当访问客户端连接到受保护的网络时，客户端必须使用协商的身份验证方法向身份验证服务器进行验证。例如，访问客户端和身份验证服务器可能协商使用特定的密码身份验证协议，例如第二版 Microsoft 质询握手身份验证协议(MS-CHAP v2)。但是，如果访问客户端和身份验证服务器使用内置的硬编码身份验证方法，则难以添加新协议。

可扩展的身份验证协议 (EAP) 是一种体系结构框架，它为常用受保护的网络访问技术(如基于 IEEE 802.1X 的无线网络)和点对点协议 (PPP) 连接(如拨号连接和 VPN 连接)提供可扩展的身份验证方法。EAP 不同于 MS-CHAP v2 身份验证方法，它是基于访问客户端和身份验证服务器的体系结构框架，它允许网络供应商开发并轻松安装称为 EAP 方法的新身份验证方法。有关 EAP 的更多背景信息，请访问 Microsoft EAP 网页，网址是：microsoft.com/eap。

尽管自 Windows 2000 起 Microsoft® Windows® 就支持 EAP，但 Windows XP 和 Windows Server® 2003 中的 EAP体系结构对于 EAP 方法和请求方(可以在特定类型的链路层上使用 EAP 的软件组件)还是存在扩展限制。Windows Vista&S482; 和代号为“Longhorn”的下一版 Windows Server 中的 EAPHost 体系结构解决了这些限制，使第三方网络供应商可以为新的请求方和 EAP 方法更轻松地扩展 Windows。

Windows Server 2003 和 Windows XP 中的 EAP 支持

Windows Server 2003 和 Windows XP 将 EAP 用于以下连接：使用 802.1X 进行身份验证的无线或有线连接，以及基于 PPP 的连接(如基于拨号或 VPN 的远程访问或者站点对站点的连接)。具体来说，这些操作系统包含符合 RFC 2284的 EAP 实现，并包含 IEEE 802.1X 和 PPP 请求方。

图1 显示了Windows XP 和Windows Server 2003 的EAP 和请求方体系结构。但是，请注意，在Windows XP Service Pack 2 (SP2) 和Windows Server 2003 SP1 中的EAP 实现都不支持RFC 3748(用于EAP 的最新Internet 标准)和其他EAP RFC。

图1 Windows XP 和Windows Server 2003 的EAP 及请求方体系结构EAP API 提供了在Windows XP 和Windows Server 2003 中扩展身份验证的方法。尽管第三方供应商可以开发和安装新的EAP 方法，但内置的PPP 和802.1X 请求方并不能使用所有安装的EAP 方法。例如，供应商可以创建新的具有指纹扫描功能的EAP 身份验证方法，但是该方法可能不能用于无线连接。

由于内置请求方的限制，某些第三方软件和硬件供应商开发他们自己的请求方时，通常需要替换和禁用内置的请求方和整个EAP 体系结构。但是，这种替换方法存在几个问题。首先，替换内置请求方和EAP 体系结构会增加开发成本并导致开发延迟。此外，如果企业客户不开发自己的请求方，则可能会增加授权和安装第三方产品而带来的每客户成本。

EAPHost 功能

EAPHost 提供以下新功能：

支持其他EAP 方法。EAPHost 将支持[url]www.iana.org/assignments/eap-numbers[/url] 上的EAP 注册表中列出的所有EAP 方法的安装和使用，以及其他流行的身份验证方法，例如由Cisco Systems, Inc. 开发提供的Lightweight EAP (LEAP)(轻型EAP (LEAP))。

网络发现。EAPHost 支持RFC 4284 中所定义的网络发现。

符合RFC 3748。EAPHost 符合EAP 状态机，并解决了RFC 3748 中指定的众多安全漏洞。而在以前，请求方必须实现自己的状态机。此外，EAPHost 还支持“扩展的EAP 类型”等功能(包括特定于供应商的EAP 方法)。

EAP 方法共存。EAPHost 允许同一个EAP 方法的多个实现共存。例如，可以同时安装和选择Microsoft 版本的Protected EAP(受保护的EAP，PEAP)和Cisco Systems, Inc. 版本的PEAP。

