EAPPEAPEAPTLS认证具体流程分析.docx
《EAPPEAPEAPTLS认证具体流程分析.docx》由会员分享,可在线阅读,更多相关《EAPPEAPEAPTLS认证具体流程分析.docx(18页珍藏版)》请在冰豆网上搜索。
EAPPEAPEAPTLS认证具体流程分析
EAP-PEAP&EAP-TLS认证具体流程分析
EAP-PEAP认证具体流程分析(结合radius认证协议及抓包)
1.1EAP-PEAP背景
EAP:
(ExtensibleAuthenticationProtocol)可扩展认证协议。
EAP属于一种框架协议,最初规范于RFC2284,后来经RFC3748更新。
EAP是一种简单的封装方式,可以运行于任何的链路层,不过它在PPP链路上并未广泛使用。
EAP的基本架构如图所示:
EAP认证方式(EAPMethod)。
EAP会把证明使用者身份的过程,授权给一个称为EAPmethod的附属协议,EAPmethod乃是一组验证使用者身份的规则。
使用EAPmethod的优点是,EAP从此可以不用去管验证使用者的细节。
当新的需求浮现时就可以设计出新的认证方式,就算要用于无线局域网也不成问题。
常用的EAP认证方法如下图所示:
PEAP,受保护的EAP(ProtectedEAP)。
PEAP是由Microsoft、Cisco和RSASecurity共同开发,在EAP框架中基于证书+用
户名密码实现用户WLAN接入鉴权。
PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。
用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。
1.2EAP-PEAP技术原理
PEAP(ProtectedEAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。
EAP客户端和认证服务器之间的认证过程有两个阶段。
第一阶段:
建立PEAP客户端和认证服务器之间的安全通道,客户端采用证书认证服务端完成TLS握手。
服务端可选采用证书认证客户端。
第二阶段:
提供EAP客户端和认证服务器之间的EAP身份验证。
整个EAP通信,包括EAP协商在内,都通过TLS通道进行。
服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如:
EAP-MS-CHAPv2)。
访问点只会在客户端和RADIUS服务器之间转发消息,由于不是TLS终结点,访问点无法对这些消息进行解密。
目前被WPA和WPA2批准的有两个PEAP子类型PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是PEAPV0-MSCHAPV2。
1.3PEAP用户接入流程
图1PEAP用户接入流程
E1认证初始化
1)WLANUE向WLANAN发送一个EAPoL-Start报文,开始802.1x接入的开始。
2)WLANAN向WLANUE发送EAP-Request/Identity报文,要求WLANUE将用户信息送上来。
3)WLANUE回应一个EAP-Response/Identity给WLANAN的请求,其中包括用户的网络标识。
用户ID,对于PEAP-mschchapv2认证方式的用户ID是由用户在客户端手动输入或者配置的。
此次用户名建议同用户的portal认证用户名密码。
4)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/Identity发送给Radius,并且带上相关的RADIUS的属性。
5)Radius收到WLANAN发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向WLANAN发送RADIUS-Access-Challenge报文,里面含有Radius发送给WLANUE的EAP-Request/Peap/Start的报文,表示希望开始进行EAP-PEAP的认证。
6)WLANAN将EAP-Request/PEAP/Start发送给WLANUE。
E2建立TLS通道
7)WLANUE收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/ClientHello报文中发送给WLANAN。
8)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLS/ClientHello发送给认证服务器Radius,并且带上相关的RADIUS的属性。
9)Radius收到ClientHello报文后,会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个ServerHello报文封装在EAP消息中,使用Access-Challenge报文发送给WLANAN。
10)WLANAN把Radius报文中的EAP-request消息发送给WLANUE.
