eap-peap&eap-tls认证具体流程分析

eap-peap&eap-tls认证具体流程分析

ID:1120135

大小:750.02 KB

页数:16页

时间:2017-11-07

eap-peap&eap-tls认证具体流程分析_第1页
eap-peap&eap-tls认证具体流程分析_第2页
eap-peap&eap-tls认证具体流程分析_第3页
eap-peap&eap-tls认证具体流程分析_第4页
eap-peap&eap-tls认证具体流程分析_第5页
eap-peap&eap-tls认证具体流程分析_第6页
eap-peap&eap-tls认证具体流程分析_第7页
eap-peap&eap-tls认证具体流程分析_第8页
eap-peap&eap-tls认证具体流程分析_第9页
eap-peap&eap-tls认证具体流程分析_第10页
资源描述:

《eap-peap&eap-tls认证具体流程分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、EAP-PEAP&EAP-TLS认证具体流程分析16EAP-PEAP认证具体流程分析(结合radius认证协议及抓包)1.1EAP-PEAP背景EAP:(ExtensibleAuthenticationProtocol)可扩展认证协议。EAP属于一种框架协议,最初规范于RFC2284,后来经RFC3748更新。EAP是一种简单的封装方式,可以运行于任何的链路层,不过它在PPP链路上并未广泛使用。EAP的基本架构如图所示:EAP认证方式(EAPMethod)。EAP会把证明使用者身份的过程,授权给一个称为EAPmethod的附属协议,EAPmethod乃是一组验证使用者身份的规则。使用

2、EAPmethod的优点是,EAP从此可以不用去管验证使用者的细节。当新的需求浮现时就可以设计出新的认证方式,就算要用于无线局域网也不成问题。常用的EAP认证方法如下图所示:PEAP,受保护的EAP(ProtectedEAP)。PEAP是由Microsoft、Cisco和RSASecurity共同开发,在EAP框架中基于证书+用户名密码实现用户WLAN接入鉴权。PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。1.2EAP

3、-PEAP技术原理PEAP(ProtectedEAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。EAP客户端和认证服务器之间的认证过程有两个阶段。16第一阶段:建立PEAP客户端和认证服务器之间的安全通道,客户端采用证书认证服务端完成TLS握手。服务端可选采用证书认证客户端。第二阶段:提供EAP客户端和认证服务器之间的EAP身份验证。整个EAP通信,包括EAP协商在内,都通过TLS通道进行。服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端和RADIUS服务器之间转发消息,由于不

4、是TLS终结点,访问点无法对这些消息进行解密。目前被WPA和WPA2批准的有两个PEAP子类型PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是PEAPV0-MSCHAPV2。1.1PEAP用户接入流程16图1PEAP用户接入流程E1认证初始化1)WLANUE向WLANAN发送一个EAPoL-Start报文,开始802.1x接入的开始。2)WLANAN向WLANUE发送EAP-Request/Identity报文,要求WLANUE将用户信息送上来。3)WLANUE回应一个EAP-Response/Identity给WLANAN的请求,其中包括用户的网络标识。用户ID,

5、对于PEAP-mschchapv2认证方式的用户ID是由用户在客户端手动输入或者配置的。此次用户名建议同用户的portal认证用户名密码。4)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/Identity发送给Radius,并且带上相关的RADIUS的属性。5)Radius收到WLANAN发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向WLANAN发送RADIUS-Access-Challenge报文,里面含有Radius发送给WLANUE的EAP-Request/Peap/Start的报文,表示希望开始进行

6、EAP-PEAP的认证。6)WLANAN将EAP-Request/PEAP/Start发送给WLANUE。E2建立TLS通道7)WLANUE收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/ClientHello报文中发送给WLANAN。8)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLS/ClientHello发送给认证服务器Radius,并且带上相关的RADIUS的属性。9)Radius收到Clie

7、ntHello报文后,会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个ServerHello报文封装在EAP消息中,使用Access-Challenge报文发送给WLANAN。10)WLANAN把Radius报文中的EAP-request消息发送给WLANUE.11)WLANUE收到报文后,进行验证Ser

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。