认证方式探讨 EAP-MSCHAPV2

原创 2006年05月18日 18:36:00

这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:

           MSCHAP方式是,首先服务器发一个challenge给用户,
用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),
radius的MSCHAP模块向LDAP询问NTPASSWORD,
然后自己再用challenge和NTPASSWORD,
来计算一个response,
两个response相比较完成验证.
如果LDAP无法给出NTPASSWORD或送出SHA加密的NTPASSWORD,MS-CHAP就无法验证了.
唯一可行的办法是把LDAP的SCHEMA中加入NTPASSWORD域,并明文存放
,才能满足MS-CHAP的要求.


                    PEAP-MSCHAPV2流程:
  1、创建一个连接后,AP发送一个EAP-Request/Identity消息给客户端。
  2、客户端回复一个EAP-Response/Identity消息,包含客户端的标识,通常是名字。
  3、AP把这个消息传递给Radius服务器。从现在开始,逻辑通信就从Radius服务器到无线客户端了,AP,AC是一个中介设备。
  4、Radius服务器发送一个EAP-Request/Start PEAP消息给客户端。
  5、无线客户端和Radius服务器发送一系列的TLS消息通过协商建立的隧道。Raiuds服务器发送一个证书链让客户端认证。最后,Radius服务器已经认证了无线客户端。两端都决定使用的加密信息。
  在PEAP TLS隧道创建后,采用MS-CHAPV2认证。
  6、Radius服务器发送一个EAP-Request/Identity消息。
  7、无线客户端发送一个EAP-Response/Identity 消息,消息包用户名。
  8、Radius服务器发送一个EAP-Request/EAP-MS-CHAP-V2挑战消息,包含挑战字符串。
  9、无线客户端回复一个EAP-Response/EAP-MS-CHAPV2回复消息,包含对这个挑战的应答和一个自己的挑战。
  10、Radius服务器发送一个EAP-Request/EAP-MS-CHAPV2成功的消息,指出无线客户端的回应是正确的,且包含无线客户端的挑战字符串。
  11、无线客户端回应一个EAP-Response/EAP-MS-CHAPV2的ACK消息,指示Radius服务器的回应消息是正确的。
  12、Radius服务器发送一个EAP-Success消息。


EAP-TLS是一个IETF标准。TLS即传输层安全(Transport Layer Security),也称为SSL。它原本是一种传输层的安全协议,主要实现两个功能:身份鉴别与信息加密。TLS可实现基于证书的单向身份鉴别(只鉴别服务器)和双向身份鉴别(同时鉴别客户端与服务器)。TLS在完成身份鉴别的同时,还交换密钥信息,通过密钥信息可导出会话密钥用于信息加密。
需要指出的是,在这里TLS并不是作为一个安全传输层协议跑在TCP/IP层之上,而是将TLS的Handshake Record直接嵌套在EAP数据包中,作为EAP Request/Response的数据来传送,通过TLS的Handshake Record完成单向或双向的身份鉴别。EAP-TLS只利用了TLS的身份鉴别功能,并没有利用TLS建立的加密通道。
为了能够进一步利用TLS建立的安全通道交换EAP身份鉴别信息,IETF随后出台了PEAP(Protected EAP Protocol)标准草案。PEAP不但通过EAP Request/Response数据包传送TLS的Handshake Record完成身份鉴别,并且完成身份鉴别后进一步通过TLS的Data Record再传送EAP身份鉴别协议。
    对于秘钥:
der  “专有编码规则”文件。.der 文件包含证书的二进制表示,包含其公共密钥,但不包含其专用密钥。它与 .arm 文件非常相似,除了表示是二进制的,而非 ASCII。
.p12  "PKCS 12" 文件,其中 PKCS 代表“公共密钥密码术标准 (Public-Key CryptographyStandards)”。.p12 文件包含证书的二进制表示,包含其公共密钥和专用密钥。一个 .p12 文件中也可能包含多个证书;例如,证书、发出证书的 CA 的证书、CA 证书的发出者以及他的发出者等等。因为 .p12 文件包含专用密钥,它是受口令保护的。
 
 

PEAP-MSCHAPV2

MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCH...
  • lanmolei814
  • lanmolei814
  • 2014年04月16日 10:54
  • 1167

EAP-MSCHAPv2

近期中移需要EAP-SIM/AKA, EAP-MSCHAPv2, EAP-PEAP等,编写产品需求中,多看点协议。学习EAP-MSCHAPv2协议,下面是自己的理解及部分段落的翻译,看的是,Micro...
  • NJZhuJinhua
  • NJZhuJinhua
  • 2010年04月24日 14:06
  • 7733

认证方式探讨 EAP-MSCHAPV2

MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCH...
  • aabb3575007
  • aabb3575007
  • 2014年03月26日 20:00
  • 1578

EAP协议类型

EAP协议类型 ——*——Stonex CWNP无线网络 可扩展身份认证协议(Extensible Authentication Portocol,EAP)最早定义在RFC2284中,是一种支持多...
  • banrieen
  • banrieen
  • 2016年05月17日 17:13
  • 3247

FreeRadius: MS-CHAP v2

https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handsha...
  • chj90220
  • chj90220
  • 2016年12月28日 10:48
  • 850

认证方式探讨 EAP-MSCHAPV2

这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:           MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,...
  • icu
  • icu
  • 2006年05月18日 18:36
  • 5097

PEAP-MSCHAPV2的论证

  • 2011年04月02日 15:29
  • 32KB
  • 下载

常见认证方式

/转自 http://www.cnblogs.com/Irving/p/4964489.html 作者:花儿笑弯了腰 常用认证方式 在之前的文章REST API 安全设计指南与使用 ...
  • jansony1
  • jansony1
  • 2016年09月04日 09:51
  • 2415

宽带用户接入认证方式浅析

 2003-04-04 14:53:01王  政1    陈  萍2   (1. 山东省通信公司,  济南  250001       2. 山东省邮政机械厂,  济南  250022)  摘    ...
  • perddy
  • perddy
  • 2008年10月31日 16:05
  • 2041

wpa_supplicant-2.6 源码结构

核心功能 wpa_supplicant.c 程序初始化,主控制回路 wpa_supplicant/main.c main()适用于UNIX和Windows操作系统,使用命令参数来配置wpa_sup...
  • z2066411585
  • z2066411585
  • 2017年12月02日 15:41
  • 157
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:认证方式探讨 EAP-MSCHAPV2
举报原因:
原因补充:

(最多只允许输入30个字)