EAPOL 协议

一、基本概念

  EAPOL 的全称为 Extensible Authentication Protocol Over LAN,即 EAP Over Lan,也即基于局域网的扩展认证协议。EAP是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网。EAP是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。这些机制被叫做EAP方法,现在大约有40种不同的方法。

二、EAP的认证过程

  EAP 交换范例如下图所示。EAP交换过程从认证请求开始,以成功或失败信息结束。在EAP认证方式交换过程中,由认证者发送的封包是以Request/Method表示,如果是客户端答复的响应则以Response/Method表示。

EAPOL 协议-LMLPHP

1、认证者(authenticator)发出一个Request/Identity(请求/身份证明)数据包以识别用户身份。

EAPOL 协议-LMLPHP

2、客户端要求用户输入标识符,随后将搜集到的用户标识符以Response/Identify(响应/身份证明)消息送出。

EAPOL 协议-LMLPHP

3、一旦认出该用户,认证者随即会送出认证质询(Request/MD-5 Challenge)。

EAPOL 协议-LMLPHP

4、客户端在设定上是以token card(令牌卡)进行身份验证,因此会送出一个Response/NAK(响应/否定确认)消息,提议以Generic Token Card (一般令牌卡)作为认证机制。

5、认证者会送出一个Request/Generic Token Card(请求/一般令牌卡)的质询,要求取得卡号(numerical sequence on the card)。

6、用户输入卡号,通过Response/Generic Token Card(响应/一般令牌卡)送回。

7、用户的响应并不正确,因此认证失败。不过,这个认证者在EAP的实现中允许多次认证,因此会送出第二个Request/Generic Token Card(请求/一般令牌卡)的质询。

8、用户再度响应,依然通过Response/Generic Token Card(响应/一般令牌卡)传递。

9、此次的响应正确,因此认证者发出一个success (成功)消息。

EAPOL 协议-LMLPHP

三、协议包的格式

04-30 13:12