EAP与TLS认证

Question

我很难理解EAP的意义。

EAP是一个身份验证框架，它定义了几种基于TLS的方法和封装，如EAP、EAP和PEAP.所有这些都需要服务器/身份验证者拥有一个证书(EAP要求客户机/请求者也拥有它)。

• TLS本身通过使用证书来提供身份验证。那么EAP的意义是什么？
• EAP在某种程度上更好吗？
• EAP最显著的用法是WPA。与普通的TLS相比，在有线连接上使用它也有好处吗？
• 你什么时候愿意用其中一种呢？

Answer 1

TLS可以通过使用公钥证书提供相互认证。但是，没有必要在TLS中使用公钥证书进行身份验证.TLS仅可用于为正在有线传输的数据提供加密(数据完整性和隐私)，而无需用户身份验证机制。通常在TLS场景中，只有服务器必须由客户端进行信任/身份验证，但是客户端可以是匿名的(例如internet浏览器)。

身份验证层可以与TLS一起使用，两者都可以完全解耦。在大多数现代企业场景中，用户身份验证由SAML2.0或Kerberos/SPNego处理，这两种技术都用于也使用TLS的场景。因此，TLS不强制进行身份验证，也不强制严格使用公钥证书。

EAP-TLS认证协议只是与TLS集成的身份验证协议的另一个实现。这里的关键不是TLS提供身份验证，而是TLS为身份验证协议提供加密(数据完整性和隐私)。

我们可以得出结论，这两者的使用将取决于用例，因为是一种认证协议，通常直接在数据链路层上运行，例如点对点协议(PPP)或IEEE802，而不需要IP。和TLS协议的主要目标是在两个通信应用程序之间提供隐私和数据完整性.有着完全不同的用途。

Answer 2

TLS本身通过使用证书来提供身份验证。

TLS实际上可以做很多事情，但最常用的方法是在两个端点之间建立加密的会话/隧道。

当然，它可以用于提供身份验证，但许多使用TLS的EAP协议只对请求方和服务器之间的通信进行加密，以提供进行身份验证的安全隧道。

那EAP有什么意义？EAP在某种程度上更好吗？

您自己说过，"EAP是一个身份验证框架。“EAP定义了一个框架，该框架提供了一个标准接口，在该框架中，实体可以自由地定义自己的身份验证方法，这些方法可以以它们认为适合于该标准框架的任何方式提供身份验证服务。

两个端点(身份验证者和请求者)必须能够理解和使用特定的方法，但是任何中间设备只需要知道如何处理EAP通信。换句话说，中间设备不需要以任何方式了解实际使用的身份验证方法。

EAP最显著的用法是WPA。与普通的TLS相比，在有线连接上使用它也有好处吗？

这是您所知道的EAP最显著的用法。可追溯到1998年发布的RFC 2284，最初是为PPP (点对点协议)连接设计的。这和无线毫无关系。

这个最初的EAP框架非常引人注目，2001年，IEEE802.1X工作组决定将其用于其身份验证(将其扩展到EAPOL或“局域网上的EAP”)。

802.1X虽然最初是用于以太网网络，但在几乎任何需要网络身份验证的媒体上都成为了网络身份验证的基础，包括2004年的802.11 (这也是RFC 3784更新EAP的一年)。EAP还通常用于向蜂窝网络(SIM、AKA、AKA‘等)认证移动设备。

对于非网络化的电子收费系统，对于那些居住在北美(也许在其他地方)的人来说，大多数使用车载转发器的"开路收费“系统在通过收费站时实际上使用了一种EAP方法来”认证“。

我相信今天世界上也有很多其他的EAP使用的例子。这些用途大多不使用WPA/WPA 2。

我很难理解EAP的意义。

EAP的要点是，它允许设备将EAP流量作为EAP流量处理，而不关心使用中的EAP身份验证方法可能是什么。只有身份验证者(即身份验证服务器，通常是RADIUS)和身份验证客户端(即请求者)需要共享对正在使用的EAP方法的理解。

比如说你建立了一个网络。您的设备明白，连接的客户端必须进行身份验证，并且您选择了一个专有解决方案，该解决方案要求所有设备(客户端、身份验证服务器和所有中间设备)理解并能够处理此身份验证解决方案。

现在假设此身份验证解决方案存在缺陷，或者您得到了一种新类型的客户端，它不理解此身份验证解决方案。该决议现在还需要升级到您的所有中间设备。

相反，他们将使用EAP。您的网络知道如何处理EAP流量(即转发到身份验证服务器)。客户机和服务器知道如何协商要使用的EAP方法(由EAP框架的操作定义)。如果需要更改EAP方法或添加只知道新EAP方法的客户端，则只需调整身份验证服务器即可。您的所有中间设备只需处理它作为任何其他EAP流量。

因此，为了让您有所了解，下面是EAP用于不同目的和不同组织(其中一些已经过时或易受攻击)使用的身份验证方法的示例列表：

• 购买力平价
• 巴普
• 第二章
• 斯帕普
• MD5-挑战
• 一次性密码
• 通用-令牌
• TLS
• PEAP
• TTLS
• 跃起
• SIM
• 又名
• 阿卡‘
• MSCHAPv2 (不要被误认为PEAP/MSCHAPv2 2)
• 帕克斯
• PSK
• 压水堆
• 快地
• IKEv2
• 技经评估组
• GTC
• 艾克

这绝不是一个完整的列表，而且我个人对所有这些方法并不熟悉，但我在EAP (或其他EAP方法，如TTLS)中以不同的身份使用了其中的许多方法。