확장 인증 프로토콜

Extensible Authentication Protocol

Extensible Authentication Protocol(EAP)은 네트워크 및 인터넷 연결에서 자주 사용되는 인증 프레임워크입니다.에 정의되어 있습니다. RFC3748: RFC2284가 폐지되어 RFC5247에 의해 갱신되었습니다.EAP는 EAP 방식으로 생성된 자료 및 파라미터의 전송 및 사용을 제공하기 위한 인증 프레임워크입니다.RFC에는 많은 방식이 정의되어 있으며 벤더 고유의 방식 및 새로운 제안도 다수 존재합니다.EAP는 와이어 프로토콜이 아니라 인터페이스와 형식으로부터의 정보만 정의합니다.EAP를 사용하는 각 프로토콜은 해당 프로토콜 메시지 내에서 사용자 EAP 메시지에 의해 캡슐화하는 방법을 정의합니다.

EAP는 널리 사용되고 있습니다.예를 들어 IEEE 802.11(WiFi)에서는 WPA 및 WPA2 규격은 IEEE 802.1X(다양한 EAP 타입을 사용)를 표준 인증 메커니즘으로 채택하고 있습니다.

방법들

EAP는 인증 프레임워크로 특정 인증 [1]메커니즘이 아닙니다.EAP 방식이라고 불리는 인증방식의 일반적인 기능과 네고시에이션을 제공합니다.현재 약 40개의 다른 방법이 정의되어 있습니다.IETF RFC에 정의되어 있는 방식에는 EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA 및 EAP-AKA'가 있습니다.또한 벤더 고유의 방법과 새로운 제안도 다수 존재합니다.무선 네트워크에서 동작할 수 있는 일반적인 최신 방식으로는 EAP-TLS, EAP-SIM, EAP-AKA, LEAP 및 EAP-TTLS 등이 있습니다.무선 LAN 인증에 사용되는EAP 방식의 요건은 RFC 4017기재되어 있습니다.EAP에서 사용되는 타입 코드와 패킷코드의 리스트는 IANA [2]EAP 레지스트리에서 입수할 수 있습니다.

이 규격에서는 RFC 4962기재되어 있는AAA 키 관리 요건을 충족할 수 있는 조건도 기술되어 있습니다.

Lightweight Extensible Authentication Protocol(LEAP)

주요 기사:경량 확장 인증 프로토콜

Lightweight Extensible Authentication Protocol(LEAP) 방식은 802.11i 보안 [3]표준의 IEEE 비준 전에 시스코 시스템즈에 의해 개발되었습니다.시스코는 표준이 없는 경우 802.1X 및 다이내믹 WEP를 업계에 도입하기 위한 일환으로 CCX(Cisco Certified Extensions)를 통해 프로토콜을 배포했습니다.Windows operating system에서는, LEAP 의 네이티브 서포트는 없습니다만, WLAN(무선 LAN) 디바이스에 포함되는 서드 파티제의 클라이언트소프트웨어에 의해서 폭넓게 서포트되고 있습니다.Microsoft Windows 7 및 Microsoft Windows Vista 의 LEAP 지원은, LEAP 와 EAP-FAST 의 양쪽 모두를 서포트하는 클라이언트 애드인을 시스코로부터 다운로드하는 것으로 추가할 수 있습니다.네트워크 업계에서 LEAP가 널리 채택되고 있기 때문에 다른 많은 WLAN[who?] 벤더는 LEAP의 지원을 요구하고 있습니다.

LEAP는 사용자 credential이 강력하게 보호되지 않고 쉽게 침해되는 인증 프로토콜인 MS-CHAP의 수정 버전을 사용합니다.ASLEAP이라는 이름의 악용 도구는 2004년 초에 Joshua [4]Wright에 의해 출시되었습니다.시스코에서는 LEAP를 반드시 사용해야 하는 고객은 충분히 복잡한 패스워드를 사용하는 것만을 권장합니다.단, 복잡한 패스워드는 관리 및 적용이 어렵습니다.시스코에서는 현재 EAP-FAST, PEAP, EAP-TLS 등의 보다 새롭고 강력한 EAP 프로토콜을 사용할 것을 권장합니다.

EAP 트랜스포트층 보안(EAP-TLS)

RFC 5216에서 정의된EAP Transport Layer Security(EAP-TLS; 트랜스포트층 보안)는 Transport Layer Security(TLS; 트랜스포트층 보안) 프로토콜을 사용하는 IETF 오픈 표준으로 무선 벤더 간에 충분히 지원됩니다.EAP-TLS는 최초의 표준 무선 LAN EAP 인증 프로토콜입니다.

