当前位置:文档之家 › RFC2284-PPP可扩展认证协议

RFC2284-PPP可扩展认证协议

  • 格式:doc
  • 大小:77.50 KB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

中国电信 GPON 上行政企网关设备技术要求

中国电信 GPON 上行政企网关设备技术要求

ITU-T G.984.1 ITU-T G.984.2 ITU-T G.984.3 ITU-T G.984.4 ITU-T G.988 TR-069 USB 2.0 3 术语和缩略语 3.1 术语 3.1.1
通用路由封装(GRE) 传统IP网络地址转换(传统NAT) L2TP Disconnect Cause Information Securing L2TP using IPsec Diffserv新术语及澄清 IPv6动态主机配置协议 (DHCPv6) STUN - Simple Traversal of User IPv6 Prefix Options for DHCP DNS DHCPv6 配置选项 L2TP协议3.0版本 Negotiation of NAT-Traversal in the IKE UDP Encapsulation of IPsec ESP Packets Cryptographically Generated Addresses Basic Transition Mechanisms for IPv6 IPv6/IPv4 双栈互联网接入服务模型 IP认证头(AH) IP Encapsulating Security Payload (ESP) IPv6 无状态自动配置 IPv6 over PPP 媒体访问控制(MAC)网桥 CSMA/CD访问方式和物理层规范 无线局域网媒质访问控制层及物理层标准 Digital network echo cancellers Pulse code modulation (PCM) of voice frequencies 7 kHz audio-coding within 64 kbit/s Coding of speech at 8 kbit/s using conjugate-structure algebraic -code-excited linear prediction(CS-ACELP) 话带(300~3400Hz)语音编译码器的客观质量测量 Perceptual evaluation of speech quality (PESQ): An objective method for end-to-end speech quality assessment of narrow-band telephone networks and speech codecs 吉比特无源光网络(GPON):总体要求 吉比特无源光网络(GPON):物理媒质相关(PMD)层要求 吉比特无源光网络(GPON):传输汇聚(TC)层要求 吉比特无源光网络(GPON):ONT管理控制接口(OMCI)要求 吉比特无源光网络(GPON):ONU管理控制接口(OMCI)要求 CPE WAN Management Protocol Universal Serial Bus Specification (Revision 2.0)

PEAP

PEAP
带 EAP-TLS的 PEAP
公钥证书提供的身份验证方法比使用基于密码的凭据更强。带 EAP-TLS的 PEAP (PEAP-EAP-TLS)使用证书 对服务器进行身份验证,使用证书或智能卡对用户及客户端计算机进行身份验证。要使用 PEAP-EAP-TLS,必须 部署公钥基础结构 (PKI)。
注意事项
感谢观看
为增强 EAP协议和网络安全性,PEAP提供:
对通过 TLS通道在客户端和服务器之间进行的 EAP方法协商的保护。这有助于防止攻击者在客户端和网络访 问服务器 (NAS)之间插入数据包,以防对安全性较低的 EAP方法进行协商。加密 TLS通道也助于防止针对 IAS 服务器进行的拒绝服务攻击。
对消息碎片和消息重组的支持,允许使用不提供此功能的 EAP类型。
加密通道
无线客户端与无线访问点关联。在客户端和访问点之间创建安全关联之前,基于 IEEE 802.11的关联会提供 开放系统或共享密钥验证。在客户端与访问点之间成功建立基于 IEEE 802.11的关联之后,TLS会话与访问点协 商。成功完成无线客户端和服务器(例如 IAS服务器)之间的身份验证之后,TLS会话之间进行协商。在此协商 期间获得的密钥用于加密所有后续通信。
能够对 IAS或 RADIUS服务器进行身份验证的无线客户端。因为服务器也对客户端进行身份验证,所以相互 进行身份验证的情况出现。
当 EAP客户端验证 IAS服务器所提供的证书时,对部署未经授权的无线访问点 (WAP)的保护。
验证过程
PEAP客户端和身份验证器之间的 PEAP身份验证过程有两个阶段。第一个阶段建立 PEAP客户端和身份验证服 务器之间的安全通道。第二个阶段提供 EAP客户端和身份验证器之间的 EAP身份验证。

peap

peap

PEAP,即为“受保护的可扩展的身份验证协议”,是可扩展的身份验证协议(EAP) 家族的一个新成员。

这是一项由Cisco、Microsoft和RSA共同支持的安全方案。

这三家公司开发PEAP是为了对抗EAP-TTLS。

PEAP 与EAP-TTLS类似,并且得到广大厂商支持。

PEAP采用类似于安全套接层(SSL)与浏览器的方式使用证书。

客户机向服务器出示证书,但不要求服务器返回证书,一旦客户机利用证书向服务器认证,服务器就建立加密隧道,然后在隧道中执行EAP来认证客户机。

Microsoft已经将PEAP包括到XP 服务包中,并且正像它对EAP-TLS所做的那样,Microsoft提供免费的Windows 2000客户端软件。

PEAP 使用传输级别安全性(TLS) 在正在验证的PEAP 客户端(例如无线计算机)和PEAP 身份验证器(例如Internet 验证服务(IAS) 或远程验证拨号用户服务(RADIUS) 服务器)之间创建加密通道。

PEAP 不指定验证方法,但是会为其他EAP 验证协议提供额外的安全性,例如EAP-MSCHAPv2 协议,该协议可以通过PEAP 提供的TLS 加密通道得以实现。

PEAP 用作802.11 无线客户端计算机的身份验证方法,但虚拟专用网(VPN) 客户端或其他远程访问客户端不支持它。

为增强EAP 协议和网络安全性,PEAP 提供:1、对通过TLS 通道在客户端和服务器之间进行的EAP 方法协商的保护。

这有助于防止攻击者在客户端和网络访问服务器(NAS) 之间插入数据包,以防对安全性较低的EAP 方法进行协商。

加密TLS 通道也助于防止针对IAS 服务器进行的拒绝服务攻击。

2、对消息碎片和消息重组的支持,允许使用不提供此功能的EAP 类型。

3、能够对IAS 或RADIUS 服务器进行身份验证的无线客户端。

因为服务器也对客户端进行身份验证,所以相互进行身份验证的情况出现。

802.1x协议简介

802.1x协议简介

14
802.1x基本概念——EAPOR报文格式
Code Identifier Length
Athenticator
Attribute. . . . . . Attribute Type Length Value

• •
Code:RADIUS报文类型(Access-Request、Access-Accept、Access-Reject、 Access-Challenge等)。
Identifier:用于匹配Request和Response Length:整个报文长度(the Code, Identifier, Length, Authenticator and Attribute fields)。


Authenticator:一种保护机制,用于校验RADIUS报文的合法性和密码的加密。

7
802.1x基本概念——握手机制
握手机制(标准协议中没有此机制)
设备端采用EAP-Request/Identity报文作为握手请求报文,客户端采用EAPResponse/Identity作为握手应答报文(dot1x timer handshake-period) 功能:
unauthorized-force Port unauthorized unconditionally

6
802.1x基本概念——认证触发方式
认证触发方式:
→ 标准EAP触发方式:
目的组播地址:01-80-c2-00-00-03,客户端主动发EAPOL-start报文
端口:
→ 可以是物理端口:Port-Based → 也可以是逻辑端口:Mac-Based
基本思想:通过某种认证机制控制端口的授权状态。

中国移动WLAN AC-AP接口互通规范-设备功能 分册-完成

中国移动WLAN AC-AP接口互通规范-设备功能 分册-完成
IEEE Std 802.11
[8]
2001
Draft Standards for Local and Metropolitan Area Networks: Standard for Port based Network Access Control.
IEEE P802.1X
[9]
August 20,1999
IETF
[34]
RFC5340
OSPF for IPv6
IETF
[35]
RFC4118
RFC 4118Architecture Taxonomy for Control and Provisioning of Wireless Access Points (CAPWAP)
IETF
[36]
RFC5415
IETF
[28]
RFC4861
Neighbor Discovery for IP version 6 (IPv6)
IETF
[29]
RFC4862
IPv6 Stateless Address Autoconfiguration
IETF
[30]
RFC4941
Privacy Extensions for Stateless Address Autoconfiguration in IPv6
本分册第4章定义了《中国移动无线局域网(WLAN)AP、AC设备规范》规定AP设备功能要求的所有功能CAPWAP交互定义。
本分册第5章定义了《中国移动无线局域网(WLAN)AP、AC设备规范》规定AC设备功能要求的所有功能CAPWAP交互定义。
自定义消息元素类型的Element ID使用范围为128—255。

portal认证介绍

portal认证介绍

Portal认证技术认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议,在网络应用日益复杂的形势下,很多复杂的管理要求已经涉及到高层协议,面对这些要求,基于2、3层的认证技术入PPPoE,802.1x就无能为力。

1.PPPoE通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。

PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。

当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。

在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。

在网络拓扑中,主机能与之通信的可能有不只一个网络设备。

在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源(1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量的PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能的“瓶颈”。

ppp认证方式apchap认证

p p p认证方式a p c h a p认证文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式(pap、chap认证)一、实验拓扑二、实验要求:1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址,并且从地址池中分配,4、pc1最终能ping铜pc2三、实验步骤:1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2(config-if)#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商,并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名,密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

PAP-认证

【实验内容】
配置PAP 认证协议
【实验环境】
1、硬件环境
路由器两台,路由器同步串口线1 根
2、软件环境
WindowsXP 操作系统、pcaket tracer 仿真软件
3、拓扑结构图
【实验步骤】
1、在路由器R1 和R2 上配置IP 地址,保证直连链路的连通性
2、改变串行链路两端的接口封装为PPP 封装
3、在远程路由器R1 上,配置在中心路由器R2 上登录的用户名和密码,使用“ppp pap sent-username 用户名password 密码”命令:
4、在中心路由器R2 上为远程路由器R1 设置用户名和密码,使用“username 用
户名password 密码”命令:
5、在中心路由器R2 上,配置PAP 验证
6、在远程路由器R2 上,配置在中心路由器R1 上登录的用户名和密码,使用
“ppp pap sent-username 用户名password 密码”命令:
7、在中心路由器R1 上为远程路由器R2 设置用户名和密码,使用“username 用
户名password 密码”命令:
8、在中心路由器R1 上,配置PAP 验证:
9、实验调试:使用“debug ppp authentication”可以查看ppp 认证过程:
【实验总结】
通过本实验我们掌握了PAP认证的相关配置,认证是双方进行对方认证,也就是说是在本路由器上发送自己的名字与密码到对方路由器,在对方路由器上需要设置对方的名字为用户名,对方发送的密码为密码。

该实验有助于我们理解PAP认证的相关理论,更好的掌握PAP认证的过程。

CH10VPN

网络地址转换 NAT 方法于1994年提 出。
需要在专用网连接到因特网的路由器上 安装 NAT 软件。装有 NAT 软件的路由 器叫做 NAT路由器,它至少有一个有效 的外部全球地址 IPG。
所有使用本地地址的主机在和外界通信 时都要在 NAT 路由器上将其本地地址转 换成 IPG 才能和因特网连接。
虚拟专用网协议
PPTP协议 ·
(PointtoPointTunnelingProtocol,点到点 隧道协议)
PPTP协议是PPP协议与TCP/IP协议的结 合,它吸取了PPP的多协议、用户身份认 证及数据报压缩等优点以及TCP/IP通过 Internet路由数据报的能力。PPTP协议包 含两种类型的通信:用于发送状态、信号 等的控制包和发送载荷的数据报。
使用第三层隧道技术的公司网络不需要IP 地址,也具有安全性;服务提供商网络能 够隐藏公司网络和远端节点地址。
VPN的编址
• VPN所提供的编址选择与专用网络 所提供的是一样的,可以根据需要 选择:
• 本地地址——仅在机构内部使用的 IP 地址,可以由本机构自行分配,而不需 要向因特网的管理机构申请。
虚拟专用网协议
L2F协议
Layer 2 Forwarding,第二层转发协议
L2F协议是Cisco公司于1996年开发 的,用于适应日益增长的拨号服务和 非IP协议信息的应用,在Internet上 开辟一条传输该类信息的虚拟通道, 使IPX和SNA等非IP信息也能分享 Internet这种公共网络所提供的利 益。
虚拟专用网 VPN
虚拟专用网综合了专用和公用网络的 优点,允许有多个站点的公司拥有一 个假想的完全专有的网络,而使用公 用网络作为其站点之间交流的线路。
将VPN定义为虚信道,该信道:

PEAP验证

无线网络安全指南:PEAP验证对于系统管理员和企业CIO来说,企业无线局域网的安全问题一直是他们关注的重心。

在4月份中,我们会连续关注企业无线局域网安全,今天我们将介绍Protected Extensible Authentication Protocol (PEAP) Authentication,这是一种基于密码的验证协议,可以帮助企业实现简单安全的验证功能。

受保护的可扩展身份验证协议 (PEAP) 认证,是一种基于安全密码的认证协议,可以实现简单而又安全的身份验证功能。

虽然PEAP也可以用于有线网络环境,但是一般来说,主要用于无线局域网环境的网络接入保护(NAP)甚至Vista系统中的VPN认证。

虽然市面上还有一些验证协议可以实现与PEAP类似的功能,比如Funk Software的EAP-TTLS ,但是由于PEAP与Windows操作系统的良好协调性,以及可以通过Windows组策略进行管理的特性,使得PEAP在部署时极其简单。

为何选PEAP而不是其它商业验证协议在非Cisco设备领域,PEAP拥有了相当规模的市场占有率。

同时,由于LEAP协议的安全性较差,不少Cisco用户也选择了使用PEAP进行用户验证,尤其是在企业无线局域网市场,PEAP的应用比例更是远远高出其他竞争对手。

最近有些Cisco用户开始使用新的Cisco EAP-FAST 协议,但是这个协议的安全性并不比LEAP强多少,而且部署相当困难。

更糟的是,很多老型号的Cisco无线设备都不支持Cisco EAP-FAST协议,但是却可以支持PEAP 协议。

由于PEAP可以兼容几乎全部厂商的全部设备,可以为企业提供至关重要的“设备级验证”功能,同时可以在活动目录中自动部署(仅在微软的Windows XP/Vista PEAP客户端中。

),因此对于企业来说,PEAP是一个最佳的验证协议。

这里需要解释的是,我并没有劝大家不要使用Cisco的硬件产品,因为我本身就对Cisco的硬件可靠性非常满意。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

RFC 2284 PPP Extensible Authentication Protocol,EAP PPP可扩展认证协议 RFC文档中文翻译计划 1 组织:中国互动出版网(http://www.china-pub.com/) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者:Hlp(hlp,huangliuqi@hotmail.com) 译文发布时间:2001-4-26 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。

Network Working Group L. Blunk Request for Comments: 2284 J. Vollbrecht Category: Standards Track Merit Network, Inc. March 1998

PPP可扩展认证协议 (RFC 2284 PPP Extensible Authentication Protocol,EAP)

本文档现状

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

版权通告

Copyright (C) The Internet Society (1998). All Rights Reserved. 摘要

点到点协议(PPP,参考文献[1])提供了一种在点到点链路上传输多协议数据包的标准的方法。

PPP还定义了可扩展的链路控制协议(Link Control Protocol,简称LCP),允许该链路在进入网络层协议之前协商为通信对方进行身份认证所使用的认证协议(Authentication Protocol)。 RFC 2284 PPP Extensible Authentication Protocol,EAP PPP可扩展认证协议 RFC文档中文翻译计划 2 本文档定义了PPP可扩展的认证协议(Authentication Protocol)。 This document defines the PPP Extensible Authentication Protocol.

目录 1. 简介 ................................................. 2 1.1 规范的条件....................................... 2 1.2 术语............................................. 2 2. PPP可扩展认证协议(EAP) ..................... .......... 3 2.1 配置选项格式 ..................................... 4 2.2 数据包格式 ....................................... 6 2.2.1 Request和Response ......... ..................... 6 2.2.2 Success和Failure ............ ................... 7 3. 初始EAP Request/Response类型............................ 8 3.1 Identity ........................................ 9 3.2 Notification .................................... 10 3.3 Nak ............................................. 10 3.4 MD5-Challenge ................................... 11 3.5 One-Time Password (OTP) ......................... 11 3.6 Generic Token Card .............................. 12 参考文献....................................................... 13 致谢 .......................................................... 14 主席地址 ..................................................... 14 作者地址 ...................................................... 14 完整的版权通告 ................................................ 15 RFC 2284 PPP Extensible Authentication Protocol,EAP PPP可扩展认证协议

RFC文档中文翻译计划 3 1. 简介

为了在点到点链路上建立通信,在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后,在进入网络层协议之前,PPP提供一个可选的认证阶段。

缺省认为,认证不是必需的。如果想要对链路进行认证,实现必须在链路建立阶段指定认证协议配置选项(Authentication-Protocol Configuration)。

这些认证协议主要是由通过交换电路(switched circuits)或者拨号链路(也适用于专用链路)连接到PPP网络服务器上的主机或者路由器使用。服务器可以使用这些主机或路由器的身份(identification)来选择网络层协商的选项。

本文档定义了PPP可扩展认证协议(EAP)。链路建立阶段、认证阶段以及认证协议配置选项在点到点协议(PPP,参考文献[1])中定义。

1.1. 本规范的条件 本文档中出现的关键词必须(MUST),不允许(MUST NOT),必需(REQUIRED),应该(SHALL),不应(SHALL NOT),应该(SHOULD),不应该(SHOULD NOT),推荐(RECOMMENDED),可以(可能,MAY),以及可选(OPTIONAL),按RFC 2119(参考文献[6])解释。中译版本将对这些关键词加粗并加上红色突出显示。

1.2. 术语

本文档频繁使用下面的术语: 认证者(authenticator) 链路要求进行认证的一端。在链路建立阶段的Configure-Request中认证者指定了将要使用的认证协议。

对方(peer) 点到点链路的另一端;被认证者进行认证的那一端。

悄悄地丢弃(silently discard) 意味着实现不对数据包进行进一步处理而把它丢掉。实现应该提供对错误包括被丢弃数据包的内容进行登记的能力,并且应该在一个统计计数器中记录下该事件。

可显示的消息(displayable message) 解释为人类可读的字符串,并且不允许影响本协议的操作。消息的编码必须符合UTF-8转换格式(参考文献[5])。 RFC 2284 PPP Extensible Authentication Protocol,EAP PPP可扩展认证协议 RFC文档中文翻译计划 4 2. PPP可扩展认证协议(EAP) PPP可扩展认证协议(EAP)是PPP认证的一个通用协议,支持多种认证机制。EAP在链路控制(LCP)阶段没有选择好一种认证机制,而把这一步推迟到认证(Authentication)阶段。这样就允许认证者在确定某种特定认证机制之前请求更多的信息。这样做还允许使用一个“后端”服务器来实际实现各种认证机制,PPP的认证者仅仅需要传送认证(pass through)认证信息。

1. 在链路建立阶段完成后,认证者发送一个或多个Request来对对方进行认证。Request中有一个type域表明请求的类型。Request中type的实例包括,Identity, MD5-challenge, One-Time Passwords, Generic Token Card等等。MD5-challenge类型与CHAP认证协议紧紧对应。典型情况下,认证者将发送一个最初的Identity请求,然后是一个或多个请求认证信息的Request。但是,最初的Identity Request并不是必需的,在identity能被事先假定(租借链路,专用拨号线路等等)的情况下可以跳过(bypass)。

2. 对方发送一个Response数据包对每一个Request做出应答。对应于每一个Request数据包,Response数据包包含一个type域,与Request中的type域对应。

3. 认证者发送一个Success或Failure数据包结束认证阶段。 优点 EAP协议可以支持多种认证机制,而不必在LCP阶段预先协商好某种特定认证机制。

特定设备(例如,网络访问服务器NAS)不一定要理解每一种请求类型,而可以简单的作为某个主机上的“后端”服务器的透传(passthrough)代理。设备仅仅需要检查success/failure的code来结束认证阶段。

缺点 EAP要求给LCP增加新的认证类型(机制),这就要求修改PPP实现以使用EAP。它也与在LCP阶段就协商好特定认证机制的传统的PPP认证模式相背离。

2.1. 认证选项格式 协商EAP认证协议的“认证协议配置选项”(Authentication-Protocol Configuration Option)的格式如下所示。传输时各域从左到右依次进行。