EAP是Extensible Authentication Protocol的縮寫,EAPOL就是(EAP OVER LAN )基於區域網路的擴展認證協定。 EAPOL是基於802.1X網路訪問認證技術發展而來的。
基本介紹
- 中文名:基於區域網路的擴展認證協定
- 外文名:Extensible Authentication Protocol Over LAN
- 涵義:基於區域網路的擴展認證協定
- 用途:用於無線網路或點到點的連線中
定義,簡介,
定義
EAP是Extensible Authentication Protocol的縮寫。
EAP是一個普遍使用的認證機制,它常被用於無線網路或點到點的連線中。EAP不僅可以用於無線區域網路,而且可以用於有線區域網路。EAP是一個認證框架,不是一個特殊的認證機制。EAP提供一些公共的功能,並且允許協商所希望的認證機制。這些機制被叫做EAP方法,現在大約有40種不同的方法。
EAPOL就是(EAP OVER LAN )基於區域網路的擴展認證協定。
EAPOL是基於802.1X網路訪問認證技術發展而來的。
簡介
IETF的RFC中定義的方法包括:EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM,和EAP-AKA, 還包括一些廠商提供的方法和新的建議。
802.1X 的實現設計三個部分,請求者系統、認證系統和認證伺服器系統。因此EAPOL也是。
當認證系統工作於中繼方式時,認證系統與認證伺服器之間也運行EAP協定,EAP幀中封裝認證數據,將該協定承載在其它高層次協定中(如 RADIUS),以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時,認證系統終結EAPoL訊息,並轉換為其它認證協定(如 RADIUS),傳遞用戶認證信息給認證伺服器系統。
認證系統每個物理連線埠內部包含有受控連線埠和非受控連線埠。非受控連線埠始終處於雙向連通狀態,主要用來傳遞EAPoL協定幀,可隨時保證接收認證請求者發出的EAPoL認證報文;受控連線埠只有在認證通過的狀態下才打開,用於傳遞網路資源和服務。
整個802.1X的認證過程可以描述如下
(1) 客戶端向接入設備傳送一個EAPoL-Start報文,開始802.1X認證接入;
(2) 接入設備向客戶端傳送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3) 客戶端回應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;
(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,傳送給認證伺服器;
(5) 認證伺服器產生一個Challenge,通過接入設備將RADIUS Access-Challenge報文傳送給接入設備,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設備通過EAP-Request/MD5-Challenge傳送給客戶端,要求客戶端進行認證
(7) 客戶端收到EAP-Request/MD5-Challenge報文後,將密碼和Challenge做MD5算法後的Challenged-Pass-word,在EAP-Response/MD5-Challenge回應給接入設備
(8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS伺服器,由RADIUS伺服器進行認證