思科系列路由器密码恢复研究与实践-江苏万和计算机培训中心.DOCVIP

　　南京CCIE培训 EAP 可扩展认证协议 　　可扩展认证协议(EAP：Extensible Authentication Protocol)是一种全面的2层认证协议。EAP支持多种认证机制。EAP在链路控制阶段没有选择指定的认证机制，而是延迟到认证阶段。该协议允许认证者在决定指定的认证机制前请求更多信息。并可以使用后端服务器执行多种机制，而PPP认证者仅仅通过认证交换。 　　PPP扩展认证协议(EAP)是一个用于PPP认证的通用协议，可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法，而是把这个过程推迟到认证 阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应PPP认证方简单地把收到的认证报文透传给后方的认证服务器，由后方 的认证服务器来真正实现各种认证方法。 　　1. 在链路阶段完成以后，认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型，例如是对端的ID、MD5的挑战 字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下，认证方首先发送一个ID请求报文随后再发送其他的 请求报文。当然，并不是必须要首先发送这个ID请求报文，在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。 　　2. 对端对每一个请求报文回应一个应答报文。和请求报文一样，应答报文中也包含一个类型字段，对应于所回应的请求报文中的类型字段。 　　3. 认证方通过发送一个成功或者失败的报文来结束认证过程。 　　优点： 　　EAP可以支持多种认证机制，而无需在LCP阶段预协商过程中指定。 　　某些设备(如：网络接入服务器)不需要关心每一个请求报文的真正含义，而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败，然后结束认证阶段。 　　缺点： 　　EAP需要在LCP中增加一个新的认证协议，这样现有的PPP实现要想使用EAP就必须进行修改。同时，使用EAP也和现有的在LCP协商阶段指定认证方法的模型不一致。 　　EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。最近，WPA和WPA2标准已经正式采纳了5类EAP作为正式的认证机制。 EAP是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。这些机制被叫做EPA方法， 现在大约有40种不同的方法。IETF的RFC中定义的方法包括：EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 还包括一些厂商提供的方法和新的建议。无线网络中常用的方法包括EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP,和EAP-TTLS. 当EAP被基于802.1x的网络接入设备(诸如802.11a/b/g ，无线接入点)调用时，现代的EAP方法可以提供一个安全认证机制，并且在用户和网络接入服务器之间协商一个安全的PMK。该PMK可以用于使用TKIP和AES加密的无线会话。 　　轻量级的扩展认证协议 　　轻量级的扩展认证协议，或LEAP是一个由CISCO私人拥有的EAP。Cisco通过允许其他厂家生产基于EAP的项目来保护该协议。在任何的Windwos/index.html target=_blankwindows操作系统中不支持LEAP，但LEAP被第三方的用户软件支持。该协议由于其容易受到字典攻击脆弱性,就象EAP-MD5， 而在一开始便广为人知。但直到2003年Joshua Wright发表了ASLEAP以后，人们才开始讨论LEAP存在严重的安全问题。Cisco仍然认为如果使用十分复杂的密码，LEAP是安全的。但是在现实世界中人们几乎不使用十分复杂的密码，因为这对普通人来将是一件非常困难的事情。新的协议，诸如EAP-TTLS和PEAP，则没有这些问题，因为他 们给MSCHAPv2用户认证会话建立了一个安全的传输层安全(TLS)通道，而且可以运行在使用Cisco和不使用Cisco的接入点上。 　　EAP-TLS 　　EAP-TLS是IETF的一个开放标准，并且在无线厂商之间得到很好的支持。它能够提供很好的安全保证。因为TLS被认为是SSL的继承者。它使 用PKI来保护Radius认证服务器的通信，这是很难完成的任务。所以即使EAP-TLS良好的安全，用户端在认证时的负载成为它的致命伤。 EAP-TLS是无线局域网扩展认证协议的原始版本，虽然它因为配置困难而很少被使用，但它仍被认为是最安全的EAP标准之一，而且广泛地被无线局域网硬 件和软件制造厂商,包括微软所支持。要求用户方给出证书，虽然不是很流行，则是EAP-T