WLAN安全基础培训-LXS2.pptVIP

1、 实现方式 EAPOR即 EAP over RADIUS，是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。 以便EAP报文穿越复杂的网络到达认证服务器。 Type：与EAP相关的属性值分配 79 EAP-Message 80 Message-Authenticator Length：指明三元组的总长度 Value：格式和长度由Type域和Length域的取值决定对认证服务 器的兼容支持 EAP Over Raduis 2、EAP-Message属性 设备端PAE（RADIUS Client)从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性 Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性，此属性中包含EAP-Success或EAP-Failure （注意：Accept或Reject报文可以不包含EAP packet或者含有的不是success或failure，因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态，因此，这种情况允许，但是，设备端必须要向客户端发一个EAP Success或EAP Failure报文以通知认证的授权状态） 3、Message-Authenticator属性 用于保护所有携带EAP-Message属性的Access-Request、Access-Challenge、Access-Accept和Access-Reject报文 如果带有EAP-Message属性的报文中不包含Message-Authenticator 属性，该报文必须被丢弃。 EAP Over Raduis(续） 802.11i协议 * 继承802.1X产生的PMK 通过4次握手的过程完成Session Key的动态协商 密码加密方式有TKIP 和AES-CCM 802.11i协议重点解决：session key (用户密钥）协商 密钥的分发、使用密钥对数据进行加密过程 802.11i 密钥管理 * Step 1: 使用Raduis 协议将PMK推送到 AP Step 2: 实用PMK和4次握手过程完成临时单播加密密钥PTK的过程 Step 3: 使用 Group Key 二次握手过程发送临时组播密钥到 STA client NAS Raduis Server Step 2 : 4-ways Handshake 单播PTK * EAPoL-Key(Reply Required, Unicast, ANonce) Pick Random ANonce EAPoL-Key(Unicast, SNonce, MIC, STA SSN IE) EAPoL-Key(Reply Required, Install PTK, Unicast, ANonce, MIC, AP SSN IE) Pick Random SNonce, Derive PTK = EAPoL-PRF(PMK, ANonce | SNonce | AP MAC Addr | STA MAC Addr) Derive PTK EAPoL-Key(Unicast, ANonce, MIC) Install TK Install TK PMK PMK STA AP Step 3:2-ways handshake 组播GTK * EAPoL-Key(All Keys Installed, ACK, Group Rx, Key Id, Group , RSC, GNonce, MIC, GTK) Pick Random GNonce, Pick Random GTK Encrypt GTK with KEK Decrypt GTK unblocked data traffic unblocked data traffic PMK PMK STA AP TKIP: Temporal Key Integrity Protocol 使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加 加密成本。 使用Michael来实现MIC (Message Integrity Code )。结合MIC， TKIP采用了countermeasures 方式：一旦发现了攻击（MIC Fa