憶龍2009 關於PEAP認證的過程說明

1 證書獲取

2 無線接入

客戶端通過開放系統接入的方法（open system）和ap之間建立好物理連線。

3 認證初始化

1) client向ap裝置傳送乙個eapol-start報文，開始802.1x接入的開始。

2) ap向客戶端傳送eap-request/identity報文，要求客戶端將使用者資訊送上來。

3) client回應乙個eap-response/identity給ap的請求，其中包括使用者的網路標識。使用者id，對於eap-mschchap v2認證方式的使用者id是由使用者在客戶端手動輸入或者配置的。使用者id通常的格式是username@domain，其中username是運營商提供給使用者的身份id，domain是運營商的網域名稱（如「cmcc.com」）。

4)ap以eap over radius的報文格式將eap-response/identity傳送給認證伺服器radius,並且帶上相關的radius的屬性。

5)radius收到客戶端發來的eap-response/identity，根據配置確定使用eap-peap認證，並向ap傳送radius-access-challenge報文，裡面含有radius傳送給客戶端的eap-request/peap/start的報文，表示希望開始進行eap-peap的認證。

6) ap裝置將eap-request/peap/start傳送給認證客戶端。

4 建立tls通道

7) client收到eap-request/peap/start報文後，產生乙個隨機數、客戶端支援的加密演算法列表、tls協議版本、會話id、以及壓縮方法（目前均為null），封裝在eap-response/client hello報文中傳送給ap裝置。

8):ap以eap over radius的報文格式將eap-response/client hello傳送給認證伺服器radius server,並且帶上相關的radius的屬性。

9):radius收到client發來的client hello報文後，會從client 的hello報文的加密演算法列表中選擇自己支援的一組加密演算法＋server產生的隨機數＋server 證書（包含伺服器的名稱和公鑰）＋證書請求＋server_hello_done屬性形成乙個server hello報文封裝在access－challenge報文中，傳送給client.

10) ap把radius報文中的eap域提取，封裝成eap-request報文傳送給client.

注：由於證書比較大，乙個報文是無法承載的，所以在實際流程中第10，11完成後，後面還有3個續傳的ip分片報文，目的是把server證書傳送到客戶端.

11) client收到報文後，進行驗證server的證書是否合法（使用從ca證書頒發機構獲取的根證書進行驗證，主要驗證證書時間是否合法，名稱是否合法），即對網路進行認證，從而可以保證server的合法。如果合法則提取server證書中的公鑰，同時產生乙個隨機密碼串pre-master-secret，並使用伺服器的公鑰對其進行加密，最後將加密的資訊clientkeyexchange+客戶端的證書（如果沒有證書，可以把屬性置為0）＋tls finished屬性封裝成eap-rsponse/tls ok報文傳送給認證點ap.如果client沒有安裝證書，則不會對server證書的合法性進行認證，即不能對網路進行認證。

12) ap以eap over radius的報文格式將eap-response/tls ok傳送給認證伺服器radius server,並且帶上相關的radius的屬性

13) radius收到客戶端發了的報文後，用自己的證書對應的私鑰對clientkeyexchange進行解密，從而獲取到pre-master-secret，然後將pre-master-secret進行運算處理，加上client和server產生的隨機數，生成加密金鑰、加密初始化向量和hmac的金鑰，這時雙方已經安全的協商出一套加密辦法了，至此tls通道已經建立成功，以後的認證過程將使用協商出的金鑰進行加密和校驗。radius server借助hmac的金鑰，對要在tls通道內進行認證的訊息做安全的摘要處理，然後和認證訊息放到一起。借助加密金鑰，加密初始化向量加密上面的訊息，封裝在access－challenge報文中，傳送給client.

5 認證過程

14)ap把radius報文中的eap域提取，封裝成eap-request報文傳送給client.

15)客戶端收到radius server發來報文後，用伺服器相同的方法生成加密金鑰，加密初始化向量和hmac的金鑰，並用相應的金鑰及其方法對報文進行解密和校驗，然後產生認證回應報文，用金鑰進行加密和校驗，最後封裝成eap－response報文傳送給ap，ap以eap over radius的報文格式將eap-response傳送給認證伺服器radius server,並且帶上相關的radius的屬性，這樣反覆進行互動，直到認證完成（注：對於不同的認證方法互動流程不一致，通常的認證方法為：peap-mschapv2或者gtc(ibm ldap支援的,有關於peap-gtc的過程就是在認證的時候按照gtc/otp的過程在peap新增的乙個過程罷了，再注：在傳送完密碼後要傳乙個長度為1的資料為0的包過去後才會得到sucess連通網路)，下面由單獨認證流程,如果是sim認證，還需要跟hlr/auc裝置進行資料互動，並且使用as作為認證伺服器）,在認證過程中，radius server會下發認證後用於生成空口資料加密金鑰（包括單播、組播金鑰）的pmk給client.

16) 伺服器認證客戶端成功，會傳送access－accept報文給ap，報文中包含了認證伺服器所提供的mppe屬性。

17) ap收到radius-access-accept報文，會提取mppe屬性中的金鑰做為wpa加密用的pmk,並且會傳送eap－success報文給客戶端.

憶龍2009 關於PEAP認證的過程說明

憶龍2009 WLAN IDS介紹

關於PEAP認證的過程說明

憶龍2009 理解EAP TLS的信任模型

憶龍2009 關於PEAP認證的過程說明

憶龍2009 WLAN IDS介紹

關於PEAP認證的過程說明

憶龍2009 理解EAP TLS的信任模型

相關推薦