无线网络安全 | 第二部分

先决条件：无线安全 | 第1组 四种可扩展认证协议（EAP）的认证方式如下：

1. LEAP2. EAP-FAST3. PEAP4. EAP-TLS 

这些内容的解释如下：

1. 轻量级可扩展认证协议（LEAP）为了克服WEP的缺陷，CISCO提出了一种名为LEAP的专有无线认证方法。 为了进行身份验证，客户端需要提供用户名和密码信息。之后，客户端和接入点会交换经过加密处理的挑战信息。 如果加密后的挑战字符串匹配成功，那么就可以访问该客户端了。 LEAP使用动态密钥来加密数据，这与WEP使用的静态密钥方式不同。 不过后来发现它存在安全漏洞，因此LEAP已经被不再推荐使用。 如今，虽然无线设备可能提供LEAP功能，但最好不要使用这一功能。
2. EAP-FAST –此外，Cisco还提出了一种比LEAP更安全的认证方式，即EAP Flexible Authentication with Secure Tunneling（EAP-FAST）。在这种方法中，认证凭证是通过在接入交换机和客户端之间传递一个受保护的访问凭证来保护的。这种凭证是一种由认证服务器生成的共享密钥，用于实现相互认证。整个过程分为三个阶段。
   • 第一阶段：PAC文件会在客户端上生成并安装起来。
   • 第二阶段：在相互验证成功后，客户端和认证服务器会协商建立传输层安全协议（TLS）隧道。
   • 第三阶段：为了增强安全性，客户端需要通过TLS隧道进行身份验证。
3. 受保护的EAP（PEAP） –PEAP实际上是对EAP-FAST的进一步改进。 它还采用了外部认证和内部认证的方式。 这种方法的另一个步骤就是使用数字证书。 在外部认证过程中，认证服务器会向客户端提供数字证书。如果客户端对数字证书满意的话，那么就会建立TLS隧道来进行内部认证。 该数据库包含以标准格式呈现的数据，这些数据能够明确数据所属者。 这一验证是由第三方机构来完成的，该机构被称为证书颁发机构（CA）。 CA在客户和认证服务器双方都享有良好的声誉和信任。
4. EAP-TLS –通过EAP-TLS的改进，PEAP的性能得到了进一步提升。 在系统中，数字证书被安装在服务器和客户端上。 他们互相交换证书，然后建立TLS隧道来交换加密密钥。 EAP-TLS被认为是最安全的一种协议，不过其实施过程相对复杂一些。 在数百台客户端上手动安装数字证书是不切实际的。 所使用的公钥基础设施（PKI）能够安全地向客户端提供证书，而当客户端或用户不再能够访问网络时，该系统会自动撤销这些证书。 EAP-TLS仅在无线客户端能够接受并使用证书的情况下才被使用。