EAP-TLS认证过程

最新推荐文章于 2025-05-22 11:45:36 发布
原创 最新推荐文章于 2025-05-22 11:45:36 发布 · 1.7w 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

EAP-TLS认证过程如下: 
1)客户端发出EAP-start消息请求认证; 
2)AP发出请求帧,要求客户端输入用户名; 
3)客户机响应请求,将用户名信息通过数据帧发送至AP; 
4)AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器; 
5)RADIUS服务器验证用户名合法后向客户端发送数字 证书
6)客户端通过数字证书验证服务器的身份; 
7)客户端向服务器发送自己的数字证书; 
8)服务器通过数字证书验证客户端的身份,至此完成相互认证; 
9)在相互认证的过程中,客户端和服务器获得主会话密钥; 
10)认证成功,RADIUS服务器向AP发送RADIUSACCEPT消息,其中包含密钥信息; 
11)AP向客户端转发EAPSuccess消息,认证成功 

虽然EAP-TLS的安全核心是验证数字证书,但是在此之前仍然需要client提供identity以供验证身份的合法性才会开始证书的双向验证,所以需要先在UI上输入identity(username).

EAP-SIM的连接不需要安装证书,identity是以SIM卡的IMEI


EAP

受保护的可扩展的身份验证协议 (PEAP) 是可扩展的身份验证协议 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS)在正在验证的 PEAP 客户端(例如无线计算机)和 PEAP 身份验证器(例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 服务器)之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议,该协议可以通过 PEAP 提供的 TLS 加密通道得以实现。PEAP 用作 802.11 无线客户端计算机的身份验证方法,


整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。IAS 服务器对用户和客户端计算机进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(EAP-TLS 或 EAP-MS-CHAPv2)。访问点只会在无线客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点(或者对它们进行监视的人)无法对这些消息进行解密。

可以在两种 EAP 类型中选择一种与 PEAP 共同使用:EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2使用凭据(用户名和密码)进行用户身份验证,使用服务器计算机证书存储中的证书进行服务器验证。EAP-TLS使用安装在客户端计算机或智能卡中的证书进行用户和客户端计算机验证,使用服务器计算机证书存储中的证书进行服务器验证。

带 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易于部署,因为用户身份验证是使用基于密码的凭据(用户名和密码)来完成的,而不是使用证书或智能卡 -- 只有 IAS 或 RADIUS 服务器需要有证书。另外,服务器证书可以由客户端计算机所信任的公共证书颁发机构 (CA) 颁发(即,公用的 CA 证书已经存在于客户端计算机证书存储中的“受信根证书颁发机构”文件夹内)。在这种情况下,服务器证书不会被下载和添加到客户端受信任的根证书存储中,用户也不会被提示来决定是否信任服务器。
PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性,它使用相互身份验证,防止未经授权的服务器协商最不安全的身份验证方法,提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任服务器提供的证书。


Line 14704: 02-10 15:35:36.011  6385  6385 D wpa_supplicant: EAPOL: SUPP_PAE entering state DISCONNECTED
Line 14705: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14706: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: KEY_RX entering state NO_KEY_RECEIVE
Line 14707: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: SUPP_BE entering state INITIALIZE
Line 14708: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAP: EAP entering state DISABLED
Line 14709: 02-10 15:35:36.012  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14710: 02-10 15:35:36.013  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14861: 02-10 15:35:36.160  6385  6385 D wpa_supplicant: EAPOL: SUPP_PAE entering state DISCONNECTED
Line 14862: 02-10 15:35:36.160  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14863: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: KEY_RX entering state NO_KEY_RECEIVE
Line 14864: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: SUPP_BE entering state INITIALIZE
Line 14865: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAP: EAP entering state DISABLED
Line 14866: 02-10 15:35:36.161  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 14867: 02-10 15:35:36.162  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16680: 02-10 15:35:36.941  6385  6385 D wpa_supplicant: EAPOL: External notification - EAP success=0
Line 16681: 02-10 15:35:36.941  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16682: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: External notification - EAP fail=0
Line 16683: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16684: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: External notification - portControl=Auto
Line 16685: 02-10 15:35:36.942  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16979: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: External notification - portEnabled=0
Line 16980: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16987: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: External notification - portValid=0
Line 16988: 02-10 15:35:36.991  6385  6385 D wpa_supplicant: EAPOL: Supplicant port status: Unauthorized
Line 16989: 02-10 15:35:36.992  6385  6385 D wpa_supplicant: EAPOL: External notification - portEnabled=1
Line 16990: 02-10 15:35:36.9

