WIFI 企业级认证手段 EAP-TLS介绍

已于 2024-06-28 15:48:34 修改
阅读量3.1k 收藏 28
点赞数 11
文章标签: WIFI EAP-TLS 802.1x
于 2024-06-28 15:37:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43408952/article/details/140042588
版权

EAP-TLS(EAP-Transport Layer Security)被认为是WLAN网络里最安全的认证方法,因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。

在介绍原理之前,先介绍下WLAN网络里认证加密手段涉及到的一些基本概念。

1 802.1x

 IEEE 802.1X 使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证。采用EAP作为认证消息交互协议。 如下图所示:

三元结构
Supplicant :要访问网络的设备,通常是 802.11 客户端;
Authenticator :客户端和认证服务器的中间设备,在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点( AP
Authentication Server (认证服务器):对 Supplicant 进行实际身份验证的设备,通常 RADIUS )服务器
•业务端口为受控端口,初始处于关闭状态,鉴权通过后打开,终端可使用该业务端口鉴权完成后,终端与鉴权服务器协商生成主密钥 PMK ,该主密钥由鉴权服务器分发给 AP

总结一下,WLAN的企业级认证都需要一个认证服务器,充当Authenticator Server的角色。终端(Supplicant)只有通过认证服务器的认证,才能打开受控的业务端口,进行正常网路的访问。AP充当了Authenticator的角色。

 2 EAP 和 EAPOL

    上面提到了802.1x协议使用EAP协议进行认证消息的传递,因此EAP主要充当消息传递的功能。常见的EAP-TLS,EAP-TTLS,EAP-MSCHAPv2等,都是基于EAP来传递认证协议。

    EAP(RFC2284/3748)需要封装在WLAN的数据帧里进行传输,因此EAPOL(EAP over Lan)作为一种封装格式,用来在Wlan数据帧里传送EAP消息,具体封装格式如下图:

    

 EAP的格式定义如下:

其中code有四种取值:

EAPOL(802.1x authentication)的code有5种取值:

3  各种KEY的生成原理 

  我们家庭里面的WIFI最常用的是密码方式的认证,也就是AP上预先配置一个密码,手机去连接AP的时候,输入正确的密码即可连接AP并传输加密数据。其实这个背后有一些列的密码处理过程。WLAN的802.11i协议定义了一个完整的密钥生成体系,如下图:

Ø MSK: Master Session Key
Ø PMK  Pairwise Master Key
Ø PTK  Pairwise Transient Key
Ø KCK Key Confirmation Key ,EAPOL-Key 用于四次握手的消息完整性保护
Ø KEK Key Encryption Key EAPOL-Key 用于四次握手的消息加密
Ø TK   Temporal Key 用于后续的 单播 数据加密
Ø GMK:  Group master key
Ø GTK: groupTransient Key
Ø TK  Temporal Key,

   用于组播数据加密

 从上图可以看出,首先要生成最顶层的MSK;MSK对于家庭的AP,可以简单理解为就是连接AP时候需要输入的不少于8位密码。而对于企业级的Wlan网络,则需要通过EAP-TLS,EAP-TTLS,EAP-MSCHAPv2等认证方法来生成。

 其次,要生成第二层的PMK,对于家庭AP,PMK=pdkdf2_SHA1(passphraseSSIDSSID length4096)Passphrase8-63字符),就是连接AP用的密码

对于企业级的wlan网路,PMK =L(MSK, 0, 256),MSK前256bit。对于AP来说,每一个终端S都有各自的PMK,用PMKID来管理:PMKID = HMAC-SHA1-128(PMK, "PMK Name" || AA || SPA)

 最后,就是第三层的PTK的生成,

Ø PTK  Pairwise Transient Key
Ø 通过 4 次握手过程,从 PMK 衍生
Ø PTK ← PRF-X(PMK, “Pairwise key expansion”, Min(AA,SPA) || Max(AA,SPA) ||Min( ANonce,SNonce ) || Max( ANonce,SNonce ));PTK是由 PMK+   MAC AA )+无线网卡 MAC SPA )+ AP 产生的随即值( ANonce )+ wifi 产生的随机值( SNonce ),五个值通过 SHA256 MD5 算法得到的,这种算法是不可逆的;

4 EAP-TLS 

所以从上面的介绍可以看出,EAP-TLS主要利用在客户端和服务器端的证书来生成MSK。有了MSK后,再通过算法映射为PSK,然后再通过4次握手的协商过程完成PTK/KCK/KEK/TK的生成。

