Rozszerzalny protokół uwierzytelniania — Extensible Authentication Protocol

Extensible Authentication Protocol ( EAP ) to struktura uwierzytelniania często używana w połączeniach sieciowych i internetowych. Jest zdefiniowany w RFC 3748, który uczynił RFC 2284 przestarzałym, i jest aktualizowany przez RFC 5247. EAP to struktura uwierzytelniania zapewniająca transport i wykorzystanie materiałów i parametrów generowanych przez metody EAP. Istnieje wiele metod zdefiniowanych w dokumentach RFC, a także wiele metod specyficznych dla dostawców i istnieją nowe propozycje. EAP nie jest protokołem przewodowym; zamiast tego definiuje tylko informacje z interfejsu i formatów. Każdy protokół używający protokołu EAP definiuje sposób enkapsulacji przez użytkownika komunikatów EAP w komunikatach tego protokołu.

EAP jest w powszechnym użyciu. Na przykład w IEEE 802.11 (WiFi) standardy WPA i WPA2 przyjęły IEEE 802.1X (z różnymi typami EAP) jako kanoniczny mechanizm uwierzytelniania.

Metody

EAP to struktura uwierzytelniania, a nie konkretny mechanizm uwierzytelniania. Zapewnia kilka typowych funkcji i negocjowanie metod uwierzytelniania zwanych metodami EAP. Obecnie zdefiniowano około 40 różnych metod. Metody zdefiniowane w dokumentach RFC IETF obejmują EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA i EAP-AKA'. Ponadto istnieje szereg metod specyficznych dla dostawcy i nowych propozycji. Powszechnie stosowane nowoczesne metody pracy w sieciach bezprzewodowych to EAP-TLS, EAP-SIM, EAP-AKA, LEAP i EAP-TTLS. Wymagania dotyczące metod EAP stosowanych w uwierzytelnianiu bezprzewodowej sieci LAN są opisane w RFC 4017. Lista kodów typów i pakietów używanych w EAP jest dostępna w rejestrze IANA EAP.

Norma opisuje również warunki, w których można spełnić wymagania dotyczące zarządzania kluczami AAA opisane w RFC 4962.

Lekki rozszerzalny protokół uwierzytelniania (LEAP)

Metoda Lightweight Extensible Authentication Protocol (LEAP) została opracowana przez firmę Cisco Systems przed ratyfikacją przez IEEE standardu bezpieczeństwa 802.11i . Cisco rozpowszechniało protokół za pośrednictwem CCX (Cisco Certified Extensions) w ramach uzyskiwania 802.1X i dynamicznej adopcji WEP w branży w przypadku braku standardu. Nie ma natywnej obsługi LEAP w żadnym systemie operacyjnym Windows , ale jest ona powszechnie obsługiwana przez oprogramowanie klienckie innych firm, najczęściej dołączane do urządzeń WLAN (bezprzewodowej sieci LAN). Obsługę LEAP dla systemów Microsoft Windows 7 i Microsoft Windows Vista można dodać, pobierając dodatek klienta z firmy Cisco, który zapewnia obsługę zarówno LEAP, jak i EAP-FAST. Ze względu na szerokie zastosowanie LEAP w branży sieciowej wielu innych dostawców WLAN twierdzi, że obsługuje LEAP.

LEAP używa zmodyfikowanej wersji MS-CHAP , protokołu uwierzytelniania , w którym poświadczenia użytkownika nie są silnie chronione i łatwo je złamać; narzędzie do exploitów o nazwie ASLEAP zostało wydane na początku 2004 roku przez Joshuę Wrighta. Cisco zaleca, aby klienci, którzy bezwzględnie muszą używać LEAP, robili to tylko z wystarczająco złożonymi hasłami, chociaż skomplikowane hasła są trudne do administrowania i egzekwowania. Obecnie firma Cisco zaleca używanie nowszych i silniejszych protokołów EAP, takich jak EAP-FAST, PEAP lub EAP-TLS.

EAP Transport Layer Security (EAP-TLS)

EAP Transport Layer Security (EAP-TLS), zdefiniowany w RFC 5216, jest otwartym standardem IETF, który wykorzystuje protokół Transport Layer Security (TLS) i jest dobrze obsługiwany przez dostawców sieci bezprzewodowych. EAP-TLS to oryginalny, standardowy protokół uwierzytelniania EAP bezprzewodowej sieci LAN.

