【TechTarget中国原创】802.1X为控制WLAN的使用提供可扩展的架构。但是802.1X不仅仅是包含几种类型的扩展认证协议（EAP）的封套。在这将近50个详细的EAP类型中，哪一个在WLAN上工作最合适？在本文中，TechTarget中国的特约专家将把大部分受欢迎的EAP类型和802.1X，以及每个所支持的认证方法、已知的漏洞以及适合的使用环境的做一下比较。

 EAP-MD5 (Message Digest #5)
 LEAP (轻量级EAP， Lightweight EAP)
 EAP-TLS (传输层安全，Transport Layer Security)
 EAP-TTLS (（隧道TLS ，Tunneled TLS)
 PEAP (受保护的EAP， Protected EAP)
 EAP-MSCHAPv2 (Microsoft Challenge握手协议，Microsoft Challenge Handshake Protocol)
 EAP-GTC ((一 般标记卡，Generic Token Card)
 EAP-SIM (用户识别，Subscriber Identity Module)
 EAP-AKA (Authentication and Key Agreement)
 EAP-FAST (Flexible Authentication via Secure Tunneling)
 Wi-Fi Alliance Certification
 EAP-MD5 (Message Digest #5)

　　EAP-MD5 (Message Digest #5)

　　这种EAP类型提供了单向客户认证。服务器向客户发送随机问题。客户通过使用MD5列出问题和它的。因为人在中间的攻击可以看到问题和回应，EAP-MD5在开放的媒体上使用时，很容易受到字典式攻击。因为没有服务器认证，它也很容易受到欺骗攻击。最后，EAP-MD5不可以发送密钥。结果，EAP-MD5可能用于以太网上，但是永远也不能用到无线局域网上。

　　LEAP（轻量级EAP）

　　也叫做EAP-Cisco Wireless。这种EAP类型在Cisco无线局域网上提供了客户端和服务器的相互认证。和EAP-MD5一样，轻量级的服务器向客户端发送随机问题，客户会返回一个哈希密码。认证的客户会向服务器发出问题，需要密码，接着是密钥交换。因为LEAP是所有权协议，它只能和思科接入点和思科的兼容卡一起用于企业无线局域网。目前，有很多攻击工具可以用于破解LEAP认证密码。因此，新的无线局域网应该避免LEAP。如果你的无线局域网已经使用了LEAP，确保每一个客户端和服务器使用较长的随机密码，并且尽快更新到更强大的EAP类型。

　　EAP-TLS（传输层安全）

　　这种EAP类型通常被认为是现有的最强大的、配置最广泛的。它使用标准的TLS协议（用于保护大部分Web传输的SSL协议的子协议）在客户端和服务器提供手动认证证明。这个服务器使用TLS证明它持有数字证书，向客户端的请求是一样的。客户端使用它的证书证明他的身份，发送的材料也是互换的。一旦认证完成，TLS通道就终止了，但是EAP-TLS发送的密钥可以用于加密AES、TKIP或者WEP数据。EAP-TLS在WLAN中很合适，在WLAN中，客户端已经有了数字证书或者在这里，需要再公共密钥架构中投入高度的安全，来管理这些证书。

　　EAP-TTLS（隧道TLS）

　　EAP类型通过在客户端放置合法密码认证方法的证书，在安全和配置成本之间平衡，这些合法密码的认证方法例如PAP、CHAP、MSCHAPv2。EAP-TTLS要求服务器通过验证并建立TLS隧道来自我认证。通过这些TLS隧道对客户端发出挑战。甚至当返回明文密码，客户回应就被模糊了。为了避免暴露客户的名称，EAP-TTLS应该配置为当启动802.1X时，可以发送“匿名”认证，然后通过TLS隧道，发送实际认证。但认证完成，并且密钥已经发送时，隧道就终止了。EAP-TTLS适合于WLAN，而WLAN希望可以以安全的方式，重新使用合法的用户认证数据库（例如，LDAP，Active Directory）。

