EAP-TTLS (Tunneled Transport Layer Security)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 16:12, 22 июня 2016.

EAP-TTLS представляет собой метод EAP (Extensible Authentication Protocol), который инкапсулирует сеанс TLS (Transport Layer Security), состоящий из фазы рукопожатия и фазы данных. Во время фазы рукопожатия, сервер проходит проверку подлинности клиента (или и клиент, и сервер - взаимная проверка подлинности) с использованием стандартных процедур TLS, и ключевой материал генерируется для того, чтобы создать криптографически защищенный туннель для обмена информацией в последующей фазе данных. В течение фазы данных, клиент проходит аутентификацию на сервере (или и клиент, и сервер взаимно аутентифицируются) с использованием произвольного механизма аутентификации, инкапсулированного в защищенный туннель. Инкапсулированный механизм аутентификации может сам по себе быть EAP, или это могут быть другие протоколы аутентификации, такие как PAP, CHAP, MS-CHAP или MS- CHAP-V2. Таким образом, EAP-TTLS позволяет проводить проверку подлинности протоколов на парольной основе с уже существующими аутентификационными базами данных, в то время как обеспечивается защита этих протоколов от подслушивания, человек-в-середине и других атак. Фаза данных, кроме того, может быть использована для дополнительного, произвольного обмена данными.

Содержание

Протокол

EAP-TTLS (Tunneled Transport Layer Security) предназначен для обеспечения аутентификации, которая обеспечивает такую же стойкость, как EAP-TLS, но не требует, чтобы каждому пользователь был выдан сертификат. Вместо этого, сертификаты выдаются только серверам аутентификации. Аутентификация пользователя осуществляется с помощью пароля, но учетные данные и пароль транспортируются в надежно зашифрованном туннеле, установленном на основании сертификатов сервера.

  1. После того, как сервер аутентификации определит, что пользователь сделал запрос на аутентификацию, он отправляет свой сертификат системе пользователя.
    EAP TTLS-1.png
  2. Сертификат сервера аутентификации используется для установления туннеля между пользователем и сервером.
    EAP TTLS-2.png
  3. После того, как туннель установлен, учетные данные могут безопасно быть переданы между сервером и пользователем, поскольку туннели шифруют все данные в защищенном режиме. Эта стадия называется внутренней аутентификации.
    EAP TTLS-3.png

При использовании EAP-TTLS, не нужно создавать новую инфраструктуру пользовательских сертификатов. Аутентификация пользователя выполняется с той же базы данных безопасности, которая уже используется в корпоративной локальной сети; например, SQL или баз данных LDAP, или символическими системами.

Маршрутизация запроса внутренней аутентификации обрабатывается либо с помощью стандартной маршрутизации запроса аутентификации Steel-Belted Radius Carrier или с помощью directed realm. Если EAP-TTLS туннель заканчивается на выделенном сервере, и необходимо, чтобы все внутренние запросы на проверку подлинности, которые должны выполняться другими серверами, использовали стандартную маршрутизацию запроса, то цель directed realm может быть определена стандартным способом (то есть, украшение имени пользователя, раскрываемого внутренней аутентификацией). Если EAP-TTLS туннель и внутренняя аутентификация обрабатываются одним и тем же сервером, можно использовать directed realm, чтобы определить, какие методы аутентификации управляют внутренней аутентификацией.

Ссылки