TLS는 사용자가 잘못된 credential에 대한 잠재적인 경고를 이해하는 한 강력한 보안을 제공하며 무선 LAN 하드웨어 및 소프트웨어의 모든 제조업체에서 보편적으로 지원됩니다.2005년 4월까지 EAP-TLS는 WPA 또는 WPA2 [5]로고를 인증할 필요가 있는 유일한 EAP 타입 벤더였습니다.EAP-TLS는 3Com, Apple, Avaya, Brocade Communications, Cisco, Enterasys Networks, Fortinet, Foundry, Hirschmann, HP, Juniper, Microsoft 및 오픈소스 운영체제로 클라이언트 및 서버를 구현하고 있습니다.EAP-TLS는 Mac OS X 10.3 이상, wpa_supplicant, Windows 2000 SP4, Windows XP 이상, Windows Mobile 2003 이상, Windows CE 4.2 및 Apple의 iOS 모바일 운영 체제에서 기본적으로 지원됩니다.

World Wide Web 등 HTTPS의 대부분의 TLS 구현과 달리 EAP-TLS 구현의 대부분은 클라이언트 X.509 증명서를 사용하여 상호 인증을 필요로 합니다.단, 표준에서 사용을 [6][7]의무화하고 있지 않은 경우에도 요건을 무효로 하는 옵션을 제공하지 않습니다.일부에서는 이것이 EAP-TLS의 채택을 극적으로 줄이고 "오픈"하지만 암호화된 접근포인트를 [6][7]방지할 수 있는 가능성이 있다고 판단하고 있습니다.8월 22일 2012년에 hostapd(그리고wpa_supplicant)의 Git저장소에 있는UNAUTH-TLSvendor-specific 증원군 전력형(그hostapd/wpa_supplicant 프로젝트 RFC5612 민간 기업 번호를 사용하여)[8]고 2월 25일 2014년에 WFA-UNAUTH-TLSvendor-specific 증원군 전력형(Wi-Fi동맹 민간 기업 번호를 사용하여)[9]에 대한 지원 추가 지원이라고 덧붙였다.[10]which는 서버 인증만 수행합니다.이것에 의해, 무선 핫 스팟이 무료 액세스를 허가해, 스테이션 클라이언트는 인증하지 않고, 스테이션 클라이언트는 암호화를 사용하는 HTTPS와 같은 상황이 가능하게 됩니다(IEEE 802.11i-2004).무선 핫스팟을 인증할 수 있습니다.액세스 포인트에 IEEE 802.11u를 사용하여 벤더 고유의 EAP [11]타입이 아닌 표준 EAP-TLS IETF 타입을 사용하여 서버측 인증만을 사용하여 EAP-TLS를 허가하는 것을 시그널링하는 제안도 있습니다.

클라이언트측 증명서의 요건은 아무리 인기가 없더라도 EAP-TLS의 인증 강도를 높여 기존의 편리성과 보안의 트레이드오프를 나타내고 있습니다.클라이언트측 증명서의 경우 침입자는 클라이언트측 증명서를 가지고 있어야 하기 때문에 EAP-TLS 대응 시스템에 침입할 수 없습니다.비밀번호는 클라이언트측 증명서를 암호화하기 위해서만 사용되므로 필요조차 없습니다.클라이언트측 증명서의 「비밀키」가 스마트 [12]카드에 격납되어 있는 것이, 시큐러티가 가장 높아집니다.카드 자체를 도용하지 않고서는 클라이언트측 증명서의 대응하는 개인 키를 스마트카드에서 도용하는 방법이 없기 때문입니다.(일반적인) 패스워드 도난보다 스마트카드의 물리적인 도난(및 스마트카드는 즉시 해지)이 발견될 가능성이 높습니다.또, 스마트 카드의 개인 키는, 통상, 스마트 카드의 소유자만이 아는 PIN 를 사용해 암호화되기 때문에, 카드가 도난당해 폐기되었다고 보고되기 전에 도둑의 효용을 최소한으로 억제할 수 있습니다.

