eap認證
『壹』 EAP的PPP認證
PPP擴展認證協議(Extensible Authentication Protocol)是一個用於PPP認證的通用協議,
可以支持多種認證方法。EAP並不在鏈路建立階段指定認證方法,而是把這個過程推遲到認證階段。這樣認證方就可以在得到更多的信息以後再決定使用什麼認證方法。這種機制還答應PPP認證方簡單地把收到的認證報文透傳給後方的認證伺服器,由後方的認證伺服器來真正實現各種認證方法。
1. 在鏈路階段完成以後,認證方向對端發送一個或多個請求報文。在請求報文中有一個類型欄位用來指明認證方所請求的信息類型,例如是對端的ID、MD5的挑戰字、一次密碼(OTP)以及通用令牌卡等。MD5的挑戰字對應於CHAP認證協議的挑戰字。典型情況下,認證方首先發送一個ID請求報文隨後再發送其他的請求報文。當然,並不是必須要首先發送這個ID請求報文,在對端身份是已知的情況下(如租用線、撥號專線等)可以跳過這個步驟。
2. 對端對每一個請求報文回應一個應答報文。和請求報文一樣,應答報文中也包含一個類型欄位,對應於所回應的請求報文中的類型欄位。
3. 認證方通過發送一個成功或者失敗的報文來結束認證過程。
優點:
EAP可以支持多種認證機制,而無需在LCP階段預協商過程中指定。
某些設備(如:網路接入伺服器)不需要關心每一個請求報文的真正含義,而是作為一個代理把認證報文直接透傳給後端的認證伺服器。設備只需關心認證結果是成功還是失敗,然後結束認證階段。
缺點:
EAP需要在LCP中增加一個新的認證協議,這樣現有的PPP實現要想使用EAP就必須進行修改。同時,使用EAP也和現有的在LCP協商階段指定認證方法的模型不一致。
EAP認證方法主要有三種模式:EAP-TLS (EAP, Transport Layer Security),EAP-TTLS (EAP, tunneled TLS)和 EAP-PEAP (EAP, protected EAP)。
『貳』 關於EAP-MD5認證的一個問題
id+pass+challenge
『叄』 什麼是EAP-SIM/EAP-AKA認證
EAP認證框架中的2種演算法,使用從移動網路中獲得的鑒權三元組(sim認證)或者五元組(aka),得到認證需要MAC值,以及加密用的密鑰。
具體可以看下rfc4186和rfc4187
『肆』 EAP協議的結構
EAP 是一組以插件模塊的形式為任何 EAP 類型提供結構支持的內部組件。為了成功進行身份驗證,遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA 伺服器支持兩種 EAP 類型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一種必需的 EAP 類型,其使用與基於 PPP 的 CHAP 相同的質詢/握手協議,但是質詢和響應是作為 EAP 消息發送的。MD5-Challenge 的典型用法是通過使用用戶名和密碼安全系統對遠程 VPN 客戶端的憑據進行身份驗證。您還可以使用 MD5-Challenge 來測試 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基於證書的安全環境中使用的 EAP 類型。如果您將智能卡用於遠程訪問身份驗證,則必須使用 EAP-TLS 身份驗證方法。EAP-TLS 的消息交換可以提供遠程 VPN 客戶端和驗證程序之間的相互身份驗證、加密方法的協商和加密密鑰的確定。EAP-TLS 提供了最強大的身份驗證和密鑰確定方法。
EAP-RADIUS
EAP-RADIUS 並不是一種 EAP 類型,但是可以通過驗證程序將任何 EAP 類型的 EAP 消息傳遞到 RADIUS 伺服器,以便進行身份驗證。例如,將 ISA 伺服器配置為用於 RADIUS 身份驗證時,將封裝在遠程 VPN 客戶端和 ISA 伺服器之間發送的 EAP 消息,並在遠程訪問伺服器和 RADIUS 伺服器之間將格式設置為 RADIUS 消息。
