首先是802.11的連線,如圖:
前2個互動是相互發現的乙個過程。之後,先做auth,再做association。
在wpa/rsn中,802.11的auth用的都是open的方式。這是第乙個階段,也就是802.11的認證。
當association完成後,接下來做eap 802.1x認證,這是wpa/rsn的認證。
802.1x認證完成後,supplicant和authenticator得到pmk,可以做4次握手,生成ptk。如果是psk認證,則沒有這一步,authenticator和supplicant可以自己生成pmk用以4次握手。
4次握手的過程如下:
上圖是針對wp2,也就是rsn的,這種情況下,gtk在3/4時生成。
在wpa1中,4次握手僅僅是產生ptk。gtk是通過4次握手後的乙個2次握手完成的,如下圖:
至此,完整的802.1x認證完成。單播報文可以用ptk加密/校驗,多播報文用gtk加密/校驗。
wpa/rsn使用四次握手(4-way handshake)的方式生成所需的金鑰。
作用
四次握手通過一系列的互動,從pmk(pairwise master key)生成ptk(pairwise transient key)。pmk來自msk(master session key),是msk的前256位,32位元組。
本文的主要目的是講ptk,所以暫時忽略pmk和msk。
ptk的內容
ptk包含3個部分,kck(key confirmation key),kek(key encryption key),tk(temporal key)。
ptk的總長度根據加密方式不同而不同。
當加密方式是tkip時,ptk長512位,按順序分別為kck佔128位,kek佔128位,tk佔256位。
當加密方式是ccmp時,ptk長384位,按順序分別為kck佔128位,kek佔128位,tk佔128位。
kek和kck是給eapol-key,也就是四次握手時,加密和完整性驗證用的。tk用於後續的資料加密。
四次握手的報文都是基於eapol-key的。eapol-key的結構如下:
ptk的生成
生成ptk,需要5個必要元素,pmk,anonce(nonce 1),snonce(nonce 2),authenticate mac(mac 1),supplicant mac(mac 2)。如下圖:
2個nonce分別是authenticator和supplicant生成的隨機數。
這張圖里的輸出包含4個部分,其實data encr和data mic合起來就是前面提到的tk。而eapol encr/mic分別對應前面的kek和kck。
四次握手的互動過程
下面的互動僅僅是乙個流程,對內部的一些資料的處理就不細說了。
1/4:authenticator -> supplicant
authenticator把anonce送給supplicant。supplicant收到1/4後,就有了生成ptk的所有元素。因為1/4裡同時也包含了authenticator的mac位址。
2/4:supplicant -> authenticator
supplicant計算出ptk,把snonce和自己的mac位址送給authenticator。同時,從2/4報文開始,後面的每個報文都會有mic。1/4沒有。
3/4:authenticator -> supplicant
authenticator向supplicant證明自己有有效的,同樣有mic加入其中
4/4:supplicant -> authenticator
僅是對3/4的乙個ack。說明ptk已經裝好,後面的資料可以加密了。
基於802 1x認證技術的應用分析
來自 一 引言 802.1x協議起源於802.11協議,後者是ieee的無線區域網協議,制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制裝置 如lans witch 就可以訪問區域網中的裝置或資源。這...
個人整理的一些802 1x 認證方法
個人整理 絕大多數 於網路 cisco 現在強調 nac 但是 他的兩款產品cam cas 對於一般企業來說應該不想花錢 於是基於802.1x acs 就成了熱門人選 1 方法一 基於mac 的認證 這種方法最簡單 也最麻煩 部署簡單維護麻煩 主要過程 基於mac的802.1x 一 交換機配置 aa...
基於埠的訪問控制協議802 1X
802.1x認證介紹 802.1x協議作為區域網埠的接入控制機制在乙太網中被廣泛應用,主要解決乙太網內認證和安全方面的問題。802.1x 協議是一種基於埠的網路接入控制協議,基於埠的網路接入控制 是指在區域網接入裝置的埠這一級,對所接入的使用者裝置進行認證和控制。連線在埠上的使用者裝置如果能通過認證...