hostapd的radius/eap server代码分析(3)-初始化及一次认证过程

最新推荐文章于 2024-07-01 15:13:47 发布
最新推荐文章于 2024-07-01 15:13:47 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: wifi 文章标签: 代码分析 server session struct null access

hostapd的radius/eap server代码分析(3)-初始化及一次认证过程
这组代码分析只是不才准备发在csdn的blog中的,内容从hostapd到eapserver到具体eapType最后是openssl。
主要偏重于网络安全,而PEDIY似乎片中软件安全居多,发在这里不知是否合适。
注册PEDIY的目的是为了在密码学板块交流的。
发此文为了申请邀请码,希望斑竹赏脸

本文给出的代码中可能缺少某些结构及变量的定义说明,最好结合hostapd代码查看,所用版本为0.6.10
如有某些内容不通顺或叙述方法不好还望指出,以便后续修改。谢谢


前两篇是:
hostapd的radius/eap server代码分析(1)-main
http://blog.csdn.net/NJZhuJinhua/archive/2010/04/11/5473970.aspx
hostapd的radius/eap server代码分析(2)-hostapd配置
http://blog.csdn.net/NJZhuJinhua/archive/2010/04/13/5479573.aspx

njzjh@PEDIY May.6,2010
NJZhuJinhua@csdn May.6,2010
转载请注明出处

上会说道hostapd的配置部分,下面来看一下这些配置是怎么用到radius/eap server的实现中去的。
static int hostapd_setup_radius_srv(struct hostapd_data *hapd,
struct hostapd_bss_config *conf)
{
struct radius_server_conf srv;
os_memset(&srv, 0, sizeof(srv));
srv.client_file = conf->radius_server_clients;
srv.auth_port = conf->radius_server_auth_port;
......
hapd->radius_srv = radius_server_init(&srv);
if (hapd->radius_srv == NULL) {
wpa_printf(MSG_ERROR, "RADIUS server initialization failed.");
return -1;
}

return 0;
}
作为参数的hostapd_data *hapd以及hostapd_bss_config *conf前面已有说明,其实这里只用第一个参数即可,第二个参数实际是第一个参数的一个成员变量。
radius_server_conf srv:顾名思义,存储本radius server的配置信息。
用hapd以及conf进行设置,然后调用radius_server_init完成radius server的初始化。函数调用返回struct radius_server_data指针并将此指针赋值给hapd->radius_srv。
这些配置信息均是全局唯一的。
radius_server_init内对radius_server_data进行初始化,其中包括对客户端安全关联的初始化,打开套接字准备接收消息,注册套接字上的事件处理回调函数等。

其中注册事件处理回调函数代码如下:
if (eloop_register_read_sock(data->auth_sock,
radius_server_receive_auth,
data, NULL)) {
radius_server_deinit(data);
return NULL;
}
即在data->auth_sock上有消息到达时调用radius_server_receive_auth进行处理
[对radius消息的收发用ACE的EventHandler重新实现,效果也不错]

radius_server_receive_auth实现的内容主要如下:
1:recvfrom接收数据
2:取得客户端信息,包括安全关联等
3:msg = radius_msg_parse(buf, len);解析radius属性。其中msg为struct radius_msg *msg = NULL;
4:radius_msg_verify_msg_auth校验80属性
5:处理radius请求
if (radius_server_request(data, msg, (struct sockaddr *) &from,
fromlen, client, abuf, from_port, NULL) == -2)
return; /* msg was stored with the session */
-2的含义为PENDING。

下面直接给出radius_server_request的实现。
static int radius_server_request(struct radius_server_data *data,
struct radius_msg *msg,
struct sockaddr *from, socklen_t fromlen,
struct radius_client *client,
const char *from_addr, int from_port,
struct radius_session *force_sess)
{
u8 *eap = NULL;
size_t eap_len;
int res, state_included = 0;
u8 statebuf[4];
unsigned int state;
struct radius_session *sess;
struct radius_msg *reply;
int is_complete = 0;

if (force_sess) 直接指定已有session,譬如上一次pending了,现在complete_cb后继续执行时把刚才的session在这里指定一下即可,如果记下刚才生成session得到的state,这里也可以通过在msg中增加RADIUS_ATTR_STATE值来实现,太难看了,还是force_sess实现的好!
sess = force_sess;
else {
//根据请求中的state属性找session
res = radius_msg_get_attr(msg, RADIUS_ATTR_STATE, statebuf,
sizeof(statebuf));
state_included = res >= 0;
if (res == sizeof(statebuf)) {
state = WPA_GET_BE32(statebuf);
sess = radius_server_get_session(client, state);
} else {
sess = NULL;
}
}

if (sess) {
RADIUS_DEBUG("Request for session 0x%x", sess->sess_id);
} else if (state_included) {
//含有state但是没找到session,拒绝
RADIUS_DEBUG("State attribute included but no session found");
radius_server_reject(data, client, msg, from, fromlen,
from_addr, from_port);
return -1;
} else {
//没带state 认为第一次接入,生成新的session
sess = radius_server_get_new_session(data, client, msg);
if (sess == NULL) {
RADIUS_DEBUG("Could not create a new session");
radius_server_reject(data, client, msg, from, fromlen,
from_addr, from_port);
return -1;
}
}

