Nghị định thư xác thực mở rộng
Extensible Authentication Protocol, hoặc EAP, là một khuôn khổ xác thực thường được sử dụng trong các mạng không dây và các kết nối point-to-point. Nó được định nghĩa trong RFC 3748, khiến RFC 2284 đã lỗi thời, và đã được cập nhật bởi RFC 5247.
EAP là một khuôn khổ xác thực cho việc cung cấp các phương tiện giao thông và sử dụng tài liệu và các thông số được tạo ra bằng phương pháp EAP keying. [1] Có rất nhiều phương pháp được định nghĩa bởi RFC và một số nhà cung cấp các phương pháp cụ thể và đề xuất mới tồn tại. EAP không phải là một giao thức dây; thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức có sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong thông điệp của giao thức đó.
EAP là sử dụng rộng rãi. Ví dụ, trong IEEE 802.11 (WiFi) của WPA và WPA2 tiêu chuẩn đã áp dụng IEEE 802.1X với một trăm loại EAP như các cơ chế xác thực chính thức.
Phương pháp [sửa]
EAP là một khuôn khổ xác thực, không phải là một cơ chế xác thực cụ thể. [1] Nó cung cấp một số chức năng phổ biến và đàm phán các phương pháp xác thực được gọi là phương pháp EAP. Hiện tại có khoảng 40 phương pháp khác nhau được xác định. Phương pháp xác định trong RFC của IETF bao gồm EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-thức IKEv2, EAP-SIM, EAP-AKA và EAP-AKA '. Ngoài ra một số phương pháp nhà cung cấp cụ thể và đề xuất mới tồn tại. Thường được sử dụng phương pháp hiện đại có khả năng hoạt động trong các mạng không dây bao gồm EAP-TLS, EAP-SIM, EAP-AKA, LEAP và EAP-TTLS. Yêu cầu đối với phương pháp EAP được sử dụng trong xác thực mạng LAN không dây được mô tả trong RFC 4017. Danh sách các loại và các gói mã được sử dụng trong EAP có sẵn từ IANA EAP Registry.
Tiêu chuẩn này cũng mô tả các điều kiện theo đó các yêu cầu quản lý chủ chốt AAA mô tả trong RFC 4962 có thể hài lòng.
Nhẹ Extensible Authentication Protocol (LEAP) [sửa]
Bài chi tiết: Nhẹ Extensible Authentication Protocol
Phương pháp Lightweight Extensible Authentication Protocol (LEAP) được phát triển bởi Cisco Systems trước khi phê chuẩn của IEEE chuẩn bảo mật 802.11i. [2] Cisco phân phối các giao thức thông qua CCX (Extensions Certified Cisco) như là một phần của việc 802.1X và thông qua WEP động vào ngành công nghiệp trong sự vắng mặt của một tiêu chuẩn. Không có hỗ trợ cho LEAP trong bất kỳ hệ điều hành Windows, nhưng nó được hỗ trợ rộng rãi bởi các phần mềm máy khách bên thứ ba phổ biến nhất bao gồm WLAN (mạng LAN không dây) thiết bị. LEAP hỗ trợ cho Microsoft Windows 7 và Microsoft Windows Vista có thể được bổ sung bằng cách tải về một khách hàng thêm từ Cisco cung cấp hỗ trợ cho cả hai LEAP và EAP-FAST. Do việc áp dụng rộng rãi của LEAP trong ngành công nghiệp mạng nhiều nhà cung cấp mạng WLAN khác [ai?] Tuyên bố hỗ trợ cho LEAP.
LEAP sử dụng một phiên bản sửa đổi của MS-CHAP, một giao thức xác thực, trong đó thông tin người dùng không được bảo vệ mạnh mẽ và dễ dàng bị tổn thương; một công cụ khai thác được gọi là ASLEAP đã được phát hành vào đầu năm 2004 bởi Joshua Wright. [3] Cisco khuyến cáo khách hàng hoàn toàn phải sử dụng LEAP làm như vậy chỉ với mật khẩu đủ phức tạp, mặc dù mật khẩu phức tạp rất khó để quản lý và thực thi. khuyến cáo hiện nay của Cisco là sử dụng giao thức EAP mới hơn và mạnh hơn như EAP-FAST, PEAP, hoặc EAP-TLS.
EAP Transport Layer Security (EAP-TLS) [sửa]
EAP Transport Layer Security (EAP-TLS), được định nghĩa trong RFC 5216, là một chuẩn mở IETF sử dụng giao thức Transport Layer Security (TLS), và được hỗ trợ tốt giữa các nhà cung cấp không dây. EAP-TLS là bản gốc, tiêu chuẩn không dây giao thức xác thực LAN EAP.
EAP-TLS vẫn được coi là một trong những tiêu chuẩn EAP an toàn nhất có sẵn, mặc dù TLS cung cấp bảo mật mạnh mẽ chỉ miễn là người dùng hiểu cảnh báo tiềm năng về thông tin sai sự thật, và được phổ được hỗ trợ bởi tất cả các nhà sản xuất phần cứng và phần mềm mạng LAN không dây. Cho đến tháng 4 năm 2005, EAP-TLS là các nhà cung cấp loại EAP chỉ cần thiết để xác nhận cho một WPA hoặc WPA2 logo. [4] Có khách hàng và máy chủ hiện thực của EAP-TLS trong 3Com, Apple, Avaya, Brocade Communications, Cisco, Enterasys Networks, Foundry, Hirschmann, HP, Juniper, và Microsoft, và hệ điều hành mã nguồn mở. EAP-TLS được natively hỗ trợ trong Mac OS X 10.3 trở lên, wpa_supplicant, Windows 2000 SP4, Windows XP và ở trên, Windows Mobile 2003 trở lên, Windows CE 4.2, và hệ điều hành di động iOS của Apple.