模块化请求方体系结构。EAPHost 支持模块化请求方体系结构。在该体系结构中，可以轻松地添加新的请求方，而不必像早期版本中那样替换整个EAP 实现。

对于EAP 方法供应商，EAPHost 支持针对Windows XP 和Windows Server 2003 开发的EAP 方法，并提供一种更为简单的方法，用以为Windows Vista 和Windows Server“Longhorn”开发新的EAP 方法。EAPHost 还可以更好地对EAP 类型进行分类，从而可供内置的IEEE 802.1X 请求方使用。

对于请求方供应商，EAPHost 支持新链路层的其他请求方。由于EAPHost 与网络访问保护(NAP) 相集成，因此新的请求方不必具备识别NAP 的功能。为了加入NAP，新的请求方只需注册一个连接标识符和一个通知请求方重新进行身份验证的回调函数。有关NAP 的详细信息，请参阅本期《TechNet 杂志》中John Morello 撰写的“安全观察”专栏，以及NAP 网页microsoft.com/nap。有关如何开发EAP 方法或EAPHost 请求方的详细信息，请参阅“可扩展的身份验证协议(EAP) 宿主”，网址是msdn2.microsoft.com/aa364249.aspx。

EAPHost 和 EAP 基础体系结构

EAPHost 体系结构包括：EAPHost 的EAP 基础体系结构、EAP 对等方(身份验证客户端)上的EAPHost 体系结构，以及身份验证服务器上的EAPHost 体系结构。图2 显示了在运行Windows Vista 或Windows Server“Longhorn”的计算机上，EAPHost 的EAP 基础体系结构的组件。在这些操作系统上，EAP 对等方包含：一个请求方层(如802.1X 的内置请求方)，用于EAP 对等方的新EAPHost 体系结构(便于请求方和EAP 方法的通信和管理)，一个执行身份验证的EAP 方法层。

Windows Server“Longhorn”的身份验证服务器包含：网络策略服务器(NPS)，用于身份验证服务器的新的EAPHost 体系结构，以及一个EAP 方法层。在Windows Server 2003 中，NPS 被称为Internet 验证服务(IAS)，它是一个远程身份验证拨入用户服务(RADIUS) 服务器和代理，也是NAP 的策略服务器。

EAP 对等方中的请求方使用链路层技术(如PPP 或802.1X)在EAP 对等方与传递验证器(如无线接入点或远程访问服务器等网络访问服务器)之间的链路上发送和接收EAP 消息。在身份验证服务器上，传递验证器和NPS 使用RADIUS 在传递验证器与NPS 之间，在基于IP 的网络上发送和接收EAP 消息。

在EAP 对等方和身份验证服务器协商使用特定的EAP 方法后，逻辑通信则包含在EAP 对等方上协商的EAP 方法与身份验证服务器之间发送的EAP 消息。

图2 EAPHost 的EAP 基础体系结构(单击该图像获得较小视图)

图3 显示了运行Windows Vista 或Windows Server“Longhorn”的EAP 对等方上的EAPHost 体系结构。该体系结构包含请求方、EAPHost 组件、EAP 方法管理组件和NAP 组件。

图3 EAP 对等方上的EAPHost 体系结构(单击该图像获得较小视图)

Windows Vista 和Windows Server“Longhorn”包括针对基于802.1X 的无线和有线连接的802.1X 请求方。目前正在对用于基于拨号或VPN 的远程访问、或者站点对站点连接的PPP 请求方进行研究，以便将来更新这两个操作系统。此外，还可以添加由第三方开发的其他请求方。EAPHost API 允许请求方使用EAP 进行连接。有关详细信息，请参阅msdn2.microsoft.com/aa364249.aspx 上的相关文章。

EAPHost 组件包括EAP 客户端状态机/协议验证器，用于维护EAP 对等方状态机(请参阅RFC 3748)和验证EAP 消息。此外，还包括EAP 方法管理器，用于管理各种EAP 方法(无论是否与EAPHost 兼容)，使EAP 方法可供应用程序和服务使用。最后，还包括EAP 库管理器，以便于加载和卸载EAP 方法库。

