学一点Wi-Fi:EAP & EAPOL

最新推荐文章于 2025-05-01 15:09:06 发布
原创 最新推荐文章于 2025-05-01 15:09:06 发布 · 7.4k 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了EAP(可扩展认证协议)及其在802.1X认证中的应用。EAP是一个认证框架,涉及Supplicant、Authenticator和Backend Authentication Server的角色。EAP协议包括Lower Layer、EAP Layer、EAP Peer/Authenticator Layer和EAP Method Layer四个层次。802.1X标准规定了EAP在无线局域网中的封装和实现,EAPOL-Packet用于传输EAP数据。认证流程包括身份验证、多轮请求响应及成功或失败的结束状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. EAP

EAP其实并不是WiFi专有的协议,但在802.1X认证中经常碰到EAP,而且自己老是把一些相关的概念搞混淆,所以还是得做做笔记。

EAP,全称Extensible Authentication Protocol,是一个认证框架,这个框架一种简单的request/response方式,传递认证算法(EAP method)所需要的信息并完成认证。

2. EAP中的常见概念

Supplicant:向Authenticator申请认证的一方,和Peer是一个概念

Authenticator:对Supplicant进行认证并提供网络连接或其他资源的一方,通常还会见到的NAS(Network Access Server)就属于Authenticator。

Backend Authentication Server:Authenticator的后备支援。Authenticator可能实现了部分的EAP method,也可能一个都不支持,这个时候,所有和EAP method相关的事务就都需要经由Authenticator转给BAS(有时简称为AS)来处理。通常见到的AAA server和BAS是一个概念,RADIUS是BAS的一种实现。为理解方便,可以认为BAS=AAA Server=RADIUS。

EAP server:当Authenticator处于pass-through模式时,EAP server就是BAS;否则,EAP server是Authenticator。换句话说,谁实现的EAP method,谁就是EAP Server。

AAA:Authentication,Authorization,and Accounting(你是谁?能给你什么权限/资源?你曾经做过些什么?)

