802.1x认证地eap协议(所有认证流程).docx

(总体流程)2010-07-2023:38:49|分类:网络技术|标签:|字号大中小订阅参考RFC3748Supplicant主机服务器------------------------|------------------------------>|主机向服务器(多播或广播地址)发送EAPOL-Start|-Start||||<------------------------------|要求验证身份的请求|-REQUEST-Identity||||------------------------------>|回应(用户名)-RESPONSE-Identity||||<------------------------------|要求验证密码的MD5校验值(随机加密字Challenge)|-REQUEST-MD5_Challenge||||------------------------------>|回应(使用Challenge加密口令)|-RESPONSE-MD5_Challenge||||<------------------------------|EAP-ess(判断正确性)|-ess|||在任何时候服务器发来EAP-Failure数据包,都表示整个认证过程终止。在以太网中,EAP协议当然也是通过以太网帧的格式来传送,帧类型为0x888e,在基于pcap的抓包程序中,可使用"etherproto0x888e"来抓取。-Header:(,局域网标准)#################################################051113##+----------------+----------------+--------+##|DST--MAC|SRC--MAC|0x888e|##+----------------+----------------+--------+#################################################EAP协议不仅可用于本文关注的以太网环境中,还可在无线WLAN、令牌环网中应用,而这些链路帧是各不相同的,这就是为什么有EAPOL类型的数据帧,用以抽象EAP协议报文。EAPOL-报文结构#############################################01415##+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+##|-Header|a|b|##+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+##17##+-+-+-------------##|c|PacketBody##+-+-+-------------#############################################a:EAPOL协议版本b:EAPOL报文类型c:EAPOL帧长度a类型说明:通常为常量0x01b类型取值:EAPOL-Packet:0x00//各种EAP协议的信息交互,封装在EAPOL-Packet类型的EAPOL报文内EAPOL-Start:0x01EAPOL-Logoff:0x02EAP-报文结构##########################################015##+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+##||##+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+##1718192122##+-+-+-+-+-+-+-+--------------##||d|e|f|g|EAPBody##+-+-+-+-+-+-+-+--------------##########################################d:EAP通信类型e:EAP通信idf:EAP数据长度g:EAP协商类型d类型取值:EAP-Request:0x01EAP-Resopnse:0x02EAP-ess:0x03EAP-Failure:0x04e类型说明:通常由服务器发来的报文指定,在连续的报文内使用这个id来协商或者计算MD5值的数据之一。g类型取值:ldentity:0x01MD5_Challenge:0x04注意EAPOL帧和EAP帧的两处长度位置,前者的长度是不算EAPOL头的4个字节的,而后者则包含自身头部的5个字节,所以这两个长度的值可能是一致的,但具体可能有扩展信息放在EAPOL帧尾部,则前者比后者大。下面是需要程序构建的数据包的大概细节:-Start、EAPOL-Logoff通常是比较简单的