EAP 方法组件包括：

内置EAP 方法。其中包括PEAP、EAP 传输层安全性(TLS) 和EAP-MS-CHAP-V2。

两个宿主API。它们承载非EAPHost 兼容的EAP 方法(原有EAP API)和第三方的EAPHost 兼容的EAP 方法(EAPHost 方法API)。

原有转换器方法。用于在非EAPHost 兼容的EAP 方法(写入到原有EAP API)与EAPHost 方法API 之间进行转换。

EAP 方法代理管理器. 用于承载第三方EAP 方法(无论它们是否与EAPHost 兼容)。

EAP 方法API 是新的API，用于EAPHost 兼容的EAP 方法。EAP 方法导出EAP 方法API 中定义的API。EAPHost加载EAP 方法并调用导出的API 函数。

NAP 组件包括以下各项：

EAP NAP EC Messenger . 该组件可以促进NAP 相关数据的通信，例如在EAPHost NAP 强制客户端(EC) 与EAPHost 其他组件之间的运行状况和事件声明。

EAPHost NAP EC . 该组件与其他NAP 组件进行交互，以提供运行状况验证，并在802.1X 身份验证的连接不符合NAP 系统运行状况要求时进行强制限制访问。

NAP 代理。该组件维护客户端当前运行状况，并促进安装的NAP EC 与系统运行状况代理(SHA) 层之间进行通信。每个SHA 都可以针对一个或多个系统运行状况要求进行定义。

如图3 所示，第三方供应商可以开发新的请求方和新的EAPHost 兼容的EAP 方法。您也可以使用为Windows Server 2003 或Windows XP 开发的现有EAP 方法。

图4 显示了运行Windows Server“Longhorn”和NPS 的身份验证服务器上的EAPHost 体系结构。该体系结构与支持EAP 方法的EAP 对等方的体系结构相同。不必通过请求方，该身份验证服务器通过NPS 用EAPHost API 来使用和配置EAP 方法。在EAP 组件内，EAP 服务器状态机/协议验证器执行以下任务：维护EAP 身份验证服务器状态机，并验证传入的EAP 消息。

身份验证服务器上的EAPHost 允许第三方软件供应商开发和安装新的EAPHost 兼容的EAP 方法，并支持已针对Windows XP 和Windows Server 2003 开发的EAP 方法。

对于EAP 对等方和身份验证服务器，EAPHost 还提供了EAPHost UI 代理API(图3 和图4 中未显示)，EAPHost 兼容的方法可将其用于显示需要用户交互的对话框。EAPHost UI 代理API 允许第三方供应商添加自己的对话框，来提供更加完美的用户体验。

总结

Windows Server“Longhorn”和Windows Vista 中的EAPHost 将Windows 中的EAP 实现按最新Internet 标准进行了更新，并提供了新的模块化体系结构，以便用EAP 身份验证方法和请求方来扩展Windows。网络供应商通过开发新请求方(写入EAPHost API)和新身份验证方法(写入EAPHost 方法API)，而无需替换整个Windows EAP 实现即可扩展Windows 中的现有用户体验。EAPHost 还支持为Windows Server 2003 和Windows XP 开发的现有EAP 方法。

本文转自foresun  51CTO博客，原文链接：http://blog.51cto.com/foresun/40649，如需转载请自行联系原作者

微软Windows的 EAPHost 简介相关推荐

1. Windows PowerShell：Windows PowerShell的简介、入门、使用方法之详细攻略

   Windows PowerShell:Windows PowerShell的简介.入门.使用方法之详细攻略 目录 Windows PowerShell的简介 PowerShell VS Unix Sh ...

2. 微软公司软件开发模式简介

   微软公司软件开发模式简介  出处不详     北京大学出版社96年底所出的<微软的秘密>一书是目前我所见到的对微软公司软件产品开发过程介绍的最专业.最深入的一本书.通过本书,我们可以看到微 ...

