802.1x认证过程 TTLS

转载 2012年03月22日 22:29:05

来源:http://archercai.blog.sohu.com/66483620.html

1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 5

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 0

        Length: 5

        Type: 1

Identity

        Type-Data:

No more data.

 

2.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。该用户名无论是什么都不影响验证结果,该报文中包含的用户名可能是为了与报文格式相符合。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 9

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 0

        Length: 9

        Type: 1

Identity

        Type-Data:

anonymous

 

3.认证服务器收到交换机转发上来的用户名信息后,生成一个Access-Challenge的验证开始报文,通过接入设备将报文发送给客户端,其中EAP-messgeEAP-Request/EAP-TTLS,并且其中包含Flags = start

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 1

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x20)Start (1 bytes)

 

4.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSTLS client_hello报文(其中包含了21组密码)送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 132

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 1

        Length: 132

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(127 bytes)

        Secure Socket Layer

             TLS Record Layer:Handshake Protocol:Client Hello  

 

5.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,该报文中包含了TLS server_helloTLS change_cipher_specTLS encrypted_handshake_message ,其中在Server Hello中包含了一组密码,通过接入设备将报文发送给客户端EAP-messgeEAP-Request/EAP-TTLS

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 140

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 2

        Length: 140

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(135 bytes)

        Secure Socket Layer

             TLS Record Layer: Handshake Protocol: Server Hello

             TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec

             TLS Record Layer: Handshake Protocol: Encrypted Handshake Message

 

6.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSTLS change_cipher_specTLS encrypted_handshake_message的报文,送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 61

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 2

        Length: 61

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x80)Length(56 bytes)

        Secure Socket Layer            

             TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec

             TLS Record Layer: Handshake Protocol: Encrypted Handshake Message

 

7.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,通过接入设备将报文发送给客户端。该报文中的EAP-Message中为EAP-Request/EAP-TTLS,并且Flags = 0x00

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 1

Request

        Identifier: 3

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x0)(1 bytes)

 

8.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLSFlags = 0x00(finished)

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 6

    Extensible Authentication Protocol

        Code: 2

Response

        Identifier: 3

        Length: 6

        Type: 21

EAP-TTLS

        Type-Data:

Flags(0x0)(1 bytes)

 

9.认证服务器收到交换机转发上来的Access-Request报文后,如果认证成功,则生成一个Access-Accept的报文,向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,生成一个Access-Reject的报文,保持交换机端口的关闭状态,只允许认证信息数据通过。

802.1x Authentication

    Version: 1

    Type: 0

EAP Packet

    Length: 4

    Extensible Authentication Protocol

        Code: 3

Success

        Identifier:3

        Length: 4

 

10.交换机收到Access-Accept的报文时,向客户端程序连续发送两个EAP-key的数据包。该KeyBroadcast类型和unicast类型。

802.1x Authentication

    Version: 1

    Type: 3

EAPOL - Key

    Length: 49

    EAPOL - Key

        Type:1

RC4 Key descriptor

        Key Length:5

        Replay Counter:

(8 bytes)

        Key IV:

(16 bytes)

        Key Flag:0

Broadcast

        Key Index:2

        Key Signature:

(16 bytes)

        Key:

(可选)

 

802.1x Authentication

    Version: 1

    Type: 3

EAPOL - Key

    Length: 49

    EAPOL - Key

        Type:1

RC4 Key descriptor

        Key Length:5

        Replay Counter:

(8 bytes)

        Key IV:

(16 bytes)

        Key Flag:1

unicast

        Key Index:2

        Key Signature:

(16 bytes)

        Key:

(可选)

 

注:

在验证过程中从客户端服务器明文传送的用户名无效,也就是说对验证结果没有影响。

EAP-MD5与EAP-PEAP的认证流程

EAP-MD5: (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户...
  • aabb3575007
  • aabb3575007
  • 2014年03月10日 16:00
  • 2315

802.1x认证过程 TTLS

来源:http://archercai.blog.sohu.com/66483620.html 1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请...
  • eydwyz
  • eydwyz
  • 2017年03月23日 16:09
  • 288

全面解析802.1x认证原理

802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x认证系统采用网络应用系统典型...
  • lycb_gz
  • lycb_gz
  • 2013年12月24日 09:10
  • 32782

EAP-MD5与EAP-PEAP的认证流程

EAP-MD5: (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户...
  • aabb3575007
  • aabb3575007
  • 2014年03月10日 16:00
  • 2315

EAP-TLS认证过程

EAP-TLS认证过程如下:  1)客户端发出EAP-start消息请求认证;  2)AP发出请求帧,要求客户端输入用户名;  3)客户机响应请求,将用户名信息通过数据帧发送至AP;  4)AP将客户...
  • myxmu
  • myxmu
  • 2014年02月10日 15:32
  • 5060

浅谈802.1X认证

一、起源 802.1x协议起源于802.11协议,后者是标准的无线局域网协议。802.1x协议的主要目的是为了解决局域网用户的接入认证问题,现在已经开始被应用于一般的有线LAN的接入。在802.1x出...
  • u013181216
  • u013181216
  • 2016年05月25日 12:03
  • 5646

全面解析802.1x认证原理

以下内容摘自正在当当网、京东网、卓越网、互动出版网等各书店火热销售的《华为交换机学习指南》一书(全书930多页)。本书是由华为官方直接授权,国内第一本,也是唯一一本华为交换机权威学习指南,是华为ICT...
  • whatday
  • whatday
  • 2016年07月12日 17:45
  • 888

freeradius 802.1X EAP-PEAP 认证失败问题的解决

使用freeradius 2.1.12版本测试 EAP-PEAP认证过程中,总是无法认证成功,查看相关的LOG显示, EAP-TLS 和 TUNNEL都已经完成,但是在mschapv2过程中出现报错,...
  • perddy
  • perddy
  • 2013年03月09日 20:01
  • 11466

DOT1X和802.1x认证的区别和联系

DOT1X和802.1x认证的区别和联系     dot1 X 是 IEEE 802.1X的缩写,是基于Client/Server的访问控制和认证协议。简...
  • xlh1991
  • xlh1991
  • 2014年10月09日 20:49
  • 3349

802.1X用户身份验证过程

802.1X用户身份验证过程 802.1X为任何局域网,包括无线局域网提供了一个用户认证的框架,当工作站与接入点关联成功,工作站就可以 开始进行802.1X帧交换过程,尝试取得授权。802.1X认证交...
  • csdn_zyp2015
  • csdn_zyp2015
  • 2017年02月07日 17:55
  • 1295
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:802.1x认证过程 TTLS
举报原因:
原因补充:

(最多只允许输入30个字)