Protocol de autentificare extensibil - Extensible Authentication Protocol

Extensible Authentication Protocol ( EAP ) este un cadru de autentificare utilizat frecvent în conexiunile de rețea și internet. Este definit în RFC 3748, care a făcut RFC 2284 învechit, și este actualizat de RFC 5247. EAP este un cadru de autentificare pentru asigurarea transportului și utilizării materialului și parametrilor generați prin metodele EAP. Există multe metode definite de RFC-uri și există o serie de metode specifice furnizorului și există noi propuneri. EAP nu este un protocol cu ​​fir; în schimb, definește doar informațiile din interfață și formate. Fiecare protocol care utilizează EAP definește o modalitate de a încapsula de către utilizator mesajele EAP în mesajele acelui protocol.

EAP este utilizat pe scară largă. De exemplu, în IEEE 802.11 (WiFi) standardele WPA și WPA2 au adoptat IEEE 802.1X (cu diferite tipuri EAP) ca mecanism de autentificare canonică.

Metode

EAP este un cadru de autentificare, nu un mecanism de autentificare specific. Oferă câteva funcții comune și negocierea metodelor de autentificare numite metode EAP. În prezent există aproximativ 40 de metode diferite definite. Metodele definite în RFC-urile IETF includ EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA și EAP-AKA '. În plus, există o serie de metode specifice furnizorului și noi propuneri. Metodele moderne utilizate în mod obișnuit capabile să funcționeze în rețelele fără fir includ EAP-TLS, EAP-SIM, EAP-AKA, LEAP și EAP-TTLS. Cerințele pentru metodele EAP utilizate în autentificarea LAN fără fir sunt descrise în RFC 4017. Lista codurilor de tip și pachete utilizate în EAP este disponibilă din Registrul EAP IANA.

Standardul descrie, de asemenea, condițiile în care pot fi îndeplinite cerințele de gestionare a cheilor AAA descrise în RFC 4962.

Protocol ușor de autentificare extensibil (LEAP)

Metoda LEAP ( Lightweight Extensible Authentication Protocol ) a fost dezvoltată de Cisco Systems înainte de ratificarea IEEE a standardului de securitate 802.11i . Cisco a distribuit protocolul prin CCX (Cisco Certified Extensions) ca parte a obținerii 802.1X și a adoptării dinamice WEP în industrie, în absența unui standard. Nu există suport nativ pentru LEAP în niciun sistem de operare Windows , dar este acceptat pe scară largă de software-ul clientului terță parte cel mai frecvent inclus cu dispozitivele WLAN (LAN fără fir). Suportul LEAP pentru Microsoft Windows 7 și Microsoft Windows Vista poate fi adăugat prin descărcarea unui client add in de la Cisco care oferă suport atât pentru LEAP, cât și pentru EAP-FAST. Datorită adoptării pe scară largă a LEAP în industria rețelelor, mulți alți furnizori de rețele WLAN solicită sprijin pentru LEAP.

LEAP utilizează o versiune modificată a MS-CHAP , un protocol de autentificare în care acreditările utilizatorului nu sunt puternic protejate și ușor compromise; un instrument de exploatare numit ASLEAP a fost lansat la începutul anului 2004 de Joshua Wright. Cisco recomandă clienților care trebuie să utilizeze LEAP să facă acest lucru numai cu parole suficient de complexe, deși parolele complexe sunt dificil de administrat și de aplicat. Recomandarea actuală a Cisco este de a utiliza protocoale EAP mai noi și mai puternice, cum ar fi EAP-FAST, PEAP sau EAP-TLS.

EAP Transport Layer Security (EAP-TLS)

EAP Transport Layer Security (EAP-TLS), definit în RFC 5216, este un standard deschis IETF care folosește protocolul Transport Layer Security (TLS) și este bine acceptat în rândul furnizorilor fără fir. EAP-TLS este protocolul original de autentificare EAP LAN wireless standard.

