1 證書獲取
2 無線接入
客戶端通過開放系統接入的方法(open system)和ap之間建立好物理連線。
3 認證初始化
1) client向ap裝置傳送乙個eapol-start報文,開始802.1x接入的開始。
2) ap向客戶端傳送eap-request/identity報文,要求客戶端將使用者資訊送上來。
3) client回應乙個eap-response/identity給ap的請求,其中包括使用者的網路標識。使用者id,對於eap-mschchap v2認證方式的使用者id是由使用者在客戶端手動輸入或者配置的。使用者id通常的格式是username@domain,其中username是運營商提供給使用者的身份id,domain是運營商的網域名稱(如「cmcc.com」)。
4)ap以eap over radius的報文格式將eap-response/identity傳送給認證伺服器radius,並且帶上相關的radius的屬性。
5)radius收到客戶端發來的eap-response/identity,根據配置確定使用eap-peap認證,並向ap傳送radius-access-challenge報文,裡面含有radius傳送給客戶端的eap-request/peap/start的報文,表示希望開始進行eap-peap的認證。
6) ap裝置將eap-request/peap/start傳送給認證客戶端。
4 建立tls通道
7) client收到eap-request/peap/start報文後,產生乙個隨機數、客戶端支援的加密演算法列表、tls協議版本、會話id、以及壓縮方法(目前均為null),封裝在eap-response/client hello報文中傳送給ap裝置。
8):ap以eap over radius的報文格式將eap-response/client hello傳送給認證伺服器radius server,並且帶上相關的radius的屬性。
9):radius收到client發來的client hello報文後,會從client 的hello報文的加密演算法列表中選擇自己支援的一組加密演算法+server產生的隨機數+server 證書(包含伺服器的名稱和公鑰)+證書請求+server_hello_done屬性形成乙個server hello報文封裝在access-challenge報文中,傳送給client.
10) ap把radius報文中的eap域提取,封裝成eap-request報文傳送給client.
注:由於證書比較大,乙個報文是無法承載的,所以在實際流程中第10,11完成後,後面還有3個續傳的ip分片報文,目的是把server證書傳送到客戶端.
11) client收到報文後,進行驗證server的證書是否合法(使用從ca證書頒發機構獲取的根證書進行驗證,主要驗證證書時間是否合法,名稱是否合法),即對網路進行認證,從而可以保證server的合法。如果合法則提取server證書中的公鑰,同時產生乙個隨機密碼串pre-master-secret,並使用伺服器的公鑰對其進行加密,最後將加密的資訊clientkeyexchange+客戶端的證書(如果沒有證書,可以把屬性置為0)+tls finished屬性封裝成eap-rsponse/tls ok報文傳送給認證點ap.如果client沒有安裝證書,則不會對server證書的合法性進行認證,即不能對網路進行認證。
12) ap以eap over radius的報文格式將eap-response/tls ok傳送給認證伺服器radius server,並且帶上相關的radius的屬性
13) radius收到客戶端發了的報文後,用自己的證書對應的私鑰對clientkeyexchange進行解密,從而獲取到pre-master-secret,然後將pre-master-secret進行運算處理,加上client和server產生的隨機數,生成加密金鑰、加密初始化向量和hmac的金鑰,這時雙方已經安全的協商出一套加密辦法了,至此tls通道已經建立成功,以後的認證過程將使用協商出的金鑰進行加密和校驗。radius server借助hmac的金鑰,對要在tls通道內進行認證的訊息做安全的摘要處理,然後和認證訊息放到一起。借助加密金鑰,加密初始化向量加密上面的訊息,封裝在access-challenge報文中,傳送給client.
5 認證過程
14)ap把radius報文中的eap域提取,封裝成eap-request報文傳送給client.
15)客戶端收到radius server發來報文後,用伺服器相同的方法生成加密金鑰,加密初始化向量和hmac的金鑰,並用相應的金鑰及其方法對報文進行解密和校驗,然後產生認證回應報文,用金鑰進行加密和校驗,最後封裝成eap-response報文傳送給ap,ap以eap over radius的報文格式將eap-response傳送給認證伺服器radius server,並且帶上相關的radius的屬性,這樣反覆進行互動,直到認證完成(注:對於不同的認證方法互動流程不一致,通常的認證方法為:peap-mschapv2或者gtc(ibm ldap支援的,有關於peap-gtc的過程就是在認證的時候按照gtc/otp的過程在peap新增的乙個過程罷了,再注:在傳送完密碼後要傳乙個長度為1的資料為0的包過去後才會得到sucess連通網路),下面由單獨認證流程,如果是sim認證,還需要跟hlr/auc裝置進行資料互動,並且使用as作為認證伺服器),在認證過程中,radius server會下發認證後用於生成空口資料加密金鑰(包括單播、組播金鑰)的pmk給client.
16) 伺服器認證客戶端成功,會傳送access-accept報文給ap,報文中包含了認證伺服器所提供的mppe屬性。
17) ap收到radius-access-accept報文,會提取mppe屬性中的金鑰做為wpa加密用的pmk,並且會傳送eap-success報文給客戶端.
憶龍2009 WLAN IDS介紹
802.11網路很容易受到各種網路威脅的影響,如未經授權的ap使用者 ad hoc網路 拒絕服務型攻擊等 rogue裝置對於企業網路安全來說更是乙個很嚴重的威脅。wids wireless intrusion detection system 可以對有惡意的使用者攻擊和入侵行為進行早期檢測,保護企業...
關於PEAP認證的過程說明
目錄 證書獲取 無線接入 認證初始化 建立tls通道 5 認證過程 客戶端通過開放系統接入的方法 open system 和ap之間建立好物理連線。1 client向ap裝置傳送乙個eapol start報文,開始802.1x接入的開始。2 ap向客戶端傳送eap request identity報...
憶龍2009 理解EAP TLS的信任模型
客戶側信任模型 客戶端信任伺服器 當你在使用諸如windows xp之類的客戶端時,你需要配置乙個根證書機構.通過這個根證書機構,你可以驗證aaa伺服器的合法性.你所指定的可信任證書機構,即可以是公共的,也可以是私有的,如果你決定使用乙個公共的根證書機構,那麼你必須知道,你對這個根證書機構是沒有任何...