文档介绍:IEEE
第八组
主讲:汤砚晗
Contents
IEEE
1
2
3
应用举例:
4
前沿及总结
5
术语解释
RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统,可以简单将其理解成一个存储有用户的用户名密码的服务器,能够对一些查询进行响应,从而得知用户是否合法【RFC2865】【RFC2866】
EAP:Extentional Authentication Protocol,可扩展的认证协议,这是一个能够为没有接入网络的设备提供认证及网络接入的服务,工作于OSI七层模型中的数据链路层。之所以称其为“可扩展的”,是因为协议只是规定了一个框架,允许企业根据实际需要自行定制,但是它要求企业自己的标准符合IEEE标准中对于安全性的要求【RFC3748】
EAPOL:EAP Over LAN,能够在局域网上传输EAP报文的协议
DOS:Denial Of Service,拒绝服务攻击。这是一个很广泛的概念,通常认为使服务不能正常完成的攻击都是DOS,譬如一群流氓要使一位客户不能在餐馆正常吃饭,那么他们可以伪装成老板告诉客户餐馆打烊,踢馆让餐馆瘫痪,伪装成老板收钱,阻止服务员上菜,等等,都可以成为拒绝服务攻击。
【2001】。它能够提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
,又称EAPOE认证,因为这个协议依赖于EAP实现
通常,、、EAP协议都可以认为是同一个意思
:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备,譬如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入的设备,譬如以太网交换机或者无线接入点;认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。
在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口:受控端口和非受控端口,非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。这种方式可以通过某些方法实现,譬如防火墙。
请求方与认证方之间通过EAPOL传递EAP报文,EAPOL报文在认证方那里封装成EAP报文送往认证服务器,所以认证方与认证服务器之间传送的则是真正的EAP报文,EAP报文这时可以被进一步通过其它报文封装,譬如TCP/UDP,以穿过复杂的网络环境
请求方
认证方
认证服务器
2.
,请求方与认证方之间传送的是EAPOL报文,认证方与认证服务器之间传送的是EAP报文,在此先介绍EAP及EAPOL报文
EAPOL报文格式
以上封装从以太网帧结构的type/length字段之后开始。Type字段固定为0x888E,
目前协议版本为1。定义的packet type有如下几种:
Ø Type=0 EAP-packer:认证信息帧,用于承载认证信息;
Ø Type=1 EAPOL-Start:认证发起帧,由客户端主动发起的;
Ø Type=2 EAPOL-logoff:推出请求帧,主动终止已认证状态;
Ø Type=3 EAPOL-key:密钥信息帧,支持对EAP报文的加密;
Packet body length和packet body则由packet type决定。
EAP报文格式
code:为一个字节,表示EAP数据包的类型,它有四个取值:
Code=1————→Request
Code=2 ————→Response
Code=3 ————→ess
Code=4 ————→Failure
(2)IDENTIFIER:为一个字节,它是一种ID标识,相当于TCP中的序号字段.
(3)LENGTH:为两个字节,,Identifier,Length以及Data等各域。
超出Length域范围的字节视为数据链路层填充(padding),在接收时被忽略掉。
(4)DATA:为0个或者多个字节,Data域的内容随着消息的不同而不同。ess和failure消息没有data字段,,data域由type和type-data两部分组成。
E