認證方式探討 EAP-MSCHAPV2

這兩天研究EAP認證,隨便寫了一個點筆記,發出來共享一下:安全

           MSCHAP方式是,首先服務器發一個challenge給用戶,
用戶向RADIUS發一個用MD4加密的(password,challenge)給RADIUS(叫response),
radius的MSCHAP模塊向LDAP詢問NTPASSWORD,
而後本身再用challenge和NTPASSWORD,
來計算一個response,
兩個response相比較完成驗證.
若是LDAP沒法給出NTPASSWORD或送出SHA加密的NTPASSWORD,MS-CHAP就沒法驗證了.
惟一可行的辦法是把LDAP的SCHEMA中加入NTPASSWORD域,並明文存放
,才能知足MS-CHAP的要求.服務器


                    PEAP-MSCHAPV2流程:
  一、建立一個鏈接後,AP發送一個EAP-Request/Identity消息給客戶端。
  二、客戶端回覆一個EAP-Response/Identity消息,包含客戶端的標識,一般是名字。
  三、AP把這個消息傳遞給Radius服務器。從如今開始,邏輯通訊就從Radius服務器到無線客戶端了,AP,AC是一箇中介設備。
  四、Radius服務器發送一個EAP-Request/Start PEAP消息給客戶端。
  五、無線客戶端和Radius服務器發送一系列的TLS消息經過協商創建的隧道。Raiuds服務器發送一個證書鏈讓客戶端認證。最後,Radius服務器已經認證了無線客戶端。兩端都決定使用的加密信息。
  在PEAP TLS隧道建立後,採用MS-CHAPV2認證。
  六、Radius服務器發送一個EAP-Request/Identity消息。
  七、無線客戶端發送一個EAP-Response/Identity 消息,消息包用戶名。
  八、Radius服務器發送一個EAP-Request/EAP-MS-CHAP-V2挑戰消息,包含挑戰字符串。
  九、無線客戶端回覆一個EAP-Response/EAP-MS-CHAPV2回覆消息,包含對這個挑戰的應答和一個本身的挑戰。
  十、Radius服務器發送一個EAP-Request/EAP-MS-CHAPV2成功的消息,指出無線客戶端的迴應是正確的,且包含無線客戶端的挑戰字符串。
  十一、無線客戶端迴應一個EAP-Response/EAP-MS-CHAPV2的ACK消息,指示Radius服務器的迴應消息是正確的。
  十二、Radius服務器發送一個EAP-Success消息。編碼


EAP-TLS是一個IETF標準。TLS即傳輸層安全(Transport Layer Security),也稱爲SSL。它本來是一種傳輸層的安全協議,主要實現兩個功能:身份鑑別與信息加密。TLS可實現基於證書的單向身份鑑別(只鑑別服務器)和雙向身份鑑別(同時鑑別客戶端與服務器)。TLS在完成身份鑑別的同時,還交換密鑰信息,經過密鑰信息可導出會話密鑰用於信息加密。
須要指出的是,在這裏TLS並非做爲一個安全傳輸層協議跑在TCP/IP層之上,而是將TLS的Handshake Record直接嵌套在EAP數據包中,做爲EAP Request/Response的數據來傳送,經過TLS的Handshake Record完成單向或雙向的身份鑑別。EAP-TLS只利用了TLS的身份鑑別功能,並無利用TLS創建的加密通道。
爲了可以進一步利用TLS創建的安全通道交換EAP身份鑑別信息,IETF隨後出臺了PEAP(Protected EAP Protocol)標準草案。PEAP不但經過EAP Request/Response數據包傳送TLS的Handshake Record完成身份鑑別,而且完成身份鑑別後進一步經過TLS的Data Record再傳送EAP身份鑑別協議。
    對於祕鑰:
der  「專有編碼規則」文件。.der 文件包含證書的二進制表示,包含其公共密鑰,但不包含其專用密鑰。它與 .arm 文件很是類似,除了表示是二進制的,而非 ASCII。
.p12  "PKCS 12" 文件,其中 PKCS 表明「公共密鑰密碼術標準 (Public-Key CryptographyStandards)」。.p12 文件包含證書的二進制表示,包含其公共密鑰和專用密鑰。一個 .p12 文件中也可能包含多個證書;例如,證書、發出證書的 CA 的證書、CA 證書的發出者以及他的發出者等等。由於 .p12 文件包含專用密鑰,它是受口令保護的。
 
 加密

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。