Wlan安全——STA如何通过802.1x接入网络

已于 2023-12-31 13:29:59 修改
阅读量878 收藏 2
点赞数
分类专栏: # Wlan理论与实验讲解 文章标签: 网络 无线 Wlan
于 2023-08-19 13:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/132320544
版权

目录

STA通过802.1x接入网络的流程

无线关联

用户接入认证

认证初始化

建立TLS通道

 通道内对无线用户进行认证

生成加密密钥

STA获取地址

无线用户认证下线和解关联

STA通过802.1x接入网络的流程

STA上线流程

Wlan——STA上线流程与802.11MAC帧讲解_静下心来敲木鱼的博客-CSDN博客

802.1x理论以及802.1x有线接入流程

802.1x认证和MAC认证讲解_静下心来敲木鱼的博客-CSDN博客

802.1x认证只是对用户进行接入认证

对于用户数据传输的加密,还需要再进行加密阶段

Wlan认证与加密算法

Wlan安全——认证与加密方式(WPA和WPA2)_静下心来敲木鱼的博客-CSDN博客

802.1X认证过程  通过(PEAP-EAP-MS-CHAPv2认证方式进行认证)

1、STA关联无线信号

2、对STA进行PEAP认证

主要分为三个阶段:认证初始化、建立TLS通道、通道内对无线用户进行认证

3、生产数据加密的密钥

生成密钥的材料是由802.1x认证之后的Radius认证成功的那个报文中提取出来的

4、STA就可以获取地址,进行网络访问

数据通过动态密钥密钥结合TKIP/CCMP加密算法进行加密和完整性校验

5、用户进行认证下线

6、无线解关联

PEAP简述

PEAP本身不指定认证方法,仅仅只是在请求方和认证服务器之间建立TLS加密通道

在此TLS隧道中使用EAP的其它认证方法(EAP-MS-CHAPv2)对用户进行认证

CHAPv2为双向认证,CHAP为单向认证

不过,此方式需要认证服务器申请数字证书作为自己的身份校验凭证,请求方安装CA根证书来校验服务器身份的合法性

无线关联

无线关联主要分为三个部分

扫描:分为主动扫描和被动被动扫描(针对于STA而言)

链路认证:有开放认证(不认证)和WEP预共享密钥认证(厂商此阶段的默认都是开放认证)

                  此处一般使用开放认证,然后在接入后续的其它认证方式对设备进行认证

                  此处的认证一定会通过,只是证明自身是个无线设备

关联:终端和AP协商参数,发送连接请求,进入接入认证

用户接入认证

认证初始化

认证客户端为STA,接入设备为AC,认证服务器为Radius服务器

  1. 客户端发送认证接入请求
  2. 接入设备要求用户提供用户名(封装在EPOL-Packet中)
  3. 客户端发送用户名给接入设备(封装在EPOL-Packet中)
  4. 接入设备将此报文封装在Radius报文中发送给认证服务器

认证服务器收到用户名之后,接下来服务器就会发起TLS通道建立请求

建立TLS通道

  1. 服务器决定使用PEAP进行用户的接入认证,发起建立TLS通道隧道的请求(接入交换机将Radius报文解封装,然后封装EPOL发送给用户)
  2. 用户收到之后,会发送一个Client hello报文;包含自己的TLS版本、以及自身支持的加密集,去协商使用哪一种加密算法加密TLS隧道,还会携带随机数(用于后面生成加密隧道的密钥)(接入交换机将EPOL报文解封装,然后封装Radius发送给服务器)
  3. Radius服务器会选择双方能够支持的最好的加密算法进行隧道加密;然后检查TLS版本是否支持并生成随机数(TLS版本不支持会认证失败);然后发送一个Server hello报文,包含自己的TLS版本的服务器证书、随机数、选择的加密算法发给用户(用户通过证书校验服务器)
  4. 终端收到之后会校验服务器的证书是否合法,校验成功后会生成随机密钥串(和随机数一样也是用于生成加密的密钥),然后使用服务器证书的公钥为随机密钥串加密,发给服务器
  5. 服务器通过私钥解密,得到随机密钥串;然后服务器根据随机密钥串、终端随机数、服务器随机数结合之前协商的算法去计算出TLS隧道使用的加密密钥;然后告诉终端使用此加密算法和密钥
  6. 终端同意后后对其回应,TLS通道建立成功

服务器证书的作用

1、终端校验证书的合法性

2、合法性通过之后,用于终端通过证书公钥加密自己随机生成的密钥串

注意事项

Windows7只支持公有证书的校验,如果服务器使用私有证书或者证书过期,则Windows7可能会校验失败

可以在Windows取消证书校验,或把服务器的证书换为公有证书

 通道内对无线用户进行认证

通过采用CHAPv2的方式进行对用户进行认证(双向认证)

紫色 服务器认证用户  蓝色用户认证服务器

  1. 服务器去请求用户的用户名
  2. 用户将用户名提交给服务器
  3. 服务器生成16字节随机数发给终端
  4. 终端收到后,本身也生成随机数,然后利用两个随机数、用户名、此用户名对应的密码计算出一个24字节的密文,将此密文和自己生成的16字节随机数发给服务器
  5. 服务器收到客户端的随机数后,根据两个随机数,服务器上配置的用户名和对应的密码生成24字节密文;将其与收到的密文做对比,如果一致则说明用户认证通过了,服务器认证用户是合法的;此时用户还需要认证服务器是否合法,因此服务器把之前计算出来的24字节密文再进行计算(2者的随机数、用户名、密码对此密文计算)发给客户端
  6. 客户端收到此密文后,同样对之前加密了的24字节密文再此进行计算,将其结果与接收到的密文对比,两边一致则服务器的认证通过;发送认证通过报文给服务器
  7. 服务器收到后发送EAP认证成功报文;其中包含了MPPE密钥(微软的点对点加密,里面含PMK可以生成PKT数据加密密钥)

根据需要进行计费(认证通过之后计费)

生成加密密钥

这个阶段交互的报文都加密了

利用MPPE中的PMK与AC做4次握手生成对应的PTK(通过交互EAPOL-KEY报文实现)

然后将对应的PTK设置到对应的网卡,去做数据的加解密

STA获取地址

STA通过DHCP请求IP地址,DHCP报文没有加密

后续获取到地址后的上网报文是被加密了的(通过生成的加密密钥结合TKIP/CCMP算法进行数据加密)

无线用户认证下线和解关联

无线用户撤销DHCP的地址,然后解除Radius的计费,并下线

静下心来敲木鱼
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
无线802.1X认证功能——BYOD 无线802.1X无感知认证
君逍遥o
10-26 720
随着移动智能终端的普及,无线网络的需求旺盛。用户在考虑终端接入安全性的同时,也越来越多的关注到终端接入的便捷性,因此用户能够随时随地接入无线网络成为无线建设急于解决的首要问题。市场上大部分智能终端都支持802.1x认证功能,802.1x技术为企业级的网络提供了安全和便捷的解决方案。用户希望接入无线网络时只需要首次进行认证信息配置,后续用户只要进入无线信号覆盖范围内即可自动完成认证。
wlan从入门到精通第六期STA接入过程
qq_41559671的博客
03-19 1467
wlan从入门到精通第六期STA接入过程 无线网络环境中,STA是如何接入到AP上的——STA接入过程。 上一回我们说到FIT AP经过一段不轻松的过程,成功拜入AC师傅的门下,获得师傅的认可后,修习了高深的内功,此后,和诸位师兄弟一起,被师傅委以重任。在玉树临风风流倜傥才高八斗学富五车的师傅的英明领导下,众师兄弟齐心协力建立起了名噪一时的龙门镖局,师傅AC任总镖头,AP作为镖师专为各类主顾押镖。龙门镖局以响应主顾速度快,托镖安全有保障而为众人熟知。故坊间有传言“挖掘技术哪家强,中国山东找蓝翔;托运镖物谁最
Wi-Fi sta扫描连接过程
weixin_30782215的博客
03-06 1850
AP 收到 Assoc Req 帧后,最终确认 STA 的 Listen Interval 自己能不能接受,能力信息是否匹配,如果一切 OK,回复 Assoc Rsp 帧,携带 AID(Association ID) 和 successful 信息,表明关联成功。如果采用的是 Open System 方式,即 TKIP/WPA/WPA2 方式,在 Auth 阶段其实没有进行身份认证的工作,在 Auth 阶段就决定把身份认证的工作放在当前 EAPOL 阶段了。如果选择了安全认证,还需要wpa2四次握手。
【杂记-浅谈WLAN技术之终端设备STA
最新发布
叫我小虎就行了的博客
07-27 334
【杂记-浅谈WLAN技术之终端设备STA
WLAN STA/AP 并发
weixin_34026276的博客
11-20 990
WLAN STA/AP 并发 Android 9 引入了可让设备同时在 STA 和 AP 模式下运行的功能。对于支持双频并发 (DBS) 的设备,此功能让一些新功能得以实现,例如在用户想要启用热点 (softAP) 时不会中断 STA WLAN。 示例和来源 默认的 AOSP Android 框架代码支持 WLAN STA/AP 并发。WLAN HAL中介绍的参考 HAL 实现也支持 ...
Wlan——STA上线流程与802.11MAC帧讲解以及报文转发路径
m0_49864110的博客
08-21 2894
用户的链路认证和关联对于瘦AP来说是STA和AC交互的,通过将STA的数据封装到CAPWAP隧道传输,不会重传(无论是本地转发还是隧道转发,都会通过CAPWAP隧道封装)后续的流程的关于STA和AP的报文都封装在802.11MAC数据帧中,并且使用802.11MAC控制帧来预约信道,避免数据发送冲突(具体交互流程如下)AP主动定期发送Beacon(默认100ms),终端通过被动接收Beacon帧来发现无线信号(包含AP的SSID、BSSID、速率等信息)此认证的作用是用来证明设备是无线设备。
HCIA-WLAN工作流程-3-STA接入
little_startoo的博客
12-23 934
HCIA-WLAN工作流程-3-STA接入
WLAN(AP+AC+STA)的配置
qq_44845384的博客
10-28 1934
华为WLAN的基础配置,包括AP上线,AC给AP下发WLAN业务,基于ensp模拟器
计算机:探讨基于ieee——802.11标准无线局域网(wlan)的安全漏动与防治对策.pdf
09-07
在采用 802.1X 的 WLAN 中,无线用户端安装 802.1X 客户端软件,无线访问点安装 802.1X 认证服务器,用户可以通过 EAP/802.1X 进行认证和加密。该方案可以提供更高的安全性和更好的认证机制。 IEEE 802.11 标准 ...
linux 802.11无线网卡驱动,Linux无线网络配置——无线网卡驱动安装与WLAN802.11配置...
weixin_32419787的博客
05-08 2352
Linux无线网络配置——无线网卡驱动安装与WLAN 802.11配置WLAN (Wireless Local Area Network)类似于有线以太网,WLAN802.11a 标准使用 5 GHz 频段,支持的最大速度为 54 Mbps,而802.11b 和 802.11g 标准使用 2.4 GHz 频段,分别支持最大 11 Mbps 和 54 Mbps的速度。使用Windows操作系统...
实验6 wlan网络安全配置实验20200420.docx
04-23
- **配置802.1X接入模板**:用于指定802.1X认证的相关参数。 ```plaintext [AC]dot1x-access-profile name d1 ``` - **配置认证模板**:关联认证方案与RADIUS服务器。 ```plaintext [AC]authenticaiton-profile ...
WLAN 802.1X认证-服务器详细配置指导书
10-15
WLAN 802.1X认证采用证书认证详细配置指导书
WLAN基础知识——认识WLAN基本概念.doc
05-06
WLAN 主要由站(Station,STA)、接入点(Access Point,AP)、无线介质(Wireless Medium,WM)和分布式系统(Distribution System,DS)组成。 三、IEEE 802.11 协议族 IEEE 802.11 协议族是 IEEE 推荐的 WLAN ...
Android系统wlansta流程梳理
程序改变生活
06-06 801
一、wpa_cli命令理解wpa_supplicant流程 二、WifiStateMachine与wpa_supplicant的衔接 三、应用程序通过WifiManager与WifiStateMachine的衔接 四、wlansta模式系统层面上的策略 1.后台扫描 2.连接设备管理 ...
WIFI学习五(STA与AP,基于MT7682)
qq_26226375的博客
06-14 3232
AP是无线接入点,是一个无线网络的创建者,是网络的中心节点。一般家庭或办公室使用的无线路由器就是一个AP。 STA也可以理解为终端的意思,每一个连接无线网络中的终端(例如笔记本电脑,手机等其他可以联网的设备)都可以成为一个STA站点。 每个无线AP都应该有一个SSID用于识别,就是通常所说的WIFI名 每一个网络设备都有其用于识别的物理地址,这个东西就是MAC地址。一般在出厂后会有一个默认MAC,可更改。MAC地址作为设备识别的标识符。BSSID是针对STA而言。
Bearpi开发板HarmonyOS之WiFi STA联网
mygod2008ok的专栏
05-29 468
wifi_device.h接口简介 启用Wifi STA 模式 WifiErrorCode EnableWifi(void); 禁用Wifi STA 模式 WifiErrorCode DisableWifi(void); 检查Wifi STA模式是否启用 int IsWifiActive(void); 扫描热点信息 WifiErrorCode Scan(void); 获取所有扫描到的热点列表 WifiErrorCode GetScanInfoList(WifiScanInfo* resu
AP、STA的概念以及AP+STA的实现-结合ESP32浅谈
wangyx1234的博客
01-30 4792
让ESP32 同时扮演 AP+STA 的角色。 ESP32 AP+STA 编程。 wifi中的STA、AP、AP+STA是什么。 无线局域网中的STA、AP、AP+STA是什么。
HarmonyOS无线联网开发(WIFI AP热点,STA联网,UDP客户端)
shi_zi_183的博客
09-02 1003
HarmonyOS无线联网开发 WIFI AP热点 API介绍 wifi_hotspot.h接口简介 接口名 功能描述 WifiErrorCode EnableHotspot(void) 启用AP热点模式 WifiErrorCode DisableHotspot(void) 禁用AP热点模式 WifiErrorCode SetHotspotConfig(const HotspotConfig* config) 设置指定的热点配置 WifiErrorCode GetHotspotC
无线802.1X认证功能——锐捷无线802.1X认证配置
君逍遥o
10-26 1856
802.1x认证方式在无线接入设备的射频端口这一级对所接入的无线用户进行认证和控制。连接在射频接口上的无线用户设备如果能通过认证,就可以连接无线网络并访问网络中的资源;如果不能通过认证,则无法连接无线网络和访问网络中的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值