關於PEAP認證的過程說明

2021-07-29 11:33:33 字數 2804 閱讀 4834

目錄(?)

[-]

證書獲取

無線接入

認證初始化

建立tls通道

5  認證過程

客戶端通過開放系統接入的方法(open system)和ap之間建立好物理連線。

1)  client向ap裝置傳送乙個eapol-start報文,開始802.1x接入的開始。

2)  ap向客戶端傳送eap-request/identity報文,要求客戶端將使用者資訊送上來。

3)  client回應乙個eap-response/identity給ap的請求,其中包括使用者的網路標識。使用者id,對於eap-mschchap v2認證方式的使用者id是由使用者在客戶端手動輸入或者配置的。使用者id通常的格式是username@domain,其中username是運營商提供給使用者的身份id,domain是運營商的網域名稱(如「cmcc.com」)。

4)ap以eap over radius的報文格式將eap-response/identity傳送給認證伺服器radius,並且帶上相關的radius的屬性。

5)radius收到客戶端發來的eap-response/identity,根據配置確定使用eap-peap認證,並向ap傳送radius-access-challenge報文,裡面含有radius傳送給客戶端的eap-request/peap/start的報文,表示希望開始進行eap-peap的認證。

6)  ap裝置將eap-request/peap/start傳送給認證客戶端。

7)  client收到eap-request/peap/start報文後,產生乙個隨機數、客戶端支援的加密演算法列表、tls協議版本、會話id、以及壓縮方法(目前均為null),封裝在eap-response/client hello報文中傳送給ap裝置。

8):ap以eap over radius的報文格式將eap-response/client hello傳送給認證伺服器radius server,並且帶上相關的radius的屬性。

9):radius收到client發來的client hello報文後,會從client 的hello報文的加密演算法列表中選擇自己支援的一組加密演算法+server產生的隨機數+server 證書(包含伺服器的名稱和公鑰)+證書請求+server_hello_done屬性形成乙個server hello報文封裝在access-challenge報文中,傳送給client.

10) ap把radius報文中的eap域提取,封裝成eap-request報文傳送給client.

注:由於證書比較大,乙個報文是無法承載的,所以在實際流程中第10,11完成後,後面還有3個續傳的ip分片報文,目的是把server證書傳送到客戶端.

11) client收到報文後,進行驗證server的證書是否合法(使用從ca證書頒發機構獲取的根證書進行驗證,主要驗證證書時間是否合法,名稱是否合法),即對網路進行認證,從而可以保證server的合法。如果合法則提取server證書中的公鑰,同時產生乙個隨機密碼串pre-master-secret,並使用伺服器的公鑰對其進行加密,最後將加密的資訊clientkeyexchange+客戶端的證書(如果沒有證書,可以把屬性置為0)+tls finished屬性封裝成eap-rsponse/tls ok報文傳送給認證點ap.如果client沒有安裝證書,則不會對server證書的合法性進行認證,即不能對網路進行認證。

12) ap以eap over radius的報文格式將eap-response/tls ok傳送給認證伺服器radius server,並且帶上相關的radius的屬性

13) radius收到客戶端發了的報文後,用自己的證書對應的私鑰對clientkeyexchange進行解密,從而獲取到pre-master-secret,然後將pre-master-secret進行運算處理,加上client和server產生的隨機數,生成加密金鑰、加密初始化向量和hmac的金鑰,這時雙方已經安全的協商出一套加密辦法了,至此tls通道已經建立成功,以後的認證過程將使用協商出的金鑰進行加密和校驗。radius server借助hmac的金鑰,對要在tls通道內進行認證的訊息做安全的摘要處理,然後和認證訊息放到一起。借助加密金鑰,加密初始化向量加密上面的訊息,封裝在access-challenge報文中,傳送給client.

14)ap把radius報文中的eap域提取,封裝成eap-request報文傳送給client.

15)客戶端收到radius server發來報文後,用伺服器相同的方法生成加密金鑰,加密初始化向量和hmac的金鑰,並用相應的金鑰及其方法對報文進行解密和校驗,然後產生認證回應報文,用金鑰進行加密和校驗,最後封裝成eap-response報文傳送給ap,ap以eap over radius的報文格式將eap-response傳送給認證伺服器radius server,並且帶上相關的radius的屬性,這樣反覆進行互動,直到認證完成(注:對於不同的認證方法互動流程不一致,通常的認證方法為:peap-mschapv2或者gtc(ibm ldap支援的,有關於peap-gtc的過程就是在認證的時候按照gtc/otp的過程在peap新增的乙個過程罷了,再注:在傳送完密碼後要傳乙個長度為1的資料為0的包過去後才會得到sucess連通網路),下面由單獨認證流程,如果是sim認證,還需要跟hlr/auc裝置進行資料互動,並且使用as作為認證伺服器),在認證過程中,radius server會下發認證後用於生成空口資料加密金鑰(包括單播、組播金鑰)的pmk給client.

16) 伺服器認證客戶端成功,會傳送access-accept報文給ap,報文中包含了認證伺服器所提供的mppe屬性。

17) ap收到radius-access-accept報文,會提取mppe屬性中的金鑰做為wpa加密用的pmk,並且會傳送eap-success報文給客戶端.

憶龍2009 關於PEAP認證的過程說明

1 證書獲取 2 無線接入 客戶端通過開放系統接入的方法 open system 和ap之間建立好物理連線。3 認證初始化 1 client向ap裝置傳送乙個eapol start報文,開始802.1x接入的開始。2 ap向客戶端傳送eap request identity報文,要求客戶端將使用者資...

記錄cors認證過程 關於滲透

一 cors本質 cors 跨源資源共享 是一種認證機制,是 w3c 全球資訊網聯盟 推薦的一種用於跨域資源訪問的安全策略。二 源與同源策略 cors 中的源指的是某個url中的協議 網域名稱和埠,由這三個元素標識乙個唯一的源,如 http localhost 8080 和 https localh...

acegi的認證過程

authenticationmanager是認證核心介面,其作用是驗證客戶端輸入端使用者名稱是否正確 這個介面只有乙個方法 code public authentication authenticate authentication authentication throws authenticat...