扩展认证协议精选.docx

扩展认证协议RFC3748这个备忘录的状态本文档明确描述了互联网社区的一个互联网标准跟踪协议，需要进一步进行讨论和改善的建议，请参考最新的“互联网官方协议标准”国家标准化。这个备忘录的发布是不受限制的。版权通知摘要本文档定义了EAP扩展认证协议，一个支持多种认证方法的认证框架。EAP通常直接运行在数据链路层，利于ppp协议或者IEEE802，不需要IP地址。EAP提供了它自己支持的重复性淘汰和转发，但是在较低层排序保证自力更生。EAP本身不支持碎片，然而单独的EAP方法可能支持这个。本文档替代了RFC2284.本文档和RFC2284更改的总结在附录A中体现。目录概要引言本文档定义了扩展认证协议，一个支持多路认证方法的认证框架。EAP通常直接运行在数据链路层，例如点对点协议或者是IEEE802,不需要IP地址。EAP提供了它自己支持的重复性淘汰和转发，但是在较低层排序保证自力更生。EAP本身不支持碎片，然而单独的EAP方法可能支持这个。EAP可用于专用的链接，以及开关电路和有线和无线链路。到目前为止，EAP已经通过连接交换电路或拨号链路使用PPP协议，实施在主机和路由器上。同时也通过使用IEEE802协议，应用在交换机和接入点。在IEEE802有线媒体封装的EAP在IEEE802.1X中得以描述，并且在IEEE无线局域网中封装，由IEEE802.11i描述。EAP架构的优势之一就是它的灵活性。EAP是用来选择一个专门的认证机制，通常是在验证请求需要更多的信息来确认专门的认证方法被使用，而不是需要验证者需要更新来支持每个新的验证方法，EAP允许使用后台认证服务器，他可以实现一些或所有认证方法，当认证者为部分或所有的方法和对等体作为一个传递。在这个文件中，不论是否认证者作为一个传递，认证要求都要申请。凡要求是为了适用于认证或者后台认证服务器，这取决于EAP认证在哪里被终止，EAP服务器将被使用。要求说明书术语本文档经常使用下列词语：认证器：启动EAP认证链路的终端。认证器这个属于被使用在IEEE802.1X，在本文档中拥有相同的含义。对等体：回应认证器的链路终端。在IEEE802.1X中，这个终端被认为是请求者。请求者:在IEEE802.1X中，链路终端回应认证器。在本文档中，这个链路终端被称为对等体。后台认证服务器：一个后台认证服务器是一个提供认证服务给认证器的实体。当被使用时，这个服务器通常为认证器执行EAP方法。这个术语也被使用在IEEE802.1X。AAA：认证，授权和计费。带有EAP的AAA协议支持包括RADIUS和Diameter。在这个文档中，AAA服务器和后台认证服务器这两个术语可交换使用。可显示的信息：这被翻译成人类可读的字符串。这个信息便把必须跟从UTF-8转换格式。EAP服务器：终止带有对等体的EAP认证方法的实体。在没有后台认证服务器可以被使用这种情况下，EAP服务器是认证器的一部分。在认证器工作在传递模式的情况下，EAP服务器位于后台认证服务器。丢弃：这意味着落实丢弃包不需要进一步的处理。执行中还应该提供记录事件的能力，包括默默的丢弃数据包的内容，和应该在一个统计记录其中记录这个事件。成功认证：在本文档中，成功认证是一个EAP消息的交换，作为认证器决定允许对等体访问和对等体决定访问的结果。认证器的决定通常包括认证和授权两个方面；对等体可能成功的向认证器认证，但是访问可能由于政策原因被认证器拒绝。消息完整性检查：主要的哈希函数用于认证和数据完整性保护。这常常被称为消息验证码，但是IEEE802规范使用MIC简称来防止和媒体访问控制这个词语相混淆。加密分离：两个密码（x和y）是独立的加密，如果对手知道了在协议交换中所有的信息，也不能进行破密，即从X中计算出Y，或者从Y中计算出X。特别是，这个定义允许对手以明文的形式发送随机数，作为该协议中使用的所有可预见的计数器的值。换句话说，如果密钥是单独加密的，就没有捷径来从Y中分离出X或从X中分离出Y，但是对手必须执行此计算，相当于执行一个详尽搜索秘密状态值。主会话密钥（MSK）：密钥材料是从EAP对等体和服务器间获取，通过EAP方法输出。MSK至少是64字节长度。在现有的实现中，一个AAA服务器作为一个EAP服务器来传送MSK到认证器。扩展的主会话密钥：附加的密钥材料从EAP客户端和服务器间获取，通过EAP方法输出。EMSK至少64字节的长度。EMSK不与认证器或其他第三方共享。EMSK是为将来使用的，现在还没有定义。结果标志：一个提供结果标志的方法，如果方法的最后信息被发送或者接受：对等体知道他是否认证了服务器，还有是否服务器认证了它。服务器知道是否它认证了对等体，还有事都对等体认证了他。在这种情况下，成功的认证足够获得访问批准，于是对等体和认证器将会知道另外一方是否