扩展认证协议.doc

扩展认证协议 RFC3748 这个备忘录的状态 本文档明确描述了互联网社区的一个互联网标准跟踪协议，需要进一步进行讨论和改善的 建议，请参考最新的“互联网官方协议标准”国家标准化。这个备忘录的发布是不受限制的。 版权通知 摘要 本文档定义了 EAP扩展认证协议，一个支持多种认证方法的认证框架。EAP通常直接运行 在数据链路层，利于PPP协议或者IEEE802,不需要IP地址。EAP提供了它自己支持的重复性 淘汰和转发，但是在较低层排序保证自力更牛。EAP本身不支持碎片，然而单独的EAP方法可 能支持这个。 本文档替代了 RFC2284.本文档和RFC2284更改的总结在附录A屮体现。 FI录概要 ? 引言 本?档定义了扩展认证协议，一个支持多路认证方法的认证框架。EAP通常直接运行在数 据链路层，例如点对点协议或者是IEEE802,不需要IP地址。EAP提供了它自己支持的重复性 淘汰和转发，但是在较低层排序保证口力更牛。EAP本身不支持碎片，然而单独的EAP方法可 能支持这个。 EAP nJ用于专用的链接，以及开关电路和有线和无线链路。到FI前为止，EAP已经通过连 接交换电路或拨号链路使用PPP协议，实施在主机和路由器上。同时也通过使用IEEE802协议， 应用在交换机和接入点。在IEEE802有线媒体封装的EAP在IEEE802. IX屮得以描述，并且在 IEEE无线局域网中封装,由IEEE802. lli描述。 EAP架构的优势之一就是它的灵活性。EAP是用来选择一个专门的认证机制，通常是在验 证请求需要更多的信息來确认专门的认证方法被使用，而不是需要验证者需要更新來支持每个 新的验证方法，EAP允许使用后台认证服务器，他可以实现一些或所有认证方法，当认证者为 部分或所有的方法和对等体作为一个传递。 在这个文件屮，不论是否认证者作为一个传递，认证要求都要中请。凡要求是为了适用于 认证或者后台认证服务器，这取决于EAP认证在哪里被终止，EAP服务器将被使用。 1.1要求说明书 1.2术语 本文档经常使用下列词语： 认证器：启动EAP认证链路的终端。认证器这个属于被使用在IEEE802. IX,在本文 档屮拥有相同的含义。 对等体：回应认证器的链路终端。在TEEE802. 1X?|,这个终端被认为是请求者。 请求者:在IEEE802. 1X?|?,链路终端回应认证器。在本文档小，这个链路终端被称 为对等体。 后台认证服务器：一个后台认证服务器是一个提供认证服务给认证器的实体。当被 使用吋，这个服务器通常为认证器执行EAP方法。这个术语也被使用在IEEE802. IX。 AAA：认证，授权和计费。带有EAP的协议支持包括RADIUS和Diameter。在这 个文档中，AAA服务器和后台认证服务器这两个术语可交换使用。 可显示的信息：这被翻译成人类可读的字符串。这个信息便把必须跟从UTF-8转换 格式。 EAP服务器：终止带有对等体的EAP认证方法的实体。在没有后台认证服务器可以被 使用这种情况下，EAP服务器是认证器的一部分。在认证器工作在传递模式的情况下, EAP服务器位于后台认证服务器。 丢弃：这意味着落实丢弃包不需要进一步的处理。执行屮还应该提供记录事件的能 力，包括默默的丢弃数据包的内容，和应该在一?个统计记录其屮记录这个事件。 成功认证：在本文档屮，成功认证是一个EAP消息的交换，作为认证器决定允许对 等体访问和对等体决定访问的结果。认证器的决定通常包括认证和授权两个方而； 对等体可能成功的向认证器认证，但是访问可能由于政策原因被认证器拒绝。 消息完整性检查：主要的哈希函数用于认证和数据完整性保护。这常常被称为消息 验证码，但是TEEE802规范使用MTC简称来防止和媒体访问控制这个词语相混淆。 加密分离：两个密码（x和y）是独立的加密，如果对手知道了在协议交换屮所有的 信息，也不能进行破密，即从X屮计算岀Y,或者从丫中计算岀X。特别是，这个定 义允许对手以明文的形式发送随机数，作为该协议屮使用的所有可预见的计数器的 值。换句话说，如果密钥是单独加密的，就没有捷径来从Y屮分离出X或从X屮分 离出Y,但是对手必须执行此计算，相当于执行一个详尽搜索秘密状态值。 主会话密钥（MSK）：密钥材料是从EAP对等体和服务器间获取，通过EAP方法输出。 MSK至少是64字节长度。在现有的实现小，一个AAA服务器作为一个EAP服务器来 传送MSK到认证器。 扩展的主会话密钥：附加的密钥材料从EAP客户端和服务器间获取，通过EAP方法 输出。EMSK至少64字节的长度。EMSK不与认证器或其他第三方共亨。EMSK是为将 來使用的，现在还没有定义。 结果标志：一个提供结果标志的方法，如果方法的最后信息被发送或者接受： 1） 对等休知道他