801x认证的EAP协议所有认证流程

1、802.1x认证的EAP协议（总体流程）2010-07-20 23:38:49| 分类：网络技术|标签：|字号大中小 订阅参考 RFC 3748Supplicant 主机服务器|>| 主机向服务器（多播或广播地址）发送 EAPOL-Start| 1. EAPOL-Start|<1要求验证身份的请求| 2. EAP-REQUEST-Identity |>|回应（用户名）3. EAP-RESPONSE-Identity |<1要求验证密码的 MD5校验值（随机加密字 Challenge）| 4. EAP-REQUEST-MD5_Challenge |>| 回应（使用

2、Challenge加密口令）| 5. EAP-RESPONSE-MD5_Challenge |<1 EAP-Success（判断正确性）| 6. EAP-Success |在任何时候服务器发来 EAP-Failure数据包，都表示整个认证过程终止。在以太网中，EAP协议当然也是通过以太网帧的格式来传送，帧类型为0x888e ,在基于pcap的抓包程序中，可使用"ether proto 0x888e"来抓取。Ethernet-Header : （802.3,局域网标准）# 051113 # + # |DST-MAC |SRC-MAC |0x888e | # + #EAP

3、协议不仅可用于本文关注的以太网环境中，还可在无线WLAN、令牌环网中应用而这些链路帧是各不相同的，这就是为什么有EAPOL类型的数据帧，用以抽象 EAP协议报文。EAPOL-报文结构# 014 15# +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+# | Ethernet-Header |a|b|# +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+# 17# +-+-+ # |c |Packet Body# +-+-+ #a:EAPOL协议版本b:EAPOL报文类型c:EAPOL 帧长度a类型说明：通常为常量 0x01b类型取值：EAPOL-Packet

4、: 0x00 / 各种EAP协议的信息交互，封装在 EAPOL-Packet类型的 EAPO跟文内EAPOL-Start: 0x01EAPOL-Logoff: 0x02EAP-报文结构#15# +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ # II # +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ # 17 18 19 21 22# +-+-+-+-+-+-+-+ # | |d|e|f |g|EAP Body # +-+-+-+-+-+-+-+ #d:EAP通信类型e:EAP 通信 idf:EAP数据长度g:EAP协商类型d类型取值：EAP-Requ

5、est: 0x01EAP-Resopnse: 0x02EAP-Success: 0x03EAP-Failure: 0x04e类型说明：通常由服务器发来的报文指定，在连续的报文内使用这个id来协商或者计算 MD5值的数据之一。g类型取值：ldentity:0x01MD5_Challenge: 0x04注意EAPOL帧和EAP帧的两处长度位置，前者的长度是不算EAPOL头的4个字节的，而后者则包含自身头部的5个字节，所以这两个长度的值可能是一致的，但具体可能有扩展信息放在 EAPOL帧尾部，则前者比后者大。下面是需要程序构建的数据包的大概细节：1. EAPOL-Start、EAPOL-Logoff

6、通常是比较简单的数据包，只需填好相应的位，没有其他附加消息，EAPOL-Start、EAPOL-Logoff两种报文长度为0 ,通常建立起来两个报文的长度就只有18字节。2. EAP-REQUEST-Identity服务器发来的这个报文也比较简单，可能唯一有用的数据是“e:EAP®信id位，需要给发送回去的报文中把相应位设置为该值，虽然这很可能是常数。 Identity 格式 +-+-+-+-.-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| EAP Header | Username+-+-+-+-.-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+3. E

7、AP-RESPONSE-Identity只需要设置“d:EAPffi信id '位，然后在EAP头后紧接用户名的 ASCII码信息。有 些品牌的协议中，则顺带在此数据包开始校验客户端的IP、版本号等信息。4. EAP-REQUEST-MD5_Challenge找到该用户名对应的口令信息，用随机生成的一个加密字Challenge对它进行加密处理（MD5） 服务器请求MD5校验的报文中包含了重要的信息，首先也是“e:EAP®信id '位，后一个报文也需要设置该位； 在EAP报头后紧接一个一位的长度值L （常量0x10）,表示紧跟其后的重要数据的长度，其后的16位值则需要用来

