WLAN安全基础培训-LXS2.pptVIP

  • 9
  • 0
  • 约1万字
  • 约 38页
  • 2017-08-17 发布于河南
  • 举报
1、 实现方式 EAPOR即 EAP over RADIUS,是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。 以便EAP报文穿越复杂的网络到达认证服务器。 Type:与EAP相关的属性值分配 79 EAP-Message 80 Message-Authenticator Length:指明三元组的总长度 Value:格式和长度由Type域和Length域的取值决定对认证服务 器的兼容支持 EAP Over Raduis 2、EAP-Message属性 设备端PAE(RADIUS Client)从客户端接收到EAP报文后,将它封装在一个或多个EAP-Message属性中,作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge,Access-Accept或Access-Reject报文中返回EAP-Message属性 Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性,此属性中包含EAP-Success或EAP-Failure (注意:Accept或Reject报文可以不包含EAP packet或者含有的不是success或failure,因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态,因此,这种情况允许,但是,设备端必须要向客户端发一个EAP Success或EAP Failure报文以通知认证的授权状态) 3、Message-Authenticator属性 用于保护所有携带EAP-Message属性的Access-Request、Access-Challenge、Access-Accept和Access-Reject报文 如果带有EAP-Message属性的报文中不包含Message-Authenticator 属性,该报文必须被丢弃。 EAP Over Raduis(续) 802.11i协议 * 继承802.1X产生的PMK 通过4次握手的过程完成Session Key的动态协商 密码加密方式有TKIP 和AES-CCM 802.11i协议重点解决:session key (用户密钥)协商 密钥的分发、使用密钥对数据进行加密过程 802.11i 密钥管理 * Step 1: 使用Raduis 协议将PMK推送到 AP Step 2: 实用PMK和4次握手过程完成临时单播加密密钥PTK的过程 Step 3: 使用 Group Key 二次握手过程发送临时组播密钥到 STA client NAS Raduis Server Step 2 : 4-ways Handshake 单播PTK * EAPoL-Key(Reply Required, Unicast, ANonce) Pick Random ANonce EAPoL-Key(Unicast, SNonce, MIC, STA SSN IE) EAPoL-Key(Reply Required, Install PTK, Unicast, ANonce, MIC, AP SSN IE) Pick Random SNonce, Derive PTK = EAPoL-PRF(PMK, ANonce | SNonce | AP MAC Addr | STA MAC Addr) Derive PTK EAPoL-Key(Unicast, ANonce, MIC) Install TK Install TK PMK PMK STA AP Step 3:2-ways handshake 组播GTK * EAPoL-Key(All Keys Installed, ACK, Group Rx, Key Id, Group , RSC, GNonce, MIC, GTK) Pick Random GNonce, Pick Random GTK Encrypt GTK with KEK Decrypt GTK unblocked data traffic unblocked data traffic PMK PMK STA AP TKIP: Temporal Key Integrity Protocol 使用RC4来实现数据加密,这样可以重用用户原有的硬件而不增加 加密成本。 使用Michael来实现MIC (Message Integrity Code )。结合MIC, TKIP采用了countermeasures 方式:一旦发现了攻击(MIC Fa

文档评论(0)

1亿VIP精品文档

相关文档