EAP-SIM技術(shù)手冊_第1頁
EAP-SIM技術(shù)手冊_第2頁
EAP-SIM技術(shù)手冊_第3頁
EAP-SIM技術(shù)手冊_第4頁
EAP-SIM技術(shù)手冊_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、EAP-SIM技術(shù)手冊一基本概念1.EAP-SIM的定義EAP-SIM是采用GSM-SIM卡作為EAP認(rèn)證和密匙分發(fā)的機(jī)制。它是基于GSM,即全球移動通訊系統(tǒng)(Global System for Mobile Communication)認(rèn)證的基礎(chǔ)上產(chǎn)生的。由于GSM認(rèn)證缺少雙向認(rèn)證,只是服務(wù)器端認(rèn)證了用戶端;而且,會話密鑰Kc只有64位,密鑰長度太短,沒有足夠的強(qiáng)度抵抗暴力攻擊。所以,EAP-SIM才應(yīng)運(yùn)而生。EAP-SIM提供了雙向認(rèn)證,即服務(wù)器端認(rèn)證客戶端,客戶端也認(rèn)證服務(wù)器端,只有雙向認(rèn)證通過之后,服務(wù)器端才發(fā)送 EAP-Success消息至客戶端,客戶端才可以接入網(wǎng)絡(luò)。同時,EAP-

2、SIM 認(rèn)證機(jī)制還通過多次挑戰(zhàn)響應(yīng)機(jī)制,生成更強(qiáng)的會話密鑰。2.EAP-SIM的協(xié)議包格式CodeIdentifierLengthTypeSubtypeReservedAttribute Field在上表中表示EAP-SIM 協(xié)議包的格式。Code域占據(jù)一個字節(jié),代表EAP 包類型,其中1代表request類型,2代表response類型,3代表success類型,4代表failure類型。Identifier 域占據(jù)一個字節(jié),指代數(shù)據(jù)包的標(biāo)識域,方便 request 包與response 包的匹配。Length域占據(jù)兩個字節(jié),標(biāo)識EAP包的總長度。Type域占據(jù)一個字節(jié),此處的值為18。Su

3、btype域占據(jù)一個字節(jié),標(biāo)識 EAP-SIM 子類型,其中10表示start類型,11表示challenge類型。Reserved域占據(jù)兩個字節(jié),為協(xié)議將來的擴(kuò)展,目前保留,值置為0。數(shù)據(jù)包隨后的字段為屬性域,根據(jù)包的類型不同,屬性域也有所不同。3.EAP-SIM的工作原理客戶端可以是手機(jī)或是具有SIM卡讀卡器的電腦。首先,客戶端通過安全隧道與支持802.1x的無線接入點(diǎn)(AP)取得聯(lián)系,而后通過WLAN AP連接到Radius服務(wù)器,Radius服務(wù)器支持EAP-SIM認(rèn)證協(xié)議,并且具有GSM/MAP/SS7的數(shù)據(jù)通道,通過此通道與存儲著用戶信息的HLR(Home Location Reg

4、ister,歸屬位置寄存器)進(jìn)行連接。從理論上講,在EAP-SIM的服務(wù)器端,需要有Radius服務(wù)器和HLR(歸屬位置寄存器),二者通過GSM/MAP/SS7的數(shù)據(jù)通道進(jìn)行連接。但在本手冊中,我們是將HLR和Radius服務(wù)器整合為一個整體,即HLR數(shù)據(jù)庫僅僅是Hostapd服務(wù)器中的一個文件hostapd.sim_db,在這個文件中存儲著要接入的用戶信息。本實(shí)驗(yàn)用到的EAP-SIM認(rèn)證結(jié)構(gòu)如下圖所示:4.EAP-SIM的認(rèn)證流程整個EAP-SIM的認(rèn)證流程如下所示: (1).客戶端發(fā)送 EAPOL_Start 幀,請求認(rèn)證接入; (2).WLAN AP發(fā)出請求幀,請求客戶端發(fā)送身份信息;

5、(3).客戶端響應(yīng)請求,將身份信息發(fā)送至 AP; (4).AP將客戶端身份信息重新封裝成 RADIUS Access-Request幀轉(zhuǎn)發(fā)至服務(wù)器端; (5).服務(wù)器驗(yàn)證客戶端身份,驗(yàn)證合法之后向用戶發(fā)送 EAP-Request/SIM/Start幀,封裝在RADIUS Access-Challenge幀中; (6).AP提取RADIUS Access-Challenge幀中的EAP-Request/SIM/Start 幀,轉(zhuǎn)發(fā)至客戶端; (7).客戶端響應(yīng)請求,將 EAP-Response/SIM/Start幀發(fā)送至AP; (8).AP將EAP-Response/SIM/Start幀重新封裝

6、成 RADIUS Access-Request幀,轉(zhuǎn)發(fā)至服務(wù)器端; (9).服務(wù)器根據(jù)客戶端響應(yīng)結(jié)果,回送 EAP-Request/SIM/Challenge 幀至AP,此幀封裝在RADIUS Access-Challenge幀中; (10).AP提取RADIUS Access-Challenge幀中的EAP-Request/SIM/Challenge 幀,轉(zhuǎn)發(fā)至客戶端; (11).客戶端響應(yīng)請求,將EAP-Response/SIM/Challenge幀發(fā)送至AP; (12).AP將EAP-Response/SIM/Challenge幀重新封裝成RADIUS Access-Request幀,轉(zhuǎn)