EAP-TLS jest nadal uważany za jeden z najbezpieczniejszych dostępnych standardów EAP, chociaż TLS zapewnia silne zabezpieczenia tylko pod warunkiem, że użytkownik rozumie potencjalne ostrzeżenia o fałszywych poświadczeniach i jest powszechnie obsługiwany przez wszystkich producentów sprzętu i oprogramowania bezprzewodowej sieci LAN. Do kwietnia 2005 r. EAP-TLS był jedynym dostawcą typu EAP potrzebnym do certyfikacji logo WPA lub WPA2. Istnieją implementacje klienckie i serwerowe EAP-TLS w 3Com, Apple, Avaya , Brocade Communications, Cisco, Enterasys Networks, Fortinet, Foundry, Hirschmann, HP, Juniper, Microsoft oraz w systemach operacyjnych typu open source. EAP- TLS jest natywnie obsługiwany w systemach Mac OS X 10.3 i nowszych, wpa_supplicant , Windows 2000 SP4, Windows XP i nowszych, Windows Mobile 2003 i nowszych, Windows CE 4.2 oraz mobilnym systemie operacyjnym Apple iOS.

W przeciwieństwie do większości implementacji protokołu TLS HTTPS , takich jak w sieci World Wide Web , większość implementacji EAP-TLS wymaga wzajemnego uwierzytelniania przy użyciu certyfikatów X.509 po stronie klienta bez możliwości wyłączenia tego wymogu, nawet jeśli standard nie nakazuje Ich wykorzystanie. Niektórzy stwierdzili, że może to znacznie ograniczyć stosowanie EAP-TLS i zapobiec „otwartym”, ale zaszyfrowanym punktom dostępowym. 22 sierpnia 2012 hostapd (i wpa_supplicant) dodał obsługę w swoim repozytorium Git dla typu EAP UNAUTH-TLS specyficznego dla dostawcy (przy użyciu projektu hostapd/wpa_supplicant RFC 5612 Private Enterprise Number), a 25 lutego 2014 dodał obsługę WFA- Typ EAP UNAUTH-TLS specyficzny dla dostawcy (przy użyciu numeru przedsiębiorstwa prywatnego Wi-Fi Alliance ), który wykonuje tylko uwierzytelnianie serwera. Umożliwiłoby to sytuacje podobne do HTTPS, w których bezprzewodowy punkt dostępu umożliwia swobodny dostęp i nie uwierzytelnia klientów stacji, ale klienci stacji chcą używać szyfrowania ( IEEE 802.11i-2004, tj. WPA2 ) i potencjalnie uwierzytelniać bezprzewodowy punkt dostępu. Pojawiły się również propozycje wykorzystania IEEE 802.11u dla punktów dostępowych, aby zasygnalizować, że zezwalają one na EAP-TLS przy użyciu tylko uwierzytelniania po stronie serwera, używając standardowego typu EAP-TLS IETF zamiast typu EAP specyficznego dla dostawcy.

Wymaganie certyfikatu po stronie klienta, jakkolwiek niepopularne, jest tym, co daje EAP-TLS siłę uwierzytelniania i ilustruje klasyczny kompromis między wygodą a bezpieczeństwem. W przypadku certyfikatu po stronie klienta złamane hasło nie wystarczy, aby włamać się do systemów obsługujących EAP-TLS, ponieważ intruz nadal musi mieć certyfikat po stronie klienta; w rzeczywistości hasło nie jest nawet potrzebne, ponieważ służy tylko do szyfrowania certyfikatu po stronie klienta w celu przechowywania. Najwyższy dostępny poziom bezpieczeństwa jest wtedy, gdy „klucze prywatne” certyfikatu po stronie klienta są przechowywane w kartach inteligentnych . Dzieje się tak, ponieważ nie ma możliwości kradzieży odpowiedniego klucza prywatnego certyfikatu po stronie klienta z karty inteligentnej bez kradzieży samej karty. Bardziej prawdopodobne jest, że fizyczna kradzież karty inteligentnej zostanie zauważona (i karta inteligentna natychmiast unieważniona), niż zostanie zauważona (typowa) kradzież hasła. Ponadto klucz prywatny na karcie inteligentnej jest zwykle szyfrowany przy użyciu kodu PIN, który zna tylko właściciel karty, co minimalizuje jego użyteczność dla złodzieja, nawet zanim karta zostanie zgłoszona skradziona i unieważniona.