Không giống như hầu hết các trường TLS HTTPS, chẳng hạn như trên World Wide Web, phần lớn các hiện thực của EAP-TLS phải có chứng chỉ X.509 phía khách hàng mà không đưa ra tùy chọn để vô hiệu hóa các yêu cầu, mặc dù tiêu chuẩn không uỷ quyền sử dụng của họ. [5] [6] Một số đã được xác định này là có khả năng làm giảm đáng kể thông qua EAP-TLS và ngăn chặn "mở" nhưng mã hóa các điểm truy cập. [5] [6] Vào ngày 22 tháng 8 năm 2012 hostapd (và wpa_supplicant) hỗ trợ thêm trong kho Git của mình cho một-TLS UNAUTH nhà cung cấp cụ loại EAP (sử dụng RFC hostapd / dự án wpa_supplicant 5612 Doanh nghiệp tư nhân số), [7] và vào ngày 25 tháng 2 năm 2014 thêm hỗ trợ cho các WFA-UNAUTH-TLS nhà cung cấp cụ loại EAP (bằng cách sử dụng Wi-Fi Alliance doanh nghiệp tư nhân số), [8] [9] mà chỉ làm máy chủ xác thực. Điều này sẽ cho phép cho các tình huống giống như HTTPS, nơi mà một hotspot không dây cho phép truy cập miễn phí và không xác thực khách hàng nhưng khách hàng trạm trạm muốn sử dụng mã hóa (IEEE 802.11i-2004 nghĩa là WPA2) và có khả năng xác thực hotspot không dây. Hiện cũng đã được đề xuất để sử dụng IEEE 802.11u cho các điểm truy cập để báo hiệu rằng họ cho phép EAP-TLS chỉ sử dụng xác thực phía máy chủ, sử dụng các tiêu chuẩn EAP-TLS IETF gõ thay vì một loại EAP nhà cung cấp cụ thể. [10]
Các yêu cầu cho một giấy chứng nhận phía khách hàng, tuy nhiên không phổ biến nó có thể được, là những gì cho EAP-TLS sức xác thực của nó và minh họa sự tiện lợi cổ điển vs an ninh thương mại-off. Với giấy chứng nhận phía máy khách, một mật khẩu bị tổn hại là không đủ để đột nhập vào hệ thống kích hoạt EAP-TLS vì kẻ xâm nhập vẫn cần phải có giấy chứng nhận phía khách hàng; thực sự, một mật khẩu là thậm chí không cần thiết, vì nó chỉ được sử dụng để mã hóa các giấy chứng nhận phía khách hàng để lưu trữ. Bảo mật cao nhất là khi "khóa riêng" của giấy chứng nhận phía khách hàng được đặt trong các thẻ thông minh. [11] Điều này là bởi vì không có cách nào để ăn cắp khóa riêng tương ứng một giấy chứng nhận phía khách hàng từ một thẻ thông minh mà không cần ăn cắp các thẻ chính nó. Có nhiều khả năng rằng hành vi trộm cắp vật lý của một thẻ thông minh sẽ được chú ý (và các thẻ thông minh bị thu hồi ngay lập tức) hơn một (điển hình) trộm cắp mật khẩu sẽ được nhận thấy.
EAP-MD5 [sửa]
EAP-MD5 là IETF Tiêu chuẩn Theo dõi dựa trên phương pháp EAP chỉ khi nó lần đầu tiên được định nghĩa trong RFC ban đầu cho EAP, RFC 2284. Nó cung cấp bảo mật tối thiểu; hàm băm MD5 là dễ bị tấn công từ điển, và không hỗ trợ hệ trọng, mà làm cho nó không phù hợp để sử dụng với WEP năng động, hoặc WPA doanh nghiệp / WPA2. EAP-MD5 khác với phương pháp EAP khác ở chỗ nó chỉ cung cấp chứng thực peer EAP cho máy chủ EAP nhưng không xác thực lẫn nhau. Bằng việc không cung cấp máy chủ xác thực EAP, phương pháp EAP này là dễ bị tấn công man-in-the-middle. [12] hỗ trợ EAP-MD5 lần đầu tiên được bao gồm trong Windows 2000 và bị phản đối trong Windows Vista. [13]
Protected EAP One-Time Password (EAP-POTP) [sửa]
Protected EAP One-Time Password (EAP-POTP), được mô tả trong RFC 4793, là một phương pháp EAP được phát triển bởi RSA Laboratories có sử dụng mật khẩu (OTP) thẻ một lần, chẳng hạn như một thiết bị phần cứng cầm tay hoặc một phần cứng hoặc phần mềm mô-đun chạy trên một máy tính cá nhân, để tạo ra các phím xác thực. EAP-POTP có thể được sử dụng để cung cấp chứng thực đơn phương, song phương và các tài liệu quan trọng trong các giao thức sử dụng EAP.
Các phương pháp EAP-POTP cung cấp xác thực người sử dụng hai yếu tố, có nghĩa là người dùng cần truy cập vật lý tới một token và kiến thức của một số cá nhân (PIN) để thực hiện xác thực. [14]
EAP Pre-Shared Key (EAP-PSK) [sửa]
chính EAP Pre-shared (EAP-PSK), được định nghĩa trong RFC 4764, là một phương pháp EAP để xác thực lẫn nhau và phiên nguồn gốc chủ yếu sử dụng khóa tiền chia sẻ (PSK). Nó cung cấp một kênh truyền thông bảo vệ, khi xác thực lẫn nhau là thành công, cho cả hai bên để giao tiếp và được thiết kế để xác thực trên các mạng không an toàn như IEEE 802.11.
EAP-PSK là tài liệu trong một RFC nghiệm cung cấp một phương pháp EAP nhẹ và mở rộng mà không đòi hỏi bất kỳ mật mã khóa công khai. EAP trao đổi giao thức phương pháp được thực hiện trong một tối thiểu là bốn thông điệp.
EAP Password (EAP-PWD) [sửa]
EAP Password (EAP-PWD), được định nghĩa trong RFC 5931, là một phương pháp EAP trong đó sử dụng một mật khẩu chung để xác thực. Các mật khẩu có thể là một thấp-entropy và có thể được rút ra từ một số thiết lập mật khẩu có thể, như một từ điển, trong đó có sẵn để kẻ tấn công. Các trao đổi quan trọng cơ bản là khả năng chống tấn công chủ động, tấn công thụ động, và tấn công từ điển.
EAP-PWD là trong các cơ sở của Android 4.0 (ICS), đó là tại FreeRADIUS [15] và Radiator [16] RADIUS server, nó là trong hostapd và wpa_supplicant. [17]
EAP đường hầm Transport Layer Security (EAP-TTLS) [sửa]
EAP đường hầm Transport Layer Security (EAP-TTLS) là một giao thức EAP kéo dài TLS. Nó được đồng phát triển bởi Funk Phần mềm và Certicom và được hỗ trợ rộng rãi trên nền tảng. Microsoft đã không kết hợp hỗ trợ cho các giao thức EAP-TTLS trong Windows XP, Vista hoặc 7. Hỗ trợ TTLS trên những nền tảng này đòi hỏi của bên thứ ba điều khiển mã hóa Protocol (ECP) phần mềm chứng nhận. Microsoft Windows bắt đầu hỗ trợ EAP-TTLS với Windows 8, [18] Tuy nhiên, Windows Phone 8 không hỗ trợ EAP-TTLS [19] trong khi phiên bản 8.1 hỗ trợ nó. [20]
Các khách hàng có thể, nhưng không phải được xác thực thông qua một chứng PKI CA-ký với máy chủ. Điều này giúp đơn giản hoá các thủ tục thiết lập từ một chứng chỉ không cần thiết trên mỗi khách hàng.
