0
EAP
Extensive Authentication Protocol -- 扩展认证协议
扩展认证协议(EAP),是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5类EAP作为正式的认证机制。 EAP是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。这些机制被叫做EAP方法,现在大约有40种不同的方法。IETF的RFC中定义的方法包括:EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 还包括一些厂商提供的方法和新的建议。无线网络中常用的方法包括EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP,和EAP-TTLS. 当EAP被基于802.1x的网络接入设备(诸如802.11a/b/g ,无线接入点)调用时,现代的EAP方法可以提供一个安全认证机制,并且在用户和网络接入服务器之间协商一个安全的PMK。该PMK可以用于使用TKIP和AES加密的无线会话。
轻量级的扩展认证协议,或LEAP是一个由CISCO私人拥有的EAP。Cisco通过允许其他厂家生产基于EAP的项目来保护该协议。在任何的windows操作系统中不支持LEAP,但LEAP被第三方的用户软件支持。该协议由于其容易受到字典攻击脆弱性,就象EAP-MD5,而在一开始便广为人知。但直到2003年Joshua Wright发表了ASLEAP以后,人们才开始讨论LEAP存在严重的安全问题。Cisco仍然认为如果使用十分复杂的密码,LEAP是安全的。但是在现实世界中人们几乎不使用十分复杂的密码,因为这对普通人来将是一件非常困难的事情。新的协议,诸如EAP-TTLS和PEAP,则没有这些问题,因为他们给MSCHAPv2用户认证会话建立了一个安全的传输层安全(TLS)通道,而且可以运行在使用Cisco和不使用Cisco的接入点上。
EAP-TLS是IETF的一个开放标准,并且在无线厂商之间得到很好的支持。它能够提供很好的安全保证。因为TLS被认为是SSL的继承者。它使用PKI来保护Radius认证服务器的通信,这是很难完成的任务。所以即使EAP-TLS良好的安全,用户端在认证时的负载成为它的致命伤。 EAP-TLS是无线局域网扩展认证协议的原始版本,虽然它因为配置困难而很少被使用,但它仍被认为是最安全的EAP标准之一,而且广泛地被无线局域网硬件和软件制造厂商,包括微软所支持。要求用户方给出证书,虽然不是很流行,则是EAP-TLS在认证方面的长处,而且即方便又安全。一个脆弱的密码不会导致入侵基于EAP-TLS的系统,因为攻击者仍然需要客户端的证书。当客户端的证书是储存在智能卡中时,EAP-TLS提供了最安全的认证解决方案,因为如果不窃取智能卡时无法得到客户端证书的。如果将智能卡偷窃的话则会立刻引起注意并且更换新卡。到2005年四月,EAP-TLS是唯一厂商需要保证的WPA和WPA2的EAP类型。在微软,Cisco,Apple和Linux中都有实现客户端和服务器端的源代码。EAP-TLS在MAC OS 10.3(包括10.3以上), Windows 2000 SP4, Windows XP, Windows Mobile 2003(包括2003以上), 和Windows CE 4.2中被支持。
EAP-MD5是另一个IETF开放标准,但提供最少的安全。MD5Hash函数容易受到字典攻击,它被使用在不支持动态WEP的EAP中。
EAP-TTLS是由Funk Software和Certicom合作开发的。它目前是IETF的开放标准草案。它可跨平台支持,提供非常优秀的安全,并且在认证服务器上使用PKI证书。
PEAP由CISCO,微软和RSA Security联合提出的开放标准的建议。它早已被运用在产品中,而且提供很好的安全。它在设计上和EAP-TTLS相似,只需要一份服务器端的PKI证书来建立一个安全的传输层安全通道(TLS)以保护用户认证。 到2005年5月,已有两个PEAP的子类型被WPA和WPA2标准批准。它们是:
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