EAP-MD5

EAP-MD5 była jedyną metodą EAP opartą na śledzeniu standardów IETF, kiedy została po raz pierwszy zdefiniowana w oryginalnym dokumencie RFC dla EAP, RFC 2284. Oferuje minimalne bezpieczeństwo; MD5 hash jest podatny na ataki słownikowe , i nie obsługuje generowania klucza, co sprawia, że nie nadają się do użycia z dynamicznym WEP lub WPA / WPA2 przedsiębiorstwie. EAP-MD5 różni się od innych metod EAP tym, że zapewnia tylko uwierzytelnianie partnera EAP do serwera EAP, ale nie uwierzytelnianie wzajemne. Ponieważ nie zapewnia uwierzytelniania serwera EAP, ta metoda EAP jest podatna na ataki typu man-in-the-middle. Obsługa protokołu EAP-MD5 została po raz pierwszy dołączona do systemu Windows 2000 i przestarzała w systemie Windows Vista .

Hasło jednorazowe chronione EAP (EAP-POTP)

Chronione hasło jednorazowe EAP (EAP-POTP), opisane w RFC 4793, to metoda EAP opracowana przez RSA Laboratories, która wykorzystuje tokeny hasła jednorazowego (OTP), takie jak urządzenie przenośne lub moduł sprzętowy lub programowy uruchomiony na komputerze osobistym, w celu wygenerowania kluczy uwierzytelniających. Protokół EAP-POTP może służyć do zapewnienia jednostronnego lub wzajemnego uwierzytelniania i materiału klucza w protokołach korzystających z protokołu EAP.

Metoda EAP-POTP zapewnia dwuskładnikowe uwierzytelnianie użytkownika, co oznacza, że do przeprowadzenia uwierzytelnienia użytkownik potrzebuje zarówno fizycznego dostępu do tokena, jak i znajomości osobistego numeru identyfikacyjnego (PIN).

Wstępnie udostępniony klucz EAP (EAP-PSK)

EAP Pre-shared key (EAP-PSK), zdefiniowany w RFC 4764, jest metodą EAP do wzajemnego uwierzytelniania i wyprowadzania klucza sesji przy użyciu klucza wstępnego (PSK). Zapewnia chroniony kanał komunikacji, gdy wzajemne uwierzytelnianie się powiedzie, dla obu stron do komunikowania się i jest przeznaczony do uwierzytelniania w niezabezpieczonych sieciach, takich jak IEEE 802.11.

Protokół EAP-PSK jest udokumentowany w eksperymentalnym dokumencie RFC, który zapewnia lekką i rozszerzalną metodę EAP, która nie wymaga żadnej kryptografii klucza publicznego. Wymiana protokołu metody EAP odbywa się w co najmniej czterech komunikatach.

Hasło EAP (EAP-PWD)

Hasło EAP (EAP-PWD), zdefiniowane w RFC 5931, to metoda EAP, która używa wspólnego hasła do uwierzytelniania. Hasło może mieć niską entropię i może pochodzić z pewnego zestawu możliwych haseł, takich jak słownik, który jest dostępny dla atakującego. Podstawowa wymiana kluczy jest odporna na atak aktywny, atak pasywny i atak słownikowy.

EAP-PWD jest w bazie Androida 4.0 (ICS), znajduje się na serwerach FreeRADIUS i Radiator RADIUS, a także jest w hostapd i wpa_supplicant.

EAP Tunneled Transport Layer Security (EAP-TTLS)

EAP Tunneled Transport Layer Security (EAP-TTLS) to protokół EAP, który rozszerza TLS . Został opracowany wspólnie przez Funk Software i Certicom i jest szeroko obsługiwany na różnych platformach. Firma Microsoft nie włączyła natywnej obsługi protokołu EAP-TTLS w systemach Windows XP , Vista lub 7 . Obsługa protokołu TTLS na tych platformach wymaga oprogramowania z certyfikatem Encryption Control Protocol (ECP) innej firmy. Microsoft Windows uruchomił obsługę EAP-TTLS wraz z Windows 8 , obsługa EAP-TTLS pojawiła się w Windows Phone w wersji 8.1 .

Klient może, ale nie musi być uwierzytelniany na serwerze za pomocą certyfikatu PKI podpisanego przez urząd certyfikacji. To znacznie upraszcza procedurę konfiguracji, ponieważ certyfikat nie jest potrzebny na każdym kliencie.