Sau khi máy chủ được bảo mật chứng thực cho khách hàng thông qua chứng chỉ CA của nó và có thể là khách hàng đến máy chủ, máy chủ sau đó có thể sử dụng các kết nối an toàn được thành lập ( "đường hầm") để xác thực cho khách hàng. Nó có thể sử dụng một giao thức xác thực hiện và triển khai rộng rãi và cơ sở hạ tầng, kết hợp các cơ mật khẩu di sản và cơ sở dữ liệu xác thực, trong khi đường hầm bảo mật cung cấp bảo vệ khỏi sự tấn công nghe trộm và man-in-the-middle. Lưu ý rằng tên của người dùng không bao giờ được truyền đi trong văn bản rõ ràng không được mã hóa, cải thiện sự riêng tư.
Hai phiên bản riêng biệt của EAP-TTLS tồn tại: EAP-TTLS gốc (còn gọi là EAP-TTLSv0) và EAP-TTLSv1. EAP-TTLSv0 được mô tả trong RFC 5281, EAP-TTLSv1 có sẵn như là một dự thảo Internet. [21]
EAP Internet Key Exchange v. 2 (EAP-thức IKEv2) [sửa]
Thông tin thêm: Internet Key Exchange
EAP Internet Key Exchange v. 2 (EAP-thức IKEv2) là một phương pháp EAP dựa trên giao thức phiên bản Internet Key Exchange 2 (giao thức IKEv2). Nó cung cấp xác thực lẫn nhau và phiên thành lập chính giữa một đẳng EAP và một máy chủ EAP. Nó hỗ trợ các kỹ thuật xác thực được dựa trên các loại sau đây của các thông tin:
cặp khóa bất đối xứng
Công / cặp khóa riêng mà chính công cộng được nhúng vào một giấy chứng nhận kỹ thuật số, và các khóa riêng tương ứng chỉ được biết đến với một đảng duy nhất.
mật khẩu
chuỗi bit thấp entropy được biết đến cả máy chủ và các đồng đẳng.
khóa đối xứng
chuỗi bit cao entropy được biết đến cả máy chủ và các đồng đẳng.
Có thể sử dụng một chứng chỉ xác thực khác nhau (và do đó kỹ thuật) trong mỗi hướng. Ví dụ, máy chủ xác thực EAP tự sử dụng công / tư cặp khóa và các đồng đẳng EAP sử dụng khóa đối xứng. Đặc biệt, sự kết hợp sau đây được dự kiến sẽ được sử dụng trong thực tế:
máy chủ EAP EAP đẳng
Asymmetric cặp khóa cặp khóa bất đối xứng
khóa đối xứng
Mật khẩu
Symmetric trọng đối xứng chính
EAP-thức IKEv2 được mô tả trong RFC 5106, và thực hiện một nguyên mẫu tồn tại.
EAP linh hoạt xác thực qua đường hầm bảo mật (EAP-FAST) [sửa]
Xác thực linh hoạt thông qua đường hầm bảo mật (EAP-FAST; RFC 4851) là một đề nghị giao thức của Cisco Systems là một sự thay thế cho LEAP [22]. Các giao thức được thiết kế để giải quyết những điểm yếu của LEAP trong khi bảo quản "nhẹ" thực hiện. Sử dụng chứng chỉ máy chủ là tùy chọn trong EAP-FAST. EAP-FAST sử dụng Protected Access Credential (PAC) để thiết lập một đường hầm TLS trong đó thông tin của khách hàng được xác minh.
EAP-FAST có ba giai đoạn: [23]
Giai đoạn Chức năng Mô tả Mục đích
0 In-band trích lập dự phòng-cung cấp ngang hàng với một bí mật chia sẻ được sử dụng trong an toàn chuyện giai đoạn 1 Sử dụng Authenticated Diffie-Hellman Protocol (ADHP). Giai đoạn này là giai đoạn độc lập khác; do đó, bất kỳ chương trình khác (in-band hoặc out-of-band) có thể được sử dụng trong tương lai. Loại bỏ các yêu cầu trong các khách hàng để thiết lập một bí mật tổng thể mỗi lần một khách hàng yêu cầu truy cập mạng
1 cơ sở Tunnel Xác minh bằng cách sử dụng PAC và thiết lập một đường hầm thành lập chính chính để cung cấp bảo mật và tính toàn vẹn trong quá trình xác thực trong giai đoạn 2
2 Xác thực Xác minh các đẳng Nhiều đường hầm, các cơ chế xác thực an toàn (thông tin trao đổi)
Khi tự động trích lập dự phòng PAC được kích hoạt, EAP-FAST có một lỗ hổng nhỏ, nơi một kẻ tấn công có thể đánh chặn PAC và sử dụng để thỏa hiệp thông tin người dùng. Lỗ hổng này được giảm nhẹ bằng tay PAC dự phòng hoặc bằng cách sử dụng chứng chỉ máy chủ cho các giai đoạn dự phòng PAC.
Điều đáng chú ý là các tập tin PAC được ban hành trên cơ sở mỗi người sử dụng. Đây là một yêu cầu trong RFC 4851 sec 7.4.4 vì vậy nếu một người dùng mới trên mạng từ một thiết bị, một file PAC mới phải được cấp phép đầu tiên. Đây là một trong những lý do tại sao nó là khó khăn không phải để chạy EAP-FAST trong chế độ trích lập dự phòng mang tính chất không an toàn. Việc thay thế là sử dụng mật khẩu thiết bị thay thế, nhưng sau đó thiết bị được xác nhận trên mạng không phải là người sử dụng.
EAP-FAST có thể được sử dụng mà không cần file PAC, rơi trở lại TLS bình thường.
EAP-FAST được natively hỗ trợ trong Apple OS X 10.4.8 hoặc mới hơn. Cisco cung cấp một mô-đun EAP-FAST [24] cho Windows Vista [25] và các hệ thống điều hành sau này mà có một kiến trúc EAPHost mở rộng cho các phương pháp xác thực mới, người van. [26]
EAP Subscriber Identity Module (EAP-SIM) [sửa]
EAP Subscriber Identity Module (EAP-SIM) được sử dụng để phân phối khóa xác thực và phiên sử dụng các mô-đun nhận dạng thuê bao (SIM) từ Global System for Mobile Communications (GSM).
mạng di động GSM sử dụng một thẻ mô-đun nhận dạng thuê bao để thực hiện xác thực người dùng. EAP-SIM sử dụng một thuật toán xác thực SIM giữa khách hàng và một Authentication, Authorization và máy chủ Kế toán (AAA) cung cấp xác thực lẫn nhau giữa khách hàng và mạng.
Trong EAP-SIM thông tin liên lạc giữa các thẻ SIM và Trung tâm Chứng thực (AuC) thay thế việc dùng một mật khẩu được thiết lập giữa máy khách và máy chủ AAA.
Các thuật toán A3 / A8 đang được chạy một vài lần, với những thách thức 128 bit khác nhau, do đó sẽ có nhiều hơn 64 bit Kc-s mà sẽ được kết hợp / hỗn hợp để tạo ra các phím mạnh mẽ hơn (Kc-s sẽ không được sử dụng trực tiếp). Việc thiếu xác thực lẫn nhau trong GSM cũng đã được khắc phục.
EAP-SIM được mô tả trong RFC 4186.
EAP Authentication và Hiệp Key (EAP-AKA) [sửa]
Extensible Authentication Protocol Phương pháp cho hệ thống viễn thông di động toàn cầu (UMTS) Authentication và Hiệp Key (EAP-AKA), là một cơ chế EAP để xác thực và phiên phân phối quan trọng bằng UMTS Subscriber Identity Module (USIM). EAP-AKA được định nghĩa trong RFC 4187.
EAP Authentication và Hiệp định chính nguyên tố (EAP-AKA ') [sửa]
EAP-AKA 'biến thể của EAP-AKA, được định nghĩa trong RFC 5448, và được sử dụng cho phi 3GPP truy cập vào một mạng lõi 3GPP. Ví dụ, thông qua EVDO, WiFi, hoặc WiMax.
EAP Thẻ Generic Mã (EAP-GTC) [sửa]
EAP Generic Token Card, hoặc EAP-GTC, là một phương pháp EAP tạo ra bởi Cisco như một thay thế cho PEAPv0 / EAP-MSCHAPv2 và định nghĩa trong RFC 2284 và RFC 3748. EAP-GTC mang một thách thức văn bản từ máy chủ xác thực, và một bài trả lời tạo ra bởi một mã bảo vệ. Các cơ chế xác thực PEAP-GTC cho phép xác thực chung cho một số cơ sở dữ liệu như dịch vụ thư Novell (NDS) và Lightweight Directory Access Protocol (LDAP), cũng như việc sử dụng một mật khẩu một lần.
EAP Key Exchange được mã hóa (EAP-EKE) [sửa]
EAP với việc trao đổi khóa mã hóa, hoặc EAP-EKE, là một trong số ít các phương pháp EAP cung cấp chứng thực lẫn nhau an toàn bằng mật khẩu ngắn và không cần giấy chứng nhận khóa công khai. Nó là một trao đổi ba vòng, dựa trên các biến thể Diffie-Hellman của giao thức EKE nổi tiếng.
EAP-EKE được quy định trong RFC 6124.
Encapsulation [sửa]
EAP không phải là một giao thức dây; thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức có sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong thông điệp của giao thức đó.
IEEE 802.1X [sửa]
Bài chi tiết: IEEE 802.1X
Việc đóng gói EAP trên IEEE 802 được định nghĩa trong IEEE 802.1X và được gọi là "EAP qua mạng LAN" hoặc EAPOL. [27] [28] [29] EAPOL đầu được thiết kế theo chuẩn IEEE 802.3 Ethernet trong 802.1X-2001, nhưng đã được làm sáng tỏ cho phù hợp với công nghệ IEEE 802 LAN khác như IEEE 802.11 không dây và sợi phân phối Giao diện dữ liệu (ISO 9314-2) trong 802.1X-2004. [30] Các giao thức EAPOL cũng đã được sửa đổi để sử dụng với IEEE 802.1AE (MACSec) và IEEE 802.1AR (Initial Device Identity, IDevID) trong 802.1X-2010. [31]
Khi EAP được gọi bởi một 802.1X kích hoạt Network Access Server (NAS) thiết bị như một IEEE 802.11i-2004 Wireless Access Point (WAP), phương pháp EAP hiện đại có thể cung cấp một cơ chế xác thực an toàn và thương lượng một khóa riêng an toàn (Pair-khôn ngoan Master Key, PMK) giữa khách hàng và NAS mà sau đó có thể được sử dụng cho một phiên mã hóa không dây sử dụng TKIP hoặc CCMP (dựa trên AES).
PEAP [sửa]
Bài chi tiết: bảo vệ giao thức xác thực mở rộng
Protected Extensible Authentication Protocol, còn được gọi là Protected EAP hoặc đơn giản là PEAP, là một giao thức đóng gói EAP trong vòng một có khả năng mã hóa và xác thực Transport Layer Security (TLS) đường hầm. [32] [33] [34] Mục đích là để sửa chữa thiếu sót trong EAP; EAP giả định một kênh truyền thông bảo vệ, chẳng hạn như cung cấp bởi an ninh vật lý, do cơ sở để bảo vệ các cuộc đàm thoại EAP không được cung cấp. [35]
PEAP được phát triển bởi Cisco Systems, Microsoft, và RSA Security. PEAPv0 là phiên bản bao gồm với Microsoft Windows XP và được trên danh nghĩa được xác định trong dự thảo-Kamath-pppext-peapv0-00. PEAPv1 và PEAPv2 được xác định trong các phiên bản khác nhau của dự thảo-Josefsson-pppext-eap-tls-eap. PEAPv1 đã được xác định trong dự thảo-Josefsson-pppext-eap-tls-eap-00 thông qua dự thảo-Josefsson-pppext-eap-tls-eap-05, [36] và PEAPv2 đã được xác định trong các phiên bản bắt đầu với dự thảo-Josefsson-pppext-eap -tls-eap-06. [37]
Các giao thức chỉ định chaining nhiều cơ chế EAP và không bất kỳ phương pháp cụ thể. [33] [38] Sử dụng các phương pháp EAP-MSCHAPv2 và EAP-GTC được hỗ trợ phổ biến nhất. [Cần dẫn nguồn]
RADIUS và Đường kính [sửa]
Bài chi tiết: RADIUS và Đường kính (giao thức)
Cả RADIUS và Đường kính giao thức AAA có thể gói gọn thông điệp EAP. Chúng thường được sử dụng bởi các thiết bị Network Access Server (NAS) để chuyển tiếp các gói tin EAP giữa các điểm cuối IEEE 802.1X và máy chủ AAA để tạo điều kiện IEEE 802.1X.
PANA [sửa]
Bài chi tiết: Nghị định thư về Thực xác thực cho mạng truy nhập
Nghị định thư về Thực Authentication cho Network Access (PANA) là một giao thức dựa trên IP cho phép một thiết bị để xác thực chính nó với một mạng lưới để được cấp quyền truy cập. PANA sẽ không xác định bất kỳ giao thức xác thực mới, phân phối chính, thỏa thuận quan trọng hoặc các giao thức dẫn xuất chính; cho những mục đích này, EAP sẽ được sử dụng, và PANA sẽ mang tải trọng EAP. PANA cho phép lựa chọn nhà cung cấp dịch vụ năng động, hỗ trợ các phương pháp xác thực khác nhau, thích hợp cho người sử dụng chuyển vùng, và độc lập với các cơ chế lớp liên kết.
PPP [sửa]
Bài chi tiết: Point-to-Point Protocol
EAP ban đầu là một phần mở rộng xác thực cho Point-to-Point Protocol (PPP). PPP đã hỗ trợ EAP từ EAP đã được tạo ra như là một thay thế cho các Challenge-Handshake Authentication Protocol (CHAP) và Password Authentication Protocol (PAP), mà cuối cùng đã được đưa vào EAP. EAP mở rộng của PPP lần đầu tiên được định nghĩa trong RFC 2284, bây giờ lỗi thời bởi RFC 3748.
https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
EAP là một khuôn khổ xác thực cho việc cung cấp các phương tiện giao thông và sử dụng tài liệu và các thông số được tạo ra bằng phương pháp EAP keying. [1] Có rất nhiều phương pháp được định nghĩa bởi RFC và một số nhà cung cấp các phương pháp cụ thể và đề xuất mới tồn tại. EAP không phải là một giao thức dây; thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức có sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong thông điệp của giao thức đó.
EAP là sử dụng rộng rãi. Ví dụ, trong IEEE 802.11 (WiFi) của WPA và WPA2 tiêu chuẩn đã áp dụng IEEE 802.1X với một trăm loại EAP như các cơ chế xác thực chính thức.
Phương pháp [sửa]
EAP là một khuôn khổ xác thực, không phải là một cơ chế xác thực cụ thể. [1] Nó cung cấp một số chức năng phổ biến và đàm phán các phương pháp xác thực được gọi là phương pháp EAP. Hiện tại có khoảng 40 phương pháp khác nhau được xác định. Phương pháp xác định trong RFC của IETF bao gồm EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-thức IKEv2, EAP-SIM, EAP-AKA và EAP-AKA '. Ngoài ra một số phương pháp nhà cung cấp cụ thể và đề xuất mới tồn tại. Thường được sử dụng phương pháp hiện đại có khả năng hoạt động trong các mạng không dây bao gồm EAP-TLS, EAP-SIM, EAP-AKA, LEAP và EAP-TTLS. Yêu cầu đối với phương pháp EAP được sử dụng trong xác thực mạng LAN không dây được mô tả trong RFC 4017. Danh sách các loại và các gói mã được sử dụng trong EAP có sẵn từ IANA EAP Registry.
Tiêu chuẩn này cũng mô tả các điều kiện theo đó các yêu cầu quản lý chủ chốt AAA mô tả trong RFC 4962 có thể hài lòng.
Nhẹ Extensible Authentication Protocol (LEAP) [sửa]
Bài chi tiết: Nhẹ Extensible Authentication Protocol
Phương pháp Lightweight Extensible Authentication Protocol (LEAP) được phát triển bởi Cisco Systems trước khi phê chuẩn của IEEE chuẩn bảo mật 802.11i. [2] Cisco phân phối các giao thức thông qua CCX (Extensions Certified Cisco) như là một phần của việc 802.1X và thông qua WEP động vào ngành công nghiệp trong sự vắng mặt của một tiêu chuẩn. Không có hỗ trợ cho LEAP trong bất kỳ hệ điều hành Windows, nhưng nó được hỗ trợ rộng rãi bởi các phần mềm máy khách bên thứ ba phổ biến nhất bao gồm WLAN (mạng LAN không dây) thiết bị. LEAP hỗ trợ cho Microsoft Windows 7 và Microsoft Windows Vista có thể được bổ sung bằng cách tải về một khách hàng thêm từ Cisco cung cấp hỗ trợ cho cả hai LEAP và EAP-FAST. Do việc áp dụng rộng rãi của LEAP trong ngành công nghiệp mạng nhiều nhà cung cấp mạng WLAN khác [ai?] Tuyên bố hỗ trợ cho LEAP.
LEAP sử dụng một phiên bản sửa đổi của MS-CHAP, một giao thức xác thực, trong đó thông tin người dùng không được bảo vệ mạnh mẽ và dễ dàng bị tổn thương; một công cụ khai thác được gọi là ASLEAP đã được phát hành vào đầu năm 2004 bởi Joshua Wright. [3] Cisco khuyến cáo khách hàng hoàn toàn phải sử dụng LEAP làm như vậy chỉ với mật khẩu đủ phức tạp, mặc dù mật khẩu phức tạp rất khó để quản lý và thực thi. khuyến cáo hiện nay của Cisco là sử dụng giao thức EAP mới hơn và mạnh hơn như EAP-FAST, PEAP, hoặc EAP-TLS.
EAP Transport Layer Security (EAP-TLS) [sửa]
EAP Transport Layer Security (EAP-TLS), được định nghĩa trong RFC 5216, là một chuẩn mở IETF sử dụng giao thức Transport Layer Security (TLS), và được hỗ trợ tốt giữa các nhà cung cấp không dây. EAP-TLS là bản gốc, tiêu chuẩn không dây giao thức xác thực LAN EAP.
EAP-TLS vẫn được coi là một trong những tiêu chuẩn EAP an toàn nhất có sẵn, mặc dù TLS cung cấp bảo mật mạnh mẽ chỉ miễn là người dùng hiểu cảnh báo tiềm năng về thông tin sai sự thật, và được phổ được hỗ trợ bởi tất cả các nhà sản xuất phần cứng và phần mềm mạng LAN không dây. Cho đến tháng 4 năm 2005, EAP-TLS là các nhà cung cấp loại EAP chỉ cần thiết để xác nhận cho một WPA hoặc WPA2 logo. [4] Có khách hàng và máy chủ hiện thực của EAP-TLS trong 3Com, Apple, Avaya, Brocade Communications, Cisco, Enterasys Networks, Foundry, Hirschmann, HP, Juniper, và Microsoft, và hệ điều hành mã nguồn mở. EAP-TLS được natively hỗ trợ trong Mac OS X 10.3 trở lên, wpa_supplicant, Windows 2000 SP4, Windows XP và ở trên, Windows Mobile 2003 trở lên, Windows CE 4.2, và hệ điều hành di động iOS của Apple.
