锐捷无线8021x认证.docx

该【锐捷无线8021x认证 】是由【泉水叮咚】上传分享，文档一共【10】页，该文档可以免费在线阅读，需要了解更多关于【锐捷无线8021x认证 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。,无线关系阶段、PEAP认证阶段、无线Key配置阶段、客户端IP地点获得阶段、正常网络接见阶段以及最后的下线阶段,接下来我们就依据以下图对认证过程中的各个阶段进行详尽描绘。一、无线关系阶段STA(WorkStation,往常指个人PC)上的认证客户端〔Supplicant〕经过无线开放模式和无线设施之间成立连结。1〕第一对交互过程用于客户端恳求希望关系的SSID,无线设施进行恳求应答。2〕接下来的一对交互过程使用开放模式进行认证,真切的身份校验放到了PEAP阶段达成。3〕最后一对交互过程是在进行无线关系,经过该对话能够磋商出两方所支持的通信速率、无线数据传输时的密钥传达、管理和加密方式。客户端和无线设施达成上述交互过程后,无线关系过程也就达成了。二、PEAP认证阶段A、认证开端阶段1〕客户端向无线设施发送一个EAPoL-Start报文,开始认证;〕无线设施向客户端发送EAP-Request/ID报文,要求客户端将用户信息奉上来;〕客户端回应EAP-Response/ID给无线设施,该报文中包含用户表记,往常为认证用户ID〔因为PEAP的TLS安全通道内依旧使用EAP协议进行认证,而EAP认证过程中会再恳求一次用户ID,那么方案设计者能够经过本次的Response/ID来隐蔽真切的用户ID,而在TLS安全通道内的EAP交互中携带真切的用户ID,这样能够加强用户认证凭据的保密性〕;4〕无线设施以EAPOverRadius的形式将EAP-Response/ID传递给Radius服务器。B、磋商PEAP认证并成立TLS安全通道5〕Radius效力器收到EAP-Response/ID后依据配置确立使用PEAP认证,并向ess-Challenge报文,报文中包含Radius效力器发送给客户端的PEAP-Start报文,表示希望使用PEAP方法进行接下来的认证;6〕无线设施将EAP-Request/PEAP-Start发送给认证客户端;7〕客户端收到EAP-Request/PEAP-Start报文后,生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息,并将这些信息封装到PEAP-ClientHello报文中发送给无线设施;8〕无线设施以EAPOverRadius的形式将PEAP-ClientHello发送给Radius服务器;9〕Radius效力器收到客户端发来的PEAP-ClientHello报文后,会从PEAP-ClientHello报文的加密算法列表中选择自己支持的一组加密算法并同Radius效力器产生的随机数、Radius效力器证书、证书恳求信息、Server_Hello_Done属性形成ess-Challenge报文中,发送给客户端;〕无线设施提取Radius报文中的EAP属性,将其封装成EAP-;11)客户端收到来自效力器的EAP-Request报文后,考证Radius效力器的证书能否合法。假如合法那么提取Radius效力器证书中的公钥,同时产生一个随机密码串〔称为Pre-Master-Secret〕,并使用效力器的公钥对其进行加密,最后将加密后的信息〔称为Client-Key-Exchange〕以及客户端的数字证书〔能够设置成空〕、TLSFinished等属性封装成EAP-Rsponse/TLSOK报文并发送给无线互换机;12〕无线设施以EAPOverRadius的形式将EAP-Response/TLSOK报文发送给Radius效力器;13〕Radius效力器收到客户端发送过来的报文后,用自己的证书私钥对Client-Key-Exchange进行解密,进而获得到Pre-Master-Secret,而后将Pre-Master-Secret进行运算办理,加上Client和Server产生的随机数,生成加密密钥、加密初始化向量和HMAC的密钥,这时两方已经安全的磋商出一套加密方法了〔Radius效力器借助HMAC的密钥,对TLS通道内的认证信息做安全的纲要办理,而后和认证信息放到一同。借助加密密钥,加密初始化向量来加密上边的信息,ess-Challenge报文中,经过无线设施传递给客户端〕;至此PEAP协议的TLS安全通道已经成立成功,后续的认证过程将使用磋商出的加密密钥和纲要密钥进行数据的加密和校验。