EAP 方法对比：PEAP、EAP-TLS、EAP-TTLS 与 EAP-FAST

执行摘要

对于企业 IT 经理和网络架构师而言，选择正确的可扩展认证协议 (EAP) 方法是一个关键决策，需要在安全态势、部署复杂性和用户体验之间取得平衡。随着组织从脆弱的预共享密钥 (PSK) 转向 802.1X 认证，选择通常缩小到四种主要方法：PEAP、EAP-TLS、EAP-TTLS 和 EAP-FAST。本指南提供了这些方法的直接技术对比，帮助您为 访客 WiFi 和内部企业网络做出明智的架构决策。我们将探讨基于密码的隧道方法与相互证书认证之间的安全差异，评估特定方法的适用场景，并为现代企业环境提供可行的实施指导。

技术深入：EAP 方法对比

PEAP（受保护的 EAP）

PEAP 被广泛视为 802.1X 认证的企业级主力。它由 Cisco、Microsoft 和 RSA Security 共同开发，使用服务器端证书创建加密的 TLS 隧道。在此安全隧道内，客户端使用传统方法进行认证，最常见的是 MSCHAPv2。

PEAP 的主要优势在于它在现代操作系统上的近乎普遍的原生支持，包括 Windows、macOS、iOS 和 Android。由于它只需要在 RADIUS 服务器上部署证书，而不需要在客户端设备上部署，因此部署的复杂性显著低于基于证书的替代方案。这使得 PEAP 对于自带设备 (BYOD) 环境或大型公共场所（如 交通 枢纽）极具吸引力，在这些地方管理客户端证书并不现实。

然而，PEAP 对密码（通过 MSCHAPv2）的依赖带来了安全风险。如果客户端设备未严格配置为验证服务器证书，用户可能会被诱骗连接到流氓接入点（“邪恶双胞胎”攻击）。然后，流氓 AP 可以捕获 MSCHAPv2 质询-响应，这些数据可以被离线破解以恢复用户的密码。因此，在部署 PEAP 时，通过组策略或 MDM 强制实施严格的服务器证书验证是强制性的安全控制措施。

EAP-TLS（EAP-传输层安全）

EAP-TLS 代表了企业无线安全的黄金标准。与 PEAP 不同，EAP-TLS 需要相互证书认证。在授予任何网络访问权限之前，RADIUS 服务器和客户端设备都必须出示有效的数字证书。

这种相互认证完全消除了密码的需求，使凭据盗窃、字典攻击和流氓 AP 攻击无效。如果设备缺少正确的客户端证书，它就根本无法连接到网络。对于受严格监管要求的组织，例如 零售 行业的 PCI DSS 或 医疗 行业的 HIPAA，EAP-TLS 是强烈推荐的方法。

这种增强安全性的代价是部署的复杂性。实施 EAP-TLS 需要一个强大的公钥基础设施 (PKI) 来颁发、续订和吊销证书。它还需要一个移动设备管理 (MDM) 解决方案，如 Microsoft Intune 或 Jamf，以安全地将这些证书分发到终端设备。有关 Apple 环境的指导，请参阅我们关于 Jamf 与 RADIUS：Apple 设备群的基于证书的 WiFi 认证 的指南。对于安全至上的企业自有、受管理的设备群，EAP-TLS 是最佳选择。

EAP-TTLS（EAP 隧道式 TLS）

EAP-TTLS 由 Funk Software 和 Certicom 共同开发，其工作原理与 PEAP 类似，通过使用服务器端证书建立加密的 TLS 隧道。关键区别在于它在内部认证方法上的灵活性。PEAP 高度依赖于 MSCHAPv2，而 EAP-TTLS 几乎可以封装任何认证协议，包括 PAP、CHAP 或 MSCHAP，并在隧道内安全传输。

这种灵活性使 EAP-TTLS 在需要针对较旧的 LDAP 目录、RADIUS 代理或不原生支持 MSCHAPv2 的非 Microsoft 身份存储进行认证的环境中非常有价值。它因作为 eduroam（国际研究和教育社区的全球漫游接入服务）的底层协议而闻名。历史上，EAP-TTLS 的原生客户端支持不像 PEAP 那样普遍，在较旧的 Windows 版本上通常需要第三方请求者，但现代操作系统现在提供了强大的原生支持。

EAP-FAST（通过安全隧道的灵活认证）

EAP-FAST 由 Cisco 开发，旨在快速替代高度脆弱的 LEAP 协议，设计为无需严格部署数字证书即可提供安全认证。EAP-FAST 不使用服务器证书建立安全隧道，而是依赖于受保护的访问凭据 (PAC)——这些是由认证服务器动态配置给客户端的不透明数据块。

