WIFI中EAP-TLS 认证分析

已于 2024-09-25 07:57:44 修改
阅读量679 收藏 23
点赞数 12
分类专栏: WIFI 文章标签: 网络 网络协议
于 2024-09-06 11:27:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobhu4201/article/details/141954480
版权

                                                  WIFI中 EAP-TLS 认证分析

  包格式


1)请求包

2)响应包

2 流程

  1. 申请者首先通过客户端软件向认证方发送一个EAPoL-Start报文,开始802.1x接入的开始。
  2. 认证方向申请者发送EAP-Request/Identity请求帧,要求提供身份标识。
  3. 申请者接收到认证方的请求后,向其发送EAP-Response/Identity响应帧,提供身份标识。
  4. 认证方将EAP-Response/Identity响应帧封装成RADIUS Access-Request帧发给认证服务器。
  5. 认证服务器通过用户身份标识检索认证数据库,获知采用TLS认证机制。通过向申请者发送封装EAP-Request/EAP-TLS/TLS-Start的Access-Challenge消息,启动TLS认证过程,等待进行TLS认证。
  6. 认证方向申请者发送EAP-Request/EAP-TLS/TLS-Start。
  7. 申请者收到EAP-Request/EAP-TLS/TLS-Start消息后,通过认证方发送EAP-Response/EAP-TLS/Client-Hello消息给服务器。这个消息里面包含了自己可实现的算法列表、Client Random Value和其它一些需要的信息。
  8. 认证方将EAP-Response/EAP-TLS/Client-Hello响应帧封装成RADIUS Access-Request帧发给认证服务器。
  9. 认证服务器接收到EAP-Response/EAP-TLS/Client-Hello后,确定TLS认证已建立,并通过封装包含多个TLS记录的EAP-Response/EAP-TLS消息的Access-Challenge消息经过认证方发送给申请者。TLS记录中包含认证服务器的数字证书Server-Certificate申请者数字证书请求Client Certificate-RequestSever-HelloServer Key-Exchange消息用于用交换密钥过程。Server Hello,确定了这次通信所需要的算法和Server Random Value
  10. 认证方向申请者发送EAP-Request/EAP-TLS/Sever-Hello,Server-Certificate,Server Key-Exchange,Client Certificate-Request。
  11. 申请者校验服务器的数字证书Server-Certificate,如果合法,向认证服务器发送Client-Cert、Client Key-Exchange、Change Cipher-spec和Finished消息。Client-Cert为申请者的数字证书Client Key-Exchange为使用认证服务器的公钥加密的定长随机串,也叫Pre Master Secert, Change Cipher-spec为申请者能够支持的加密类型。
  12. 认证方将EAP-Response/EAP-TLS/Client-Cert,Client Key-Exchange,Change Cipher-spec,Finished响应帧封装成RADIUS Access-Request帧发给认证服务器。
  13. 认证服务器校验申请者的证书Client-Certificate,如果合法,然后回复申请者以Change Cipher-spec和Finished消息,Change Cipher-spec包含了认证服务器指定使用的加密类型。
  14. 认证方向申请者发送EAP-Request/EAP-TLS/Change Cipher-spec,Finished。
  15. 申请者受到Finished消息后,给服务器一个响应EAP-Response/EAP-TLS/TLS-ACK,Finished。
  16. 认证方将EAP-Response/EAP-TLS/TLS-ACK,Finished响应帧封装成RADIUS Access-Request帧发给认证服务器。
  17. RADlUS服务器和Client都推导出主密钥MK(Master Key)。认证服务器收到TLS-ACK包后,发送Access-Accept给AP发送,其中包括主密钥MK并指示成功的认证。
  18. 认证方向申请者发送EAP-Success。此时完成EAP-TLS认证流程。

