擴展認證協(xié)議

1、擴展認證協(xié)議RFC3748這個備忘錄的狀態(tài)本文檔明確描述了互聯(lián)網社區(qū)的一個互聯(lián)網標準跟蹤協(xié)議，需要進一步進行討論和改善的建議，請參考最新的“互聯(lián)網官方協(xié)議標準”國家標準化。這個備忘錄的發(fā)布是不受限制的。版權通知摘要本文檔定義了EAP擴展認證協(xié)議，一個支持多種認證方法的認證框架。EAP通常直接運行在數(shù)據(jù)鏈路層，利于ppp協(xié)議或者IEEE802，不需要IP地址。EAP提供了它自己支持的重復性淘汰和轉發(fā)，但是在較低層排序保證自力更生。EAP本

2、身不支持碎片，然而單獨的EAP方法可能支持這個。本文檔替代了RFC2284.本文檔和RFC2284更改的總結在附錄A中體現(xiàn)。目錄概要1.引言本文檔定義了擴展認證協(xié)議，一個支持多路認證方法的認證框架。EAP通常直接運行在數(shù)據(jù)鏈路層，例如點對點協(xié)議或者是IEEE802不需要IP地址。EAP提供了它自己支持的重復性淘汰和轉發(fā)，但是在較低層排序保證自力更生。EAP本身不支持碎片，然而單獨的EAP方法可能支持這個。EAP可用于專用的鏈接，以及開關

3、電路和有線和無線鏈路。到目前為止，EAP已經通過連接交換電路或撥號鏈路使用PPP協(xié)議，實施在主機和路由器上。同時也通過使用IEEE802協(xié)議，應用在交換機和接入點。在IEEE802有線媒體封裝的EAP在IEEE802.1X中得以描述，并且在IEEE無線局域網中封裝，由IEEE802.11i描述。EAP架構的優(yōu)勢之一就是它的靈活性。EAP是用來選擇一個專門的認證機制，通常是在驗證請求需要更多的信息來確認專門的認證方法被使用，而不是需要驗證

4、者需要更新來支持每個新的驗證方法，EAP允許使用后臺認證服務器，他可以實現(xiàn)一些或所有認證方法，當認證者為部分或所有的方法和對等體作為一個傳遞。在這個文件中，不論是否認證者作為一個傳遞，認證要求都要申請。凡要求是為了適用于認證或者后臺認證服務器，這取決于EAP認證在哪里被終止，EAP服務器將被使用。1.1要求說明書1.2術語本文檔經常使用下列詞語：認證器認證器：啟動EAP認證鏈路的終端。認證器這個屬于被使用在IEEE802.1X，在本文檔

5、中擁有相同的含義。對等體對等體：回應認證器的鏈路終端。在IEEE802.1X中，這個終端被認為是請求者。請求者請求者:在IEEE802.1X中，鏈路終端回應認證器。在本文檔中，這個鏈路終端被稱為對等體。后臺認證服務器后臺認證服務器：一個后臺認證服務器是一個提供認證服務給認證器的實體。當被使用時，這個服務器通常為認證器執(zhí)行EAP方法。這個術語也被使用在IEEE802.1X。AAAAAA：認證，授權和計費。帶有EAP的AAA協(xié)議支持包括RA

6、DIUS和Diameter。在這個文檔中，AAA服務器和后臺認證服務器這兩個術語可交換使用?？娠@示的信息可顯示的信息：這被翻譯成人類可讀的字符串。這個信息便把必須跟從UTF8轉換凡基于證書的認證都是支持的，由于證書鏈的支離破碎，大量的額外往返可能更大。一般來說，一個分裂的EAP數(shù)據(jù)包由于有碎片，將需要很多的往返包來發(fā)送。例如，一個認證鏈的大小是14960個字節(jié)，將需要10個往返來發(fā)送一個1496自己大小的EAPMTU。EAP運行在較低層

7、的地方很多數(shù)量的包發(fā)生丟失，或者在認證器和認證服務器之間的連接處大量的包丟失也發(fā)生，EAP方法需要很多往返可能有些困難。在這種情況下，使用較少往返的EAP方法是可取的。2擴展認證協(xié)議EAP認證交換過程如下：[1]認證器發(fā)送了一個請求來認證對等端。這個請求有一個類型字段來指出什么正在被請求。請求的例子包括身份、MD5的挑戰(zhàn)等。MD5挑戰(zhàn)的類型與CHAP認證協(xié)議對應密切。通常情況下，認證器將發(fā)送一個最初的身份認證請求，然而，一個最初的身份請

8、求是不需要的，可能被掠過。例如，在對等端已經確定連接到端口時，或身份被另外的方式獲得時，身份就不需要了。[2]對等端發(fā)送一個回應包來回復合法的請求。和請求包一樣，回應包包含了一個類型字段，與請求的類型字段相對應。[3]認證器返送一個附加的請求包，對等體回復一個數(shù)據(jù)包。請求和回復的序列繼續(xù)和需要的一樣長。EAP是一個鎖步協(xié)議，因此除了初始請求外，一個新的請求不能夠在收到有效相應之前被提前發(fā)送。認證器像4.1節(jié)描述的那樣，對重傳請求包有責任

9、。經過適當數(shù)量的轉發(fā)后，認證器應該結束EAP談話，認證器不能夠發(fā)送成功或者失敗數(shù)據(jù)包，當重傳或它沒有從對等端收到回應。[4]通信繼續(xù)知道認證器不能認證對等端，在這種情況下，必須發(fā)送一個EAP失敗?；蛘撸J證談話繼續(xù)直到認證成功認證，在這種情況下，認證器必須發(fā)送一個EAP成功。優(yōu)點：?EAP協(xié)議能夠支持多種認證方法，不需要預談判一個特殊的。?網絡訪問服務器設備不需要理解每個認證方法，也不需要為后臺認證服務器作中繼代理。支持中繼是可選的。一

10、個認證器可能認證本地對等端，同時為非本地對等端作為中繼，認證方法可能不會當?shù)赝瓿伞?認證器和后臺認證服務器相離簡化了證件管理和政策的制定。缺點：?在PPP中使用EAP，需要增加一個新的認證類型到PPPLCP，因此PPP需要更改以使用它。它也脫離了從前的成功通過一個專門的認證方法的PPP認證模型。同樣，交換機或無線接入點的實現(xiàn)EAP協(xié)議需要支持IEEE802.1X。?認證器和后臺認證服務器分開，它使安全性分析復雜化，如果需要的話，密鑰分配

11、也復雜化了。2.1支持序列EAP會話可能利用各種方法。一個典型的例子就是在一個獨立的EAP認證方法例如MD5挑戰(zhàn)后跟著身份請求。然而，在一個EAP會話中，對等端和認證器必須使用一種認證方法，之后認證器必須發(fā)送。一旦對等端發(fā)送和初始請求包一樣類型的回應包，認證器在一個給定的方法必須完成最后一輪前必須不能發(fā)送請求一個不同類型的請求包，也不能在初始認證方法完成之前，為額外的任意類型的方法發(fā)送請求包；一個對等體收到這樣的請求包必須把它們作為非法