eap认证
『壹』 EAP的PPP认证
PPP扩展认证协议(Extensible Authentication Protocol)是一个用于PPP认证的通用协议,
可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法,而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应PPP认证方简单地把收到的认证报文透传给后方的认证服务器,由后方的认证服务器来真正实现各种认证方法。
1. 在链路阶段完成以后,认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型,例如是对端的ID、MD5的挑战字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下,认证方首先发送一个ID请求报文随后再发送其他的请求报文。当然,并不是必须要首先发送这个ID请求报文,在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。
2. 对端对每一个请求报文回应一个应答报文。和请求报文一样,应答报文中也包含一个类型字段,对应于所回应的请求报文中的类型字段。
3. 认证方通过发送一个成功或者失败的报文来结束认证过程。
优点:
EAP可以支持多种认证机制,而无需在LCP阶段预协商过程中指定。
某些设备(如:网络接入服务器)不需要关心每一个请求报文的真正含义,而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败,然后结束认证阶段。
缺点:
EAP需要在LCP中增加一个新的认证协议,这样现有的PPP实现要想使用EAP就必须进行修改。同时,使用EAP也和现有的在LCP协商阶段指定认证方法的模型不一致。
EAP认证方法主要有三种模式:EAP-TLS (EAP, Transport Layer Security),EAP-TTLS (EAP, tunneled TLS)和 EAP-PEAP (EAP, protected EAP)。
『贰』 关于EAP-MD5认证的一个问题
id+pass+challenge
『叁』 什么是EAP-SIM/EAP-AKA认证
EAP认证框架中的2种算法,使用从移动网络中获得的鉴权三元组(sim认证)或者五元组(aka),得到认证需要MAC值,以及加密用的密钥。
具体可以看下rfc4186和rfc4187
『肆』 EAP协议的结构
EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型,其使用与基于 PPP 的 CHAP 相同的质询/握手协议,但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 VPN 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-RADIUS
EAP-RADIUS 并不是一种 EAP 类型,但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器,以便进行身份验证。例如,将 ISA 服务器配置为用于 RADIUS 身份验证时,将封装在远程 VPN 客户端和 ISA 服务器之间发送的 EAP 消息,并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。
EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中,只需要在 ISA 服务器上安装 EAP 类型。
EAP协议帧结构
802.1x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
EAP帧结构如下表所示: 字段 字节 Code 1 Identifier 2 Length 3-4 Data 5-N EAP帧格式中各字段含义如下: 字段 占用字节数 描述 Code 1个字节 表示EAP帧四种类型:1.Request;2.Response
3.Success;4.Failure Identifier 1个字节 用于匹配Request和Response。Identifier的值和系统端口一起单独标识一个认证过程 Length 2个字节 表示EAP帧的总长度 Data 0或更多字节 表示EAP数据 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
参考:EAPoL协议
802.1x协议定义了一种报文封装格式,这种报文称为EAPoL(EAP over LANs局域网上的扩展认证协议)报文,主要用于在客户端和认证系统之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。
标准EAPoL帧结构如下表所示: 字段 字节PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL帧格式中各字段含义如下: 字段 占用字节 描述 PAE Ethernet Type 2个字节 表示协议类型,802.1x分配的协议类型为888E Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001 Packet Type 1个字节 表示传送的帧类型,如下几种帧类型:
a) EAP-Packet.值为 0000 0000
b)EAPOL-Start.值为0000 0001