3. 微软 Windows 网络邻居

   有关网上邻居的问题,问的人一直比较多,在理解上存在的误区也普遍较为严重.鉴于Microsoft的NETBIOS文档不是很细致,我四处收集了一些相关资料加上自己的实践经验写了这个系列,希望能对大家有所帮 ...

4. 【180720】微软Windows扫雷游戏代码

   源码简介   本源码是一个微软Windows扫雷游戏代码,可选择难度级别:初级.中级.高级. 注意事项: 1.开发环境为Visual Studio 2010,使用.net 2.0开发. 源码下载地址: ...

5. 详解微软Windows Azure云计算平台

   详解微软Windows Azure云计算平台  方国伟 等主编 ISBN 978-7-121-14620-6 2011年11月出版 定价:59.00元 16开 280页 宣传语:微软官方权威解读 深入 ...

6. 微软 Windows 10 物联网版系统 IoT 介绍 树莓派2 可以装一下

   微软在发布Win10的同时,还发布了 微软 Windows 10 物联网版系统  IoT . 大家可以下载用虚拟机玩一下,很不错哟,看来Android和IOS也有新的竞争对手了,有智能家居的可以试试. ...

7. Robocopy是微软Windows Server 2003资源工具包中众多多用途的实用程序之一（它是基于强大的拷贝程序...

   Robocopy是微软Windows Server 2003资源工具包中众多多用途的实用程序之一(它是基于强大的拷贝程序).没错,Robocopy的功能是拷贝文件,你也许会觉得无聊并且要翻阅下一篇文章 ...

8. 【C 语言】动态库封装与设计 ( Windows 动态库简介 | Visual Studio 调用动态库 )

   文章目录 一.Windows 动态库简介 二.Visual Studio 调用动态库 一.Windows 动态库简介 在 C:\Windows\System32 目录中 , 存放着 Windows 中 ...

9. 微软Windows 11正式发布！一文带你了解免费升级方法、最低系统要求

   如此前Windows 11 预览版来了!预告,微软官方宣布,Windows 11正式版于今日(10月5日)全面上市. 01 微软Windows 11正式发布 Windows 11现在已经正式可以下载了 ...

10. #创建记事本程序在哪打开_微软Windows 10记事本商店版归来？系统可选，能卸载...

    像Windows计算器一样,微软计划将Windows Notepad记事本系统应用程序引入Microsoft Store,据此旨在更定期地对其进行更新. 但是,在去年12月初,微软没有给出太多理由就放 ...

最新文章

1. CCF201403-1 相反数（100分）
2. jquery 批量上下移动
3. java8 lamda快速入门
4. 如何利用ZBrush中的DynaMesh创建身体（一）
5. Neo4j：找到两个纬度/经度之间的中间点
6. 【推荐实践】模型化召回在陌陌社交推荐的探索和应用.pdf（附下载链接）
7. Windows PE 背景知识
8. 啦啦外卖php版本,微信外卖源码,微信啦啦外卖plus跑腿版 v5.0.7开源版
9. 【NUC980开发板DIY项目大挑战】串口服务器
10. 易维联温湿度记录仪的使用
11. 联发科：上半年营收2980亿台币，下半年全面发力5G芯片，并布局6G
12. 三千繁华，感情在日子里
13. 【C++】多线程同步
14. 剩余电流动作继电器的应用探讨
15. 使用反应路由器V4以编程方式导航
16. 如何基于WebRTC搭建一个简单的视频会议
17. 芯片失效分析手段系列之X-RAY探伤
18. 李家同《让高墙倒下吧》
19. 城市分站系统,城市站群系统,企业城市站群
20. C语言-快速排序算法（递归Hoare版）

热门文章

1. Unity微信Android端第三方登陆
2. MySql解除安全模式
3. 微信小程序 自定义组件之《转盘》
4. Sematic库系列一
5. java.sql.SQLException: The server time zone value '�й���׼ʱ��' is unrecognized or represents more tha
6. QBadgeView小红点的简单使用
7. mp3转为pcm工具
8. 如何在Windows7系统下进行C盘的扩容
9. linux查网卡物理地址,网卡MAC地址查询方法
10. eNSP实验记录（一）：路由器与交换机