Android Wi-Fi EAP-SIM认证流程

1 IEEE802.1X 认证流程

IEEE802.1X 认证流程示意图

认证流程说明如下

1. 客户端首先发送 EAPOL_Start 报文,发起 IEEE802.1X 身份认证请求;

2. 认证系统接收到 EAPOL_Start 报文之后,向客户端发送 EAP_Request Identity 请求,要求客户端发送用户 Identity;

3. 客户端接收到 EAP_Request Identity 请求之后,认证系统发送 EAP_Response Identity报文,其中包含识别用户的 Identity;

4. 认证系统将 EAP_Response Identity 报文封装在 RADIUS 协议中,以 RADIUS Request报文形式转发给认证服务器;

5. 认证服务器根据选择认证方法与客户端进行进一步的认证交互,直至发送 RADIUS Accept 报文至认证系统;

6. 认证系统接收 RADIUS Accept 报文之后,解出此报文中的 EAP_Success 报文,转发给客户端,认证结束;

综上所述, IEEE802.1X 认证的关键是 EAP 认证框架, EAP 认证框架决定了 IEEE802.1X认证的安全性,而 EAP 认证框架的关键则在于 EAP 认证方法的选取。

2 EAP 认证框架

IEEE802.1X 标准中要求的 EAP 协议本身只是一个框架,不能作为真正的认证方法协议。在客户端与认证系统之间,EAP 协议是封装在 EAPOL(EAP Over LAN)协议中,EAPOL是 IEEE802.1X 中的标准协议。在本认证框架下,可以定义多种认证方法,以便提供认证过程中的信息安全。目前,EAP 认证框架支持多种认证方法,如 EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP 和 EAP-SIM 等,用户可以根据自己的安全需要,选择合适的认证方法。本论文主要讨论 EAP-SIM 认证方法。

3 EAP-SIM 协议认证流程

EAP-SIM 协议认证流程示意图

认证流程说明如下:

1. 客户端发送 EAPOL_Start 帧,请求认证接入;

2. WLAN AP 发出请求帧,请求客户端发送身份信息;

3. 客户端响应请求,将身份信息发送至 AP;

4. AP 将客户端身份信息重新封装成 RADIUS Access-Request 帧转发至服务器端;

5. 服务器验证客户端身份,验证合法之后向用户发送 EAP-Request/SIM/Start 帧, 封装在 RADIUS Access-Challenge 帧中;

6. AP 提取 RADIUS Access-Challenge 帧中的 EAP-Request/SIM/Start 帧,转发至客 户端;

7. 客户端响应请求,将 EAP-Response/SIM/Start 帧发送至 AP;

8. AP 将 EAP-Response/SIM/Start 帧重新封装成 RADIUS Access-Request 帧,转发 至服务器端;

9. 服务器根据客户端响应结果,回送 EAP-Request/SIM/Challenge 帧至 AP,此帧 封装在 RADIUS Access-Challenge 帧中;

10. AP 提取 RADIUS Access-Challenge 帧中的 EAP-Request/SIM/Challenge 帧,转发 至客户端;

11. 客户端响应请求,将 EAP-Response/SIM/Challenge 帧发送至 AP;

12. AP 将 EAP-Response/SIM/Challenge 帧重新封装成 RADIUS Access-Request 帧, 转发至服务器端;

13. 服务器端认证成功,将 EAP-Success 帧封装在 RADIUS Access-Accept 帧中,发 送至 AP;

14. AP 提取 RADIUS Access-Accept 帧中的 EAP-Success 帧,转发至客户端; EAP-SIM 双向认证结束,认证成功。