Không giống như hầu hết các trường TLS HTTPS, chẳng hạn như trên World Wide Web, phần lớn các hiện thực của EAP-TLS phải có chứng chỉ X.509 phía khách hàng mà không đưa ra tùy chọn để vô hiệu hóa các yêu cầu, mặc dù tiêu chuẩn không uỷ quyền sử dụng của họ. [5] [6] Một số đã được xác định này là có khả năng làm giảm đáng kể thông qua EAP-TLS và ngăn chặn "mở" nhưng mã hóa các điểm truy cập. [5] [6] Vào ngày 22 tháng 8 năm 2012 hostapd (và wpa_supplicant) hỗ trợ thêm trong kho Git của mình cho một-TLS UNAUTH nhà cung cấp cụ loại EAP (sử dụng RFC hostapd / dự án wpa_supplicant 5612 Doanh nghiệp tư nhân số), [7] và vào ngày 25 tháng 2 năm 2014 thêm hỗ trợ cho các WFA-UNAUTH-TLS nhà cung cấp cụ loại EAP (bằng cách sử dụng Wi-Fi Alliance doanh nghiệp tư nhân số), [8] [9] mà chỉ làm máy chủ xác thực. Điều này sẽ cho phép cho các tình huống giống như HTTPS, nơi mà một hotspot không dây cho phép truy cập miễn phí và không xác thực khách hàng nhưng khách hàng trạm trạm muốn sử dụng mã hóa (IEEE 802.11i-2004 nghĩa là WPA2) và có khả năng xác thực hotspot không dây. Hiện cũng đã được đề xuất để sử dụng IEEE 802.11u cho các điểm truy cập để báo hiệu rằng họ cho phép EAP-TLS chỉ sử dụng xác thực phía máy chủ, sử dụng các tiêu chuẩn EAP-TLS IETF gõ thay vì một loại EAP nhà cung cấp cụ thể. [10]
Các yêu cầu cho một giấy chứng nhận phía khách hàng, tuy nhiên không phổ biến nó có thể được, là những gì cho EAP-TLS sức xác thực của nó và minh họa sự tiện lợi cổ điển vs an ninh thương mại-off. Với giấy chứng nhận phía máy khách, một mật khẩu bị tổn hại là không đủ để đột nhập vào hệ thống kích hoạt EAP-TLS vì kẻ xâm nhập vẫn cần phải có giấy chứng nhận phía khách hàng; thực sự, một mật khẩu là thậm chí không cần thiết, vì nó chỉ được sử dụng để mã hóa các giấy chứng nhận phía khách hàng để lưu trữ. Bảo mật cao nhất là khi "khóa riêng" của giấy chứng nhận phía khách hàng được đặt trong các thẻ thông minh. [11] Điều này là bởi vì không có cách nào để ăn cắp khóa riêng tương ứng một giấy chứng nhận phía khách hàng từ một thẻ thông minh mà không cần ăn cắp các thẻ chính nó. Có nhiều khả năng rằng hành vi trộm cắp vật lý của một thẻ thông minh sẽ được chú ý (và các thẻ thông minh bị thu hồi ngay lập tức) hơn một (điển hình) trộm cắp mật khẩu sẽ được nhận thấy.
EAP-MD5 [sửa]
EAP-MD5 là IETF Tiêu chuẩn Theo dõi dựa trên phương pháp EAP chỉ khi nó lần đầu tiên được định nghĩa trong RFC ban đầu cho EAP, RFC 2284. Nó cung cấp bảo mật tối thiểu; hàm băm MD5 là dễ bị tấn công từ điển, và không hỗ trợ hệ trọng, mà làm cho nó không phù hợp để sử dụng với WEP năng động, hoặc WPA doanh nghiệp / WPA2. EAP-MD5 khác với phương pháp EAP khác ở chỗ nó chỉ cung cấp chứng thực peer EAP cho máy chủ EAP nhưng không xác thực lẫn nhau. Bằng việc không cung cấp máy chủ xác thực EAP, phương pháp EAP này là dễ bị tấn công man-in-the-middle. [12] hỗ trợ EAP-MD5 lần đầu tiên được bao gồm trong Windows 2000 và bị phản đối trong Windows Vista. [13]
Protected EAP One-Time Password (EAP-POTP) [sửa]
Protected EAP One-Time Password (EAP-POTP), được mô tả trong RFC 4793, là một phương pháp EAP được phát triển bởi RSA Laboratories có sử dụng mật khẩu (OTP) thẻ một lần, chẳng hạn như một thiết bị phần cứng cầm tay hoặc một phần cứng hoặc phần mềm mô-đun chạy trên một máy tính cá nhân, để tạo ra các phím xác thực. EAP-POTP có thể được sử dụng để cung cấp chứng thực đơn phương, song phương và các tài liệu quan trọng trong các giao thức sử dụng EAP.
Các phương pháp EAP-POTP cung cấp xác thực người sử dụng hai yếu tố, có nghĩa là người dùng cần truy cập vật lý tới một token và kiến thức của một số cá nhân (PIN) để thực hiện xác thực. [14]
EAP Pre-Shared Key (EAP-PSK) [sửa]
chính EAP Pre-shared (EAP-PSK), được định nghĩa trong RFC 4764, là một phương pháp EAP để xác thực lẫn nhau và phiên nguồn gốc chủ yếu sử dụng khóa tiền chia sẻ (PSK). Nó cung cấp một kênh truyền thông bảo vệ, khi xác thực lẫn nhau là thành công, cho cả hai bên để giao tiếp và được thiết kế để xác thực trên các mạng không an toàn như IEEE 802.11.
EAP-PSK là tài liệu trong một RFC nghiệm cung cấp một phương pháp EAP nhẹ và mở rộng mà không đòi hỏi bất kỳ mật mã khóa công khai. EAP trao đổi giao thức phương pháp được thực hiện trong một tối thiểu là bốn thông điệp.
EAP Password (EAP-PWD) [sửa]
EAP Password (EAP-PWD), được định nghĩa trong RFC 5931, là một phương pháp EAP trong đó sử dụng một mật khẩu chung để xác thực. Các mật khẩu có thể là một thấp-entropy và có thể được rút ra từ một số thiết lập mật khẩu có thể, như một từ điển, trong đó có sẵn để kẻ tấn công. Các trao đổi quan trọng cơ bản là khả năng chống tấn công chủ động, tấn công thụ động, và tấn công từ điển.
EAP-PWD là trong các cơ sở của Android 4.0 (ICS), đó là tại FreeRADIUS [15] và Radiator [16] RADIUS server, nó là trong hostapd và wpa_supplicant. [17]
EAP đường hầm Transport Layer Security (EAP-TTLS) [sửa]
EAP đường hầm Transport Layer Security (EAP-TTLS) là một giao thức EAP kéo dài TLS. Nó được đồng phát triển bởi Funk Phần mềm và Certicom và được hỗ trợ rộng rãi trên nền tảng. Microsoft đã không kết hợp hỗ trợ cho các giao thức EAP-TTLS trong Windows XP, Vista hoặc 7. Hỗ trợ TTLS trên những nền tảng này đòi hỏi của bên thứ ba điều khiển mã hóa Protocol (ECP) phần mềm chứng nhận. Microsoft Windows bắt đầu hỗ trợ EAP-TTLS với Windows 8, [18] Tuy nhiên, Windows Phone 8 không hỗ trợ EAP-TTLS [19] trong khi phiên bản 8.1 hỗ trợ nó. [20]
Các khách hàng có thể, nhưng không phải được xác thực thông qua một chứng PKI CA-ký với máy chủ. Điều này giúp đơn giản hoá các thủ tục thiết lập từ một chứng chỉ không cần thiết trên mỗi khách hàng.
Sau khi máy chủ được bảo mật chứng thực cho khách hàng thông qua chứng chỉ CA của nó và có thể là khách hàng đến máy chủ, máy chủ sau đó có thể sử dụng các kết nối an toàn được thành lập ( "đường hầm") để xác thực cho khách hàng. Nó có thể sử dụng một giao thức xác thực hiện và triển khai rộng rãi và cơ sở hạ tầng, kết hợp các cơ mật khẩu di sản và cơ sở dữ liệu xác thực, trong khi đường hầm bảo mật cung cấp bảo vệ khỏi sự tấn công nghe trộm và man-in-the-middle. Lưu ý rằng tên của người dùng không bao giờ được truyền đi trong văn bản rõ ràng không được mã hóa, cải thiện sự riêng tư.
