受保护的可扩展的身份验证协定 (PEAP) 是可扩展的身份验证协定 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS) 在正在验证的 PEAP 客户端（例如无线计算机）和 PEAP 身份验证器（例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 伺服器）之间创建加密通道。PEAP 不指定验证方法，但是会为其他 EAP 验证协定提供额外的安全性，例如 EAP-MSCHAPv2 协定，该协定可以通过 PEAP 提供的 TLS 加密通道得以实现。PEAP 用作 802.11 无线客户端计算机的身份验证方法，但虚拟专用网 (VPN) 客户端或其他远程访问客户端不支持它。

为增强 EAP 协定和网路安全性，PEAP 提供：

对通过 TLS 通道在客户端和伺服器之间进行的 EAP 方法协商的保护。这有助于防止攻击者在客户端和网路访问伺服器 (NAS) 之间插入数据包，以防对安全性较低的 EAP 方法进行协商。加密 TLS 通道也助于防止针对 IAS 伺服器进行的拒绝服务攻击。

对讯息碎片和讯息重组的支持，允许使用不提供此功能的 EAP 类型。

能够对 IAS 或 RADIUS 伺服器进行身份验证的无线客户端。因为伺服器也对客户端进行身份验证，所以相互进行身份验证的情况出现。

当 EAP 客户端验证 IAS 伺服器所提供的证书时，对部署未经授权的无线访问点 (WAP) 的保护。另外，PEAP 身份验证器和客户端创建的 TLS 主机密不与该访问点共享。因此，该访问点不能解密受 PEAP 保护的讯息。

PEAP 快速重新连线，它减少客户端身份验证请求和 IAS 或 RADIUS 伺服器回响之间的时间延迟，并允许无线客户端在访问点之间移动而无需重複身份验证请求。这样可以减少客户端和伺服器的资源要求。

PEAP 客户端和身份验证器之间的 PEAP 身份验证过程有两个阶段。第一个阶段建立 PEAP 客户端和身份验证伺服器之间的安全通道。第二个阶段提供 EAP 客户端和身份验证器之间的 EAP 身份验证。

无线客户端与无线访问点关联。在客户端和访问点之间创建安全关联之前，基于 IEEE 802.11 的关联会提供开放系统或共享密钥验证。在客户端与访问点之间成功建立基于 IEEE 802.11 的关联之后，TLS 会话与访问点协商。成功完成无线客户端和伺服器（例如 IAS 伺服器）之间的身份验证之后，TLS 会话之间进行协商。在此协商期间获得的密钥用于加密所有后续通信。

整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。IAS 伺服器对用户和客户端计算机进行身份验证，具体方法由 EAP 类型决定，在 PEAP 内部选择使用（EAP-TLS 或 EAP-MS-CHAPv2）。访问点只会在无线客户端和 RADIUS 伺服器之间转发讯息，由于不是 TLS 终结点，访问点（或者对它们进行监视的人）无法对这些讯息进行解密。

可以在两种 EAP 类型中选择一种与 PEAP 共同使用：EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用凭据（用户名和密码）进行用户身份验证，使用伺服器计算机证书存储中的证书进行伺服器验证。EAP-TLS 使用安装在客户端计算机或智慧卡中的证书进行用户和客户端计算机验证，使用伺服器计算机证书存储中的证书进行伺服器验证。

带 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易于部署，因为用户身份验证是使用基于密码的凭据（用户名和密码）来完成的，而不是使用证书或智慧卡 -- 只有 IAS 或 RADIUS 伺服器需要有证书。另外，伺服器证书可以由客户端计算机所信任的公共证书颁发机构 (CA) 颁发（即，公用的 CA 证书已经存在于客户端计算机证书存储中的“受信根证书颁发机构”资料夹内）。在这种情况下，伺服器证书不会被下载和添加到客户端受信任的根证书存储中，用户也不会被提示来决定是否信任伺服器。

PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性，它使用相互身份验证，防止未经授权的伺服器协商最不安全的身份验证方法，提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任伺服器提供的证书。