EAP-MD5

EAP-MD5는 EAP의 원래 RFC인 RFC 2284에 처음 정의되었을 때 IETF Standards Track 기반의 EAP 방식뿐이었습니다.최소한의 보안을 제공합니다.MD5 해시 함수는 사전 공격에 취약하며 키 생성을 지원하지 않기 때문에 동적 WEP 또는 WPA/WPA2 엔터프라이즈에서 사용하기에 적합하지 않습니다.EAP-MD5는 EAP 서버에 대한 EAP 피어 인증만 제공하고 상호 인증은 제공하지 않는다는 점에서 다른 EAP 방식과 다릅니다.EAP 서버 인증을 제공하지 않음으로써 이 EAP 방식은 man-in-the-middle [13]공격에 취약합니다.EAP-MD5 지원은 Windows 2000에서 처음 도입되어 Windows [14]Vista에서 폐지되었습니다.

EAP Protected One-Time Password(EAP-POTP)

EAP Protected One-Time Password(EAP-POTP)는 RFC 4793에서 설명되고 있다.RSA Laboraties가 개발한EAP 방식입니다.핸드헬드 하드웨어 디바이스나 퍼스널컴퓨터에서 가동하는 하드웨어 모듈이나 소프트웨어 모듈 등의 One-Time Password(OTP; 원타임패스워드) 토큰을 사용하여 인증 키를 생성합니다.EAP-POTP는 EAP를 사용하는 프로토콜에서 일방적 또는 상호 인증 및 주요 자료를 제공하기 위해 사용할 수 있습니다.

EAP-POTP 방식은 2단계 사용자 인증을 제공합니다.즉,[15] 인증을 수행하려면 토큰에 대한 물리적인 접근과 Personal Identification Number(PIN; 개인 식별 번호)에 대한 지식이 모두 필요합니다.

EAP 사전 공유 키(EAP-PSK)

[1] RFC 4764에서 정의되어 있다EAP Pre-Shared Key(EAP-PSK; 사전 공유 키)는 Pre-Shared Key(PSK; 사전 공유 키)를 사용한 상호 인증 및 세션키 도출을 위한 EAP 방식입니다.상호인증이 성공하면 쌍방이 통신할 수 있는 보호된 통신채널을 제공하며 IEEE 802.11 등의 안전하지 않은 네트워크를 통한 인증용으로 설계되어 있습니다.

EAP-PSK는 공개키 암호화가 필요 없는 가볍고 확장 가능한EAP 방식을 제공하는 실험 RFC에 기재되어 있습니다.EAP 메서드 프로토콜 교환은 최소 4개의 메시지로 이루어집니다.

EAP 패스워드(EAP-PWD)

RFC 5931정의되어 있다EAP Password(EAP-PWD)는 인증에 공유 비밀번호를 사용하는EAP 방식입니다패스워드는 저엔트로피 패스워드일 수 있으며 공격자가 이용할 수 있는 사전 등의 가능한 패스워드 세트에서 취득할 수 있습니다.기본 키 교환은 액티브 공격, 패시브 공격 및 딕셔너리 공격에 대해 내성이 있습니다.

EAP-PWD는 Android 4.0(ICS)의 베이스에 있습니다.FreeRAD에 있습니다.IUS[16][17] RADIUS 서버 및 hostapd 및 wpa_supplicant에 [18]있습니다.

EAP Tunneled Transport Layer Security(EAP-TTLS)

「TTLS」는 여기서 리다이렉트 됩니다.동요는 반짝반짝, 반짝반짝, 작은별을 참고하세요.

EAP Tunneled Transport Layer Security(EAP-TTLS)는 TLS를 확장하는EAP 프로토콜입니다Funk Software와 Certicom공동 개발했으며 플랫폼 전반에 걸쳐 광범위하게 지원됩니다.Microsoft 는, Windows XP, Vista, 또는 7 에서의 EAP-TTLS 프로토콜의 네이티브 서포트를 짜넣지 않았습니다.이러한 플랫폼에서 TTLS를 지원하려면 서드파티제의 Encryption Control Protocol(ECP) 인증 소프트웨어가 필요합니다.Microsoft Windows 는 Windows [19]8 에서 EAP-TTLS 의 서포트를 개시했습니다만, EAP-TTLS[20] 의 서포트는 Windows Phone 버전 8.1 [21]에 기재되어 있습니다.

클라이언트는 CA 서명된 PKI 증명서를 통해 서버에 인증할 수 있지만 인증할 필요는 없습니다.이것에 의해, 증명서가 모든 클라이언트에 필요한 것은 아니기 때문에, 셋업 순서가 큰폭으로 간소화됩니다.

