进 行加密处理，同时也将此加密字通过 RADIUS Access-Challenge 报文传送给 交换机，由交换机传给客户端程序。 ? 客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge 报文） 后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生 成 EAP-Response/MD5 Challenge 报文），并通过交换机传给 RADIUS 服务 器。 ? RADIUS 服务器将加密后的口令信息（RADIUS Access-Requeset 报文）和自 己经过加密运算后的口令信息进行对比， 如果相同， 则认为该用户为合法用户， 反馈认证通过的消息（RADIUS Access-Accept 报文和 EAP-Success 报文）。 ? 交换机将端口状态改为授权状态，允许用户通过该端口访问网络。 ? 客户端也可以发送 EAPoL-Logoff 报文给交换机，主动终止已认证状态，交换 机将端口状态从授权状态改变成未授权状态。 ? 说明： 由于 EAP 中继方式对报文的内容不做改动，如果要采用 PEAP、EAP-TLS、 EAP-TTLS 或者 EAP-MD5 这四种认证方法之一，需要在客户端和 RADIUS 服务器 上选择一致的认证方法， 而在交换机上， 只需要通过 dot1x authentication-method eap 命令启动 EAP 中继方式即可。 2. EAP 终结方式 这种方式将 EAP 报文在设备端终结并映射到 RADIUS 报文中，利用标准 RADIUS 协议完成认证和计费。 对于 EAP 终结方式， 交换机与 RADIUS 服务器之间可以采用 PAP 或者 CHAP 认证 方法。以下以 CHAP 认证方法为例介绍基本业务流程，如下图所示。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-8 客户端交换机RADIUS服务器 EAPOLRADIUS EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Success EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accep (CHAP-Success) t 端口被授权 握手定时器超时 握手请求报文 EAP-Request/Identity 握手应答报文 EAP-Response/Identity EAPOL-Logoff . 端口非授权 图1-9 IEEE 802.1x 认证系统的 EAP 终结方式业务流程 EAP 终结方式与 EAP 中继方式的认证流程相比，不同之处在于用来对用户口令信 息进行加密处理的随机加密字由交换机生成，之后交换机会把用户名、随机加密字 和客户端加密后的口令信息一起送给 RADIUS 服务器，进行相关的认证处理。 1.1.5 802.1x 的定时器 802.1x 认证过程中会启动多个定时器以控制接入用户、 交换机以及 RADIUS 服务器 之间进行合理、有序的交互。802.1x 的定时器主要有以下几种： ? 握手定时器（handshake-period）：此定时器是在用户认证成功后启动的， 交换机以此间隔为周期发送握手请求报文，以定期检测用户的在线情况。如果 dot1x retry 命令配置重试次数为 N，则如果交换机连续 N 次没有收到客户端 的响应报文，就认为用户已经下线。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-9 ? 静默定时器（quiet-period）：对用户认证失败以后，交换机需要静默一段时 间（该时间由静默定时器设置）后，用户可以再重新发起认证，在静默期间， 交换机不处理认证功能。 ? RADIUS 服务器超时定时器 （server-timeout） ： 若在该定时器设置的时长内， RADIUS 服务器未成功响应，交换机将重发认证请求报文。 ? 客户端认证超时定时器（supp-timeout）：当交换机向客户端发送了 Request/Challenge 请求报文后，交换机启动此定时器，若在该定时器设置的 时长内，设备端没有收到客户端的响应，交换机将重发该报文。 ? 传送超时定时器 （tx-period） ： 以下两种情况 Authenticator 设备启动 tx-period 定时器：其一是在客户端主动发起认证的情况下，当交换机向客户端发送单播 Request/Identity 请求报文后，交换机启动该定时器，若在该定时器设置的时 长内，交换机没有收到客户端的响应，则交换机将重发认证请求报文；其二是 为了对不支持主动发起认证的 802.1x 客户端进行认证，交换机会在启动 802.1x 功能的端口不停地发送组播 Request/Identity 报文，发送的间隔为 tx-period。 ? ver-period：客户端版本请求超时定时器。若在该定时器设置的时长内， Supplicant 设备未成功发送版本应答报文， 则 Authenticator 设备将重发版本请 求报文。 1.1.6 802.1x 在 S3600 交换机上的实现 S3600 交换机除了支持前面所述的 802.1x 特性外，还支持如下特性： ? 与 CAMS 服务器配合，实现代理用户检测功能（检测使用代理登陆、用户使 用多网卡等）； ? 客户端版本检测功能； ? Guest VLAN 功能。 1. 代理用户检测 交换机的 802.1x 代理用户检测特性包括： ? 检测使用代理服务器登录的用户； ? 检测使用 IE 代理服务器登录的用户； ? 检测用户是否使用多网卡（即用户登录时，其 PC 上处于激活状态的网卡超过 一个）。 当交换机发现以上任意一种情况时，可以采取以下控制措施： H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-10 ? 只切断用户连接，不发送 Trap 报文（使用命令 dot1x supp-proxy-check logoff 配置）； ? 