E AP-P E A P&E A P-TLS 认证具体流程分析E AP-P E A P 认证具体流程分析(结合 ra d i u s 认证协议及抓包)1.1EA P-PEA P 背景EAP: (Exte n si b le Auth e ntication P rotoc o l)可扩展认证协议。EAP 属于一种框架协议,最初法律规范于 RF C 2284,后来经 RF C 3748 更新。EA P就是一种简单得封装方式,可以运行于任何得链路层,不过它在 PPP 链路上并未广泛使用。 EAP 得基本架构如图所示: EAP 认证方式(E A P Me t hod)。 EAP 会把证明使用者身份得过程,授权给一个称为 EAP met hod 得附属协议,EAP met ho d 乃就是一组验证使用者身份得规则。 使用 EAP m e th od 得优点就是,E A P从此可以不用去管验证使用者得细节。当新得需求出现时就可以设计出新得认证方式,就算要用于无线局域网也不成问题。 常用得 EAP 认证方法如下图所示: PEAP,受保护得 EAP(Protect e d EAP)。PEAP 就是由M icro s of t、C i sc o与R SA S e c urity 共同开发,在 EAP 框架中基于证书+用 户名密码实现用户 WLAN 接入鉴权。PEAP 就是 EA P认证方法得一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用 P E AP 认证时,需输入用户名与密码,后续接入认证无需用户任何手工操作,由终端自动完成。1.2EA P-PE A P 技术原理PEAP(Protected EAP)实现通过使用隧道在PEAP客户端与认证服务器之间进行安全认证。EAP 客户端与认证服务器之间得认证过程有两个阶段。 第一阶段:建立 PEAP 客户端与认证服务器之间得安全通道,客户端采纳证书认证服务端完成TLS握手。服务端可选采纳证书认证客户端。第二阶段:提供 EAP 客户端与认证服务器之间得 EAP 身份验证。整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。服务器对用户与客户端进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端与 RADIUS 服务器之间转发消息,由于不就是 TLS 终结点,访问点无法对这些消息进行解密。目前被 W P A 与W PA 2批准得有两个 PE AP子类型 P EA PV 0-M SCHAP V 2,P E A PV1-GT C,使用广泛得就是P EAPV 0-MS C HAPV2。1.3PE...
