8021x扩展认证协议

《8021x扩展认证协议》由会员分享，可在线阅读，更多相关《8021x扩展认证协议（29页珍藏版）》请在装配图网上搜索。

1、扩展认证协议RFC3748这个备忘录的状态本文档明确描述了互联网社区的一个互联网标准跟踪协议，需要进一步进行讨论和改善的 建议，请参考最新的“互联网官方协议标准”国家标准化。这个备忘录的发布是不受限制的。 版权通知 摘要本文档定义了 EAP扩展认证协议，一个支持多种认证方法的认证框架。EAP通常直接运行 在数据链路层，利于ppp协议或者IEEE802,不需要IP地址。EAP提供了它自己支持的重复性 淘汰和转发，但是在较低层排序保证自力更生。EAP本身不支持碎片，然而单独的EAP方法可 能支持这个。本文档替代了 RFC2284.本文档和RFC2284更改的总结在附录A中体现。 目录概要1.引言本

2、文档定义了扩展认证协议，一个支持多路认证方法的认证框架。EAP通常直接运行在数 据链路层，例如点对点协议或者是IEEE802,不需要IP地址。EAP提供了它自己支持的重复性 淘汰和转发，但是在较低层排序保证自力更生。EAP本身不支持碎片，然而单独的EAP方法可 能支持这个。EAP可用于专用的链接，以及开关电路和有线和无线链路。到目前为止，EAP已经通过连 接交换电路或拨号链路使用PPP协议，实施在主机和路由器上。同时也通过使用IEEE802协议， 应用在交换机和接入点。在IEEE802有线媒体封装的EAP在IEEE802.1X中得以描述，并且在 IEEE无线局域网中封装，由IEEE802.11

3、i描述。EAP架构的优势之一就是它的灵活性。EAP是用来选择一个专门的认证机制，通常是在验 证请求需要更多的信息来确认专门的认证方法被使用，而不是需要验证者需要更新来支持每个 新的验证方法，EAP允许使用后台认证服务器，他可以实现一些或所有认证方法，当认证者为 部分或所有的方法和对等体作为一个传递。在这个文件中，不论是否认证者作为一个传递，认证要求都要申请。凡要求是为了适用于 认证或者后台认证服务器，这取决于EAP认证在哪里被终止，EAP服务器将被使用。1.1要求说明书1.2术语本文档经常使用下列词语：认证器：启动EAP认证链路的终端。认证器这个属于被使用在IEEE802.1X，在本文 档中拥

4、有相同的含义。对等体：回应认证器的链路终端。在IEEE802.1X中，这个终端被认为是请求者。请求者:在IEEE802.1X中，链路终端回应认证器。在本文档中，这个链路终端被称 为对等体。后台认证服务器：一个后台认证服务器是一个提供认证服务给认证器的实体。当被 使用时，这个服务器通常为认证器执行EAP方法。这个术语也被使用在IEEE802.1X。AAA:认证，授权和计费。带有EAP的AAA协议支持包括RADIUS和Diameter。在这 个文档中，AAA服务器和后台认证服务器这两个术语可交换使用。可显示的信息：这被翻译成人类可读的字符串。这个信息便把必须跟从UTF-8转换 格式。EAP服务器：

5、终止带有对等体的EAP认证方法的实体。在没有后台认证服务器可以被 使用这种情况下，EAP服务器是认证器的一部分。在认证器工作在传递模式的情况下， EAP服务器位于后台认证服务器。丢弃：这意味着落实丢弃包不需要进一步的处理。执行中还应该提供记录事件的能 力，包括默默的丢弃数据包的内容，和应该在一个统计记录其中记录这个事件。成功认证：在本文档中，成功认证是一个EAP消息的交换，作为认证器决定允许对 等体访问和对等体决定访问的结果。认证器的决定通常包括认证和授权两个方面； 对等体可能成功的向认证器认证，但是访问可能由于政策原因被认证器拒绝。消息完整性检查：主要的哈希函数用于认证和数据完整性保护。这常

6、常被称为消息 验证码，但是IEEE802规范使用MIC简称来防止和媒体访问控制这个词语相混淆。加密分离：两个密码（x和y）是独立的加密，如果对于知道了在协议交换中所有的 信息，也不能进行破密，即从X中计算出Y，或者从Y中计算出X。特别是，这个定 义允许对于以明文的形式发送随机数，作为该协议中使用的所有可预见的计数器的 值。换句话说，如果密钥是单独加密的，就没有捷径来从Y中分离出X或从X中分 离出Y，但是对于必须执行此计算，相当于执行一个详尽搜索秘密状态值。主会话密钥（MSK）：密钥材料是从EAP对等体和服务器间获取，通过EAP方法输出。MSK至少是64字节长度。在现有的实现中，一个AAA服务器

7、作为一个EAP服务器来 传送MSK到认证器。扩展的主会话密钥：附加的密钥材料从EAP客户端和服务器间获取，通过EAP方法 输出。EMSK至少64字节的长度。EMSK不与认证器或其他第三方共享。EMSK是为将 来使用的，现在还没有定义。结果标志：一个提供结果标志的方法，如果方法的最后信息被发送或者接受：1）对等体知道他是否认证了服务器，还有是否服务器认证了它。2）服务器知道是否它认证了对等体，还有事都对等体认证了他。在这种情况下，成功的认证足够获得访问批准，于是对等体和认证器将会知道另 外一方是否提供或者接受访问。也可能不经常是这种情况。一个认证的对等体可 能被拒绝访问，由于缺少授权或者其他的原

