企業無線局域網的安全問題一直是他們關注的重心。本文將介紹PEAP，這是一種基于密碼的驗證協議，可以幫助企業實現簡單安全的驗證功能。

　　對于系統管理員和企業CIO來說，企業無線局域網的安全問題一直是他們關注的重心。本文將介紹Protected Extensible Authentication Protocol (PEAP) Authentication，這是一種基于密碼的驗證協議，可以幫助企業實現簡單安全的驗證功能。

　　受保護的可擴展身份驗證協議 (PEAP) 認證，是一種基于安全密碼的認證協議，可以實現簡單而又安全的身份驗證功能。雖然PEAP也可以用于有線網絡環境，但是一般來說，主 要用于無線局域網環境的網絡接入保護(NAP)甚至Vista系統中的VPN認證。 雖然市面上還有一些驗證協議可以實現與PEAP類似的功能，比如Funk Software的EAP-TTLS ，但是由 于PEAP與Windows操作系統的良好協調性，以及可以通過Windows組策略進行管理的特性，使得PEAP在部署時極其簡單。

　　為何選PEAP而不是其它商業驗證協議

　　在非Cisco設備領域，PEAP擁有了相當規模的市場占有率。同時，由于LEAP協議的安全性較差，不少Cisco用戶也選擇了使用PEAP進行用戶驗證，尤其是在企業無線局域網市場， PEAP的應用比例更是遠遠高出其他競爭對手。最近有些Cisco用戶開始使用新的Cisco EAP-FAST 協議 ，但是這個協議的安全性并不比LEAP強多少，而且部署相當困難。更糟的是， 很多老型號的Cisco無線設備都不支持Cisco EAP-FAST協議，但是卻可以支持PEAP協議。由于PEAP可以兼容幾乎全部廠商的全部設備，可以為企業提供至關重要的“設備級驗證”功 能，同時可以在活動目錄中自動部署(僅在微軟的Windows XP/Vista PEAP客戶端中。)，因此對于企業來說，PEAP是一個最佳的驗證協議。這里需要解釋的是，我并沒有勸大家不 要使用Cisco的硬件產品，因為我本身就對Cisco的硬件可靠性非常滿意。我只是建議大家使用更通行的協議，實現最佳的靈活性、兼容性、穩定性以及更方便部署。

　　PEAP和PKI

　　公開密鑰基礎結構(PKI)是公開密鑰加密方法(PKC)中的一個組件，采用了數字證書 (x.509 format) 和證書驗證方法。PEAP使用PKI來確保用戶驗證過程不會被黑客或惡意人員 截獲和破解，這與SSL采用PKI來確保網站或其它敏感網絡應用在數據交換過程不被截獲并破解的目的是一樣的。

　　了解更多：http://www.xiaobaixitong.com/

　　雖然從OSI模型的角度來看，PEAP和SSL分別屬于不同的等級(第二層和第五層)，但是這兩種方式都是依靠服務器端的數字證書來進行密碼交換，進而啟動一個安全的加密線程 ，就算整個過程在黑客的監視下進行，也可以確保足夠的安全性。這個安全線程不僅保護了密碼交換，更重要的是可以保護用戶的密碼驗證線程。

　　PKI模式采用一個簡單的數字文檔作為確定擁有者身份的數字證書，實現安全的密碼交換。數字證書本身并沒有什么價值，而當這個證書被一個被稱作證書授權(CA)的受信機 構簽名后，就具有了證明身份的作用。為了讓CA能夠被客戶(諸如采用SSL連接進行網絡購物的筆記本或臺式機)所信任，客戶端的證書信任列表(CTL)中應該安裝包含有該CA公 鑰的“root certificate”，即該CA的根證書。

　　目前所有主流操作系統中，都預裝了包含可信CA根證書的CTL，這也就是為什么諸如VeriSign這樣的公司有權利給全球的服務器頒發證書。采用VeriSign這樣具有公信力的認證 機構來建立PKI是一件非常簡單的事情，因為該證書已經被幾乎所有的電腦以及PDA設備所接受，但是服務器證書的費用每年可能會有數百美元。采用EAP-TLS和CA結合的辦法成本更 高，因為你還需要每年為每個客戶支付60美元的數字證書費用。

　　商業的CA公司還可以為個人提供簽名服務，如果你有足夠的相關知識和客觀條件，可以擁有自己的數字證書，并可以建立自己的CA。這就是為什么很多企業不愿意考慮建立自己 的CA系統，也不愿意每年花300美元獲取大型CA公司提供的證書。這也是很多企業選擇LEAP并幻想著可以通過強壯的密碼彌補LEAP的安全弱點，達到與PEAP相同的安全防御效果。從 我的實際經驗看，要說服這些企業采用PKI絕不是一個簡單的任務。而為了讓大家的工作更輕松，在這里我將教大家如何避免采用商業或者公眾的CA公司，而是通過自簽名的數字證 書實現安全的無線局域網。

　　驗證服務器請求

　　要應用PEAP，企業需要首先建立一個RADIUS驗證服務器。實現這一任務的方法很多，比如采用Microsoft Windows Server 2003 SP1或帶有IAS的Windows Server 2003 R2，第三 方的RADIUS服務器可以選用Funk Odyssey，實現在非Windows環境(如Novell)下的RADIUS服務器，另外還可以選擇開放源代碼解決方案，比如FreeRADIUS 。Windows Server 2000 也帶有IAS，但是僅支持EAP-TLS驗證，不支持PEAP驗證。

　　要實現PEAP，RADIUS服務器必須有服務器端的x.509數字證書。 這個證書可以從第三方的CA機構獲取，比如VeriSign，或者從企業內部的CA機構頒發。這兩種方案在傳統意義上 都是可行的，但是對于小型企業來說并不現實，因為小型企業不愿意每年花300美元購買第三方認證機構的證書，公司里可能也不會有一個PKI CA服務器。為了解決這個問題，一個 最佳的方式就是在RADIUS服務器上采用自簽名證書。要安裝 Microsoft IAS。

　PEAP的硬件和軟件需求

　　每個企業級的無線接入點都支持與WPA/WPA2 EAP類型兼容的RADIUS驗證，包括PEAP驗證。Cisco的接入點支持專用的驗證協議，即Cisco LEAP 和EAP-FAST，但是其它非Cisco的 接入點并不支持這些協議。因此我并不建議你采用這些協議。Cisco則將其專用的驗證方法稱為“Network EAP”，而將開放的驗證方法稱為“Open EAP”。從客戶端硬件設備的需 求來說，任何支持Windows Wireless Client的設備都支持PEAP驗證，而大部分Wi-Fi適配器都屬于此類產品。

　　目前的Windows Mobile和CE系統都已經支持PEAP驗證了。Windows XP Wireless Client也在SP1中加入了對PEAP的支持，并且在SP2中加強了這一功能。針對Windows XP甚至還推 出了WPA2升級。而Windows Vista則包含了Wireless Client的全部功能。

　　Windows 2000 Service的最后一個補丁也加入了對PEAP的支持，但是WPA級別的TKIP或AES并沒有被加入，同時用戶也不能通過Windows 2000的組策略編輯器控制Wireless Client。你可以從這里獲取針對Windows 2000的免費WPA客戶端，而且各種Wi-Fi適配器也都帶有自己的支持WPA的Wireless Clients。但是只有Windows XP和Vista下的無線客戶端 才可以通過活動目錄組策略進行集中化的控制。