WIFI 企业级认证手段 EAP-TLS介绍

已于 2024-06-28 15:48:34 修改
阅读量653 收藏 23
点赞数 10
文章标签: WIFI EAP-TLS 802.1x
于 2024-06-28 15:37:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43408952/article/details/140042588
版权

EAP-TLS(EAP-Transport Layer Security)被认为是WLAN网络里最安全的认证方法,因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。

在介绍原理之前,先介绍下WLAN网络里认证加密手段涉及到的一些基本概念。

1 802.1x

 IEEE 802.1X 使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证。采用EAP作为认证消息交互协议。 如下图所示:

三元结构
Supplicant :要访问网络的设备,通常是 802.11 客户端;
Authenticator :客户端和认证服务器的中间设备,在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点( AP
Authentication Server (认证服务器):对 Supplicant 进行实际身份验证的设备,通常 RADIUS )服务器
•业务端口为受控端口,初始处于关闭状态,鉴权通过后打开,终端可使用该业务端口鉴权完成后,终端与鉴权服务器协商生成主密钥 PMK ,该主密钥由鉴权服务器分发给 AP

总结一下,WLAN的企业级认证都需要一个认证服务器,充当Authenticator Server的角色。终端(Supplicant)只有通过认证服务器的认证,才能打开受控的业务端口,进行正常网路的访问。AP充当了Authenticator的角色。

 2 EAP 和 EAPOL

    上面提到了802.1x协议使用EAP协议进行认证消息的传递,因此EAP主要充当消息传递的功能。常见的EAP-TLS,EAP-TTLS,EAP-MSCHAPv2等,都是基于EAP来传递认证协议。

    EAP(RFC2284/3748)需要封装在WLAN的数据帧里进行传输,因此EAPOL(EAP over Lan)作为一种封装格式,用来在Wlan数据帧里传送EAP消息,具体封装格式如下图:

    

 EAP的格式定义如下:

其中code有四种取值:

EAPOL(802.1x authentication)的code有5种取值:

3  各种KEY的生成原理 

  我们家庭里面的WIFI最常用的是密码方式的认证,也就是AP上预先配置一个密码,手机去连接AP的时候,输入正确的密码即可连接AP并传输加密数据。其实这个背后有一些列的密码处理过程。WLAN的802.11i协议定义了一个完整的密钥生成体系,如下图:

Ø MSK: Master Session Key
Ø PMK  Pairwise Master Key
Ø PTK  Pairwise Transient Key
Ø KCK Key Confirmation Key ,EAPOL-Key 用于四次握手的消息完整性保护
Ø KEK Key Encryption Key EAPOL-Key 用于四次握手的消息加密
Ø TK   Temporal Key 用于后续的 单播 数据加密
Ø GMK:  Group master key
Ø GTK: groupTransient Key
Ø TK  Temporal Key,

   用于组播数据加密

 从上图可以看出,首先要生成最顶层的MSK;MSK对于家庭的AP,可以简单理解为就是连接AP时候需要输入的不少于8位密码。而对于企业级的Wlan网络,则需要通过EAP-TLS,EAP-TTLS,EAP-MSCHAPv2等认证方法来生成。

 其次,要生成第二层的PMK,对于家庭AP,PMK=pdkdf2_SHA1(passphraseSSIDSSID length4096)Passphrase8-63字符),就是连接AP用的密码

对于企业级的wlan网路,PMK =L(MSK, 0, 256),MSK前256bit。对于AP来说,每一个终端S都有各自的PMK,用PMKID来管理:PMKID = HMAC-SHA1-128(PMK, "PMK Name" || AA || SPA)

 最后,就是第三层的PTK的生成,

Ø PTK  Pairwise Transient Key
Ø 通过 4 次握手过程,从 PMK 衍生
Ø PTK ← PRF-X(PMK, “Pairwise key expansion”, Min(AA,SPA) || Max(AA,SPA) ||Min( ANonce,SNonce ) || Max( ANonce,SNonce ));PTK是由 PMK+   MAC AA )+无线网卡 MAC SPA )+ AP 产生的随即值( ANonce )+ wifi 产生的随机值( SNonce ),五个值通过 SHA256 MD5 算法得到的,这种算法是不可逆的;

4 EAP-TLS 

所以从上面的介绍可以看出,EAP-TLS主要利用在客户端和服务器端的证书来生成MSK。有了MSK后,再通过算法映射为PSK,然后再通过4次握手的协商过程完成PTK/KCK/KEK/TK的生成。

因此,EAP-TLS最重要的就是确保证书要在客户端和服务器端都正确可靠的安装。

认证服务器和AP之间采用Radius协议传输认证报文

AP和客户端之间使用EAP传输TLS交互报文;

整个交互流程其实就是TLS的报文交互过程(生成MSK)和四步握手过程(生成其他Key)这两部分的组合,如下图:

Simple-Easy 化繁为简
关注
  • 10
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EAP-TLS认证过程
myxmu的专栏
02-10 1万+
EAP-TLS认证过程如下:  1)客户端发出EAP-start消息请求认证;  2)AP发出请求帧,要求客户端输入用户名;  3)客户机响应请求,将用户名信息通过数据帧发送至AP;  4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器;  5)RADIUS服务器验证用户名合法后向客户端发送数字 证书;  6)客户端通过数字证书验证服务器的身份;
在Openwrt上配置freeradius进行EAP-TLS认证
magikorb的博客
10-01 7611
WPA2/WPA3协议支持基于EAP(可扩展身份验证协议)的认证。相较于使用PSK(预共享密钥)的认证而言,其安全性高出许多。EAP认证需要使用一个RADIUS服务端,而在Openwrt端较为理想的RADIUS服务端是freeradius。对于大多数内存达到128MB的路由器来说,直接在路由器本地运行freeradius是可行的(笔者使用的是Xiaomi AC2100路由器,21.02版本)。本文大致讲述在Openwrt上配置freeradius及其EAP-TLS认证协议的方法。 1.安装必要软件...
WIFI认证EAP-PEAP
08-05
WIFI认证EAP-PEAP,已通过认证,可以直接使用。
802.1x 和 EAP 类型
01-16 1万+
无线安全 - 802.1x 和 EAP 类型  
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 2396
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
WIFI认证EAP-TTLS
08-05
WIFI认证EAP-TTLS,已通过调试,可以直接使用。
eap wifi 证书_WIFI用户EAP-TLS认证.pdf
weixin_39933414的博客
02-01 1590
WIFI用户EAP-TLS认证FortiGate 结合Openssl + freeradius实现多级CA 环境下的无线用户EAP-TLS 认证一、 EAP-TLS 简介简而言之,使用数字证书来保护radius 认证,与802.1x 结合,可以用数字证书认证无线上网用户,是最安全的无线认证方法之一。参考:/wiki/EAP#EAP-TLS二、 实验环境如上图所示,使用两台ubuntu linux ...
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
WIFI认证EAP-TLS
08-05
WIFI认证EAP-TLS,已通过调试,可以直接使用。
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim
09-21
标题 "eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim" 暗示了这是一个关于EAP(Extensible Authentication Protocol,可扩展认证协议)的源代码压缩包,其中包含了用于无线接入点(AP)开发的相关组件。描述中提到的 ...
802.1x EAP-TLS认证证书
09-12
EAP-TLS通过使用数字证书进行双向认证,即客户端和服务器都需要证明自己的身份,增强了网络安全性。 在802.1x EAP-TLS认证中,主要有以下几个关键知识点: 1. **EAP(可扩展认证协议)**:EAP是一个灵活的身份验证...
linux使用eaptls方式,为 EAP-TLS 网络获取和部署证书
weixin_39637919的博客
05-14 675
EAP-TLS 网络获取和部署证书04/13/2020本文内容在 Azure Sphere 设备可以连接到 EAP-TLS 网络之前,它必须具有一个客户端证书,RADIUS 服务器可以使用该证书对设备进行身份验证。 如果你的网络需要相互身份验证,则每个设备还必须具有根 CA 证书,以便可以对 RADIUS 服务器进行身份验证。如何获取和部署这些证书取决于设备可用的网络资源。如果 EAP-TLS...
IKEv2协议中的EAP-TLS认证处理流程
redwingz的博客
12-18 4359
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和carol主机。 carol主机配置 carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...
关于EAP-TLS协议的技术共享
chn475111的博客
09-08 810
a, HMAC_hash(K, m) = hash((K ^ opad) + hash((K ^ ipad) + m)) K 密钥 m 被保护数据 ^ 异或 + 串接 b, P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) + HMAC_hash(secret, A(2) + seed) + HMAC_has
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
热门推荐
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
EAP-TLS/EAP-TTLS/EAP-PEAP
qq_39529180的博客
05-22 1万+
原文:http://blog.chinaunix.net/uid-26422163-id-3457357.html IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP-MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟...
基于TLSEAP 认证方法
weixin_34335458的博客
09-29 939
TLS: transport level security , 安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS握手协议(TLS Handshake)。 目前基于TLSEAP认证方法主要有三种: (1)EAP-TLS 使用TLS握手协议作为认证方法。 TLS认证是基于client和server双方互...
centos7安装jdk1.8新
最新发布
07-08
centos7安装jdk1.8
802.1X协议的EAP-MD5.EAP-TLSEAP-LEAP之间的不同
07-15
EAP-MD5、EAP-TLSEAP-LEAP是在802.1X协议中使用的不同的认证方法。它们之间的区别如下: 1. EAP-MD5(Extensible Authentication Protocol with Message Digest 5):EAP-MD5是一种基于密码的认证方法。在认证过程中,客户端和认证服务器之间会进行挑战-响应的步骤,通过计算MD5哈希值来验证客户端的身份。然而,EAP-MD5的安全性相对较弱,因为它没有提供身份验证的互相验证机制,容易受到中间人攻击。 2. EAP-TLS(Extensible Authentication Protocol with Transport Layer Security):EAP-TLS是一种基于证书的认证方法。在认证过程中,客户端和认证服务器之间会进行公钥加密和数字证书验证。客户端使用自己的数字证书向认证服务器证明其身份,并与服务器进行互相验证。EAP-TLS提供了更强的安全性和身份验证机制,防止中间人攻击,并且可以支持更多高级的安全功能。 3. EAP-LEAP(Extensible Authentication Protocol- Lightweight Extensible Authentication Protocol):EAP-LEAP是思科公司开发的一种专有的认证方法。它使用了一种类似于密码的身份验证机制,但在传输过程中使用了动态WEP密钥加密数据。EAP-LEAP在早期的无线网络中使用较为广泛,但由于存在一些安全漏洞,现在已不推荐使用。 总结来说,EAP-MD5是基于密码的认证方法,EAP-TLS是基于证书的认证方法,而EAP-LEAP是一种特定厂商的认证方法。EAP-TLS提供了更高的安全性和可靠性,被广泛应用于网络安全领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值