无线802.1X认证功能——无线802.1X认证原理
目录
Ⅰ 标准无线802.1x认证原理
Ⅱ 锐捷无线802.1x认证原理
Ⅰ 标准无线802.1x认证原理
1、标准无线802.1x协议交互逻辑
无线PEAP认证可划分为若干个步骤:802.11无线关联过程作为基础环节,在此之后依次展开PEAP认证流程以及无线Key配置操作;随后将逐一完成客户端IP地址获取任务直至最终完成整个系统的部署与测试;随后我们将参照附图系统阐述整个认证流程的关键环节。
一、 802.11无线关联阶段
个人计算机(通常缩写为ST)作为认证客户端程序,在无线开放模式下与无线设备实现了动态通信链接。
第1组通信流程用于客户端发起请求以获得相关联的无线接入点标识符(SSID),无线设备将对该客户端发出响应。
随后的一对交互流程采用开放模式实施认证,严格的实名认证归入PEAP阶段完成。
此过程旨在建立双方之间的无线连接。在对话中达成共识的是:双方支持的不同通信速率设置、数据传输过程中采用的安全机制以及安全通信管理流程。
客户端和无线设备完成上述交互过程后,无线关联过程也就完成了。
二、PEAP认证阶段
A 、802.1X认证起始阶段
1)客户端向无线设备发送一个EAPoL-Start报文,开始802.1X认证;
无线设备会向客户端发送EAP-Request/ID报文,并指示客户端将用户的详细信息传输过来。
3)在与无线设备通信时,在响应端发送EAP-Response/ID数据包。该数据包中包含用户标识信息,默认情况下会包含认证用户的唯一标识码(尽管在PEAP的安全通道中仍然采用基于TLS的技术进行认证流程,在这一过程中可能会再次请求用户的ID信息;因此方案设计者可以通过此次响应的数据包来巧妙地隐藏真实身份信息
4)无线设备采用EAP Over Radius技术将EAP-Response/ID发送给Radius服务器。
B 、协商PEAP认证并建立TLS安全通道
Radius服务器接收到EAP-Response/ID后依据配置参数选择实施PEAP认证流程,并生成并发送Access-Challenge报文以发起认证请求;该报文中包含客户端将由服务器发送的PEAP-Start指示信息以启动后续验证过程。
6)无线设备将EAP-Request/PEAP-Start发送给认证客户端;
当客户端接收到EAP-Request/PEAP-Start报文时,系统会自动创建客户端随机数,收集当前环境下客户端可支持的一系列加密算法信息以及选定合适的TLS协议版本,并将上述信息打包封装成PEAP-Client Hello报文的形式发送给无线设备
8)无线设备通过采用EAP Over Radius的技术将PEAP-Client Hello请求传输至Radius服务器;
当Radius服务器接收到客户端发送过来的PEAP-Client Hello报文时
无线设备通过解析Radius报文中包含的EAP属性,并生成对应的EAP-Request报文后,最终发送至客户端。
当客户端接收到来自服务器的EAP-Request报文时,在验证Radius服务器颁发的有效证书之后,在该证书有效的情况下,则从Radius服务器处获取其公钥,并生成一个随机密码串(命名为Pre-Master-Secret),随后使用该服务器的公钥对该密码串进行加密。接着将该加密后的信息(命名为Client-Key-Exchange)、数字证书(可设置为空)以及TLS Finished属性打包成EAP-Rsponse/TLS OK报文并发送给无线交换机
无线设备通过EAP Over Radius的形式将EAP-Response/TLS OK报文传输给Radius服务器。
当Radius服务器接收到客户端发送的报文时,利用自身私有证书对Client-Key-Exchange进行解密处理,从而成功获得Pre-Master-Secret信息.随后对Pre-Master-Secret进行运算处理,并结合双方各自产生的随机数,生成三个关键组件:加密密钥、初始化向量以及HMAC密钥.此时,双方已经安全地协商出了一套加密方案.(Radius服务器借助HMAC的密钥,对TLS通道内的认证信息做安全摘要处理,并将摘要结果与认证消息一起打包成Radius Access-Challenge报文,通过无线设备传递给客户端.)
