知識庫

常規：802.1x 身份驗證 EAP 類型

兩種最流行的 EAP 類型是用于用戶名和密碼身份驗證的 PEAP-MSCHAPv2 以及用于基于證書的身份驗證的 EAP-TLS。
擴展身份驗證協議 （EAP） 是一種身份驗證框架，不能與身份驗證機制
混淆。LRG2 支持的 EAP 類型包括：

基于證書的 EAP 類型：
 

EAP-TLS – 是使用 TLS（傳輸層安全性）協議的開放標準。它使用 PKI 來保護與 RADIUS 身份驗證服務器或其他類型的身份驗證服務器的通信。

PEAP-TLS – 與 EAP-TLS 非常相似，但稍微安全一些，因為 EAP-TLS 中未加密的證書部分在 PEAP-TLS 中加密。

TTLS-EAP-TLS –在 TLS 記錄中安全地通過隧道傳輸 EAP-TLS 證書。

用戶名和密碼 EAP 類型：

EAP-FAST –EAP-FAST（通過安全隧道進行靈活身份驗證）使用保護性接入憑證 （PAC） 建立 TLS 隧道，在該隧道中驗證客戶端憑據。EAP-FAST是思科對LEAP的替代品。

EAP-GTC – 攜帶來自身份驗證服務器的文本質詢，以及由安全令牌生成的回復。

EAP-MD5 – 與其他 EAP 方法的不同之處在于，它僅提供 EAP 對等體到 EAP 服務器的身份驗證，而不提供相互身份驗證。

EAP-MSCHAPv2 – 身份驗證過程，客戶端和 RADIUS 服務器都必須證明它們知道用戶的密碼，身份驗證才能成功。

PEAP（受保護的可擴展身份驗證協議） – 旨在通過現代 802.1x 環境提供優于 EAP 的更高安全性。在 PEAP 中，一旦 PEAP 服務器和 PEAP 客戶端建立 TLS 隧道，PEAP 服務器就會生成一個 EAP 標識請求，并將其向下傳輸到 TLS 隧道?？蛻舳送ㄟ^向加密隧道發送包含用戶真實身份的 EAP 身份響應來響應第二個 EAP 身份請求。這可以防止任何竊聽802.11流量的人發現用戶的真實身份。

PEAP-MD5 –允許 RADIUS 服務器通過驗證每個用戶密碼的 MD5 哈希來驗證 LAN 站。

PEAP-GTC –由 Cisco 創建，旨在通過受保護的通道提供與現有令牌卡和基于目錄的身份驗證系統的互操作性。

PEAP-MSChapV2 –是最常用的 PEAP 形式，僅次于 EAP-TLS。它使用MSCHAPv2，這意味著它可以對支持MSCHAPv2格式的數據庫進行身份驗證，包括Microsoft NT和Microsoft Active Directory。

TTLS（隧道傳輸層安全性） – 使用 TTLS，客戶端通常通過受 TLS 隧道保護的 PAP 或 CHAP 進行身份驗證。在這種情況下，客戶端將在建立隧道后發送的第一個 TLS 消息中包含用戶名屬性和"密碼"或"CHAP 密碼"屬性。

TTLS-PAT – 客戶端通過將用戶名和密碼 AVP 通過隧道傳輸到 TTLS 服務器來啟動 PAP。

TTLS-CHAP –在 TLS 記錄中安全地傳輸客戶端密碼身份驗證?？蛻舳送ㄟ^將用戶名、MS-CHAP-質詢和 MS-CHAP 響應 AVP 通過隧道傳輸到 TTLS 服務器來啟動 MS-CHAP。

TTLS-MSCHAP –在 TLS 記錄中安全地傳輸客戶端密碼身份驗證和 MSCHAP 響應?？蛻舳送ㄟ^將用戶名、MS-CHAP-質詢和 MS-CHAP 響應 AVP 通過隧道傳輸到 TTLS 服務器來啟動 MS-CHAP。

TTLS-MSCHAPv2 –在 TLS 記錄中安全地傳輸客戶端密碼身份驗證和 MSCHAPv2 響應。客戶端通過將用戶名、MS-CHAP-質詢和 MS-CHAP 響應 AVP 通過隧道傳輸到 TTLS 服務器來啟動 MS-CHAP。

TTLS-EAP-MD5 –對 TLS 記錄中的 MD5 哈希進行安全加密。

TTLS-EAP-GTC –在 TLS 記錄中安全地隧道傳輸 GTC 令牌。

TTLS-EAP-MSCHAPv2 – 在 TLS 記錄中安全地傳輸客戶端密碼身份驗證和 MSCHAPv2 響應?？蛻舳送ㄟ^將用戶名、MS-CHAP-質詢和 MS-CHAP 響應 AVP 通過隧道傳輸到 TTLS 服務器來啟動 MS-CHAP。

PEAP 和 TTLS 都是為了響應 EAP-TTLS 中的 PKI 屏障而創建的。TTLS 和 PEAP 都設計為使用較舊的身份驗證機制，同時保留 TLS 的強大加密基礎