锐捷无线802.1x认证原理
一、简述
由于PEAP 已经在无线认证领域被广泛支持,锐捷网络也依据协议标准实现了自己的PEAP 认证协议。锐捷网络所实现的无线环境下的PEAP 协议基于RFC PEAPv0 草案。为了方便网络的管理及维护,锐捷网络在标准PEAP 的基础上还设计了一些补充协议,这些补充协议虽然是私有协议,但并未破坏PEAP 原有标准架构。锐捷网络所实现的PEAP 协议工作在如下网络拓扑环境中,为用户的无线准入提供空中通路授权。
锐捷网络PEAP 协议构建的TLS 安全通道内运行的认证协议为EAP-MS-CHAP v2(无线802.1x认证使用),不同的是锐捷网络在EAP-MS-CHAP v2标准协议中增加了一些私有属性信息,这些私有属性信息的增加是在标准允许范围内进行的,不会破坏标准协议架构。所增加的这些私有属性信息最终会应用于客户端与“SAM第三方兼容性组件”的通讯过程中,主要用于锐捷私有协议报文的加密解密。这些私有属性包括加密密钥、加密初始化向量、通讯IP 以及通讯端口等属性。
补充:
1、报文交互解析
锐捷网络实现的无线PEAP协议交互过程和标准PEAP交互过程大体一致。但锐捷网络在无线PEAP认证过程中新增的客户端同Radius服务器的交互过程,这个交互过程被称为“锐捷补充协议”。
2、锐捷补充协议
锐捷补充协议是锐捷认证客户端同“SAM第三方兼容性组件”进行通讯的报文。那么什么是锐捷“SAM第三方兼容性组件”呢?这个组件又用来做什么呢?
“SAM第三方兼容性组件”是一台独立部署的服务器,其存在的核心目的是隔离认证用户同SAM服务器的直接通讯,保障SAM服务器的安全,避免和减少认证用户SAM服务器进行有意和无意的攻击。该服务器会将认证客户端发送过来的锐捷私有协议解析成SAM能够理解的报文形式并最终传递给SAM,SAM将回应信息传递给“SAM第三方兼容性组件”,该组件服务器会将信息封装并加密成认证客户端可识别的格式,最终通过UDP报文发送给客户端。
锐捷补充协议实现了如下功能:
1、管理员发送实时文字信息给认证用户,用于对指定用户的信息通告;
2、管理员踢指定用户下线;
3、客户端定期发送保活心跳报文给认证服务器,表明客户端依然在线;
4、客户端所在PC 的IP地址等参数信息上传。
该协议的源端口和目的端口可以在SAM上进行配置,在认证时(EAP-MS-CHAPv2报文中)下发给客户端,客户端完成认证后开始监听来自此端口的数据。这些UDP报文内的数据均被加密,通过抓包无法捕捉到有实际含义的数据。该协议默认使用UDP53(SAM服务端监听)端口和UDP138(客户端监听)端口,也可以根据实际情况进行变更。