서버가 CA 증명서를 통해 클라이언트에 대해 안전하게 인증되고 옵션으로 클라이언트가 서버에 대해 인증되면 서버는 확립된 보안 연결("터널")을 사용하여 클라이언트를 인증할 수 있습니다.기존 패스워드 메커니즘과 인증 데이터베이스를 통합하여 널리 배포된 기존 인증 프로토콜과 인프라스트럭처를 사용할 수 있으며 보안 터널은 도청 및 중간자 공격으로부터 보호할 수 있습니다.사용자의 이름은 암호화되지 않은 일반 텍스트로 전송되지 않으므로 개인 정보가 보호됩니다.

EAP-TTLS에는 오리지널 EAP-TTLS(EAP-TTLSv0)와 EAP-TTLSv1의 2가지 다른 버전이 있습니다.EAP-TTLSv0은 RFC 5281기술되어 있으며,[22] EAP-TTLSv1은 초안으로서 사용할 수 있습니다.

EAP 인터넷키 교환 v.2(EAP-IKEv2)

EAP Internet Key Exchange v.2(EAP-IKEv2)는 Internet Key Exchange Protocol Version 2(IKEv2)에 근거한EAP 방식입니다.EAP 피어와 EAP 서버 간의 상호 인증 및 세션키 확립을 제공합니다.다음 유형의 credential에 기반한 인증 기술을 지원합니다.

비대칭 키쌍
공개 키가 디지털 증명서에 삽입되어 대응하는 개인 키가 인식되는 공개 키와 개인 키 쌍.
패스워드
서버와 피어 양쪽에서 인식되고 있는 저엔트로피 비트스트링
대칭 키
서버와 피어 양쪽에서 인식되는 하이엔트로피 비트스트링

각 방향에서 다른 인증 자격 정보(및 기술)를 사용할 수 있습니다.예를 들어, EAP 서버는 공개/비밀 키쌍을 사용하여 자신을 인증하고 EAP 피어는 대칭 키를 사용하여 인증합니다.특히 다음과 같은 조합이 실제로 사용될 것으로 예상된다.

EAP-IKEv2는 RFC 5106기술되어 있으며 시제품 실장이 존재합니다.

Secure Tunneling(EAP-FAST; 시큐어 터널링)을 통한EAP 플렉시블 인증

Secure Tunneling을 통한 Flexible Authentication(EAP-FAST; RFC 4851)[23]은 LEAP를 대체하는 시스코 시스템즈의 프로토콜 제안입니다.이 프로토콜은 "경량" 구현을 유지하면서 LEAP의 약점을 해결하도록 설계되었습니다.EAP-FAST 에서는 서버 증명서의 사용은 옵션입니다.EAP-FAST 에서는 Protected Access Credential(PAC)을 사용하여 클라이언트 credential이 검증되는 TLS 터널을 확립합니다.

EAP-FAST에는 다음 3가지 [24]단계가 있습니다.

단계 기능. 묘사 목적
0 인밴드 프로비저닝: 안전한 단계1 컨버세이션에서 사용하는 공유 비밀 정보를 피어에 제공합니다. Authenticated Diffie-Hellman Protocol(ADHP)을 사용합니다.이 단계는 다른 단계와는 독립적이기 때문에 향후 다른 방식(인밴드 또는 아웃 오브 밴드)을 사용할 수 있습니다. 클라이언트에 네트워크 액세스가 필요할 때마다 마스터 시크릿을 확립할 필요가 없어진다.
1 터널 확립 PAC를 사용하여 인증하고 터널 키를 확립합니다. 단계 2의 인증 프로세스에서 기밀성과 무결성을 제공하는 키 확립
2 인증 피어를 인증합니다. 복수의 터널링된 안전한 인증 메커니즘(크리덴셜 교환)

자동 PAC 프로비저닝이 네이블로 되어 있는 경우, EAP-FAST 에 약간의 취약성이 있어 공격자가 PAC 를 가로채, 유저의 credential을 침해할 가능성이 있습니다.이 취약성은 수동 PAC 프로비저닝 또는 PAC 프로비저닝 단계에서 서버 증명서를 사용함으로써 완화됩니다.

PAC 파일은 사용자 단위로 발행됩니다.이것은 RFC 4851sec 7.4.4의 요건이기 때문에 새로운 사용자가 디바이스에서 네트워크에 로그인하는 경우 먼저 새로운 PAC 파일을 프로비저닝해야 합니다.이것이 안전하지 않은 익명 프로비저닝모드에서 EAP-FAST를 실행하지 않는 것이 어려운 이유 중 하나입니다.대신 디바이스 비밀번호를 사용하는 방법도 있지만 사용자가 아닌 네트워크에서 디바이스가 검증됩니다.

