收藏
下载资源 加入VIP,省得不是一点点

802.1X认证过程.doc

上传人:hw****26 文档编号:2398537 上传时间:2019-05-11 格式:DOC 页数:7 大小:128KB
下载 相关 举报
802.1X认证过程.doc_第1页
第1页 / 共7页
802.1X认证过程.doc_第2页
第2页 / 共7页
802.1X认证过程.doc_第3页
第3页 / 共7页
802.1X认证过程.doc_第4页
第4页 / 共7页
802.1X认证过程.doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

1、1.1.1 802.1X 认证 IEEE 802.1x是一种基于端口的网络接入控制技术,该技术提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。 IEEE 802.1x本身并不提供实际的认证机制,需要和上层认证协议 (EAP)配合来实现用户认证和密钥分发。 EAP允许无线终端支持不同的认证类型,能与后台 不同的认证服务器进行通信,如远程接入用户服务 (Radius)。 Bgate系列 AC支持 802.1X认证方式,这里以设备端 PAE对 EAP报文进行中继转发为例, IEEE 802.1X认证系统的基本 业务流程如下图所示。 在 WLAN网络中, WLAN客

2、户端 Station为客户端 PAE,提供 WLAN服务的设备为设备端 PAE。设备端通过产生一个随机 Challenge发送给客户端;客户端会使用配置的密钥对该 Challenge进行加密处理并将处理后的信息返回设备端;设备端根据客户端返回的加密后的 Challenge以及原始的 Challenge进行比较判断,设备端完成对客户端的单项认证。 客户端P A E 设备端P A E R A D I U S 服务器EAPOL-StartEAP-Response/IdentityEAP-Response/MD5 ChallengeEAP-Request/IdentityRADIUS Access-C

3、hallenge(EAP-Request/MD5 Challenge)RADIUS Access-Accept(EAP-Success)握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/Identity.EAPOL-Logoff端口被授权端口非授权EAPOL EAPORRADIUS Access-Request(EAP-Response/Identity)EAP-Request/MD5 ChallengeRADIUS Access-Request(EAP-Response/MD5 Challenge)EAP-SuccessIEEE 802.

4、1X 认证系统的 EAP 方式业务流程 整个 802.1x 的认 证过程可以描述如下 (1) 客户端向接入设备发送一个 EAPoL-Start 报文,开始 802.1x 认证接入 ; (2) 接入设备向客户端发送 EAP-Request/Identity 报文,要求客户端将用户名送上来 ; (3) 客户端回应一个 EAP-Response/Identity 给接入设备的请求,其中包括用户名 ; (4) 接入设备将 EAP-Response/Identity 报文封装到 RADIUS Access-Request 报文中,发送给认证服务器 ; (5) 认证服务器产生一个 Challenge,通过

5、接入设备将 RADIUS Access-Challenge 报文发送给客户端,其中包含有 EAP-Request/MD5-Challenge; (6) 接入设备通过 EAP-Request/MD5-Challenge 发送给客户端,要求客户端进行认证 (7) 客户端收到 EAP-Request/MD5-Challenge 报文后,将密码和 Challenge 做 MD5 算法后的 Challenged-Pass-word,在 EAP-Response/MD5-Challenge 回应给接入设备 (8) 接入设备将 Challenge, Challenged Password 和用户名一起送到

6、RADIUS 服务器,由 RADIUS 服务器进行认证 (9)RADIUS 服务器根据用户信息,做 MD5 算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束 ; (10) 如果认证通过,用户通过标准的 DHCP 协议 (可以是 DHCP Relay) ,通过接入设备获取规划的 IP 地址 ; (11) 如果认证通过,接入设备发起计 费开始请求给 RADIUS 用户认证服务器 ; (12)RADIUS 用户认证服务器回应计费开始请求报文。用户上线完毕。 为了提高 WLAN服务的数据安全性, IEE

7、E 802.1X中使用了 EAPOL-Key的协商过程,设备端和客户端实现动态密钥协商和管理;同时通过 802.1X协商,客户端 PAE和设备端 PAE协商相同的一个种子密钥 PMK,进一步提高了密钥协商的安全性。 802.1X支持多种 EAP认证方式,其中EAP-TLS为基于用户证书的身份验证。 EAP-TLS 是一种相互的身份验证方法,也就是说,客户端和服务 器端进行相互身份验证。在 EAP-TLS 交换过程中,远程访问客户端发送其用户证书,而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效,则连接将终断。下图描述了 EAP TLS认证方式过程: 客户端P A E 设备端P A

8、 E R A D I U S 服务器EAPOL-StartEAP-Response/IdentityEAP-Response/EAP-TLSclient_helloEAP-Request/IdentityRADIUS Access-Challenge(EAP-Request/EAP-TLS Start).EAPOL EAPORRADIUS Access-Request(EAP-Response/Identity)EAP-Request/EAP-TLS StartRADIUS Access-Request(EAP-Response/EAP-TLSclient_hello)RADIUS Acces