8、计算下一个报文中的信息，我们称之为 attach-key。 MD5_Challenge 格式 +-+-+-+-.-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| EAP Header |L|MD5-Key/Value+-+-+-+-.-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+5. EAP-RESPONSE-MD5_Challenge首先需要设置“d:EA施信id位，然后构建一个这样的字节数组（e:EAP通信id）（用户密码的ASCII）（attach-key），这个字节的长度当然是（1 +用户密码长度+16）,然后送入MD5计算函数中，获得16位的计算结果，再把

9、这 16位计算结果填入报文。报文格式跟请求的类似，在包头后紧接一位长度值，当然是 0x10，然后是16位的计算结果。用该加密字对口令部分进行加密处理( MD5)来的加密后的口令信息和其自己 经过加密运算后的口令信息进行对比，判断用户是否合法一个客户端程序所做的事情通常就是这么多，而因为 EAP协议的aExtensible的特性, 几乎我们见到的每个品牌的协议都有所扩展，而且各不相同，所以各个品牌之间的客 户端甚至交换机等设备都可能完全不可兼容的，其协议很可能在上述的报文中都添加 一个信息尾，用来校验各种信息。EAP-SIM 学习双11匠炉仙sncii浏腮rnjRm取俗Lm部 汨同匹厕工 Rni

10、-'ReStGIMStr fecu 过Rad®E娘知率睥SIWStartY E4P'回零.一 Rsli_ 叫乙，二旧 % 曜刘.，'C%1 Q戏 RgM TrtrJ 曲，GSVTnch'SlWChat卧FA PR遗产苏迁 .ladifi/E AP/R第 rise炮 M 如11即算汕雀 蛔雅HIRSIM.'Mienge VAUsers'AL,VI 一 Insprt&Jxilnpr土 Ig-rE.hRTilMnw-Rnd h 妙占 MMirti n。'UtRMi底/Airmrtinni.Li作 >44肥Discyzed

11、cf*A 4R.【fhWifTriitrilini'Smf 1111,1 W代悟58Q2,1XVJirelessRadiator RADIUSGSMJIAP/SS?GSM authC:ientAcross Ro iniwith EAP-SIM moduleGalwaycentre. HLEAP-Response/SIM/Challenge (AT_MAC)步骤说明：据 AT_RAND 等 Sres 信息 |NONCE_MT|Version|. 计算自己的 AT_MAC'和 AT_MAC比较，然后生成一个序列，部分为四次握手MK(万能钥匙，这增加了后面的四次握手的安全性)，Res

12、ponse含Sres的AT_MAC”，让服务器再认证GSM subscribers 身份标识：IMSI (International Mobile Subscriber Identity )IMSI 组成：不多于 15 数字的 String , MCC (Mobile Country Code ) 3 位，MNC (Mobile Network Code ) 2 或 3 位，MSIN ( Mobile Subscriber Identification Number ) 不多于10位.Internet AAA protocols 身份标识：NAI(Network Access Identifi

13、er)RFC4282. 形式 为：(usernamerealm ).对于永久用户，可以使用IMSI生成用户名(第一位加，1 ?);pseudonym usernames and fast re-authentication, identities由认证服务器生成。EAP-AKA 学习EAP-AK用丁第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement).AKA基 丁对称密码学原理，通常运行在手机的 SIM卡上,3G中称为USIM.PeerAuthenticator|EAP-Request/Identity |<1| EAP-R

14、esponse/Identity| (Includes user'sNAI)|>|+| Server runs AKAalgorithms, | generates RANDand AUTN. |I+|EAP-Request/AKA-Challenge |(AT_RAND, AT_AUTN,AT_MAC) |<1+| Peer runs AKA algorithms, | verifies AUTN and MAC, derives RES | and session key|+| EAP-Response/AKA-Challenge| (AT_RES, AT_MAC)|&

