組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：piex（piex    jintao@bigfoot.com）
譯文發布時間：2002-01-18
版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須保留本文檔的翻譯及版權信息。


Network Working Group                                             L. Blunk
Request for Comments: 2284                                J. Vollbrecht
Category: Standards Track                           Merit Network, Inc.
                                                                                March 1998

                       PPP擴展認證協議(EAP)
(RFC2284-PPP Extensible Authentication Protocol (EAP))


Status of this Memo

   This document specifies an Internet standards track protocol for the
   Internet community, and requests discussion and suggestions for
   improvements.  Please refer to the current edition of the "Internet
   Official Protocol Standards" (STD 1) for the standardization state
   and status of this protocol.  Distribution of this memo is unlimited.

Copyright Notice

   Copyright (C) The Internet Society (1998).  All Rights Reserved.

摘要

	點到點協議（PPP）提供一種在點到點鏈路上傳輸多協議報文的標準方法。在PPP中定義了一個可擴展的鏈路控制協議（LCP），LCP協議允許協商認證協議，從而可以在網絡層報文在鏈路上傳輸之前對對端進行認證。本文檔定義了PPP擴展認證協議（EAP）。
目  錄
1介紹
3
1.1要求規范
3
1.2術語
3
2PPP擴展認證協議(EAP)
3
2.1配置選項(Config Option)格式
4
2.2報文格式
4
請求和應答
5
成功和失敗
6
3EAP請求/應答類型
7
3.1標識 Identification
7
3.2通知 Notification
8
3.3否定 Nak
8
3.4MD5挑戰字
8
3.5一次密碼（OTP）
9
3.6通用令牌卡
9
4安全考慮
9
5參考文獻
10
6鳴謝
10
1.介紹
為了在點到點的鏈路上進行通信，PPP鏈路的每一端在鏈路建立階段必須首先發送LCP報文配置數據鏈路。鏈路建立之后，PPP提供可選的認證階段，可以在進入NCP階段之前對對端進行認證。
缺省情況下，認證過程不是必須的。如果需要鏈路認證，PPP實現必須在鏈路建立階段指定“認證協議”配置選項。
這些認證協議主要是用在主機或者路由器，這些主機和路由器通過交換電路線或者撥號線連在PPP網絡服務器上，但是也適用于專線。PPP網絡服務器可以用主機或路由器的認證身份來作為網絡層協商的選項 。
本文定義了PPP的擴展認證協議（EAP）。鏈路建立和認證階段以及其中的認證協議配置選項在PPP協議中定義[1]。
1.1 要求規范
在本文中用以下幾個詞表示規范描述要求，這幾個詞用大些（黑體）表示。
1.	MUST 	“必須”，也就是形容詞“必需的”，意思是該項是本規范的絕對要求。
2.	MUST NOT  “不得”，意思是該項是本規范所絕對禁止的。
3.	SHOULD    “應該”，也就是形容詞“推薦的”，意思是在某些場合可能由于某種原因忽略該項，但是協議的完全實現必須能夠理解該項，在決定其他方式之前要經過仔細考慮。
4.	MAY     “可以”，也就是形容詞“可選的”，意思是該項可以作為可選集使用，不包含該選項的協議實現必須能夠和包含了該選項的實現交互協作。
1.2 術語
本文頻繁使用下面的術語：
黖	Autherticator 認證者
鏈路要求認證的一端。認證者在鏈路建立階段的配置請求項中指定要使用的認證協議。
黖	Peer 對端
點到點鏈路的另一端，由認證者認證的另一端。
黖	Sliently discard 靜靜丟棄
指直接丟棄數據包，不作進一步處理。實現中應該提供記錄錯誤的能力——包括所丟棄報文的內容，還應該在統計計數器中記錄這個事件。
2 PPP擴展認證協議(EAP)
PPP擴展認證協議（EAP）是一個用于PPP認證的通用協議，可以支持多種認證方法。EAP并不在鏈路建立階段指定認證方法，而是把這個過程推遲到認證階段。這樣認證方就可以在得到更多的信息以后再決定使用什么認證方法。這種機制還允許PPP認證方簡單地把收到的認證報文透傳給后方的認證服務器，由后方的認證服務器來真正實現各種認證方法。
1.	在鏈路階段完成以后，認證方向對端發送一個或多個請求報文。在請求報文中有一個類型字段用來指明認證方所請求的信息類型，例如是對端的ID、MD5的挑戰字、一次密碼（OTP）以及通用令牌卡等。MD5的挑戰字對應于CHAP認證協議的挑戰字。典型情況下，認證方首先發送一個ID請求報文隨后再發送其他的請求報文。當然，并不是必須要首先發送這個ID請求報文，在對端身份是已知的情況下（如租用線、撥號專線等）可以跳過這個步驟。
2.	對端對每一個請求報文回應一個應答報文。和請求報文一樣，應答報文中也包含一個類型字段，對應于所回應的請求報文中的類型字段。
3.	認證方通過發送一個成功或者失敗的報文來結束認證過程。

優點：
EAP可以支持多種認證機制，而無需在LCP階段預協商過程中指定。
某些設備（如：網絡接入服務器）不需要關心每一個請求報文的真正含義，而是作為一個代理把認證報文直接透傳給后端的認證服務器。設備只需關心認證結果是成功還是失敗，然后結束認證階段。

缺點：
EAP需要在LCP中增加一個新的認證協議，這樣現有的PPP實現要想使用EAP就必須進行修改。同時，使用EAP也和現有的在LCP協商階段指定認證方法的模型不一致。
2.1 配置選項(Config Option)格式
用于指定EAP認證協議的認證協議配置選項格式如下所示，字段的傳輸順序是從左向右。
  0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Type      |    Length     |     Authentication-Protocol   |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
類型 Type
      3
長度 Length
	4
認證協議 Authentication-Protocol
	C227 (16進制) 對應于PPP的擴展認證協議EAP
1.1 報文格式
當PPP幀的協議字段是16機制的C227的時候，表示PPP幀的信息字段里封裝了一個完整的EAP報文。EAP報文的格式如下所示，字段的傳輸順序是從左向右。

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Code      |  Identifier   |            Length             |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    Data ...
   +-+-+-+-+
代碼 Code
代碼字段占一個字節，表明了EAP報文的報文類型。分配如下：
         1       請求
         2       應答
         3       成功
         4       失敗

標識 Identifier
標識字段占一個字節，用于應答報文和請求報文之間進行匹配。