Hai phiên bản riêng biệt của EAP-TTLS tồn tại: EAP-TTLS gốc (còn gọi là EAP-TTLSv0) và EAP-TTLSv1. EAP-TTLSv0 được mô tả trong RFC 5281, EAP-TTLSv1 có sẵn như là một dự thảo Internet. [21]
EAP Internet Key Exchange v. 2 (EAP-thức IKEv2) [sửa]
Thông tin thêm: Internet Key Exchange
EAP Internet Key Exchange v. 2 (EAP-thức IKEv2) là một phương pháp EAP dựa trên giao thức phiên bản Internet Key Exchange 2 (giao thức IKEv2). Nó cung cấp xác thực lẫn nhau và phiên thành lập chính giữa một đẳng EAP và một máy chủ EAP. Nó hỗ trợ các kỹ thuật xác thực được dựa trên các loại sau đây của các thông tin:
cặp khóa bất đối xứng
Công / cặp khóa riêng mà chính công cộng được nhúng vào một giấy chứng nhận kỹ thuật số, và các khóa riêng tương ứng chỉ được biết đến với một đảng duy nhất.
mật khẩu
chuỗi bit thấp entropy được biết đến cả máy chủ và các đồng đẳng.
khóa đối xứng
chuỗi bit cao entropy được biết đến cả máy chủ và các đồng đẳng.
Có thể sử dụng một chứng chỉ xác thực khác nhau (và do đó kỹ thuật) trong mỗi hướng. Ví dụ, máy chủ xác thực EAP tự sử dụng công / tư cặp khóa và các đồng đẳng EAP sử dụng khóa đối xứng. Đặc biệt, sự kết hợp sau đây được dự kiến sẽ được sử dụng trong thực tế:
máy chủ EAP EAP đẳng
Asymmetric cặp khóa cặp khóa bất đối xứng
khóa đối xứng
Mật khẩu
Symmetric trọng đối xứng chính
EAP-thức IKEv2 được mô tả trong RFC 5106, và thực hiện một nguyên mẫu tồn tại.
EAP linh hoạt xác thực qua đường hầm bảo mật (EAP-FAST) [sửa]
Xác thực linh hoạt thông qua đường hầm bảo mật (EAP-FAST; RFC 4851) là một đề nghị giao thức của Cisco Systems là một sự thay thế cho LEAP [22]. Các giao thức được thiết kế để giải quyết những điểm yếu của LEAP trong khi bảo quản "nhẹ" thực hiện. Sử dụng chứng chỉ máy chủ là tùy chọn trong EAP-FAST. EAP-FAST sử dụng Protected Access Credential (PAC) để thiết lập một đường hầm TLS trong đó thông tin của khách hàng được xác minh.
EAP-FAST có ba giai đoạn: [23]
Giai đoạn Chức năng Mô tả Mục đích
0 In-band trích lập dự phòng-cung cấp ngang hàng với một bí mật chia sẻ được sử dụng trong an toàn chuyện giai đoạn 1 Sử dụng Authenticated Diffie-Hellman Protocol (ADHP). Giai đoạn này là giai đoạn độc lập khác; do đó, bất kỳ chương trình khác (in-band hoặc out-of-band) có thể được sử dụng trong tương lai. Loại bỏ các yêu cầu trong các khách hàng để thiết lập một bí mật tổng thể mỗi lần một khách hàng yêu cầu truy cập mạng
1 cơ sở Tunnel Xác minh bằng cách sử dụng PAC và thiết lập một đường hầm thành lập chính chính để cung cấp bảo mật và tính toàn vẹn trong quá trình xác thực trong giai đoạn 2
2 Xác thực Xác minh các đẳng Nhiều đường hầm, các cơ chế xác thực an toàn (thông tin trao đổi)
Khi tự động trích lập dự phòng PAC được kích hoạt, EAP-FAST có một lỗ hổng nhỏ, nơi một kẻ tấn công có thể đánh chặn PAC và sử dụng để thỏa hiệp thông tin người dùng. Lỗ hổng này được giảm nhẹ bằng tay PAC dự phòng hoặc bằng cách sử dụng chứng chỉ máy chủ cho các giai đoạn dự phòng PAC.
Điều đáng chú ý là các tập tin PAC được ban hành trên cơ sở mỗi người sử dụng. Đây là một yêu cầu trong RFC 4851 sec 7.4.4 vì vậy nếu một người dùng mới trên mạng từ một thiết bị, một file PAC mới phải được cấp phép đầu tiên. Đây là một trong những lý do tại sao nó là khó khăn không phải để chạy EAP-FAST trong chế độ trích lập dự phòng mang tính chất không an toàn. Việc thay thế là sử dụng mật khẩu thiết bị thay thế, nhưng sau đó thiết bị được xác nhận trên mạng không phải là người sử dụng.
EAP-FAST có thể được sử dụng mà không cần file PAC, rơi trở lại TLS bình thường.
EAP-FAST được natively hỗ trợ trong Apple OS X 10.4.8 hoặc mới hơn. Cisco cung cấp một mô-đun EAP-FAST [24] cho Windows Vista [25] và các hệ thống điều hành sau này mà có một kiến trúc EAPHost mở rộng cho các phương pháp xác thực mới, người van. [26]
EAP Subscriber Identity Module (EAP-SIM) [sửa]
EAP Subscriber Identity Module (EAP-SIM) được sử dụng để phân phối khóa xác thực và phiên sử dụng các mô-đun nhận dạng thuê bao (SIM) từ Global System for Mobile Communications (GSM).
mạng di động GSM sử dụng một thẻ mô-đun nhận dạng thuê bao để thực hiện xác thực người dùng. EAP-SIM sử dụng một thuật toán xác thực SIM giữa khách hàng và một Authentication, Authorization và máy chủ Kế toán (AAA) cung cấp xác thực lẫn nhau giữa khách hàng và mạng.
Trong EAP-SIM thông tin liên lạc giữa các thẻ SIM và Trung tâm Chứng thực (AuC) thay thế việc dùng một mật khẩu được thiết lập giữa máy khách và máy chủ AAA.
Các thuật toán A3 / A8 đang được chạy một vài lần, với những thách thức 128 bit khác nhau, do đó sẽ có nhiều hơn 64 bit Kc-s mà sẽ được kết hợp / hỗn hợp để tạo ra các phím mạnh mẽ hơn (Kc-s sẽ không được sử dụng trực tiếp). Việc thiếu xác thực lẫn nhau trong GSM cũng đã được khắc phục.
EAP-SIM được mô tả trong RFC 4186.