EAP-TLS este încă considerat unul dintre cele mai sigure standarde EAP disponibile, deși TLS oferă o securitate puternică numai atâta timp cât utilizatorul înțelege avertismente potențiale despre acreditări false și este susținut universal de toți producătorii de hardware și software LAN fără fir. Până în aprilie 2005, EAP-TLS era singurul furnizor de tip EAP necesar pentru certificarea pentru sigla WPA sau WPA2. Există implementări client și server ale EAP-TLS în 3Com, Apple, Avaya , Brocade Communications, Cisco, Enterasys Networks, Fortinet, Foundry, Hirschmann, HP, Juniper, Microsoft și sisteme de operare open source. EAP- TLS este acceptat în mod nativ în Mac OS X 10.3 și versiuni ulterioare, wpa_supplicant , Windows 2000 SP4, Windows XP și versiuni ulterioare, Windows Mobile 2003 și versiuni superioare, Windows CE 4.2 și sistemul de operare mobil iOS al Apple.

Spre deosebire de majoritatea implementărilor TLS ale HTTPS , cum ar fi pe World Wide Web , majoritatea implementărilor EAP-TLS necesită autentificare reciprocă utilizând certificate X.509 din partea clientului fără a da opțiunea de a dezactiva cerința, chiar dacă standardul nu impune utilizarea lor. Unii au identificat acest lucru ca având potențialul de a reduce dramatic adoptarea EAP-TLS și de a preveni punctele de acces „deschise”, dar criptate. La 22 august 2012 hostapd (și wpa_supplicant) au adăugat suport în depozitul său Git pentru un tip EAP specific pentru furnizor UNAUTH-TLS (utilizând proiectul hostapd / wpa_supplicant RFC 5612 Private Enterprise Number), iar la 25 februarie 2014 a adăugat suport pentru WFA- Tip EAP specific furnizorului UNAUTH-TLS (utilizând numărul de întreprindere privată Wi-Fi Alliance ), care efectuează doar autentificarea serverului. Acest lucru ar permite situații la fel ca HTTPS, în care un hotspot wireless permite accesul gratuit și nu autentifică clienții stației, dar clienții stației doresc să utilizeze criptarea ( IEEE 802.11i-2004 adică WPA2 ) și pot autentifica hotspotul wireless. Au existat, de asemenea, propuneri de utilizare a IEEE 802.11u pentru punctele de acces pentru a semnaliza faptul că permit EAP-TLS utilizând numai autentificarea pe partea de server, utilizând tipul standard EAP-TLS IETF în locul unui tip EAP specific furnizorului.

Cerința pentru un certificat de partea clientului, oricât de nepopular ar fi, este ceea ce conferă EAP-TLS puterea sa de autentificare și ilustrează convenția clasică față de securitate. Cu un certificat de partea client, o parolă compromisă nu este suficientă pentru a intra în sistemele activate EAP-TLS, deoarece intrusul trebuie să aibă în continuare certificatul de partea clientului; într-adevăr, o parolă nici măcar nu este necesară, deoarece este utilizată doar pentru a cripta certificatul din partea clientului pentru stocare. Cea mai mare securitate disponibilă este atunci când „cheile private” ale certificatului de pe partea de client sunt găzduite în carduri inteligente . Acest lucru se datorează faptului că nu există nicio modalitate de a fura cheia privată corespunzătoare a unui certificat de partea clientului de pe un card inteligent fără a fura cardul în sine. Este mai probabil ca furtul fizic al unui card inteligent să fie observat (și cardul inteligent să fie revocat imediat) decât un furt (tipic) de parolă. În plus, cheia privată de pe o cartelă inteligentă este de obicei criptată folosind un cod PIN pe care doar proprietarul cardului inteligent îl cunoaște, minimizându-i utilitatea pentru un hoț chiar înainte ca cardul să fi fost furat și revocat.