Po bezpiecznym uwierzytelnieniu serwera wobec klienta za pomocą certyfikatu CA i opcjonalnie klienta wobec serwera, serwer może następnie użyć ustanowionego bezpiecznego połączenia („tunel”) do uwierzytelnienia klienta. Może korzystać z istniejącego i szeroko wdrożonego protokołu i infrastruktury uwierzytelniania, włączając starsze mechanizmy haseł i bazy danych uwierzytelniania, podczas gdy bezpieczny tunel zapewnia ochronę przed podsłuchem i atakiem typu man-in-the-middle . Należy pamiętać, że nazwa użytkownika nigdy nie jest przesyłana w postaci niezaszyfrowanego zwykłego tekstu, co poprawia prywatność.

Istnieją dwie różne wersje EAP-TTLS: oryginalny EAP-TTLS (znany również jako EAP-TTLSv0) i EAP-TTLSv1. EAP-TTLSv0 jest opisany w RFC 5281, EAP-TTLSv1 jest dostępny jako wersja robocza internetowa.

Internetowa wymiana kluczy EAP, wersja 2 (EAP-IKEv2)

EAP Internet Key Exchange v. 2 (EAP-IKEv2) to metoda EAP oparta na protokole Internet Key Exchange w wersji 2 (IKEv2). Zapewnia wzajemne uwierzytelnianie i ustanawianie klucza sesji między punktem równorzędnym EAP i serwerem EAP. Obsługuje techniki uwierzytelniania oparte na następujących typach poświadczeń:

Asymetryczne pary kluczy

Pary kluczy publiczny/prywatny, w których klucz publiczny jest osadzony w certyfikacie cyfrowym , a odpowiadający mu klucz prywatny jest znany tylko jednej stronie.

Hasła

Łańcuchy bitów o niskiej entropii, które są znane zarówno serwerowi, jak i peerowi.

Klucze symetryczne

Ciągi bitów o wysokiej entropii, które są znane zarówno serwerowi, jak i peerowi.

Możliwe jest użycie różnych danych uwierzytelniających (a tym samym techniki) w każdym kierunku. Na przykład serwer EAP uwierzytelnia się za pomocą pary kluczy publiczny/prywatny, a równorzędny serwer EAP za pomocą klucza symetrycznego. W szczególności oczekuje się zastosowania w praktyce następujących kombinacji:

Protokół EAP-IKEv2 jest opisany w dokumencie RFC 5106 i istnieje prototypowa implementacja .

Elastyczne uwierzytelnianie EAP przez bezpieczne tunelowanie (EAP-FAST)

Elastyczne uwierzytelnianie przez bezpieczne tunelowanie (EAP-FAST; RFC 4851) to propozycja protokołu firmy Cisco Systems, zastępująca LEAP . Protokół został zaprojektowany w celu usunięcia słabości LEAP przy jednoczesnym zachowaniu „lekkiej” implementacji. Korzystanie z certyfikatów serwera jest opcjonalne w EAP-FAST. EAP-FAST używa poświadczeń dostępu chronionego (PAC) do ustanowienia tunelu TLS, w którym weryfikowane są poświadczenia klienta.

EAP-FAST ma trzy fazy:

Faza	Funkcjonować	Opis	Cel, powód
0	In-band provisioning — zapewnij równorzędnemu współdzielone hasło, które będzie używane w bezpiecznej konwersacji fazy 1	Używa uwierzytelnionego protokołu Diffie-Hellmana (ADHP). Ta faza jest niezależna od innych faz; w związku z tym każdy inny schemat (w paśmie lub poza pasmem) może być używany w przyszłości.	Wyeliminuj w kliencie wymaganie ustanawiania sekretu głównego za każdym razem, gdy klient wymaga dostępu do sieci
1	Założenie tunelu	Uwierzytelnia się za pomocą PAC i ustanawia klucz tunelu	Ustanowienie klucza w celu zapewnienia poufności i integralności podczas procesu uwierzytelniania w fazie 2
2	Uwierzytelnianie	Uwierzytelnia peer	Wiele tunelowanych, bezpiecznych mechanizmów uwierzytelniania (wymiana poświadczeń)

Gdy automatyczne udostępnianie PAC jest włączone, EAP-FAST ma niewielką lukę, w której atakujący może przechwycić PAC i wykorzystać go do złamania poświadczeń użytkownika. Tę lukę łagodzi ręczne udostępnianie poświadczeń dostępu PAC lub używanie certyfikatów serwera w fazie udostępniania poświadczenia dostępu PAC.

