EAP認證

EAP信息交換：

 

上圖中展示的是OTP（一次性密碼）實現EAP交換過程，具體的EAP交換過程如下：

步驟1：請求方向認證方發送EAPOL-Start消息，通知對方已經做到了認證准備（注意：若會話由認證方發起，不需要該報文）
步驟2：在檢測到鏈路活動后（比如客戶連接到SW端口），認證方向請求當發送EAP-Request/Identity消息
步驟3：請求方給認證方回復EAP-Response/Identity消息，並由認證方轉發給認證Server，請求方和認證Server之間也可以使用UDP  
             承載的Radius協議進行通信
步驟4：認證Server給認證服務器發送一個Radius格式的質詢（challenge）消息，認證方將其重新封裝為EAPOL發送給請求方（注意
             支持單向和雙向認證，單向即Server驗證請求方的身份；雙向即雙方都驗證對方身份，無線中采用雙向避免中間人攻擊）
步驟5：請求方向認證方恢復質詢消息，並由認證方准發給認證Server
步驟6：如果請求方提供的身份憑證無誤，認證Server將返回Success的消息給請求方，並由認證方轉發給請求方，認證方根據認證
             結果給予請求方訪問網絡資源的權限。

802.1X定義的三種端口狀態：

如果SW端口使用了802.1X認證，則端口認證處於Auto狀態，在請求方通過認證之前，端口處於非授權狀態，待請求方認證通過后，端口處於授權狀態。

端口認證主機模式：

端口認證的模式有5種，分別為單主機模式、多主機模式、多域認證模式、多認證模式和開放式模式。

EAP協議類型：

可以采用多種EAP協議來保護優先或無線網絡的安全。

幾種常使用的EAP：

    (1) EAP-MD5（EAP-消息摘要算法第5版）——不推薦
    采用質詢-響應機制對用戶進行認證。
    
    特點：
    • 只采用用戶名和密碼作為請求方身份憑證
    • 大多設備支持（相對簡單）
    • EAP-MD5對處理器要求不高，不會給認證雙方造成負擔
    • 存在固有漏洞，安全性較差
        a. 只提供單向認證（請求方不能確定認證服務器的身份）
        b. 請求方的用戶名以明文方式傳輸（傳輸途中遭截獲可通過社會工程學攻擊獲取密碼）
        c. MD5散列函數安全性較差（易遭到離線詞典攻擊）
    
EAP-MD5數據字段：
       
    

原理：
    

 

    (2) PEAPv0/MSCHAPv2（EAP-受保護的EAP/微軟質詢握手認證協議第2版）
    
    該EAP的兩個階段：
        a. 階段一：采用和EAP-TLS相同的過程建立TLS隧道，並完成對認證服務器的身份的驗證，該階段完成，請求方和認證服務器之間建立了一條用戶傳輸EAP消息的加密隧道。
        b. 階段二：認證服務器采用另一種EAP協議（通常為MS-CHAPv2）對請求方進行認證，
    
    特點：
    • 由Cisco、Microsoft和RSA Security共同開發
    • 通過創建加密的TLS隧道以傳輸請求方的身份憑證
    • 支持多種EAP類型作為內部認證協議
    • 采用基於公鑰基礎設施（PKI）標准的服務器端數字證書作為服務器的身份憑證
    • 若無法為所有的用戶簽發證書，也可以采用Windows的用戶名和密碼（這通過查詢Windows域控制器、Active Directory或者其他現有的用戶數據庫實現）
    • 分為兩階段
    
    EAP數據（PEAPv0/MS-CHAPv2)：
    

   

    原理：
    

 

    
    (3) EAP-LEAP（EAP-輕量EAP）
    特點：
    • Cisco開發
    • 認證雙方采用雙向認證
    • 請求方身份憑據為用戶名和密碼
    • 認證服務器的身份憑證為共享密鑰（shared secret）
    • 先驗證請求方，再驗證認證服務器
    
    原理：
    
    
    (4) EAP-TLS（EAP-傳輸層安全）
    特點：
    • 由Microsoft開發
    • 以TLS協議為基礎
    • 采用雙向認證
    • 使用數字證書或者智能卡作為身份憑證
    • 配置復雜
    • 部署成本高
    • 對處理器運算要求較高
    • 可以配置為雙要素認證（two-factor authentication)系統，它是目前安全性最高的認真機制之一
    
    EAP-TLS數據字段：
    
    原理：
    

 

    
    (5) EAP-TTLS（EAP-隧道化傳輸層安全）
    特點：
    • 可視為EAP-TLS擴展
    • 認證過程分為兩個階段
    • 一定程度上簡化了配置
    • 支持PAP、CHAP等非EAP協議
    • 不要求雙方都采用數字證書的身份憑證
    
    EAP-TTLS數據字段：
    

    原理：
    階段1：EAP-TTLS采用與EAP-TLS類似的方式在請求方和認證Server之間創建加密的TLS隧道，並在隧道中封裝其他認證機制。
    階段2：在隧道中進行雙向的身份驗證。
    
    (6) EAP-FAST（EAP-經由安全隧道的靈活認證）
    
    特點：
    • Cisco開發的專有協議
    • 安全性高
    • 不必使用數字證書
    • 能抵御中間人攻擊、重放攻擊、詞典攻擊等在內的多種網絡攻擊
    • 認證分為兩個階段
        a. 階段1：請求方和認證服務器間采用受保護的訪問憑證（PAC）創建加密的TLS隧道
        b. 階段2：請求方的身份憑證通過TLS隧道發送給認證服務器，並由后者加以驗證
        
    注意：TLS隧道依賴於PAC，PAC由證書服務器動態配置並管理。
    
    EAP-FAST數據字段：
    

 

附：