　　PEAP（受保护的EAP）

　　PEAP和EAP-TTLS很相似，但是使用不同客户认证协议。和EAP-TTLS一样，PEAP使用服务器证书，就是TLS隧道提供手动认证，并通过加密的隧道提供客户认证。和EAP-TTLS，PEAP要求客户使用另外一种EAP类型，例如EAP-MSCHAPv2和 EAP-GTC（请看下面）。虽然相同的用户信任状都可以用于EAP-TTLS，但是PEAP认证服务器必须可以分析EAP-TTLS和所包含的合法认证协议。

　　注意：很重要的一点是，在客户端和服务器上要使用相同版本的PEAP。PEAPv0/EAP-MSCHAPv2要求802.1X supplicant（客户端）软件，包括Windows XP SP2和2000 SP4。PEAPv1/EAP-GTC要求另外的802.1X supplicant，例如和思科的Aironet Client Utility一起安装的那一种。这些supplicant是互相排斥的——安装一个PEAPv1客户端要替换已经存在的PEAPv0的客户端。

　　EAP-MSCHAPv2 (Microsoft Challenge握手协议)

　　这种EAP类型可以用于在TLS隧道，而TLS隧道是由受保护的EAP创建的。EAP-MSCHAPv2在扩展认证协议包装Microsoft Challenge握手协议。它适合于那些想要重新使用无线认证的微软用户信任状和服务器（例如，NT域名控制器和Windows Active Directories）的公司。EAP-TTLS/MSCHAPv2也可以完成相同的目标。

　　EAP-GTC (一般标记卡)

　　这种EAP类型可以用于由受保护的EAP创建的TLS的内部。EAP-GTC决定EAP的外封带有“旧有密码”，这个密码是由RSA SecurID等可携带卡产生的。它适合于使用双因素认证来避免通常的密码攻击（例如，与人共享的密码、写在便笺纸上的密码、存储在被盗笔记本上的密码）的公司——特别是在这些可携带密码已经被远程访问VPN使用的公司。这些从混乱中开始的WLAN必须决定可携带配制的成本是否合理。

　　EAP-SIM (用户识别)

　　这种EAP类型提供了手动认证，这是基于GSM载体出售的移动电话中发现的SIM卡的。SIM卡可能是插入到双模式的手机中的薄片。执行认证算法的智能卡通常是手机等装置用于认证GSM电话网络的。要求携带EAP-SIM的802.11X是依赖于载体的上通向GSM认证服务器的网关的。这种EAP类型可以用于智能手机等认证设备，这些智能手机在商用802.11X热点和GSM网络之间进行信息往来的。

　　EAP-AKA (认证和密钥协议)

　　EAp-AKA和EAp-SIM类似，但是可以通过使用用户服务认证模式（USIM）满足非GSM载体，而USIM是全球移动电讯系统（UMIS）网络上是用的。通过你的载体的网络决定智能手机必须使用的类型，而且EAP-AKA使用的永久认证密钥被认为是比EAP-SIM使用的导出认证密钥更加强大。

　　EAP-FAST (通过安全隧道的灵活认证)

　　这种EAP类型是由思科创建的，它是LEAP的一种替代类型。 它存在于在先在德思科的接入点和思科兼容无线网卡中。和PEAP和EAP-TTLS一样，FAST提供 了隧道手动认证。尽管如此，EAP-FAST并不要求服务器对自己景象数字认证。与之相反，原来供应的交换创建了共享的秘密，就在受保护的访问信任状（PAC）蜜月。这种PAC密钥可以用于所有的后发认证。EAP-FAST可以满足小型的指纹客户，例如VoWiFi手机，它很显然是被数字认证特征查证减缓的。目前，EAP-FAST仅限于用于基于思科的无线局域网。

　　Wi-Fi联合证书

　　Wi-Fi联合证书目前可以测试以下的EAP类型：EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1和EAP-SIM。为了确定你的产品支持哪种类型的EAP，可以查看Wi-Fi联合证书的鉴定产品页。没有经过鉴定的产品可能仍然是  ，但是在多厂商的无线局域网上配置802.1X时，明智的做法是要检查EAP类型的兼容性。