認(rèn)證方式探討 EAP-MSCHAPV2
MSCHAP方式是,首先服務(wù)器發(fā)一個(gè)challenge給用戶,用戶向RADIUS發(fā)一個(gè)用MD4加密的(password,challenge)給RADIUS(叫response),radius的MSCHAP模塊向LDAP詢問(wèn)NTPASSWORD,然后自己再用challenge和NTPASSWORD,來(lái)計(jì)算一個(gè)response,兩個(gè)response相比較完成驗(yàn)證.如果LDAP無(wú)法給出NTPASSWORD或送出SHA加密的NTPASSWORD,MS-CHAP就無(wú)法驗(yàn)證了.唯一可行的辦法是把LDAP的SCHEMA中加入NTPASSWORD域,并明文存放,才能滿足MS-CHAP的要求.
PEAP-MSCHAPV2流程:
? 1、創(chuàng)建一個(gè)連接后,AP發(fā)送一個(gè)EAP-Request/Identity消息給客戶端。
? 2、客戶端回復(fù)一個(gè)EAP-Response/Identity消息,包含客戶端的標(biāo)識(shí),通常是名字。
? 3、AP把這個(gè)消息傳遞給Radius服務(wù)器。從現(xiàn)在開(kāi)始,邏輯通信就從Radius服務(wù)器到無(wú)線客戶端了,AP,AC是一個(gè)中介設(shè)備。
? 4、Radius服務(wù)器發(fā)送一個(gè)EAP-Request/Start PEAP消息給客戶端。
? 5、無(wú)線客戶端和Radius服務(wù)器發(fā)送一系列的TLS消息通過(guò)協(xié)商建立的隧道。Raiuds服務(wù)器發(fā)送一個(gè)證書(shū)鏈讓客戶端認(rèn)證。最后,Radius服務(wù)器已經(jīng)認(rèn)證了無(wú)線客戶端。兩端都決定使用的加密信息。
? 在PEAP TLS隧道創(chuàng)建后,采用MS-CHAPV2認(rèn)證。
? 6、Radius服務(wù)器發(fā)送一個(gè)EAP-Request/Identity消息。
? 7、無(wú)線客戶端發(fā)送一個(gè)EAP-Response/Identity 消息,消息包用戶名。
? 8、Radius服務(wù)器發(fā)送一個(gè)EAP-Request/EAP-MS-CHAP-V2挑戰(zhàn)消息,包含挑戰(zhàn)字符串。
? 9、無(wú)線客戶端回復(fù)一個(gè)EAP-Response/EAP-MS-CHAPV2回復(fù)消息,包含對(duì)這個(gè)挑戰(zhàn)的應(yīng)答和一個(gè)自己的挑戰(zhàn)。
? 10、Radius服務(wù)器發(fā)送一個(gè)EAP-Request/EAP-MS-CHAPV2成功的消息,指出無(wú)線客戶端的回應(yīng)是正確的,且包含無(wú)線客戶端的挑戰(zhàn)字符串。
? 11、無(wú)線客戶端回應(yīng)一個(gè)EAP-Response/EAP-MS-CHAPV2的ACK消息,指示Radius服務(wù)器的回應(yīng)消息是正確的。
? 12、Radius服務(wù)器發(fā)送一個(gè)EAP-Success消息。
EAP -TLS是一個(gè)IETF標(biāo)準(zhǔn)。TLS即傳輸層安全(Transport Layer Security),也稱為SSL。它原本是一種傳輸層的安全協(xié)議,主要實(shí)現(xiàn)兩個(gè)功能:身份鑒別與信息加密。TLS可實(shí)現(xiàn)基于證書(shū)的單向身份鑒別(只鑒別服務(wù)器)和雙向身份鑒別(同時(shí)鑒別客戶端與服務(wù)器)。TLS在完成身份鑒別的同時(shí),還交換密鑰信息,通過(guò)密鑰信息可導(dǎo)出會(huì)話密鑰用于信息加密。
需要指出的是,在這里TLS并不是作為一個(gè)安全傳輸層協(xié)議跑在TCP/IP層之上,而是將TLS的Handshake Record直接嵌套在EAP數(shù)據(jù)包中,作為EAP Request/Response的數(shù)據(jù)來(lái)傳送,通過(guò)TLS的Handshake Record完成單向或雙向的身份鑒別。EAP-TLS只利用了TLS的身份鑒別功能,并沒(méi)有利用TLS建立的加密通道。
為了能夠進(jìn)一步利用 TLS建立的安全通道交換EAP身份鑒別信息,IETF隨后出臺(tái)了PEAP(Protected EAP Protocol)標(biāo)準(zhǔn)草案。PEAP不但通過(guò)EAP Request/Response數(shù)據(jù)包傳送TLS的Handshake Record完成身份鑒別,并且完成身份鑒別后進(jìn)一步通過(guò)TLS的Data Record再傳送EAP身份鑒別協(xié)議。
對(duì)于密鑰:
der? “專有編碼規(guī)則”文件。.der 文件包含證書(shū)的二進(jìn)制表示,包含其公共密鑰,但不包含其專用密鑰。它與 .arm 文件非常相似,除了表示是二進(jìn)制的,而非 ASCII。
.p12? "PKCS 12" 文件,其中 PKCS 代表“公共密鑰密碼術(shù)標(biāo)準(zhǔn) (Public-Key CryptographyStandards)”。.p12 文件包含證書(shū)的二進(jìn)制表示,包含其公共密鑰和專用密鑰。一個(gè) .p12 文件中也可能包含多個(gè)證書(shū);例如,證書(shū)、發(fā)出證書(shū)的 CA 的證書(shū)、CA 證書(shū)的發(fā)出者以及他的發(fā)出者等等。因?yàn)?.p12 文件包含專用密鑰,它是受口令保護(hù)的。