[[amres_cbp_wiki:bpd_106_dodatakc_eap-ttls]]
You are here: start » amres_cbp_wiki » bpd_106_dodatakc_eap-ttls
Show pagesourceOld revisions PDF ExportExport to PDF
Recent changes

AMRES CBP wiki

This is an old revision of the document!

Table of Contents

EAP-TTLS protokol

EAP (Extensible Authentication Protocol) predstavlja framework protokol za autentifikaciju u okviru 802.1x standarda. EAP poruke se prenose po sloju iznad MAC sloja protokola PPP, Ethernet, Token Ring ili 802.11 wireless protokola. U EAP poruke pakuju se paketi protokola za autentifikaciju: TLS, TTLS ili PEAP.

Razmena poruka između klijent i server strane prilikom autentifikacije korišćenjem EAP-TTLS protokola na wireless mreži je prikazan na slici C.1.

Slika EAP-TTLS

Slika C.1 Razmena poruka EAP-TTLS


  1. Klijent zahteva asocijaciju na pristupnu tačku (AP - access point), čime želi da alocira resurse i da se sinhronizuje sa AP-om. U toj poruci šalje informacije o svojoj NIC (Network Interface Card) kartici (protoke koje ona podržava) i SSID (Service Set Identifier) mreže na koju želi da se poveže.
  2. AP odgovara Association Response porukom u kojoj prihvata ili odbija zahtev za asocijacijom. Ako odluči da prihvati zahtev, AP alocira memorijski prostor i generiše Association ID, koji prosleđuje u poruci.
  3. Klijent šalje prvu EAP poruku, odnosno zahtev, čime počinje EAP-TTLS autentifikacija.
  4. AP zaheva podatke o identitetu klijenta.
  5. Klijent šalje svoje kredencijale u odgovoru na prethodu poruku, ali ne šalje svoj pravi identitet, jer je veza sa AP još nezaštićena, tj. na njoj se ne koristi nikakva enkripcija za zaštitu podataka. Klijent šalje samo svoj tzv. spoljni (outer) identitet koji je obično u formi autonomous@ream. Dakle, ne šalje svoje pravo korisničko ime.
  6. AP preuzima klijentovu EAP poruku, enkapsulira je u RADIUS protokol i prosleđuje serveru za autentifikaciju.
  • Server šalje klijentu zahtev za identitetom i lozinkom, i uz to svoj sertifikat koji sadrži javni ključ servera i hash samog sertifikata kriptovan javnim ključem CA-a.
  • AP dekapsulira EAP poruku iz RADIUS-a i enkapsulira je u 802.11 protokol i posleđuje ka klijentu.
  • Klijent proverava identitet servera na sledeći način:
    1. klijent prvobitno sadrži javni ključ CA-a (koji je predefinisan u okviru softvera Supplicant na klijentu);
    2. klijent dekriptuje digitalni potpis sertifikata javnim ključem CA-a i dobija hash sertifikata;
    3. serverov sertifikat se zatim ubacuje u hash funkciju koja je navedena u sertifikatu i izlaz iz funkcije se upoređuje sa hash-om dobijenim dekriptovanjem digitalnog potpisa u okviru serverskog sertifikata;
    4. ako su ta dva hash-a jednaka, klijent može da veruje serveru i da koristi njegov javni kluč da kriptuje svoje kredencijale;

      ako je ishod prethodnog postupka pozitivan, klijent kriptuje svoje kredencijale (identitet i lozinku) koristeći javni kluč servera, na taj način praveći tunel između njega i servera.
  • Server dekriptuje poruku svojim privatnim ključem i proverava kredencijale korisnika u bazi podataka.
  • Ako je autentifikacija uspešna, server šalje Access accept poruku ka klijentu.
  • AP prosleđuje poruku o uspešnoj autentifikaciji ka klijentu i proces je završen.
amres_cbp_wiki/bpd_106_dodatakc_eap-ttls.1305485829.txt.gz · Last modified: 2011/05/15 20:57 by mara
Show pagesourceOld revisions
Back to top
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0