RADIUS:Remote Authentication Dial-In User Service,如上所述,是AAA server的一种实现

其802.1X的实现结构如下图

FIg> 1 EAP架构 (802.1X实现)[1]​​​​

3. EAP协议的分层思想

最低0.47元/天 解锁文章

200万优质内容无限畅学
【WLAN】Wi-Fi Direct---从 Android 13 supplicant 视角分析 Go端代码
weixin_47456647的博客
03-31 701
先从Starting find入手,可以看到设置P2P模块的状态为 P2P_SEARCH。120命令,底层进入扫描状态. 扫描到的设备的个数会在这里打印出来.接着进入。接下来主要根据P2p的Go端的log来分析代码的流程.接着看下P2P模块的状态为 P2P_SEARCH后如何进行。以下代码是基于Android 13基线上分析。在讲解这边之前,建议大家先看下我写的这篇文章。状态,让自己可以被其他的设备发现.
17、Wi-Fi安全与数据中心冷却技术解析
x2y3z4a5b的博客
07-16 8
本文探讨了Wi-Fi安全和数据中心冷却技术两个重要主题。在Wi-Fi安全方面,分析了WPA2/PSK的四次握手认证机制及其易受字典攻击和暴力破解的弱点,并提出增强型WPA2/PSK通过引入时间戳参数提高安全性。实验使用Kali Linux工具如aircrack-ng进行渗透测试,展示了密码破解过程,并验证了增强方案的有效性。在数据中心冷却方面,介绍了基于强化习的主动通风瓷砖(AVTs)控制算法,结合表格Q习和Dyna架构优化风扇速度,有效缓解热点问题并降低能耗。实验结果显示该算法在温度调节和能效优化方面
Wi-Fi 安全协议 - EAP
狼牙的博客~
11-04 5162
EAP(Extensible Authentication Protocol,可延伸身份认证协议) EAP是一种认证协议框架。 EAP 允许开发人员定制EAP 认证方式(EAP method),即交换过程的子协议。IETF中定义的方法包括:EAP-MD5,EAP-OTP,EAP-GTC,EAP-TLS,EAP-SIM,和EAP-AKA等。 EAP没有强制要求链路层协议,目前支持EAP协议的网络有...
四种Wi-Fi安全协议:WEP、WPA、WPA2、WPA3,看完秒懂!
网络技术联盟站
04-28 1万+
Wi-Fi安全协议密钥管理方法加密长度使用的协议WEP静态密钥64位或128位WPA动态密钥128位WPA2动态密钥128位或256位使用CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)的AES(高级加密标准)WPA3动态密钥(唯一密钥,个性化数据加密)192位和256位使用SAE(同时身份验证)的GCM(Galois-Counter Mode)
深入理解EAPOL协议与EAP数据包结构
weixin_42433737的博客
05-01 1052
本文深入探讨了EAPOL协议和EAP数据包的结构,解释了EAPOL数据包中新增的三个字段的含义,并详细描述了不同EAPOL数据包类型的用途和结构。通过对这些网络认证协议的分析,我们能够更好地理解网络通信中的认证过程。
EAPEAPOL资料
fh400的专栏
05-12 1475
<br />1.EAP协议802.1x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。EAP帧结构如下表所示:字段字节Code1Identifier2Length3-4Data5-NEAP帧格式中各字段含义如下:字段占用字节数描述Code1个字节表示EAP帧四种类型:1.Request;2.Response3.Success;4.FailureIdentifier1个字节用于匹配Request和Respo
网络访问控制(二)-EAPEAPOL协议
Linux知识积累
10-16 2452
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。如果认证失败,则流程到此结束;802.1x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
EAPOL
热门推荐
printf_mylife的专栏
02-18 1万+
EAP(Extensible Authentication Protocol),可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IP。EAP可应用于无线、有线网络中。          EAP的架构非常灵活,在Authenticator(认证方)和Supplicant(客
EAPOL协议
zhangxinrun的专栏
08-29 3557
转载:http://baike.baidu.com/link?url=9V2hPepL304qJ8XQRjew93Q744l_vyKBNkuZhIlVb5NWisP2cL2n-JGA9ZqlHuJ1WSMsZXo71kOUDI3Dwpks6K EAP是Extensible Authentication Protocol的缩写。 EAP是一个普遍使用的认证机制,它常被用于无线
深入理解android wi-fi,nfc 和gps卷,深入理解Android:Wi-Fi模块、NFC和GPS卷
weixin_34169503的博客
05-27 850
前言本书主要内容及特色读者对象如何阅读本书勘误和支持致谢第1章 准备工作1.1 Android系统架构1.2 工具使用1.2.1 Source Insight的使用1.2.2 Eclipse的使用1.2.3 BusyBox的使用1.3 本书资源下载说明第2章 深入理解Netd2.1 概述2.2 Netd工作流程2.2.1 main函数分析2.2.2 NetlinkManager分析2.2.3 Co...
Wi-Fi EAP网络验证过程与Android平台拓展实例(一)
ulangch的博客
05-24 4269
Wi-Fi EAP网络验证过程与Android平台拓展实例 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 ...
WIFI认证之 EAP-PEAP
08-05
WIFI认证之 EAP-PEAP,已通过认证,可以直接使用。
android 配置 EAP wifi
08-03
android wifi操作工具类,具备 打开wifi 关闭wifi 获取当前连接的wifi 信息 EAP接口wifi
无线加密的多种方法及其区别(WEP-WPA-TKIP-EAP).doc
11-05
该文档详细的描述了802.11标准的一些技术细节,版面有目录,并且很清晰,该文档详细的描述了802.11标准的一些技术细节,版面有目录,并且很清晰
无线网络 EAP 认证
hl1293348082的专栏
04-01 5299
本文作者 98,擅长无线安全,过往文章:《wifi渗透-狸猫换太子》、《无线渗透--‘钓鱼’wifi》,完成 3 篇文章,欢迎加入我们的作者大军,争取为大家带来更多更好的关于无线攻防的文章。最后欢迎不同研究安全不同领域的同加入我们一起习成长。 平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2 也不是绝对安全的一种 wifi,他的安全性有点依赖密码,也就是说当你的 wifi 密码泄露了他就.
wirless习笔记5(eap&eapol)
cybertan的专栏
05-30 3004
1、IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。为了在点到点链路上建立通信,在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后,在进入网络层协议之前,PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。2、下面是一个典型的PPP协议的帧
EAPOL--基于局域网的拓展认证协议
Javin_L的博客
09-29 1100
