PEAP
受保護的可擴展的身份驗證協定 (PEAP) 是可擴展的身份驗證協定 (EAP) 家族的一個新成員。PEAP 使用傳輸級別安全性 (TLS) 在正在驗證的 PEAP 客戶端(例如無線計算機)和 PEAP 身份驗證器(例如 Internet 驗證服務 (IAS) 或遠程驗證撥號用戶服務 (RADIUS) 伺服器)之間創建加密通道。PEAP 不指定驗證方法,但是會為其他 EAP 驗證協定提供額外的安全性,例如 EAP-MSCHAPv2 協定,該協定可以通過 PEAP 提供的 TLS 加密通道得以實現。PEAP 用作 802.11 無線客戶端計算機的身份驗證方法,但虛擬專用網 (VPN) 客戶端或其他遠程訪問客戶端不支持它。
為增強 EAP 協定和網路安全性,PEAP 提供:
對通過 TLS 通道在客戶端和伺服器之間進行的 EAP 方法協商的保護。這有助於防止攻擊者在客戶端和網路訪問服務器 (NAS) 之間插入數據包,以防對安全性較低的 EAP 方法進行協商。加密 TLS 通道也助於防止針對 IAS 伺服器進行的拒絕服務攻擊。
對訊息碎片和訊息重組的支持,允許使用不提供此功能的 EAP 類型。
能夠對 IAS 或 RADIUS 伺服器進行身份驗證的無線客戶端。因為伺服器也對客戶端進行身份驗證,所以相互進行身份驗證的情況出現。
當 EAP 客戶端驗證 IAS 伺服器所提供的證書時,對部署未經授權的無線訪問點 (WAP) 的保護。另外,PEAP 身份驗證器和客戶端創建的 TLS 主機密不與該訪問點共享。因此,該訪問點不能解密受 PEAP 保護的訊息。
PEAP 快速重新連線,它減少客戶端身份驗證請求和 IAS 或 RADIUS 伺服器回響之間的時間延遲,並允許無線客戶端在訪問點之間移動而無需重複身份驗證請求。這樣可以減少客戶端和伺服器的資源要求。
PEAP 身份驗證過程
PEAP 客戶端和身份驗證器之間的 PEAP 身份驗證過程有兩個階段。第一個階段建立 PEAP 客戶端和身份驗證伺服器之間的安全通道。第二個階段提供 EAP 客戶端和身份驗證器之間的 EAP 身份驗證。
TLS 加密通道
無線客戶端與無線訪問點關聯。在客戶端和訪問點之間創建安全關聯之前,基於 IEEE 802.11 的關聯會提供開放系統或共享密鑰驗證。在客戶端與訪問點之間成功建立基於 IEEE 802.11 的關聯之後,TLS 會話與訪問點協商。成功完成無線客戶端和伺服器(例如 IAS 伺服器)之間的身份驗證之後,TLS 會話之間進行協商。在此協商期間獲得的密鑰用於加密所有後續通信。
進行 EAP 身份驗證的通信
整個 EAP 通信,包括 EAP 協商在內,都通過 TLS 通道進行。IAS 伺服器對用戶和客戶端計算機進行身份驗證,具體方法由 EAP 類型決定,在 PEAP 內部選擇使用(EAP-TLS 或 EAP-MS-CHAPv2)。訪問點只會在無線客戶端和 RADIUS 伺服器之間轉發訊息,由於不是 TLS 終結點,訪問點(或者對它們進行監視的人)無法對這些訊息進行解密。
使用 PEAP 的 802.11 無線部署
可以在兩種 EAP 類型中選擇一種與 PEAP 共同使用:EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用憑據(用戶名和密碼)進行用戶身份驗證,使用伺服器計算機證書存儲中的證書進行伺服器驗證。EAP-TLS 使用安裝在客戶端計算機或智慧卡中的證書進行用戶和客戶端計算機驗證,使用伺服器計算機證書存儲中的證書進行伺服器驗證。
帶 EAP-MS-CHAPv2 的 PEAP
帶 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易於部署,因為用戶身份驗證是使用基於密碼的憑據(用戶名和密碼)來完成的,而不是使用證書或智慧卡 -- 只有 IAS 或 RADIUS 伺服器需要有證書。另外,伺服器證書可以由客戶端計算機所信任的公共證書頒發機構 (CA) 頒發(即,公用的 CA 證書已經存在於客戶端計算機證書存儲中的“受信根證書頒發機構”資料夾內)。在這種情況下,伺服器證書不會被下載和添加到客戶端受信任的根證書存儲中,用戶也不會被提示來決定是否信任伺服器。
PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性,它使用相互身份驗證,防止未經授權的伺服器協商最不安全的身份驗證方法,提供 TLS 生成的密鑰。PEAP-EAP-MS-CHAPv2 要求客戶端信任伺服器提供的證書。
有關伺服器和客戶端計算機證書要求,請參閱網路訪問身份驗證和證書。有關使用 PEAP-EAP-MS-CHAPv2 的無線訪問策略示例,請參閱使用安全密碼身份驗證的無線訪問。
