EAP-godkjenningsmetoder

EAP-godkjenningsmetoder


Når datamaskiner etablere nettverk kommunikasjon med hverandre, har hver datamaskin for å gi godkjenning, noe som beviser at datamaskiner er enheter som de hevder å være. Uten godkjenning, kan andre brukere kunne konfigurere sine egne datamaskiner til å etterligne ekte datamaskiner er involvert i kommunikasjon og fange opp data. Extensible Authentication Protocol, eller EAP, brukes av Microsoft Windows-maskiner for å gi en metode for autentisering som datamaskiner kan bruke til å identifisere hverandre før etablering av nettverkstilkobling.

EAP TLS

Bruke EAP, kan du konfigurere autentisering mellom datamaskiner til å skje med Transport Layer Security, eller TLS. Dette betyr at for at autentiseringen mellom de kommuniserende datamaskiner foregår på transportlaget, en av de syv lag i OSI, eller Open Systems Interconnection, modell av nettverkskommunikasjon.

På dette laget i OSI-modellen, datamaskiner identifisere hverandre ved bruk av koder innebygd i smartkort, og datamaskiner med smartkortlesere koblet behov for å brukes til å koble til andre krever smartkort autentisering. En annen sterk metode for autentisering på transportlaget, som støttes av EAP, er sertifikatbasert autentisering. I dette tilfellet, genererer en datamaskin et digitalt sertifikat, som er installert på en datamaskin som skal kommunisere med den. EAP deretter konfigureres på begge maskinene som krever bruk av digitale sertifikater for å kunne identifisere.

En datamaskin prøver å etablere kommunikasjon med en datamaskin konfigurert til å bruke sertifikatbasert autentisering blir nødt til å presentere sin egen digitale sertifikat før at datamaskinen vil tillate kommunikasjon skal etableres. Digitale sertifikater er vanskelig å gjenskape, er dette ansett som en meget sikker autentiseringsmetode.

EAP MD5

Message Digest 5, eller MD5, er en utfordring basert autentiseringsmetode. I et nettverk ved hjelp av MD5-godkjenning, når en datamaskin forsøker å etablere kommunikasjon med en annen datamaskin, det sender ikke et passord på tvers av nettverket, som kan bli snappet opp av uautoriserte brukere. I stedet sender den andre datamaskinen en serie med tegn som kommuniserer datamaskinen prosesser, med passordet som trengs for kommunikasjon som skal etableres. Resultatet av denne behandling blir sendt tilbake til den andre datamaskinen, og hvis den første datamaskinen har brukt et gyldig passord for å få den resulterende kode, tillater den andre datamaskinen kommunikasjon etableres.

MS CHAP v2

MS CHAP v2, eller Microsoft Challenge Handshake Authentication Protocol versjon to, er en metode tilgjengelig for EAP for godkjenning kommuniserende datamaskiner. Det er en toveis godkjenningsmetode, noe som betyr at begge maskinene må autentisere med hverandre. Fremgangsmåten innebærer en klientdatamaskin som forbinder med en server, først av alt å motta en utfordring meldingen fra serveren. Utfordringen inneholder en rekke tegn.

Klientdatamaskinen bruker en aritmetisk prosess som kalles en algoritme for å rykke utfordringen meldingen. Denne prosessen er kjent som "hashing", og algoritmen som brukes er en Secure Hash Algorithm, eller SHA. Klienten sender så den resulterende hash streng med tegn tilbake til serveren, og sender også en utfordring streng med seg selv. Serveren bekrefter at opplysningene er korrekte, bare da gjelder det en egen SHA til utfordringen utstedt av klienten.

Serveren sender den resulterende hash streng med tegn tilbake til klienten. Klienten verifiserer mottatt informasjon tilbake fra serveren, og hvis det er riktig, kan det begynne å bruke tilkoblingen som er nå etablert. Hvis det ikke gjenkjenner svar fra serveren, bryter den forbindelsen.