概述
来源:http://archercai.blog.sohu.com/66483620.html
1.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 5
Extensible Authentication Protocol
Code: 1
Request
Identifier: 0
Length: 5
Type: 1
Identity
Type-Data:
No more data.
2.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。该用户名无论是什么都不影响验证结果,该报文中包含的用户名可能是为了与报文格式相符合。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 9
Extensible Authentication Protocol
Code: 2
Response
Identifier: 0
Length: 9
Type: 1
Identity
Type-Data:
anonymous
3.认证服务器收到交换机转发上来的用户名信息后,生成一个Access-Challenge的验证开始报文,通过接入设备将该报文发送给客户端,其中EAP-messge是EAP-Request/EAP-TTLS,并且其中包含Flags = start。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 6
Extensible Authentication Protocol
Code: 1
Request
Identifier: 1
Length: 6
Type: 21
EAP-TTLS
Type-Data:
Flags(0x20)Start (1 bytes)
4.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLS,TLS client_hello报文(其中包含了21组密码)送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 132
Extensible Authentication Protocol
Code: 2
Response
Identifier: 1
Length: 132
Type: 21
EAP-TTLS
Type-Data:
Flags(0x80)Length(127 bytes)
Secure Socket Layer
TLS Record Layer:Handshake Protocol:Client Hello
5.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,该报文中包含了TLS server_hello、TLS change_cipher_spec、TLS encrypted_handshake_message ,其中在Server Hello中包含了一组密码,通过接入设备将该报文发送给客户端。EAP-messge是EAP-Request/EAP-TTLS。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 140
Extensible Authentication Protocol
Code: 1
Request
Identifier: 2
Length: 140
Type: 21
EAP-TTLS
Type-Data:
Flags(0x80)Length(135 bytes)
Secure Socket Layer
TLS Record Layer: Handshake Protocol: Server Hello
TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
TLS Record Layer: Handshake Protocol: Encrypted Handshake Message
6.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLS,TLS change_cipher_spec、TLS encrypted_handshake_message的报文,送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 61
Extensible Authentication Protocol
Code: 2
Response
Identifier: 2
Length: 61
Type: 21
EAP-TTLS
Type-Data:
Flags(0x80)Length(56 bytes)
Secure Socket Layer
TLS Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
TLS Record Layer: Handshake Protocol: Encrypted Handshake Message
7.认证服务器收到交换机转发上来的Access-Request报文后,生成一个Access-Challenge的验证报文,通过接入设备将该报文发送给客户端。该报文中的EAP-Message中为EAP-Request/EAP-TTLS,并且Flags = 0x00。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 6
Extensible Authentication Protocol
Code: 1
Request
Identifier: 3
Length: 6
Type: 21
EAP-TTLS
Type-Data:
Flags(0x0)(1 bytes)
8.客户端程序收到EAP-Request/EAP-TTLS报文后,向认证服务器发送EAP-Request/EAP-TTLS,Flags = 0x00(finished)。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 6
Extensible Authentication Protocol
Code: 2
Response
Identifier: 3
Length: 6
Type: 21
EAP-TTLS
Type-Data:
Flags(0x0)(1 bytes)
9.认证服务器收到交换机转发上来的Access-Request报文后,如果认证成功,则生成一个Access-Accept的报文,向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,生成一个Access-Reject的报文,保持交换机端口的关闭状态,只允许认证信息数据通过。
802.1x Authentication
Version: 1
Type: 0
EAP Packet
Length: 4
Extensible Authentication Protocol
Code: 3
Success
Identifier:3
Length: 4
10.交换机收到Access-Accept的报文时,向客户端程序连续发送两个EAP-key的数据包。该Key为Broadcast类型和unicast类型。
802.1x Authentication
Version: 1
Type: 3
EAPOL - Key
Length: 49
EAPOL - Key
Type:1
RC4 Key descriptor
Key Length:5
Replay Counter:
(8 bytes)
Key IV:
(16 bytes)
Key Flag:0
Broadcast
Key Index:2
Key Signature:
(16 bytes)
Key:
(可选)
802.1x Authentication
Version: 1
Type: 3
EAPOL - Key
Length: 49
EAPOL - Key
Type:1
RC4 Key descriptor
Key Length:5
Replay Counter:
(8 bytes)
Key IV:
(16 bytes)
Key Flag:1
unicast
Key Index:2
Key Signature:
(16 bytes)
Key:
(可选)
注:
在验证过程中从客户端服务器明文传送的用户名无效,也就是说对验证结果没有影响。
最后
以上就是激动冰棍为你收集整理的802.1x认证过程 TTLS的全部内容,希望文章能够帮你解决802.1x认证过程 TTLS所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复