最低0.47元/天 解锁文章

200万优质内容无限畅学
WIFI中EAP-TLS 认证分析
bobhu4201的博客
09-06 1299
WIFI中EAP-TLS 认证分析 1 包格式 2 流程 3 tcpdump包
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍了EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
EAP认证
weixin_30808253的博客
12-22 1234
EAP信息交换: 上图中展示的是OTP(一次性密码)实现EAP交换过程,具体的EAP交换过程如下:步骤1:请求方向认证方发送EAPOL-Start消息,通知对方已经做到了认证准备(注意:若会话由认证方发起,不需要该报文)步骤2:在检测到链路活动后(比如客户连接到SW端口),认证方向请求当发送EAP-Request/Identity消息步骤3:请求方给认证方回复EAP-Response/Id...
TwinCAT3 EAP通讯测试实战解析
最新发布
weixin_28872035的博客
05-22 704
随着工业4.0的不断推进,实时性和可靠性成为了工业自动化通信系统的核心要求。TwinCAT3通过EAP(Ethernet for Automation Protocol)通信协议,提供了与不同制造商设备之间的标准化实时通信解决方案。EAP协议在TCP/IP模型的基础上,专门针对自动化环境的需求进行了优化和定制,确保了数据传输的实时性和准确性。在工业自动化领域,TwinCAT 3 与 EAP 通信协议的结合使用已经变得越来越普遍。
IKEv2协议中的EAP-TLS认证处理流程
redwingz的博客
12-18 4729
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和carol主机。 carol主机配置 carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...
[WiFi] WiFi 802.1x介绍及EAP认证流程整理
wgl307293845的博客
12-21 2955
Wi-Fi 802.1X 是一种网络访问控制协议,常用于保护无线网络。它提供了一种基于端口的网络访问控制机制,主要用于在用户和网络之间建立安全的连接。802.1X 使用 EAP(可扩展认证协议)作为其认证框架,支持多种认证方法,如 EAP-TLS、PEAP 等。802.1X 采用客户端(被称为“请求者”)、认证服务器(如 RADIUS 服务器)和网络设备(如交换机或无线接入点,称为“验证者”)三方模型。通过强制用户在访问网络之前进行身份验证,802.1X 提供了增强的安全性,防止未经授权的设备接入网络。
WIFI 企业级认证手段 EAP-TLS介绍
weixin_43408952的博客
06-28 3523
EAP-TLSEAP-Transport Layer Security)被认为是WLAN网络里最安全的认证方法,因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
802.1x EAP-TLS认证证书
09-12
在802.1x EAP-TLS认证中,主要有以下几个关键知识点: 1. **EAP(可扩展认证协议)**:EAP是一个灵活的身份验证协议,允许添加新的身份验证方法。EAP-TLSEAP的一种,利用TLS(Transport Layer Security)来安全地...
WIFI认证EAP-TLS
08-05
在Android系统中,`EAPTLSAuthentication` 类是用来处理EAP-TLS认证过程的。这个类主要负责设置和更新WiFi配置以支持EAP-TLS认证。以下是对代码中关键部分的解释: 1. **成员变量**: - `WifiManager` 对象:这是...
https认证过程TLS认证过程
Allennnnnnnnnn的博客
03-11 1186
目前的HTTPS是使用http+tls的,所以直接了解tls认证过程即可 曾经广泛使用的运输层安全协议有两个 (1)安全套接字层 SSL (Secure Socket Laver)。 **(2)运输层安全 TLS (Transport Layer Security)。** ​ SSL是TLS的前身,TLS在SSL基础上改进了很多,但是现在还经常能够看到把SSL/TLS视为TLS的同义词。而现在旧协议SSL被更新为新协议TLS
802.1x EAP认证过程
11-29
802.1x EAP认证过程的六个步骤。并有报文实例
Android Wi-Fi EAP-SIM认证流程
DonnyCoy
07-22 7682
1 IEEE802.1X 认证流程 IEEE802.1X 认证流程示意图 认证流程说明如下 客户端首先发送 EAPOL_Start 报文,发起 IEEE802.1X 身份认证请求; 认证系统接收到 EAPOL_Start 报文之后,向客户端发送 EAP_Request Identity 请求,要求客户端发送用户 Identity; 客户端接收到 E
802.1x 之EAP-TLS介绍
写作是为了更好的思考
09-12 5103
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
TLS认证流程及报文解析
qq_42288975的博客
08-23 3971
介绍了TLS单向认证、双向认证、会话恢复流程,根据报文解析深入理解上述流程。
EAPOL
热门推荐
printf_mylife的专栏
02-18 1万+
EAP(Extensible Authentication Protocol),可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IP。EAP可应用于无线、有线网络中。          EAP的架构非常灵活,在Authenticator(认证方)和Supplicant(客
基于TLSEAP 认证方法
weixin_34335458的博客
09-29 1022
TLS: transport level security , 安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS握手协议(TLS Handshake)。 目前基于TLSEAP认证方法主要有三种: (1)EAP-TLS 使用TLS握手协议作为认证方法。 TLS认证是基于client和server双方互...
SSL/TLS认证握手过程
团长的专栏
05-23 3244
client读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA的证书,证书也会被判定非法。哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名。
eap wifi 证书_WIFI用户EAP-TLS认证.pdf
weixin_39933414的博客
02-01 1769
WIFI用户EAP-TLS认证FortiGate 结合Openssl + freeradius实现多级CA 环境下的无线用户EAP-TLS 认证一、 EAP-TLS 简介简而言之,使用数字证书来保护radius 认证,与802.1x 结合,可以用数字证书认证无线上网用户,是最安全的无线认证方法之一。参考:/wiki/EAP#EAP-TLS二、 实验环境如上图所示,使用两台ubuntu linux ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值