Radius协议、EAP协议、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS和EAP-PEAP

最新推荐文章于 2024-09-08 10:31:43 发布
最新推荐文章于 2024-09-08 10:31:43 发布
阅读量1.5w 收藏 60
点赞数 7
分类专栏: 身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cqwei1987/article/details/107226261
版权
这篇博客详细介绍了Radius协议,包括其协议实体、典型流程和报文格式。同时深入讲解了EAP协议,特别是EAP-MSCHAPv2、EAP_TLS、EAP-TTLS和EAP-PEAP的认证过程,强调了它们在网络认证中的安全性和重要性。
摘要由CSDN通过智能技术生成

1. Radius协议

Radius协议是目前AAA服务中所使用的最广泛的协议,它对认证,授权以及计费的功能都提供支持。Radius服务器通过建立一个唯一的用户数据库,存储用户名,用户密码等一系列信息,接入用户通过发送自己的用户名,密码,证书等信息给服务器来进行认证,认证成功后,服务器会给用户下发配置信息来完成授权,并且根据配置好的计费规则对用户进行计费。只有通过认证的用户,才能访问Radius服务器上的资源。

1.1 RADIUS协议实体

  • 无线终端 (Authenticating peer)
  • NAS (RADIUS Client)
  • RADIUS Server & Authenticator Server

1.2 RADIUS典型流程

RADIUS协议在进行处理的时候,认证过程和授权过程是在一起进行的,具体的操作是将授权信息放入到响应报文中。认证方法大致可以支持两种:

  • 基于数字证书的认证方法,基于数字证书的认证方法一般是利用TLS协议建立安全通道,然后在通道中交换数据,嵌套别的认证方法。
  • 基于密码的认证方法,基于密码的认证方法的例子有PAP认证和CHAP认证等。
    Radius协议基本流程

