无线网络安全63138.pptVIP

* Message Protocol Data Unit??--??消息协议数据单元 Mac服务数据单元 当Code 域为1 或者2 的时候，这个时候为EAP 的request 和response 报文，报文的格式为： Type 域为一个字节,该域表明了Request 或Response 的类型，代表不同的认证算法 常用的EAP协议 1)Cisco Light EAP(LEAP) 2)Protected EAP(PEAP) 3)EAP-Transport Layer Security (EAP-TLS) 4)EAP-Tunneled TLS(EAP-TTLS) 在WLAN中应用802.1X认证协议时，推荐使用EAP-TLS认证协议。 EAP-TLS EAP-TLS是引入（Transport Layer Security），使用数字证书进行双向认证的认证方式。 TLS现已被业界广泛认可，在OSI分层结构中位于TCP和应用层协议之间， 它既可以为客户机认证服务器，也可以为服务器认证客户机，二者都是基于公钥机制的。 TLS协议分为两部分：握手协议和记录协议。 握手协议在客户机和服务器双方进行保密通信前要确定密钥、加密认证算法等安全参数； 记录协议则定义了传输的格式。 EAP-TLS既提供认证又提供动态会话密钥分发，不但在申请者和认证服务器之间提供互相认证，还提供数据完整性保护。 所有申请者和认证服务器需要事先申请并安装标准的x.509证书，认证时申请者和认证服务器要互相交换证书，交换证书的同时，申请者和认证服务器要协商一个基于会话的密钥，一旦通过认证，认证服务器就会将会话密钥传给AP，并通知AP允许该认证接入网络。 EAP-TLS认证过程 STA AP AS 1、请求认证 2、请求帧，要求客户输入用户名 3、用户名信息 4、信息被封装成RADIUS 5、服务器证书 5、服务器证书 7、用户证书 7、用户证书 10、随机会话密钥生成（认证过程中） 11、RADIUS-Accept 11、EAP-Success EAPOL EAP最初是为拨号系统设计的，根本不是一个局域网协议，要在局域网中传送EAP消息，就需要对EAP消息进行封装，IEEE802.1x制定了在局域网上EAP消息封装格式EAPOL（EAP Over LAN），在申请者和认证方之间传送EAP消息。 并非所有的EAPOL帧都用来承载EAP消息，其中有些是用来执行管理任务的。 EAPOL帧格式 EAPOL共有5种消息类型，即EAPOL数据帧格式的Type可以分为： EAPOL-Start：00 当申请者刚连入局域网时，它不知道是否存在认证方，更不知道认证方的MAC地址，于是，它需要向为IEEE 802.1X认证方保留的某一专用组播MAC地址发送此类消息，申请者使用这种方法来确认认证方的存在，并通过该消息让认证方表示自己已经准备就绪的状态。 申请者PAE使用此帧启动认证过程 第1-2字节 第3字节 第4字节 第5-6字节 第7-n字节 PAE Ethernet Type Protocol Vertion Packet Type Packet Body Length Packet Body EAPOL-Key：01 用来在申请者和认证者之间传送密钥。 EAPOL-Packet：02 它是EAP数据帧，用来发送实际的EAP消息，是在局域网上传送EAP消息的载体，是制定EAPOL协议的最初目的。 EAPOL-Logoff:03 申请者若想离开，就发送该帧，使认证者PAE将控制端口变为非授权状态。 EAPOL-Encapsulated-ASF-Alert:04 可忽略该帧，它允许一个未授权设备向系统发送管理警告，RSN中没有使用这种消息。 说明： 1、EAPOL-Start ，EAPOL-Logoff帧中没有Packet Body部分；EAPOL-Packet帧中的Packet Body部分就是EAP帧；EAPOL-Key帧中的Packet Body部分是密钥描述信息。 2、EAPOL-Start 帧、EAPOL-Logoff帧、EAPOL-Key帧只在申请者和认证者之间传递。 3、EAPOL-Packet帧在认证者处被拆封，取出EAP消息，再封装入RADIUS消息中，然后在认证者与认证服务器间传递。 2.3.2 802.11i—密钥分配 RSN的工作流程可分为5个阶段，在完成认证之后，STA与AP要执行一系列操作来配置密钥，这一阶段称密钥生成与分配阶段KGD（Key Generation and Distribution）。 密钥通常都是分层使用的，在RSN中也是一样。AP和STA之间的单播所用的密钥称为成对密钥，其分层使用称为成对密钥层次结构；AP