8、因。既然EAP交换是在对等体和服务 器间运行的，其他节点也可能影响到授权的决定。这在7.16中被详细的讨论。1.3适用性EAP被设计用来使用在网络访问认证上，IP层连通性到达不了的地方。将EAP用 于其他用途，例如块数据传输是不被建议的。由于EAP不需要IP连通性，它仅仅为认证协议的可靠传输提供了足够的支持，其 余的什么也没有。EAP是锁步协议，它仅仅支持传输中一个独立的数据包。因此，EAP不能够有效的 传输块数据，不像传输层协议例如TCP或STCP。虽然EAP为转发提供了支持，它假定排序保证较低层提供，所以发生故障的接收 是不被支持的。由于EAP不支持分裂和重组，EAP认证方法产生的有效载荷

9、大于EAP MTU需要提供 分裂支持的最小值。由于认证方法例如EAP-TLS为分裂和重组提供支持，在本文档中EAP方法不支持。因此，如果EAP数据包的大小超出了 EAP链路的MTU，这些方法将会遇到困难。EAP认证是由服务器发起的，而很多认证协议是由客户端发起的，因此，为了运行 EAP，认证算法增加一两个额外的信息是必要的。凡基于证书的认证都是支持的，由于证书链的支离破碎，大量的额外往返可能更 大。一般来说，一个分裂的EAP数据包由于有碎片，将需要很多的往返包来发送。 例如，一个认证链的大小是14960个字节，将需要10个往返来发送一个1496自己 大小的EAP MTU。EAP运行在较低层的地

10、方很多数量的包发生丢失，或者在认证器和认证服务器之间 的连接处大量的包丢失也发生，EAP方法需要很多往返可能有些困难。在这种情况下， 使用较少往返的EAP方法是可取的。2 扩展认证协议EAP认证交换过程如下：1 认证器发送了一个请求来认证对等端。这个请求有一个类型字段来指出什么正在被请 求。请求的例子包括身份、MD5的挑战等。MD5挑战的类型与CHAP认证协议对应密切。 通常情况下，认证器将发送一个最初的身份认证请求，然而，一个最初的身份请求是 不需要的，可能被掠过。例如，在对等端已经确定连接到端口时，或身份被另外的方 式获得时，身份就不需要了。2 对等端发送一个回应包来回复合法的请求。和请求

11、包一样，回应包包含了一个类型字 段，与请求的类型字段相对应。3 认证器返送一个附加的请求包，对等体回复一个数据包。请求和回复的序列继续和需 要的一样长。EAP是一个锁步协议，因此除了初始请求外，一个新的请求不能够在收 到有效相应之前被提前发送。认证器像4.1节描述的那样，对重传请求包有责任。经 过适当数量的转发后，认证器应该结束EAP谈话，认证器不能够发送成功或者失败数 据包，当重传或它没有从对等端收到回应。4 通信继续知道认证器不能认证对等端，在这种情况下，必须发送一个EAP失败。或者， 认证谈话继续直到认证成功认证，在这种情况下，认证器必须发送一个EAP成功。优点： EAP协议能够支持多种

12、认证方法，不需要预谈判一个特殊的。网络访问服务器设备不需要理解每个认证方法，也不需要为后台认证服务器作中继代 理。支持中继是可选的。一个认证器可能认证本地对等端，同时为非本地对等端作为 中继，认证方法可能不会当地完成。 认证器和后台认证服务器相离简化了证件管理和政策的制定。缺点： 在PPP中使用EAP，需要增加一个新的认证类型到PPP LCP，因此PPP需要更改以使用 它。它也脱离了从前的成功通过一个专门的认证方法的PPP认证模型。同样，交换机 或无线接入点的实现EAP协议需要支持IEEE802.1X。 认证器和后台认证服务器分开，它使安全性分析复杂化，如果需要的话，密钥分配也 复杂化了。2.

13、1 支持序列EAP会话可能利用各种方法。一个典型的例子就是在一个独立的EAP认证方法例如 MD5挑战后跟着身份请求。然而，在一个EAP会话中，对等端和认证器必须使用一种 认证方法，之后认证器必须发送。一旦对等端发送和初始请求包一样类型的回应包，认证器在一个给定的方法必须 完成最后一轮前必须不能发送请求一个不同类型的请求包，也不能在初始认证方法 完成之前，为额外的任意类型的方法发送请求包；一个对等体收到这样的请求包必 须把它们作为非法的，默默的丢弃他们。因此，身份请求是不支持的。对等体必须不能为回复请求包发送一个NaK，在初始non-NaK回应被发送之后。由 于伪造的EAP请求包可能被攻击者发送

14、出去了，认证器收到意外的NaK时应该抛弃它并且记录这件事情。在EAP会话中多路认证方法不支持，因为他们容易受到中间人的攻击，并与现有 的实现不兼容。单独的EAP认证方法被使用，但是其他的方法在它之中运行（一个隧道方法），禁 止多路认证方法不提供。这种隧道方法显示为一种单独的认证方法的EAP。可提供后 向兼容，因为一个对等体不能支持用NaK回复初始EAP请求的隧道方法。2.2 EAP多路传输模型从概念上讲，EAP的实施包括以下部分：a）较低层。较低层负责在对等体和认证器之间转发和接受EAP帧。EAP已经在各类 的较低层上运行，例如PPP，有限IEEE802有限网络，IEEE802.11无线局域网