EAP-FAST 的特点是其快速的会话恢复能力。虽然它提供了一个安全的加密隧道，但它对 PAC 而非标准 X.509 证书的依赖使其有些专有化，并且与现代、供应商中立且零信任的架构不太一致。如今，EAP-FAST 主要适用于传统的以 Cisco 为中心的环境、特定的物联网部署或专门的加固型设备。对于大多数新的企业部署，PEAP 或 EAP-TLS 是首选。

实施指南

部署 802.1X 认证需要在整个网络堆栈中进行仔细规划，从无线接入点到 RADIUS 基础设施和身份提供商。在与 Purple 的平台集成时，我们的 RADIUS 服务器支持所有主要的 EAP 方法，确保用户在访问如 寻路 或 WiFi 分析 等功能之前实现无缝认证。

第 1 步：定义认证策略

评估您的终端设备群。如果设备为公司所有并由 MDM 管理，则目标为 EAP-TLS。如果您支持 BYOD，则 PEAP 是务实的选择。确保您的身份提供商（Active Directory、Google Workspace、Okta）支持所需的协议（例如，PEAP 的 MSCHAPv2）。

第 2 步：证书管理

对于除 EAP-FAST 之外的所有方法，您必须将服务器证书部署到您的 RADIUS 服务器。该证书最好由受信任的公共证书颁发机构 (CA) 颁发，以最大限度地减少客户端信任警告，不过如果您控制所有端点，也可以使用内部企业 CA。对于 EAP-TLS，请建立您的 PKI，并配置您的 MDM 以自动配置具有正确主题备用名称 (SAN) 映射的客户端证书。

第 3 步：RADIUS 和接入点配置

配置您的无线接入点以使用 WPA2-企业 或 WPA3-企业，将它们指向您的 RADIUS 服务器 IP 地址并使用正确的共享密钥。在 RADIUS 服务器上，定义您的网络策略，指定允许的 EAP 方法，并根据用户或设备组成员身份将成功的认证映射到适当的 VLAN。

第 4 步：端点请求者配置

这是安全最关键的一步。对于 PEAP，使用 MDM 或组策略将预配置的 WiFi 配置文件推送到设备。此配置文件必须明确指定受信任的 RADIUS 服务器名称和颁发服务器证书的受信任根 CA。关键的是，禁用提示用户信任新服务器或证书的选项。

最佳实践

1. 切勿依赖用户对证书的判断：在部署 PEAP 或 EAP-TTLS 时，始终预配置端点请求者以信任特定的服务器证书。依赖用户在证书警告上点击“接受”会破坏整个安全模型，并使网络面临流氓 AP 攻击。
2. 自动化证书生命周期管理：证书过期是 802.1X 中断的主要原因。为 RADIUS 服务器证书和 EAP-TLS 部署中的客户端证书实施自动监控和续订流程。
3. 实施 WPA3-企业：在客户端支持允许的情况下，过渡到 WPA3-企业。它强制使用受保护的管理帧 (PMF)，并提供 192 位安全套件选项，提供比 WPA2 更强的加密保护。
4. 网络分段：使用 RADIUS 属性（如 Filter-Id 或 Tunnel-Private-Group-Id）根据角色动态将经过认证的用户分配到特定的 VLAN，将访客流量与企业资产隔离开来。有关现代网络设计的更多信息，请参阅 现代企业 SD WAN 的核心优势 。

故障排除与风险缓解

EAP 部署中的常见故障模式通常围绕证书验证和身份提供商集成。

• 症状：RADIUS 服务器更新后客户端无法连接。
  • 风险：新的服务器证书未被客户端信任的根 CA 颁发，或者服务器名称发生更改。
  • 缓解措施：始终在预发布环境中测试证书轮换。在将新证书链应用于生产环境之前，确保所有端点配置文件都完全信任该证书链。
• 症状：iOS 设备连接正常，但 Windows 设备连接失败。
  • 风险：Windows 请求者通常对验证服务器名称指示 (SNI) 或服务器证书上的特定 EKU（扩展密钥用法）属性更加严格。
  • 缓解措施：验证服务器证书包含“服务器认证”EKU，并且 SAN 与 Windows WiFi 配置文件中配置的名称匹配。

投资回报率与业务影响

过渡到强大的 EAP 方法除了原始安全之外还能带来显著的业务价值。通过消除共享密码，IT 团队减少了与密码重置或 PSK 泄露相关的帮助台工单的运营开销。在像 酒店 这样的环境中，员工流动率可能很高，基于证书的认证 (EAP-TLS) 可确保在设备被擦除或证书过期时自动撤销访问权限，而无需更改全局密码。

此外，强认证是 PCI DSS 和 GDPR 等合规框架的先决条件。通过展示强大的访问控制，组织可以降低与数据泄露相关的监管罚款和声誉受损的风险。要更广泛地了解升级场所基础设施，请参阅 您的客人应得的现代酒店 WiFi 解决方案 。

播客简报

收听我们关于 EAP 方法的 10 分钟技术简报，涵盖实施策略和常见陷阱：