PEAPの設計はEAP-TTLSと似ており、ユーザー認証を保護するためにセキュアなTLSトンネルを作成するためにサーバー側のPKI証明書のみを必要とし、サーバー側の公開鍵証明書を使用してサーバーを認証します。 次に、クライアントと認証サーバーの間に暗号化されたTLSトンネルを作成します。 ほとんどの構成では、この暗号化のための鍵はサーバーの公開鍵を使用して転送されます。 クライアントを認証するためのトンネル内での認証情報のその後の交換は、暗号化され、ユーザーの資格情報は盗聴から安全です。
2005年現在、更新されたWPAおよびWPA2標準に対して認定された二つのPEAPサブタイプがありました。 彼らは:
- Peapv0/EAP-Mschapv2
- Peapv1/EAP-GTC
Peapv0およびPeapv1はどちらも外部認証方式を参照し、後続の認証トランザクションを保護するために安全なTLSトンネルを作成す EAP-Mschapv2およびEAP-GTCは、ユーザ認証またはデバイス認証を提供する内部認証方式を参照します。 PEAPで一般的に使用される第3の認証方法はEAP-SIMです。Cisco製品内では、Peapv0は内部EAP方式EAP-Mschapv2およびEAP-SIMをサポートし、Peapv1は内部EAP方式EAP-GTCおよびEAP-SIMをサポートします。 MicrosoftはPeapv0のみをサポートし、Peapv1をサポートしていないため、Microsoftは単にv0またはv1指定子なしで「PEAP」と呼びます。 MicrosoftとCiscoのもう1つの違いは、MicrosoftがEAP-MSCHAPV2方式のみをサポートし、EAP-SIM方式はサポートしないことです。ただし、Microsoftは、多くのシスコおよびその他のサードパーティのサーバおよびクライアントソフトウェアがサポートしていない別の形式のPeapv0MicrosoftがPEAP-EAP-TLSと呼 PEAP-EAP-TLSでは、クライアント側のデジタル証明書またはより安全なスマートカードをクライアントにインストールする必要があります。 PEAP-EAP-TLSの動作は元のEAP-TLSと非常によく似ていますが、EAP-TLSで暗号化されていないクライアント証明書の一部がPEAP-EAP-TLSで暗号化されるため、保護が少 最終的には、Peapv0/EAP-Mschapv2は、Peapv0がMicrosoft Windows製品に統合されているため、PEAPの最も一般的な実装です。 CISCO CSSCクライアントがPEAP-EAP-TLSをサポートするようになりました。
PEAPは市場で非常に成功しており、EAP-TTLSの発明者で後援者であるFunk Software(2005年にジュニパーネットワークスに買収)でさえ、ワイヤレスネットワーク用のサーバーとクライ