15、， UDP和IKEv2，TCP。较低层的表现在第3节中讨论。b）EAP层。EAP层通过较低层收到和转发EAP数据包，完成重复检测和转发，同时 从EAP对等体和认证层传递和接受EAP信息。c）EAP对等体和认证层。在代码字段的基础上，EAP层多路分离输入EAP数据包到 EAP对等体和认证层。通常情况下，一个EAP在给定的主机上实施，将会支持不 论是对等体或者认证功能。但是对于一个主机来说，扮演一个EAP对等体和认证 器来说是有可能的。在这样下，EAP对等体和认证层都将会出现。d）EAP方法层。EAP方法通过EAP对等体和认证层完成认证算法和接收转发EAP信 息。由于EAP本身不支持破裂，现在这是

16、EAP方法的责任，这将在第5节中被讨 论。EAP多路传输模型在下图一种说明。注意这里没有请求必须遵守这个模型，只要上 了线的行为与它保持一致就行。EAP方法 EAP方法 类型二X 类型二YEAP方法 EAP方法 类型二X 类型二YEAP对等层EAP认证层EAP层EAP层较低层较低层对等图表1:EAP多路传输模型认证在EAP中，代码字段功能很像在IP中的协议数字。假定EAP层根据代码字段多路 分离传入的EAP数据包。接收到的EAP数据包（代码=1，3成功和4失败）被EAP 层传到EAP的对等层。带有代码=2 （回应）的EAP数据包被传送到EAP认证层。在EAP中，类型字段功能更像在UDP或TCP

17、中的端口号码。假定EAP对等层和认 证层根据他们的类型多路分离输入的EAP数据包，同时根据类型将他们传递给EAP 方法。在一台主机上用EAP方法实施注册，根据他所支持的角色，决定从对等层或 者认证层，或者两个都是收取数据包。既然EAP认证方法可能获取身份，要实现应该是除了身份方法外，身份请求和回 应被认证方法可接受。标识类型将会在5.1节讨论。一个通知的回复仅仅被作为确定对等层接收到通知请求，不是它已经处理，或者 向使用者显示信息。它不能假定通知请求或回复的内容对另外一种方法也合法。通知类型将在5.2节讨论。NaK或者扩展的NaK都是用于谈判的目的。对等层为一个带有NaK响应或者扩展 NaK响

18、应的不可接受类型响应初始的EAP请求.它不能假定NaK响应的内容是另一种 方法可用的。NaK类型将在5.3节被讨论。带有成功或失败代码的EAP数据包不包括类型字段，也不被传送到一个EAP方法。 成功和失败将在第4.2节中讨论。鉴于上述考虑，成功，失败，NaK响应和通知请求/回应信息必须不能用在承载注 定要发送到其他EAP方法的数据。2.3传递行为当作为一个传递认证器时，认证器检查代码，身份，字段长度，在4.1节描述的那 样。它把从对等端收到的EAP数据包，派定到认证层发送到后台认证服务器；从后 台认证服务器接收到的数据包发送到对等体。一个主机收到EAP后仅仅可能做下列三件事情中的一件：执行它，

19、丢弃它，继续 传送。继续传送的决定通常是根据检查后的代码，身份和字段长度。一个传递性认 证器必须能够把从带有代码二2的对等体收到的EAP数据包发送给后台认证服务器。 它也必须能够从后台认证服务器收到EAP数据包，并且将代码二1，代码=3，代码二4 的EAP数据包传递给对等层。除非认证器完成一个或多个支持认证作用的本地认证方法，EAP方法层包头字段作 为转发决策的一部分不被检查。当认证器支持本地认证方法，它可能检查类型字段 来决定是否执行这个数据包或者转发这个数据包。符合传递性认证的操作，必须默 认转发任何类型的EAP数据包。带有代码二1（请求），代码二3 （成功），以及代码二4（失败）的EAP

20、数据包被EAP 层多路分离，并且被传送到对等层。因此，除非一个主机实现EAP对等层，这些数 据包将会被默默的丢弃掉。同样的。接收到代码二2的EAP数据包也会被EAP层多路 分离，并且被传送到认证层。因此，除非主机实现EAP认证层的功能，这些数据包 将会被丢弃。传递性对等层的行为在这个说明中没有被定义，并且像 RADIUS和 Diameter这些AAA协议不支持。转发模型在图2中被说明：+一+一+一+一+|EAP method | |EAP method | I V | | ” | +-+-+-!-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-!-+-+-+

21、 | ! | |EAP | EAP | | | ! | | ! | |Peer | Auth.| EAP Auth. | | ! | |EAP ! peer| | | + | |EAP !Auth.| | ! | | | ! | ! | | ! | +-+-+-!-+-+-+ +-+-+-+-!-+-+-+-+-+-!-+-+-+-+ +-+-+-!-+-+-+ | ! | | ! | ! | | ! | |EAP !layer| | EAP !layer| EAP !layer | |EAP !layer| | ! | | ! | ! | | ! | +-+-+-!-+-+-+ +-+-+-

22、+-!-+-+-+-+-+-!-+-+-+-+ +-+-+-!-+-+-+ | ! | | ! | ! | | ! | |Lower!layer| | Lower!layer| AAA ! /IP | | AAA ! /IP |I ! I I ! I ! I I ! I+-+-+-!-+-+-+-+-+-+-!-+-+-+-+-+-!-+-+-+-+-+-+-!-+-+-+!+图表2：传递性认证器在本章节中，认证器作为一个传递性，它必须确定唯一的认证结果，基于后台认 证服务器发送的接收/拒绝指示；输出必须不能被接收/拒绝一起发送的EAP数据包的 内容确定，或者缺失的这样压缩EAP数据包。2.4

23、点对点对等操作由于EAP是点对点对等协议，独立和同步认证可能发生在相反的方向上。两个链 路的终端可能同时作为认证器和对等端。这种情况下，两个终端都必须实施EAP认 证器和对等层。另外，在两个节点的EAP方法的实现必须同时支持验证和对等的功 能。虽然EAP支持点对点的对等行动，一些EAP的实现，方法，AAA协议和链路层可 能不支持这个。一些EAP方法可能支持不对称的认证，对等体请求的证书类型和认 证器的另一种类型。使用这样一个方法的支持点对点对等操作的主机将需要预备两 种证书类型。例如，EAP-TLS是一种客户-服务器协议，其中不同的证书配置文件通常是用于客户 端和服务器。这意味了主机用EAP-

24、TLS，支持点对点对等认证需要实现EAP对等体和 认证层，同时支持对等层和在EAP-TLS实施过程中的认证作用，还要为每个功能预备 合适的证书。AAA协议像RADIUS/EAP和Diameter EAP仅仅支持传递性认证操作。像在2.6.2中 说明的那样，一个RADIUS服务器对访问请求回应一个压缩了 EAP请求，成功或失败 的访问拒绝包。因此这里不支持传递式对等操作。即使是一种相互支持认证和结果标志的方法被使用，一些因素可能会要求，两种 EAP认证（每个方向上）被请求。主要有：1 在较低层支持双向会话密钥派生。较低层像IEEE802.11可能只支持单向派生和 传输临时会话密钥。例如，组密钥握

25、手定义在IEEE802.11i是单向的，因为在 IEEE802.11结构模型中，只有访问点发送多播/广播信息。在IEEE802.11ad hoc 模型中，对等体可能发送多播/广播流量，请求两个单向组密钥交换。由于设 计的限制，这同样意味了单向密钥派生的需要和EAP方法交换发生在每个方向。2 在较低层中支持打破僵局。较低层像IEEE802.11adhoc不支持打破僵局，当两 个主机相互初始认证时，将仅仅转送一个单独的认证。这意味着，虽然802.11 支持双向组密钥握手，然后两个认证，每个方向一个，仍可能会发生。3 对等体政策补偿。EAP方法可能支持结果标志，使对等体能够用这种方法说明 EAP服务

26、器，它将成功的认证EAP服务器，同时服务器将表明它也认证了对等 体。然而，传递性认证将不会得知对等体已经接受了 EAP服务器提供的证件， 除非这个信息通过AAA协议提供给了认证器。认证器应该解释接收数据包中 的密钥属性，作为对等体成功认证服务器的信息显示。然而，即使相互认证发生了，EAP对等体的访问策略在初始EAP交换时不被满足，。 例如，EAP认证器可能不会证明授权同时担任对等端和认证器的作用。因此，对等体 可能需要在相反方向上加额外的认证，即使对等体提供指示，EAP服务器成功的认证。3 较低层行为3.1较低层请求EAP对较低层有如下的假设：1 不可靠的传输。在EAP中，认证器转发请求还没有

27、接收到回应，因此EAP不 能假定较低层是可靠的。由于EAP定义了他自己的转发行为，当EAP运行在 可靠的较低层时，转发是有可能发生在当前层和EAP层。注意，EAP成功和失败数据包不被转发。没有可靠的较低层和不可忽略的 错误比例，这些数据包可能丢失，导致时延。因此提高丢失EAP成功或失败数 据包的弹性是有利的，就像4.2节中说的那样。2 较低层错误检测。当EAP不能假定较低层是可靠的，它将依赖于较低层错误检 测。EAP方法可能不包括一个MIC，或者他们可能不计算EAP数据包的所有字 段，像代码，身份，长度或类型字段。因此，没有较低层错误检测，不可预料 的错误将会进入EAP层或者是EAP方法层的包

28、头字段，导致认证失败。例如，EAP TLS，它仅仅通过类型数据字段计算出它的MIC，把MIC确认失败 当作致命性的错误。没有较低层错误检测这个方法和其他类似的方法，较低层 将不会可靠。3 较低层安全。EAP不会请求较低层去提供安全服务，像是每个数据包保密性， 认证，整型和重放保护。然而，当这些安全服务合法时，EAP方法支持密钥派 生，能够用于提供动态密钥生成的材料。这将把EAP认证绑定到随后的数据上， 同时保护数据不被修改，欺骗和重放。详细请见7.1节。4 最小MTUoEAP可以在较低层运行，提供一个1020字节甚至更大的EAP MTU。EAP不支持MTU路径发现和分裂，也不支持重组。同样在本

29、说明书中定义的 其他方法也不支持。身份，消息，NaK回应，MD5挑战，临时密码，种类令 牌卡，扩展的NaK响应类型。通常，EAP对等体包含关于从较低层来的EAP MTU信息，并设定EAP帧大 小为合适的值。当认证器实施在传递性模式时，认证服务器没有直接的方法来 确认EAP MTU，因此依赖于认证器提供这项信息，像是通过MTU帧属性，在 2.4节描述的那样。当像EAP-TLS方法支持分裂和重组时，EAP方法本来是设计为使用在PPP 中一个1500字节的MTU保证为控制帧，可能没有分裂和重组特征。EAP方法能够假定一个最小的1020字节的EAP MTU没有其他的信息。EAP 方法应该包括支持分裂和

30、重组，如果他们的有效载荷比这个最小的EAP MTU 大。EAP是一个锁步协议，当处理分裂和重组时，它意味了一个不可避免无效 性。因此，如果较低层支持分裂和重组，那么分裂和重组发生在较低层比在 EAP中会更好。通过提供一个认为的大EAP MTU给EAP，导致分裂和重组在较 低层中实现。5 可能的重复。当较低层可靠时，它将提供EAP层一个不重复的数据流。然而， 当较低层提供无重复时，而不是请求时，这是有利的。身份字段向对等体和认 证器都提供检查重复的能力。6 排序保证。EAP不需要身份单调的增加，这在较低层正确操作的排序保证是可 保证的。EAP本来是定义运行在PPP上，同时第一节有排序请求：“点对

31、点对等协议是为两个对等体之间的简单链路传送数据包设计。这些链路提供了全双工的同步的双向操作，被假定按顺序传递数据包。” 较低层为EAP传递必须维持源地址和目的地之间的秩序。重新排序，如果这个发生的话，通常会导致EAP认证失败，导致EAP认证 重新开始。在重新排序这种环境下，EAP认证失败将会十分平常。EAP仅仅运 行在较低层提供排序保证;在原始的IP或UDP传送中运行EAP是不被推荐的。 在RADIUS中封装EAP满足了排序的需要，由于RADIUS是锁步协议，因此需 要按顺序发送数据包。3.2 EAP在PPP中使用为了通过点对点的链路建立通信，在链路建立阶段每个PPP链路的终端首先发送 LCP

32、数据包来配置数据链路。链路建立完毕后，在运行到网络层前，PPP提供一个可 选的认证。默认情况下，认证不是命令。如果每个链路的认证是要求的，在链路建立阶段， 必须要明确指定认证协议构造选项。如果对等体的身份在认证项中显示了，服务器能够为接下来的网络层谈判使用可 选选项的身份。当在PPP中实施时，EAP不能在PPP链路控制阶段选择一个具体的认证方法，宁 可推迟这个操作指导认证阶段。它允许认证器在确定专门的认证策略前请求更多的 信息。当PPP认证器仅仅通过认证交换时，允许使用实际上能使用各种方法的后台 服务器。PPP链路建立和认证阶段，和认证协议构造选项，被定义在PPP协议中。3.2.1 PPP构造

33、选项格式PPP认证协议构造选项格式后跟着EAP谈判。字段从左端传送到右端。准确的说，一个EAP数据包被压缩到一个PPP数据链路层帧的信息字段，协议字 段显示了类型。01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Length | Authentication Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

34、+-+-+-+-+-+-+-+-+-+-+-+Type3Length4Authentication ProtocolC277（Hex）forEAP3.3 在 IEEE802 中使用 EAP通过IEEE802压缩EAP被定义在IEEE802.1X。在IEEE802封装的EAP不包含 PPPJEEE802.1X不包含对链路的支持，或网络层的协商。因此，在IEEE802.1X中，不 可能通过非EAP的认证方法，例如PAP或CHAP。3.4较低层标志较低层标志的可靠性和安全性依赖于更低的层。由于EAP是媒体独立的，较低层 安全性的出现或缺席不会被考虑到EAP信息处理中。为了提高可靠性，如果一个对等体收

35、到较低层的成功标志消息，其被定义在7.2 节，它可能包括一个成功数据包已经丢失，和表现为已经收到一个成功数据包。这 包含在某些情况下选择忽略成功数据包，像是在4.2节描述的那样。关于在PPP较低层可靠性和安全性问题的讨论，IEEE802有线网络和IEEE802.11无 线局域网能够在安全性思考中找到，7.12节。在EAP认证结束后，对等体通常会通过认证器转发和接受数据。确保实体转发的 数据是相同的一个后，才算是成功的完成了 EAP认证。为了达到这个目的，较低层 必须提供每个包的完整性，认证和重放保护，还有在EAP认证阶段绑定这些数据包 的服务到派生的密钥上。除此之外，随后的数据流也有可能被修改

36、，欺骗和重演。较低层加密套接字的密钥材料本身由EAP提供的，加密套接字和密钥激活是由较 低层控制的。在PPP中，加密套接字在ECP中顺利通过，因此不可能使用从EAP认 证中派生的密钥，直到完成ECP。因此，一个初始的EAP交换不能由PPP加密套接字 保护，尽管EAP再次认证可能被保护。在IEEE802媒体中，初始的密钥激活通常发生在EAP认证之后。因此一个初始的 EAP交换通常不被较低层的加密套接字保护，尽管EAP的重新认证或预认证交换可能 被保护。4 EAP数据包格式EAP数据包格式由下图所示。这些字段从左到右传送。01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6

37、7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier |Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Data .+-+-+-+-+代码代码字段是一个字节，鉴定EAP数据包的类型。EAP代码被下列指派：1请求2回应3成功4失败由于EAP仅仅定义了代码1-4, EAP数据包其他的代码被认证器和对等端默默的丢弃。标识符标识符字

38、段是一个字节，用于匹配请求的回应。长度长度字段是两个字节，显示了长度，字节数，EAP数据包包含代码，标识符，长度和 数据字段。字节外的长度字段范围应该被当作数据链路层填料，一旦接受必须被忽略。 带有长度字段的消息的字节数大于接收到的字节数是，必须被默默的丢弃。数据数据字段是0字节或者更多的字节。数据字段的格式被数据字段确定。4.1 请求和回应描述请求数据包被认证器发送到对等端。每个请求都有一个类型字段，其中显示了被 请求的状态。额外的请求数据包必须被发送，直到合法的回应数据包被接收到，一 个可选的重试计数器到期，或者较低层失败显示被接受到了。转播请求在发送时必须带有相同的标识符，目的是为了与新

39、请求包相互区分。数 据字段的内容在请求类型中是独立的。对等端必须返送一个回应包，用来回应合法 的请求数据包。回应包必须被发送，当作回应合法的请求，同时不会在计时器没到时转发。如果一个对等体接收到合法的重复请求包时，他已经发送了一个回应包，它必须 重新发送自己的初始回应，不需要再次处理请求包。请求包在他们被接收到的时候 必须被处理，同时在检查下次请求时必须被处理。请求包和回应包的格式如下所示，这些字段从左到右发送。01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+

40、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier |Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Type-Data .+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-代码1请求2回应标识符标识符字段是一个字节。如果当等待回应时，请求数据包由于超时被转播，标 识符字段必须相同。任何新的请求必须修改标识符字段。回应包的标识符字段必须和当前未解决的请求包符合。认证器接收到一个回应 包时，标识

41、符不能符合当前未解决的请求包，必须丢弃。为了防止在新请求和转发之间混淆，每个新请求的标识符值应该和之前请求标 识符值不同，但是不需要在整个会话过程中是独一无二的。一个可以达到此目的 的方法就是开始时为标识符赋予初值，随后每个新的请求包的标识符值依次递增。 最好是开始的标识符值是随机的，而不是从零开始，因为它会导致序列攻击什么 的，变得很麻烦。由于标识符空间对每个字段来说是独一无二的，认证器没有被仅仅256个同步 认证会话所限制。同样的，当重新认证时，EAP会话可能持续一段很长的时间，他 与不会被仅仅限制在256个往返包中。注意事项：认证器负责转发请求信息。如果请求信息从其他地方获得，那么认 证

42、器将需要存储请求包的拷贝，为了达到这个目的。在用任何方法处理它们之前， 对等端负责探测和处理重复请求信息，包括把它们传送到外面。在执行它们之前， 认证器同样负责丢弃标识符值不符合的回应信息，包括为了查证传送他们到后台 认证服务器。由于认证器能在对等端接收到回应包之前转发数据包，认证器能够 接收到多路的回应包，每个都有一个合适的标识符值。直到一个新的请求信息被 认证器接受到，标识符的值不会被更新，因此认证器在同一时间将回应包传送给 后台认证服务器。长度长度字段是两个字节，显示了包含代码，标识符，类型和类型数据字段的EAP 数据包的长度。长度字段范围之外的字节应该被当作数据链路层的沉淀，同时一 旦

43、收到必须被忽略。带有长度字段的消息，如果长度值大于接收到的字节数，那 么必须被默默的丢弃。类型类型字段是一个字节。这个字段显示了请求包或回应包的类型。一个单独的类 型必须为每个请求包或回应包所具体描述。初始的类型说明书在本文档的第5小节中讨论。回应包的类型字段要么与请求包的类型相符合，要么与扩展的Nak相符合，他 显示了请求类型是不被对等端所接受的。对等端必须不能发送NaK作为请求包的 回应包，在初始non-NaK回应被发送后。EAP服务器没有满足这些请求而接收到回 应包时，必须丢弃到。类型数据类型数据字段随着请求包、回应包的类型而有不同的值。4.2成功和失败在EAP认证方法显示对等端已经成功

44、向认证器认证后，成功数据包被认证器发 送给对等端，。认证器必须传播代码字段为3的EAP数据包。如果认证器不能认证 对等端，那么在EAP方法不成功认证之后，必须传播一个代码字段为4的EAP数 据包。在发送失败回应之前，为了允许人为错误，认证器可能希望发出多路请求 包。成功和失败数据包不能包含其他的信息。如果给定方法的说明中没有明确允许这个方法在那个端点完成，成功和失败数 据包不能够被一个EAP认证器发送，。对等端EAP接收到成功或者失败数据包后， 若数据包不是明确允许必须丢弃。默认情况下，EAP对等端必须默默的丢弃一个包 装的成功数据包，这就保证了一个离散的认证器将不会绕开通过发送成功数据包 的

45、彼此认证，居先于EAP方法会话结论。注意事项：因为成功和失败数据包不被承认，它们没有被认证器转发，也可能丢 失了。一个对等体必须考虑到这个通知中的情形。查看3.4节作为参看，处理较低 层成功和失败的标志。像是在2.1节描述的那样，一个单独的EAP认证方法在EAP会话中被允许。EAP 方法可能实现结果标志。在认证器发送了一个失败结果信息给对等端后，忽略从 对等端传来的回应消息，它必须随后发送一个失败数据包，在认证器发送一个成 功结果信息给对等端，并且从对等端接收到成功结果信息后，他必须接着发送一 个成功数据包。在对等端，一旦方法实现的不成功（例如认证器发送了失败结果消息，或者对 等端决定她不想要

46、继续这个会话了），对等端必须终止这个会话并且对较低层显示 失败信息。对等端必须默默的丢弃成功数据包，并且可能丢弃失败数据包。因此， 丢弃失败数据包不会导致超时。在对等端，在成功结果标志被双方交换后，一个失败数据包必须被丢弃。对等 端可能，在这个事件中EAP成功数据包没有被接受，包括EAP成功数据包的丢失 和认证成功。如果认证器还没有发送一个结果标志信息，对等端将会继续这个会话，一旦这 个方法完成，对等端会等待一个成功或失败数据包，同时不能够丢弃其中的任何 一个数据包。如果成功或失败数据包一个也没有接收到，那么对等端应该终止这 个会话，以防止在数据包是EAP失败包的时候超时。如果对等端想要对认证

