peap 身份验证协议

PEAP

受保护的可扩展的身份验证协议 (PEAP) 是可扩展的身份验证协议 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS) 在正在验证的 PEAP 客户端(例如无线计算机)和 PEAP 身份验证器(例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 服务器)之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议,该协议可以通过 PEAP 提供的 TLS 加密通道得以实现。PEAP 用作 802.11 无线客户端计算机的身份验证方法,但虚拟专用网 (VPN) 客户端或其他远程访问客户端不支持它。

为增强 EAP 协议和网络安全性,PEAP 提供:

对通过 TLS 通道在客户端和服务器之间进行的 EAP 方法协商的保护。这有助于防止攻击者在客户端和网络访问服务器 (NAS) 之间插入数据包,以防对安全性较低的 EAP 方法进行协商。加密 TLS 通道也助于防止针对 IAS 服务器进行的拒绝服务攻击。

对消息碎片和消息重组的支持,允许使用不提供此功能的 EAP 类型。

能够对 IAS 或 RADIUS 服务器进行身份验证的无线客户端。因为服务器也对客户端进行身份验证,所以相互进行身份验证的情况出现。

当 EAP 客户端验证 IAS 服务器所提供的证书时,对部署未经授权的无线访问点 (WAP) 的保护。另外,PEAP 身份验证器和客户端创建的 TLS 主机密不与该访问点共享。因此,该访问点不能解密受 PEAP 保护的消息。

PEAP 快速重新连接,它减少客户端身份验证请求和 IAS 或 RADIUS 服务器响应之间的时间延迟,并允许无线客户端在访问点之间移动而无需重复身份验证请求。这样可以减少客户端和服务器的资源要求。

PEAP 身份验证过程

PEAP 客户端和身份验证器之间的 PEAP 身份验证过程有两个阶段。第一个阶段建立 PEAP 客户端和身份验证服务器之间的安全通道。第二个阶段提供 EAP 客户端和身份验证器之间的 EAP 身份验证。

TLS 加密通道

无线客户端与无线访问点关联。在客户端和访问点之间创建安全关联之前,基于 IEEE 802.11 的关联会提供开放系统或共享密钥验证。在客户端与访问点之间成功建立基于 IEEE 802.11 的关联之后,TLS 会话与访问点协商。成功完成无线客户端和服务器(例如 IAS 服务器)之间的身份验证之后,TLS 会话之间进行协商。在此协商期间获得的密钥用于加密所有后续通信。

进行 EAP 身份验证的通信

整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。IAS 服务器对用户和客户端计算机进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(EAP-TLS 或 EAP-MS-CHAPv2)。访问点只会在无线客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点(或者对它们进行监视的人)无法对这些消息进行解密。

使用 PEAP 的 802.11 无线部署

可以在两种 EAP 类型中选择一种与 PEAP 共同使用:EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用凭据(用户名和密码)进行用户身份验证,使用服务器计算机证书存储中的证书进行服务器验证。EAP-TLS 使用安装在客户端计算机或智能卡中的证书进行用户和客户端计算机验证,使用服务器计算机证书存储中的证书进行服务器验证。

带 EAP-MS-CHAPv2 的 PEAP

带 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易于部署,因为用户身份验证是使用基于密码的凭据(用户名和密码)来完成的,而不是使用证书或智能卡 - 只有 IAS 或 RADIUS 服务器需要有证书。另外,服务器证书可以由客户端计算机所信任的公共证书颁发机构 (CA) 颁发(即,公用的 CA 证书已经存在于客户端计算机证书存储中的“受信根证书颁发机构”文件夹内)。在这种情况下,服务器证书不会被下载和添加到客户端受信任的根证书存储中,用户也不会被提示来决定是否信任服务器。

PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性,它使用相互身份验证,防止未经授权的服务器协商最不安全的身份验证方法,提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任服务器提供的证书。

有关服务器和客户端计算机证书要求,请参阅网络访问身份验证和证书。有关使用 PEAP-EAP-MS-CHAPv2 的无线访问策略示例,请参阅使用安全密码身份验证的无线访问

带 EAP-TLS 的 PEAP

公钥证书提供的身份验证方法比使用基于密码的凭据更强。带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用证书对服务器进行身份验证,使用证书或智能卡对用户及客户端计算机进行身份验证。要使用 PEAP-EAP-TLS,必须部署公钥基础结构 (PKI)。

