PPP 中的:
PAP
PAP是两次握手,明文传输用户密码进行认证;
- 客户端 -发送用户名密码- 服务器 -查询数据信息返回应答- 客户端
CHAP
- CHAP是三次握手,传输MD5值进行认证。 服务器 -发动挑战信息- 客户端 -根据用户名密码算出 hash- 服务器 -对比自己算出的 hash返回信息- 客户端
EAP 可扩展认证方法
- IEEE的802.1X使用了EAP认证框架,这些认证方法的安全性完全取决于具体的认证方法,比如EAP-MD5、EAP-LEAP、EAP-GTC等
eap 是灵活的二层协议,leap 是思科私有协议,peap 是公有标准,有些 eap 提供单向认证,有些提供双向,双向认证中不仅认证服务器需要对请求方进行身份认证,请求方也必须对认证服务器进行身份认证.
- 弱 eap 协议:
容易受到社会工程和字典攻击 eap-md5(单向认证 用户名明文 弱 md5 哈希) eap-leap
- 强 eap 协议
“强”EAP类型使用基于TLS的身份认证或TLS隧道化身份认证(pap-peap)
eap-ttls EAP-TTLS(EAP-Tunneled Transport Layer Security,隧道传输层安全)由Certicom和FunkSoftware设计,定义在RFC 5281中。与PEAP一样,EAP-TTLS也使用TLS隧道保护相对不安全的内层认证方法
- EAP-TTLS与EAP-PEAP的区别相当小,最大的不同就是EAP-TTLS支持更多的内层认证协议。EAP-TTLS支持传统的认证方法PAP、 CHAP、MS-CHAP和MS-CHAPv2,也支持使用EAP协议作为内层认证方法,支持使用客户端证书作为身份凭证,而EAP-PEAP只支持EAP协议作为内层认证方法。
EAP-TLS(EAP-Transport Layer Security,传输层安全)定义在RFC 5216中,是使用最广泛,也是WLAN中最安全的一种EAP类型。EAP-TLS除了与EAP-PEAP和EAP-TTLS一样需要服务器端证书外,还需要客户端证书。
- eap-tls 不仅需要服务端证书,还需要客户端证书 (服务器端部署证书运维量不大,客户端部署证书需要 pki 基础设施) eap-tls,peap,ttls 等身份认证协议的认证过程是:
- 使认证服务器知道有一个客户在尝试认证
- 建立基于 tls 的加密隧道
- 所有帧都被 tls 隧道加密
- 4 次握手