EAP-TLS认证过程

EAP-TLS认证过程如下: 
1)客户端发出EAP-start消息请求认证; 
2)AP发出请求帧,要求客户端输入用户名; 
3)客户机响应请求,将用户名信息通过数据帧发送至AP; 
4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器; 
5)RADIUS服务器验证用户名合法后向客户端发送数字 证书
6)客户端通过数字证书验证服务器的身份; 
7)客户端向服务器发送自己的数字证书; 
8)服务器通过数字证书验证客户端的身份,至此完成相互认证; 
9)在相互认证的过程中,客户端和服务器获得主会话密钥; 
10)认证成功,RADIUS服务器向AP发送RADIUSACCEPT消息,其中包含密钥信息; 
11)AP向客户端转发EAPSuccess消息,认证成功 

虽然EAP-TLS的安全核心是验证数字证书,但是在此之前仍然需要client提供identity以供验证身份的合法性才会开始证书的双向验证,所以需要先在UI上输入identity(username).

EAP-SIM的连接不需要安装证书,identity是以SIM卡的IMEI


EAP

受保护的可扩展的身份验证协议 (PEAP) 是可扩展的身份验证协议 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS)在正在验证的 PEAP 客户端(例如无线计算机)和 PEAP 身份验证器(例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 服务器)之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议,该协议可以通过 PEAP 提供的 TLS 加密通道得以实现。PEAP 用作 802.11 无线客户端计算机的身份验证方法,


整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。IAS 服务器对用户和客户端计算机进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(EAP-TLS 或 EAP-MS-CHAPv2)。访问点只会在无线客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点(或者对它们进行监视的人)无法对这些消息进行解密。

可以在两种 EAP 类型中选择一种与 PEAP 共同使用:EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2使用凭据(用户名和密码)进行用户身份验证,使用服务器计算机证书存储中的证书进行服务器验证。EAP-TLS使用安装在客户端计算机或智能卡中的证书进行用户和客户端计算机验证,使用服务器计算机证书存储中的证书进行服务器验证。

带 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易于部署,因为用户身份验证是使用基于密码的凭据(用户名和密码)来完成的,而不是使用证书或智能卡 -- 只有 IAS 或 RADIUS 服务器需要有证书。另外,服务器证书可以由客户端计算机所信任的公共证书颁发机构 (CA) 颁发(即,公用的 CA 证书已经存在于客户端计算机证书存储中的“受信根证书颁发机构”文件夹内)。在这种情况下,服务器证书不会被下载和添加到客户端受信任的根证书存储中,用户也不会被提示来决定是否信任服务器。
PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性,它使用相互身份验证,防止未经授权的服务器协商最不安全的身份验证方法,提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任服务器提供的证书。


Line 14704: 02-10 15:35:36.011  6385  6385 D wpa_supplicant: EAPOL: SUPP_PAE entering state DISCONNECTED
Line 14705: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14706: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: KEY_RX entering state NO_KEY_RECEIVE
Line 14707: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: SUPP_BE entering state INITIALIZE
Line 14708: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAP: EAP entering state DISABLED
Line 14709: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14710: 02-10 15:35:36.013  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14861: 02-10 15:35:36.160  6385  6385 D wpa_supplicant: EAPOL: SUPP_PAE entering state DISCONNECTED
Line 14862: 02-10 15:35:36.160  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14863: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: KEY_RX entering state NO_KEY_RECEIVE
Line 14864: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: SUPP_BE entering state INITIALIZE
Line 14865: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAP: EAP entering state DISABLED
Line 14866: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14867: 02-10 15:35:36.162  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16680: 02-10 15:35:36.941  6385  6385 D wpa_supplicant: EAPOL: External notification - EAP success=0
Line 16681: 02-10 15:35:36.941  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16682: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: External notification - EAP fail=0
Line 16683: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16684: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: External notification - portControl=Auto
Line 16685: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16979: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: External notification - portEnabled=0
Line 16980: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16987: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: External notification - portValid=0
Line 16988: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16989: 02-10 15:35:36.992  6385  6385 D wpa_supplicant: EAPOL: External notification - portEnabled=1
Line 16990: 02-10 15:35:36.9

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值