C、通道内认证14〕无线设施提取Radius报文中的EAP属性,并将其封装成EAP-Request报文后发送给客户端;15〕客户端收到Radius效力器发来的报文后,用效力器相同的方法生成加密密钥,,,而后产生认证回应报文,用与效力器相同的密钥进行加密和校验,最后封装成EAP-Response报文并发送给无线设施;16〕无线设施相同以EAPOverRadius的报文格式未来自客户端的EAP-Response发送给Radius效力器,这样频频进行通道内的认证交互,直到认证达成;17〕Radius效力器达成对客户端的身份校验后,会发送ess-Accept报文给无线设施,该报文中包含了Radius效力器所供给的MPPE属性;18〕无线设施收到ess-Accept报文后,会提取MPPE属性中的密钥做为无线WPA加密用主密钥〔PMK〕。同时无线设施会发送EAP-ess报文给客户端通知其PEAP认证成功;19〕无线设施给Radius效力器发送Radius记账开始报文,通知效力器开始对用户进行计费。三、无线密钥设置阶段客户端同无线设施间经过EAPoL-Key交互达成无线加密密钥的配置,最后客户端会将加密密钥〔Key〕信息经过网卡驱动接口设置到网卡中,供网卡对出入网卡的数据进行加密解密办理。无线设施也会配置相同的加密密钥,达成空口数据的无线加密解密。接下来PC和无线设施间的通信数据均为密文通信。注意:在无线设施和客户端的数据传输过程中,为了保证数据的安全,WPA要求准时或定量〔包的数量〕进行单播密钥更新,当更新的时间或许数据传输的数量到了,。、客户端DHCP地点获得阶段客户端同无线设施使用DHCP协议进行交互,达成IP地点获得。五、正常网络接见阶段获得到IP地点后,PC就能够正常接见互联网了。无线设施会未来自客户端所在PC的密文进行解密后发送到有关设施最后传输到互联网。六、认证下线阶段1〕客户端发送DHCPRelease报文给无线设施,开释以前获得的IP地点;2〕客户端发送EAPoL-Logoff报文给无线设施,通知该设施此次PEAP认证过程结束;3〕无线设施收到EAPoL-Logoff报文后,发送Radius记账结束报文给Radius效力器,见告Radius效力器该用户已经下线。七、排除无线关系阶段最后一个阶段是客户端恳求无线设施排除无线关系。TLS安全通道内的几种典型认证方法一、EAP-MS-CHAPv2EAP-MS-CHAPv2是微软提出的一套EAP认证协议,,不只能够让Radius效力器校验客户端的合法性,。其在PEAP所建立的TLS:〕Radius效力器第一倡始对客户端的恳求,恳求客户端的认证ID,往常状况下所请求的是用户的认证用户名;2〕客户端收到来自Radius效力器的用户名恳求后回应Response/ID,该报文中携带了用户的认证用户名;注意:过程1和2与一般的EAP-MD5认证没有任何差别。3〕Radius效力器给客户端发送Request/Challenge报文,Radius效力器发送到客户端的报文中携带有其自己产生的Challenge挑战值以及效力器主机名等内容;4〕当客户端接收、解密并分析了来自Radius效力器的Request/Challenge报文后,使用Radius效力器发送来的Challenge和自己的资料来产生Response/[EAP-MS-CHAPv2Response/Challenge报文包含MS-CHAPv2头部〔6bytes〕+(16)+Reserve(8)+NT-Resposne(24)+flags(1)+userID];〕接下来这个过程由效力端发送EAP-MS-ess/Failure报文给客户端;〕客户端依据分析后的报文内容来相对应的答复给Radius效力器EAP-EAP-FailureACK;,EAP-MS-CHAPv2认证已经所有达成。、EAP-MD5EAP-MD5协议是一种典型的Challenge〔挑战握手〕认证协议,/密码的考证环境中,对效力器发送来的Challenge数值、MD5hash后传达给效力器,,假如一致那么以为用户身份合法。安全通道内的交互过程以以下图所示:、EAP-OTPEAP-OTP全称鉴于EAP的One-TimePassword〔一次性密码或随机密码或动向密码〕,这个OTP是一个观点和协议轮廓,是一种能够经过不一样方式实现的用户身份校验方法。其典型的应用处景及方法以下:1、购物网站给用户发送携带有随机密码的短信,用户每次认证时所收到的密码均不相同,用户能够使用该密码登录购物网站,该密码在指准时间范围内仅能使用一次;2、银行给用户供给的网络银行密保卡,卡片上纵横都有数字,每次认证的时候使用系统要求的某行某列数字的组合作为一次认证密码,使用事后该密码作废。。经过这类随机密码用户能够很方便的登录网上银行系统;、网络游戏企业给玩家发放的一种小型密码生成器〔电子设施〕,其在同一时刻所生成的密码同效力器生成的一致,而其自己在不一样时刻所生成的密码均不相同,用户可以很方便的使用该设施上生成的随机密码登录到网络游戏平台。上述三种身份认证方式固然产生密码的逻辑不一样,可是均是以一次性的随机密码为校验根基,最后实现一次一密,随用随丢的成效。关于EAP-OTP并无某一篇标准标准其一定使用某一算法进行密码生成,EAP-OTP只是是重申EAP中所携带的密码是一次性的随机密码。关于详细的报文交互实现能够是近似EAP-PAP方式的明文密码携带,也能够近似EAP-MD5的使用Challenge这样的挑战握手方式进行密码办理。