Při přístupu do sítě eduroam se používá bezpečnostní protokol IEEE 802.1x. Ten v sobě zahrnuje rozšířený autentizační protokol EAP (Extensible Authentication Protocol).
EAP je rámec pro několik autentizačních protokolů, z nichž FZÚ pro účely eduroam podporuje protokol PEAP (Protected EAP).
Zjednodušeně řečeno, při autentizaci uživatele do sítě eduroam protokol PEAP vytvoří mezi přenosným počítačem uživatele připojovaným v hostitelské organizaci
a radius serverem v domovské organizaci uživatele šifrovaný TLS (SSL) tunel, který známe např. při připojování
k zabezpečeným www stránkám. V tomto zašifrovaném tunelu pak proběhne autentizace pomocí dalšího šifrovaného protokolu MS CHAP ver.2.
K vytváření šifrovaného TLS tunelu je použita dvojice soukromého a veřejného klíče (certifikátu) radius serveru v domovské organizaci.
Aby přístupový program (supplicant) uživatelova počítače mohl zkontrolovat, že certifikát radius serveru FZÚ není podvržen, musí být na počítači uživatele
instalován kořenový ústavní certifikát FZÚ, kterým byl certifikát radius serveru digitálně podepsán.
