基礎(chǔ)知識(shí)解讀：可擴(kuò)展的驗(yàn)證協(xié)議EAP

發(fā)布時(shí)間：2024-06-05

基礎(chǔ)知識(shí)解讀：可擴(kuò)展的驗(yàn)證協(xié)議eap
eap 身份驗(yàn)證方法
使用可擴(kuò)展的身份驗(yàn)證協(xié)議(eap)，任意身份驗(yàn)證機(jī)制都可以對遠(yuǎn)程訪問連接進(jìn)行身份驗(yàn)證。通過遠(yuǎn)程 vpn 客戶端和驗(yàn)證程序(isa服務(wù)器或 radius服務(wù)器)協(xié)商要使用的確切身份驗(yàn)證方案。isa 服務(wù)器包括默認(rèn)情況下支持 message digest 5challenge(md5-challenge) 和 eap-transport level security (eap-tls)。
eap 允許遠(yuǎn)程vpn客戶端和驗(yàn)證程序之間進(jìn)行開端對話。對話由對身份驗(yàn)證信息的驗(yàn)證程序請求和遠(yuǎn)程 vpn 客戶端的響應(yīng)組成。例如，當(dāng)eap與安全標(biāo)記卡一起使用時(shí)，驗(yàn)證程序可以單獨(dú)查詢遠(yuǎn)程訪問客戶端的名稱、pin和卡標(biāo)記值。經(jīng)過提問和回答一輪查詢之后，遠(yuǎn)程訪問客戶端將通過身份驗(yàn)證的另一個(gè)級(jí)別。正確回答所有問題之后，將對遠(yuǎn)程訪問客戶端進(jìn)行身份驗(yàn)證。
特定的 eap 身份驗(yàn)證方案稱為eap類型。遠(yuǎn)程訪問客戶端和驗(yàn)證程序必須支持相同的 eap 類型才能成功進(jìn)行身份驗(yàn)證。
有關(guān)配置身份驗(yàn)證方法的說明，請參閱配置 vpn 身份驗(yàn)證方法。
eap 結(jié)構(gòu)
eap 是一組以插件模塊的形式為任何eap類型提供結(jié)構(gòu)支持的內(nèi)部組件。為了成功進(jìn)行身份驗(yàn)證，遠(yuǎn)程訪問客戶端和驗(yàn)證程序必須安裝相同的 eap 身份驗(yàn)證模塊。isa服務(wù)器支持兩種eap 類型：md5-challenge 和 eap-tls。
md5-challenge
message digest 5challenge(md5-challenge) 是一種必需的 eap 類型，其使用與基于 ppp 的chap相同的質(zhì)詢/握手協(xié)議，但是質(zhì)詢和響應(yīng)是作為 eap消息發(fā)送的。md5-challenge的典型用法是通過使用用戶名和密碼安全系統(tǒng)對遠(yuǎn)程 vpn 客戶端的憑據(jù)進(jìn)行身份驗(yàn)證。您還可以使用md5-challenge 來測試eap 的互操作性。
eap-tls
eap-transport level security(eap-tls)是在基于證書的安全環(huán)境中使用的 eap 類型。如果您將智能卡用于遠(yuǎn)程訪問身份驗(yàn)證，則必須使用eap-tls身份驗(yàn)證方法。eap-tls 的消息交換可以提供遠(yuǎn)程vpn客戶端和驗(yàn)證程序之間的相互身份驗(yàn)證、加密方法的協(xié)商和加密密鑰的確定。eap-tls 提供了*強(qiáng)大的身份驗(yàn)證和密鑰確定方法。
eap-radius
eap-radius 并不是一種 eap類型，但是可以通過驗(yàn)證程序?qū)⑷魏蝒ap 類型的 eap 消息傳遞到 radius 服務(wù)器，以便進(jìn)行身份驗(yàn)證。例如，將 isa服務(wù)器配置為用于 radius身份驗(yàn)證時(shí)，將封裝在遠(yuǎn)程 vpn 客戶端和 isa 服務(wù)器之間發(fā)送的 eap 消息，并在遠(yuǎn)程訪問服務(wù)器和radius服務(wù)器之間將格式設(shè)置為 radius 消息。
eap-radius 用在將 radius作為身份驗(yàn)證提供程序的環(huán)境中。使用eap-radius 的優(yōu)勢在于不需要在每個(gè)遠(yuǎn)程訪問服務(wù)器上安裝 eap 類型，只需要在radius 服務(wù)器上安裝即可。在internet 驗(yàn)證服務(wù) (ias) 中，只需要在 isa 服務(wù)器上安裝 eap 類型。