只发送 Trap 报文， 不切断用户连接 （使用命令 dot1x supp-proxy-check trap 配置）。 此功能的实现需要 802.1x 客户端和 CAMS 的配合： ? 802.1x 客户端需要具备检测用户是否使用多网卡、代理服务器或者 IE 代理服 务器功能； ? CAMS 上开启认证客户端禁用多网卡、禁用代理服务器或者禁用 IE 代理服务 器功能。 802.1x 客户端默认关闭防止使用多网卡、代理服务器或 IE 代理服务器功能，如果 CAMS 打开防多网卡、代理或 IE 代理功能，则在用户认证成功时，CAMS 会下发属 性通知 802.1x 客户端打开防多网卡、代理或 IE 代理功能。 ? 说明： ? 该功能的实现需要 H3C 802.1x 客户端程序（iNode）的配合。 ? 对于检测通过代理登录的用户功能，需要在 CAMS 上也启用该功能，同时需要 在交换机上启用客户端版本检测功能（通过命令 dot1x version-check 配置）。 2. 客户端版本检测 在交换机上启动了对 802.1x 客户端的版本验证功能后，交换机会对接入用户的 802.1x 客户端软件的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或 者非法客户端的用户上网。 启用客户端版本检测功能后，如果在客户端版本检测定时器设置的时长内，客户端 未成功发送版本应答报文，则交换机将重发版本请求报文。 ? 说明： 该功能的实现需要 H3C 802.1x 客户端程序（iNode）的配合。 3. Guest VLAN 功能 Guest VLAN 能够允许未认证用户访问某些资源。 在实际应用中，如果用户在没有安装 802.1x 客户端的情况下，需要访问某些资源； 或者在用户未认证的情况下升级 802.1x 客户端，这些情况可以通过开启 Guest VLAN 功能来解决。 Guest VLAN 的功能开启后： H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-11 ? 交换机将在所有开启 802.1x 功能的端口发送多播触发报文； ? 如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加 入到 Guest VLAN 中； ? 之后属于该 Guest VLAN 中的用户访问该 Guest VLAN 中的资源时，不需要进 行 802.1x 认证，但访问外部的资源时仍需要进行认证。 通常，Guest VLAN 功能与动态 VLAN 下发功能配合使用。 动态 VLAN 下发功能的具体介绍，请参见“AAA-RADIUS-HWTACACS-EAD 操作 手册”中的配置部分。 1.2 配置 802.1x 802.1x 提供了一个用户身份认证的实现方案，为了实现此方案，除了配置 802.1x 相关命令外，还需要在交换机上配置 AAA 方案，选择使用 RADIUS 或本地认证方 案，以配合 802.1x 完成用户身份认证： ISP域配置AAA方案 本地认证 RADIUS 方案 802.1x配置 图1-10 802.1x 配置示意图 ? 802.1x 用户通过域名和交换机上配置的 ISP 域相关联。 ? 配置 ISP 域使用的 AAA 方案，包括本地认证方案和 RADIUS 方案。 ? 如果采用 RADIUS 方案，通过远端的 RADIUS 服务器进行认证，则需要在 RADIUS 服务器上配置相应的用户名和密码，然后在交换机上进行 RADIUS 客户端的相关设置。 ? 如果是需要本地认证，则需要在交换机上手动添加认证的用户名和密码，当用 户使用和交换机中记录相同的用户名和密码，启动 802.1x 客户端软件进行认 证时，就可以通过认证。 ? 也可以配置交换机先采用 RADIUS 方案，通过 RADIUS 服务器进行认证，如 果 RADIUS 服务器无效，则使用本地认证。 AAA 方案的具体配置细节，请参见“AAA-RADIUS-HWTACACS-EAD 操作手册” 中的配置部分。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置 1-12 1.3 配置 802.1x 基本功能 802.1x 基本功能的配置任务包括 802.1x 特性配置中涉及的基本配置，完成本节的 配置就可以使用 802.1x 特性。 以下各项配置除了“开启 802.1x 特性”任务外，其余配置则是可选的，用户可以根 据各自的具体需求决定是否进行这些配置。 1.3.1 配置准备 ? 配置 ISP 域及其使用的 AAA 方案，选择使用 RADIUS 或者本地认证方案，以 配合 802.1x 完成用户的身份认证。 ? 配置本地认证时，本地用户的服务类型（service-type）必须配置为 lan-access。 1.3.2 配置 802.1x 基本功能 表1-1 配置 802.1x 基本功能 操作 命令 说明 进入系统视图 system-view - 开启全局的 802.1x 特性 dot1x 必选 缺省情况下，全局的 802.1x 特 性为关闭状态 系统视图下 dot1x interface interface-list 开启端口的 802.1x 特性 端口视图下 dot1x 必选 缺省情况下，端口的 802.1x 特 性均为关闭状态 设置端口接入控制的模式 dot1x port-control authorized-force | unauthorized-force | auto interface interface-list 可选 缺省情况下，802.1x 在端口上 进行接入控制的模式为 auto 设置端口接入控制方式 dot1x port-method macbased | portbased interface interface-list 可选 缺省情况下，802.1x 在端口上 进行接入控制方式为 macbased，即基于 MAC 地址 进行认证 设置 802.1x 用户的认证 方法 dot1x authentication-method cha