可扩展认证协议(EAP)1. 导引

最新推荐文章于 2024-01-16 04:44:40 发布
最新推荐文章于 2024-01-16 04:44:40 发布
阅读量2.9k 收藏 4
点赞数

1. 导引

本文定义可扩展认证协议(EAP),EAP是一个支持多认证方式的认证框架。EAP主要运行在数据链接层,比如点对点协议(PPP)或者IEEE802,不需要IPEAP可以提供副本排除和重发,但依赖于底层排序保证。EAP本身是不支持数据包分裂的,但个别EAP方法可能支持该功能。



EAP可用于专用链路,交换电路,有线和无线链路。至今,EAP已用于使用PPPRFC1661]连接交换电路或者拔号线路的主机或路由。EAP也可使用IEEE802[IEEE-802]去切换和访问端点。基于IEEE802有线媒介的EAP密封在[IEEE-802.1X]里有描述,基于IEEE无线局域网的密封在[IEEE-802.11i]里有描述。



EAP构架其中一个优点是灵活。EAP可用于选择一个特殊的认证机制,一般是在认证端请求更多的信息以便判断是否使用那个特殊的认证方法之后。比起要求认证端更新以支持新的认证方法,更好的做法是,EAP使用一个后端认证服务器,这样就可以实现很多或者所有的认证方法,这时认证端是作为这些方法的通行站。



在本文中,认证端要求不管认证端是否直通,都适用。也就是说这里所说的要求会用于认证端还是后端认证服务器,取决于在哪确定EAP认证,术语EAP服务器



1.1.规范要求

在本文中,有些词用于表示规范要求。关键词必须绝不要求,,将不应该应该不建议可能,”可选的在本文中出现的,都在[RFC2119]里有解释。

1.2. 术语

本文频繁使用到下面术语:

认证端authenticator

初始化EAP认证的链路端点。该术语在[IEEE-802.1X]中有用到,在本文也是相同的意思。



对等端peer

  对应认证端的链路端点。在[IEEE-802.1X]中也称为恳求端。



恳求端Supplicant

在[IEEE-802.1X]中对应认证端的链路端点。



后台认证服务器backendauthentication server

一个后台认证服务器是一个对认证端提供认证服务的实体。一般用于为认证端执行EAP方法。该术语同样在[IEEE-802.1X]中用到。



AAA

认证,授权,计帐。带EAP支持的AAA协议包括RADIUS[RFC3579]Diameter[DIAM-EAP]。在本文中,术语AAA服务器和后台认证服务器是交互使用的。



可显示信息DisplayableMessage

该术语解释为可阅读的字符信息。该信息编码必须符合UTF-8转换格式[RFC2279]。



EAP服务器EAP server

协同对等端决定EAP认证方法的实体。当没有使用后台认证服务时,认证服务器是认证端的一部分。当认证端运行在直通模式时,EAP服务器位于后台认证服务器。



悄悄丢弃SilentlyDiscard

意思是不作进一步处理就丢弃数据包。执行该操作时应该记录事件,包括悄悄丢弃的数据包内容,应该用一个统计计数器记录事件。



成功认证SuccessfulAuthentication

在本文的上下文中,认证成功是EAP信息的交换结果,该结果是,认证端允许对等端访问,对等端决定使用该访问。



信息完整性检测MessageIntegrity Check (MIC)



一个密钥的哈希函数用于认证和数据完整性保护。通常称之为信息认证码(MAC),但IEEE802规范使用动态MIC去避免媒介访问控制的混淆。



加密分离CryptographicSeparation



假设敌方知道所有协议中交换的信息,如果没有破解某些加密假定的话就不可能从密钥x算出y,也不可能从密钥y算出x,这两个密钥xy就称为加密分离。也就是说可以让敌人知道所有以明文形式发送的信息,以及协议中用到的所有可预测的计数值。破解一个加密推定一般要求在不知道密码的情况下,反编译一个单向函数或者猜出一个加密伪随机数。换句话讲,如果密码是加密分离的,那么想从x算出yy算出x的是不容易做到的,如果执意这样做,就相当于一个地毯式搜索,相当费力。



主会话密钥MasterSession Key (MSK)

源于EAP对等端和服务器之间的加密材料,可通过EAP方法导出。主会话密钥至少64个字节长度。实际操作上,AAA服务器扮演EAP服务器将主会话密钥传送给认证端。

扩展的主会话密钥ExtendedMaster Session Key (EMSK)

源于EAP客户端和服务器的额外密钥材料,可通过EAP方法导入。扩展的主会话密钥至少64个字节长度。扩展的主会话密钥不与认证端或者其他第三方共享。扩展的主会话密钥还没开放,留作后用。

结果指示

一个方法在发送和接受最后一条信息后会提供结果指示的情况:

      1. 对等端意识到是否已经认证服务器了或者是否服务器已经认证自己了。

      2. 服务器意识到是否已经认证对等端了或者对等端已认证自己了。

在成功认证满足授权访问的情况下,对等端和认证端就会清楚第三方是否愿意提供或接受访问。一个已认证的对等端在缺乏授权或其他原因的情况下可能会拒绝访问。由于EAP交换是发生在对等端和服务器之间,其他端点(比如一个AAA代理)可能会影响授权决定。在7.16节会更详细探讨这种情况。

1.3 适用性

EAP是设计用在IP层连接还没建立连接时的网络访问认证。不建议将EAP用于其他目的,比如大量数据传输。

由于EAP不需要IP连接,它仅支持认证协议的可靠性传输。


EAP是一个锁步协议,该协议仅支持一个单包飞跃。因此,EAP不能有效传输大量数据,不像TCP或者SCTP等传输协议。



EAP提供重发支持时,是假定底层已支持排序保证,因此不支持超出排序范围。



由于EAP不支持数据包分裂和重组,因此EAP认证方法产生的负荷大于最小EAPMTU时需要提供数据分裂支持。



有些认证方法,如EAP-TLS,提供数据分裂和重组支持,但本文所描述的方法都不支持。因此,当EAP数据包超过链路的EAPMTU时,这些方法就无能为力了。

EAP认证是由服务器(认证端)来初始化的,尽管有很多认证协议是由客户端(对等端)作初始化。因此,有必要认一个认证算法去添加一个或两个额外的信息(至少一个往返)以便运行EAP



如果支持证书类认证,由于证书链的分裂,额外往返的信息量可能更大。一般,一个分裂的EAP包,由于有多个小包,需要发送多个往返信息。例如,一个证书链有14960个字节,会要求10次往返来发送一个1496字节的EAPMTU



如果EAP运行在一个常丢包的底层或者认证端与认证服务器之间的连接常丢包,EAP方法需要多个往返信息才能克服这些困难。这种情况下,建议使用带有一些往返信息的EAP方法。