帶 EAP-TLS 的 PEAP
公鑰證書提供的身份驗證方法比使用基於密碼的憑據更強。帶 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用證書對伺服器進行身份驗證,使用證書或智慧卡對用戶及客戶端計算機進行身份驗證。要使用 PEAP-EAP-TLS,必須部署公鑰基礎結構 (PKI)。
詳細信息,請參閱網路訪問身份驗證和證書。
PEAP 快速重新連線
PEAP 快速重新連線,能使無線客戶端可以在同一網路的無線訪問點之間移動,而不必在每次與新訪問點關聯時都被重新驗證身份。
將無線訪問點配置為 RADIUS 伺服器的 RADIUS 客戶端。如果無線客戶端在配置為同一 RADIUS 伺服器的客戶端的訪問點之間漫遊,客戶端無需因每個新關聯而進行身份驗證。當客戶端移動到配置為不同 RADIUS 伺服器的 RADIUS 客戶端的訪問點時,雖然要對客戶端重新驗證身份,但是此過程處理的效率要高得多。
因為將身份驗證請求從新伺服器轉發到原來的伺服器,所以 PEAP 快速重新連線減少了客戶端和身份驗證器之間的回響時間。由於 PEAP 客戶端和身份驗證器都使用先前快取的 TLS 連線屬性(其集合稱為 TLS 句柄),所以身份驗證器可以快速確定客戶端連線是重新連線。
如果原來的 PEAP 身份驗證器不可用,則在客戶端和新的身份驗證器之間必須進行完整的身份驗證。客戶端快取新的 PEAP 身份驗證器的 TLS 句柄。客戶端可以快取多個 PEAP 身份驗證器的 TLS 句柄。對於智慧卡或 PEAP-EAP-MSCHAPv2 身份驗證,要求用戶分別提供 PIN 或憑據。
使用 PEAP-EAP-MS-CHAPv2 身份驗證:
在新的訪問點是同一 RADIUS 伺服器的客戶端時 | 在新的訪問點是新 RADIUS 伺服器的客戶端時 |
每次客戶端計算機與新訪問點關聯時,不提示用戶輸入憑據。 | 提示用戶在此初始關聯上輸入憑據。下一次客戶端計算機與作為該伺服器的客戶端的訪問點關聯時,不需要用戶憑據。 |
不需要 RADIUS 伺服器提供證書。 | RADIUS 伺服器提供此初始關聯上的證書,以便無線客戶端可以對 RADIUS 伺服器進行身份驗證。下一次客戶端計算機與作為該伺服器的客戶端的訪問點關聯時,不需要對伺服器重新進行身份驗證。 |
在新的訪問點是同一 RADIUS 伺服器的客戶端時 | 在新的訪問點是新 RADIUS 伺服器的客戶端時 |
不需要客戶端和伺服器交換證書。 | 客戶端和伺服器在此初始關聯上交換證書。下一次客戶端計算機與作為該伺服器的客戶端的訪問點關聯時,不交換證書。 |
客戶端計算機每次與新訪問點關聯時,都不會提示用戶輸入智慧卡的個人識別號 (PIN)。 | 提示用戶在此初始關聯上輸入智慧卡 PIN。下一次客戶端計算機與該伺服器的客戶端的訪問點關聯時,不提示用戶輸入 PIN。 |
有關 RADIUS 客戶端的詳細信息,請參閱 RADIUS 基礎結構的組件。
有關 RADIUS 代理伺服器的詳細信息,請參閱作為 RADIUS 代理的 IAS。
要啟用 PEAP 快速重新連線,請執行以下操作:
PEAP 客戶端(802.11 無線客戶端)和 PEAP 身份驗證器(RADIUS 伺服器)必須啟用快速重新連線。 PEAP 客戶端漫遊所至的所有訪問點,必須配置為 RADIUS 伺服器(PEAP 身份驗證器)的 RADIUS 客戶端,對於此伺服器,PEAP 配置為無線連線的身份驗證方法。與 PEAP 客戶端關聯的所有訪問點,都必須配置為優先選擇同一 RADIUS 伺服器(PEAP 身份驗證器),以免被提示輸入每個 RADIUS 伺服器的憑據。如果訪問點不能配置為優先選擇 RADIUS 伺服器,那么可以配置 IAS RADIUS 代理使用首選 RADIUS 伺服器。 詳細信息,請參閱配置 PEAP 和 EAP 方法。
注意
在將 PEAP-EAP-TLS 和 EAP-TLS 身份驗證方法與證書一起使用時,TLS 使用快取的證書屬性,而不是從證書存儲中讀取證書。如果證書被更改,或者被刪除並由新證書替代,TLS 會繼續使用過期的快取證書信息,直到該快取過期或被刷新為止。如果更改或替換證書,那么可以通過重新啟動伺服器計算機刷新 TLS 快取。 PEAP 不支持用戶名和密碼為空的來賓身份驗證。 當部署 PEAP 和不受 PEAP 保護 的 EAP 時,無論是否具備 PEAP,都不要使用同一個 EAP 身份驗證類型。例如,如果部署帶 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 時,請不要部署不具備 PEAP 的 EAP-TLS。用同一類型部署身份驗證方法(一種帶有 PEAP 保護,另一種沒有 PEAP)將產生安全漏洞。