EAP-MD5

EAP-MD5 a fost singura metodă EAP bazată pe urmărirea standardelor IETF atunci când a fost definită pentru prima dată în RFC original pentru EAP, RFC 2284. Oferă o securitate minimă; MD5 funcția hash este vulnerabil la atacuri de dicționar , și nu are suport pentru generarea de chei, ceea ce îl face nepotrivit pentru utilizarea cu WEP dinamică, sau WPA / WPA2 Enterprise. EAP-MD5 diferă de alte metode EAP prin faptul că furnizează numai autentificarea partenerului EAP către serverul EAP, dar nu autentificare reciprocă. Prin faptul că nu furnizează autentificarea serverului EAP, această metodă EAP este vulnerabilă la atacurile om-în-mijloc. Suportul EAP-MD5 a fost inclus pentru prima dată în Windows 2000 și a fost depreciat în Windows Vista .

Parolă unică protejată EAP (EAP-POTP)

EAP Protected One-Time Password (EAP-POTP), care este descrisă în RFC 4793, este o metodă EAP dezvoltată de RSA Laboratories care utilizează jetoane cu parolă unică (OTP), cum ar fi un dispozitiv hardware portabil sau un modul hardware sau software rulează pe un computer personal, pentru a genera chei de autentificare. EAP-POTP poate fi utilizat pentru a furniza autentificare unilaterală sau reciprocă și material cheie în protocoalele care utilizează EAP.

Metoda EAP-POTP oferă autentificare cu doi factori a utilizatorului, ceea ce înseamnă că un utilizator are nevoie atât de acces fizic la un jeton, cât și de cunoștințe despre un număr de identificare personal (PIN) pentru a efectua autentificarea.

Cheie pre-partajată EAP (EAP-PSK)

Cheia pre-partajată EAP (EAP-PSK), definită în RFC 4764, este o metodă EAP pentru autentificarea reciprocă și derivarea cheii de sesiune utilizând o cheie pre-partajată (PSK). Oferă un canal de comunicație protejat, atunci când autentificarea reciprocă are succes, pentru ambele părți să comunice și este conceput pentru autentificare pe rețele nesigure, cum ar fi IEEE 802.11.

EAP-PSK este documentat într-un RFC experimental care oferă o metodă EAP ușoară și extensibilă care nu necesită nici o criptografie cu cheie publică. Schimbul de protocol al metodei EAP se face în minimum patru mesaje.

Parola EAP (EAP-PWD)

Parola EAP (EAP-PWD), definită în RFC 5931, este o metodă EAP care utilizează o parolă partajată pentru autentificare. Parola poate fi una cu entropie redusă și poate fi extrasă dintr-un set de parole posibile, cum ar fi un dicționar, care este disponibil pentru un atacator. Schimbul de chei de bază este rezistent la atacul activ, atacul pasiv și atacul dicționar.

EAP-PWD se află la baza Android 4.0 (ICS), este în serverele FreeRADIUS și Radiator RADIUS și este în hostapd și wpa_supplicant.

Securitatea stratului de transport tunelat EAP (EAP-TTLS)

EAP Tunneled Transport Layer Security (EAP-TTLS) este un protocol EAP care extinde TLS . A fost co-dezvoltat de Funk Software și Certicom și este acceptat pe scară largă pe toate platformele. Microsoft nu a încorporat suport nativ pentru protocolul EAP-TTLS în Windows XP , Vista sau 7 . Suportul TTLS pe ​​aceste platforme necesită software certificat de către terți Protocolul de control al criptării (ECP). Microsoft Windows a început suportul EAP-TTLS cu Windows 8 , suportul pentru EAP-TTLS a apărut în Windows Phone versiunea 8.1 .

Clientul poate, dar nu trebuie să fie autentificat prin server printr-un certificat PKI semnat de CA. Acest lucru simplifică foarte mult procedura de configurare, deoarece un certificat nu este necesar pentru fiecare client.