15、gt;|+| Server checks thegiven RES, | and MAC and findsthem correct|+|EAP-Success |1<1Figure 1: EAP-AKA full authenticationprocedure ?AT_MAC(Message Authentication Code)用来保护 EAP 数据包的完 整性。?EAP-AKA支持利用已得到的KEY进行快速重新认证。?支持用户身份的保密交互记录：Server 不应该依赖 EAP-Response/Identity 中的 Indentity 信息，应该使用 EAP- Request

16、/AKA-Identity 包主动请求(EAP-Response/AKA-Identity 的 AT_IDENTITY 属 性指示)。1 )使用AT_PERMANENT_ID_REQ 属性：Server想让Peer反馈永久认证身份(permanent identity )在 EAP-Response/AKA-Identity 包的 AT_IDENTITY 属性。如 果 Peer 只有 permanent identity ，反馈 EAP-Response/AKA-Identity (在 AT_IDENTITY 属性中包含 permanent identity );如果还有 pseudonym

17、identity ,反馈 可能是 EAP-Response/AKA-Client-Error (code "unable to process packet" ),或者 permanent identity 。然后，如果 Server 发现不是合法的 permanent identity ,发送 EAP-Request/AKA-Notification (AT_NOTIFICATION code"General failure" (16384),终止EAP认证。否则 EAP-Request/AKA-Challenge开始全认证过程。2 ) AT_FULL

18、AUTH_ID_REQ 属性：Server 想让 Peer 反馈全认证身份(fullauthentication identity (pseudonym identity)。服务器不支持快速重认证。首先反馈pseudonym identity (如果有)，否则反馈 permanent identity 。然后，如果 Server 发 现不能把pseudonym identity 映射到一个合法的 permanent identity ,发送AT_PERMANENT_ID_REQ3 ) AT_ANY_ID_REQ 属性：Server 想让 Peer 反馈一个身份(an identity )。如果

19、Peer维护了快速重连状态信息，并且想使用快速重连，反馈 re-authentication identity 属性信息。其次，判断 pseudonym identity ，最后判断 permanent identity 。如果 Server 同意重认证，发送 EAP-Request/AKA-Reauthentication ,否则发送 AT_FULLAUTH_ID_REQ 或者 AT_PERMANENT_ID_REQ 。EAP/AKA-Identity可能轮回多次(最多 3次)，这种情况的顺序：AT_ANY_ID_REQ -> AT_FULLAUTH_ID_REQ -> AT_P

20、ERMANENT_ID_REQ.WLAN3G 应用 AKA:WLAN-UE (User Equipment ) : WLAN用户的移动终端设备WLAN-AN (Access Network ) : WLAN 接入网络3GPP AAA服务器：3GPP网络认证、授权、计费服务器HSS/HLR:家乡用户服务器/家乡位置寄存器IMSI:国际移动用户标志(International Mobile Station Identity)f1f5。为3G安全结构中定义的算法，f1算法用于产生消息认证码，f2算法用于消息认证中计算期望响应值，f3算法用于产生加密密钥，f4算法用于产生完整性密钥，f5算法用于产生匿

21、名密钥。协议流程 WLAN-UE WLAN -AN: NAI(身份标志) WLAN- AN 3GPP AAA: NAI 3GPP AAA WLAN -AN: RAND, AUTH, WLAN-UE的临时标志，消息鉴别码 WLAN- AN WLAN -UE: RAND，AUTH，WLAN-UE的临时标志，消息鉴别码 WLAN- UE WLAN -AN: RES，消息鉴别码 WLAN- AN 3GPP AAA: RES，消息鉴别码 3GPP AAA WLAN -AN: WLAN-UE 的认证结果，WLAN-AN 与 WLAN-UE 的共享 密钥 WLAN- AN WLAN -UE: WLAN-UE

22、 的认证结果说明：收到WLAN-UE的身份标志后，3GPP AAA服务器首先询问HSS，该用户是否有使用WLAN提供的服务权限。然后从 HSS/HLR中取得与该用户相关的认证向量AV,同时也获得与该用户IMSI对应的新的临时标志。其中，AV = RAND II XRES II CK II IK II AUTN, RAND 为随机数，XRES =f2k( RAND) , CK = f3k( RAND) , IK = f4k ( RAND) , AUTN = SQN II AK II AMF II MAC; SQN 为序歹U号,AK = f5k ( RAND) , AMF 为认证管理域,MAC =

