EAP协议的结构

发布网友发布时间：2022-04-25 22:52

共1个回答

热心网友时间：2022-06-18 10:00

EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证，远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型：MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型，其使用与基于 PPP 的 CHAP 相同的质询/握手协议，但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 VPN 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证，则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-RADIUS
EAP-RADIUS 并不是一种 EAP 类型，但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器，以便进行身份验证。例如，将 ISA 服务器配置为用于 RADIUS 身份验证时，将封装在远程 VPN 客户端和 ISA 服务器之间发送的 EAP 消息，并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。
EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型，只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中，只需要在 ISA 服务器上安装 EAP 类型。
EAP协议帧结构
802.1x协议在实现整个认证的过程中，其三个关键部分（客户端、认证系统、认证服务器）之间是通过不同的通信协议进行交互的，其中认证系统和认证服务器之间是EAP报文。
EAP帧结构如下表所示：字段字节 Code 1 Identifier 2 Length 3-4 Data 5-N EAP帧格式中各字段含义如下：字段占用字节数描述 Code 1个字节表示EAP帧四种类型：1．Request；2．Response
3．Success；4．Failure Identifier 1个字节用于匹配Request和Response。Identifier的值和系统端口一起单独标识一个认证过程 Length 2个字节表示EAP帧的总长度 Data 0或更多字节表示EAP数据其中Code的取值如下：
1：Request
2：Response
3：Success
4：Failure

参考：EAPoL协议
802.1x协议定义了一种报文封装格式，这种报文称为EAPoL（EAP over LANs局域网上的扩展认证协议）报文，主要用于在客户端和认证系统之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。
标准EAPoL帧结构如下表所示：字段字节PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL帧格式中各字段含义如下：字段占用字节描述 PAE Ethernet Type 2个字节表示协议类型，802.1x分配的协议类型为888E Protocol Version 1个字节表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001 Packet Type 1个字节表示传送的帧类型，如下几种帧类型：
a) EAP-Packet.值为 0000 0000
b）EAPOL-Start.值为0000 0001
b) EAPOL-Logoff.值为0000 0010 Packet Body Length 2个字节表示Packet Body的长度 Packet Body 0/多字节如果Packet Type为EAP-Packet,取相应值。对于其他帧类型，该值为空。 EAPOL帧在二层传送时，必须要有目标MAC地址，当客户端和认证系统彼此之间不知道发送的目标时，其目标MAC地址使用由802.1x协议分配的组播地址01-80-c2-00-00-03。