知识库

常规：802.1x 身份验证 EAP 类型

两种最流行的 EAP 类型是用于用户名和密码身份验证的 PEAP-MSCHAPv2 以及用于基于证书的身份验证的 EAP-TLS。
扩展身份验证协议 （EAP） 是一种身份验证框架，不能与身份验证机制
混淆。LRG2 支持的 EAP 类型包括：

基于证书的 EAP 类型：
 

EAP-TLS – 是使用 TLS（传输层安全性）协议的开放标准。它使用 PKI 来保护与 RADIUS 身份验证服务器或其他类型的身份验证服务器的通信。

PEAP-TLS – 与 EAP-TLS 非常相似，但稍微安全一些，因为 EAP-TLS 中未加密的证书部分在 PEAP-TLS 中加密。

TTLS-EAP-TLS –在 TLS 记录中安全地通过隧道传输 EAP-TLS 证书。

用户名和密码 EAP 类型：

EAP-FAST –EAP-FAST（通过安全隧道进行灵活身份验证）使用保护性接入凭证 （PAC） 建立 TLS 隧道，在该隧道中验证客户端凭据。EAP-FAST是思科对LEAP的替代品。

EAP-GTC – 携带来自身份验证服务器的文本质询，以及由安全令牌生成的回复。

EAP-MD5 – 与其他 EAP 方法的不同之处在于，它仅提供 EAP 对等体到 EAP 服务器的身份验证，而不提供相互身份验证。

EAP-MSCHAPv2 – 身份验证过程，客户端和 RADIUS 服务器都必须证明它们知道用户的密码，身份验证才能成功。

PEAP（受保护的可扩展身份验证协议） – 旨在通过现代 802.1x 环境提供优于 EAP 的更高安全性。在 PEAP 中，一旦 PEAP 服务器和 PEAP 客户端建立 TLS 隧道，PEAP 服务器就会生成一个 EAP 标识请求，并将其向下传输到 TLS 隧道。客户端通过向加密隧道发送包含用户真实身份的 EAP 身份响应来响应第二个 EAP 身份请求。这可以防止任何窃听802.11流量的人发现用户的真实身份。

PEAP-MD5 –允许 RADIUS 服务器通过验证每个用户密码的 MD5 哈希来验证 LAN 站。

PEAP-GTC –由 Cisco 创建，旨在通过受保护的通道提供与现有令牌卡和基于目录的身份验证系统的互操作性。

PEAP-MSChapV2 –是最常用的 PEAP 形式，仅次于 EAP-TLS。它使用MSCHAPv2，这意味着它可以对支持MSCHAPv2格式的数据库进行身份验证，包括Microsoft NT和Microsoft Active Directory。

TTLS（隧道传输层安全性） – 使用 TTLS，客户端通常通过受 TLS 隧道保护的 PAP 或 CHAP 进行身份验证。在这种情况下，客户端将在建立隧道后发送的第一个 TLS 消息中包含用户名属性和"密码"或"CHAP 密码"属性。

TTLS-PAT – 客户端通过将用户名和密码 AVP 通过隧道传输到 TTLS 服务器来启动 PAP。

TTLS-CHAP –在 TLS 记录中安全地传输客户端密码身份验证。客户端通过将用户名、MS-CHAP-质询和 MS-CHAP 响应 AVP 通过隧道传输到 TTLS 服务器来启动 MS-CHAP。

TTLS-MSCHAP –在 TLS 记录中安全地传输客户端密码身份验证和 MSCHAP 响应。客户端通过将用户名、MS-CHAP-质询和 MS-CHAP 响应 AVP 通过隧道传输到 TTLS 服务器来启动 MS-CHAP。

TTLS-MSCHAPv2 –在 TLS 记录中安全地传输客户端密码身份验证和 MSCHAPv2 响应。客户端通过将用户名、MS-CHAP-质询和 MS-CHAP 响应 AVP 通过隧道传输到 TTLS 服务器来启动 MS-CHAP。

TTLS-EAP-MD5 –对 TLS 记录中的 MD5 哈希进行安全加密。

TTLS-EAP-GTC –在 TLS 记录中安全地隧道传输 GTC 令牌。

TTLS-EAP-MSCHAPv2 – 在 TLS 记录中安全地传输客户端密码身份验证和 MSCHAPv2 响应。客户端通过将用户名、MS-CHAP-质询和 MS-CHAP 响应 AVP 通过隧道传输到 TTLS 服务器来启动 MS-CHAP。

PEAP 和 TTLS 都是为了响应 EAP-TTLS 中的 PKI 屏障而创建的。TTLS 和 PEAP 都设计为使用较旧的身份验证机制，同时保留 TLS 的强大加密基础