8021x认证以及portal认证的参考资料

最新推荐文章于 2024-04-24 10:07:24 发布
最新推荐文章于 2024-04-24 10:07:24 发布
阅读量2.1k 收藏 6
点赞数 1
分类专栏: 技巧 文章标签: 8021x portal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuhuakai/article/details/95918083
版权

最近几个月一直在阅读和认证相关的东西,到如今,也基本上将认证的流程摸得比较清楚了,所以在这里写一篇文章,记录一下自己的心得,同时也给希望了解这些认证的同学一些参考资料。(说实话,在没有别人的帮助下,自己一个人去琢磨各种代码是很痛苦的一件事情,我就是这么过来的。)

认证的本质

简单一点来说,所谓认证,指的是控制终端(sta)的访问权限,在sta没有通过认证的情况下,不让其访问网络资源,只有当sta通过了认证的情况下,才放通其访问权限。
因此,认证的程序一般是跑在交换机,ap,或者网关上的。怎么样来控制sta的访问权限,方法多的是,在通用的linux上面,可以用iptables,在交换机上面,可以通过acl规则来控制,当然,你也可以写个驱动,自己来抓包什么的。
关于怎么控制sta的访问权限,这不是我们的重点,我们也只需要将相关的控制抽象成一个函数,比如:

bool enale_sta_access(u8 *mac, bool enable);

即可。

认证更为复杂的点在于如何判断是否放通这个sta的流量。

现在比较常用的判断方法主要有两个,一个是portal认证,另外一个是8021x认证。
我们连接一个陌生的开放的wifi的时候,往往一打开浏览器就会被重定向到一个认证的网页,这就是portal认证,8021x的话,更直观一点就是,连接到了wifi之后,你还需要输入用户名和密码,才能上网。

不光是无线,通过以太网连接的有线也可以通过这两种方式来控制终端流量。

8021x认证

当然,首先最为官方的资料是rfc3748以及rfc 437以及IEEE Std 802.1X-2004/802.1X-2010。
你要是一上来就能啃下上面的几个文档,我敬你是条汉子。

事实上,上面的几个rfc文档相当晦涩难懂。我的建议是,如果你实在感到困惑,可以去翻一翻上面的文档。

8021x的实现最出名的,当属hostapd,作者写这篇文章的时候,hostapd已经升级到了2.8版本了,你要是直接翻阅2.6版本的代码的话,估计有股想死的冲动。对于hostapd来说,做为8021x认证的服务端只是其中非常小的一部分功能而已。它的代码来还杂糅了radius server,加密,解密等功能。代码写得非常长,而且可供参考的资料比较少。

我个人并不是很推荐大家直接从hostapd 2.x开始看,我推荐大家直接从hostapd的最初版本开始读,也就是hostapd 0.0.1版本,这个版本代码量并不是很多,不到1w行,但是麻雀虽小,五脏俱全,它完整的实现了8021x服务端的相关功能(不包含radius serv相关功能。),而且没有其他太多冗余的功能,而且8021x的几个状态机的实现和最新版本的区别并不是很大,可以说,是最值得研究的一版实现。但是很遗憾,这个版本在大多数网卡上都跑不起来,也就是说,可能你没有办法通过调试的方法来追踪代码了。

hostapd最难以理解的,就是那几个状态机了,但是其实不难,我这里推荐几份个人认为比较好的资料,第一份是一篇硕士论文:
802.1X协议研究与实现 叶敏 西南交通大学
好歹是一篇毕业论文,里面介绍8021x的知识还是相当到位的,不光服务端的几个状态机,客户端的几个状态机都讲的比较详细和清楚。我就是读了这篇论文,然后跟着论文的思路去读实现,发现如出一辙。强烈推荐。

接下来是一本书的相关章节:
深入理解android:wi-fi、nfc和gps卷
可以只关注里面关于eapol的相关章节。

接下来是一些博文:
https://blog.csdn.net/lee244868149/column/info/wlan

至于各种报文相关的资料,如eapol报文,可以自己去搜索。

读完了0.0.1的源码,可以尝试去读一下最新的实现,你会发现,这东西其实都是严格遵循rfc的,实现大同小异。
上面的资料以及hostapd 0.0.1版本源码的阅读笔记我都放到了这个链接里面:
链接: https://pan.baidu.com/s/139T2VbFA8SiXyyqMdteVMw 提取码: e1ts
上面链接如果失效的话,可以在这里下载:
https://download.csdn.net/download/lishuhuakai/11349012

portal认证

这个,我个人推荐一份开源代码供参考,那就是wifidog,这份实现并不是很复杂,但是说明了问题。
在读wifidog的源码之前,简易可以先了解一下iptables,下面是比较好的参考资料:
http://www.zsythink.net/archives/category/%e8%bf%90%e7%bb%b4%e7%9b%b8%e5%85%b3/iptables/

然后更多相关资料可以参考这里:
http://www.wifidog.pro/

总体来说,这份代码比较简单,真正应用到实际生产生活的,应该都是在这份代码的基础上魔改的。

这份代码比较糟心的一点是,原来的几个开源portal任务服务器的代码全部都失效了,可能你读代码的时候,会面临着没有portal认证服务器可用的地步。

wifidog源代码的阅读笔记我都放在了下面的连接之中:
链接: https://pan.baidu.com/s/1X8o6rJ9qamUEyvVcyf0pzA 提取码: sd82

祝君好运。

lishuhuakai
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
802.1x+portal认证
07-20
WX3010配置802.1x认证,iMC是远程认证服务器,只给802.1x做远程认证,同时WX3010使用自己带的本地portal server功能进行本地的portal认证。 无线客户端要先经过链路层的802.1x认证后,再通过网络层的portal认证,才可以正常接入网络。
802.1X与portal的无线认证
WJ.L
04-29 7810
无线准入方式: 首先声明802.1x部署方式与portal部署方式,在华为S7706作为控制器的情况下只能二选一,不能混合使用。 站在用户的角度上看:802.1x的认证过程与连接方式是要使用客户端(软件)进行身份登录认证的;portal认证是在连接wifi时,重定向到portal的http网页上输用户密码认证的,并且802.1x是纯二层认证,在用户未认证之前是得不到IP的;而portal是...
推荐开源项目:RuijiePortalLoginTool - 简化企业网络登录的利器
最新发布
gitblog_00079的博客
04-24 359
推荐开源项目:RuijiePortalLoginTool - 简化企业网络登录的利器 项目地址:https://gitcode.com/callmeliwen/RuijiePortalLoginTool 在日常工作中,我们经常遇到需要通过Web Portal进行企业网络认证的情况,尤其是对于使用锐捷网络设备的企业来说,每次手动输入账号和密码不仅繁琐,也浪费了宝贵的时间。现在,有一个叫做Ruijie...
华为交换机802.1x认证配置
VEGETA的博客
03-13 7753
华为网络设备802.1x搭配Windows server有线网络认证
企业内网802.1X和Portal网络接入认证方案
yuzijiang11111的博客
06-13 1377
公司内网网络准入认证方案是指建立一套安全机制,对内部网络进行统一的认证和访问授权管理,以保证使用该网络的人员、设备都是合法、可信的。
PPPOE、Portal802.1x 常见三种认证方式对比
brian0031的专栏
10-10 4072
PORTAL认证 PPPoE 802.1X 标准程度 厂家私有 RFC2516 IEEE 封装开销 小 较大 小 IP地址 认证前分配 认证后分配 认证后分配 ...
智慧校园网络准入认证模式的优化与应用 ——以广州番禺职业技术学院为例.pdf
12-28
广州番禺职业技术学院的实践证明,Web+Portal认证模式是解决高校网络准入认证问题的有效途径,值得其他高校参考和借鉴。 【参考文献】 文章引用了广东省教育信息化应用融合创新示范课题的研究成果,表明网络准入...
基于网络处理器的802.1x认证计费方法.pdf
09-30
1. WEB/Portal认证:这种认证方式通过网页界面进行用户身份验证,但会占用网络IP资源,且安全性较低,容易受到攻击。 2. PPPoE(Point-to-Point Protocol over Ethernet):PPPoE需要额外的宽带接入服务器,增加了...
基于轻量目录访问协议技术的校园网统一身份认证的设计与实现.pdf
12-29
本文聚焦轻量目录访问协议(Lightweight Directory Access Protocol, LDAP)技术在校园网统一身份认证中的应用,旨在为行业提供参考。 轻量目录访问协议(LDAP)是基于X.500标准的一种协议,用于访问X.500目录。与...
中国移动四人成为“Oracle认证大师”.pdf
10-10
【参考文献与专业指导】在IT领域,参考文献和专业指导对于技术学习和实践至关重要。它们包括技术手册、研究论文、行业标准以及专家的指导,帮助技术人员深入理解技术原理,解决实际问题。Oracle认证大师的获取过程...
华为 Sx700交换机 认证 与ACS对接测试报告.pdf
09-23
这个测试报告提供了全面的细节,对理解华为Sx700交换机与ACS服务器的集成能力、802.1x和Portal认证机制及其在网络访问控制中的应用至关重要。对于网络管理员来说,这样的测试文档是部署和维护安全网络环境的重要参考...
锐捷8021x.exe
09-10
锐捷8021x.exe
H3C 交换机802.1x认证配置
weixin_34067102的博客
06-14 2616
dot1xdot1x authentication-method eap /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/interface GigabitEthernet1/0/1port access vlan 196dot1xdot1x mandatory-domain aaaradius s...
宁盾radius认证服务器软件如何实现802.1X认证/Portal认证上网(portal web入网认证
yuzijiang11111的博客
04-09 462
802.1X认证是在网络层进行的,需要用户在网络连接建立之前进行认证,而Portal认证则是在应用层进行的,用户可以在访问网络资源时随时进行认证802.1X认证是一种基于端口的网络访问控制协议,它通过与网络设备的端口进行交互,实现对用户的身份认证和访问控制。根据企业的认证需求,可以选择适合的认证方式。对于802.1X认证,常见的认证方式包括用户名和密码、证书认证、MAC地址认证等。其中,802.1X认证Portal认证是两种常见的网络认证方式,它们各有特点,适用于不同的网络环境。802.1X认证示例。
linux 模拟开放网络,搭建虚假portal网页认证wifi
qq_45720175的博客
10-03 1292
希望读者能追求技术,但坚守本心大家在连接WiFi的时候一定要考虑其安全性,有些专业钓鱼网络能提供流量给用户,但会记录用户的所有网络请求,获取其隐私数据.如有建议或优化思路,欢迎评论指正或私信。
802.1X认证技术与MAC认证技术
九儿九只的博客
07-18 4505
一、介绍 802.1X技术作为局域网一种普遍端口(二层设备端口)接入控制机制在以太网中被广泛应用,主要用以解决以太网内认证和安全方面的问题 MAC认证是一种基于端口和MAC地址对于用户的网络访问控制权限进行控制和认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址,用于哑终端的接入认证(打印机、IP话机) 准入控制概述 802.1X认证802.1X协议起源于WLAN的802.11协议,用于控制无限用户的链路层接入和身份认证。经过扩展后,802.1X也可以使用以太网帧作为
802.1x协议详解,802协议工作原理/认证过程、MAB认证、EAP报文格式
热门推荐
wangyuxiang946的博客
10-16 2万+
802.1x协议是基于端口的「访问控制和认证协议」,工作在数据链路层,用来限制未授权的用户/设备通过接入端口访问LAN/WLAN。
Wi-Fi 安全协议 - 802.1X
狼牙的博客~
11-06 2304
802.1X 身份认证 EAP 是一种架构协议,允许协议设计人员打造自己的EAP 认证方式,EAP并未强制链路的协议802.1X 协议讨论的是 EAP在局域网内的实现,即EAPOL (EAP Over LAN ),802.1X是基于局域网的扩展认证协议802.1X 协议定义了报文封装格式,称为EAPOL报文,用于客户端和认证系统之间的EAP协议报文传输,以允许EAP协议报文在LAN上传送...
什么是 802.1X?它是如何工作的?
chinkwoyu的博客
11-17 1080
设备尝试连接到局域网(LAN)或无线局域网(WLAN)时需要身份验证机制。IEEE 802.1X,作为端口基础网络访问控制(PNAC)的IEEE标准,为安全的网络访问提供了受保护的认证802.1X网络与普通网络有一个显著的不同之处:它拥有一个名为RADIUS服务器的认证服务器。该服务器会核查用户的凭据,确认其是否是组织中的活跃成员,并根据网络策略,为用户授予不同层次的网络访问权限。这种做法允许每个用户使用独特的凭据或证书,摆脱对容易被窃取的单一网络密码的依赖。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值