WIFI接入认证2-WPA/WPA2-Enterprise

文章介绍了WPA-Enterprise用于大型企业网络的身份验证机制,特别是EAP-PEAP协议的认证过程,包括认证的三个阶段:初始化、建立TLS隧道和认证过程。EAP-PEAP通过TLS加密确保验证数据的安全传输,确保网络接入的安全性。
摘要由CSDN通过智能技术生成

前言

        书接上回,WPA包含了802.1X的身份认证和加密,主要分为两种:WPA-Personal (WPA PSK) 和WPA-Enterprise,本文重点介绍WPA-Enterprise,它主要用于大型公司和大型企业。 远程身份验证拨入用户服务(RADIUS)身份验证服务器需要提前部署好,Radius服务器与AP保持通信,用于自动密钥生成和身份验证,并且使用可扩展身份验证协议(EAP)对客户端进行身份验证。

        EAP全称是802.1x/EAP,是一种授权架构,允许或阻止流量通过端口访问网络资源,主要由三部分组成:

        1.请求方:也就是需要接入网络的设备

        2.认证方:决定请求方设备是否可以接入到这个网络,属于一个决断者角色

        3.认证服务器:对请求方进行身份认证,并将认证结果告知认证方,最终由认证方决定是否允许其接入

        常见EAP认证类型包括:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-LEAP、EAP-PEAP等等,这里不对每一种验证类型做详述,如有兴趣可留言,单独开一篇讲述,本文只用EAP-PEAP验证类型来做讲述,重点关注如何打通整体接入流程。

        EAP-PEAP(受保护的EAP协议)提供了一种安全传输验证数据的方法,包括传统的密码协议,通过 802.11 WiFi 网络。PEAP 在PEAP 客户端和验证服务器之间建立一个TLS加密隧道,在该TLS隧道内验证请求方的身份。

认证过程

        主要分为三个阶段:

        1.认证初始化:radius服务器获取请求方的身份信息,并回应认证开始

        2.建立TLS隧道:为了保证认证数据的安全性(跳过这个流程的讲解)

        3.认证过程:由于在安全的TLS隧道内传输,只有认证方和认证服务器才能知道使用的是什么挑战方式

 

 认证流程

        1.请求方和认证方完成关联;

        2.请求方向认证方发送EAPOL-Start报文,通知认证方开始802.1x的接入认证;

        3.认证方向请求方发送EAP-request/identity报文,要求请求方将用户信息上报;

        4.请求方回复EAP-response/identity报文,并携带用户名;

        5.认证方使用Radius协议,将EAP-response/identity及相关Radius属性封装到Radius-access-request,发送给认证服务器;

        6.认证服务器收到EAP-response/identity,根据配置确定使用EAP-PEAP认证,向认证方回复Radius-access-challenge报文,里面包含了EAP-request/PEAP/START报文,开始进行EAP-PEAP认证;

        7.认证方将EAP-request/PEAP发送给请求方;

        8.请求方收到EAP-request/peap/start报文,会执行TLS隧道的建立流程,用服务器相同的方法生成加密密钥。加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后会回复一个EAP-request/response/PEAP发送给认证方;

        9.认证方会转发给认证服务器,并带上相关的Radius属性,反复交互直到认证完成;

        10.认证服务器认证请求方成功后,会发送一个RADIUS-access-accept给认证者,并包含认证服务器提供的MPPE属性;

        11.认证方收到RADIUS-access-accept报文,会提取MPPE属性中的密钥作为WPA加密用的PMK,并且会发送EAP-SUCCESS报文给请求方;

        12.此时双方的PMK都已经创建成功;

        13.最后完成空口的4次握手,详见上一篇针对4次握手的描述

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值