|
EAP協(xié)議
資源天下 2019/8/16 10:48:27
1. EAP 身份驗(yàn)證方法
使用可擴(kuò)展的身份驗(yàn)證協(xié)議(EAP)���,任意身份驗(yàn)證機(jī)制都可以對遠(yuǎn)程訪問連接進(jìn)行身份驗(yàn)證。通過遠(yuǎn)程 VPN 客戶端和驗(yàn)證程序(ISA服務(wù)器或RADIUS服務(wù)器)協(xié)商要使用的確切身份驗(yàn)證方案�����。ISA 服務(wù)器包括默認(rèn)情況下支持Message Digest 5 Challenge (MD5-Challenge) 和EAP-Transport Level Security (EAP-TLS)�����。
EAP允許遠(yuǎn)程VPN客戶端和驗(yàn)證程序之間進(jìn)行開端對話�����。對話由對身份驗(yàn)證信息的驗(yàn)證程序請求和遠(yuǎn)程 VPN 客戶端的響應(yīng)組成。例如���,當(dāng)EAP與安全標(biāo)記卡一起使用時(shí)�,驗(yàn)證程序可以單獨(dú)查詢遠(yuǎn)程訪問客戶端的名稱���、PIN和卡標(biāo)記值����。經(jīng)過提問和回答一輪查詢之后�����,遠(yuǎn)程訪問客戶端將通過身份驗(yàn)證的另一個(gè)級別���。正確回答所有問題之后�����,將對遠(yuǎn)程訪問客戶端進(jìn)行身份驗(yàn)證��。
特定的EAP身份驗(yàn)證方案稱為EAP類型��。遠(yuǎn)程訪問客戶端和驗(yàn)證程序必須支持相同的EAP類型才能成功進(jìn)行身份驗(yàn)證��。
2. EAP 結(jié)構(gòu)
EAP是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件���。為了成功進(jìn)行身份驗(yàn)證���,遠(yuǎn)程訪問客戶端和驗(yàn)證程序必須安裝相同的EAP身份驗(yàn)證模塊。ISA服務(wù)器支持兩種EAP類型:MD5-Challenge 和EAP-TLS��。
2.1 MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一種必需的EAP類型�,其使用與基于PPP的CHAP相同的質(zhì)詢/握手協(xié)議,但是質(zhì)詢和響應(yīng)是作為EAP消息發(fā)送的����。MD5-Challenge的典型用法是通過使用用戶名和密碼安全系統(tǒng)對遠(yuǎn)程VPN客戶端的憑據(jù)進(jìn)行身份驗(yàn)證。您還可以使用MD5-Challenge來測試EAP的互操作性�。
2.2 EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于證書的安全環(huán)境中使用的EAP類型���。如果您將智能卡用于遠(yuǎn)程訪問身份驗(yàn)證��,則必須使用EAP-TLS身份驗(yàn)證方法�。EAP-TLS的消息交換可以提供遠(yuǎn)程VPN客戶端和驗(yàn)證程序之間的相互身份驗(yàn)證���、加密方法的協(xié)商和加密密鑰的確定�。EAP-TLS 提供了最強(qiáng)大的身份驗(yàn)證和密鑰確定方法。
3. EAP-RADIUS
EAP-RADIUS 并不是一種EAP類型����,但是可以通過驗(yàn)證程序?qū)⑷魏蜤AP類型的EAP消息傳遞到RADIUS服務(wù)器,以便進(jìn)行身份驗(yàn)證�����。例如�,將ISA服務(wù)器配置為用于RADIUS身份驗(yàn)證時(shí),將封裝在遠(yuǎn)程 VPN 客戶端和ISA服務(wù)器之間發(fā)送的EAP消息����,并在遠(yuǎn)程訪問服務(wù)器和RADIUS服務(wù)器之間將格式設(shè)置為RADIUS消息。
EAP-RADIUS用在將RADIUS作為身份驗(yàn)證提供程序的環(huán)境中��。使用EAP-RADIUS的優(yōu)勢在于不需要在每個(gè)遠(yuǎn)程訪問服務(wù)器上安裝EAP類型�,只需要在RADIUS服務(wù)器上安裝即可。在Internet驗(yàn)證服務(wù)(IAS)中�����,只需要在ISA服務(wù)器上安裝EAP類型�。
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|