Wi-Fi 安全协议 - EAP
Data(数据)
根据每种类型的规则加以诠释
数值类型说明
(身份证明)
用于 消息中,表示认证者()试图进行身份认证,Data字段会携带申请者的信息。一般简写为/
(通知)
认证者()用于传递消息(例如密码已过期、账号被锁等)给。一般简写为/
Nak(Null ,回应)
仅用于帧,表示否定确认。
当用了不支持的验证类型发起请求时,可利用/Nak消息以告知其支持的验证类型
身份验证方法为MD5质询法
发送一段随机的明文给
收到后,将其和密码一起做MD5计算得到结果A,然后将结果A返回给
根据正确密码和MD5质询文做MD5计算得到结果B
A和B一比较就知道使用的密码是否正确
身份验证方法为OTP(One Time ,一次性密码)
目前最安全的身份验证机制,如网银付费时系统会通过短信发送一个密码,就是OTP方式
身份验证方法为GTC( Token Card,通用令牌卡)
GTC对应一个实际的设备,如银行给申请网银的用户一个动态口令牌,就是GTC方式
254
扩展验证方法( Types)
255
试验性用途( Use)
EAP 认证流程 认证者()发出/ 数据包,识别使用者身份。
/ 目的:启动交换程序外,同时告诉认证申请者()在身份认证完成前将会丢弃任何传输数据。认证申请者()要求用户输入识别码,然后以/数据包回复。当 确认 后,将发送认证验查数据包。
将发送一个/MD-5 (要求/MD-5 口令)数据包。如果 是以token card(标记卡)进行身份认证,不支持MD5质询法,它将回复/NAK数据包,建议以 Token Card作为认证机制。发送个/ Token Card 的口令,要求回复卡号( on the card)。 输入卡号,通过/ Token Card 回复。如果 的回复不正确,认证失败。一般认证失败超过3次才会回复消息,发送第二个/ Token Card的口令。 通过/ Token Card 回复正确的卡号。回复正确,发出(成功)消息。
EAP 认证方式 类型代码身份认证协议说明
13
EAP-TLS
通过凭证交换来进行相互认证,建立一条可信赖的管道
21
EAP-TTLS
TTLS 管道式( TLS,TTLS),以TLS 加密保护较脆弱的身份认证方式
25
EAP-PEAP
防护型EAP( EAP,PEAP),首先使用建立起TLS 管道,认证服务器会验证网络的信赖性,其他身份认证协议在TLS 管道上进行加密传输
第一个步骤称为外层身份认证,第一个步骤称为内层身份认证
类型代码身份认证协议说明
MD-5
身份认证要求中包含了发给的口令,只要能够成功回应挑战,就证明它拥有共享密钥
Token Card
身份认证要求中包含了 Token Card 信息,在回复信息中,Type-Data 字段用来携带复制自token card 的信息
13
EAP-SIM
使用移动电话的SIM 卡进行身份认证
23
EAP-AKA
第三代移动电话网络上使用的身份认证系统, and Key ,AKA
29
EAP--V2
的密码身份认证方式,通常作为内层身份认证方式,并搭配PEAP 一起使用
身份认证协议说明
密码身份认证协议(PAP)
PAP 以未经加密的方式在网络上传递名称与密码
PAP 只能作为TTLS 里的内层认证方式,以确保不致泄露密码
挑战磋商身份认证协议(CHAP)
使用CHAP 进行身份认证时,首先会发出口令信息给
只要能够成功回应挑战信息,就可以证明它的确握有共享密钥
MS-CHAP-V1
MS-CHAP 由 所设计,用来提供类似CHAP 的功能,但是针对 过程系统提供加强型的功能
MS-CHAP 并不是EAP ,只有TTLS 才支持。