Export to PDFDifferences
This shows you the differences between two versions of the page.
|
amres_cbp_wiki:bpd_106_dodatakc_eap-ttls [2011/05/15 20:57] mara |
amres_cbp_wiki:bpd_106_dodatakc_eap-ttls [2011/05/15 21:10] (current) mara |
||
|---|---|---|---|
| Line 5: | Line 5: | ||
| Razmena poruka između klijent i server strane prilikom autentifikacije korišćenjem EAP-TTLS protokola na wireless mreži je prikazan na slici C.1. | Razmena poruka između klijent i server strane prilikom autentifikacije korišćenjem EAP-TTLS protokola na wireless mreži je prikazan na slici C.1. | ||
| + | |||
| {{:amres_cbp_wiki:interni_deo:sigurnost:2nd_bpd_images:slika_b.1_eap-ttls.jpg?400| Slika EAP-TTLS}} | {{:amres_cbp_wiki:interni_deo:sigurnost:2nd_bpd_images:slika_b.1_eap-ttls.jpg?400| Slika EAP-TTLS}} | ||
| Line 17: | Line 18: | ||
| - AP zaheva podatke o identitetu klijenta. | - AP zaheva podatke o identitetu klijenta. | ||
| - Klijent šalje svoje kredencijale u odgovoru na prethodu poruku, ali ne šalje svoj pravi identitet, jer je veza sa AP još nezaštićena, tj. na njoj se ne koristi nikakva enkripcija za zaštitu podataka. Klijent šalje samo svoj tzv. spoljni (//outer//) identitet koji je obično u formi //autonomous@ream//. Dakle, ne šalje svoje pravo korisničko ime. | - Klijent šalje svoje kredencijale u odgovoru na prethodu poruku, ali ne šalje svoj pravi identitet, jer je veza sa AP još nezaštićena, tj. na njoj se ne koristi nikakva enkripcija za zaštitu podataka. Klijent šalje samo svoj tzv. spoljni (//outer//) identitet koji je obično u formi //autonomous@ream//. Dakle, ne šalje svoje pravo korisničko ime. | ||
| - | - AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje serveru za autentifikaciju. | + | - AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje RADIUS serveru za autentifikaciju. |
| - | * Server šalje klijentu zahtev za identitetom i lozinkom, i uz to svoj sertifikat koji sadrži javni ključ servera i hash samog sertifikata kriptovan javnim ključem CA-a. | + | - Server vraća poruku u kojoj od klijenta zahteva informaciju o identitetu i lozinku, i u njoj svoj sertifikat, koji sadrži javni ključ servera i //hash// samog sertifikata kriptovan javnim ključem tela koje je izdalo sertifikat (CA – //Certification Authority//). |
| - | * AP dekapsulira EAP poruku iz RADIUS-a i enkapsulira je u 802.11 protokol i posleđuje ka klijentu. | + | - AP dekapsulira EAP poruku RADIUS servera, a zatim je enkapsulira u 802.11 protokol i posleđuje ka klijentu. |
| - | * Klijent proverava identitet servera na sledeći način: | + | - Klijent proverava identitet servera na sledeći način: |
| - | - klijent prvobitno sadrži javni ključ CA-a (koji je predefinisan u okviru softvera Supplicant na klijentu); | + | - uz predpostavku da klijent poseduje javni ključ CA-a (predefinisan u okviru //Supplicant// softvera instaliranog na klijentu), klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija //hash// sertifikata; |
| - | - klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija hash sertifikata; | + | - sertfikat servera se zatim ubacuje u //hash// funkciju koja je navedena u sertifikatu, a rezultat se upoređuje sa //hash//-om dobijenim dekriptovanjem digitalnog potpisa iz njegovog serverskog sertifikata. Ako su ta dva //hash//-a jednaka, klijent može da veruje serveru i da njegovim javnim ključem kriptuje svoje kredencijale; |
| - | - serverov sertifikat se zatim ubacuje u hash funkciju koja je navedena u sertifikatu i izlaz iz funkcije se upoređuje sa hash-om dobijenim dekriptovanjem digitalnog potpisa u okviru serverskog sertifikata; | + | - ako je ishod prethodnog postupka pozitivan, klijent vrši kriptovanje svojih kredencijala (identiteta i lozinke) koristeći javni ključ servera, na taj način praveći tunel između njega i servera. |
| - | - ako su ta dva hash-a jednaka, klijent može da veruje serveru i da koristi njegov javni kluč da kriptuje svoje kredencijale; \\ \\ ako je ishod prethodnog postupka pozitivan, klijent kriptuje svoje kredencijale (identitet i lozinku) koristeći javni kluč servera, na taj način praveći tunel između njega i servera. | + | - Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka. Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu. |
| + | - AP prosleđuje poruku klijentu o uspešnoj autentifikaciji, čime je proces završen. | ||
| - | * Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka. | ||
| - | * Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu. | ||
| - | * AP prosleđuje poruku o uspešnoj autentifikaciji ka klijentu i proces je završen. | ||