EAP-RADIUS 用在將 RADIUS 作為身份驗證提供程序的環境中。使用 EAP-RADIUS 的優勢在於不需要在每個遠程訪問伺服器上安裝 EAP 類型,只需要在 RADIUS 伺服器上安裝即可。在 Internet 驗證服務 (IAS) 中,只需要在 ISA 伺服器上安裝 EAP 類型。
EAP協議幀結構
802.1x協議在實現整個認證的過程中,其三個關鍵部分(客戶端、認證系統、認證伺服器)之間是通過不同的通信協議進行交互的,其中認證系統和認證伺服器之間是EAP報文。
EAP幀結構如下表所示: 欄位 位元組 Code 1 Identifier 2 Length 3-4 Data 5-N EAP幀格式中各欄位含義如下: 欄位 佔用位元組數 描述 Code 1個位元組 表示EAP幀四種類型:1.Request;2.Response
3.Success;4.Failure Identifier 1個位元組 用於匹配Request和Response。Identifier的值和系統埠一起單獨標識一個認證過程 Length 2個位元組 表示EAP幀的總長度 Data 0或更多位元組 表示EAP數據 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
參考:EAPoL協議
802.1x協議定義了一種報文封裝格式,這種報文稱為EAPoL(EAP over LANs區域網上的擴展認證協議)報文,主要用於在客戶端和認證系統之間傳送EAP協議報文,以允許EAP協議報文在LAN上傳送。
標准EAPoL幀結構如下表所示: 欄位 位元組PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL幀格式中各欄位含義如下: 欄位 佔用位元組 描述 PAE Ethernet Type 2個位元組 表示協議類型,802.1x分配的協議類型為888E Protocol Version 1個位元組 表示EAPOL 幀的發送方所支持的協議版本號。本規范使用值為0000 0001 Packet Type 1個位元組 表示傳送的幀類型,如下幾種幀類型:
a) EAP-Packet.值為 0000 0000
b)EAPOL-Start.值為0000 0001
b) EAPOL-Logoff.值為0000 0010 Packet Body Length 2個位元組 表示Packet Body的長度 Packet Body 0/多位元組 如果Packet Type為EAP-Packet,取相應值。對於其他幀類型,該值為空。 EAPOL幀在二層傳送時,必須要有目標MAC地址,當客戶端和認證系統彼此之間不知道發送的目標時,其目標MAC地址使用由802.1x協議分配的組播地址01-80-c2-00-00-03。
『伍』 8021x EAP智能設備認證
按照附件教程WDS橋接
『陸』 成為企業EAP的需要什麼認證
不同的EAP公司有不同的認證規則和認證機構。企業EAP認證多為地方機構認證,現在並沒有全國統一的企業EAP認證。
『柒』 psK與EAp什麼意思
PSK是預共享密鑰,是用於驗證 L2TP/IPSec 連接的 Unicode 字元串。可以配置「路由和遠程訪問」來驗證支持預共享密鑰的 VPN 連接。許多操作系統都支持使用預共享密鑰,包括 Windows Server 2003 家族和 Windows XP。也可以配置運行 Windows Server 2003 家族版的「路由和遠程訪問」的伺服器,使用預共享密鑰驗證來自其他路由器的連接。
通過使用「連接管理器管理工具包 (CMAK)」向導,可以為用戶創建自定義的連接。可使用 CMAK 向導創建包含預共享密鑰的 VPN 連接配置文件。因為配置文件是自解壓縮的,所以用戶不必鍵入預共享密鑰,甚至不必知道存在預共享密鑰。通過用個人識別碼 (PIN) 加密預共享密鑰,可進一步增加「連接管理器」配置文件分發的安全性。通過這種方法,用戶不僅看不到而且也不必鍵入預共享密鑰,您可以分別分發配置文件和 PIN,以減少未經授權的用戶可能對網路的訪問。
