先决条件–无线安全|套装1
四种类型的可扩展身份验证协议(EAP)身份验证方法是–
1. LEAP
2. EAP-FAST
3. PEAP
4. EAP-TLS 这些解释如下。
- 轻量级可扩展身份验证协议(LEAP)–
为了消除WEP的弱点,CISCO引入了一种专有的无线身份验证方法,称为LEAP。要进行身份验证,客户端必须提供用户名和密码凭据,然后客户端和接入点(AP)都交换加密的质询短语。如果加密的质询短语匹配,则向客户端提供访问权限。与使用静态密钥的WEP不同,LEAP使用动态密钥对短语进行加密。但是后来发现它很脆弱,因此LEAP被弃用了。如今,尽管无线设备可能提供LEAP,但您不应该使用它。 - EAP-FAST –
进一步,CISCO引入了一种比LEAP更安全的方法,称为带有安全隧道的EAP灵活身份验证(EAP-FAST)。在此方法中,通过在AS和客户端之间传递受保护的访问凭据(PAC)来保护身份验证凭据。 PAC是由身份验证服务器生成的一种共享机密,用于相互身份验证。
它是三个阶段的系列。- 阶段1:
PAC已生成并安装在客户端上。 - 阶段2:
相互身份验证后,客户端和身份验证服务器协商传输层安全性(TLS)隧道。 - 第三阶段:
为了提高安全性,客户端随后将通过TLS隧道进行身份验证。
值得注意的是,这里发生了两个单独的身份验证过程。 AS与客户端之间的一个称为外部身份验证,而其他与最终用户之间的称为内部身份验证。它们都以嵌套方式发生。 TLS隧道外部的外部身份验证和TLS隧道内部的内部身份验证。
- 阶段1:
- 受保护的EAP(PEAP)–
PEAP是对EAP-FAST的进一步改进。它还使用外部和内部身份验证。此方法的附加步骤是数字证书。身份验证服务器在外部身份验证中向客户端提供数字证书(DC),如果客户端对DC感到满意,则将建立TLS隧道以进行内部身份验证。 DC由标识所有者的标准格式的数据组成。它由称为证书颁发机构(CA)的第三方进行验证。客户端和身份验证服务器都知道并信任CA。 - EAP-TLS –
EAP-TLS进一步改善了PEAP。其中,数字证书同时安装在AS和客户端上。它们彼此交换证书,然后建立TLS隧道以交换加密密钥材料。 EAP-TLS被认为是最安全的,但是实现有点复杂。在数百个客户端上手动安装数字证书可能是不切实际的。使用公钥基础结构(PKI),可以安全地向客户端提供证书,并在客户端或用户不再访问网络时将其吊销。仅当无线客户端可以接受和使用证书时,才使用EAP-TLS。