EAP认证

EAP信息交换:

上图中展示的是OTP(一次性密码)实现EAP交换过程,具体的EAP交换过程如下:

步骤1:请求方向认证方发送EAPOL-Start消息,通知对方已经做到了认证准备(注意:若会话由认证方发起,不需要该报文)
步骤2:在检测到链路活动后(比如客户连接到SW端口),认证方向请求当发送EAP-Request/Identity消息
步骤3:请求方给认证方回复EAP-Response/Identity消息,并由认证方转发给认证Server,请求方和认证Server之间也可以使用UDP  
             承载的Radius协议进行通信
步骤4:认证Server给认证服务器发送一个Radius格式的质询(challenge)消息,认证方将其重新封装为EAPOL发送给请求方(注意
             支持单向和双向认证,单向即Server验证请求方的身份;双向即双方都验证对方身份,无线中采用双向避免中间人攻击)
步骤5:请求方向认证方恢复质询消息,并由认证方准发给认证Server
步骤6:如果请求方提供的身份凭证无误,认证Server将返回Success的消息给请求方,并由认证方转发给请求方,认证方根据认证
             结果给予请求方访问网络资源的权限。

802.1X定义的三种端口状态:

如果SW端口使用了802.1X认证,则端口认证处于Auto状态,在请求方通过认证之前,端口处于非授权状态,待请求方认证通过后,端口处于授权状态。

端口认证主机模式:

端口认证的模式有5种,分别为单主机模式、多主机模式、多域认证模式、多认证模式和开放式模式。

EAP协议类型:

可以采用多种EAP协议来保护优先或无线网络的安全。

几种常使用的EAP:

 (1) EAP-MD5(EAP-消息摘要算法第5版)——不推荐
    采用质询-响应机制对用户进行认证。
    
    特点:
    ? 只采用用户名和密码作为请求方身份凭证
    ? 大多设备支持(相对简单)
    ? EAP-MD5对处理器要求不高,不会给认证双方造成负担
    ? 存在固有漏洞,安全性较差
        a. 只提供单向认证(请求方不能确定认证服务器的身份)
        b. 请求方的用户名以明文方式传输(传输途中遭截获可通过社会工程学攻击获取密码)
        c. MD5散列函数安全性较差(易遭到离线词典攻击)
    
EAP-MD5数据字段:
    

原理:
    

 (2) PEAPv0/MSCHAPv2(EAP-受保护的EAP/微软质询握手认证协议第2版)
    
    该EAP的两个阶段:
        a. 阶段一:采用和EAP-TLS相同的过程建立TLS隧道,并完成对认证服务器的身份的验证,该阶段完成,请求方和认证服务器之间建立了一条用户传输EAP消息的加密隧道。
        b. 阶段二:认证服务器采用另一种EAP协议(通常为MS-CHAPv2)对请求方进行认证,
    
    特点:
    ? 由Cisco、Microsoft和RSA Security共同开发
    ? 通过创建加密的TLS隧道以传输请求方的身份凭证
    ? 支持多种EAP类型作为内部认证协议
    ? 采用基于公钥基础设施(PKI)标准的服务器端数字证书作为服务器的身份凭证
    ? 若无法为所有的用户签发证书,也可以采用Windows的用户名和密码(这通过查询Windows域控制器、Active Directory或者其他现有的用户数据库实现)
    ? 分为两阶段
    
    EAP数据(PEAPv0/MS-CHAPv2):
    

原理:
    

(3) EAP-LEAP(EAP-轻量EAP)
    特点:
    ? Cisco开发
    ? 认证双方采用双向认证
    ? 请求方身份凭据为用户名和密码
    ? 认证服务器的身份凭证为共享密钥(shared secret)
    ? 先验证请求方,再验证认证服务器
    
    原理:
    
    
    (4) EAP-TLS(EAP-传输层安全)
    特点:
    ? 由Microsoft开发
    ? 以TLS协议为基础
    ? 采用双向认证
    ? 使用数字证书或者智能卡作为身份凭证
    ? 配置复杂
    ? 部署成本高
    ? 对处理器运算要求较高
    ? 可以配置为双要素认证(two-factor authentication)系统,它是目前安全性最高的认真机制之一
    
    EAP-TLS数据字段:
    
    原理:
    

 (5) EAP-TTLS(EAP-隧道化传输层安全)
    特点:
    ? 可视为EAP-TLS扩展
    ? 认证过程分为两个阶段
    ? 一定程度上简化了配置
    ? 支持PAP、CHAP等非EAP协议
    ? 不要求双方都采用数字证书的身份凭证
    
    EAP-TTLS数据字段:
    

 原理:
    阶段1:EAP-TTLS采用与EAP-TLS类似的方式在请求方和认证Server之间创建加密的TLS隧道,并在隧道中封装其他认证机制。
    阶段2:在隧道中进行双向的身份验证。
    
    (6) EAP-FAST(EAP-经由安全隧道的灵活认证)
    
