关于 EAP

本主题介绍可扩展身份验证协议 (EAP) ，这是许多 Microsoft 网络组件支持的标准。

EAP 组件

EAP 对于保护无线 (802.1X) LAN、有线 LAN 以及拨号和虚拟专用网 (VPN) 的安全性至关重要。

以下组件支持 EAP 协议。

适用于拨号和 VPN 的 Microsoft 远程访问客户端和服务器 (PPTP 和 L2TP/IPSec) 实现 EAP 作为 PPP 的扩展。有关详细信息，请参阅 RFC 3748。
Microsoft IEEE 802.1X 兼容的无线和有线 LAN 客户端实现 IEEE 802.1X 草案标准中定义的 EAP。
Microsoft RADIUS 服务器，称为 Internet 身份验证服务 (IAS) 实现 RFC 2865 中定义的 EAP。

上述所有组件都通过 Microsoft Windows 软件开发工具包 (SDK) 支持此可扩展体系结构，从而可以集成第三方身份验证模块。此可扩展机制可用于支持令牌卡、Kerberos、公钥和 S/密钥身份验证协议。

除了 EAP，无线 (802.1X) 实现和 RADIUS 服务器还支持一种新兴标准，称为受保护的 EAP (PEAP) 。

PEAP 为其他 EAP 身份验证协议提供了多个关键服务，如下所示。

PEAP 使用传输层安全 (TLS) （一种安全套接字层 (SSL) 技术）加密其他 EAP 身份验证协议的 EAP 数据包。有关详细信息，请参阅 RFC 2716。
PEAP 使用服务器证书和 RADIUS 服务器对服务器端进行身份验证。
PEAP 提供快速重新身份验证功能，支持无线设备之间的高效漫游。
PEAP 管理 EAP 数据包的碎片和重新组装。
PEAP 生成用于加密无线流量的密钥。

PEAP 使编写 EAP 协议变得更加容易，因为程序员不再需要解决这些问题。