WIFI中EAP-PEAP 认证分析

已于 2024-09-25 07:59:37 修改
阅读量1.1k 收藏 34
点赞数 35
分类专栏: WIFI 文章标签: 网络协议
于 2024-09-07 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobhu4201/article/details/141959757
版权

                                   WIFI中EAP-PEAP 认证分析

一 协议层模型

PEAPv2 packets may include TLVs both inside and outside the TLS tunnel.

The term "Outer TLVs" is used to refer to optional TLVs outside the TLS tunnel, which are only allowed in the first two   messages in the PEAPv2 protocol. That is the first EAP server to peer message and first peer to EAP server message. If the message is fragmented, the whole set of messages is counted as one message.

The term "Inner TLVs" is used to refer to TLVs sent within the TLS tunnel.

 In PEAPv2 Part 1, Outer TLVs are used to help establishing the TLS tunnel, but no Inner TLVs are used. Therefore the layering of PEAPv2 Part 1 is as follows:

In PEAPv2 Part 2, TLS records may encapsulate zero or more Inner TLVs, but no Outer TLVs.  EAP packets (including EAP header fields) used within tunneled EAP authentication methods are carried within Inner TLVs. Therefore the layering of PEAPv2 Part 2 is as follows:

二 包格式

   

三 流程

3.1PEAP用户接入流程

  1. WLAN UE向WLAN AN发送一个EAPoL-Start报文,开始802.1x接入的开始。
  2. WLAN AN向WLAN UE发送EAP-Request/Identity报文,要求WLAN UE将用户信息送上来。
  3. WLAN UE回应一个EAP-Response/Identity给WLAN AN的请求,其中包括用户的网络标识。用户ID,对于PEAP-mschchap v2认证方式的用户ID是由用户在客户端手动输入或者配置的。此次用户名建议同用户的portal认证用户名密码。
  4. WLAN AN以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给Radius,并且带上相关的RADIUS的属性。
  5. Radius收到WLAN AN发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向WLAN AN发送RADIUS-Access-Challenge报文,里面含有Radius发送给WLAN UE的EAP-Request/Peap/Start的报文,表示希望开始进行EAP-PEAP的认证。
  6. WLAN AN将EAP-Request/PEAP/Start发送给WLAN UE。

E2  建立TLS通道

  1. WLAN UE收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/Client Hello报文中发送给WLAN AN。
  2. WLAN AN 以EAP Over RADIUS的报文格式将EAP-Response/ TLS /Client Hello发送给认证服务器Radius,并且带上相关的RADIUS的属性。
  3. Radius收到Client Hello报文后,会从Client 的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server 证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个Server Hello报文封装在EAP消息中,使用Access-Challenge报文发送给WLAN AN。
  4. WLAN AN把Radius报文中的EAP-request消息发送给WLAN UE.
  5. WLAN UE收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合法),即对网络进行认证,从而可以保证Server的合法。如果合法则提取Server证书中的公钥,同时产生一个随机密码串pre-master-secret,并使用服务器的公钥对其进行加密,最后将加密的信息ClientKeyExchange+客户端的证书(如果没有证书,可以把属性置为0)+TLS finished属性封装成EAP-Rsponse/TLS ClientKeyExchange报文发送给WLAN AN.如果WLAN UE没有安装证书,则不会对Server证书的合法性进行认证,即不能对网络进行认证。
  6. WLAN AN以EAP Over RADIUS的报文格式将EAP-Response/TLS ClientKeyExchange发送给认证服务器Radius,并且带上相关的RADIUS的属性
  7. Radius收到报文后,用自己的证书对应的私钥对ClientKeyExchange进行解密,从而获取到pre-master-secret,然后将pre-master-secret进行运算处理,加上WLAN UE和Server产生的随机数,生成加密密钥、加密初始化向量和hmac的密钥,这时双方已经安全的协商出一套加密办法了。Radius将协商出的加密方法+TLS Finished消息封装在EAP over Radius报文Access-Challenge中,发送给WLAN AN。
  8. WLAN AN吧Radius报文中的EAP-Request消息发送给UE。
  9. WLAN UE回复EAP Response/TLS OK消息。
  10. WLAN AN将EAP Response/TLS OK消息封装在Radius报文中,告知Radius建立隧道成功。至此WLAN UE与Radius之间的TLS隧道建立成功。

