EAP介绍.pptx

EAP
技术标准部:杨睿
2011年4月7日
内容概要
简介
模型
底层性能
包格式
类型
通用令牌卡
扩展类型
安全性
简介
EAP(扩展认证协议)一个支持多路认证方法的P2P协议。EAP通常直接运行在数据链路层,例如PPP协议或者是IEEE802,不需要IP地址。EAP提供了它自己支持的重复删除和转发,但是它依赖于底层正确的排序。EAP本身不支持分片,然而特殊的EAP方法可能支持这个。
一、定义
当数据包的长度超出最大值时,就要分片
简介
Authenticator(认证者):启动EAP认证链路的终端。
Peer(被认证者):回应认证器的链路终端。
后台认证服务器:为认证者提供认证服务的实体。
EAP服务器:终止被认证者的EAP认证方法的实体。
MSK(主会话密钥):密钥材料从被认证者和服务器间获取。
EMSK(扩展主会话密钥):附加的密钥材料从EAP客户端和服务器间获取
二、术语解释
1、在没有后台认证服务器时,EAP服务器是认证者的一部分。
2、在认证者工作在传递模式时,EAP服务器位于后台认证服务器。
简介
EAP是一个锁步协议,因此除了初始请求外,一个新的请求不能够在收到有效响应之前被提前发送。
三、认证过程
请求包中有一个类型字段来指出什么正在被请求
简介
四、优缺点
优点:
EAP协议支持多种认证方法,不需要预谈判一个特殊的。
NAS设备不需要理解每个认证方法,也不需要为后台认证服务器作中继代理。
认证者和后台认证服务器相离简化了证件管理和政策的制定。
缺点:
在PPP中使用EAP,需要增加一个新的认证类型到PPP LCP,因此PPP需要更改以使用它
认证者和后台认证服务器分开,它使安全性分析复杂化,如果需要的话,密钥分配也复杂化了。
模型
EAP会话可能利用各种方法,但是在一个会话中被认证者和认证者必须使用一种认证方法,发送的数据包也只能是同一种类型,在会话结束后认证者必须发送成功或失败数据包。因此不支持身份请求。
EAP会话中不支持多路认证方法,因为它们容易受到拦截式攻击,并与现有的实现不兼容。
一、支持序列
使用隧道方法可解决这个问题
模型
二、多路复用
负责在被认证者和认证者之间转发和接收EAP帧
通过底层接收和转发EAP数据包,完成重复检测和转发,同时从上层传递和接收信息。
基于代码段,多路分用输入的EAP包到上层
完成认证算法和通过下层传输EAP消息
模型
三、传递模型
当作为一个传递认证者时,认证者检查代码,身份,字段长度。
它把从被认证者收到的EAP数据包,经过它自己的认证层发送到后台认证服务器;从后台认证服务器接收到的数据包发送到被认证者。
模型
四、P2P
由于EAP是P2P对等协议,独立和同步认证可能发生在相反的方向上。两个链路的终端可能同时作为认证者和被认证者。这种情况下,两个终端都必须实施EAP认证者和被认证者层。另外,在两个节点的EAP方法的实现必须同时支持验证和对等的功能。