Warto zauważyć, że plik PAC jest wydawany na użytkownika. Jest to wymaganie w RFC 4851 sek. 7.4.4, więc jeśli nowy użytkownik zaloguje się do sieci z urządzenia, najpierw należy udostępnić nowy plik PAC. To jeden z powodów, dla których trudno jest nie uruchamiać protokołu EAP-FAST w niezabezpieczonym trybie anonimowego udostępniania. Alternatywą jest użycie haseł urządzeń, ale wtedy urządzenie jest sprawdzane w sieci, a nie przez użytkownika.

EAP-FAST może być używany bez plików PAC, powracając do normalnego TLS.

EAP-FAST jest natywnie obsługiwany w systemie Apple OS X 10.4.8 i nowszych. Cisco dostarcza moduł EAP-FAST dla Windows Vista i nowszych systemów operacyjnych, które mają rozszerzalną architekturę EAPHost dla nowych metod uwierzytelniania i suplikantów.

Tunel Extensible Authentication Protocol (TEAP)

Tunnel Extensible Authentication Protocol (TEAP; RFC 7170) to oparta na tunelu metoda EAP, która umożliwia bezpieczną komunikację między równorzędnym a serwerem przy użyciu protokołu Transport Layer Security (TLS) w celu ustanowienia wzajemnie uwierzytelnionego tunelu. W tunelu obiekty TLV (Type-Length-Value) są używane do przesyłania danych związanych z uwierzytelnianiem między elementem równorzędnym EAP a serwerem EAP.

Oprócz uwierzytelniania peera, TEAP umożliwia peerowi zapytanie serwera o certyfikat przez wysłanie żądania w formacie PKCS#10 , a serwer może dostarczyć certyfikat do peera w formacie [rfc:2315 PKCS#7]. Serwer może również dystrybuować zaufane certyfikaty główne do peera w formacie [rfc:2315 PKCS#7]. Obie operacje są zawarte w odpowiednich TLV i odbywają się w bezpieczny sposób wewnątrz wcześniej ustanowionego tunelu TLS.

Moduł tożsamości subskrybenta EAP (EAP-SIM)

Moduł tożsamości subskrybenta EAP (EAP-SIM) jest używany do uwierzytelniania i dystrybucji kluczy sesji przy użyciu modułu tożsamości subskrybenta (SIM) z Globalnego Systemu Komunikacji Mobilnej ( GSM ).

Sieci komórkowe GSM wykorzystują kartę modułu tożsamości abonenta do przeprowadzania uwierzytelniania użytkownika. EAP-SIM wykorzystuje algorytm uwierzytelniania SIM między klientem a serwerem uwierzytelniania, autoryzacji i rozliczania (AAA) zapewniający wzajemne uwierzytelnianie między klientem a siecią.

W EAP-SIM komunikacja między kartą SIM a Centrum Uwierzytelniania (AuC) zastępuje potrzebę wcześniej ustalonego hasła między klientem a serwerem AAA.

Algorytmy A3/A8 są uruchamiane kilka razy, z różnymi wyzwaniami 128-bitowymi, więc będzie więcej 64-bitowych Kc-s, które będą łączone/mieszane w celu stworzenia silniejszych kluczy (Kc-s nie będą używane bezpośrednio). Przezwyciężono również brak wzajemnego uwierzytelniania w GSM.

EAP-SIM jest opisany w RFC 4186.

Uwierzytelnianie EAP i umowa klucza (EAP-AKA)

Extensible Authentication Protocol Method for Universal Mobile Telecommunications System (UMTS) Uwierzytelnianie i uzgadnianie kluczy (EAP-AKA) to mechanizm EAP do uwierzytelniania i dystrybucji kluczy sesji przy użyciu modułu tożsamości subskrybenta UMTS ( USIM ). EAP-AKA jest zdefiniowana w RFC 4187.

Uwierzytelnianie EAP i umowa Klucz główny (EAP-AKA ')

Wariant EAP-AKA' EAP-AKA, zdefiniowany w RFC 5448, jest używany do dostępu innego niż 3GPP do sieci szkieletowej 3GPP . Na przykład przez EVDO , WiFi lub WiMax .