După ce serverul este autentificat în siguranță către client prin certificatul său CA și, opțional, clientul către server, serverul poate utiliza apoi conexiunea securizată stabilită („tunelul”) pentru a autentifica clientul. Poate utiliza un protocol și o infrastructură de autentificare existentă și implementată pe scară largă, încorporând mecanisme de parole moștenite și baze de date de autentificare, în timp ce tunelul securizat oferă protecție împotriva ascultării și a atacului om-în-mijloc . Rețineți că numele utilizatorului nu este transmis niciodată într-un text clar necriptat, îmbunătățind confidențialitatea.

Există două versiuni distincte ale EAP-TTLS: EAP-TTLS original (aka EAP-TTLSv0) și EAP-TTLSv1. EAP-TTLSv0 este descris în RFC 5281, EAP-TTLSv1 este disponibil ca schiță de internet.

EAP Internet Key Exchange v. 2 (EAP-IKEv2)

EAP Internet Key Exchange v. 2 (EAP-IKEv2) este o metodă EAP bazată pe protocolul Internet Key Exchange versiunea 2 (IKEv2). Oferă autentificare reciprocă și stabilirea cheii de sesiune între un partener EAP și un server EAP. Acceptă tehnici de autentificare bazate pe următoarele tipuri de acreditări:

Perechi de chei asimetrice

Perechi de chei publice / private în care cheia publică este încorporată într-un certificat digital , iar cheia privată corespunzătoare este cunoscută doar de o singură parte.

Parole

Șiruri de biți cu entropie scăzută, cunoscute atât de server, cât și de partener.

Taste simetrice

Șiruri de biți cu entropie ridicată, cunoscute atât de server, cât și de partener.

Este posibil să utilizați o acreditare de autentificare diferită (și astfel tehnică) în fiecare direcție. De exemplu, serverul EAP se autentifică folosind perechea de chei publică / privată, iar peerul EAP utilizând cheia simetrică. În special, se așteaptă utilizarea următoarelor combinații în practică:

EAP-IKEv2 este descris în RFC 5106 și există o implementare prototip .

Autentificare flexibilă EAP prin tunelare securizată (EAP-FAST)

Autentificarea flexibilă prin tunelare sigură (EAP-FAST; RFC 4851) este o propunere de protocol de către Cisco Systems ca înlocuitor pentru LEAP . Protocolul a fost conceput pentru a aborda punctele slabe ale LEAP, păstrând în același timp implementarea „ușoară”. Utilizarea certificatelor de server este opțională în EAP-FAST. EAP-FAST folosește o acreditare de acces protejat (PAC) pentru a stabili un tunel TLS în care sunt verificate acreditările clientului.

EAP-FAST are trei faze:

Fază	Funcţie	Descriere	Scop
0	Provizionare în bandă - furnizați partenerului un secret comun pentru a fi utilizat în conversația de fază 1 sigură	Utilizează protocolul autentificat Diffie-Hellman (ADHP). Această fază este independentă de alte faze; prin urmare, orice altă schemă (în bandă sau în afara benzii) poate fi utilizată în viitor.	Eliminați cerința clientului de a stabili un secret principal de fiecare dată când un client necesită acces la rețea
1	Înființarea tunelului	Autentifică folosind PAC și stabilește o cheie de tunel	Instituție cheie pentru asigurarea confidențialității și integrității în timpul procesului de autentificare în faza 2
2	Autentificare	Autentifică partenerul	Mecanisme de autentificare multiple, tunelate, sigure (acreditări schimbate)

Când este activată asigurarea automată a PAC, EAP-FAST prezintă o ușoară vulnerabilitate în care un atacator poate intercepta PAC și o poate folosi pentru a compromite acreditările utilizatorului. Această vulnerabilitate este atenuată prin aprovizionarea manuală PAC sau prin utilizarea certificatelor de server pentru faza de aprovizionare PAC.

Este demn de remarcat faptul că fișierul PAC este emis pe bază de utilizator. Aceasta este o cerință în RFC 4851 sec 7.4.4, deci dacă un utilizator nou se conectează la rețea de pe un dispozitiv, trebuie să fie furnizat mai întâi un nou fișier PAC. Acesta este unul dintre motivele pentru care este dificil să nu rulați EAP-FAST în modul de aprovizionare anonim nesigur. Alternativa este să folosiți parolele dispozitivului în schimb, dar dispozitivul este validat în rețea, nu utilizatorul.

EAP-FAST poate fi utilizat fără fișiere PAC, revenind la TLS normal.

EAP-FAST este acceptat în mod nativ în Apple OS X 10.4.8 și mai recent. Cisco furnizează un modul EAP-FAST pentru Windows Vista și sistemele de operare ulterioare care au o arhitectură extensibilă EAPHost pentru noi metode de autentificare și solicitanți.

Tunnel Extensible Authentication Protocol (TEAP)

Tunnel Extensible Authentication Protocol (TEAP; RFC 7170) este o metodă EAP bazată pe tunel care permite comunicarea sigură între un partener și un server utilizând protocolul Transport Layer Security (TLS) pentru a stabili un tunel autentificat reciproc. În tunel, obiectele TLV (Type-Length-Value) sunt utilizate pentru a transmite date legate de autentificare între partenerul EAP și serverul EAP.

În plus față de autentificarea peer, TEAP permite peer să solicite certificatul serverului prin trimiterea cererii în format PKCS # 10 , iar serverul poate furniza certificat peerului în format [rfc: 2315 PKCS # 7]. Serverul poate distribui, de asemenea, certificate rădăcină de încredere peerului în format [rfc: 2315 PKCS # 7]. Ambele operațiuni sunt închise în TLV-urile corespunzătoare și se întâmplă în mod sigur în interiorul tunelului TLS stabilit anterior.

Modulul de identitate a abonatului EAP (EAP-SIM)

EAP Subscriber Identity Module (EAP-SIM) este utilizat pentru autentificare și distribuție a cheilor de sesiune cu ajutorul modulului de identitate a abonatului (SIM) din sistemul global de comunicații mobile ( GSM ).

Rețelele celulare GSM utilizează o cartelă de modul de identitate a abonatului pentru a efectua autentificarea utilizatorului. EAP-SIM utilizează un algoritm de autentificare SIM între client și un server de autentificare, autorizare și contabilitate (AAA) care oferă autentificare reciprocă între client și rețea.

În EAP-SIM, comunicarea dintre cartela SIM și Centrul de autentificare (AuC) înlocuiește necesitatea unei parole prestabilite între client și serverul AAA.

Algoritmii A3 / A8 sunt rulați de câteva ori, cu diferite provocări de 128 biți, deci vor exista mai mulți Kc-uri pe 64 de biți care vor fi combinați / amestecați pentru a crea chei mai puternice (Kc-urile nu vor fi utilizate direct). Lipsa autentificării reciproce în GSM a fost, de asemenea, depășită.

EAP-SIM este descris în RFC 4186.

Autentificare EAP și acord cheie (EAP-AKA)

Metoda protocolului de autentificare extensibilă pentru autentificarea și acordul de chei ale sistemului universal de telecomunicații mobile (UMTS) (EAP-AKA), este un mecanism EAP pentru autentificare și distribuirea cheilor de sesiune utilizând modulul UMTS Subscriber Identity Module ( USIM ). EAP-AKA este definit în RFC 4187.

Autentificare EAP și acord principal cheie (EAP-AKA ')

Varianta EAP-AKA 'a EAP-AKA, definită în RFC 5448 și este utilizată pentru accesul non-3GPP la o rețea de bază 3GPP . De exemplu, prin EVDO , WiFi sau WiMax .

Card de jeton generic EAP (EAP-GTC)

EAP Generic Token Card, sau EAP-GTC, este o metodă EAP creată de Cisco ca alternativă la PEAPv0 / EAP-MSCHAPv2 și definită în RFC 2284 și RFC 3748. EAP-GTC poartă o provocare text de la serverul de autentificare și un răspuns generat de un simbol de securitate . Mecanismul de autentificare PEAP-GTC permite autentificarea generică la mai multe baze de date, cum ar fi Novell Directory Service (NDS) și Lightweight Directory Access Protocol (LDAP), precum și utilizarea unei parole unice .

Schimb de chei criptate EAP (EAP-EKE)

EAP cu schimbul de chei criptate , sau EAP-EKE, este una dintre puținele metode EAP care asigură autentificarea reciprocă sigură folosind parole scurte și nu este nevoie de certificate de cheie publică . Este un schimb de trei runde, bazat pe varianta Diffie-Hellman a binecunoscutului protocol EKE.

EAP-EKE este specificat în RFC 6124.

Autentificare ușoară în afara benzii pentru EAP (EAP-NOOB)

Autentificarea Nimble în afara benzii pentru EAP (EAP-NOOB) este o soluție generică de bootstrapping propusă (în lucru, nu RFC) pentru dispozitive care nu au acreditări de autentificare preconfigurate și care nu sunt încă înregistrate pe niciun server. Este deosebit de util pentru gadgeturile și jucăriile Internet-of-Things (IoT) care vin fără informații despre niciun proprietar, rețea sau server. Autentificarea pentru această metodă EAP se bazează pe un canal out-of-band (OOB) asistat de utilizator între server și peer. EAP-NOOB suportă mai multe tipuri de canale OOB , cum ar fi codurile QR, tag - uri NFC, audio , etc și , spre deosebire de alte metode EAP, securitatea protocol a fost verificată prin modelarea formală a caietului de sarcini cu ProVerif și MCRL2 instrumente.

EAP-NOOB efectuează o curbă eliptică efemeră Diffie-Hellman (ECDHE) pe canalul EAP în bandă. Utilizatorul confirmă apoi acest schimb prin transferul mesajului OOB. Utilizatorii pot transfera mesajul OOB de peer pe server, atunci când, de exemplu, dispozitivul este un televizor inteligent care poate afișa un cod QR. Alternativ, utilizatorii pot transfera mesajul OOB de la server peer, atunci când, de exemplu, dispozitivul care este bootstrappat este o cameră care poate citi doar un cod QR.

Incapsularea

EAP nu este un protocol cu ​​fir; în schimb, definește doar formatele de mesaje. Fiecare protocol care utilizează EAP definește o modalitate de încapsulare a mesajelor EAP în mesajele acelui protocol.

IEEE 802.1X

Incapsularea EAP peste IEEE 802 este definită în IEEE 802.1X și cunoscută sub numele de „EAP peste LAN” sau EAPOL. EAPOL a fost inițial conceput pentru Ethernet IEEE 802.3 în 802.1X-2001, dar a fost clarificat pentru a se potrivi altor tehnologii LAN IEEE 802, cum ar fi IEEE 802.11 wireless și interfață de date distribuită prin fibră (ANSI X3T9.5 / X3T12, adoptată ca ISO 9314) în 802.1X -2004. Protocolul EAPOL a fost, de asemenea, modificat pentru utilizare cu IEEE 802.1AE (MACsec) și IEEE 802.1AR (Initial Device Identity, IDevID) în 802.1X-2010.

Când EAP este invocat de un dispozitiv Network Access Server (NAS) activat 802.1X, cum ar fi un punct de acces fără fir (WAP) IEEE 802.11i-2004 , metodele EAP moderne pot oferi un mecanism de autentificare sigur și pot negocia o cheie privată sigură Master Key, PMK) între client și NAS, care poate fi apoi utilizat pentru o sesiune de criptare fără fir utilizând criptarea TKIP sau CCMP (bazată pe AES ).

