可扩展认证协议-EAP

可扩展认证协议

目 录

1可扩展认证协议（EAP）

1. 1.1 EAP-MD5
2. 1.2 EAP-TLS

1可扩展认证协议（EAP）

可扩展认证协议（Extensible authentication protocol，EAP）是一个第二层处理过程，允许网络对无线客户端进行认证。有两种EAP:一种用于无线网路，另一种用于LAN连接，通常称为 EAP over LAN(EAPoL)。无线环境中的一个问题是要允许WLAN设备与AP 后面的设备进行通信。有3个标准定义了此过程：EAP,802.1x和远程认证拨入用户服务（Remote authentication dial in user service, RADIUS ）。EAP定义了标准的认证信息封装方法，如AP用于对用户进行认证的用户名和密码和数字证书。EAP本质上是点对点协议（PPP）的扩展，第一种EAP是EAP-MD5，它使用挑战握手认证协议（challenge handshake authentication protocol, CHAP）进行认证，下面是一些EAP扩展（介绍其中EAP-MD5和EAP-TLS）。

EAP-MD5

支持使用CHAP和静态密码进行认证；

EAP-TLS

支持使用x.509v3数字证书进行认证；

802.1x和 RADIUS 定义了如何打包EAP信息，从而在网络上传输这些信息。 下图中显示了所使用的3中标准。802.1x描述了客户端（通常称为请求者）如何将EAP信息传输到网络访问设备（认证者）。网络访问设备可以是AP,交换机，路由器，VPN网关等。认证者使用RADIUS 协议将这些信息传输到认证服务器，改服务器会确认此请求者是否可以访问网络。注意，认证者处通常没有本地定义的用户凭据，它通常在认证服务器上查找此内容。 ^[1]