Ogólna karta tokena EAP (EAP-GTC)

EAP Generic Token Card lub EAP-GTC to metoda EAP stworzona przez Cisco jako alternatywa dla PEAPv0/EAP-MSCHAPv2 i zdefiniowana w RFC 2284 i RFC 3748. EAP-GTC przenosi tekstowe wezwanie z serwera uwierzytelniania i odpowiedź wygenerowane przez token bezpieczeństwa . Mechanizm uwierzytelniania PEAP-GTC umożliwia ogólne uwierzytelnianie w wielu bazach danych, takich jak Novell Directory Service (NDS) i Lightweight Directory Access Protocol (LDAP), a także użycie hasła jednorazowego .

Wymiana zaszyfrowanego klucza EAP (EAP-EKE)

EAP z zaszyfrowaną wymianą kluczy lub EAP-EKE to jedna z niewielu metod EAP, która zapewnia bezpieczne wzajemne uwierzytelnianie przy użyciu krótkich haseł i nie wymaga certyfikatów klucza publicznego . Jest to wymiana w trzech rundach, oparta na wariancie Diffie-Hellmana znanego protokołu EKE.

EAP-EKE jest określony w RFC 6124.

Zwinne uwierzytelnianie poza pasmem dla EAP (EAP-NOOB)

Zwinne uwierzytelnianie poza pasmem dla EAP (EAP-NOOB) to proponowane (w toku, nie RFC) ogólne rozwiązanie ładowania początkowego dla urządzeń, które nie mają wstępnie skonfigurowanych poświadczeń uwierzytelniających i które nie są jeszcze zarejestrowane na żadnym serwerze. Jest to szczególnie przydatne w przypadku gadżetów i zabawek Internetu rzeczy (IoT), które nie zawierają informacji o jakimkolwiek właścicielu, sieci lub serwerze. Uwierzytelnianie dla tej metody EAP opiera się na wspomaganym przez użytkownika kanale pozapasmowym (OOB) między serwerem a równorzędnym serwerem. EAP-NOOB obsługuje wiele typów kanałów OOB, takich jak kody QR, tagi NFC, audio itp. i w przeciwieństwie do innych metod EAP, bezpieczeństwo protokołu zostało zweryfikowane poprzez formalne modelowanie specyfikacji za pomocą narzędzi ProVerif i MCRL2 .

EAP-NOOB wykonuje efemeralną krzywą eliptyczną Diffie-Hellmana (ECDHE) na wewnątrzpasmowym kanale EAP. Następnie użytkownik potwierdza tę wymianę, przesyłając komunikat OOB. Użytkownicy mogą przesyłać wiadomość OOB z peera na serwer, gdy na przykład urządzeniem jest smart TV, który może wyświetlać kod QR. Alternatywnie, użytkownicy mogą przesłać wiadomość OOB z serwera do peera, gdy na przykład urządzenie, które jest ładowane, to kamera, która może tylko odczytać kod QR.

Kapsułkowanie

EAP nie jest protokołem przewodowym; zamiast tego definiuje tylko formaty wiadomości. Każdy protokół korzystający z protokołu EAP definiuje sposób enkapsulacji komunikatów EAP w komunikatach tego protokołu.

IEEE 802.1X

Enkapsulacja EAP przez IEEE 802 jest zdefiniowana w IEEE 802.1X i znana jako „EAP over LANs” lub EAPOL. EAPOL został pierwotnie zaprojektowany dla Ethernetu IEEE 802.3 w 802.1X-2001, ale został doprecyzowany, aby pasował do innych technologii LAN IEEE 802, takich jak bezprzewodowy IEEE 802.11 i Fibre Distributed Data Interface (ANSI X3T9.5/X3T12, przyjęty jako ISO 9314) w 802.1X -2004. Protokół EAPOL został również zmodyfikowany do użytku z IEEE 802.1AE (MACsec) i IEEE 802.1AR (Initial Device Identity, IDevID) w 802.1X-2010.

Gdy protokół EAP jest wywoływany przez urządzenie serwera dostępu do sieci (NAS) obsługujące standard 802.1X , takie jak bezprzewodowy punkt dostępu (WAP) IEEE 802.11i-2004 , nowoczesne metody EAP mogą zapewnić mechanizm bezpiecznego uwierzytelniania i negocjować bezpieczny klucz prywatny (w parach Master Key, PMK) między klientem a serwerem NAS, który można następnie wykorzystać do bezprzewodowej sesji szyfrowania z wykorzystaniem szyfrowania TKIP lub CCMP (w oparciu o AES ).

