提供网站建设案例,应届生求职网,企业vi设计书籍,网站建设常用结构类型EAP-TLS#xff08;EAP-Transport Layer Security#xff09;被认为是WLAN网络里最安全的认证方法#xff0c;因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。
在介绍原理之前#xff0c;先介绍下WLAN网络里认证加密手段涉及到的一些基本概念。
1 802.1x IEE…EAP-TLSEAP-Transport Layer Security被认为是WLAN网络里最安全的认证方法因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。
在介绍原理之前先介绍下WLAN网络里认证加密手段涉及到的一些基本概念。
1 802.1x IEEE 802.1X 使用认证服务器在无线网卡和无线访问点AP之间提供基于端口的访问控制和相互认证。采用EAP作为认证消息交互协议。 如下图所示 • 三元结构 • Supplicant 要访问网络的设备通常是 802.11 客户端 • Authenticator 客户端和认证服务器的中间设备在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点 AP • Authentication Server 认证服务器对 Supplicant 进行实际身份验证的设备通常 RADIUS 服务器 •业务端口为受控端口初始处于关闭状态鉴权通过后打开终端可使用该业务端口鉴权完成后终端与鉴权服务器协商生成主密钥 PMK 该主密钥由鉴权服务器分发给 AP 总结一下WLAN的企业级认证都需要一个认证服务器充当Authenticator Server的角色。终端Supplicant只有通过认证服务器的认证才能打开受控的业务端口进行正常网路的访问。AP充当了Authenticator的角色。 2 EAP 和 EAPOL 上面提到了802.1x协议使用EAP协议进行认证消息的传递因此EAP主要充当消息传递的功能。常见的EAP-TLSEAP-TTLSEAP-MSCHAPv2等都是基于EAP来传递认证协议。 EAPRFC2284/3748需要封装在WLAN的数据帧里进行传输因此EAPOLEAP over Lan作为一种封装格式用来在Wlan数据帧里传送EAP消息具体封装格式如下图 EAP的格式定义如下
其中code有四种取值 EAPOL(802.1x authentication)的code有5种取值: 3 各种KEY的生成原理 我们家庭里面的WIFI最常用的是密码方式的认证也就是AP上预先配置一个密码手机去连接AP的时候输入正确的密码即可连接AP并传输加密数据。其实这个背后有一些列的密码处理过程。WLAN的802.11i协议定义了一个完整的密钥生成体系如下图 Ø MSK: Master Session Key Ø PMK Pairwise Master Key Ø PTK Pairwise Transient Key Ø KCK Key Confirmation Key ,EAPOL-Key 用于四次握手的消息完整性保护 Ø KEK Key Encryption Key EAPOL-Key 用于四次握手的消息加密 Ø TK Temporal Key 用于后续的 单播 数据加密 Ø GMK: Group master key Ø GTK: groupTransient Key Ø TK Temporal Key, 用于组播数据加密 从上图可以看出首先要生成最顶层的MSKMSK对于家庭的AP可以简单理解为就是连接AP时候需要输入的不少于8位密码。而对于企业级的Wlan网络则需要通过EAP-TLSEAP-TTLSEAP-MSCHAPv2等认证方法来生成。 其次要生成第二层的PMK对于家庭APPMKpdkdf2_SHA1(passphraseSSIDSSID length4096)Passphrase8-63字符就是连接AP用的密码
对于企业级的wlan网路PMK L(MSK, 0, 256)MSK前256bit。对于AP来说每一个终端S都有各自的PMK用PMKID来管理PMKID HMAC-SHA1-128(PMK, PMK Name || AA || SPA) 最后就是第三层的PTK的生成
Ø PTK Pairwise Transient Key Ø 通过 4 次握手过程从 PMK 衍生 Ø PTK ← PRF-X(PMK, “Pairwise key expansion”, Min(AA,SPA) || Max(AA,SPA) ||Min( ANonce,SNonce ) || Max( ANonce,SNonce ))PTK是由 PMK MAC AA 无线网卡 MAC SPA AP 产生的随即值 ANonce wifi 产生的随机值 SNonce 五个值通过 SHA256 和 MD5 算法得到的这种算法是不可逆的 4 EAP-TLS
所以从上面的介绍可以看出EAP-TLS主要利用在客户端和服务器端的证书来生成MSK。有了MSK后再通过算法映射为PSK然后再通过4次握手的协商过程完成PTK/KCK/KEK/TK的生成。
因此EAP-TLS最重要的就是确保证书要在客户端和服务器端都正确可靠的安装。
认证服务器和AP之间采用Radius协议传输认证报文
AP和客户端之间使用EAP传输TLS交互报文 整个交互流程其实就是TLS的报文交互过程生成MSK和四步握手过程生成其他Key这两部分的组合,如下图
