802.1x 之EAP-TLS介绍

已于 2024-11-22 17:14:41 修改
阅读量4.6k 收藏 17
点赞数 9
文章标签: 网络
于 2023-09-12 11:12:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44719770/article/details/132826778
版权

1. 组网

802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
在这里插入图片描述

  • 客户端: 一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。
  • 接入设备: 通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。根据客户端的身份验证状态控制其对网络的访问权限。这里是交换机。
  • 认证服务器: 用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。

2. 协议介绍

802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。

3. 认证过程

EAP-TLS是一种基于TLS协议的认证方法,802.1x EAP-TLS认证流程如下:
在这里插入图片描述

  1. 端口启用:网络交换机或接入点上的端口首先启用802.1X认证,以强制要求连接到该端口的设备进行身份验证。
  2. EAPOL-Start:客户端设备发送一个EAPOL-Start帧到交换机以启动认证过程。
  3. 交换机请求身份:交换机向客户端发送EAP请求/身份验证请求(EAP-Request/Identity)帧,要求客户端提供其身份。
  4. 客户端响应身份:客户端设备将其身份(通常是用户名)封装在EAP响应/身份(EAP-Response/Identity)帧中,并发送回交换机。
  5. 服务器选择:交换机将EAPOL-Identity消息转发给认证服务器(Authentication Server)。
  6. 服务器响应:认证服务器收到EAPOL-Identity消息后,将发送一个EAP请求(EAP-Request)消息给设备。
  7. 证书交换:设备收到EAP请求消息后,将生成一个TLS握手请求并发送给认证服务器。认证服务器将自己的证书发送回设备,同时要求设备发送其自身的证书。
  8. 证书验证:设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。
  9. 会话密钥交换:如果证书验证成功,服务器将使用设备证书中的公钥加密一个会话密钥并发送给设备。设备使用自己的私钥解密会话密钥。现在,设备和认证服务器都拥有了相同的会话密钥。
  10. 认证成功:设备使用会话密钥生成一个成功的EAP响应消息,并发送给认证服务器。认证服务器接收到该消息后,通知交换机将端口置于"认证通过"状态。此时,认证设备可以访问网络。