至此,在PEAP协议下已实现TLS安全通道的有效建立。后续的安全认证流程将采用通过协商确定的加密密钥以及摘要密钥对数据进行加密处理以及完整性校验。
C 、通道内认证
三、无线密钥设置阶段
客户端与无线设备之间基于EAPoL-Key协议实现了 wireless encryption key configuration. 最终, 客户端将 encrypted key (Key) information via network adapter driver interface settings into the network interface card, enabling encryption and decryption processing for incoming and outgoing data. 同时, wireless devices will also configure the same encrypted key to achieve wireless encryption and decryption of uplink data. Following that, communication data between PC and wireless devices will be in ciphertext form.
注意
四、客户端DHCP地址获取阶段
客户端同无线设备使用DHCP协议进行交互,完成IP地址获取。
五、正常网络访问阶段
获取到IP地址后,该PC即可正常接入互联网。无线终端会解密客户端所属服务器的数据并传递给相关终端最终送达网络
六、认证下线阶段
1)客户端发送DHCP Release报文给无线设备,释放之前获取的IP地址;
移动终端会将EAPoL-Logoff报文发送至无线设备,并在该设备上触发本次PEAP认证流程的终止
无线设备接收到EAPoL-Logoff报文后会生成Radius记账结束报文并报告给Radius服务器该用户已处于注销状态
七、解除802.11无线关联阶段
最后一个阶段是客户端请求无线设备解除无线关联。
2、TLS 安全通道内的几种典型认证方法
一、EAP-MS-CHAP v2
微软开发出了一种名为EAP-MS-CHAPv2的认证协议方案,在设计上采用了创新性的双向挑战握手机制来完成双方身份验证过程。这种方案不仅能够验证客户端的身份有效性,并且在认证过程中也能完成对服务器身份信息的验证工作。具体而言,在PEAP所构建的TLS安全通道内会按照以下流程开展交互操作:
改写说明
客户端接收到来自Radius服务器的用户名请求,并对包含Response/ID及用户的认证信息的报文进行处理。
注意:过程1 和2 与普通的EAP-MD5 认证没有任何区别。
Radius服务器将Request/Challenge报文传输至客户端;其中包含有其自身所生成的Challenge挑战值及服务器主机名等详细信息。
当客户端接收到经解密并解析来自Radius服务器的Request/Challenge报文后, 基于所述Challenge数据和自身参数生成响应报文. EAP-MS-CHAPv2响应/挑战报文包含以下组成部分: MS-CHAPv2头信息(共6字节)、客户端挑战数据(16字节)、备用字段(8字节)、NT响应信息(24字节)、标志位(1位)以及用户ID信息.
随后该过程由网络传输层向客户端提供EAP-MS-CHAPv2 Success/Failure报文。
Radius服务器被客户端通过解析后的报文内容准确地返回相应的确认信息(EAP-Success ACK或EAP-Failure ACK)。
至此,EAP-MS-CHAPv2认证已经全部完成。
二、EAP-MD5
该方案采用基于挑战握手机制的认证模式,在用户名/密码验证场景中发挥重要作用。其工作流程包括:系统接收客户端发送的Challenge值及其相关附加信息,并结合用户提供的密码数据进行MD5散列处理后传输回客户端;通过计算客户端提供的哈希值并与自身计算结果对比来判断双方的一致性。安全通道内的交互过程如图所示。
三、EAP-OTP
基于EAP的一次性密码(One-Time Password, OTP)是一种动态身份验证方案,在理论层面被定义为一个概念框架和协议设计模式。该方案涉及的概念框架可以通过多种技术手段实现的身份验证机制。
其典型的应用场景及方法如下:
该网站通过手机发送包含随机密码的信息,在线购物平台的安全认证系统设计采用了一种新型的方式:即每次认证时用户接收的不同密码,并且每个密码在特定时间段内仅可使用一次。
银行为用户提供的一种网络银行身份验证工具。该密保卡卡片正面设计有横向和纵向的数字分布,在每次认证过程中,系统会自动调取指定行与列交叉处的数字组合作为当前认证步骤的密码。需要注意的是,在使用后该次生成的密码将被永久失效。此外,在非认证时段或更换密保卡期间,则可采用卡片上其他排列方式完成对网银系统的登录操作。
一种便于玩家随身携带的小型密码生成装置(电子设备),能够提供与服务器端一致的同时性加密密钥,在不同运行时段内将产生各异且独一无二的密钥序列。通过该装置产生的随机串码可快速实现网络游戏账号的安全登录。
尽管上述三种身份认证方式在密码生成逻辑上存在差异性,但它们均采用了基于一次性随机密码作为校验手段的方法,并最终实现了"一次一密"的安全机制,并通过"随用随丢"的方式确保信息的安全性。
对于现行的EAP-OTP协议体系而言,并未有统一的标准规范强制规定必须采用特定算法来生成密钥。其核心特征在于确保每次通信中使用的都是独立的一次性随机密码。具体实现时可采用类似于EAP-PAP的方式进行明文密码交换;同样可借鉴MD5算法与挑战握手机制相结合的方式进行处理。
Ⅱ 锐捷无线802.1x认证原理****
一、简述********
由于PEAP已获得在无线认证领域被广泛认可, Ace networking平台基于协议标准实现了对PEAP认证协议的本地化支持。基于RFC PEAPv0草稿,Ace networking平台开发了适用于无线环境的本地化PEAP解决方案。为了优化网络管理与维护流程,Ace networking平台在标准PEAP框架上增加了若干专用补充协议。这些补充协议虽然属于公司内部定制方案,但仍保持了与原生PEAP架构的一致性。Ace networking平台采用该定制化的本地化PEAP解决方案,从而在指定网络拓扑结构下为无线接入用户提供空通授权服务。
二、TLS 安全通道内的认证方法
基于 TLS 的安全通道中运行的 PEAP 认证协议采用 EAP-MS-CHAP v2 标准。值得注意的是,在遵循 EAP-MS-CHAPP 2 标准的基础上, 锐捷网络增加了若干专用属性。所有新增功能均严格遵守原有规范, 此处不会影响原有框架结构。新增的功能将主要用于客户端与‘SAM 第三方兼容性组件’的数据传输, 其主要作用是实现客户端数据的安全加密和解密。这些专用属性包括加密密钥、加密初始化向量、通讯 IP 以及通讯端口等参数
补充:
1**、报文交互解析**
锐捷网络实现的无线PEAP协议交互过程基本上与标准PEAP交互过程相仿。然而,在无线PEAP认证过程中为了满足特定需求,在客户端与Radius服务器之间新增了相应的互动流程这一流程被统一称为"锐捷补充协议"
2、锐捷补充协议
该补充协议是由锐捷认证客户端与" SAM 第三方兼容性组件"之间的通信所使用的报文形式。那么 锐捷公司 所开发的" SAM 第三方兼容性组件"具体是什么?该组件又可被用于实现什么功能呢?
该第三方兼容组件是一台独立运行的服务器,在其运行过程中旨在防止认证客户端与SAM服务器之间的直接通信联系。其主要功能是确保SAM服务器的安全性,并减少潜在的安全威胁风险;该组件通过接收认证客户端发送过来的锐捷专用协议数据,并将其转换为SAM系统能够有效识别和处理的数据格式后传送给其所属的SAM服务单元;随后,在此基础上该组件对数据进行打包并加密处理使其成为具有明确标识性的格式供认证客户端识别;最后通过Unit Datagram Protocol(UDP)的形式将加密后的数据发送至认证客户端设备端口进行处理
锐捷补充协议实现了如下功能:
1、管理员发送实时文字信息给认证用户,用于对指定用户的信息通告;
2、管理员踢指定用户下线;
3、客户端定期发送保活心跳报文给认证服务器,表明客户端依然在线;
4、客户端所在PC 的IP地址等参数信息上传。
该协议允许配置源端口和目的端口,并在SAM平台中实现设置。在认证过程中(通过EAP-MS-CHAPv2报文)将配置信息下发至客户端。当客户端完成认证后会开始监控指定端口的数据传输。这些UDP报文中存储的信息经过加密处理,并且通过抓包分析无法提取具有实际意义的数据内容。该协议默认采用UDP53(用于SAM服务端监听)和UDP138(用于客户端监听)这两个端口号组合进行配置;如果有特殊需求也可以根据实际情况更换这两个默认值。