EAP-TLS與EAP-TTLS與EAP-PEAP

題:

netik

2017-01-05 16:51:27 UTC

view on stackexchange narkive permalink

我在理解3之間的區別時遇到了麻煩。

據我所知，使用 EAP-TLS ，客戶端（對等）和服務器（身份驗證器））都需要證書。驗證基本上是通過執行TLS握手來完成的（以確保客戶端就是他聲稱的身份）

而對於 EAP-TTLS ，根據僅完成RFC和TLS握手以創建可用於執行其他身份驗證方法的安全隧道。那正確嗎？

現在PEAP與EAP-TTLS有何不同？據我了解，它的作用基本相同。

一回答:

OscarAkaElvis

2017-01-28 00:34:01 UTC

view on stackexchange narkive permalink

在正確的 EAP-TLS 上，雙方都需要證書。有了客戶端證書，由於入侵者仍需要擁有客戶端證書，因此受破解的密碼不足以侵入啟用EAP-TLS的系統。

在 EAP-TTLS 強>，你又是對的。通過服務器的CA證書對客戶端進行安全身份驗證，然後通過服務器對客戶端進行安全身份驗證之後，服務器可以使用已建立的安全連接（“隧道”）對客戶端進行身份驗證。

PEAP 是一種封裝，不是一種方法，但是您幾乎是對的。 PEAP在設計上與EAP-TTLS相似，僅需要服務器端PKI證書即可創建安全的TLS隧道來保護用戶身份驗證，並使用服務器端公共密鑰證書來對服務器進行身份驗證。然後，它將在客戶端和身份驗證服務器之間創建一個加密的TLS隧道。

區別是：PEAP是圍繞帶有EAP的EAP的SSL包裝。 TTLS是一個帶有RADIUS認證屬性的直徑TLV（類型長度值）周圍的SSL包裝。

所有這些信息都可以在 Wikipedia

中找到。

此處使用的“客戶”的適當字眼是“請求方”。

通過閱讀本文，看來我可以同時使用“ EAP-TLS / EAP / TTLS”和“ PEAP”來進行深度防禦，對嗎？

ⓘ

該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到，我們感謝它分發的cc by-sa 3.0許可。