EAP 是一組以插件模塊的形式為任何 EAP 類型提供結構支持的內部組件。為了成功進行身份驗證,遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA 伺服器支持兩種 EAP 類型:MD5-Challenge 和 EAP-TLS。
EAP 身份驗證方法
使用可擴展的身份驗證協議 (EAP),任意身份驗證機制都可以對遠程訪問連接進行身份驗證。通過遠程 VPN 客戶端和驗證程序(ISA 伺服器或 RADIUS 伺服器)協商要使用的確切身份驗證方案。ISA 伺服器包括默認情況下支持 Message Digest 5 Challenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。
EAP 允許遠程 VPN 客戶端和驗證程序之間進行開端對話。對話由對身份驗證信息的驗證程序請求和遠程 VPN 客戶端的響應組成。例如,當 EAP 與安全標記卡一起使用時,驗證程序可以單獨查詢遠程訪問客戶端的名稱、PIN 和卡標記值。經過提問和回答一輪查詢之後,遠程訪問客戶端將通過身份驗證的另一個級別。正確回答所有問題之後,將對遠程訪問客戶端進行身份驗證。
『捌』 有哪個EAP認證客戶端軟體可以認證思科802.1x
思科安全訪問控制伺服器(ACS)我就有,安裝在2003上,WEB認證,不用客戶端。有一個叫「思科安全服務客戶端」的產品
『玖』 證伺服器怎麼區分eap-md5,eap-tls,peap
現在有3種基於TLS的EAP認證方法:
1. EAP-TLS:
EAP-TLS使用TLS握手協議作為認證方式,TLS有很多優點,所以EAP選用了TLS作為基本的安全認證協議,並為TTLS和PEAP建立安全隧道,TLS已經標准化,並且進過了長期應用和分析,都沒有發現明顯的缺點。
TLS認證是基於Client和Server雙方互相驗證數字證書的,是雙向驗證方法,首先Server提供自己的證書給Client,Client驗證Server證書通過後提交自己的數字證書給Server,客戶端的證書可以放到本地、放到key中等等.
TLS有一個缺點就是TLS傳送用戶名的時候是明文的,也就是說抓包能看到EAP-Identity的明文用戶名。
TLS是基於PKI證書體系的,這是TLS的安全基礎,也是TLS的缺點,PKI太龐大,太復雜了,如果企業中沒有部署PKI系統,那麼為了這個認證方法而部署PKI有些復雜,當然,如果企業已經部署了PKI,那麼使用EAP-TLS還是不錯的選擇。
2. EAP-TTLS:
3. EAP-PEAP:
正因為TLS需要PKI的缺點,所以設計出現了TTLS和PEAP,這兩個協議不用建立PKI系統,而在TLS隧道內部直接使用原有老的認證方法,這保證了安全性,也減小了復雜度。
把TTLS和PEAP放到一起介紹的原因是他們倆很像,兩個都是典型的兩段式認證,在第一階段建立TLS安全隧道,通過Server發送證書給Client實現Client對Server的認證(這里TTLS和PEAP仍然使用證書,但是這里的證書都是伺服器證書,管理起來比TLS客戶端證書要簡單那的多);當安全隧道一旦建立,第二階段就是協商認證方法,對Client進行認證;
TTLS利用TLS安全隧道交換類似RADIUS的AVPs(Attribute-Value-Pairs),實際上這些AVPs的封裝和RADIUS都十分相似,TTLS這種AVPs有很好的擴展性,所以它幾乎支持任何認證方法,這包括了所有EAP的認證方法,以及一些老的認證方法,比如PAP、CHAP、MS-CHAP、MS-CHAPv2等,TTLS的擴展性很好,通過新屬性定義新的認證方法。
PEAP之所以叫Protected EAP,就是它在建立好的TLS隧道之上支持EAP協商,並且只能使用EAP認證方法,這里為什麼要保護EAP,是因為EAP本身沒有安全機制,比如EAP-Identity明文顯示,EAP-Success、EAP-Failed容易仿冒等,所以EAP需要進行保護,EAP協商就在安全隧道內部來做,保證所有通信的數據安全性。其實PEAP最大的優點就是微軟支持開發,微軟在Windows系統內集成了客戶端,微軟和Cisco都支持PEAP,但是他們的實現有所區別。
他們之間關系如下: