当前位置: 首页 > 服务支持 > 知识库知识库

Radius协议中如何实现EAP认证

发布时间:2020-11-01 20:43:25点击量:

EAP (Extensible Authentication Protocol,可扩展身份验证协议)位于 PPP 身份验证协议中,并为多种不同的身份验证方法提供通用框架。EAP 用于在请求方和身份验证服务器之间传递身份验证信息。实际的身份验证会按照 EAP 类型进行定义与处理。



EAP 本身不是一个认证机制,而是一个通用架构。用来传输实际的认证协议。EAP 的好处就是当一个新的认证协议发展出来的时候,基础的EAP 机制不需要随着改变。目前有超过20 种不同的EAP 协议。



EAP的协议框架如下图:


Radius协议中如何实现EAP认证(图1)


在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是设备端终结EAP协议报文,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证。这样在认证过程中就存在两种认证方式:EAP中继方式和EAP终结方式。



EAP中继方式是IEEE 802.1X标准规定的,将EAP(扩展认证协议)承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP- Message和Message-Authenticator。


EAP终结方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。



在RFC2869协议中RADIUS 为支持EAP 认证增加了两个属性:EAP-Message(EAP 消息)和Message-Authenticator( 消息认证码)。



EAP-Message


Radius协议中如何实现EAP认证(图2)

图 EAP-Message属性封装



如图所示,这个属性用来封装EAP数据包,类型代码为79,String域最长253字节,如果EAP数据包长度大于253 字节,可以对其进行分片,依次封装在多个EAP-Message属性中。



Message-Authenticator


Radius协议中如何实现EAP认证(图3)

图 EAP-Authenticator属性



如图所示,这个属性用于在使用EAP、CHAP等认证方法的过程中,避免接入请求包被。在含有EAP-Message 属性的数据包中, 必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃。


地址:成都市一环路南一段12号  电话:028-86679789  手机:13980098139
Copyright © 2020-2025 成都星锐蓝海网络科技有限公司 版权所有  ICP备案号:蜀ICP备09030039号-2