详细信息,请参阅网络访问身份验证和证书

PEAP 快速重新连接

PEAP 快速重新连接,能使无线客户端可以在同一网络的无线访问点之间移动,而不必在每次与新访问点关联时都被重新验证身份。

将无线访问点配置为 RADIUS 服务器的 RADIUS 客户端。如果无线客户端在配置为同一 RADIUS 服务器的客户端的访问点之间漫游,客户端无需因每个新关联而进行身份验证。当客户端移动到配置为不同 RADIUS 服务器的 RADIUS 客户端的访问点时,虽然要对客户端重新验证身份,但是此过程处理的效率要高得多。

因为将身份验证请求从新服务器转发到原来的服务器,所以 PEAP 快速重新连接减少了客户端和身份验证器之间的响应时间。由于 PEAP 客户端和身份验证器都使用先前缓存的 TLS 连接属性(其集合称为 TLS 句柄),所以身份验证器可以快速确定客户端连接是重新连接。

如果原来的 PEAP 身份验证器不可用,则在客户端和新的身份验证器之间必须进行完整的身份验证。客户端缓存新的 PEAP 身份验证器的 TLS 句柄。客户端可以缓存多个 PEAP 身份验证器的 TLS 句柄。对于智能卡或 PEAP-EAP-MSCHAPv2 身份验证,要求用户分别提供 PIN 或凭据。

使用 PEAP-EAP-MS-CHAPv2 身份验证:

 
在新的访问点是同一 RADIUS 服务器的客户端时 在新的访问点是新 RADIUS 服务器的客户端时

每次客户端计算机与新访问点关联时,不提示用户输入凭据。

提示用户在此初始关联上输入凭据。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不需要用户凭据。

不需要 RADIUS 服务器提供证书。

RADIUS 服务器提供此初始关联上的证书,以便无线客户端可以对 RADIUS 服务器进行身份验证。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不需要对服务器重新进行身份验证。

 

 

使用 PEAP-EAP-TLS 身份验证:

 
在新的访问点是同一 RADIUS 服务器的客户端时 在新的访问点是新 RADIUS 服务器的客户端时

不需要客户端和服务器交换证书。

客户端和服务器在此初始关联上交换证书。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不交换证书。

客户端计算机每次与新访问点关联时,都不会提示用户输入智能卡的个人识别号 (PIN)。

提示用户在此初始关联上输入智能卡 PIN。下一次客户端计算机与该服务器的客户端的访问点关联时,不提示用户输入 PIN。

 

 

有关 RADIUS 客户端的详细信息,请参阅 RADIUS 基础结构的组件

有关 RADIUS 代理服务器的详细信息,请参阅作为 RADIUS 代理的 IAS

要启用 PEAP 快速重新连接,请执行以下操作:

PEAP 客户端(802.11 无线客户端)和 PEAP 身份验证器(RADIUS 服务器)必须启用快速重新连接。

PEAP 客户端漫游所至的所有访问点,必须配置为 RADIUS 服务器(PEAP 身份验证器)的 RADIUS 客户端,对于此服务器,PEAP 配置为无线连接的身份验证方法。

与 PEAP 客户端关联的所有访问点,都必须配置为优先选择同一 RADIUS 服务器(PEAP 身份验证器),以免被提示输入每个 RADIUS 服务器的凭据。如果访问点不能配置为优先选择 RADIUS 服务器,那么可以配置 IAS RADIUS 代理使用首选 RADIUS 服务器。

详细信息,请参阅配置 PEAP 和 EAP 方法

注意

在将 PEAP-EAP-TLS 和 EAP-TLS 身份验证方法与证书一起使用时,TLS 使用缓存的证书属性,而不是从证书存储中读取证书。如果证书被更改,或者被删除并由新证书替代,TLS 会继续使用过期的缓存证书信息,直到该缓存过期或被刷新为止。如果更改或替换证书,那么可以通过重新启动服务器计算机刷新 TLS 缓存。

PEAP 不支持用户名和密码为空的来宾身份验证。

当部署 PEAP 和不受 PEAP 保护 的 EAP 时,无论是否具备 PEAP,都不要使用同一个 EAP 身份验证类型。例如,如果部署带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 时,请不要部署不具备 PEAP 的 EAP-TLS。用同一类型部署身份验证方法(一种带有 PEAP 保护,另一种没有 PEAP)将产生安全漏洞。

您可以在 Windows Server 2003 Standard Edition 中配置 IAS,最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。您可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端,但不能通过指定 IP 地址范围定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址,则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外,您可以通过指定 IP 地址范围来配置 RADIUS 客户端。

以上内容来自:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/3e94a25d-8922-4935-b248-540aa6b8c510.mspx?mfr=true

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据