//判断是否重发的消息,及遇上一次端口一致,radiusid一致,radius头中的鉴别码一致。
//对重发的请求消息,则重发上一次的challenge消息(如果sess->last_reply有的话)
if (sess->last_from_port == from_port &&
sess->last_identifier == msg->hdr->identifier &&
os_memcmp(sess->last_authenticator, msg->hdr->authenticator, 16) ==
0) {
RADIUS_DEBUG("Duplicate message from %s", from_addr);
data->counters.dup_access_requests++;
client->counters.dup_access_requests++;

if (sess->last_reply) {
res = sendto(data->auth_sock, sess->last_reply->buf,
sess->last_reply->buf_used, 0,
(struct sockaddr *) from, fromlen);
if (res < 0) {
perror("sendto[RADIUS SRV]");
}
return 0;
}

RADIUS_DEBUG("No previous reply available for duplicate "
"message");
return -1;
}

//取得radius请求消息中的eapmsg
eap = radius_msg_get_eap(msg, &eap_len);
if (eap == NULL) {
RADIUS_DEBUG("No EAP-Message in RADIUS packet from %s",
from_addr);
data->counters.packets_dropped++;
client->counters.packets_dropped++;
return -1;
}

RADIUS_DUMP("Received EAP data", eap, eap_len);

/* FIX: if Code is Request, Success, or Failure, send Access-Reject;
* RFC3579 Sect. 2.6.2.
* Include EAP-Response/Nak with no preferred method if
* code == request.
* If code is not 1-4, discard the packet silently.
* Or is this already done by the EAP state machine? */
//上面注释看,eapserver跟eapstatemachine看来不是一个人写的。

wpabuf_free(sess->eap_if->eapRespData);
//用收到的eapmsg给sess->eap_if->eapRespData赋值
sess->eap_if->eapRespData = wpabuf_alloc_ext_data(eap, eap_len);
if (sess->eap_if->eapRespData == NULL)
os_free(eap);
eap = NULL;
sess->eap_if->eapResp = TRUE;

//运行 eap state machine,所处理数据即为sess->eap_if->eapRespData 。
eap_server_sm_step(sess->eap);

if ((sess->eap_if->eapReq || sess->eap_if->eapSuccess ||
sess->eap_if->eapFail) && sess->eap_if->eapReqData) {
//状态为三者之一置位且含有EAPReq数据的话,打印请求数据
RADIUS_DUMP("EAP data from the state machine",
wpabuf_head(sess->eap_if->eapReqData),
wpabuf_len(sess->eap_if->eapReqData));
} else if (sess->eap_if->eapFail) {
RADIUS_DEBUG("No EAP data from the state machine, but eapFail "
"set");
} else if (eap_sm_method_pending(sess->eap)) {
//eap处理过程中,有可能是具体eapmethod如eap-sim/aka等在处理过程中需要外发请求数据等待响应等情况。
if (sess->last_msg) {
radius_msg_free(sess->last_msg);
os_free(sess->last_msg);
}
sess->last_msg = msg;
sess->last_from_port = from_port;
os_free(sess->last_from_addr);
sess->last_from_addr = os_strdup(from_addr);
sess->last_fromlen = fromlen;
os_memcpy(&sess->last_from, from, fromlen);
return -2;
} else {
RADIUS_DEBUG("No EAP data from the state machine - ignore this"
" Access-Request silently (assuming it was a "
"duplicate)");
data->counters.packets_dropped++;
client->counters.packets_dropped++;
return -1;
}

//多轮交互后sess完成的标志,成功 or 失败?
if (sess->eap_if->eapSuccess || sess->eap_if->eapFail)
is_complete = 1;

//封装eap消息
reply = radius_server_encapsulate_eap(data, client, sess, msg);

if (reply) {
RADIUS_DEBUG("Reply to %s:%d", from_addr, from_port);
if (wpa_debug_level <= MSG_MSGDUMP) {
radius_msg_dump(reply);
}

//性能统计
switch (reply->hdr->code) {
case RADIUS_CODE_ACCESS_ACCEPT:
data->counters.access_accepts++;
client->counters.access_accepts++;
break;
case RADIUS_CODE_ACCESS_REJECT:
data->counters.access_rejects++;
client->counters.access_rejects++;
break;
case RADIUS_CODE_ACCESS_CHALLENGE:
data->counters.access_challenges++;
client->counters.access_challenges++;
break;
}
//发送AccessChallenge消息
res = sendto(data->auth_sock, reply->buf, reply->buf_used, 0,
(struct sockaddr *) from, fromlen);
if (res < 0) {
perror("sendto[RADIUS SRV]");
}
if (sess->last_reply) {
radius_msg_free(sess->last_reply);
os_free(sess->last_reply);
}
sess->last_reply = reply;
sess->last_from_port = from_port;
sess->last_identifier = msg->hdr->identifier;
//保存port id authenticator等,用于判断下一个请求是不是这一次aceessRequest的重发
os_memcpy(sess->last_authenticator, msg->hdr->authenticator,
16);
} else {
data->counters.packets_dropped++;
client->counters.packets_dropped++;
}

//session结束后,在下一次定时器到达后删除这个sess
if (is_complete) {
RADIUS_DEBUG("Removing completed session 0x%x after timeout",
sess->sess_id);
eloop_cancel_timeout(radius_server_session_remove_timeout,
data, sess);
eloop_register_timeout(10, 0,
radius_server_session_remove_timeout,
data, sess);
}

return 0;
}


刚才想发上去了,可惜注册24小时内不让发帖,继续补充如下:
hostapd的radius/eap server代码分析 标题太冗长,有点泛。后面小主题决定自成系列了,下一步计划是
eap状态机代码分析-(1)结构定义
eap状态机代码分析-(2)eap算法协商机制
eap状态机代码分析-(3)eap超时重传机制
eap状态机代码分析-(4)待定  

rheostat
关注
专栏目录
RadiusEAPRadius服务端身份认证相关代码分析
cqwei1987的博客
07-09 1277
无线接入认证中对服务端身份合法性验证过程支持两种模式:1. 基于shared secret,2.基于服务端数字证书,本文从代码角度介绍相关验证过程
基于FreeRadiusHostapd和wpa_supplicant搭建无线接入认证环境
cqwei1987的博客
07-09 1785
本文介绍FreeRadiusHostapd和wpa_supplicant搭建无线接入认证环境;并通过抓包工具分析PEAP-MSCHAPv2的认证过程;在此基础上推导出802.1x中的相关密钥。
hostapdradius/eap server代码分析(1)-main
朱金华的专栏
04-11 1万+
NJZhuJinhua@csdn Apr.10,2010http://blog.csdn.net/NJZhuJinhua/archive/2010/04/11/5473970.aspx欢迎转载,转载请注明出处。hostapd 的main函数位于hostapd/hostapd.c中。函数开始是日志相关以及对命令行参数选项的处理。int main(int argc, char
一文让你轻松理解WLAN Hostapd的配置参数 —— 未完,待续...
最新发布
1042484520@qq.com(邮箱)
07-01 1853
Hostapd
RADIUS 服务器之 hostapd 配置说明
乐鑫 Espressif
07-05 4993
RADIUS 服务器之 hostapd 配置说明 本文提供了企业级加密的 RADIUS 服务器配置环境搭建,供读者参考。 一. 安装 hostapd $ sudo apt-get install libnl1 libnl-dev libnl-doc $ sudo apt-get install libssl-dev $ sudo apt-get install bridge-util...
[hostapd] 代码分析-完全的802.1X认证过程radius服务器)
hanfs390的博客
02-08 7979
第一章、802.1X认证过程简述 802.1x认证的函数调用如下所示: 图 1-1 由上图可以看出,802.1x认证主要是在函数eapol_sm_step_run中完成。过程可以分为,认证、连接、EAP处理、四次握手(在图中...
hostapdradius/eap server代码分析(2)-hostapd配置
朱金华的专栏
04-13 7424
NJZhuJinhua@csdn Apr.10,2010http://blog.csdn.net/njzhujinhua欢迎转载,转载请联系 jinhua1982@gmail.com 并注明出处。 本节将hostapd基本配置及初始化,下节将eap相关的基本配置及初始化【1】首先是main函数最开始定义的hapd_interface变量int main(int argc, char *
技术文档记录代码分析情况_hostapd
08-05
根据提供的信息,我们可以深入探讨与"技术文档记录代码分析情况_hostapd"相关的知识点,特别是针对hostapd的网络接口和BSS初始化方面。 ### 一、hostapd简介 #### 1.1 定义 `hostapd` 是一个用户态的守护进程,...
hostapd wpa_supplicant madwifi详细分析(十)——wps原理及实现 二
热门推荐
奔跑的路
07-01 1万+
前面对WPS交互过程有了大概的了解,现在了解一下WPS交互时帧的格式以及每个帧所携带的信息。 WPS使用802.1x和EAP传输in-band注册协议的交互信息,这些信息里面都会携带大端排序的attributes字段。这个协议都会和一个自定义的EAP method相对应。WPS不需要AP支持RADIUS,也不要求网络内包含一个认证服务器,事实上,很多具有WPS功能的AP只支持802.1x使用WPS
一、无线信息传递——user space下的hostapd
xpbob的博客
09-02 8230
系列说明  大致简单了解了无线通信在底层的组成,接收和发送之后,接下来希望能更系统地对信息从user space至kernel space,至kernel对信息的使用,发送和接收等一系列步骤进行总结说明。以便后续将wifi的ssid,密码,加密方式等需要的信息填充入beacon帧中进行发送端组包,接收端解包的处理。   这一章先从user space层的hostapd开始说起,主要目的在于了解ho
eap_sim_db.rar_gateway
09-14
标题 "eap_sim_db.rar_gateway" 指涉的是一个与 hostapd 相关的 EAP-SIM 数据库和认证网关的实现。Hostapd 是一个用于创建无线接入点(Wi-Fi AP)的开源软件,而 EAP-SIM(Extensible Authentication Protocol -...
基于Hostapd完成EAP-SIM方式Wifi连接
02-20
本文档基于Hostapd服务器完成了EAP-SIM方式的连接。整个文档分为两个部分,第一部分介绍了EAP-SIM的基本概念和完成验证连接所需的步骤。第二部分则详细介绍了如何在UBUNTU下利用Hostapd进行EAP-SIM连接。实验所需要的所有东西,在文档中已经写得很清楚!
EAP-SIM/AKA学习资料(包括EAP-SIM白皮书,EAP-SIM测试手册等)
02-20
这是一份很好的EAP-SIM学习资料,里面包括了EAP-SIM/AKA白皮书和两份EAP-SIM/AKA测试手册。希望对大家初学EAP-SIM能够起到帮助作用!
radius java_Java处理Radius access-challenge
weixin_39782573的博客
02-12 679
最近使用RSAAuthentication Manager, 并且与其自带的Radius server整合, RSA的Radius server 配置不太透明, 目前只配成功了PAP方式的验证,CHAP目前不成功。RSA Radius在token输错3次后有要求用户输入next token的安全设置方式, 开始不知道java如何处理,后来查了一些资料,Radius协议本身是无状态的,客户端第二...
hostapdradius/eap server代码分析(4)-在windows下启动hostapdradius/eap server
朱金华的专栏
05-14 4192
hostapdradius/eap server代码分析(4)-在windows下启动hostapdradius/eap server NJZhuJinhua@csdn May.14, 2010 mail:jinhua1982@gmail.com http://blog.csdn.net/njzhujinhua 转载请注明出处。 为了更好的调测h
802.1X EAP 认证
weixin_34413802的博客
02-26 1937
从本节开始,我们将重点关注安全主题中最后一个重要部分,即身份验证。首先介绍EAP,然后介绍802.1X。提示 wpa_supplicant很大一部分内容就是在处理身份验证,所以本节也将花费较多的笔墨来介绍相关内容。(1)EAP[31][32][33]目前身份验证方面最基础的安全协议就是EAP(Extensible Authentication Protocol),协议文档定...
跟一下wpa_supplicant(1) 初始化
╰☆╮EvilCode的专栏╭☆╯
09-13 4125
转:http://blog.chinaunix.net/uid-20514606-id-3259402.html 环境:   android 2.3.4    wpa_supplicant 0.8   一切从 main.c 开始: (=>表示第1级, 那么==>表示下一级,类推) os_program_init => 参数解析& 获取 => wpa_supplican
学一点Wi-Fi:EAP & EAPOL
qq_23087099的博客
05-19 6724
1. EAP EAP其实并不是WiFi专有的协议,但在802.1X认证中经常碰到EAP,而且自己老是把一些相关的概念搞混淆,所以还是得做做笔记。 EAP,全称Extensible Authentication Protocol,是一个认证框架,这个框架一种简单的request/response方式,传递认证算法(EAP method)所需要的信息并完成认证。 2. EAP中的常见概念 Supplicant:向Authenticator申请认证的一方,和Peer是一个概念 Authenticator
hostapd.service - Advanced IEEE 802.11 AP and IEEE 802.1X/WPA/WPA2/EAP Authent Loaded: loaded (/lib/systemd/system/hostapd.service; enabled; vendor preset: Active: activating (auto-restart) (Result: exit-code) since Fri 2023-06-09 07 Process: 1411 ExecStart=/usr/sbin/hostapd -B -P /run/hostapd.pid -B $DAEMON_OP
06-10
根据你提供的信息,可以看出hostapd服务正在自动重启,并且启动失败了。具体的原因需要通过查看服务的日志信息来确定。你可以使用以下命令来查看hostapd服务的日志信息: ``` journalctl -u hostapd.service ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值