3 TCPDUMP包

具体包见 https://download.csdn.net/download/bobhu4201/89719300

bobhu4201
关注
专栏目录
WIFIEAP-PEAP 认证分析
bobhu4201的博客
09-07 798
WIFIEAP-PEAP 认证分析 1 协议层模型 2 包格式 3 流程 4 tcpdump包
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 3151
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
WIFI认证EAP-PEAP
08-05
WIFI认证EAP-PEAP,已通过认证,可以直接使用。
wifi测试相关
shichaog的专栏
11-26 4502
wpa_cli工具使用 连接wpa工具,进入配置wlan0接口的配置交互模式 wpa_cli -i wlan0 -p /data/misc/wifi/sockets 交互模式下常用命令如下: 查看当前网络接口信息 list_network 扫描其能探测到的wifi信号 scan 显示探测到的wifi连接结果, scan_results按如下格式显示 bssi
EAP认证
weixin_30808253的博客
12-22 1153
EAP信息交换: 上图展示的是OTP(一次性密码)实现EAP交换过程,具体的EAP交换过程如下:步骤1:请求方向认证方发送EAPOL-Start消息,通知对方已经做到了认证准备(注意:若会话由认证方发起,不需要该报文)步骤2:在检测到链路活动后(比如客户连接到SW端口),认证方向请求当发送EAP-Request/Identity消息步骤3:请求方给认证方回复EAP-Response/Id...
80211无线网络权威指南(六)之用户身份验证
weixin_50795704的博客
12-05 1041
一、可扩展身份验证协议EAP 802.1X的基础是EAP,它是一种简单的封装方式,可适用于任何链路层。有两种EAP:一种用于无线网络,另一种用于LAN连接,通常称为 EAP over LAN(EAPOL)。EAP的基本架构如下图所示,这样的设计就是为了能够运行在各种链路层以及使用各种身份验证方式。 EAP的封包格式 在PPP(点对点)链路上使用时,是通过PPP帧来承载,协议编号为0xC227,两种EAP在结构上只有头部不一样,具体结构如图: Code:代表EAP封包的类型,长度1字节,封包的Data必
WIFI 企业级认证手段 EAP-TLS介绍
weixin_43408952的博客
06-28 1506
EAP-TLSEAP-Transport Layer Security)被认为是WLAN网络里最安全的认证方法,因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。
eap wifi 证书_WIFI用户EAP-TLS认证.pdf
weixin_39933414的博客
02-01 1659
WIFI用户EAP-TLS认证FortiGate 结合Openssl + freeradius实现多级CA 环境下的无线用户EAP-TLS 认证一、 EAP-TLS 简介简而言之,使用数字证书来保护radius 认证,与802.1x 结合,可以用数字证书认证无线上网用户,是最安全的无线认证方法之一。参考:/wiki/EAP#EAP-TLS二、 实验环境如上图所示,使用两台ubuntu linux ...
WIFIEAP-TLS流程的tcpdump包
09-06
综上所述,通过对EAP-TLS认证流程的详细描述及tcpdump抓包分析,人们可以更深入地理解WIFIEAP-TLS认证机制的工作原理及其安全性所在。在实际的网络部署和故障排除,掌握如何利用tcpdump等网络抓包工具来分析认证...
WIFI认证EAP-TLS
08-05
这些值将被设置到WiFi配置,以便进行EAP-TLS认证。 5. **反射操作**: - 代码未显示的部分可能涉及使用反射来设置`WifiConfiguration`对象的私有或受保护的字段,因为直接访问这些字段在API通常是不可见的。...
WIFIEAP-TTLS流程的tcpdump包
09-08
EAP-TTLS(Tunneled Transport Layer Security)是WIFI一种安全的认证机制,它通过TLS隧道保护EAP方法的交换信息。下面是对WIFIEAP-TTLS流程的tcpdump包详细描述: 首先,客户端向接入设备发送EAPOL-Start报文...
在Openwrt上利用hostapd进行EAP-TLS认证
magikorb的博客
10-07 1968
缺少freeradius 利用freeradius的版本在此 众所周知hostapd有自带的RADIUS服务端功能(详见http://w1.fi/cgit/hostap/plain/hostapd/README),但是由于某些原因不能正常使用。Openwrt的固件在编译hostapd这个package时,没有包含RADIUS服务器所需的编译选项。只需要在编译时指定正确的编译选项,然后在网络脚本加入正确的配置即可。 1.加入编译选项 参考上一篇文章准备编译环境,下载资源并进行一次成功编译之后,清空b
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1303
`/etc/fstab` 文件是 Linux 系统用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统一种将存储设备与目录树关联的操作。通过挂载,存储设备的文件可以通过目录访问。
项目管理-信息技术发展
GAVIN
10-04 627
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
Mac ToDesk 无法连接网络
Primer5
10-04 278
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1714
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
使用winsock和ip相关指令重置Window网络配置
最新发布
CSDN爱好者的独到见解
10-06 506
和是 Windows 用于修复网络问题的命令。它们分别用于重置 Winsock 和 TCP/IP 网络配置,以解决可能由于配置错误或网络堆栈损坏而导致的网络连接问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值