b) EAPOL-Logoff.值为0000 0010 Packet Body Length 2个字节 表示Packet Body的长度 Packet Body 0/多字节 如果Packet Type为EAP-Packet,取相应值。对于其他帧类型,该值为空。 EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由802.1x协议分配的组播地址01-80-c2-00-00-03。
『伍』 8021x EAP智能设备认证
按照附件教程WDS桥接
『陆』 成为企业EAP的需要什么认证
不同的EAP公司有不同的认证规则和认证机构。企业EAP认证多为地方机构认证,现在并没有全国统一的企业EAP认证。
『柒』 psK与EAp什么意思
PSK是预共享密钥,是用于验证 L2TP/IPSec 连接的 Unicode 字符串。可以配置“路由和远程访问”来验证支持预共享密钥的 VPN 连接。许多操作系统都支持使用预共享密钥,包括 Windows Server 2003 家族和 Windows XP。也可以配置运行 Windows Server 2003 家族版的“路由和远程访问”的服务器,使用预共享密钥验证来自其他路由器的连接。
通过使用“连接管理器管理工具包 (CMAK)”向导,可以为用户创建自定义的连接。可使用 CMAK 向导创建包含预共享密钥的 VPN 连接配置文件。因为配置文件是自解压缩的,所以用户不必键入预共享密钥,甚至不必知道存在预共享密钥。通过用个人识别码 (PIN) 加密预共享密钥,可进一步增加“连接管理器”配置文件分发的安全性。通过这种方法,用户不仅看不到而且也不必键入预共享密钥,您可以分别分发配置文件和 PIN,以减少未经授权的用户可能对网络的访问。
EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。
EAP 身份验证方法
使用可扩展的身份验证协议 (EAP),任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 VPN 客户端和验证程序(ISA 服务器或 RADIUS 服务器)协商要使用的确切身份验证方案。ISA 服务器包括默认情况下支持 Message Digest 5 Challenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。
EAP 允许远程 VPN 客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程 VPN 客户端的响应组成。例如,当 EAP 与安全标记卡一起使用时,验证程序可以单独查询远程访问客户端的名称、PIN 和卡标记值。经过提问和回答一轮查询之后,远程访问客户端将通过身份验证的另一个级别。正确回答所有问题之后,将对远程访问客户端进行身份验证。
『捌』 有哪个EAP认证客户端软件可以认证思科802.1x
思科安全访问控制服务器(ACS)我就有,安装在2003上,WEB认证,不用客户端。有一个叫“思科安全服务客户端”的产品
『玖』 证服务器怎么区分eap-md5,eap-tls,peap
现在有3种基于TLS的EAP认证方法:
1. EAP-TLS:
EAP-TLS使用TLS握手协议作为认证方式,TLS有很多优点,所以EAP选用了TLS作为基本的安全认证协议,并为TTLS和PEAP建立安全隧道,TLS已经标准化,并且进过了长期应用和分析,都没有发现明显的缺点。
TLS认证是基于Client和Server双方互相验证数字证书的,是双向验证方法,首先Server提供自己的证书给Client,Client验证Server证书通过后提交自己的数字证书给Server,客户端的证书可以放到本地、放到key中等等.
TLS有一个缺点就是TLS传送用户名的时候是明文的,也就是说抓包能看到EAP-Identity的明文用户名。
TLS是基于PKI证书体系的,这是TLS的安全基础,也是TLS的缺点,PKI太庞大,太复杂了,如果企业中没有部署PKI系统,那么为了这个认证方法而部署PKI有些复杂,当然,如果企业已经部署了PKI,那么使用EAP-TLS还是不错的选择。
2. EAP-TTLS:
3. EAP-PEAP:
正因为TLS需要PKI的缺点,所以设计出现了TTLS和PEAP,这两个协议不用建立PKI系统,而在TLS隧道内部直接使用原有老的认证方法,这保证了安全性,也减小了复杂度。
把TTLS和PEAP放到一起介绍的原因是他们俩很像,两个都是典型的两段式认证,在第一阶段建立TLS安全隧道,通过Server发送证书给Client实现Client对Server的认证(这里TTLS和PEAP仍然使用证书,但是这里的证书都是服务器证书,管理起来比TLS客户端证书要简单那的多);当安全隧道一旦建立,第二阶段就是协商认证方法,对Client进行认证;
TTLS利用TLS安全隧道交换类似RADIUS的AVPs(Attribute-Value-Pairs),实际上这些AVPs的封装和RADIUS都十分相似,TTLS这种AVPs有很好的扩展性,所以它几乎支持任何认证方法,这包括了所有EAP的认证方法,以及一些老的认证方法,比如PAP、CHAP、MS-CHAP、MS-CHAPv2等,TTLS的扩展性很好,通过新属性定义新的认证方法。
PEAP之所以叫Protected EAP,就是它在建立好的TLS隧道之上支持EAP协商,并且只能使用EAP认证方法,这里为什么要保护EAP,是因为EAP本身没有安全机制,比如EAP-Identity明文显示,EAP-Success、EAP-Failed容易仿冒等,所以EAP需要进行保护,EAP协商就在安全隧道内部来做,保证所有通信的数据安全性。其实PEAP最大的优点就是微软支持开发,微软在Windows系统内集成了客户端,微软和Cisco都支持PEAP,但是他们的实现有所区别。
他们之间关系如下: