关闭

802.1x认证过程 TTLS

标签: authentication服务器layersocketserver网络
3794人阅读 评论(0) 收藏 举报

来源:http://archercai.blog.sohu.com/66483620.html

1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 5

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 0

        Length: 5

        Type: 1

Identity

        Type-Data:

No more data.

 

2.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。该用户名无论是什么都不影响验证结果,该报文中包含的用户名可能是为了与报文格式相符合。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 9

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 0

        Length: 9

        Type: 1

Identity

        Type-Data:

anonymous

 

3.认证服务器收到交换机转发上来的用户名信息后,生成一个Access-Challenge的验证开始报文,通过接入设备将报文发送给客户端,其中EAP-messgeEAP-Request/EAP-TTLS,并且其中包含Flags = start

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 1

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x20)Start (1 bytes)

 

4.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSTLS client_hello报文(其中包含了21组密码)送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 132

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 1

        Length: 132

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(127 bytes)

        Secure Socket Layer

             TLS Record Layer:Handshake Protocol:Client Hello  

 

5.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,该报文中包含了TLS server_helloTLS change_cipher_specTLS encrypted_handshake_message ,其中在Server Hello中包含了一组密码,通过接入设备将报文发送给客户端EAP-messgeEAP-Request/EAP-TTLS

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 140

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 2

        Length: 140

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(135 bytes)

        Secure Socket Layer

             TLS Record Layer: Handshake Protocol: Server Hello

             TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec

             TLS Record Layer: Handshake Protocol: Encrypted Handshake Message

 

6.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSTLS change_cipher_specTLS encrypted_handshake_message的报文,送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 61

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 2

        Length: 61

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(56 bytes)

        Secure Socket Layer            

             TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec

             TLS Record Layer: Handshake Protocol: Encrypted Handshake Message

 

7.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,通过接入设备将报文发送给客户端。该报文中的EAP-Message中为EAP-Request/EAP-TTLS,并且Flags = 0x00

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 3

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x0)(1 bytes)

 

8.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSFlags = 0x00(finished)

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 3

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x0)(1 bytes)

 

9.认证服务器收到交换机转发上来的Access-Request报文后,如果认证成功,则生成一个Access-Accept的报文,向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,生成一个Access-Reject的报文,保持交换机端口的关闭状态,只允许认证信息数据通过。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 4

    Extensible Authentication Protocol

        Code: 3

Success

        Identifier:3

        Length: 4

 

10.交换机收到Access-Accept的报文时,向客户端程序连续发送两个EAP-key的数据包。该KeyBroadcast类型和unicast类型。

802.1x Authentication

    Version: 1

    Type: 3

EAPOL - Key

    Length: 49

    EAPOL - Key

        Type:1

RC4 Key descriptor

        Key Length:5

        Replay Counter:

(8 bytes)

        Key IV:

(16 bytes)

        Key Flag:0

Broadcast

        Key Index:2

        Key Signature:

(16 bytes)

        Key:

(可选)

 

802.1x Authentication

    Version: 1

    Type: 3

EAPOL - Key

    Length: 49

    EAPOL - Key

        Type:1

RC4 Key descriptor

        Key Length:5

        Replay Counter:

(8 bytes)

        Key IV:

(16 bytes)

        Key Flag:1

unicast

        Key Index:2

        Key Signature:

(16 bytes)

        Key:

(可选)

 

注:

在验证过程中从客户端服务器明文传送的用户名无效,也就是说对验证结果没有影响。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:356705次
    • 积分:4038
    • 等级:
    • 排名:第7694名
    • 原创:51篇
    • 转载:50篇
    • 译文:1篇
    • 评论:33条
    最新评论