EAP-PEAP EAP-TLS认证具体流程分析

Ｅ AP-P Ｅ A Ｐ＆E Ａ P－TLS 认证具体流程分析Ｅ AP－Ｐ E Ａ P 认证具体流程分析(结合 ra ｄ i ｕ s 认证协议及抓包)1.1ＥＡ P－ＰＥＡ P 背景EAP： （Exte ｎ si ｂ le Auth ｅ ntication Ｐ rotoc ｏ l）可扩展认证协议。EAP 属于一种框架协议，最初法律规范于 RF Ｃ 2284，后来经 RF Ｃ 3748 更新。EA Ｐ就是一种简单得封装方式,可以运行于任何得链路层,不过它在 PPP 链路上并未广泛使用。 EAP 得基本架构如图所示： EAP 认证方式（Ｅ A Ｐ Me ｔ hod)。 EAP 会把证明使用者身份得过程,授权给一个称为 EAP ｍｅｔ hod 得附属协议,EAP met ｈｏ d 乃就是一组验证使用者身份得规则。 使用 EAP m ｅ th ｏｄ 得优点就是，Ｅ A Ｐ从此可以不用去管验证使用者得细节。当新得需求出现时就可以设计出新得认证方式，就算要用于无线局域网也不成问题。 常用得 EAP 认证方法如下图所示: PEAP，受保护得 EAP(Protect ｅ d EAP）。PEAP 就是由Ｍ icro ｓ of ｔ、C ｉ sc ｏ与Ｒ SA Ｓ e ｃ urity 共同开发,在 EAP 框架中基于证书+用 户名密码实现用户 WLAN 接入鉴权。PEAP 就是 EA Ｐ认证方法得一种实现方式，网络侧通过用户名／密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用 P Ｅ AP 认证时,需输入用户名与密码,后续接入认证无需用户任何手工操作,由终端自动完成。1.2EA Ｐ-PE Ａ P 技术原理PEAP(Protected EAP)实现通过使用隧道在PEAＰ客户端与认证服务器之间进行安全认证。EAP 客户端与认证服务器之间得认证过程有两个阶段。 第一阶段：建立 PEAP 客户端与认证服务器之间得安全通道，客户端采纳证书认证服务端完成TＬS握手。服务端可选采纳证书认证客户端。第二阶段：提供 EAP 客户端与认证服务器之间得 ＥAP 身份验证。整个 EAP 通信,包括 ＥAP 协商在内,都通过 TLS 通道进行。服务器对用户与客户端进行身份验证，具体方法由 ＥＡP 类型决定，在 PＥＡP 内部选择使用(如:ＥAＰ-MS－CHＡPｖ２)。访问点只会在客户端与 RＡDIUS 服务器之间转发消息,由于不就是 TLS 终结点，访问点无法对这些消息进行解密。目前被 W Ｐ A 与Ｗ PA ２批准得有两个 PE ＡＰ子类型 P ＥＡ PV ０－Ｍ SCHAP Ｖ 2,P Ｅ A ＰV1-GT Ｃ,使用广泛得就是Ｐ EAPV ０-MS Ｃ HAPV2。1.3PE...