    特点:
    ? Cisco开发的专有协议
    ? 安全性高
    ? 不必使用数字证书
    ? 能抵御中间人攻击、重放攻击、词典攻击等在内的多种网络攻击
    ? 认证分为两个阶段
        a. 阶段1:请求方和认证服务器间采用受保护的访问凭证(PAC)创建加密的TLS隧道
        b. 阶段2:请求方的身份凭证通过TLS隧道发送给认证服务器,并由后者加以验证
        
    注意:TLS隧道依赖于PAC,PAC由证书服务器动态配置并管理。
    
    EAP-FAST数据字段:
    

附:

原文地址:https://www.cnblogs.com/MomentsLee/p/10162733.html

时间: 2024-11-05 18:02:15

EAP认证的相关文章

[EAP]将hostapd作为radius服务器搭建EAP认证环境

文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接路由器设置 4.配置hostapd的user文件 5.运行命令 0.概念理解 (1)802.11i 是一个标准,这种安全标准为增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,标准范畴分为媒介层(MAC)与物理层(PHY).该标准为整个802.1

校园网认证原理

转至http://www.douban.com/note/215440648/ EAP是在RFC 3748中定义的一种认证协议,该协议用于在PPP等点到点网络中的认证,可支持多种认证机制.在802.1X中对EAP进行了简单的修改形成了EAPOL(EAP over LAN)协议,使其能在广播式的以太网中使用.EAP工作在OSI模型的第二层上,不需要用户端事先获取IP地址,简单易实现,主要用于客户端和认证者之间的认证信息交互. 802.1x认证的EAP协议(总体流程) Supplicant主机 服务

哈希表 之 接入与身份认证技术概述

1 概述 随着信息化的高速发展,对国家.组织.公司或个人来说至关重要的信息越来越多的通过网络来进行存储.传输和处理,为获取这些关键信息的各种网络犯罪也对应急剧上升. 当前,网络安全在某种意义上已经成为一个事关国家安全.社会经济稳定的重大问题.得到越来越多的重视. 在网络安全中.身份认证技术作为第一道,甚至是最重要的一道防线.有着重要地位,可靠的身份认证技术能够确保信息仅仅被正确的"人"所訪问.身份认证技术提供了关于某个人或某个事物身份的保证.这意味着当某人(或某事)声称具有一个特别的身

H3C 交换机802.1x认证配置

dot1x dot1x authentication-method eap  /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/ interface GigabitEthernet1/0/1 port access vlan 196 dot1x dot1x mandatory-domain aaa radius scheme bj_radius primary authentication 12.2.0.5 primary ac

浅谈802.1X认证

一.起源 802.1x协议起源于802.11协议,后者是标准的无线局域网协议.802.1x协议的主要目的是为了解决局域网用户的接入认证问题,现在已经开始被应用于一般的有线LAN的接入.在802.1x出现之前,企业网有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口.但是随着无线LAN的应用以及LAN接入到电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制.802.1x就是IEEE为了解决基于端口的接入控制而定义的一个标准. 二.作用 1.802.1x是一个认证协议,是一种

CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证

CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证 来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osnosn的博客 写于: 2019-03-27. 支持 EAP-PEAP(msCHAPv2) 用户账号认证.用户账号存于文本文件中. EAP-TLS证书认证,证书自行生成,可以吊销单个证书而阻止再次连接. 本文参考了几位大神的文章: 拒绝万能钥匙!教您用hostapd搭建一个企业级的Wi-Fi, 搭建一个

iOS - 开发之VPN

因为苹果的限制,连接到VPN服务器编程一直是作为开发人员的一个不可能完成的任务.但是现在苹果推出了全新的网络扩展框架使开发人员可以以编程的方式配置VPN. 这篇文章是一个指南来管理VPN配置在iOS 8和OS X(10.10)以上版本. 1.需要一个iOS8以上测试机,因为这个测试不工作在模拟器上. 2.你需要改变你的配置文件.你不能用你的iOS 7开发iOS 8 VPN应用程序配置概要文件. 然后登录到你的开发人员帐户,然后点击“证书标识符&档案”: 通过iOS 8的引入,一个新条目添加到这个

hostapd wpa_supplicant madwifi详细分析(十三)——EAPOL(802.1X-2004/IEEE Std 802.1X-2010)

这篇文章主要介绍EAPOL,关于它的详细定义可以到802.1X-2004/IEEE Std 802.1X-2010两个文档里面查询.这两个文档核心内容大同小异,只是2010版定义得更细致,同时也更难以理解,建议先了解2004版,会更容易看懂.因为2010版引入来更多的名词,加入了更多的参考资料,对一致性的描述更加细致具体,让标准可以适用于更多的加密场合,补充2004 版中的一下缺陷. 两个标准的前5章的差异,我们可以不用太深究,他们主要包括802.1x的定义,名词解释,适用范围,引用文档,一致性

Hostapd初始化失败

Hostapd hostapd 是一个用户态用于AP和认证服务器的守护进程.它实现了IEEE 802.11相关的接入管理,IEEE 802.1X/WPA/WPA2/EAP 认证, RADIUS客户端,EAP服务器和RADIUS 认证服务器. hostapd配置文件 interface=ath16 bridge=br0 logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=2 ctrl_interfa