11)WLANUE收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合法),即对网络进行认证,从而可以保证Server的合法。
如果合法则提取Server证书中的公钥,同时产生一个随机密码串pre-master-secret,并使用服务器的公钥对其进行加密,最后将加密的信息ClientKeyExchange+客户端的证书(如果没有证书,可以把属性置为0)+TLSfinished属性封装成EAP-Rsponse/TLSClientKeyExchange报文发送给WLANAN.如果WLANUE没有安装证书,则不会对Server证书的合法性进行认证,即不能对网络进行认证。
12)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLSClientKeyExchange发送给认证服务器Radius,并且带上相关的RADIUS的属性
13)Radius收到报文后,用自己的证书对应的私钥对ClientKeyExchange进行解密,从而获取到pre-master-secret,然后将pre-master-secret进行运算处理,加上WLANUE和Server产生的随机数,生成加密密钥、加密初始化向量和hmac的密钥,这时双方已经安全的协商出一套加密办法了。
Radius将协商出的加密方法+TLSFinished消息封装在EAPoverRadius报文Access-Challenge中,发送给WLANAN。
14)WLANAN吧Radius报文中的EAP-Request消息发送给UE。
15)WLANUE回复EAPResponse/TLSOK消息。
16)WLANAN将EAPResponse/TLSOK消息封装在Radius报文中,告知Radius建立隧道成功。
至此WLANUE与Radius之间的TLS隧道建立成功。
E3认证过程
17)WLANAN把Radius报文中的EAP域提取,封装成EAP-request报文发送给WLANUE。
18)WLANUE收到报文后,用服务器相同的方法生成加密密钥,加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后封装成EAP-response报文发送给AP,AP以EAPOverRADIUS的报文格式将EAP-Response发送给认证服务器RadiusServer,并且带上相关的RADIUS的属性,这样反复进行交互,直到认证完成。
在认证过程中,RadiusServer会下发认证后用于生成空口数据加密密钥(包括单播、组播密钥)的PMK给WLANUE。
19)服务器认证客户端成功,会发送Access-Accept报文给WLANAN,报文中包含了认证服务器所提供的MPPE属性。
20)WLANAN收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给WLANUE。
E4地址分配
21)WLANUE和WLANAN间的空中数据报文进行加密传送,与WLANAN进行DHCP流程交互,直至WLANUE获取IP地址
E5计费开始
22)WLANUE通过RADIUS-Accounting-Request(Start)报文通知Radius开始进行计费,含有相关的计费信息。
23)Radius向WLANUE回应RADIUS-Accouting-Response(Start)报文,表示已开始计费。
1.3.1STA&radiusserver上抓包分析
(一)在STA上打开wireshark,在captureoption选项中选择对应的无线网卡,并把capturepacketsinpromiscuousmode前面的勾去掉,过滤eap||eapol||bootp的数据包。
PEAP认证成功时,STA的抓包如下(该抓包是抓的STA---AP之间的EAPoL包):
和“PEAP用户接入流程图”中的步骤相对应,步骤与包的对应关系如下图所示:
1
2
3
6
7
10
11
14
15
21
(二)在radiusserver上打开wireshark,在captureoption选项中选择对应的无线网卡,并把capturepacketsinpromiscuousmode前面的勾去掉,过滤radius的数据包。
PEAP认证成功时,radiusserver上的抓包如下,(该抓包是抓的AP—Radiusserver之间的EAPoverRadius包):
和“PEAP用户接入流程图”中的步骤相对应,步骤与包的对应关系如下图所示:
4
5
8
9
12
13
16
20
1.4PEAP用户下线流程
用户下线流程包括用户主动下线、网络下线和异常下线三种情况。
图2给出了用户主动下线流程,图3给出了网络下线流程,图4给出了用户异常下线流程。
1.用户主动下线
图2用户主动下线流程
1)WLANUE主动终止会话,发起EAPoL-logoff请求退出网络。
2)WLANAN向AAAServer发送计费停止请求的报文。
3)AAAServer向WLANAN回复计费停止请求报文的响应。
2、网络发起用户下线
图3网络发起下线流程
1)出于管理目的,网络发起下线流程,可以由AAAServer触发Disconnect-Request给WLANAN。
2)WLANAN终止用户会话,释放用户会话资源。
3)WLANAN向AAAServer回复Disconnect-ACK消息。
4)WLANAN向AAAServer发送计费停止请求的报文。
5)AAAServer向WLANAN回复计费停止请求报文的响应。
3、网络发起用户下线
图4用户异常下线流程
1)WLANAN检测固定时间内流量小于阈值或者通过KeepAlive机制检测发现用户已经不在线。
2)WLAN用户接入认证点向Radius发送计费停止请求的报文
3)Radius向WLAN用户接入认证点回计费停止请求报文的回应
1.5MS-CHAPV2认证流程
图4MS-Chapv2用户认证流程
1)Radius在TLS通道内发起EAP-reuqest/Identity认证请求.
2)AP把Radius报文中的EAP域提