9、s-Challenge(EAP-Response/EAP-TLS:TLS server_hello, TLS certificate,TLS server_exchange, TLScertificate_request, TLSserver_hello_done)EAP-Response/EAP-TLS:TLS server_hello, TLS certificate,TLS server_exchange, TLScertificate_request, TLSserver_hello_doneEAP-Response/EAP-TLS:TLS certificate, TLSclient

10、_key_exchange, TLScertificate_verify TLSchange_cipher_spec, TLS finishedRADIUS Access-Request(EAP-Response/EAP-TLS:TLS certificate,TLS client_key_exchange, TLScertificate_verify TLSchange_cipher_spec, TLS finished)RADIUS Access-Challenge(EAP-Response/EAP-TLS:TLS change_cipher_spec,TLS finished)EAP-R

11、esponse/EAP-TLS:TLS change_cipher_spec,TLS finishedEAP-Response/EAP-TLSRADIUS Access-Request(EAP-Response/EAP-TLS)RADIUS Access-Accept(EAP-Success)EAP-SuccessEAP TLS 认证消息序列图 当 EAP TLS认证成功时,客户端 PAE和 Radius服务器会对应产生公用的对称的 Radius Key,Radius服务器会在认证成功消息中将 Radius Key通知设备端 PAE。客户端 PAE和设备端 PAE会根据该 Radius Key

12、,客户端 MAC地址以及设备端 MAC地址,产生种子密钥 PMK以及对应的索引PMKID。根据 IEEE802.11i协议定义的算法,设备端 PAE和客户端 PAE可以获得相同的 PMK,该种子密钥将在密钥协商过程( EAPOL-Key密钥协商)中使用。 1. WPA WPA 采用了 802.1x 和 TKIP 来实现 WLAN 的访问控制、密钥管理与数据加密。 802.1x 是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。 TKIP 虽然与 WEP 同样都是基于 RC4 加密算法,但却引入了 4 个新算 法: 扩展的 48 位初始化向量( IV)和

13、IV 顺序规则( IV Sequencing Rules) ; 每包密钥构建机制( per-packet key construction) ; Michael ( Message Integrity Code, MIC)消息完整性代码 ; 密钥重新获取和分发机制。 WPA系统在工作的时候,先由 AP向外公布自身对 WPA的支持,在 Beacons、 Probe Response等报文中使用新定义的 WPA 信息元素( Information Element),这些 信息元素中包含了 AP的安全配置信息(包括加密算法和安全配置等信息)。 STA 根据收到的信息选择相应的安全配置,并将所选择的安

14、 全配置表示在其发出的 Association Request 和 Re-Association Request 报文中。 WPA 通过这种方式来实现 STA(一般为客户端 Station) 与 AP 之间的加密算法以及密钥管理方式的协商。 支持 WPA 的 AP 工作需要在开放系统认证方式下, STA 以 WPA 模式与 AP 建立关联之后,如果网络中有 RADIUS 服务器作为认证服务器,那么 STA 就使用 802.1x 方式进 行认证;如果网络中没有 RADIUS, STA 与 AP 就会采用预共享密钥( PSK, Pre-Shared Key)的方式。 STA 通过了 802.1x

15、身份验证之后, AP 会得到一个与 STA 相同的 Session Key, AP 与STA 将该 Session Key 作为 PMK( Pairwise Master Key,对于使用预共享密钥的方式来说,PSK 就是 PMK)。随后 AP 与 STA 通过 EAPOL-KEY 进行 WPA 的四次握手( 4-Way Handshake)过程,如图 2 所示。 图 2 AP 与 STA 的四次握手 在这个过程中, AP 和 STA 均确认了对方是否持有与自己一致的 PMK,如不一致,四次握手过程就告失败。为了保证传输的完整性,在握手过程中使 用了名为 MIC( Message Integr

16、ity Code)的检验码。在四次握手的过程中, AP 与 STA 经过协商计算出一个 512 位的 PTK( Pairwise Transient Key),并将该 PTK 分解成为五种不同用途的密钥,如图 3 所示。 图 3 PTK 的产生过程 其中前 128 位用做计算和检验 EAPOL-KEY 报文的 MIC 的密钥,随后的 128 位作为加密EAPOL-KEY 的密钥 ;接下来的 128 位作为 AP 与该 STA 之间通信的加密密钥的基础密钥(即由该密钥再经过一定的计算后得出的密钥作为二者之间的密钥) ;最后两个 64 位的密钥分别作为 AP 与该 STA 之间的报文的 MIC 计

17、算和检验密钥。 由 PTK 分解出来的这一组(五个)密钥是 AP 与该 STA 之间使用的密钥(所以也叫每用户密钥,用于 AP 与 STA 之间的单播报文的加密),这些密 钥永远也不会以任何形式出现在无线网络上。在确认双方所持的 PMK 一致后, AP 会根据自身是否支持每用户密钥的能力来指示 STA 是否安装并使用这个每用户密钥。 为了使现有的设备能够通过软件 /固件升级 实现 WPA,协议规定 AP可以不采用 PTK方式,而是利用下面将要描述的 GTK 作为 AP 向 STA 发送单 播报文时的密钥。如果 AP 通知 STA 安装并使用 PTK,那么 STA 在向 AP 发送一个 EAPO

