擴(kuò)展認(rèn)證協(xié)議

1、擴(kuò)展認(rèn)證協(xié)議RFC3748這個(gè)備忘錄的狀態(tài)本文檔明確描述了互聯(lián)網(wǎng)社區(qū)的一個(gè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)跟蹤協(xié)議，需要進(jìn)一步進(jìn)行討論和改善的建議，請(qǐng)參考最新的“互聯(lián)網(wǎng)官方協(xié)議標(biāo)準(zhǔn)”國(guó)家標(biāo)準(zhǔn)化。這個(gè)備忘錄的發(fā)布是不受限制的。版權(quán)通知摘要本文檔定義了EAP擴(kuò)展認(rèn)證協(xié)議，一個(gè)支持多種認(rèn)證方法的認(rèn)證框架。EAP通常直接運(yùn)行在數(shù)據(jù)鏈路層，利于ppp協(xié)議或者IEEE802，不需要IP地址。EAP提供了它自己支持的重復(fù)性淘汰和轉(zhuǎn)發(fā)，但是在較低層排序保證自力更生。EAP本

2、身不支持碎片，然而單獨(dú)的EAP方法可能支持這個(gè)。本文檔替代了RFC2284.本文檔和RFC2284更改的總結(jié)在附錄A中體現(xiàn)。目錄概要1.引言本文檔定義了擴(kuò)展認(rèn)證協(xié)議，一個(gè)支持多路認(rèn)證方法的認(rèn)證框架。EAP通常直接運(yùn)行在數(shù)據(jù)鏈路層，例如點(diǎn)對(duì)點(diǎn)協(xié)議或者是IEEE802不需要IP地址。EAP提供了它自己支持的重復(fù)性淘汰和轉(zhuǎn)發(fā)，但是在較低層排序保證自力更生。EAP本身不支持碎片，然而單獨(dú)的EAP方法可能支持這個(gè)。EAP可用于專用的鏈接，以及開關(guān)

3、電路和有線和無線鏈路。到目前為止，EAP已經(jīng)通過連接交換電路或撥號(hào)鏈路使用PPP協(xié)議，實(shí)施在主機(jī)和路由器上。同時(shí)也通過使用IEEE802協(xié)議，應(yīng)用在交換機(jī)和接入點(diǎn)。在IEEE802有線媒體封裝的EAP在IEEE802.1X中得以描述，并且在IEEE無線局域網(wǎng)中封裝，由IEEE802.11i描述。EAP架構(gòu)的優(yōu)勢(shì)之一就是它的靈活性。EAP是用來選擇一個(gè)專門的認(rèn)證機(jī)制，通常是在驗(yàn)證請(qǐng)求需要更多的信息來確認(rèn)專門的認(rèn)證方法被使用，而不是需要驗(yàn)證

4、者需要更新來支持每個(gè)新的驗(yàn)證方法，EAP允許使用后臺(tái)認(rèn)證服務(wù)器，他可以實(shí)現(xiàn)一些或所有認(rèn)證方法，當(dāng)認(rèn)證者為部分或所有的方法和對(duì)等體作為一個(gè)傳遞。在這個(gè)文件中，不論是否認(rèn)證者作為一個(gè)傳遞，認(rèn)證要求都要申請(qǐng)。凡要求是為了適用于認(rèn)證或者后臺(tái)認(rèn)證服務(wù)器，這取決于EAP認(rèn)證在哪里被終止，EAP服務(wù)器將被使用。1.1要求說明書1.2術(shù)語本文檔經(jīng)常使用下列詞語：認(rèn)證器認(rèn)證器：?jiǎn)?dòng)EAP認(rèn)證鏈路的終端。認(rèn)證器這個(gè)屬于被使用在IEEE802.1X，在本文檔

5、中擁有相同的含義。對(duì)等體對(duì)等體：回應(yīng)認(rèn)證器的鏈路終端。在IEEE802.1X中，這個(gè)終端被認(rèn)為是請(qǐng)求者。請(qǐng)求者請(qǐng)求者:在IEEE802.1X中，鏈路終端回應(yīng)認(rèn)證器。在本文檔中，這個(gè)鏈路終端被稱為對(duì)等體。后臺(tái)認(rèn)證服務(wù)器后臺(tái)認(rèn)證服務(wù)器：一個(gè)后臺(tái)認(rèn)證服務(wù)器是一個(gè)提供認(rèn)證服務(wù)給認(rèn)證器的實(shí)體。當(dāng)被使用時(shí)，這個(gè)服務(wù)器通常為認(rèn)證器執(zhí)行EAP方法。這個(gè)術(shù)語也被使用在IEEE802.1X。AAAAAA：認(rèn)證，授權(quán)和計(jì)費(fèi)。帶有EAP的AAA協(xié)議支持包括RA

6、DIUS和Diameter。在這個(gè)文檔中，AAA服務(wù)器和后臺(tái)認(rèn)證服務(wù)器這兩個(gè)術(shù)語可交換使用。可顯示的信息可顯示的信息：這被翻譯成人類可讀的字符串。這個(gè)信息便把必須跟從UTF8轉(zhuǎn)換凡基于證書的認(rèn)證都是支持的，由于證書鏈的支離破碎，大量的額外往返可能更大。一般來說，一個(gè)分裂的EAP數(shù)據(jù)包由于有碎片，將需要很多的往返包來發(fā)送。例如，一個(gè)認(rèn)證鏈的大小是14960個(gè)字節(jié)，將需要10個(gè)往返來發(fā)送一個(gè)1496自己大小的EAPMTU。EAP運(yùn)行在較低層

