EAP—PEAP&EAP—TLS 认证具体流程分析EAP—PEAP 认证具体流程分析(结合 radius 认证协议及抓包)1.1EAP—PEAP 背景EAP: (Extensible Authentication Protocol)可扩展认证协议。EAP 属于一种框架协议,最初法律规范于 RFC2284,后来经 RFC3748 更新。EAP 是一种简单的封装方式,可以运行于任何的链路层,不过它在 PPP 链路上并未广泛使用。EAP 的基本架构如图所示:EAP 认证方式(EAP Method)。EAP 会把证明使用者身份的过程,授权给一个称为 EAP method 的附属协议,EAP method 乃是一组验证使用者身份的规则。使用 EAP method 的优点是,EAP 从此可以不用去管验证使用者的细节.当新的需求出现时就可以设计出新的认证方式,就算要用于无线局域网也不成问题.常用的 EAP 认证方法如下图所示: PEAP,受保护的 EAP(Protected EAP)。PEAP 是由 Microsoft、Cisco 和 RSA Security 共同开发,在 EAP 框架中基于证书+用户名密码实现用户 WLAN 接入鉴权。PEAP 是 EAP 认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用 PEAP 认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成.1.2EAP—PEAP 技术原理PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。EAP 客户端和认证服务器之间的认证过程有两个阶段.第一阶段:建立 PEAP 客户端和认证服务器之间的安全通道,客户端采纳证书认证服务端完成TLS握手。服务端可选采纳证书认证客户端.第二阶段:提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。服务器对用户和客户端进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(如:EAP—MS—CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点无法对这些消息进行解密。目前被 WPA 和 WPA2 批准的有两个 PEAP 子类型 PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是 PEAPV0—MSCHAPV2.1.3PEAP 用户接入流程图1 PEAP用户接入流程E1 认证初始化1)WLAN UE向WLAN AN发送一个EAPoL—Start报文,开始802。1x接入的开始。2)WLAN AN向WLAN UE发送EAP-Request/Identity报文,要求WLAN UE将用户信息送上来。3)WLAN UE回应一个EAP—Response/Ide...
