EAP-PEAP.doc

EAP-PEAP&EAP-TLS认证详细流程分析
EAP-PEAP认证详细流程分析（结合radius认证合同及抓包）
EAP-PEAP背景
EAP：（Extensible Authentication Protocol）可扩展认证合同。
EAP属于一种框架合同，最初规范于RFC2284，日后经RFC3748更新。EAP是一种简朴封装方式，可以运营于任何链路层，但是它在PPP链路上并未广泛使用。
EAP 基本架构如图所示：
EAP 认证方式（EAP Method）。
EAP 会把证明使用者身份过程，授权给一种称为EAP method 附属合同，EAP method 乃是一组验证使用者身份规则。
使用EAP method 长处是，EAP从此可以不用去管验证使用者细节。当新需求浮现时就可以设计出新认证方式，就算要用于无线局域网也不成问题。
惯用EAP认证办法如下图所示：
PEAP，受保护EAP（Protected EAP）。
PEAP是由Microsoft、Cisco和RSA Security共同开发，在EAP框架中基于证书+用
户名密码实现顾客WLAN接入鉴权。
PEAP是EAP认证办法一种实现方式，网络侧通过顾客名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。顾客初次使用PEAP认证时，需输入顾客名和密码，后续接入认证无需顾客任何手工操作，由终端自动完毕。
EAP-PEAP技术原理
PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。
EAP 客户端和认证服务器之间认证过程有两个阶段。
第一阶段：建立 PEAP 客户端和认证服务器之间安全通道，客户端采用证书认证服务端完毕TLS握手。服务端可选采用证书认证客户端。
第二阶段：提供 EAP 客户端和认证服务器之间 EAP 身份验证。整个 EAP 通信，涉及 EAP 协商在内，都通过 TLS 通道进行。服务器对顾客和客户端进行身份验证，详细办法由 EAP 类型决定，在 PEAP 内部选取使用(如：EAP-MS-CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。
当前被WPA和WPA2批准有两个PEAP子类型 PEAPV0-MSCHAPV2，PEAPV1-GTC，使用广泛是PEAPV0-MSCHAPV2。
PEAP顾客接入流程
图1 PEAP顾客接入流程
E1 认证初始化
WLAN UE向WLAN AN发送一种EAPoL-Start报文，。
WLAN AN向WLAN UE发送EAP-Request/Identity报文，规定WLAN UE将顾客信息送上来。
WLAN UE回应一种EAP-Response/Identity给WLAN AN祈求，其中涉及顾客网络标记。顾客ID，对于PEAP-mschchap v2认证方式顾客ID是由顾客在客户端手动输入或者配备。本次顾客名建议同顾客portal认证顾客名密码。
WLAN AN以EAP Over RADIUS报文格式将EAP-Response/Identity发送给Radius,并且带上有关RADIUS属性。
Radius收到WLAN AN发来EAP-Response/Identity，依照配备拟定使用EAP-PEAP认证，并向WLAN AN发送RADIUS-Access-Challenge报文，里面具有Radius发送给WLAN UEEAP-Request/Peap/Start报文，表达但愿开始进行EAP-PEAP认证。
WLAN AN将EAP-Request/PEAP/Start发送给WLAN UE。
E2 建立TLS通道
WLAN UE收到EAP-Request/Peap/Start报文后，产生一种随机数、客户端支持加密算法列表、TLS合同版本、会话ID、以及压缩办法（当前均为NULL），封装在EAP-Response/TLS/Client Hello报文中发送给WLAN AN。
WLAN AN 以EAP Over RADIUS报文格式将EAP-Response/ TLS /Client Hello发送给认证服务器Radius,并且带上有关RADIUS属性。
Radius收到Client Hello报文后，会从Client Hello报文加密算法列表中选取自己支持一组加密算法＋Server产生随机数＋Server 证书（包括服务器名称和公钥）＋证书祈求＋Server_Hello_Done属性形成一种Ser