7、的地方很多數(shù)量的包發(fā)生丟失，或者在認(rèn)證器和認(rèn)證服務(wù)器之間的連接處大量的包丟失也發(fā)生，EAP方法需要很多往返可能有些困難。在這種情況下，使用較少往返的EAP方法是可取的。2擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證交換過程如下：[1]認(rèn)證器發(fā)送了一個(gè)請(qǐng)求來認(rèn)證對(duì)等端。這個(gè)請(qǐng)求有一個(gè)類型字段來指出什么正在被請(qǐng)求。請(qǐng)求的例子包括身份、MD5的挑戰(zhàn)等。MD5挑戰(zhàn)的類型與CHAP認(rèn)證協(xié)議對(duì)應(yīng)密切。通常情況下，認(rèn)證器將發(fā)送一個(gè)最初的身份認(rèn)證請(qǐng)求，然而，一個(gè)最初的身份請(qǐng)

8、求是不需要的，可能被掠過。例如，在對(duì)等端已經(jīng)確定連接到端口時(shí)，或身份被另外的方式獲得時(shí)，身份就不需要了。[2]對(duì)等端發(fā)送一個(gè)回應(yīng)包來回復(fù)合法的請(qǐng)求。和請(qǐng)求包一樣，回應(yīng)包包含了一個(gè)類型字段，與請(qǐng)求的類型字段相對(duì)應(yīng)。[3]認(rèn)證器返送一個(gè)附加的請(qǐng)求包，對(duì)等體回復(fù)一個(gè)數(shù)據(jù)包。請(qǐng)求和回復(fù)的序列繼續(xù)和需要的一樣長(zhǎng)。EAP是一個(gè)鎖步協(xié)議，因此除了初始請(qǐng)求外，一個(gè)新的請(qǐng)求不能夠在收到有效相應(yīng)之前被提前發(fā)送。認(rèn)證器像4.1節(jié)描述的那樣，對(duì)重傳請(qǐng)求包有責(zé)任

9、。經(jīng)過適當(dāng)數(shù)量的轉(zhuǎn)發(fā)后，認(rèn)證器應(yīng)該結(jié)束EAP談話，認(rèn)證器不能夠發(fā)送成功或者失敗數(shù)據(jù)包，當(dāng)重傳或它沒有從對(duì)等端收到回應(yīng)。[4]通信繼續(xù)知道認(rèn)證器不能認(rèn)證對(duì)等端，在這種情況下，必須發(fā)送一個(gè)EAP失敗。或者，認(rèn)證談話繼續(xù)直到認(rèn)證成功認(rèn)證，在這種情況下，認(rèn)證器必須發(fā)送一個(gè)EAP成功。優(yōu)點(diǎn)：?EAP協(xié)議能夠支持多種認(rèn)證方法，不需要預(yù)談判一個(gè)特殊的。?網(wǎng)絡(luò)訪問服務(wù)器設(shè)備不需要理解每個(gè)認(rèn)證方法，也不需要為后臺(tái)認(rèn)證服務(wù)器作中繼代理。支持中繼是可選的。一

10、個(gè)認(rèn)證器可能認(rèn)證本地對(duì)等端，同時(shí)為非本地對(duì)等端作為中繼，認(rèn)證方法可能不會(huì)當(dāng)?shù)赝瓿伞?認(rèn)證器和后臺(tái)認(rèn)證服務(wù)器相離簡(jiǎn)化了證件管理和政策的制定。缺點(diǎn)：?在PPP中使用EAP，需要增加一個(gè)新的認(rèn)證類型到PPPLCP，因此PPP需要更改以使用它。它也脫離了從前的成功通過一個(gè)專門的認(rèn)證方法的PPP認(rèn)證模型。同樣，交換機(jī)或無線接入點(diǎn)的實(shí)現(xiàn)EAP協(xié)議需要支持IEEE802.1X。?認(rèn)證器和后臺(tái)認(rèn)證服務(wù)器分開，它使安全性分析復(fù)雜化，如果需要的話，密鑰分配

11、也復(fù)雜化了。2.1支持序列EAP會(huì)話可能利用各種方法。一個(gè)典型的例子就是在一個(gè)獨(dú)立的EAP認(rèn)證方法例如MD5挑戰(zhàn)后跟著身份請(qǐng)求。然而，在一個(gè)EAP會(huì)話中，對(duì)等端和認(rèn)證器必須使用一種認(rèn)證方法，之后認(rèn)證器必須發(fā)送。一旦對(duì)等端發(fā)送和初始請(qǐng)求包一樣類型的回應(yīng)包，認(rèn)證器在一個(gè)給定的方法必須完成最后一輪前必須不能發(fā)送請(qǐng)求一個(gè)不同類型的請(qǐng)求包，也不能在初始認(rèn)證方法完成之前，為額外的任意類型的方法發(fā)送請(qǐng)求包；一個(gè)對(duì)等體收到這樣的請(qǐng)求包必須把它們作為非法