知識(shí)庫(kù)

常規(guī)：802.1x 身份驗(yàn)證 EAP 類(lèi)型

兩種最流行的 EAP 類(lèi)型是用于用戶(hù)名和密碼身份驗(yàn)證的 PEAP-MSCHAPv2 以及用于基于證書(shū)的身份驗(yàn)證的 EAP-TLS。
擴(kuò)展身份驗(yàn)證協(xié)議 （EAP） 是一種身份驗(yàn)證框架，不能與身份驗(yàn)證機(jī)制
混淆。LRG2 支持的 EAP 類(lèi)型包括：

基于證書(shū)的 EAP 類(lèi)型：
 

EAP-TLS – 是使用 TLS（傳輸層安全性）協(xié)議的開(kāi)放標(biāo)準(zhǔn)。它使用 PKI 來(lái)保護(hù)與 RADIUS 身份驗(yàn)證服務(wù)器或其他類(lèi)型的身份驗(yàn)證服務(wù)器的通信。

PEAP-TLS – 與 EAP-TLS 非常相似，但稍微安全一些，因?yàn)?EAP-TLS 中未加密的證書(shū)部分在 PEAP-TLS 中加密。

TTLS-EAP-TLS –在 TLS 記錄中安全地通過(guò)隧道傳輸 EAP-TLS 證書(shū)。

用戶(hù)名和密碼 EAP 類(lèi)型：

EAP-FAST –EAP-FAST（通過(guò)安全隧道進(jìn)行靈活身份驗(yàn)證）使用保護(hù)性接入憑證 （PAC） 建立 TLS 隧道，在該隧道中驗(yàn)證客戶(hù)端憑據(jù)。EAP-FAST是思科對(duì)LEAP的替代品。

EAP-GTC – 攜帶來(lái)自身份驗(yàn)證服務(wù)器的文本質(zhì)詢(xún)，以及由安全令牌生成的回復(fù)。

EAP-MD5 – 與其他 EAP 方法的不同之處在于，它僅提供 EAP 對(duì)等體到 EAP 服務(wù)器的身份驗(yàn)證，而不提供相互身份驗(yàn)證。

EAP-MSCHAPv2 – 身份驗(yàn)證過(guò)程，客戶(hù)端和 RADIUS 服務(wù)器都必須證明它們知道用戶(hù)的密碼，身份驗(yàn)證才能成功。

PEAP（受保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議） – 旨在通過(guò)現(xiàn)代 802.1x 環(huán)境提供優(yōu)于 EAP 的更高安全性。在 PEAP 中，一旦 PEAP 服務(wù)器和 PEAP 客戶(hù)端建立 TLS 隧道，PEAP 服務(wù)器就會(huì)生成一個(gè) EAP 標(biāo)識(shí)請(qǐng)求，并將其向下傳輸?shù)?TLS 隧道。客戶(hù)端通過(guò)向加密隧道發(fā)送包含用戶(hù)真實(shí)身份的 EAP 身份響應(yīng)來(lái)響應(yīng)第二個(gè) EAP 身份請(qǐng)求。這可以防止任何竊聽(tīng)802.11流量的人發(fā)現(xiàn)用戶(hù)的真實(shí)身份。

PEAP-MD5 –允許 RADIUS 服務(wù)器通過(guò)驗(yàn)證每個(gè)用戶(hù)密碼的 MD5 哈希來(lái)驗(yàn)證 LAN 站。

PEAP-GTC –由 Cisco 創(chuàng)建，旨在通過(guò)受保護(hù)的通道提供與現(xiàn)有令牌卡和基于目錄的身份驗(yàn)證系統(tǒng)的互操作性。

PEAP-MSChapV2 –是最常用的 PEAP 形式，僅次于 EAP-TLS。它使用MSCHAPv2，這意味著它可以對(duì)支持MSCHAPv2格式的數(shù)據(jù)庫(kù)進(jìn)行身份驗(yàn)證，包括Microsoft NT和Microsoft Active Directory。

TTLS（隧道傳輸層安全性） – 使用 TTLS，客戶(hù)端通常通過(guò)受 TLS 隧道保護(hù)的 PAP 或 CHAP 進(jìn)行身份驗(yàn)證。在這種情況下，客戶(hù)端將在建立隧道后發(fā)送的第一個(gè) TLS 消息中包含用戶(hù)名屬性和"密碼"或"CHAP 密碼"屬性。

TTLS-PAT – 客戶(hù)端通過(guò)將用戶(hù)名和密碼 AVP 通過(guò)隧道傳輸?shù)?TTLS 服務(wù)器來(lái)啟動(dòng) PAP。

TTLS-CHAP –在 TLS 記錄中安全地傳輸客戶(hù)端密碼身份驗(yàn)證?？蛻?hù)端通過(guò)將用戶(hù)名、MS-CHAP-質(zhì)詢(xún)和 MS-CHAP 響應(yīng) AVP 通過(guò)隧道傳輸?shù)?TTLS 服務(wù)器來(lái)啟動(dòng) MS-CHAP。

TTLS-MSCHAP –在 TLS 記錄中安全地傳輸客戶(hù)端密碼身份驗(yàn)證和 MSCHAP 響應(yīng)?？蛻?hù)端通過(guò)將用戶(hù)名、MS-CHAP-質(zhì)詢(xún)和 MS-CHAP 響應(yīng) AVP 通過(guò)隧道傳輸?shù)?TTLS 服務(wù)器來(lái)啟動(dòng) MS-CHAP。

TTLS-MSCHAPv2 –在 TLS 記錄中安全地傳輸客戶(hù)端密碼身份驗(yàn)證和 MSCHAPv2 響應(yīng)?？蛻?hù)端通過(guò)將用戶(hù)名、MS-CHAP-質(zhì)詢(xún)和 MS-CHAP 響應(yīng) AVP 通過(guò)隧道傳輸?shù)?TTLS 服務(wù)器來(lái)啟動(dòng) MS-CHAP。

TTLS-EAP-MD5 –對(duì) TLS 記錄中的 MD5 哈希進(jìn)行安全加密。

TTLS-EAP-GTC –在 TLS 記錄中安全地隧道傳輸 GTC 令牌。

TTLS-EAP-MSCHAPv2 – 在 TLS 記錄中安全地傳輸客戶(hù)端密碼身份驗(yàn)證和 MSCHAPv2 響應(yīng)?？蛻?hù)端通過(guò)將用戶(hù)名、MS-CHAP-質(zhì)詢(xún)和 MS-CHAP 響應(yīng) AVP 通過(guò)隧道傳輸?shù)?TTLS 服務(wù)器來(lái)啟動(dòng) MS-CHAP。

PEAP 和 TTLS 都是為了響應(yīng) EAP-TTLS 中的 PKI 屏障而創(chuàng)建的。TTLS 和 PEAP 都設(shè)計(jì)為使用較舊的身份驗(yàn)證機(jī)制，同時(shí)保留 TLS 的強(qiáng)大加密基礎(chǔ)