E3  认证过程

  1. WLAN AN把Radius报文中的EAP域提取,封装成EAP-request报文发送给WLAN UE。
  2. WLAN UE收到报文后,用服务器相同的方法生成加密密钥,加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后封装成EAP-response报文发送给AP,AP以EAP Over RADIUS的报文格式将EAP-Response发送给认证服务器Radius Server,并且带上相关的RADIUS的属性,这样反复进行交互,直到认证完成。在认证过程中,Radius Server会下发认证后用于生成空口数据加密密钥(包括单播、组播密钥)的PMK给WLAN UE。
  3. 服务器认证客户端成功,会发送Access-Accept报文给WLAN AN,报文中包含了认证服务器所提供的MPPE属性。
  4. WLAN AN收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给WLAN UE。

E4  地址分配

  1. WLAN UE和WLAN AN间的空中数据报文进行加密传送,与WLAN AN进行DHCP流程交互,直至WLAN UE获取IP地址

E5 计费开始

  1. WLAN UE通过RADIUS-Accounting-Request(Start)报文通知Radius开始进行计费,含有相关的计费信息。

Radius向WLAN UE回应RADIUS-Accouting-Response(Start)报文,表示已开始计费。

3.2 MS-CHAP V2认证流程

  1. Radius在TLS通道内发起EAP-reuqest/Identity认证请求.
  2. AP把Radius报文中的EAP域提取,封装成EAP-request报文发送给Client.
  3. Client发送一个 给Ap一个EAP-Response报文,内容为Client的Identity(通常为用户名),.
  4. Ap把报文封装成Radius报文,送给Radius.
  5. Radius收到后,通过Radius报文,返回给AP一个16 字节的随机数.
  6. AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-MS CHAP V2 Challenge报文发送给Client. (CODE=1:Challenge)
  7. Client收到后:
  1. Client产生一个 16字节的随机数,称为“端认证质询”,
  2. client 将Radius server中收到的16字节质询,及其产生的16字节端认证质询,以及client的用户名进行SHA1算法的HASH,取结果的开始8字节。   
  3. client 将b产生的8 字节质询加密用windows nt hash  函数生成的本地口令HASH值(16字节),产生24字节的响应(MD4算法);
  4. client 将24字节的响应,结果封装在EAP-Response/EAP MS CHAP V2 Response报文中发送给AP. (CODE=2:Response)
  1. Ap把报文封装成Radius报文,送给Radius.
  2. Radius server收到后:
  1. 使用跟Client相同的方法进行用户口令的哈希值加密响应值,如果结果与质询值相同,则客户端认证通过
  2. Radius server 使用16字节的端认证质询和client 的哈希过的口令,一起创建一个20字节的认证者响应,封住成Radius报文发送给Ap.
  1. AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-CHAP V2 Success报文发送给Client.(CODE=3:Success)
  2. Client收到后,使用与服务器相同的方法计算一个认证者响应,如果与收到的响应一致,则server 通过认证,发送一个认证成功报文,封装成Eap—response/EAP Ms chap v2 ACK报文给Ap.
  3. Ap把报文封装成Radius报文,送给Radius.
  4. 服务器和客户端均认证成功,Radius server会发送Access-Accept报文给AP,报文中包含了认证服务器所提供的MPPE属性(MPPE密钥算法请参阅引用[18])。

AP收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给客户端.