7、發(fā)至服務(wù)器端; (13).服務(wù)器端認(rèn)證成功,將EAP-Success幀封裝在RADIUS Access-Accept 幀中,發(fā)送至AP; (14).AP提取RADIUS Access-Accept幀中的EAP-Success幀,轉(zhuǎn)發(fā)至客戶端.EAP-SIM 雙向認(rèn)證結(jié)束,認(rèn)證成功。二實(shí)驗(yàn)部分1.搭建EAP-SIM測試環(huán)境的需求清單1、一張sim卡。無特殊要求,現(xiàn)在通用的sim卡即可。2、一部支持EAP-SIM認(rèn)證的手機(jī)用作客戶端。例如華為的安卓手機(jī)T8830。售價在800元左右?;蛘呷A為的安卓手機(jī)Ascend G305T,已通過四川現(xiàn)網(wǎng)測試,具備真正EAP-SIM商用能力。 售價大概在600元

8、左右。3、一款支持802.1X協(xié)議的無線路由器。目前市面上大部分TP-LINK的路由器均支持。4、認(rèn)證服務(wù)器。Linux系統(tǒng)下的hostapd或者freeradius服務(wù)器均可。Hostapd配置比較簡單,容易上手。Freeradius服務(wù)器配置難度大,但是功能更強(qiáng)。2.配置路由器進(jìn)入路由器的設(shè)置界面。配置如下:認(rèn)證類型使用WPA2。因?yàn)镋AP-SIM認(rèn)證類型是WPA2認(rèn)證類型的其中一種。加密算法采用AES。Radius服務(wù)器IP:設(shè)置成radius服務(wù)器所在電腦的IP。Radius端口:設(shè)置成1812。Radius密碼:這是radius服務(wù)器和路由器之間進(jìn)行通信的密碼。3.radius服務(wù)器

9、的安裝使用開源軟件hostapd來搭建radius服務(wù)器。1、在hostapd的官方網(wǎng)站http:/w1.fi/hostapd/獲取hostapd的壓縮包。2、將獲取到的包解壓,進(jìn)入hostapd。 在終端輸入命令: tar xzvf hostapd-x.y.z.tar.gz  cd hostapd-x.y.z/hostapd  3、復(fù)制配置文件在終端輸入命令: cp defconfig .config4、配置.config文件選取以下配置:CONFIG_DRIVER_WIRED=yCONFIG_DRIVER_NONE=yCONFIG_EAP=yCONFIG_EAP_MD5

10、=yCONFIG_EAP_TLS=yCONFIG_EAP_MSCHAPV2=yCONFIG_EAP_PEAP=yCONFIG_EAP_GTC=yCONFIG_EAP_TTLS=yCONFIG_EAP_SIM=yCONFIG_EAP_AKA=yCONFIG_EAP_PAX=yCONFIG_EAP_PSK=yCONFIG_EAP_SAKE=yCONFIG_EAP_GPSK=yCONFIG_EAP_GPSK_SHA256=yCONFIG_EAP_IKEV2=yCONFIG_EAP_TNC=yCONFIG_PKCS12=yCONFIG_RADIUS_SERVER=y這里需要注意幾點(diǎn):1) 這里我僅僅把

11、hostapd作為一個radius server使用,因此.config文件的其它部分都注釋掉。2) 編譯過程中可能會出現(xiàn)缺乏openssl文件等錯誤,需要下載編譯安裝openssl。5、在終端輸入命令make、make install,hostapd安裝成功。4.radius服務(wù)器的配置1、啟動radius服務(wù)器前需要先對配置文件hostapd.conf進(jìn)行配置。在安裝目錄下找到hostapd.conf文件,進(jìn)行配置。主要配置以下內(nèi)容:interface=eth0 eap_server=1eap_user_file=/home/yang/hostapd.eap_usereap_sim_db=

12、unix:/tmp/hlr_auc_gw.sockown_ip_addr=53 #用于配置路由器的IPauth_server_addr= #radius服務(wù)器的地址auth_server_port=1812 #radius服務(wù)器的端口auth_server_shared_secret=secretradius_server_clients=/home/yang/hostapd.radius_clients #配置客戶端的文件路徑radius_server_auth_port=1812 2、配置hostapd.eap_user將安裝目錄下的范例文件host

13、apd.eap_user直接拷來用即可。3、配置hostapd.radius_clients允許IP為53的無線路由器使用這個radius服務(wù)器,共享密碼為yangrenjie:53 yangrenjie5.編譯安裝hlr_auc_gw程序hlr_auc_gw程序用于radius認(rèn)證服務(wù)器和hlr的連接。同時可以監(jiān)聽客戶端發(fā)來的請求。在安裝目錄下找到hlr_auc_gw.c文件,在終端輸入make、make install,編譯并安裝。6.模擬測試1、在手機(jī)端用hellosim.apk這個軟件讀出sim卡的IMIS、Kc、SRES、Rand這個四個值。將這四個值以一定的格式寫入到hostapd安裝目錄下的hostapd.sim_db這個文件中。此文件相當(dāng)于HLR。2、在hostapd安裝目錄下,啟動終端。輸入命令:sudo ./hlr_auc_gw g hostapd.sim_db該命令用于服務(wù)器和hlr連接,并監(jiān)聽客戶端的請求。3、啟動另一個終端。輸入命令:sudo hosta

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論