EAP-FAST는 PAC 파일 없이 사용할 수 있으며 일반 TLS로 폴백됩니다.

EAP-FAST는 Apple OS X 10.4.8 이후에 네이티브로 지원됩니다.시스코에서는 새로운[26] 인증방식 및 서플리칸트에 확장 가능한EAPHost[25] 아키텍처를 갖춘 Windows Vista 이후의 운영체제시스템용 [27]EAP-FAST 모듈을 제공하고 있습니다.

TeAP(Tunnel Extensible Authentication Protocol)

Tunnel Extensible Authentication Protocol(TEAP; RFC 7170)은 Transport Layer Security(TLS) 프로토콜을 사용하여 상호 인증된 터널을 확립함으로써 피어와 서버 간의 안전한 통신을 가능하게 하는 터널 기반의 EAP 방식입니다.터널 내에서 Type-Length-Value(TLV; 유형 길이 값) 오브젝트는 EAP 피어와 EAP 서버 간에 인증 관련 데이터를 전송하기 위해 사용됩니다.

피어 인증과 더불어 TEAP에서는 PKCS#10 형식으로 요구를 송신함으로써 피어가 서버에 증명서를 요구할 수 있습니다.또, 서버는 [rfc:2315 PKCS#7]형식의 증명서를 피어에 프로비저닝 할 수 있습니다.서버는 신뢰할 수 있는 루트 인증서를 [rfc:2315 PKCS#7] 형식으로 피어에 배포할 수도 있습니다.두 동작 모두 대응하는 TLV에 포함되어 이전에 확립된TLS 터널 내에서 안전한 방법으로 실행됩니다.

EAP Subscriber Identity Module(EAP-SIM)

EAP Subscriber Identity Module(EAP-SIM)은 Global System for Mobile Communications(GSM; 글로벌모바일 시스템)에서 Subscriber Identity Module(SIM; 가입자 식별 모듈)을 사용한 인증 및 세션키 배포에 사용됩니다.

GSM 셀룰러 네트워크는 가입자 ID 모듈 카드를 사용하여 사용자 인증을 수행합니다.EAP-SIM은 클라이언트와 Authentication, Authorization and Accounting(AAA; 인증, 인가, 계정) 서버 간에 SIM 인증 알고리즘을 사용하여 클라이언트와 네트워크 간의 상호 인증을 제공합니다.

EAP-SIM에서는 SIM 카드와 Authentication Centre(AuC; 인증센터) 간의 통신에 의해 클라이언트와 AAA 서버 간에 미리 설정된 비밀번호가 대체됩니다.

A3/A8 알고리즘은 128비트 도전과 함께 여러 번 실행되므로 64비트 Kc-s가 더 많이 결합/혼합되어 더 강력한 키를 생성할 수 있습니다(Kc-s는 직접 사용되지 않습니다).GSM에서의 상호 인증 부족도 극복되었습니다.

EAP-SIM은 RFC 4186설명되어 있습니다.

EAP 인증 및 키 계약(EAP-AKA)

Extensible Authentication Protocol Method for Universal Mobile Telecommunications System(UMTS) Authentication and Key Agreement(EAP-AKA)는 UMTS Subscriber Identity Module(USIM)을 사용한 인증 및 세션키 배포를 위한 EAP 메커니즘입니다.

EAP 인증 및 키 계약 프라임(EAP-AKA)

EAP-AKA의 배리언트 EAP-AKA는 RFC 5448에 정의되어 있으며 3GPP 코어 네트워크에 대한 비 3GPP 액세스에 사용됩니다.예를 들어, EVDO, WiFi, WiMax를 경유합니다.

EAP 범용 토큰 카드(EAP-GTC)

EAP Generic Token Card(EAP-GTC)는 PEAPv0/EAP-MSCHAPv2의 대체 수단으로서 시스코가 작성한EAP 방식이며 RFC 2284RFC 3748정의되어 있습니다.EAP-GTC는 인증 서버로부터의 텍스트도전 및 보안 토큰에 의해 생성된 응답을 전송합니다.PEAP-GTC 인증 메커니즘에 의해 Novell Directory Service(NDS)나 Lightweight Directory Access Protocol(LDAP) 등 다수의 데이터베이스에 대한 범용 인증과 원타임패스워드 사용이 가능합니다.

