802.1x 之EAP-TLS介绍
802.1x EAP-TLS介绍
1 组网
802.1X协议是一种基于端口的网络接入控制协议,对接入设备的身份进行验证,从而达到控制其访问局域网的权限目的。
客户端:一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。
接入设备:通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,充当客户端和认证服务器之间的中介,从客户端请求身份信息,并与认证服务器验证该信息。根据客户端的身份验证状态控制其对网络的访问权限。这里是交换机。
认证服务器:用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。
2 协议介绍
802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
3 认证过程
EAP-TLS是一种基于TLS协议的认证方法,802.1x EAP-TLS认证流程如下:
1、端口启用
网络交换机或接入点上的端口首先启用802.1X认证,以强制要求连接到该端口的设备进行身份验证。
2、EAPOL-Start
客户端设备发送一个EAPOL-Start帧到交换机以启动认证过程。
3、交换机请求身份
交换机向客户端发送EAP请求/身份验证请求(EAP-Request/Identity)帧,要求客户端提供其身份。
4、客户端响应身份
客户端设备将其身份(通常是用户名)封装在EAP响应/身份(EAP-Response/Identity)帧中,并发送回交换机。
5、服务器选择
交换机将EAPOL-Identity消息转发给认证服务器(Authentication Server)。
6、服务器响应
认证服务器收到EAPOL-Identity消息后,将发送一个EAP请求(EAP-Request)消息给设备。
7、证书交换
设备收到EAP请求消息后,将生成一个TLS握手请求并发送给认证服务器。认证服务器将自己的证书发送回设备,同时要求设备发送其自身的证书。
8、证书验证
设备和认证服务器互相验证对方的证书。设备使用保存的CA证书链来验证服务器证书的有效性,服务器使用保存的设备证书链来验证设备证书的有效性。
9、会话密钥交换
如果证书验证成功,服务器将使用设备证书中的公钥加密一个会话密钥并发送给设备。设备使用自己的私钥解密会话密钥。现在,设备和认证服务器都拥有了相同的会话密钥。
10、认证成功
设备使用会话密钥生成一个成功的EAP响应消息,并发送给认证服务器。认证服务器接收到该消息后,通知交换机将端口置于"认证通过"状态。此时,认证设备可以访问网络。
4 设备端抓包
附件:
802.1x 之EAP-TLS介绍相关推荐
- 无线安全 - 802.1x 和 EAP 类型
按字母表示的 EAP 类型 - MD5.LEAP.PEAP.FAST.TLS 和 TTLS 注: 该数据不适用于家庭或小型办公室用户,他们通常不使用高级安全功能(如本页中讨论的功能).不过这些用户可能 ...
- 802.1x认证EAP包结构
当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请.登记过的用户名和密码,发起连接请求.此时,客户端程序将向设备端发出认证请求报文(EAPoL-Start),开始启动一次认证过程. 设备 ...
- 锐捷网络:校园网基于802.1x无感知认证
一.现状与需求分析 随着智能终端的普及,接入校园网络的终端类型正在逐渐发生变化.智能终端需要通过3G.GPRS.WIFI接入Internet网络.但目前3G.GPRS上网资费较贵,所以WIFI成为校园 ...
- 简单对比H3C/Huawei 802.1x+Radius/AAA配置差异
1 802.1X基本概念 802.1x属于准入控制技术,又称EAPoE(Extensible Authentication Protocol Over Ethernet) 本地验证(交换机本地建立用户 ...
- 802.1X Radius 服务器搭建
802.1X Radius 服务器搭建 设备需求: l 安装Microsoft Windows 2003 Enterprise Edition Service Pack 1的PC一台 l Wirel ...
- 802.1x认证和MAC认证讲解
目录 802.1x基础 EAP(Extensible Authentication Protocol)可扩展认证协议 EAPoL(EAP over LAN)局域网可扩展认证协议 802.1x体系架构 ...
- 802.1x认证协议的应用
IEEE 802.1x 使用标准安全协议(如RADIUS)提供集中的用户标识.身份验证.动态密钥管理和记帐.802.1x身份验证可以增强安全性.IEEE 802.1x身份验证提供对802.11无线网络 ...
- eap方法 华为手机怎么连wifi_如何手动连接802.1x EAP证书加密WIFI
首先声明一点:本文只是从实用角度来阐述如何免第三方工具连接通过802.1x EAP PRE START:为什么要这么做 其实我也不知道这么做的好处是啥,充其量也就是为了研究那些所谓的自动wifi连接工 ...
- eap wifi 证书_如何手动连接802.1x EAP证书加密WIFI
首先声明一点:本文只是从实用角度来阐述如何免第三方工具连接通过802.1x EAP PRE START:为什么要这么做 其实我也不知道这么做的好处是啥,充其量也就是为了研究那些所谓的自动wifi连接工 ...
- 802.1X技术介绍
802.1X IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内 ...
最新文章
- Challenge: Machine Learning Basics
- 什么叫组网_5G中,啥是独立组网(SA)与非独立组网(NSA)
- SAP——102和122和161区别
- html 手机浏览器:屏幕适配 - 代码篇
- java对象前后改变_java对象改变而不设置它们
- arm 交叉编译找不到so_交叉编译v8时,提示找不到libstdc++.so.6里面GLIBCXX_3.4.20版本的某个符号...
- android中的广播机制(动态注册)
- Cockos REAPER 6 for Mac - 强大的数字音频工作站
- 关于渗透测试以及网络安全法
- 2021 软考 软件设计师考试教程(详细版)
- 关于tensorflow linux avx2指令集的安装处理
- MCS-51单片机总体概述(二)
- 人人都在推销(销售永不为“奴”)
- [转载]1986年吴图南 马岳梁 吴英华 孙剑云等名家大師
- SSRF-服务器端请求伪造(类型和利用方法)第2部分
- 一亩三分地-每日答题
- self-attention
- 如何快速全选文件夹内的文件
- mybatis-plus 主键自增问题
- 华中科技大学计算机组成原理-单总线CPU设计(全部通关)