skdev
关注
IEEE802.11 学习笔记
Will.Guo
06-06 1万+
一、概论 1.1.简介 IEEE802家族是由一系列局域网络(Local Area Network,LAN)技术规格所组成,802.11属于其中一员。 载波检测多重访问/碰撞检测(Carrier Sense Multiple Access network with Collision Detection,简称CSMA/CD)规格,与(通常误称的)Ethernet有
[蓝牙] 1、蓝牙核心技术了解(蓝牙协议、架构、硬件和软件笔记)
weixin_33743248的博客
08-19 1万+
    声明:这篇文章是楼主beautifulzzzz学习网上关于蓝牙的相关知识的笔记,其中比较多的受益于xubin341719的蓝牙系列文章,同时还有其他网上作者的资料。由于有些文章只做参考或统计不足,如涉及版权请在下面留言~。同时我也在博客分类中新建一个蓝牙通信分类,用来研究分享蓝牙相关技术。   主要参考资料的来源:xubin341719[下面是该前辈的BT系列文章]下载连接:Blu...
基础知识解读:可扩展的身份验证协议EAP
10-25
使用可扩展的身份验证协议 (EAP),任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 VPN 客户端和验证程序(ISA 服务器或 RADIUS 服务器)协商要使用的确切身份验证方案。ISA 服务器包括默认情况下支持 Message Digest 5 Challenge (MD5-Challenge)EAP-Transport Level ..
可扩展认证协议-EAP
lxgwm2008的专栏
10-11 2350
可扩展认证协议 目 录 1可扩展认证协议EAP1.1 EAP-MD51.2 EAP-TLS 1可扩展认证协议EAP可扩展认证协议(Extensible authentication protocol,EAP)是一个第二层处理过程,允许网络对无线客户端进行认证。有两种EAP:一种用于无线网路,另一种用于LAN连接,通常称为 EAP over LAN(EAPo
可扩展认证协议EAP)2. 可扩展认证协议
sK.坤
01-17 5849
<!-- @page {margin:2cm} p {margin-bottom:0.21cm} h1 {margin-bottom:0.21cm} h1.western {font-family:"Arial",sans-serif; font-size:16pt} h1.cjk {font-family:"AR PL UMing HK"; font-siz
可扩展认证协议EAP)3. 底层行为
sK.坤
01-22 2492
<!-- @page {margin:2cm} p {margin-bottom:0.21cm} h1 {margin-bottom:0.21cm} h1.western {font-family:"Arial",sans-serif; font-size:16pt} h1.cjk {font-family:"AR PL UMing HK"; font-siz
可扩展认证协议EAP)4. EAP数据包格式
sK.坤
01-25 5078
<!-- @page {margin:2cm} p {margin-bottom:0.21cm} h1 {margin-bottom:0.21cm} h1.western {font-family:"Arial",sans-serif; font-size:16pt} h1.cjk {font-family:"AR PL UMing HK"; font-siz
深入剖析LMS511:技术规格与性能参数的终极解读
[深入剖析LMS511:技术规格与性能参数的终极解读](https://wx1.sinaimg.cn/mw1024/9b30df69ly4hfm3sspf6vj20q909dq86.jpg) # 摘要 本文全面介绍了LMS511的概况、技术规格、性能参数、实际应用场景以及未来展望。LMS...
16.2 可扩展认证协议
tang7mj的博客
12-31 1257
EAP的概念和用途:理解EAP是一个认证框架,可用于多种网络类型,包括LAN、WLAN和点对点连接。EAP方法的多样性:了解EAP支持多种认证方法,如EAP-TLS、EAP-TTLS、EAP-GPSK和EAP-IKEv2,每种方法都有其特定用途和安全特性。EAP的操作和层次结构:理解EAP如何在数据链路层工作,并与其他协议如IEEE 802.1X结合以提供认证服务。
802.1x认证方式(EAP中继认证与EAP终结认证)
云淡风轻ing的博客
02-16 1万+
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 1万+
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。
eap协议 c语言,CCNP无线技术知识点-EAPEAPOL协议报文详解
weixin_34221330的博客
05-23 1301
EAPEAPOL资料CCNP无线技术知识点-EAPEAPOL协议报文对于WLAN无线网络认证是非常重要的,让我们了解一下EAP协议认证的详细参数和认证细节,对于WLAN故障排除极为重要。首先EAPOl是Extensible Authentication Protocolover LAN的缩写。下面再说EAPOl的由来是基于802.1x网络访问认证技术: 802.1x协议起源于802.11协议,...
Android Wi-Fi EAP-TLS/EAP-PEAP/EAP-TTLS(扩展认证协议)简介
热门推荐
回眸^_^已劃句點
07-23 1万+
1 扩展认证协议 英语: Extensible Authentication Protocol ,縮寫為 EAP,是一个在[无线网络][0]或點對點連線中普遍使用的认证框架。它被定义在RFC 3748中,并且使RFC 2284过时,后又被RFC 5247更新。EAP不仅可以用于无线局域网,還可以用于有线局域网,但它在无线局域网中使用的更频繁。最近,WPA和WPA2标准已经正式采纳了5
可扩展身份验证协议(EAP
最新发布
janyng的专栏
01-16 625
多年来,许多不同的 EAP 方法已被标准化,包括一些特定于供应商的方法。每个链路层定义如何封装 EAP 数据包,每个 EAP 方法定义如何在 EAP 数据包中封装。现代 EAP 方法支持相互认证,并衍生出多个密钥: 主会话密钥(MSK)在 EAP 对等方和验证方之间共享,扩展 MSK(EMSK)在 EAP 对等方和 EAP 服务器之间共享。EAP 框架的其他方面(如状态机、网络发现和选择、EAP 密钥分级、中间人攻击和信道绑定)在配套文件中进行了讨论,所有现代 EAP 方法都在各自的规范中进行了定义。
iOS 蓝牙通信技术(EAP和BLE)
weixin_37566959的博客
04-06 2027
iOS链接外设的几种方式,无疑就下面几种方式: GameKit、CoreBluetooth和ExternalAccessory,GameKit早已废弃。那就剩下CoreBluetooth和ExternalAccessary两个框架,有图可知,EAP要MFi认证,要求设备的设计理念符合苹果的要求,据说通过率是2%。大部分公司都是放弃的,所以绝大部分公司采取的是BLE这套框架,但是门槛高有他的好处,
Win10系统导出证书私钥及公钥
渡安H的博客
02-19 1万+
一、打开Internet选项,如图示 打开方式一:通过控制面板打开 打开方式二:通过IE浏览器打开 打开方式三:通过360浏览器打开 二、在Internet选项中选择“内容”页签,点击“证书”, 然后在“个人”页签中,选中要导出的证书,点击“导出” 三、点击导出后,会弹出“证书导出向导”页面,点击“下一步”,开始导出证书 四、选择“是,导出私钥”,点击“下一步”,导出私钥 4.1 如下如所示,勾选“个人信息交换”,点击“下一步” 4.2 如下如所示,勾选...
扩展认证协议:EAP-TLS/EAP-TTLS/EAP-PEAP
weixin_34088838的博客
07-15 1897
IEEE的802.1X使用了EAP认证框架,因为EAP提供了可扩展的认证方法,但是这些认证方法的安全性完全取决于具体的认证方法,比如EAP- MD5、EAP-LEAPEAP-GTC等,而802.1X最开始是为有线接入设计的,后来被用于无线网的接入,有线接入在安全性方面考虑毕竟少,如果 要窃取信息需要物理上连接网络,而无线网完全不同,无线网信号没有物理边界,所以要使用802....
802.1X认证与EAP协议详解
EAP(扩展验证协议)是802.1X认证中的关键组件,它提供了一种框架,允许使用不同的认证方法。EAP支持多种认证机制,例如EAP-MD5、EAP-TLS(Transport Layer Security)、EAP-TTLS(Tunneled Transport Layer ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值