EAP 암호화 키 교환(EAP-EKE)

암호화교환(EAP-EKE)을 사용하는EAP은 짧은 비밀번호를 사용하여 안전한 상호 인증을 제공하는 몇 안 되는EAP 방식입니다.공용증명서는 필요 없습니다.이것은 잘 알려진 EKE 프로토콜의 Diffie-Hellman 변형에 기반한 3라운드 교환입니다.

EAP-EKE는 RFC 6124규정되어 있습니다.

EAP(EAP-NOOB)의 신속한 대역외 인증

Nimble Out-of-Band Authentication for EAP[28](EAP-NOOB)는 인증 credential이 사전에 설정되어 있지 않고 서버에 아직 등록되어 있지 않은 디바이스의 일반적인 부트스트랩 솔루션입니다.소유자, 네트워크 또는 서버에 대한 정보가 없는 사물인터넷(IoT) 가젯 및 장난감에 특히 유용합니다.이 EAP 방식의 인증은 서버와 피어 사이의 User-Assisted Out-of-Band(OOB; 사용자 지원 아웃 오브 밴드) 채널을 기반으로 합니다.EAP-NOOB는 QR 코드, NFC 태그, 오디오 등 다양한 유형의 OOB 채널을 지원하며, 다른 EAP 방식과는 달리 프로토콜 보안은 ProVerifMCRL2 도구를 [29]사용한 규격의 정식 모델링에 의해 검증되었습니다.

EAP-NOOB는 인밴드 EAP 채널을 통해 Ephemeral Elliptic Curve Diffie-Hellman(ECDHE)을 실행합니다.사용자는 OOB 메시지를 전송하여 이 교환을 확인합니다.사용자는 피어에서 서버로 OOB 메시지를 전송할 수 있습니다. 예를 들어 장치가 QR 코드를 표시할 수 있는 스마트 TV인 경우입니다.또는 OOB 메시지를 서버에서 피어에 전송할 수 있습니다.예를 들어 부트스트랩되는 디바이스가 QR 코드만 읽을 수 있는 카메라일 경우입니다.

캡슐화

EAP는 와이어 프로토콜이 아니라 메시지 형식만 정의합니다.EAP를 사용하는 각 프로토콜은 해당 프로토콜 메시지 [30][31]내에서 EAP 메시지를 캡슐화하는 방법을 정의합니다.

IEEE 802.1x

주요 문서: IEEE 802.1X.

증원군 전력 IEEE802에 대한 캡슐화 IEEE802.1X에"증원군 전력 LAN에"또는 EAPOL으로 알려져 정의된다.[32][33][34]EAPOL는 원래 IEEE802.3 이더넷에 802.1X-2001에 있지만,에 맞게 명확하도록 디자인되었죠 IEEE802.11과 802.1X-2에 섬유 분산 데이터 인터페이스(ANSIX3T9.5/X3T12, ISO9314로 채택되)무선과 같은 다른 IEEE802LAN기술.004.[35] EAPOL 프로토콜도 IEEE 802.1과 함께 사용하도록 수정되었습니다.AE(MACsec) 및 IEEE 802.1802.1X-2010의 [36]초기 디바이스 ID(AR).

IEEE 802.11i-2004 Wireless Access Point(WAP; 무선 액세스포인트) 의 802.1X 대응 Network Access Server(NAS; 네트워크액세스 서버) 디바이스에 의해 EAP가 호출되면 최신 EAP 방식은 안전한 인증 메커니즘을 제공하고 클라이언트와 NAS 간에 안전한 개인 키(Pair-wise Master Key, PMK)를 네고시에이트하여 무선 암호화에 사용할 수 있습니다.TKIP 또는 CCMP(AES에 기반) 암호화를 실행합니다.

PEAP

주요 문서: Protected Extensible Authentication Protocol(확장성 인증 프로토콜)

Protected Extensible Authentication Protocol(Protected EAP 또는 단순히 PEAP라고도 함)은 잠재적으로 암호화 및 인증된 Transport Layer Security([37][38][39]TLS) 터널 내에 EAP를 캡슐화하는 프로토콜입니다.그 목적은 EAP의 결함을 수정하는 것이었습니다.EAP는 물리적인 보안에 의해 제공되는 것과 같은 보호된 통신 채널을 가정했기 때문에 EAP 컨버세이션의 보호를 위한 [40]설비는 제공되지 않았습니다.

