組織：中國(guó)互動(dòng)出版網(wǎng)（http://www.china-pub.com/）
RFC文檔中文翻譯計(jì)劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：piex（piex    jintao@bigfoot.com）
譯文發(fā)布時(shí)間：2002-01-18
版權(quán)：本中文翻譯文檔版權(quán)歸中國(guó)互動(dòng)出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載，但必須保留本文檔的翻譯及版權(quán)信息。


Network Working Group                                             L. Blunk
Request for Comments: 2284                                J. Vollbrecht
Category: Standards Track                           Merit Network, Inc.
                                                                                March 1998

                       PPP擴(kuò)展認(rèn)證協(xié)議(EAP)
(RFC2284-PPP Extensible Authentication Protocol (EAP))


Status of this Memo

   This document specifies an Internet standards track protocol for the
   Internet community, and requests discussion and suggestions for
   improvements.  Please refer to the current edition of the "Internet
   Official Protocol Standards" (STD 1) for the standardization state
   and status of this protocol.  Distribution of this memo is unlimited.

Copyright Notice

   Copyright (C) The Internet Society (1998).  All Rights Reserved.

摘要

	點(diǎn)到點(diǎn)協(xié)議（PPP）提供一種在點(diǎn)到點(diǎn)鏈路上傳輸多協(xié)議報(bào)文的標(biāo)準(zhǔn)方法。在PPP中定義了一個(gè)可擴(kuò)展的鏈路控制協(xié)議（LCP），LCP協(xié)議允許協(xié)商認(rèn)證協(xié)議，從而可以在網(wǎng)絡(luò)層報(bào)文在鏈路上傳輸之前對(duì)對(duì)端進(jìn)行認(rèn)證。本文檔定義了PPP擴(kuò)展認(rèn)證協(xié)議（EAP）。
目  錄
1介紹
3
1.1要求規(guī)范
3
1.2術(shù)語
3
2PPP擴(kuò)展認(rèn)證協(xié)議(EAP)
3
2.1配置選項(xiàng)(Config Option)格式
4
2.2報(bào)文格式
4
請(qǐng)求和應(yīng)答
5
成功和失敗
6
3EAP請(qǐng)求/應(yīng)答類型
7
3.1標(biāo)識(shí) Identification
7
3.2通知 Notification
8
3.3否定 Nak
8
3.4MD5挑戰(zhàn)字
8
3.5一次密碼（OTP）
9
3.6通用令牌卡
9
4安全考慮
9
5參考文獻(xiàn)
10
6鳴謝
10
1.介紹
為了在點(diǎn)到點(diǎn)的鏈路上進(jìn)行通信，PPP鏈路的每一端在鏈路建立階段必須首先發(fā)送LCP報(bào)文配置數(shù)據(jù)鏈路。鏈路建立之后，PPP提供可選的認(rèn)證階段，可以在進(jìn)入NCP階段之前對(duì)對(duì)端進(jìn)行認(rèn)證。
缺省情況下，認(rèn)證過程不是必須的。如果需要鏈路認(rèn)證，PPP實(shí)現(xiàn)必須在鏈路建立階段指定“認(rèn)證協(xié)議”配置選項(xiàng)。
這些認(rèn)證協(xié)議主要是用在主機(jī)或者路由器，這些主機(jī)和路由器通過交換電路線或者撥號(hào)線連在PPP網(wǎng)絡(luò)服務(wù)器上，但是也適用于專線。PPP網(wǎng)絡(luò)服務(wù)器可以用主機(jī)或路由器的認(rèn)證身份來作為網(wǎng)絡(luò)層協(xié)商的選項(xiàng) 。