PEAP

Protected Extensible Authentication Protocol , znany również jako Protected EAP lub po prostu PEAP to protokół, który obudowuje EAP w potencjalnie szyfrowane i uwierzytelniane Transport Layer Security (TLS) tunelu . Celem było skorygowanie braków w EAP; EAP zakładał chroniony kanał komunikacyjny, taki jak ten zapewniany przez zabezpieczenia fizyczne, więc nie zapewniono udogodnień do ochrony konwersacji EAP.

PEAP został opracowany wspólnie przez Cisco Systems, Microsoft i RSA Security. PEAPv0 to wersja dołączona do systemu Microsoft Windows XP i została nominalnie zdefiniowana w draft-kamath-pppext-peapv0-00 . PEAPv1 i PEAPv2 zostały zdefiniowane w różnych wersjach draft-josefsson-pppext-eap-tls-eap . PEAPv1 został zdefiniowany w draft-josefsson-pppext-eap-tls-eap-00 do draft-josefsson-pppext-eap-tls-eap-05 , a PEAPv2 został zdefiniowany w wersjach zaczynających się od draft-josefsson-pppext-eap-tls- eap-06 .

Protokół określa tylko łączenie wielu mechanizmów EAP, a nie konkretną metodę. Korzystanie z EAP-MSCHAPv2 i EAP-GTC metody są najczęściej obsługiwane.

PROMIEŃ i średnica

Oba protokoły RADIUS i Diameter AAA mogą hermetyzować komunikaty EAP. Są one często używane przez urządzenia Network Access Server (NAS) do przesyłania pakietów EAP między punktami końcowymi IEEE 802.1X i serwerami AAA w celu ułatwienia obsługi IEEE 802.1X.

PANA

Protokół Przeprowadzanie uwierzytelniania dla sieci dostępowej (PANA) jest protokołem opartym na IP, który umożliwia urządzenie do uwierzytelnienia się z siecią Aby uzyskać dostęp. PANA nie zdefiniuje żadnego nowego protokołu uwierzytelniania, dystrybucji klucza, uzgadniania klucza ani protokołów wyprowadzania klucza; do tych celów będzie używany EAP, a PANA będzie przenosić ładunek EAP. PANA umożliwia dynamiczny wybór dostawcy usług, obsługuje różne metody uwierzytelniania, jest odpowiedni dla użytkowników mobilnych i jest niezależny od mechanizmów warstwy łącza.

PPP

EAP był pierwotnie rozszerzeniem uwierzytelniania dla protokołu Point-to-Point (PPP). Protokół PPP obsługuje protokół EAP od czasu utworzenia protokołu EAP jako alternatywy dla protokołu uwierzytelniania typu Challenge-Handshake (CHAP) i protokołu uwierzytelniania hasła (PAP), które ostatecznie zostały włączone do protokołu EAP. Rozszerzenie EAP do PPP zostało po raz pierwszy zdefiniowane w RFC 2284, obecnie przestarzałe przez RFC 3748.

Zobacz też

• Protokół uwierzytelniania
• Kluczowanie przekazania
• ITU-T X.1035

Bibliografia

Dalsza lektura

• „AAA i bezpieczeństwo sieci dla dostępu mobilnego. PROMIEŃ, ŚREDNICA, EAP, PKI i mobilność IP”. M Nakhjiri. John Wiley i Synowie, Ltd.

Zewnętrzne linki

• RFC  3748 : Extensible Authentication Protocol (EAP) (czerwiec 2004)
• RFC  5247 : Struktura zarządzania kluczami protokołu Extensible Authentication Protocol (EAP) (sierpień 2008)
• Skonfiguruj RADIUS dla bezpiecznej bezprzewodowej sieci LAN 802.1x
• Jak samodzielnie podpisać serwer RADIUS w celu bezpiecznego uwierzytelniania PEAP lub EAP-TTLS
• Rozszerzalny protokół uwierzytelniania w Microsoft TechNet
• EAPHost w systemie Windows Vista i Windows Server 2008
• PRZEWÓD1x
• „Grupa robocza IETF EAP ds. aktualizacji metody (emu)”
• [2]