EAP Authentication và Hiệp Key (EAP-AKA) [sửa]
Extensible Authentication Protocol Phương pháp cho hệ thống viễn thông di động toàn cầu (UMTS) Authentication và Hiệp Key (EAP-AKA), là một cơ chế EAP để xác thực và phiên phân phối quan trọng bằng UMTS Subscriber Identity Module (USIM). EAP-AKA được định nghĩa trong RFC 4187.
EAP Authentication và Hiệp định chính nguyên tố (EAP-AKA ') [sửa]
EAP-AKA 'biến thể của EAP-AKA, được định nghĩa trong RFC 5448, và được sử dụng cho phi 3GPP truy cập vào một mạng lõi 3GPP. Ví dụ, thông qua EVDO, WiFi, hoặc WiMax.
EAP Thẻ Generic Mã (EAP-GTC) [sửa]
EAP Generic Token Card, hoặc EAP-GTC, là một phương pháp EAP tạo ra bởi Cisco như một thay thế cho PEAPv0 / EAP-MSCHAPv2 và định nghĩa trong RFC 2284 và RFC 3748. EAP-GTC mang một thách thức văn bản từ máy chủ xác thực, và một bài trả lời tạo ra bởi một mã bảo vệ. Các cơ chế xác thực PEAP-GTC cho phép xác thực chung cho một số cơ sở dữ liệu như dịch vụ thư Novell (NDS) và Lightweight Directory Access Protocol (LDAP), cũng như việc sử dụng một mật khẩu một lần.
EAP Key Exchange được mã hóa (EAP-EKE) [sửa]
EAP với việc trao đổi khóa mã hóa, hoặc EAP-EKE, là một trong số ít các phương pháp EAP cung cấp chứng thực lẫn nhau an toàn bằng mật khẩu ngắn và không cần giấy chứng nhận khóa công khai. Nó là một trao đổi ba vòng, dựa trên các biến thể Diffie-Hellman của giao thức EKE nổi tiếng.
EAP-EKE được quy định trong RFC 6124.
Encapsulation [sửa]
EAP không phải là một giao thức dây; thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức có sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong thông điệp của giao thức đó.
IEEE 802.1X [sửa]
Bài chi tiết: IEEE 802.1X
Việc đóng gói EAP trên IEEE 802 được định nghĩa trong IEEE 802.1X và được gọi là "EAP qua mạng LAN" hoặc EAPOL. [27] [28] [29] EAPOL đầu được thiết kế theo chuẩn IEEE 802.3 Ethernet trong 802.1X-2001, nhưng đã được làm sáng tỏ cho phù hợp với công nghệ IEEE 802 LAN khác như IEEE 802.11 không dây và sợi phân phối Giao diện dữ liệu (ISO 9314-2) trong 802.1X-2004. [30] Các giao thức EAPOL cũng đã được sửa đổi để sử dụng với IEEE 802.1AE (MACSec) và IEEE 802.1AR (Initial Device Identity, IDevID) trong 802.1X-2010. [31]
Khi EAP được gọi bởi một 802.1X kích hoạt Network Access Server (NAS) thiết bị như một IEEE 802.11i-2004 Wireless Access Point (WAP), phương pháp EAP hiện đại có thể cung cấp một cơ chế xác thực an toàn và thương lượng một khóa riêng an toàn (Pair-khôn ngoan Master Key, PMK) giữa khách hàng và NAS mà sau đó có thể được sử dụng cho một phiên mã hóa không dây sử dụng TKIP hoặc CCMP (dựa trên AES).
PEAP [sửa]
Bài chi tiết: bảo vệ giao thức xác thực mở rộng
Protected Extensible Authentication Protocol, còn được gọi là Protected EAP hoặc đơn giản là PEAP, là một giao thức đóng gói EAP trong vòng một có khả năng mã hóa và xác thực Transport Layer Security (TLS) đường hầm. [32] [33] [34] Mục đích là để sửa chữa thiếu sót trong EAP; EAP giả định một kênh truyền thông bảo vệ, chẳng hạn như cung cấp bởi an ninh vật lý, do cơ sở để bảo vệ các cuộc đàm thoại EAP không được cung cấp. [35]
PEAP được phát triển bởi Cisco Systems, Microsoft, và RSA Security. PEAPv0 là phiên bản bao gồm với Microsoft Windows XP và được trên danh nghĩa được xác định trong dự thảo-Kamath-pppext-peapv0-00. PEAPv1 và PEAPv2 được xác định trong các phiên bản khác nhau của dự thảo-Josefsson-pppext-eap-tls-eap. PEAPv1 đã được xác định trong dự thảo-Josefsson-pppext-eap-tls-eap-00 thông qua dự thảo-Josefsson-pppext-eap-tls-eap-05, [36] và PEAPv2 đã được xác định trong các phiên bản bắt đầu với dự thảo-Josefsson-pppext-eap -tls-eap-06. [37]
Các giao thức chỉ định chaining nhiều cơ chế EAP và không bất kỳ phương pháp cụ thể. [33] [38] Sử dụng các phương pháp EAP-MSCHAPv2 và EAP-GTC được hỗ trợ phổ biến nhất. [Cần dẫn nguồn]
RADIUS và Đường kính [sửa]
Bài chi tiết: RADIUS và Đường kính (giao thức)
Cả RADIUS và Đường kính giao thức AAA có thể gói gọn thông điệp EAP. Chúng thường được sử dụng bởi các thiết bị Network Access Server (NAS) để chuyển tiếp các gói tin EAP giữa các điểm cuối IEEE 802.1X và máy chủ AAA để tạo điều kiện IEEE 802.1X.
PANA [sửa]
Bài chi tiết: Nghị định thư về Thực xác thực cho mạng truy nhập
Nghị định thư về Thực Authentication cho Network Access (PANA) là một giao thức dựa trên IP cho phép một thiết bị để xác thực chính nó với một mạng lưới để được cấp quyền truy cập. PANA sẽ không xác định bất kỳ giao thức xác thực mới, phân phối chính, thỏa thuận quan trọng hoặc các giao thức dẫn xuất chính; cho những mục đích này, EAP sẽ được sử dụng, và PANA sẽ mang tải trọng EAP. PANA cho phép lựa chọn nhà cung cấp dịch vụ năng động, hỗ trợ các phương pháp xác thực khác nhau, thích hợp cho người sử dụng chuyển vùng, và độc lập với các cơ chế lớp liên kết.
PPP [sửa]
Bài chi tiết: Point-to-Point Protocol
EAP ban đầu là một phần mở rộng xác thực cho Point-to-Point Protocol (PPP). PPP đã hỗ trợ EAP từ EAP đã được tạo ra như là một thay thế cho các Challenge-Handshake Authentication Protocol (CHAP) và Password Authentication Protocol (PAP), mà cuối cùng đã được đưa vào EAP. EAP mở rộng của PPP lần đầu tiên được định nghĩa trong RFC 2284, bây giờ lỗi thời bởi RFC 3748.
https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
Comments
Post a Comment