返回
eap-sim技术手册

eap-sim技术手册

ID:10230822

大小:938.20 KB

页数:12页

时间:2018-06-12

eap-sim技术手册_第1页
eap-sim技术手册_第2页
eap-sim技术手册_第3页
eap-sim技术手册_第4页
eap-sim技术手册_第5页
eap-sim技术手册_第6页
eap-sim技术手册_第7页
eap-sim技术手册_第8页
eap-sim技术手册_第9页
eap-sim技术手册_第10页
资源描述:

《eap-sim技术手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、EAP-SIM技术手册一.基本概念1.EAP-SIM的定义EAP-SIM是采用GSM-SIM卡作为EAP认证和密匙分发的机制。它是基于GSM,即全球移动通讯系统(GlobalSystemforMobileCommunication)认证的基础上产生的。由于GSM认证缺少双向认证,只是服务器端认证了用户端;而且,会话密钥Kc只有64位,密钥长度太短,没有足够的强度抵抗暴力攻击。所以,EAP-SIM才应运而生。EAP-SIM提供了双向认证,即服务器端认证客户端,客户端也认证服务器端,只有双向认证通过之后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入

2、网络。同时,EAP-SIM认证机制还通过多次挑战响应机制,生成更强的会话密钥。2.EAP-SIM的协议包格式CodeIdentifierLengthTypeSubtypeReservedAttributeField在上表中表示EAP-SIM协议包的格式。Code域占据一个字节,代表EAP包类型,其中1代表request类型,2代表response类型,3代表success类型,4代表failure类型。Identifier域占据一个字节,指代数据包的标识域,方便request包与response包的匹配。Length域占据两个字节,标识EAP包的总长度。Type域占

3、据一个字节,此处的值为18。Subtype域占据一个字节,标识EAP-SIM子类型,其中10表示start类型,11表示challenge类型。Reserved域占据两个字节,为协议将来的扩展,目前保留,值置为0。数据包随后的字段为属性域,根据包的类型不同,属性域也有所不同。3.EAP-SIM的工作原理客户端可以是手机或是具有SIM卡读卡器的电脑。首先,客户端通过安全隧道与支持802.1x的无线接入点(AP)取得联系,而后通过WLANAP连接到Radius服务器,Radius服务器支持EAP-SIM认证协议,并且具有GSM/MAP/SS7的数据通道,通过此通道与存储

4、着用户信息的HLR(HomeLocationRegister,归属位置寄存器)进行连接。从理论上讲,在EAP-SIM的服务器端,需要有Radius服务器和HLR(归属位置寄存器),二者通过GSM/MAP/SS7的数据通道进行连接。但在本手册中,我们是将HLR和Radius服务器整合为一个整体,即HLR数据库仅仅是Hostapd服务器中的一个文件——hostapd.sim_db,在这个文件中存储着要接入的用户信息。本实验用到的EAP-SIM认证结构如下图所示:4.EAP-SIM的认证流程整个EAP-SIM的认证流程如下所示:(1).客户端发送EAPOL_Start帧,

5、请求认证接入;(2).WLANAP发出请求帧,请求客户端发送身份信息;(3).客户端响应请求,将身份信息发送至AP;(4).AP将客户端身份信息重新封装成RADIUSAccess-Request帧转发至服务器端;(5).服务器验证客户端身份,验证合法之后向用户发送EAP-Request/SIM/Start帧,封装在RADIUSAccess-Challenge帧中;(6).AP提取RADIUSAccess-Challenge帧中的EAP-Request/SIM/Start帧,转发至客户端;(7).客户端响应请求,将EAP-Response/SIM/Start帧发送至A

6、P;(8).AP将EAP-Response/SIM/Start帧重新封装成RADIUSAccess-Request帧,转发至服务器端;(9).服务器根据客户端响应结果,回送EAP-Request/SIM/Challenge帧至AP,此帧封装在RADIUSAccess-Challenge帧中;(10).AP提取RADIUSAccess-Challenge帧中的EAP-Request/SIM/Challenge帧,转发至客户端;(11).客户端响应请求,将EAP-Response/SIM/Challenge帧发送至AP;(12).AP将EAP-Response/SIM/

7、Challenge帧重新封装成RADIUSAccess-Request帧,转发至服务器端;(13).服务器端认证成功,将EAP-Success帧封装在RADIUSAccess-Accept帧中,发送至AP;(14).AP提取RADIUSAccess-Accept帧中的EAP-Success帧,转发至客户端.EAP-SIM双向认证结束,认证成功。二.实验部分1.搭建EAP-SIM测试环境的需求清单1、一张sim卡。无特殊要求,现在通用的sim卡即可。2、一部支持EAP-SIM认证的手机用作客户端。例如华为的安卓手机T8830。售价在800元左右。或者华为的安卓手机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。