EAP是Extensible Authentication Protocol的缩写,EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。 EAPOL是基于802.1X网络访问认证技术发展而来的。 定义: EAP是Extensible Authentication Protocol的缩写。 EAP是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于...
【整理】EAPOL
09-19 4134
EAPoL: Extensible Authentication Protocol over LAN(局域网的扩展认证协议)局域网的扩展认证协议(EAPOL),定义在IEEE 802.1X中,为一个受保护的网络鉴别和控制用户通信提供一个有效的架构,也动态地改变加密密钥。EAPOL是通过扩展验证协议(EAP)在一个有线的或无线的LAN上的标准。在无线环境中,802.1X也描述了一个接入点和无线用
EAPOL: EAP Session-Id not available
最新发布
07-29
&lt;think&gt;嗯,用户的问题是关于EAPOL协议中&quot;EAP Session-Id not available&quot;错误的故障排除。用户可能是个网络工程师或安全研究员,正在调试802.1X认证问题,看起来挺着急的,因为Session-ID缺失会导致整个认证流程失败。 从技术角度看,这个问题需要分层排查。首先想到的是RFC 5216标准里明确要求Session-ID必须由认证服务器生成,所以得先检查RADIUS服务器配置。FreeRADIUS的调试日志特别有用,可以查看raddb/sites-enabled/default文件里的eap模块是否启用了详细日志。 客户端方面也容易出问题。比如Windows的NPS服务如果没配证书就会导致EAP-TLS失败,而Linux的wpa_supplicant配置里缺少phase2=&quot;auth=MSCHAPV2&quot;这种细节也会引发错误。突然想到Wireshark抓包时要特别注意EAP-Response/Identity这个初始报文,很多情况是客户端根本没发出这个包。 中间设备这块最头疼。有些老款交换机会错误地截断EAP报文,特别是当MTU设置不合理时。去年处理过一例Cisco 2960的bug,就是升级到15.2(4)E6才解决的。还有无线场景要注意AP的802.11e设置,QoS标签错误会导致EAPOL帧被丢弃。 用户提供的引用里提到QA Cafe的测试工具,虽然商业版需要特定网卡,但他们的测试用例文档很有参考价值。比如Test 4明确模拟了Session-ID缺失场景,对应到实际排障就是检查证书链完整性&mdash;&mdash;有时候问题仅仅是中间CA证书没装全。 最后想到个隐蔽的坑点:时间同步。去年有次故障是Windows域控的NTP漂移了17秒,导致证书有效性验证失败,表面现象就是Session-ID不可用。这类问题特别适合用Linux的date命令和ntpdate快速验证。&lt;/think&gt;EAPOL协议中出现 **&quot;EAP Session-Id not available&quot;** 错误通常表明认证服务器(如RADIUS)未能生成或正确传递会话标识符,导致客户端与服务器之间的认证流程中断。以下是系统化的故障排除步骤: --- ### **一、核心原因排查** 1. **认证服务器配置问题** * **证书有效性**:检查RADIUS服务器(如FreeRADIUS, Cisco ISE)的服务器证书是否过期、是否被客户端信任(根证书链完整)。 *FreeRADIUS调试命令*: ```bash radtest -t eap-md5 -P testing123 user@domain localhost:1812 &lt;client_secret&gt; ``` * **EAP方法匹配**:确保服务器与客户端配置的EAP方法一致(如EAP-TLS, PEAP-MSCHAPv2)。 *FreeRADIUS配置示例*(`/etc/freeradius/mods-enabled/eap`): ```nginx eap { default_eap_type = peap tls-config tls-common { private_key_password = xxx private_key_file = /path/to/server.key certificate_file = /path/to/server.crt } } ``` * **Session-Id生成逻辑**:RADIUS服务器需在`Access-Accept`报文中返回Session-Id。检查日志确认是否生成(如FreeRADIUS的`radiusd -X`输出)。 2. **客户端配置错误** * **认证参数不匹配**:客户端(如Windows, wpa_supplicant)的EAP方法/阶段2认证需与服务器一致。 *wpa_supplicant示例*: ```conf network={ ssid=&quot;secure_wifi&quot; key_mgmt=WPA-EAP eap=PEAP identity=&quot;user@domain&quot; password=&quot;password&quot; phase2=&quot;auth=MSCHAPV2&quot; # 必须与服务器匹配 } ``` * **证书缺失**:客户端未安装信任的CA证书(常见于EAP-TLS/PEAP)。 3. **中间设备干扰** * **交换机/AP配置**: - 确认端口启用802.1X(如Cisco命令:`authentication port-control auto`)。 - 检查ACL是否阻止RADIUS流量(UDP 1812/1813)。 * **MTU问题**:过小的MTU导致EAP帧分片丢失,需确保网络设备MTU &ge;1500。 --- ### **二、抓包分析与关键字段** 使用 **Wireshark** 过滤`eapol`或`radius`: 1. **EAP-Request/Identity**:客户端是否响应?若无,检查客户端状态。 2. **RADIUS Access-Request**:服务器是否收到认证请求? 3. **RADIUS Access-Accept**: - 是否存在`EAP-Session-Id`属性? - 是否包含`MS-MPPE-Send-Key`/`MS-MPPE-Recv-Key`(MSCHAPv2必需)? &gt; ⚠️ **典型故障报文**: &gt; 若`Access-Accept`中仅含`EAP-Message = EAP-Success`而无Session-Id,表明服务器配置错误[^1]。 --- ### **三、解决方案** 1. **服务器端修复** - **FreeRADIUS**:在虚拟服务器配置中强制添加Session-Id: ```nginx post-auth { update reply { EAP-Session-Id := &quot;%{randstr:16}&quot; } } ``` - **Windows NPS**:检查网络策略&rarr;约束&rarr;EAP类型设置,并重新安装服务器证书。 2. **客户端调整** - 删除并重新添加Wi-Fi配置,确保勾选&ldquo;信任服务器证书&rdquo;。 - Linux系统检查CA证书路径:`/etc/ssl/certs/`。 3. **网络设备调试** ```cisco ! 启用详细日志 debug dot1x events debug radius authentication ``` --- ### **四、高级工具** - **EAPOL测试套件**:使用商业工具如[QA Cafe EAPOL](http://www.qacafe.com/eapol/)模拟攻击(需Cisco Aironet网卡),验证协议健壮性[^1]。 - **RADIUS动态代理**:若使用中间代理(如FreeRADIUS代理到AD),检查代理是否剥离Session-Id。 --- **典型案例**: 某企业因RADIUS服务器的PEAP配置中缺少`use_tunneled_reply = yes`,导致Session-Id未注入隧道响应。修复后认证成功[^2]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值