47、器认证，并且这样做失败了，那么认证器必须发送一个 失败数据包，并且不能通过发送一个成功数据包而获得访问。然而，认证器可能 忽略对等端在限制的访问已经获得的情况下得到了认证，在这种情况下，认证器 必须发送一个成功数据包。对等端成功向认证器认证，但是认证器没有发送结果标志信息，认证器可能通 过发送一个失败数据包拒绝访问，此时对等端不能够立马获得网络访问的资格。 成功和失败数据包的格式如下所示。字段从左到有传输。01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-

48、+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier |Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+代码：3成功4失败标识符：标识符字段是一个字节，用于匹配答复响应。标识符字段必须符合相应高的标 识符字段。长度：44.3转播行为由于认证过程往往包含用户输入，一旦转发策略和认证超时，必须慎重做一些 决定。默认情况下，在EAP运行在不可靠的较低层，EAP转发计时器应该被动态 的估计。建议最多转发3-5个。当运行在可靠的较低层时，认证器转发

49、计时器应该被设定一个无穷大的值，因 此在EAP层转发才不会发生。对等体可能坚持维持一个超时值，为了避免无限的 等待请求包。在认证过程需要用户数输入，测量往返时间可能取决于用于用户的反应而不是 网络的特点，因此动态的RTO估计可能不会有帮助。相反的，转发计数器应该被 设定，以使提供足够的时间为用户响应，在某些情况下需要较长的超时时间，例 如当令牌卡参与。为了给EAP认证器指导提供合适的超时值，一个线索可以被后台认证服务器传 递给认证器。为了动态的估计EAP转发计数器，SRTT,RTTVAR,RTO算法的评价在RFC2988中 描述，包括Karns算法的使用，和以下潜在的修改：a）为了避免在分布式

50、系统中固定计时器发生同步的行为，转发计时器通过使 用RTO值和随机在-RTOmin/2和RTOmin/2之间增加一个值，同抖动一起 被计算。另类计算器被使用来增加抖动。这些必须是伪随机的。关于伪随 机数的泰伦在RFC1750中描述。b）当EAP在一个的单独的链路上传输时，RTOinitial，RTOmin和RTOmax这些 较小的值被使用。推荐的数据是 RTOinitial=1秒，RTOmin=200毫秒， RTOmax=20 秒。c）当EAP在单独一条链路上传输时，估计在每个认证的基础上完成，而不是 基于每个会话的基础。这使得转播估计能最大的使用链路层上的行为信息。d）一个EAP的实施可能清

51、除SRTT和RTTVAR，在计时器后退好几次后，因为 它可能是当前的SRTT和RTTVAR，在这种情况下是伪造的。一旦SRTT和 RTTVAR被清零，它们应该被下一个RTT样本初始化，具体描述在RFC2988。5 初始EAP请求/回应类型这一小节定义了在请求/回应交换中使用的EAP类型设置。更多的类型可能被定义 在将来的文件中。类型字段是一个字节，并且标识了 EAP请求或回应数据包的结构。 之前的3个类型被当作是特殊的事件类型。存在的类型定义了认证交换。Nak或者扩展的Nak仅仅对回应数据包是合法的， 它们不能发送在请求包中。所有的EAP过程必须支持类型1-4,它们在本文档中被定义，同时也应该

52、支持类型 254。这些过程可能支持在此或将来的RFCs中定义的其他类型。1标识符2通知3 Nak4 MD5-挑战5 一次性密码6 GTC254扩展类型255实验性的使用EAO方法可能支持基于共享密钥的认证。如果共享的密钥是由用户输入的密码， 可以实现支持输入非ASCII类型的密码。在这种情况下，输入应该用一个合适的 stringprep配置文件来处理，同时用UTF-8编码来编写。一个可能的初稿stringprep配 置文件在SASLPREP中描述。5.1身份描述身份类型是用来询问对等端的身份。通常情况下，认证器将使用初始请求来解决 这个问题。可选的显示信息可能被列入提示对等端，在希望和用户互动

53、的情况下。 类型1的回应应该回复请求类型唯一的请求包。在一个NUL字符标识后，一些EAP实现背驼式各种选项加入身份请求。默认情况 下，EAP不应该假定身份请求或回应能大于1020字节。身份回应首先被用于路由目的和选择哪种EAP方法可用。EAP方法应该包括一个 为获得身份的专门方法，因此他们不需要依靠身份响应。身份请求和回应发送明文， 因此攻击者可以窥探身份信息，甚至更改或欺骗身份的交流。为了解决这些威胁， 最好是一个EAP方法中包含支持每个数据包认证的身份交换，完整性和重放保护， 保密性。身份响应对这个方法来说不是合适的身份；他可能已经用于路径目的。凡 对等端被配置为仅仅接受支持保护身份交换的

54、认证方法，对等端可能提供一个简短 的身份回应。进一步关于身份保护的讨论，请看7.3节。实施说明：对等端可能通过用户输入获得身份。在非法的身份认证失败和为了允 许部分用户输入错误的情况下，认证器已被建议重新尝试身份请求，。在终止认证之 前，身份请求应该至少尝试3次。通知请求可能被用于显示非法的认证请求，优先 于传输一个新的身份请求。（可选择的，失败可能在新的身份请求消息中显示） 类型1类型数据这个字段可能包含在请求中可显示的信息，包括UTF-8编码10646属性。请求包 中什么也没有，仅仅优先于空的字段的一部分被显示。如果身份是未知的，身份回 应字段应该是在长度上为0字节。身份回应字段不应该被无

