eap

eap

百科解釋

目錄·輕量級的擴展認(rèn)證協(xié)議
·EAP-TLS
·EAP-MD5
·EAP-TTLS
·PEAP

輕量級的擴展認(rèn)證協(xié)議

輕量級的擴展認(rèn)證協(xié)議，或LEAP是一個由CISCO私人擁有的EAP。Cisco通過允許其他廠家生產(chǎn)基于EAP的項目來保護(hù)該協(xié)議。在任何的windows操作系統(tǒng)中不支持LEAP，但LEAP被第三方的用戶軟件支持。該協(xié)議由于其容易受到字典攻擊脆弱性,就象EAP-MD5，而在一開始便廣為人知。但直到2003年Joshua Wright發(fā)表了ASLEAP以后，人們才開始討論LEAP存在嚴(yán)重的安全問題。Cisco仍然認(rèn)為如果使用十分復(fù)雜的密碼，LEAP是安全的。但是在現(xiàn)實世界中人們幾乎不使用十分復(fù)雜的密碼，因為這對普通人來將是一件非常困難的事情。新的協(xié)議，諸如EAP-TTLS和PEAP，則沒有這些問題，因為他們給MSCHAPv2用戶認(rèn)證會話建立了一個安全的傳輸層安全（TLS）通道，而且可以運行在使用Cisco和不使用Cisco的接入點上。

EAP-TLS是IETF的一個開放標(biāo)準(zhǔn)，并且在無線廠商之間得到很好的支持。它能夠提供很好的安全保證。因為TLS被認(rèn)為是SSL的繼承者。它使用PKI來保護(hù)Radius認(rèn)證服務(wù)器的通信，這是很難完成的任務(wù)。所以即使EAP-TLS良好的安全，用戶端在認(rèn)證時的負(fù)載成為它的致命傷。 EAP-TLS是無線局域網(wǎng)擴展認(rèn)證協(xié)議的原始版本，雖然它因為配置困難而很少被使用，但它仍被認(rèn)為是最安全的EAP標(biāo)準(zhǔn)之一，而且廣泛地被無線局域網(wǎng)硬件和軟件制造廠商,包括微軟所支持。要求用戶方給出證書，雖然不是很流行，則是EAP－TLS在認(rèn)證方面的長處，而且即方便又安全。一個脆弱的密碼不會導(dǎo)致入侵基于EAP－TLS的系統(tǒng)，因為攻擊者仍然需要客戶端的證書。當(dāng)客戶端的證書是儲存在智能卡中時，EAP－TLS提供了最安全的認(rèn)證解決方案，因為如果不竊取智能卡時無法得到客戶端證書的。如果將智能卡偷竊的話則會立刻引起注意并且更換新卡。到2005年四月，EAP－TLS是唯一廠商需要保證的WPA和WPA2的EAP類型。在微軟，Cisco，Apple和Linux中都有實現(xiàn)客戶端和服務(wù)器端的源代碼。EAP-TLS在MAC OS 10.3（包括10.3以上）, Windows 2000 SP4, Windows XP, Windows Mobile 2003（包括2003以上）, 和Windows CE 4.2中被支持.

EAP-MD5是另一個IETF開放標(biāo)準(zhǔn)，但提供最少的安全。MD5Hash函數(shù)容易受到字典攻擊，它被使用在不支持動態(tài)WEP的EAP中。

EAP-TTLS是由Funk Software和Certicom合作開發(fā)的。它目前是IETF的開放標(biāo)準(zhǔn)草案。它可跨平臺支持，提供非常優(yōu)秀的安全，并且在認(rèn)證服務(wù)器上使用PKI證書。

PEAP由CISCO，微軟和RSA Security聯(lián)合提出的開放標(biāo)準(zhǔn)的建議。它早已被運用在產(chǎn)品中，而且提供很好的安全。它在設(shè)計上和EAP-TTLS相似，只需要一份服務(wù)器端的PKI證書來建立一個安全的傳輸層安全通道（TLS)以保護(hù)用戶認(rèn)證。到2005年5月，已有兩個PEAP的子類型被WPA和WPA2標(biāo)準(zhǔn)批準(zhǔn)。它們是：

PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC

通信詞典解釋