PEAP

受保護的可擴展的身份驗證協議 (PEAP) 是可擴展的身份驗證協議 (EAP) 家族的一個新成員。PEAP 使用傳輸級別安全性 (TLS) 在正在驗證的 PEAP 客户端（例如無線計算機）和 PEAP 身份驗證器（例如 Internet 驗證服務 (IAS) 或遠程驗證撥號用户服務 (RADIUS) 服務器）之間創建加密通道。PEAP 不指定驗證方法，但是會為其他 EAP 驗證協議提供額外的安全性，例如 EAP-MSCHAPv2 協議，該協議可以通過 PEAP 提供的 TLS 加密通道得以實現。PEAP 用作 802.11 無線客户端計算機的身份驗證方法，但虛擬專用網 (VPN) 客户端或其他遠程訪問客户端不支持它。

為增強 EAP 協議和網絡安全性，PEAP 提供：

對通過 TLS 通道在客户端和服務器之間進行的 EAP 方法協商的保護。這有助於防止攻擊者在客户端和網絡訪問服務器 (NAS) 之間插入數據包，以防對安全性較低的 EAP 方法進行協商。加密 TLS 通道也助於防止針對 IAS 服務器進行的拒絕服務攻擊。

對消息碎片和消息重組的支持，允許使用不提供此功能的 EAP 類型。

能夠對 IAS 或 RADIUS 服務器進行身份驗證的無線客户端。因為服務器也對客户端進行身份驗證，所以相互進行身份驗證的情況出現。

當 EAP 客户端驗證 IAS 服務器所提供的證書時，對部署未經授權的無線訪問點 (WAP) 的保護。另外，PEAP 身份驗證器和客户端創建的 TLS 主機密不與該訪問點共享。因此，該訪問點不能解密受 PEAP 保護的消息。

PEAP 快速重新連接，它減少客户端身份驗證請求和 IAS 或 RADIUS 服務器響應之間的時間延遲，並允許無線客户端在訪問點之間移動而無需重複身份驗證請求。這樣可以減少客户端和服務器的資源要求。

PEAP 客户端和身份驗證器之間的 PEAP 身份驗證過程有兩個階段。第一個階段建立 PEAP 客户端和身份驗證服務器之間的安全通道。第二個階段提供 EAP 客户端和身份驗證器之間的 EAP 身份驗證。

無線客户端與無線訪問點關聯。在客户端和訪問點之間創建安全關聯之前，基於 IEEE 802.11 的關聯會提供開放系統或共享密鑰驗證。在客户端與訪問點之間成功建立基於 IEEE 802.11 的關聯之後，TLS 會話與訪問點協商。成功完成無線客户端和服務器（例如 IAS 服務器）之間的身份驗證之後，TLS 會話之間進行協商。在此協商期間獲得的密鑰用於加密所有後續通信。

整個 EAP 通信，包括 EAP 協商在內，都通過 TLS 通道進行。IAS 服務器對用户和客户端計算機進行身份驗證，具體方法由 EAP 類型決定，在 PEAP 內部選擇使用（EAP-TLS 或 EAP-MS-CHAPv2）。訪問點只會在無線客户端和 RADIUS 服務器之間轉發消息，由於不是 TLS 終結點，訪問點（或者對它們進行監視的人）無法對這些消息進行解密。

可以在兩種 EAP 類型中選擇一種與 PEAP 共同使用：EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用憑據（用户名和密碼）進行用户身份驗證，使用服務器計算機證書存儲中的證書進行服務器驗證。EAP-TLS 使用安裝在客户端計算機或智能卡中的證書進行用户和客户端計算機驗證，使用服務器計算機證書存儲中的證書進行服務器驗證。

帶 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易於部署，因為用户身份驗證是使用基於密碼的憑據（用户名和密碼）來完成的，而不是使用證書或智能卡 -- 只有 IAS 或 RADIUS 服務器需要有證書。另外，服務器證書可以由客户端計算機所信任的公共證書頒發機構 (CA) 頒發（即，公用的 CA 證書已經存在於客户端計算機證書存儲中的“受信根證書頒發機構”文件夾內）。在這種情況下，服務器證書不會被下載和添加到客户端受信任的根證書存儲中，用户也不會被提示來決定是否信任服務器。

PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性，它使用相互身份驗證，防止未經授權的服務器協商最不安全的身份驗證方法，提供 TLS 生成的密鑰。PEAP-EAP-MS-CHAPv2 要求客户端信任服務器提供的證書。

有關服務器和客户端計算機證書要求，請參閲網絡訪問身份驗證和證書。有關使用 PEAP-EAP-MS-CHAPv2 的無線訪問策略示例，請參閲使用安全密碼身份驗證的無線訪問。

帶 EAP-TLS 的 PEAP

公鑰證書提供的身份驗證方法比使用基於密碼的憑據更強。帶 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用證書對服務器進行身份驗證，使用證書或智能卡對用户及客户端計算機進行身份驗證。要使用 PEAP-EAP-TLS，必須部署公鑰基礎結構 (PKI)。

詳細信息，請參閲網絡訪問身份驗證和證書。

PEAP 快速重新連接

PEAP 快速重新連接，能使無線客户端可以在同一網絡的無線訪問點之間移動，而不必在每次與新訪問點關聯時都被重新驗證身份。

將無線訪問點配置為 RADIUS 服務器的 RADIUS 客户端。如果無線客户端在配置為同一 RADIUS 服務器的客户端的訪問點之間漫遊，客户端無需因每個新關聯而進行身份驗證。當客户端移動到配置為不同 RADIUS 服務器的 RADIUS 客户端的訪問點時，雖然要對客户端重新驗證身份，但是此過程處理的效率要高得多。

因為將身份驗證請求從新服務器轉發到原來的服務器，所以 PEAP 快速重新連接減少了客户端和身份驗證器之間的響應時間。由於 PEAP 客户端和身份驗證器都使用先前緩存的 TLS 連接屬性（其集合稱為 TLS 句柄），所以身份驗證器可以快速確定客户端連接是重新連接。

如果原來的 PEAP 身份驗證器不可用，則在客户端和新的身份驗證器之間必須進行完整的身份驗證。客户端緩存新的 PEAP 身份驗證器的 TLS 句柄。客户端可以緩存多個 PEAP 身份驗證器的 TLS 句柄。對於智能卡或 PEAP-EAP-MSCHAPv2 身份驗證，要求用户分別提供 PIN 或憑據。

使用 PEAP-EAP-MS-CHAPv2 身份驗證：

使用 PEAP-EAP-TLS 身份驗證：

有關 RADIUS 客户端的詳細信息，請參閲 RADIUS 基礎結構的組件。

有關 RADIUS 代理服務器的詳細信息，請參閲作為 RADIUS 代理的 IAS。

要啓用 PEAP 快速重新連接，請執行以下操作：

PEAP 客户端（802.11 無線客户端）和 PEAP 身份驗證器（RADIUS 服務器）必須啓用快速重新連接。 PEAP 客户端漫遊所至的所有訪問點，必須配置為 RADIUS 服務器（PEAP 身份驗證器）的 RADIUS 客户端，對於此服務器，PEAP 配置為無線連接的身份驗證方法。與 PEAP 客户端關聯的所有訪問點，都必須配置為優先選擇同一 RADIUS 服務器（PEAP 身份驗證器），以免被提示輸入每個 RADIUS 服務器的憑據。如果訪問點不能配置為優先選擇 RADIUS 服務器，那麼可以配置 IAS RADIUS 代理使用首選 RADIUS 服務器。 詳細信息，請參閲配置 PEAP 和 EAP 方法。

在將 PEAP-EAP-TLS 和 EAP-TLS 身份驗證方法與證書一起使用時，TLS 使用緩存的證書屬性，而不是從證書存儲中讀取證書。如果證書被更改,或者被刪除並由新證書替代，TLS 會繼續使用過期的緩存證書信息，直到該緩存過期或被刷新為止。如果更改或替換證書，那麼可以通過重新啓動服務器計算機刷新 TLS 緩存。 PEAP 不支持用户名和密碼為空的來賓身份驗證。 當部署 PEAP 和不受 PEAP 保護 的 EAP 時，無論是否具備 PEAP，都不要使用同一個 EAP 身份驗證類型。例如，如果部署帶 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 時，請不要部署不具備 PEAP 的 EAP-TLS。用同一類型部署身份驗證方法（一種帶有 PEAP 保護，另一種沒有 PEAP）將產生安全漏洞。