1.3 RADIUS报文格式

Radius协议报文格式

  • 代码(报文号)Code域占位一个字节,它用来标识Radius报文类型,下文列出了常见的代码编码与对应意义:
			1  接入请求报文
			2  接入成功回应报文
			3  接入拒绝回应报文
			4  计费请求报文
			5  计费回应报文
			11  接入挑战报文
			12  服务器状态报文
			13  客户端状态报文
			255  保留
  • 标识符Identifier域占位一个字节,用于匹配请求和回应报文。比如说,可以根据该值判断是否是重复请求报文,在某一个时间区间以内,如果两个报文来自于相同的地址和端口,而且具有相同的Idenfier值,则可以认定为是重复的报文。
  • 长度Length,长度域占位两个字节。它包含了报文中的Code域,Identifier域,Length域,Authenticator域和属性域的总长度。如果接收到的报文的长度大于这个值,则在接收报文时忽略多出来的字节;如果长度小于这个值,则说明报文不完整,直接丢弃报文。一个Radius报文的长度在20到4095个字节的范围内。
  • 认证字,Authenticator域占位16个字节。高位字节先传输。该域的值用来鉴别服务器的回应报文。
  1. 请求认证字:Authentictor的值是一个随机生成的16字节字符串。NAS和Radius服务器共享一个密钥,该共享密钥被加在请求认证字域后面,然后对之使用MD5算法生成一个16字节的摘要,将该摘要和用户输入的密钥进行异或,然后将异或结果放入接入请求报文的User-Password属性。
  2. 回应认证字:在访问接受、访问拒绝和访问挑战报文中。它的值定义为整个访问回应报文的内容和共享密钥进行MD5摘要计算得出的16字节字符串:从代码域开始,包含标识符域,长度域,接入请求报文中的请求认证字域和回应报文中的属性,然后后面加上共享密钥,即
ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+Secret)
  1. Accounting-Request认证
最低0.47元/天 解锁文章
cqwei1987
关注
专栏目录
WIFI中EAP-PEAP 认证分析
bobhu4201的博客
09-07 880
WIFI中EAP-PEAP 认证分析 1 协议层模型 2 包格式 3 流程 4 tcpdump包
WIFI中EAP-TLS 认证分析
bobhu4201的博客
09-06 775
WIFI中EAP-TLS 认证分析 1 包格式 2 流程 3 tcpdump包
扩展认证协议EAP-TLS/EAP-TTLS/EAP-PEAP
weixin_34088838的博客
07-15 1722
IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP- MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟少,如果 要窃取信息需要物理上连接网络,而无线网完全不同,无线网信号没有物理边界,所以要使用802....
认证方式探讨 EAP-MSCHAPV2
狂奔蜗牛的专栏
05-18 1万+
这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:           MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个resp
WIFI中EAP-TTLS 认证分析
最新发布
bobhu4201的博客
09-08 1017
WIFI中EAP-TTLS 认证分析 1 协议层模型 2 包格式 3 流程 4 TCPDUMP包
PEAP vs EAP-TLS
maxiaobang的博客
08-13 68
802.1X加密 EAP PEAP EAP-TLS
eap报文格式
03-11 5074
上世纪90年代后期,为了解决无线局域网(WLAN)接入控制的问题(包括安全问题,信息资源盗用的问题),IEEE提出了802.1x协议族,采用基于端口的控制方法来实现接入端认证。后来,由于802.1x的成功,有线接入的局域网也开始广泛使用该协议来进行接入认证和计费。    EAP最早是用于点到点传输的扩展认证协议,它本身并不提供认证功能,而只是提供了一种客户端同认证服务器之间的信息交换协议。认证服务
EAP-TLS/EAP-TTLS/EAP-PEAP
热门推荐
qq_39529180的博客
05-22 1万+
原文:http://blog.chinaunix.net/uid-26422163-id-3457357.html IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP-MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟...
EAP-MSCHAPv2
朱金华的专栏
04-24 1万+
近期中移需要EAP-SIM/AKA, EAP-MSCHAPv2, EAP-PEAP等,编写产品需求中,多看点协议。学习EAP-MSCHAPv2协议,下面是自己的理解及部分段落的翻译,看的是,Microsoft EAP CHAP Extensions      draft-kamath-pppext-eap-mschapv2-02.txt  2007也不知是不是最新的 E
java eap协议,[ZZ]认证方式探讨 EAP-MSCHAPV2
weixin_31817039的博客
03-13 427
认证方式探讨 EAP-MSCHAPV2MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个response,两个response相比较完成验证....
一次Dot1x认证/EAP认证/RADIUS交互-报文解析
fengxingzhe008的博客
10-14 2094
Dot1x认证/EAP认证/RADIUS交互-报文解析,EAP中继认证,RADIUS认证属性
WIFI认证之EAP-TLS
08-05
WIFI认证之EAP-TLS,已通过调试,可以直接使用。
8021x认证中的MSCHAPv2流程
h_wlyfw的专栏
03-19 538
MSCHAPv2认证流程
AD 域 实现 MSCHAPV2 认证
tsh185的专栏
03-12 3631
在做无线的 wpa(2) 企业认证,eap-peap(mschapv2) 认证, 用户信息保存在 AD域中 终结模式 wac + AD 域认证实现 : wpa(2) 认证eap-peap(mschapv2) wac 为 linux 要求AD 域认证 最简单的办法就是 将 wac (linux )加入到 AD 域 (在这里使用 samba 套件) samba 依赖k
FreeRadius: MS-CHAP v2
Huntinux
12-28 3729
https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handshake Authentication Protocol, CHAP. The protocol exists in two versions, MS-CHAPv1 (defined in RFC 2433
linux使用eaptls方式,为 EAP-TLS 网络获取和部署证书
weixin_39637919的博客
05-14 745
EAP-TLS 网络获取和部署证书04/13/2020本文内容在 Azure Sphere 设备可以连接到 EAP-TLS 网络之前,它必须具有一个客户端证书,RADIUS 服务器可以使用该证书对设备进行身份验证。 如果你的网络需要相互身份验证,则每个设备还必须具有根 CA 证书,以便可以对 RADIUS 服务器进行身份验证。如何获取和部署这些证书取决于设备可用的网络资源。如果 EAP-TLS...
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 3351
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
802.1x 和 EAP 类型
01-16 1万+
无线安全 - 802.1x 和 EAP 类型  
RADIUS协议原理介绍+报文分析+配置指导-RFC2865/RFC2866
fengxingzhe008的博客
09-19 1万+
史上最全面的RADIUS协议介绍,AAA协议RADIUS的认证,授权和计费,RFC2865/RFC2866/RFC5176文档简介,RADIUS应用案例。
Linux下FreeRADIUS EAP-TLS认证配置详析
本文档详细介绍了如何在Linux或Unix系统上配置FreeRADIUS以支持EAP-TLS认证,并指导AccessPoint客户端的配置流程。作者参考了KenRoser的官方文档《EAPTLS.pdf》来确保内容的准确性。文档的目的是帮助读者在自由....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值