18、L-KEY 相应报文后,再把相应的密钥安装到无线网卡中。 四次握手成功后, AP 要生成一个 256 位的 GTK( Group Transient Key), GTK 是一组全局加密密钥,所有与该 AP 建立关联的 STA 均使用相同的 GTK, AP 用这个 GTK 来加密所有与它建立关联的 STA的通信报文, STA则使用这个 GTK来解密由 AP发送的报文 并检验其 MIC。该密钥可以分解为三种不同用途的密钥, 最前面的 128 位作为构造全局 “ 每报文密钥 ”( Per-packet Encryption Key)的基础密钥( Base Key),后面的两个 64 位的密钥分别作为

19、计算和检验 WPA 数据报文的 MIC 的密钥。 AP 使用 EAPOL-KEY 加密密钥将 GTK 加密并发送给 STA,并 指明该 GTK 是否允许 STA 用作发送报文所使用, STA 成功接收到该报文,将 GTK解密后,向 AP 发送应答报文,并根据 AP 所指示的 Key Index 将其安装无线网卡的相应位置,如果 AP 使用 GTK 作为向 某一 STA 单播传输的密钥,则该 STA 也需要使用 GTK 作为向 AP 发送单播报文的密钥。 TKIP 并不直接使用由 PTK/GTK 分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥( Base Key),经过两个阶段的密钥

20、混合过程,从而生成一个新的每一次报文传输都不一样的密钥,该密钥才是用做直接加密的密钥。 通过这种方式可以进一步增强 WLAN的安全性。密钥的生成方式如图 4 所示。 图 4 最终密匙的生成形式 在 WPA 中, AP 支持 WPA 和 WEP 无线客户端的混合接入。在 STA 与 AP 建立关联时, AP可以根据 STA的 Association Request中是否带有 WPA信息元素来确定哪些客户端支持使用WPA。但是在混合接入的时候,所有 WPA 客户端所使用的加密算法都得使用 WEP,这就 降低了无线局域网的整体安全性。 尽管 WPA 在安全性方面相较 WEP 有了很大的改善和加强,但

21、 Wi-Fi 联盟承认目前使用TKIP 的 WPA 只是一个临 时的过渡性方案。据来自 Wi-Fi 联盟的消息,预计在 2004 年第四季度推出的 WPA v2 中将会全面采用 AES 机制。 摘录: 1. 如何选择 EAP 摘要 :在 建立企业 WLAN 时,为无线网络选择合适的可扩展认证协议( EAP)方式是一项关键的安全决定,并且常常是不容易做出的决定。考虑到一些 EAP 方式(如 LEAP、 EAP-MD5)存在固有的安全缺陷,最好不要轻易使用它们,不过要在 PEAPv0(保护性 EAP)、 PEAPv1、TTLS(隧道传输层安全 协议)和 EAP/TLS(传输层安全协议)中做出选择也

22、并非易事。 实 际上,选择一种 EAP 的标准常常归结于是否支持企业中已部署的基础设施。在对客户机的 EAP 支持方面,主要客户机的操作系统将对 EAP 的选择产生重要影响。 Windows XP 等客户机操作系统内置对 PEAP 和 EAP/TLS 的支持,但却不支持 TTLS 或 EAP-SIM。如果想使用后两种 EAP,可以使用第三方软件,但这样 做会令管理员不能发挥 Windows XP 的优势,如组策略控制等。而对认证服务器的支持来说,并不是所有类型的 EAP 都支持企业网络中使用的各种认证证书。例如, PEAPv0 局限在使用 MS-CHAPv2 认证的 用户,而 EAP/TLS

23、则依靠客户端数字证书进行认证。 TTLS 在这方面最为灵活,它允许用户使用任意数量的认证证书。 哪种 EAP 方式最适合你的企业?这还取决于进行无线认证的主要出发点。如果安全性是首选因素, 那么 EAP/TLS 是最安全 EAP 机制,但它需要为所有最终用户部署 PKI(公共钥密基础设施)。如果你主要考虑灵活性, TTLS 可以适应几乎所有的认证 协议,包括一次性密码、基于令牌的认证和各种流行的口令认证机制。 PEAPv0 则是以 Windows 为中心的网络的明智选择,它内置对客户机和 Windows Active Directory 认证源的支持。 谨慎选择 EAP 类型是你无线 战略 的重要组成部分。同 IT 业中的很多决定一样,你必须根据自身的需求,在安全性、灵活性和简易性之间做出选择。这个过程很像是在挑选某种数字产品,你很清楚不会买到一件完 美的 东 西,但在令人眼花的柜台面前,你却可以作出一个完美的选择,最好的方法就是从需求出发,从最关注的功能出发。实际上 EAP 的诞生正是由用户的实际安全需求 所驱动的,在 IEEE 802.1x 本身并不提供实际认证机制的情况下,需要扩展认证协议也就是 EAP 的配合来解决无线局域网用户的接入认证问题。同样,当用户面对不同种类的 EAP 方式时,最终还是要回到最初的需求角度作出选择。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 精品笔记

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。