因此,EAP-TLS最重要的就是确保证书要在客户端和服务器端都正确可靠的安装。

认证服务器和AP之间采用Radius协议传输认证报文

AP和客户端之间使用EAP传输TLS交互报文;

整个交互流程其实就是TLS的报文交互过程(生成MSK)和四步握手过程(生成其他Key)这两部分的组合,如下图:

WIFIEAP-TLS 认证分析
bobhu4201的博客
09-06 1180
WIFIEAP-TLS 认证分析 1 包格式 2 流程 3 tcpdump包
eap wifi 证书_WIFI用户EAP-TLS认证.pdf
weixin_39933414的博客
02-01 1746
WIFI用户EAP-TLS认证FortiGate 结合Openssl + freeradius实现多级CA 环境下的无线用户EAP-TLS 认证一、 EAP-TLS 简介简而言之,使用数字证书来保护radius 认证,与802.1x 结合,可以用数字证书认证无线上网用户,是最安全的无线认证方法之一。参考:/wiki/EAP#EAP-TLS二、 实验环境如上图所示,使用两台ubuntu linux ...
WIFIEAP-TLS流程的tcpdump包
最新发布
09-06
WIFIEAP-TLS流程的tcpdump包 EAP-TLS流程的tcpdump包主要涉及客户端与接入设备之间的EAPOL帧交互。在无线网络中,EAP-TLS(Extensible Authentication Protocol - Transport Layer Security)作为一种安全的认证机制,广泛应用于企业级WIFI的身份验证过程中。 在使用tcpdump进行抓包的过程中,除了能够看到上述认证流程中的各个步骤之外,还可以观察到与认证过程相关的其他细节。例如,RADIUS协议中Access-Request和Access-Accept报文中的Authenticator域、Attribute-Value-Pairs等信息,都能为分析认证流程提供详细的数据支持。 综上所述,通过对EAP-TLS认证流程的详细描述及tcpdump抓包分析,人们可以更深入地理解WIFIEAP-TLS认证机制的工作原理及其安全性所在。在实际的网络部署和故障排除中,掌握如何利用tcpdump等网络抓包工具来分析认证过程,对于网络安全和问题解决至关重要。
802.1x之EAP-TLS测试方法
写作是为了更好的思考
09-12 1549
CA证书一般是由权威的认证机构发出,用来验证该机构签名的证书,持有CA证书的设备可以验证对端的证书是否由自己信任的机构颁发的。在我们内部使用证书时,我没可以自己充当CA认证机构,管理私钥和CA证书,使用他们签名服务器、客户端证书。2、使用证书请求文件server_csr.pem、CA私钥、CA公钥生成服务器证书(正常情况下自己不拥有CA私钥,是把证书请求文件发给认证机构,由认证机构返回证书)进行802.1x EAP-TLS认证时需要IPC、服务器分别存储CA证书、设备证书、私钥,通过交换证书实现身份验证。
WIFI认证EAP-TLS
08-05
WIFI认证EAP-TLS,已通过调试,可以直接使用。
WIFI认证EAP-PEAP
08-05
WIFI认证EAP-PEAP,已通过认证,可以直接使用。
企业WiFi认证 保护企业的信息
weixin_33714884的博客
06-13 334
 企业WiFi认证是很多公司都会设置的,毕竟每一个公司都是有商业机密的,所以利用企业WiFi认证可以很好地保护自己的网络不被***,来吧!下面让小编携手时讯无线分享相关的资讯给大家,希望对大家有用。 企业WiFi认证 保护企业的信息   企业WiFi认证   无线网络是实现移动互联的载体,企业WiFi的安全可谓是至关重要。说小了是占用企业办公资源,影响办公效率;说大了是企业信息安全。   首先,为...
自连科技802.1x EAP企业加密WIFI方案
10-13
EAP(Extensible Authentication Protocol)为可扩展身份验证协议,是一系列验证方式的集合,设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式;EAP协议是IEEE 802.1x认证机制的核心。 EAP属于一种框架协议,本身并未规范如何识别用户,但允许协议涉及人员打造自己的EAP认证方式(EAP Method),即用来进行交换操作的子协议。EAP认证方式可以有不同目的,因此通常根据特殊情况的需求采用不同的方式识别用户的身份。 EAP的架构:设计上是为了能运行于任何的链路层以及使用各种身份验证方式。
Android 11连接802.1x EAP-TLS的方法
magikorb的博客
03-03 8670
