科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道无线基础知识解读:可扩展的身份验证协议EAP

基础知识解读:可扩展的身份验证协议EAP

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

使用可扩展的身份验证协议 (EAP),任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 VPN 客户端和验证程序(ISA 服务器或 RADIUS 服务器)协商要使用的确切身份验证方案。ISA 服务器包括默认情况下支持 Message Digest 5 Challenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。

来源:比特网 2011年4月13日

关键字: 无线网络 无线安全

  • 评论
  • 分享微博
  • 分享邮件

  EAP 身份验证方法

  使用可扩展的身份验证协议 (EAP),任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 VPN 客户端和验证程序(ISA 服务器或 RADIUS 服务器)协商要使用的确切身份验证方案。ISA 服务器包括默认情况下支持 Message Digest 5 Challenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。

  EAP 允许远程 VPN 客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程 VPN 客户端的响应组成。例如,当 EAP 与安全标记卡一起使用时,验证程序可以单独查询远程访问客户端的名称、PIN 和卡标记值。经过提问和回答一轮查询之后,远程访问客户端将通过身份验证的另一个级别。正确回答所有问题之后,将对远程访问客户端进行身份验证。

  特定的 EAP 身份验证方案称为 EAP 类型。远程访问客户端和验证程序必须支持相同的 EAP 类型才能成功进行身份验证。

  有关配置身份验证方法的说明,请参阅配置 VPN 身份验证方法。

  EAP 结构

  EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。

  MD5-Challenge

  Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型,其使用与基于 PPP 的 CHAP 相同的质询/握手协议,但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 VPN 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互操作性。

  EAP-TLS

  EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。

  EAP-RADIUS

  EAP-RADIUS 并不是一种 EAP 类型,但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器,以便进行身份验证。例如,将 ISA 服务器配置为用于 RADIUS 身份验证时,将封装在远程 VPN 客户端和 ISA 服务器之间发送的 EAP 消息,并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。

  EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中,只需要在 ISA 服务器上安装 EAP 类型。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章