∙ EAP 协议(可扩展认证协议)
∙ EAP-TLS
∙ PEAP-MSCHAPv2
∙ PEAP-TLS
EAP 协议概述
可扩展认证协议(Extensible Authentication Protocol, EAP),是一个普遍使用的认证框架,它常被用于无线网络或 PPP 连接的认证中。EAP 不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。 EAP 是一个认证框架,而不是一个固定的认证机制。EAP 提供一些公共的功能,并且允许协商真正的认证机制。这些机制被叫做 EAP 方法,现在大约有40种不同的 EAP 方法。常见的 EAP 方法有:EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-PEAP, EAP-SIM 等。
虽然 EAP 提供了很强的扩展性,但是取决于不同的 EAP 方法,EAP 消息可能以明文的方式发送。攻击者如果能访问传输介质,则可以监听EAP报文消息,甚至可以伪造,修改协议报文。这个问题在无线网络中尤为突出。因此并不是所有 EAP 方法都适合无线网络认证。
无线网络最常使用的认证方法为:EAP-TLS ,PEAP-MSCHAPv2。
EAP-RADIUS(RADIUS 中继)
EAP-RADIUS 并不是一种真正的认证方法,而是指无线接入点(AP),把无线客户端的 EAP 报文,以中继方式转发到外部 RADIUS 认证服务器中,由 RADIUS 服务器完成真正的认证过程。 EAP-TLS
甲壳胺
概述
EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。TL
S 协议也是 HTTPS 协议的核心。因此 EAP-TLS 可以视为与 HTTPS 协议同等的安全性。
EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份,并在无线客户端及认证服务器间安全地协商和传输加密密钥,以保证无线数据传输的机密性及完整性。 EAP-TLS 提供了目前为止,无线网络中,最安全的认证方法。由于所有客户端都需要部署证书,因此缺点是部署难度及复杂性相对比较高。
PEAP-MSCHAPv2
PEAP 概述
虽然 EAP 提供了很强的扩展性,但是取决于不同的 EAP 方法,EAP 消息可能以明文的方式发送。攻击者如果能访问传输介质,则可以监听 EAP 报文消息,甚至可以伪造,修改协议报文。这个问题在无线网络中尤为突出。
受保护的 EAP(Protected EAP),简称 PEAP,是一种 EAP 方法,通过创建一个 TLS
加密隧道的方式,提供了认证过程数据的机密性及完整性。与 EAP-TLS 不同的是,PEAP 创建的 TLS 隧道,只要求使用服务器证书,并不要求客户端证书。因此只能完成客户端对服务端的验证,无法完成对客户端的身份验证。
为了执行客户端身份验证,PEAP 创建 TLS 隧道后,会在 TLS 隧道内,再协商另外一个 EAP 认证方法,我们称之为内层认证方法,或者第 2 阶段认证方法。与 PEAP 一起使用的内层认证方法,最常见的是 EAP-MSCHAPv2。结合使用后的 EAP 方法,称之为:PEAP-MSCHAPv2
EAP-MSCHAPv2 概述
EAP-MSCHAPv2 是基于密码的认证方法,最初是由微软设计用于为拨号及 VPN 连接提供更安全的认证方法。虽然 EAP-MSCHAPv2 提供了更安全的认证方法,但存在的安全弱点是,如果攻击者能监听 EAP 报文,则可以通过离线的字典攻击,分析用户的密码。
PEAP-MSCHAPv2
把 EAP-MSCHAPv2 跟 PEAP 结合一起使用,得益于 PEAP 内部创建的 TLS 隧道所提供
的健壮安全性,EAP-MSCHAPv2 的交互过程可以得到加密保护,从而防止了攻击者通过离线字典攻击方式来分析用户密码的安全弱点。
PEAP-MSCHAPv2 协议,由 2 个阶段组成:
∙ 阶段 1,PEAP
首先协商 PEAP 协议,创建一个只使用服务器证书的 TLS 隧道。在这个阶段中,客户端可以选择验证服务器证书,并检查服务器端证书的主题、颁发者等证书信息,完成对服务器证书的认证,避免连接到一个由攻击者创建的,名称相同的无线网络中导致的安全风险。
∙ 阶段 2,EAP-MSCHAPv2
在 PEAP 协议的 TLS 隧道内部,协商另外一个 EAP 方法,这里为:EAP-MSCHAPv2。在这一步中,客户端需要提供用户名及密码凭据,以完成对客户端的身份验证。
完成认证后,RADIUS 服务器,会为每个客户端生成不同的会话密钥,接入点使用此会话密钥,加密无线客户端与接入点间传输的无线报文。
ntvdm cpu遇到无效指令
PEAP-MSCHAPv2 具备良好的安全性,并获得 RADIUS 服务器及操作系统的广泛支持,
是部署基于密码认证的企业无线网络首选的认证方式。
PEAP-TLS
现代园艺如果 PEAP 的内层认证方法(也称为第 2 阶段认证方法)使用 TLS 协议,则称之为:PEAP-TLS,微软的 Windows Server 2003 IAS、Windows Server 2008 NPS 服务,Windows 客户端都支持此协议。
PEAP-TLS 与 EAP-TLS 的安全性及使用方法相似,都要求服务器及客户端使用证书。但由于 PEAP-TLS 没有像 EAP-TLS 一样,获得广泛的平台支持。例如 Android、iOS(iPhone/iPad)、MAC OS X平台都支持 EAP-TLS,但不支持 PEAP-TLS。因此在实际使用中,很少使用。
与 PEAP-MSCHAPv2 协议一样,PEAP-TLS也由2个阶段组成:
鄢礼华∙ 阶段 1,PEAP
首先协商 PEAP 协议,创建一个只使用服务器证书的 TLS 隧道。在这个阶段中,客户端可以选择验证服务器证书,并检查服务器端证书的主题、颁发者等证书信息,完成对服务器
证书的认证,避免连接到一个由攻击者创建的,名称相同的无线网络中导致的安全风险。
∙ 阶段 2,EAP-TLS苗建中
在 PEAP 协议的 TLS 隧道内部,协商另外一个 EAP 方法,这里为 EAP-TLS。在此步骤中,服务器及客户端都需要提供证书,向对方证明身份。
∙