PEAP는 시스코 시스템즈, Microsoft 및 RSA Security에 의해 공동 개발되었습니다.PEAPv0은 Microsoft Windows XP에 포함된 버전으로, 명목상 draft-kamath-pppext-peapv0-00에 정의되어 있습니다.PEAPv1과 PEAPv2는 draft-josefsson-pppext-eap-tls-eap의 다른 버전으로 정의되어 있습니다.PEAPv1은 draft-josefsson-pppext-eap-tls-eap-00에서 draft-josefsson-pppext-eap-eap-05까지 [41]정의되어 있으며 PEAPv2는 draft-josefsson-pppppext-eap-tls-eap-06으로 시작하는 버전에서 정의되어 있습니다.[42]

이 프로토콜은 여러 EAP 메커니즘의 체인을 지정하는 것일 뿐 특정 [38][43]방식은 지정하지 않습니다.EAP-MSCHAPv2EAP-GTC 방식의 사용이 가장 일반적으로 지원됩니다.[citation needed]

RADIUS 및 직경

주요 기사: RADIUS 및 Diameter (프로토콜)

RADIUS Diameter AAA 프로토콜은 모두 EAP 메시지를 캡슐화할 수 있습니다.네트워크 액세스서버(NAS) 디바이스는 IEEE 802.1X 엔드포인트와 AAA 서버 간에 EAP 패킷을 전송하여 IEEE 802.1X를 용이하게 합니다.

PANA

주요 기사: 네트워크 액세스를 위한 인증 수행 프로토콜

PANA(Network Access용 인증 반송 프로토콜)는 IP 기반 프로토콜로, 디바이스가 액세스 권한을 부여하는 네트워크에서 자신을 인증할 수 있도록 합니다.PANA는 새로운 인증 프로토콜, 키 배포, 키 계약 또는 키 파생 프로토콜을 정의하지 않습니다. 이러한 목적을 위해 EAP가 사용되며 PANA는 EAP 페이로드를 전송합니다.PANA는 다이내믹서비스 프로바이더를 선택할 수 있으며 다양한 인증방식을 지원하며 로밍 사용자에게 적합하며 링크층 메커니즘과는 무관합니다.

PPP

주요 기사: Point-to-Point Protocol

EAP는 원래 Point-to-Point Protocol(PPP) 인증 확장입니다.PPP는 EAP가 Challenge-Handshake Authentication Protocol(CHAP) 및 Password Authentication Protocol(PAP)의 대체 수단으로 작성된 이후 EAP를 지원하여 왔습니다.이것들은 최종적으로 EAP에 통합되었습니다.PPP에 대한 EAP 확장은 RFC 2284에서 처음 정의되었으며 현재는 RFC 3748에서 폐지되었습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "Introduction". Extensible Authentication Protocol (EAP). sec. 1. doi:10.17487/RFC3748. RFC 3748.
  2. ^ "Extensible Authentication Protocol (EAP) Registry". www.iana.org. Retrieved 2021-06-01.
  3. ^ George Ou (January 11, 2007). "Ultimate wireless security guide: An introduction to LEAP authentication". TechRepublic. Retrieved 2008-02-17.
  4. ^ Dan Jones (October 1, 2003). "Look Before You LEAP". Unstrung. Archived from the original on February 9, 2008. Retrieved 2008-02-17.
  5. ^ "Understanding the updated WPA and WPA2 standards". techrepublic.com. Retrieved 2008-02-17.
  6. ^ a b Byrd, Christopher (5 May 2010). "Open Secure Wireless" (PDF). Archived from the original (PDF) on 12 December 2013. Retrieved 2013-08-14.
  7. ^ a b The EAP-TLS Authentication Protocol. March 2008. doi:10.17487/RFC5216. RFC 5216. The certificate_request message is included when the server desires the peer to authenticate itself via public key. While the EAP server SHOULD require peer authentication, this is not mandatory, since there are circumstances in which peer authentication will not be needed (e.g., emergency services, as described in [UNAUTH]), or where the peer will authenticate via some other means.
  8. ^ "Add UNAUTH-TLS vendor specific EAP type". hostapd. Archived from the original on 2013-02-13. Retrieved 2013-08-14.
  9. ^ "HS 2.0R2: Add WFA server-only EAP-TLS peer method". hostapd. Archived from the original on 2014-09-30. Retrieved 2014-05-06.
  10. ^ "HS 2.0R2: Add WFA server-only EAP-TLS server method". hostapd. Archived from the original on 2014-09-30. Retrieved 2014-05-06.
  11. ^ Byrd, Christopher (1 November 2011). "Open Secure Wireless 2.0". Archived from the original on 26 November 2013. Retrieved 2013-08-14.
  12. ^ Rand Morimoto; Kenton Gardinier; Michael Noel; Joe Coca (2003). Microsoft Exchange Server 2003 Unleashed. Sams. p. 244. ISBN 978-0-672-32581-6.
  13. ^ "Alternative Encryption Schemes: Targeting the weaknesses in static WEP". Ars Technica. Retrieved 2008-02-17.
  14. ^ "922574", Knowledge Base, Microsoft
  15. ^ "EAP-POTP Authentication Protocol". Juniper.net. Retrieved 2014-04-17.
  16. ^ FreeRADIUS EAP 모듈rlm_eAP_pwd
  17. ^ McCauley, Mike. "Added support for EAP-PWD per RFC 5931". radiator-announce (Mailing list).
  18. ^ 패스워드만을 사용한 시큐어 인증
  19. ^ 네트워크 액세스를 위한 Extensible Authentication Protocol(EAP) 설정
  20. ^ "802.1x / EAP TTLS support? – Windows Phone Central Forums". Forums.wpcentral.com. Retrieved 2014-04-17.
  21. ^ "Enterprise Wi-Fi authentication (EAP)". Microsoft.com. Retrieved 2014-04-23.
  22. ^ EAP Tunneled TLS Authentication Protocol Version 1 (EAP-TTLSv1). I-D draft-funk-eap-ttls-v1-01.
  23. ^ "Ultimate wireless security guide: A primer on Cisco EAP-FAST authentication". techrepublic.com. Archived from the original on 2008-03-24. Retrieved 2008-02-17.
  24. ^ "EAP-FAST > EAP Authentication Protocols for WLANs". Ciscopress.com. Retrieved 2014-04-17.
  25. ^ "EAP-FAST for Windows Vista Administrator Guide". Archived from the original on February 10, 2009.
  26. ^ 컴퓨터에 CISCO EAP-FAST를 설치하려면 어떻게 해야 하나요?
  27. ^ Windows에서의 EAPHost
  28. ^ Aura, Tuomas; Sethi, Mohit; Peltonen, A. (December 2021). Nimble out-of-band authentication for EAP (EAP-NOOB). doi:10.17487/RFC9140. RFC 9140.
  29. ^ GitHub에서의 EAP-NOOB 모델
  30. ^ "HTTPS, Secure HTTPS". Springer Reference. SpringerReference. Springer-Verlag. 2011. doi:10.1007/springerreference_292.
  31. ^ Plumb, Michelle, CAPPS : HTTPS Networking, OCLC 944514826
  32. ^ "EAP Usage Within IEEE 802". Extensible Authentication Protocol (EAP). sec. 3.3. doi:10.17487/RFC3748. RFC 3748.
  33. ^ "Link Layer". Extensible Authentication Protocol (EAP). sec. 7.12. doi:10.17487/RFC3748. RFC 3748.
  34. ^ IEEE 802.1X-2001, © 7
  35. ^ IEEE 802.1X-2004, © 3.2.2
  36. ^ IEEE 802.1X-2010, © 5
  37. ^ "EAP encapsulation". Microsoft's PEAP version 0 (Implementation in Windows XP SP1). sec. 1.1. I-D draft-kamath-pppext-peapv0-00.
  38. ^ a b Protected EAP Protocol (PEAP) Version 2. Abstract. I-D draft-josefsson-pppext-eap-tls-eap-10.
  39. ^ "Introduction". Protected EAP Protocol (PEAP) Version 2. sec. 1. I-D draft-josefsson-pppext-eap-tls-eap-10.
  40. ^ "Introduction". Protected EAP Protocol (PEAP) Version 2. sec. 1. I-D draft-josefsson-pppext-eap-tls-eap-07.
  41. ^ Protected EAP Protocol (PEAP). sec. 2.3. I-D draft-josefsson-pppext-eap-tls-eap-05.
  42. ^ "Version negotiation". Protected EAP Protocol (PEAP). sec. 2.3. I-D draft-josefsson-pppext-eap-tls-eap-06.
  43. ^ "Protocol Overview". Protected EAP Protocol (PEAP) Version 2. p. 11. I-D draft-josefsson-pppext-eap-tls-eap-10.

추가 정보

  • "모바일 액세스를 위한 AAA 및 네트워크 보안.RADIUS, DIAMIUS, EAP, PKI 및 IP 모빌리티를 지원합니다.M나크지리.John Wiley and Sons, Ltd.

외부 링크