55、效的终止。在所有的情 况下，类型数据字段的长度应该从请求/回应数据包中获得。安全需求（看7.2节）Auth. mechanism:NoneCiphersuite negotiation: NoMutual authentication:NoIntegrity protection:NoReplay protection:NoConfidentiality:NoKey derivation:NoKey strength:N/ADictionary attack prot.: N/A Fast reconnect:NoCrypt. binding:N/ASession independence:N

56、/AFragmentation:NoChannel binding:No5.2 通知描述通知类型是可选的用于从认证器向对等端传递显示消息。一个认证器可能在任何 时间发送通知请求给对等端，当这里没有未完成的请求时，提前完成一个EAP认证 方法。对等端必须对通知请求响应通知响应，除非EAP认证方法专门禁止使用通知 消息。在任何情况下，一个NaK回应必须不能当作回应发送给通知请求。注意，默 认的通知请求的最大长度是1020字节。默认情况下，这最多为可读信息留了 1050 字节。EAP方法在他的说明书中可能显示通知消息不能在方法实施过程中发送。在这种情 况下，对等端必须默默的丢弃从端点取得的通知请求，

57、初始请求包被回应相同的类 型。对等端应该显示这个信息给用户，或者如果没有显示的话应该记录下来。通知类 型被打算用于提供一些紧要类型的通知，但不是错误显示，因此不能改变对等端的 状态。例子包括关于终止的带有终止日期的木马，一个OTP序列整型接近于0，一个 认证失败警告等。在很多环境下，通知不应该被需要。类型2类型数据请求包中的类型数据字段包含一个显示的信息，在长度上大于零字节，也包含UTF_8 编码的ISO10646属性。信息的长度被请求数据包的长度字节所决定。消息不能够被 无效的终止。回应必须作为类型字段为2的请求包的回应。回应包的类型数据字段 在长度上是零字节。回应包应该被立即发送。安全声明

58、（看7.2节）Auth. mechanism:NoneCiphersuite negotiation:NoMutual authentication:NoIntegrity protection:NoReplay protection:NoConfidentiality:NoKey derivation:NoKey strength:N/ADictionary attack prot.:N/AFast reconnect:NoCrypt. binding:N/ASession independence:N/AFragmentation:NoChannel binding:No5.3NaK5.3

59、.1遗留的NaK描述遗留的NaK类型只有在回应信息中是合法的。当期望的认证类型没有被接收 到时，它就会当作回应请求发送出去。认证类型是4或者更高。回应包含对等端 想要的一个或多个认证类型。类型零被用于显示发送者没有其他的选择，因此认 证者在接收到一个包含值为0的NaK回应后，不应该发送另一个请求。由于遗留的NaK类型仅仅在回应包中是合法的，并且在功能上很大限制，他 不能被用作一般的错误显示目的，像为了错误信息的联系，或者协商一个特定 EAP方法的专门的参数。代码2用于回应身份身份字段是一个字节，用于匹配请求的回应包。遗留的NaK响应的身份字段必须 符合请求数据包的身份字段。长度=6类型3类型数

60、据当对等端接收到不想接受的认证类型请求包时，或者不支持扩展类型的对等端接 收到类型值为254的请求包，NaK响应必须被发送。NaK响应的类型数据字段必 须包含一个或更多的字节，显示想要获取的认证类型，每个类型一个字节，或者 值为0来显示没有预期的其他选择。支持扩展类型的对等体接收到不想接受类型 的请求包，可能在NaK回应中包含数值254，来显示对扩展认证协议的渴望。如 果认证器能够适应这个优先权，它将回应一个扩展的类型请求。安全性声明（看7.2节）Auth. mechanism:NoneCiphersuite negotiation: NoMutual authentication:NoInt

61、egrity protection:NoReplay protection:NoConfidentiality:NoKey derivation:NoKey strength:N/ADictionary attack prot.: N/AFast reconnect:NoCrypt. binding:N/ASession independence:N/ANoNoFragmentation:Channel binding:5.3.2扩展的NaK描述扩展的NaK类型只有在回应消息中是合法的，他只有在回应类型254的请求 包时被发送，此时认证类型是不可接受的。扩展的NaK类型使用他自己的扩展类 型格

62、式，同时响应包括对等端期望的一个或更多的认证类型，所有都在扩展类型 格式中。类型0是用于显示发送者没有另外的可选项。扩展类型的普遍格式在 5.7节中描述。由于扩展的NaK类型只有在回应包中是合法的，并且在功能上很大限制，他 不能被用作一般错误显示目的，像为了错误信息的联系，或者协商一个特定EAP 方法的专门的参数。代码2用于回应标识符标识符字段是一个字节，用于符合请求的响应。扩展NaK响应的标识字段必须符 合请求数据包的标识字段。长度=20类型254供应商ID0供应商类型3 （NaK）供应商数据扩展的NaK类型只能在请求包中包含扩展类型254时发送，被定义在5.7节。NaK 回应的供应商数据字

63、段包含一个或更多的认证类型，所有的都在扩展的格式中， 每个类型8个字节，或者值为零，也在扩展的类型格式中，为显示没有其他的选 项。期望的认证类型可能包括专门供应商和IETF类型的混合。例如，扩展的NaK 响应显示优先OTP，一个MIT扩展类型将显示如下：01230123d567a901235678901?34L6?B901+ + -+-Ident ifier-+-+-+-h-2 B-H + -_+-Type=25 4-+-+-+-+-+一+-(IE I :,)-+-.卜一+ -I-+-+-+-+-F- + -4- :Xa .-+ + 4一 + 4一 + 危-4-+-；.;2 b 4-+-+-+-+-F- + -F-