有关伺服器和客户端计算机证书要求，请参阅网路访问身份验证和证书。有关使用 PEAP-EAP-MS-CHAPv2 的无线访问策略示例，请参阅使用安全密码身份验证的无线访问。

带 EAP-TLS 的 PEAP

公钥证书提供的身份验证方法比使用基于密码的凭据更强。带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用证书对伺服器进行身份验证，使用证书或智慧卡对用户及客户端计算机进行身份验证。要使用 PEAP-EAP-TLS，必须部署公钥基础结构 (PKI)。

详细信息，请参阅网路访问身份验证和证书。

PEAP 快速重新连线

PEAP 快速重新连线，能使无线客户端可以在同一网路的无线访问点之间移动，而不必在每次与新访问点关联时都被重新验证身份。

将无线访问点配置为 RADIUS 伺服器的 RADIUS 客户端。如果无线客户端在配置为同一 RADIUS 伺服器的客户端的访问点之间漫游，客户端无需因每个新关联而进行身份验证。当客户端移动到配置为不同 RADIUS 伺服器的 RADIUS 客户端的访问点时，虽然要对客户端重新验证身份，但是此过程处理的效率要高得多。

因为将身份验证请求从新伺服器转发到原来的伺服器，所以 PEAP 快速重新连线减少了客户端和身份验证器之间的回响时间。由于 PEAP 客户端和身份验证器都使用先前快取的 TLS 连线属性（其集合称为 TLS 句柄），所以身份验证器可以快速确定客户端连线是重新连线。

如果原来的 PEAP 身份验证器不可用，则在客户端和新的身份验证器之间必须进行完整的身份验证。客户端快取新的 PEAP 身份验证器的 TLS 句柄。客户端可以快取多个 PEAP 身份验证器的 TLS 句柄。对于智慧卡或 PEAP-EAP-MSCHAPv2 身份验证，要求用户分别提供 PIN 或凭据。

使用 PEAP-EAP-MS-CHAPv2 身份验证：

使用 PEAP-EAP-TLS 身份验证：

有关 RADIUS 客户端的详细信息，请参阅 RADIUS 基础结构的组件。

有关 RADIUS 代理伺服器的详细信息，请参阅作为 RADIUS 代理的 IAS。

要启用 PEAP 快速重新连线，请执行以下操作：

PEAP 客户端（802.11 无线客户端）和 PEAP 身份验证器（RADIUS 伺服器）必须启用快速重新连线。 PEAP 客户端漫游所至的所有访问点，必须配置为 RADIUS 伺服器（PEAP 身份验证器）的 RADIUS 客户端，对于此伺服器，PEAP 配置为无线连线的身份验证方法。与 PEAP 客户端关联的所有访问点，都必须配置为优先选择同一 RADIUS 伺服器（PEAP 身份验证器），以免被提示输入每个 RADIUS 伺服器的凭据。如果访问点不能配置为优先选择 RADIUS 伺服器，那幺可以配置 IAS RADIUS 代理使用首选 RADIUS 伺服器。 详细信息，请参阅配置 PEAP 和 EAP 方法。

在将 PEAP-EAP-TLS 和 EAP-TLS 身份验证方法与证书一起使用时，TLS 使用快取的证书属性，而不是从证书存储中读取证书。如果证书被更改,或者被删除并由新证书替代，TLS 会继续使用过期的快取证书信息，直到该快取过期或被刷新为止。如果更改或替换证书，那幺可以通过重新启动伺服器计算机刷新 TLS 快取。 PEAP 不支持用户名和密码为空的来宾身份验证。 当部署 PEAP 和不受 PEAP 保护 的 EAP 时，无论是否具备 PEAP，都不要使用同一个 EAP 身份验证类型。例如，如果部署带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 时，请不要部署不具备 PEAP 的 EAP-TLS。用同一类型部署身份验证方法（一种带有 PEAP 保护，另一种没有 PEAP）将产生安全漏洞。