23、 f1k ( SQN II RAND II AMF) o随后，从IK和CK中生成共享密钥，这些共享密钥一方面可用于WLAN通信的机密性和一致性保护，另一方面也用于保护 WLAN-UE的临时标志。构造EAP请求/AKA挑战消息，消息包含RAND、AUTH、临时标志，并计算消息鉴 别码。最后，将EAP请求/AKA挑战消息发送给 WLAN-AN。WLAN-UE首先验证AUTH，并确认接收的序列号 SQN是否在有效范围内，如果 都正确，则实现了对3G网络的认证。计算IK和CK,从IK和CK中生成共享密钥，然后验证消息鉴别码是否正确 ，并保存 收到的临时标志。计算RES = f2k( RAND),构造E

24、AP回应/AKA挑战消息，消息包含 RES,并计算消 息鉴别码。最后，将EAP回应/AKA挑战消息发送给 WLAN-AN。 3GPP AAA服务器首先验证消息鉴别码，然后计算XRES,并与收到的RES进行 比较。如果正确，则认证了 WLAN-UE的身份，并向WLAN-AN发送EAP成功的消息。同时一起发送的还有在 WLAN通信中用于机密性和一致性保护的共享密钥。 WLAN-AN保存共享密钥，此共享密钥将用于与 WLANUE通信时的机密性和一致 性保护，同时将EAP成功的消息发送给WLAN-UE。安全性分析EAP-AKA 协议基于 WLAN-UE与HSS/HLR 之间共享的秘密密钥 K,实现 W

25、LAN用 户与3G网络的相互认证和密钥分配。(1) WLAN用户与3G网络之间的双向认证。WLAN用户对3G网络的认证是在上述第 步实现的。WLAN-UE收到3GPPAAA服务器发送过来的 AUTN = SQNi AK II AMF II MAC,确认序列号SQN是否在有 效范围内，并验证AUTH是否正确。因为只有使用正确的秘密密钥K才能生成正确的 AUTN,而只有合法的HSS/HLR才有秘密密钥K,因此上述过程实现了对 3G网络合法 性认证。3G网络对WLAN用户的认证是在上述第 步实现的。3GPP AAA服务器首先计 算XRES = f2k ( RAND), 然后与收到的 RES= f2k

26、 ( RAND) 进行比较。也因为只有合 法的WLAN用户才有秘密密钥 K,因此如果XRES = RES,就可以认证 WLAN用户的 合法身份。(2) WLAN-UE 与 WLAN-AN 之间的密钥分配。合法的 WLAN-UE收到正确的随机数 RAND后，能正确生成CK = f3k( RAND) 和 IK= f4k ( RAND), 进而能正确生成用于 WLAN通信中机密性和一致性保护的会话密钥。 而WLAN-AN的会话密钥是从3GPP AAA服务器得到的，3GPP AAA服务器首先生成 CK和IK,然后生成会话密钥，再传送给 WLAN-AN。因此，EAP-AKA协议能确保 WLAN-UE与W

27、LAN-AN之间能共享会话密钥，并且会话密钥没有在无线接口中传输 ， 具有一定的安全性。(3) 密钥的新鲜性。在EAP-AKA协议的每次认证过程中，WLAN-UE与WLAN-AN 共享的会话密钥通 过CK与IK生成，而CK与IK是采用随机数计算得到的，从而确保了密钥的新鲜性。(4) 防重放攻击。协议传递的消息使用了随机数和不断递增的序列号SQN作为输入，因而保证了消息的新鲜性。并且，该随机数包含在保证消息完整性的消息鉴别码，而响应方在响应消息的鉴别码中也包含了该随机数，因此任何第三方都无法利用先前截获的消息发起重放攻 击。(5) 潜在的漏洞。与3G的认证与密钥分配协议 AKA 一样,EAP-AKA协议也没有 WLAN用户与3G 网络之间共享的秘