本文作为https://blog.csdn.net/magikorb/article/details/120577175的后续,描述如何让Android 11客户端连接到启用EAP-TLS的WPA2/WPA3保护的网络上。 如果在使用本文所说的方法连接时出现原因不明的报错,且RADIUS server提示诸如 Thu Mar 3 09:44:42 2022 daemon.notice hostapd: SSL: SSL3 alert: read (remote end reported an err
在Openwrt上配置freeradius进行EAP-TLS认证
magikorb的博客
10-01 8371
WPA2/WPA3协议支持基于EAP(可扩展身份验证协议)的认证。相较于使用PSK(预共享密钥)的认证而言,其安全性高出许多。EAP认证需要使用一个RADIUS服务端,而在Openwrt端较为理想的RADIUS服务端是freeradius。对于大多数内存达到128MB的路由器来说,直接在路由器本地运行freeradius是可行的(笔者使用的是Xiaomi AC2100路由器,21.02版本)。本文大致讲述在Openwrt上配置freeradius及其EAP-TLS认证协议的方法。 1.安装必要软件...
WIFI认证EAP-TTLS
08-05
WIFI认证EAP-TTLS,已通过调试,可以直接使用。
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
EAP-TLS认证过程
myxmu的专栏
02-10 1万+
EAP-TLS认证过程如下:  1)客户端发出EAP-start消息请求认证;  2)AP发出请求帧,要求客户端输入用户名;  3)客户机响应请求,将用户名信息通过数据帧发送至AP;  4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器;  5)RADIUS服务器验证用户名合法后向客户端发送数字 证书;  6)客户端通过数字证书验证服务器的身份;
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 4669
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
热门推荐
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
无线网络 EAP 认证
hl1293348082的专栏
04-01 5196
本文作者 98,擅长无线安全,过往文章:《wifi渗透-狸猫换太子》、《无线渗透--‘钓鱼’wifi》,完成 3 篇文章,欢迎加入我们的作者大军,争取为大家带来更多更好的关于无线攻防的文章。最后欢迎不同研究安全不同领域的同学加入我们一起学习成长。 平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2 也不是绝对安全的一种 wifi,他的安全性有点依赖密码,也就是说当你的 wifi 密码泄露了他就.
企业wifi认证登录靠谱吗
时讯无线博客
05-26 598
在企业日常办公中,相比有线网络,无线网络因其得天独厚的优势,更受员工欢迎,使用率远远超宇有线网络。而针对于企业无线网络的安全问题,虽然在网络环境搭建时已经做了很多措施,但在实际使用时还是会出现一定的安全漏洞,除非部署端到端的加密技术,否则没有实际意义上的真正网络安全。 企业无线WiFi加密保障网络安全 一、WEP、WPA-WEP加密,还是WPA加密? 无线网络加密是经过对无线电波里的数据加密供给安全性。首要用于无线局域网中链路层信息数据的保密。如今大多数的无线设备具有WEP加密和WAP加密功能,那么我们运用
企业wifi统一认证怎样呀
时讯无线博客
05-26 890
什么是无线wifi认证系统:是搭建无线热点认证系统的解决方案之一,他比nocat更适合互联网营销思路。目前支持openwrt系统,他实现了路由器和认证服 务器的数据交互,在路由器方是用C语言代码,通过wifidog程序和linux iptables防火墙实现接入用户的认证跳转和控制,在认证服务器方 是通过php实现用户的认证流程和管理。 企业无线网建设面临的4大难题 不安全 1.Wifi密码易泄露和破解,“X钥匙”轻松泄露密码 2.访客和员工都使用公司的同一个无线wifi sSID 公司内部信息分秒泄露
企业WiFi认证,怎么确保企业WiFi安全?
时讯无线博客
11-29 1174
1.企业WiFi认证 很多企业主都特别注重这方面的安全性,是为了保证企业WiFi的安全,就必须得有认证功能,那么该如何拥有这种功能呢?可以采用一些WiFi安全管理,然后启动相关的功能,比如认证机制,有了这种机制,可以保证网络的流畅性,同时也能保证安全性能,各位应该都很了解,想要连接WiFi必须得找到这种WiFi信号,然后输入密码,就可以访问无线网络了。如果有了相关的认证系统,在加密情况下,还会有一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值