四 TCPDUMP包

具体见 https://download.csdn.net/download/bobhu4201/89720728

802.1X认证介绍+EAPPEAP认证架构和MTK Android手机平台如何客制化EAP模式
weixin_47456647的博客
02-15 139
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了8。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指,在局域网接入设备的端口这一级,对所接入的用户设备通过认证来控制对网络资源的访问。目前身份验证方面最基础的安全协议就是EAP(Extensible Authentication Protocol),协议文档定义在RFC3748中。
WIFI认证EAP-PEAP
08-05
WIFI认证EAP-PEAP,已通过认证,可以直接使用。
Android Wifi连接 (PEAP)
xss66777学习记录
10-27 7655
Wifi PEAP方式的连接与Android的版本有很大关系,三个大的差别对应的版本分别是4.3以下,4.3到6.0之间,以及6.0以上,现在就基于版本分析。 如果要连接wifi,那么得创建WifiConfiguration 版本4.3以下,需要采用反射机制才能得到WifiConfiguration,而4.3及以上版本,android提供了WifiEnterpriseConfig类,可以直接创
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍了EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
关于PEAP认证的过程说明
aabb3575007的专栏
03-26 2707
1 证书获取 证书主要用来进行终端和网络的相互认证。 Radius服务器首先向CA证书颁发机构申请服务器证书,用来代表Radius服务器的合法性。 客户端向CA证书颁发机构下载CA 根证书,用来验证Radius服务器下发的证书是否合法(一般情况下,如果终端不需要对网络进行认证的情况下,根证书可以不用下载和安装)。 2 无线接入 客户端通过开放系统接入的方法(OPEN SYSTEM)和AP之间
Centos7 连接wifi (PEAP)
正怒月神的博客
07-16 1020
1 注意连接的wifi 2 安全中的设置,按照下图 3 有问题,记得reboot重启一下!
WIFIEAP-PEAP流程的tcpdump包
09-06
然后,认证服务器确定使用EAP-PEAP认证,回应一个RADIUS Access-Challenge报文,其中包含EAP-Request/PEAP-Start消息。接入设备将此消息以EAP-Request/PEAP-Start报文的形式转发给客户端。客户端收到后,生成一个...
OpenHarmony中EAP-PEAP认证支持 GTC方式
最新发布
bobhu4201的博客
10-20 952
OpenHarmony中EAP-PEAP认证支持 GTC方式 1 问题现象 2 初步分析 3 解决方案
EAP-PEAP认证手机配置手册.doc
10-04
以下是对EAP-PEAP认证在手机配置中的详细解释和操作指南。 ### 支持设备和操作系统 EAP-PEAP认证的手机配置适用于多种操作系统和品牌,包括: 1. **iOS** - 苹果的iPhone 4及后续版本都支持EAP-PEAP认证。 2. **...
802.1x EAP(证书)、PEAP(证书、EAP-MSCHAP v2)认证配置(NPS、组策略)
夜邢的博客
07-29 2358
802.1x EAP(证书)、PEAP(证书、EAP-MSCHAP v2)认证配置(NPS、组策略)
企业级无线渗透之PEAP
swordheart的博客
04-22 5220
0x00 前言 上月,受邀在C-SEC上海快递行业安全会议上做了关于无线安全威胁的议题分享。介绍了家庭级的无线网络薄弱环节及攻击方法,同时列举了乌云上因无线边界被突破,造成内网沦陷的诸多例子。后半部分,简要的介绍了企业级无线网络安全,可能因为受众人群及时间的关系,观众情绪不太高,所以我也没有展开。 家庭级的无线安全已是老生常谈了,而针对于企业级的802.1X,在我检索时发现中文网页内的相关安全文章只有寥寥数篇,大多只是讲述了攻击过程,对于其缺陷原因、防护方法、对于802.1X中EAP的诸多扩展协议并未提
802.1x网络准入peap认证
03-26
ias 802.1x peap 有线网络准入 无线网络准入
wifi测试相关
shichaog的专栏
11-26 4692
wpa_cli工具使用 连接wpa工具,进入配置wlan0接口的配置交互模式 wpa_cli -i wlan0 -p /data/misc/wifi/sockets 交互模式下常用命令如下: 查看当前网络接口信息 list_network 扫描其能探测到的wifi信号 scan 显示探测到的wifi连接结果, scan_results按如下格式显示 bssi
WIFIEAP-TLS 认证分析
bobhu4201的博客
09-06 1170
WIFIEAP-TLS 认证分析 1 包格式 2 流程 3 tcpdump包
WIFI接入认证2-WPA/WPA2-Enterprise
Lid_23的博客
07-18 3308
书接上回,WPA包含了802.1X的身份认证和加密,主要分为两种:WPA-Personal (WPA PSK) 和WPA-Enterprise,本文重点介绍WPA-Enterprise,它主要用于大型公司和大型企业。远程身份验证拨入用户服务(RADIUS)身份验证服务器需要提前部署好,Radius服务器与AP保持通信,用于自动密钥生成和身份验证,并且使用可扩展身份验证协议(EAP)对客户端进行身份验证。
【转】 IEEE 802.1X-PEAP认证过程分析(抓包)
anren7769的博客
06-12 631
转自:https://blog.csdn.net/u012503786/article/details/79296522 IEEE 802.1X-PEAP认证过程分析(抓包)本文介绍IEEE802.1X认证PEAP认证方式,是带有radius服务器的EAP中继认证。IEEE802.1X认证是使用EAP报文格式在申请者和认证者之间交换信息。带有radius服务器,即认证者不对...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值