Giống như chuẩn TTLS, PEAP tạo khả năng xác thực cho mạng LAN không dây mà không yêu cầu xác thực. Để bảo vệ EAP (PEAP) thêm lớp TLS lên trên cùng EAP giống như EAP-TTLS, rồi sau đó sử dụng kết quả của phiên TLS như phương tiện vận chuyển để bảo vệ phương thức EAP. PEAP sử dụng TLS để xác thực tư máy chủ tới máy trạm nhưng không có chiều ngược lại. Theo phương thức này chỉ máy chủ yêu cầu khoá xác thực còn khách hàng thì không. Máy chủ và máy trạm trao đổi chuỗi thông tin mã hoá trong TLS, và bản tin TLS được xác thực và mã hoá sử dụng khoá đã được thông qua giữa hai bên.
Hình 2.20: Minh họa PEAP
PEAP cung cấp dịch vụ cho phương thức EAP như sau:
- Bản tin xác nhận (Những kẻ tấn công sẽ rất khó khăn trong việc chèn vào bản tin EAP)
- Mã hoá bản tin (Những kẻ tấn công sẽ không thể đọc và giải mã bản tin EAP) - Xác thực tư máy chủ đến khách hàng (vì thế phương thức này chỉ cần bảo vệ
xác thực tư khách hàng tới máy chủ)
- Trao đổi khoá (để thiết lập cho WEP động hoặc khoá TKIP) - Phân mảnh và ghép lại (cần thiết nếu bản tin EAP dài)
- Thiết lập kết nối nhanh ( thông qua phiên TLS )
PEAP là cơ chế đặc biệt hữu ích để tăng tính bảo mật kế thưa tư phương thức EAP trên cơ sở các đặc tính dưới đây.
• Microsoft PEAP:
Hỗ trợ quyền xác thực khách hàng thông qua MS-CHAP phiên bản 2, nó giới hạn dữ liệu người dùng thông qua có chế chia miền Windows NT và hoạt động của các thư mục. Để sử dụng Microsoft’s PEAP, người dùng cần phải mua chứng thực riêng tư CA để thiết lập IAS, và một chứng thực để lưu trữ tại máy tính cục bộ. Với khách hàng không dây để xác nhận IAS, thì tại CA gốc phải thiết lập cho mỗi khách hàng này. Tuy nhiên Windows XP bao gồm các chứng thực gốc của rất nhiều CA. Nếu chứng thực IAS của máy chủ bao gồm gốc CA, thì không cần thêm cấu hình cho khách hàng. Nếu người sử dụng mua chứng thực IAS cho Windows XP mà không có CA thì họ phải thiết lập tên khách hàng không dây.
• Cisco PEAP:
Hỗ trợ xác thực tại khách hàng thông qua mật khẩu một lần (OTP) và mật khẩu truy cập. Điều này cho phép hỗ trợ cơ sở dữ liệu tư người quản lý như là bảo mật RSA và cũng hỗ trợ cho cơ sở dữ liệu về mật khẩu truy nhập như LDAP, Novell NDS và Microsoft . Thêm vào đó khách hàng Cisco PEAP có thể bảo vệ việc nhận dạng tin cho đến khi mã hoá đường hầm TLS được thiết lập. Điều này cung cấp sự bảo đảm cho người sử dụng trong quá trình dùng.