PEAP

Protected Extensible Authentication Protocol , de asemenea , cunoscut sub numele de Protected EAP sau pur și simplu PEAP, este un protocol care încapsulează EAP într - un potențial criptate și autentificate Transport Layer Security (TLS) tunel . Scopul a fost de a corecta deficiențele din EAP; EAP și-a asumat un canal de comunicație protejat, cum ar fi cel furnizat de securitatea fizică, astfel încât facilitățile pentru protecția conversației EAP nu au fost furnizate.

PEAP a fost dezvoltat în comun de Cisco Systems, Microsoft și RSA Security. PEAPv0 a fost versiunea inclusă în Microsoft Windows XP și a fost definită nominal în draft-kamath-pppext-peapv0-00 . PEAPv1 și PEAPv2 au fost definite în diferite versiuni ale draft-josefsson-pppext-eap-tls-eap . PEAPv1 a fost definit în draft-josefsson-pppext-eap-tls-eap-00 prin draft-josefsson-pppext-eap-tls-eap-05 , iar PEAPv2 a fost definit în versiunile care încep cu draft-josefsson-pppext-eap-tls- eap-06 .

Protocolul specifică doar înlănțuirea mai multor mecanisme EAP și nu orice metodă specifică. Utilizarea metodelor EAP-MSCHAPv2 și EAP-GTC sunt cele mai frecvent acceptate.

RADIUS și Diametru

Atât protocoalele RADIUS, cât și Diameter AAA pot încapsula mesajele EAP. Acestea sunt adesea folosite de dispozitivele Network Access Server (NAS) pentru a redirecționa pachete EAP între punctele finale IEEE 802.1X și serverele AAA pentru a facilita IEEE 802.1X.

PANA

Protocolul de transport de autentificare pentru acces în rețea (PANA) este un protocol IP-based , care permite unui dispozitiv să se autentifice de acces cu o rețea care urmează să fie acordată. PANA nu va defini niciun nou protocol de autentificare, distribuție de chei, acord de cheie sau protocoale de derivare a cheilor; în aceste scopuri, va fi utilizat EAP, iar PANA va suporta sarcina utilă EAP. PANA permite selectarea dinamică a furnizorului de servicii, acceptă diverse metode de autentificare, este potrivit pentru utilizatorii în roaming și este independent de mecanismele stratului de legătură.

PPP

EAP a fost inițial o extensie de autentificare pentru Protocolul de la punct la punct (PPP). PPP a susținut EAP de când EAP a fost creat ca o alternativă la Protocolul de autentificare Challenge-Handshake (CHAP) și Protocolul de autentificare prin parolă (PAP), care au fost încorporate în cele din urmă în EAP. Extensia EAP la PPP a fost definită pentru prima dată în RFC 2284, acum depășită de RFC 3748.

Vezi si

• Protocol de autentificare
• Transmiterea tastelor
• UIT-T X.1035

Referințe

Lecturi suplimentare

• "AAA și securitatea rețelei pentru accesul mobil. RADIUS, DIAMETER, EAP, PKI și mobilitate IP". M Nakhjiri. John Wiley and Sons, Ltd.

linkuri externe

• RFC  3748 : Protocol de autentificare extensibil (EAP) (iunie 2004)
• RFC  5247 : Cadrul de gestionare a cheilor pentru protocolul de autentificare extensibil (EAP) (august 2008)
• Configurați RADIUS pentru LAN wireless 802.1x sigur
• Cum se autosemnează un server RADIUS pentru autentificare PEAP sau EAP-TTLS securizată
• Protocol de autentificare extensibil pe Microsoft TechNet
• EAPHost în Windows Vista și Windows Server 2008
• WIRE1x
• „Grupul de lucru IETF EAP Method Update (emu)”
• [2]