
[历史归档]本文原发布于 cstriker1407.info 个人博客内容为历史存档仅供参考。发布时间2018-12-05 标题EAP/EAPOL简单笔记分类网络通讯 / WIFI 标签802.11·802.1X·EAPEAP/EAPOL简单笔记参考【 https://zh.wikipedia.org/wiki/IEEE_802.1X 】【 https://cshihong.github.io/2019/05/30/802.1X认证原理/ 】【 https://zh.wikipedia.org/wiki/扩展认证协议 】扩展认证协议英语Extensible Authentication Protocol缩写为 EAP是一个在无线网络或点对点连线中普遍使用的认证框架。它被定义在RFC 3748中并且取代了旧版协议RFC 2284后来被新版协议RFC 5247取代。EAP不仅可以用于无线局域网还可以用于有线局域网但它在无线局域网中使用的更频繁。最近WPA和WPA2标准已经正式采纳了5类EAP作为正式的认证机制。EAP是一个认证框架不是一个特殊的认证机制。EAP提供一些公共的功能并且允许协商所希望的认证机制。这些机制被叫做EAP方法现在大约有40种不同的方法。IETF的RFC中定义的方法包括EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM和EAP-AKA, 还包括一些厂商提供的方法和新的建议。无线网络中常用的方法包括EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP和EAP-TTLS。IEEE 802.1X是IEEE制定关于用户接入网络的认证标准注意此处X是大写[1]全称是“基于端口的网络接入控制”属于IEEE 802.1网络协议组的一部分。于2001年标准化之后为了配合无线网络的接入进行修订改版于2004年完成。它为想要连接到LAN或WLAN的设备提供了一种认证机制。IEEE 802.1X协议在用户接入网络可以是以太网802.3或者WLAN网之前运行。IEEE 802.1X定义了在IEEE 802上运行扩展认证协议EAP即EAP over LAN或EAPOL[2]的封装方式[3][4]。EAPOL最初被定义在802.1X-2001设计对象为IEEE 802.3以太网但是后来为了适应其他IEEE 802 LAN技术如IEEE 802.11无线和光纤分布式数据接口FDDIISO 9314-2在802.1X-2004中又做了澄清[5]。为了与IEEE 802.1AE (“MACsec”)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用EAPOL协议在802.1X-2010中还进行了修改[6][7]以支持服务识别和在本地LAN段上的可选点对点加密。EAP数据首先被封装在EAPOL帧中传输于申请者Supplicant和验证者Authenticator之间。随后又封装在RADIUS或Diameter传输于验证者和验证服务器Authentication server之间。802.1X验证涉及到三个部分申请者、验证者和验证服务器。申请者是一个需要连接到LAN/WAN的客户端设备如便携机同时也可以指运行在客户端上提供凭据给验证者的软件。验证者是一个网络设备如以太网交换机或无线接入点。验证服务器通常是一个运行着支持RADIUS和EAP协议的主机。 验证者就像是一个受保护网络的警卫。申请者如客户端设备不允许通过验证者访问到受保护一侧的网络直到申请者的身份被验证和授权。这就像是允许进入一个国家之前要在机场的入境处提供一个有效的签证一样。使用802.1X基于端口的验证申请者向验证者提供凭据如用户名/密码或者数字证书验证者将凭据转发给验证服务器来进行验证。如果验证服务器认为凭据有效则申请者客户端设备就被允许访问被保护侧网络的资源[8]。图片