4. 设备端抓包

在这里插入图片描述

方竞
关注
EAP-TLS认证过程
myxmu的专栏
02-10 1万+
EAP-TLS认证过程如下:  1)客户端发出EAP-start消息请求认证;  2)AP发出请求帧,要求客户端输入用户名;  3)客户机响应请求,将用户名信息通过数据帧发送至AP;  4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器;  5)RADIUS服务器验证用户名合法后向客户端发送数字 证书;  6)客户端通过数字证书验证服务器的身份;
WIFI认证之EAP-TTLS
08-05
WIFI认证之EAP-TTLS,已通过调试,可以直接使用。
802.1x之EAP-TLS测试方法
写作是为了更好的思考
09-12 1551
CA证书一般是由权威的认证机构发出,用来验证该机构签名的证书,持有CA证书的设备可以验证对端的证书是否由自己信任的机构颁发的。在我们内部使用证书时,我没可以自己充当CA认证机构,管理私钥和CA证书,使用他们签名服务器、客户端证书。2、使用证书请求文件server_csr.pem、CA私钥、CA公钥生成服务器证书(正常情况下自己不拥有CA私钥,是把证书请求文件发给认证机构,由认证机构返回证书)进行802.1x EAP-TLS认证时需要IPC、服务器分别存储CA证书、设备证书、私钥,通过交换证书实现身份验证。
802.1X及EAP包分析
最新发布
2403_83112422的博客
03-13 975
802.1X是一种基于端口的网络接入控制协议。基于802.1X协议的用户认证方式叫做802.1X认证可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IP。EAP可应用于无线、有线网络中。​在客户端与设备端之间,EAP报文使用EAPOL(ExtensibleAuthenticationProtocoloverLAN,局域网上的可扩展认证协议)封装格式承载于数据顿中传递。
EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(一)
DIANZI520SUA的专栏
02-21 2863
在Ubuntu20.04中搭建并配置freeradius3.0,并进行简单的测试验证其效果,同时配置TLS模块,使其支持eap-tlseap-ttls认证方式。
802.1X/EAP架构
布谷鸟
05-17 1万+
802.1X/EAP架构 ————*—————Stonex CWNP无线网络 1. 802.1X         IEEE 802.1X是一种基于端口的访问控制标准,定义了一种授权架构,以允许或阻止流量通过端口访问网络资源。802.1X既可以用于无线网络环境,又可以用于有线网络环境。802.1X授权架构主要由以下3部分组成: •    请求方 (Supplicant) •    认证方
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
热门推荐
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
网络测试技术——802.1X TLS认证(上篇)
XINERTEL的博客
04-28 2177
一、TLS认证简介 1.TLS认证 (1)认证过程 · 最安全认证技术 · 实施最复杂 (2)TLS双向证书认证 · 服务器对客户端进行认证 · 客户端对服务器进行认证 2.TLS认证过程 3.交换机认证模式 (1)MAC认证模式 · 该模式下连接到同一端口的每个设备都需要单独进行认证; · 华为交换机默认模式。 (2)端口认证模式 · 只要连接到端口的某个客户端通过认证; · 其它客户端则不需要认证,就可以访问网络资源。 4.测试组网 (1)组网说明 · 交换机使用华为的S5720; · 服务器采用
802.1x认证过程 TTLS
zhangnn5的专栏
03-22 8323
来源:http://archercai.blog.sohu.com/66483620.html 1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。 802.1x Authentication     Version: 1     Type: 0 EAP Packet
802.1x技术介绍
求索
09-07 3531
802.1x技术介绍 目  录 802.1X. 1 802.1X的体系结构.. 1 802.1X的认证方式.. 1 802.1X的基本概念.. 2 EAPOL消息的封装.. 3 EAP属性的封装.. 4 802.1X的认证触发方式.. 5 802.1X的认证过程.. 5 802.1X的接入控制方式.. 8 802.1X的定时器.. 8 和80
802.1X EAP 认证
weixin_34413802的博客
02-26 2018
从本节开始,我们将重点关注安全主题中最后一个重要部分,即身份验证。首先介绍EAP,然后介绍802.1X。提示 wpa_supplicant很大一部分内容就是在处理身份验证,所以本节也将花费较多的笔墨来介绍相关内容。(1EAP[31][32][33]目前身份验证方面最基础的安全协议就是EAP(Extensible Authentication Protocol),协议文档定...
WIFI 企业级认证手段 EAP-TLS介绍
weixin_43408952的博客
06-28 3126
EAP-TLSEAP-Transport Layer Security)被认为是WLAN网络里最安全的认证方法,因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍
802.1X测试
03-27
802.1X基本原理描述,802.1X基本原理描述,802.1X基本原理描述,
自连科技802.1x EAP企业加密WIFI方案
10-13
EAP(Extensible Authentication Protocol)为可扩展身份验证协议,是一系列验证方式的集合,设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式;EAP协议是IEEE 802.1x认证机制的核心。 EAP属于一种框架协议,本身并未规范如何识别用户,但允许协议涉及人员打造自己的EAP认证方式(EAP Method),即用来进行交换操作的子协议。EAP认证方式可以有不同目的,因此通常根据特殊情况的需求采用不同的方式识别用户的身份。 EAP的架构:设计上是为了能运行于任何的链路层以及使用各种身份验证方式。
802.1x EAP-TLS客户端抓包
09-12
802.1x EAP_TLS客户端抓包文件,用于分析EAP-TLS交互流程
802.1x EAP-TLS认证证书
09-12
802.1x EAP-TLS(Extensible Authentication Protocol - Transport Layer Security)是一种网络访问控制协议,主要用于无线局域网(WLAN)和有线网络的接入控制。该协议结合了802.1x身份验证框架和EAP(可扩展认证...
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim
09-21
它被广泛应用于802.11无线局域网、802.1X有线局域网访问控制、虚拟私人网络(VPNs)以及移动通信系统中。EAP允许添加新的认证方法,以适应不断变化的安全需求。 标签 ".eap" 表明文件与EAP协议直接相关,而其他标签...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值