EAP-PEAP&EAP-TLS认证具体流程分析

EAP—PEAP&EAP—TLS 认证具体流程分析EAP—PEAP 认证具体流程分析（结合 radius 认证协议及抓包）1.1EAP—PEAP 背景EAP： （Extensible Authentication Protocol）可扩展认证协议。EAP 属于一种框架协议，最初法律规范于 RFC2284，后来经 RFC3748 更新。EAP 是一种简单的封装方式，可以运行于任何的链路层，不过它在 PPP 链路上并未广泛使用。EAP 的基本架构如图所示：EAP 认证方式(EAP Method）。EAP 会把证明使用者身份的过程，授权给一个称为 EAP method 的附属协议，EAP method 乃是一组验证使用者身份的规则。使用 EAP method 的优点是,EAP 从此可以不用去管验证使用者的细节.当新的需求出现时就可以设计出新的认证方式，就算要用于无线局域网也不成问题.常用的 EAP 认证方法如下图所示: PEAP，受保护的 EAP（Protected EAP）。PEAP 是由 Microsoft、Cisco 和 RSA Security 共同开发，在 EAP 框架中基于证书+用户名密码实现用户 WLAN 接入鉴权。PEAP 是 EAP 认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用 PEAP 认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成.1.2EAP—PEAP 技术原理PEAP（Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。EAP 客户端和认证服务器之间的认证过程有两个阶段.第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采纳证书认证服务端完成TLS握手。服务端可选采纳证书认证客户端.第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。服务器对用户和客户端进行身份验证,具体方法由 EAP 类型决定，在 PEAP 内部选择使用（如：EAP—MS—CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点，访问点无法对这些消息进行解密。目前被 WPA 和 WPA2 批准的有两个 PEAP 子类型 PEAPV0-MSCHAPV2，PEAPV1-GTC，使用广泛的是 PEAPV0—MSCHAPV2.1.3PEAP 用户接入流程图1 PEAP用户接入流程E1 认证初始化1)WLAN UE向WLAN AN发送一个EAPoL—Start报文，开始802。1x接入的开始。2)WLAN AN向WLAN UE发送EAP-Request/Identity报文，要求WLAN UE将用户信息送上来。3)WLAN UE回应一个EAP—Response/Ide...