eap

目錄
·輕量級(jí)的擴(kuò)展認(rèn)證協(xié)議
·EAP-TLS
·EAP-MD5
·EAP-TTLS
·PEAP





   擴(kuò)展認(rèn)證協(xié)議（EAP），是一個(gè)普遍使用的認(rèn)證機(jī)制，它常被用于無(wú)線網(wǎng)絡(luò)或點(diǎn)到點(diǎn)的連接中。EAP不僅可以用于無(wú)線局域網(wǎng)，而且可以用于有線局域網(wǎng)，但它在無(wú)線局域網(wǎng)中使用的更頻繁。最近，WPA和WPA2標(biāo)準(zhǔn)已經(jīng)正式采納了5類(lèi)EAP作為正式的認(rèn)證機(jī)制。 EAP是一個(gè)認(rèn)證框架，不是一個(gè)特殊的認(rèn)證機(jī)制。EAP提供一些公共的功能，并且允許協(xié)商所希望的認(rèn)證機(jī)制。這些機(jī)制被叫做EAP方法，現(xiàn)在大約有40種不同的方法。IETF的RFC中定義的方法包括：EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 還包括一些廠商提供的方法和新的建議。無(wú)線網(wǎng)絡(luò)中常用的方法包括EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP,和EAP-TTLS. 當(dāng)EAP被基于802.1x的網(wǎng)絡(luò)接入設(shè)備（諸如802.11a/b/g ，無(wú)線接入點(diǎn)）調(diào)用時(shí)，現(xiàn)代的EAP方法可以提供一個(gè)安全認(rèn)證機(jī)制，并且在用戶和網(wǎng)絡(luò)接入服務(wù)器之間協(xié)商一個(gè)安全的PMK。該P(yáng)MK可以用于使用TKIP和AES加密的無(wú)線會(huì)話。




輕量級(jí)的擴(kuò)展認(rèn)證協(xié)議

輕量級(jí)的擴(kuò)展認(rèn)證協(xié)議，或LEAP是一個(gè)由CISCO私人擁有的EAP。Cisco通過(guò)允許其他廠家生產(chǎn)基于EAP的項(xiàng)目來(lái)保護(hù)該協(xié)議。在任何的windows操作系統(tǒng)中不支持LEAP，但LEAP被第三方的用戶軟件支持。該協(xié)議由于其容易受到字典攻擊脆弱性,就象EAP-MD5，而在一開(kāi)始便廣為人知。但直到2003年Joshua Wright發(fā)表了ASLEAP以后，人們才開(kāi)始討論LEAP存在嚴(yán)重的安全問(wèn)題。Cisco仍然認(rèn)為如果使用十分復(fù)雜的密碼，LEAP是安全的。但是在現(xiàn)實(shí)世界中人們幾乎不使用十分復(fù)雜的密碼，因?yàn)檫@對(duì)普通人來(lái)將是一件非常困難的事情。新的協(xié)議，諸如EAP-TTLS和PEAP，則沒(méi)有這些問(wèn)題，因?yàn)樗麄兘oMSCHAPv2用戶認(rèn)證會(huì)話建立了一個(gè)安全的傳輸層安全（TLS）通道，而且可以運(yùn)行在使用Cisco和不使用Cisco的接入點(diǎn)上。


EAP-TLS

EAP-TLS是IETF的一個(gè)開(kāi)放標(biāo)準(zhǔn)，并且在無(wú)線廠商之間得到很好的支持。它能夠提供很好的安全保證。因?yàn)門(mén)LS被認(rèn)為是SSL的繼承者。它使用PKI來(lái)保護(hù)Radius認(rèn)證服務(wù)器的通信，這是很難完成的任務(wù)。所以即使EAP-TLS良好的安全，用戶端在認(rèn)證時(shí)的負(fù)載成為它的致命傷。 EAP-TLS是無(wú)線局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議的原始版本，雖然它因?yàn)榕渲美щy而很少被使用，但它仍被認(rèn)為是最安全的EAP標(biāo)準(zhǔn)之一，而且廣泛地被無(wú)線局域網(wǎng)硬件和軟件制造廠商,包括微軟所支持。要求用戶方給出證書(shū)，雖然不是很流行，則是EAP－TLS在認(rèn)證方面的長(zhǎng)處，而且即方便又安全。一個(gè)脆弱的密碼不會(huì)導(dǎo)致入侵基于EAP－TLS的系統(tǒng)，因?yàn)楣�擊者仍然需要客戶端的證書(shū)。當(dāng)客戶端的證書(shū)是儲(chǔ)存在智能卡中時(shí)，EAP－TLS提供了最安全的認(rèn)證解決方案，因?yàn)槿绻�不竊取智能卡時(shí)無(wú)法得到客戶端證書(shū)的。如果將智能卡偷竊的話則會(huì)立刻引起注意并且更換新卡。到2005年四月，EAP－TLS是唯一廠商需要保證的WPA和WPA2的EAP類(lèi)型。在微軟，Cisco，Apple和Linux中都有實(shí)現(xiàn)客戶端和服務(wù)器端的源代碼。EAP-TLS在MAC OS 10.3（包括10.3以上）, Windows 2000 SP4, Windows XP, Windows Mobile 2003（包括2003以上）, 和Windows CE 4.2中被支持.


EAP-MD5

EAP-MD5是另一個(gè)IETF開(kāi)放標(biāo)準(zhǔn)，但提供最少的安全。MD5Hash函數(shù)容易受到字典攻擊，它被使用在不支持動(dòng)態(tài)WEP的EAP中。


EAP-TTLS

EAP-TTLS是由Funk Software和Certicom合作開(kāi)發(fā)的。它目前是IETF的開(kāi)放標(biāo)準(zhǔn)草案。它可跨平臺(tái)支持，提供非常優(yōu)秀的安全，并且在認(rèn)證服務(wù)器上使用PKI證書(shū)。


PEAP

PEAP由CISCO，微軟和RSA Security聯(lián)合提出的開(kāi)放標(biāo)準(zhǔn)的建議。它早已被運(yùn)用在產(chǎn)品中，而且提供很好的安全。它在設(shè)計(jì)上和EAP-TTLS相似，只需要一份服務(wù)器端的PKI證書(shū)來(lái)建立一個(gè)安全的傳輸層安全通道（TLS)以保護(hù)用戶認(rèn)證。 到2005年5月，已有兩個(gè)PEAP的子類(lèi)型被WPA和WPA2標(biāo)準(zhǔn)批準(zhǔn)。它們是：

PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC

• 通信詞典解釋