[[amres_cbp_wiki:bpd_106_dodatakc_eap-ttls]]
You are here: start » amres_cbp_wiki » bpd_106_dodatakc_eap-ttls
Show pagesourceOld revisions PDF ExportExport to PDF
Recent changes

AMRES CBP wiki

This is an old revision of the document!

Table of Contents

EAP-TTLS protokol

EAP (Extensible Authentication Protocol) predstavlja framework protokol za proces autentifikacije u okviru 802.1x standarda. EAP poruke se prenose iznad MAC sloja PPP, Ethernet, Token Ring ili 802.11 Wireless protokola. One nose pakete protokola za autentifikaciju: TLS, TTLS ili PEAP. Tok poruka između klijenta i servera prilikom autentifikacije korišćenjem EAP-TTLS protokola preko Wireless mreže je prikazan na slici 1.

Slika 1. EAP-TTLS

  • Klijent access point-u šalje zahtev za asocijacijom, čime želi da alocira resurse i da se sinhroniše sa AP-om, u toj poruci se prenose informacije o NIC kartici klijenta (koje protoke podržava) i SSID-u mreže na koju želi da se poveže.
  • AP šalje Association Response poruku u kojoj se nalazi prihvatanje ili odbijanje zahteva za asocijacijom. Ako odluči da prihvati zahtev, AP alocira memorijski prostor i generiše Association ID koji se prosleđuje u poruci.
  • Klijent šalje prvu EAP poruku kao zahtev za početkom EAP-TTLS autentifikacije.
  • AP šalje zahev za identitetom klijenta.
  • Klijent šalje svoje kredencijale kao odgovor na prethodu poruku, ali ne šalje svoj pravi identitet jer konekcija nije joše zaštićena, tj ne koristi se nikakva enkripcija. Klijent šalje svoj tzv. spoljni (outer) identitet koji je obično u formi autonomous@ream, dakle ne šalje svoje pravo korisničko ime.
  • AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje serveru za autentifikaciju.
  • Server šalje klijentu zahtev za identitetom i lozinkom, i uz to svoj sertifikat koji sadrži javni ključ servera i hash samog sertifikata kriptovan javnim ključem CA-a.
  • AP dekapsulira EAP poruku iz RADIUS-a i enkapsulira je u 802.11 protokol i posleđuje ka klijentu.
  • Klijent proverava identitet servera na sledeći način:
    1. klijent prvobitno sadrži javni ključ CA-a (koji je predefinisan u okviru softvera Supplicant na klijentu);
    2. klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija hash sertifikata;
    3. serverov sertifikat se zatim ubacuje u hash funkciju koja je navedena u sertifikatu i izlaz iz funkcije se upoređuje sa hash-om dobijenim dekriptovanjem digitalnog potpisa u okviru serverskog sertifikata;
    4. ako su ta dva hash-a jednaka, klijent može da veruje serveru i da koristi njegov javni kluč da kriptuje svoje kredencijale;

      ako je ishod prethodnog postupka pozitivan, klijent kriptuje svoje kredencijale (identitet i lozinku) koristeći javni kluč servera, na taj način praveći tunel između njega i servera.
  • Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka.
  • Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu.
  • AP prosleđuje poruku o uspešnoj autentifikaciji ka klijentu i proces je završen.
amres_cbp_wiki/bpd_106_dodatakc_eap-ttls.1305062198.txt.gz · Last modified: 2011/05/10 23:16 by mara
Show pagesourceOld revisions
Back to top
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0