本文定義了PPP的擴(kuò)展認(rèn)證協(xié)議（EAP）。鏈路建立和認(rèn)證階段以及其中的認(rèn)證協(xié)議配置選項(xiàng)在PPP協(xié)議中定義[1]。
1.1 要求規(guī)范
在本文中用以下幾個(gè)詞表示規(guī)范描述要求，這幾個(gè)詞用大些（黑體）表示。
1.	MUST 	“必須”，也就是形容詞“必需的”，意思是該項(xiàng)是本規(guī)范的絕對(duì)要求。
2.	MUST NOT  “不得”，意思是該項(xiàng)是本規(guī)范所絕對(duì)禁止的。
3.	SHOULD    “應(yīng)該”，也就是形容詞“推薦的”，意思是在某些場(chǎng)合可能由于某種原因忽略該項(xiàng)，但是協(xié)議的完全實(shí)現(xiàn)必須能夠理解該項(xiàng)，在決定其他方式之前要經(jīng)過仔細(xì)考慮。
4.	MAY     “可以”，也就是形容詞“可選的”，意思是該項(xiàng)可以作為可選集使用，不包含該選項(xiàng)的協(xié)議實(shí)現(xiàn)必須能夠和包含了該選項(xiàng)的實(shí)現(xiàn)交互協(xié)作。
1.2 術(shù)語
本文頻繁使用下面的術(shù)語：
黖	Autherticator 認(rèn)證者
鏈路要求認(rèn)證的一端。認(rèn)證者在鏈路建立階段的配置請(qǐng)求項(xiàng)中指定要使用的認(rèn)證協(xié)議。
黖	Peer 對(duì)端
點(diǎn)到點(diǎn)鏈路的另一端，由認(rèn)證者認(rèn)證的另一端。
黖	Sliently discard 靜靜丟棄
指直接丟棄數(shù)據(jù)包，不作進(jìn)一步處理。實(shí)現(xiàn)中應(yīng)該提供記錄錯(cuò)誤的能力——包括所丟棄報(bào)文的內(nèi)容，還應(yīng)該在統(tǒng)計(jì)計(jì)數(shù)器中記錄這個(gè)事件。
2 PPP擴(kuò)展認(rèn)證協(xié)議(EAP)
PPP擴(kuò)展認(rèn)證協(xié)議（EAP）是一個(gè)用于PPP認(rèn)證的通用協(xié)議，可以支持多種認(rèn)證方法。EAP并不在鏈路建立階段指定認(rèn)證方法，而是把這個(gè)過程推遲到認(rèn)證階段。這樣認(rèn)證方就可以在得到更多的信息以后再?zèng)Q定使用什么認(rèn)證方法。這種機(jī)制還允許PPP認(rèn)證方簡(jiǎn)單地把收到的認(rèn)證報(bào)文透?jìng)鹘o后方的認(rèn)證服務(wù)器，由后方的認(rèn)證服務(wù)器來真正實(shí)現(xiàn)各種認(rèn)證方法。
1.	在鏈路階段完成以后，認(rèn)證方向?qū)Χ税l(fā)送一個(gè)或多個(gè)請(qǐng)求報(bào)文。在請(qǐng)求報(bào)文中有一個(gè)類型字段用來指明認(rèn)證方所請(qǐng)求的信息類型，例如是對(duì)端的ID、MD5的挑戰(zhàn)字、一次密碼（OTP）以及通用令牌卡等。MD5的挑戰(zhàn)字對(duì)應(yīng)于CHAP認(rèn)證協(xié)議的挑戰(zhàn)字。典型情況下，認(rèn)證方首先發(fā)送一個(gè)ID請(qǐng)求報(bào)文隨后再發(fā)送其他的請(qǐng)求報(bào)文。當(dāng)然，并不是必須要首先發(fā)送這個(gè)ID請(qǐng)求報(bào)文，在對(duì)端身份是已知的情況下（如租用線、撥號(hào)專線等）可以跳過這個(gè)步驟。
2.	對(duì)端對(duì)每一個(gè)請(qǐng)求報(bào)文回應(yīng)一個(gè)應(yīng)答報(bào)文。和請(qǐng)求報(bào)文一樣，應(yīng)答報(bào)文中也包含一個(gè)類型字段，對(duì)應(yīng)于所回應(yīng)的請(qǐng)求報(bào)文中的類型字段。
3.	認(rèn)證方通過發(fā)送一個(gè)成功或者失敗的報(bào)文來結(jié)束認(rèn)證過程。

優(yōu)點(diǎn)：
EAP可以支持多種認(rèn)證機(jī)制，而無需在LCP階段預(yù)協(xié)商過程中指定。
某些設(shè)備（如：網(wǎng)絡(luò)接入服務(wù)器）不需要關(guān)心每一個(gè)請(qǐng)求報(bào)文的真正含義，而是作為一個(gè)代理把認(rèn)證報(bào)文直接透?jìng)鹘o后端的認(rèn)證服務(wù)器。設(shè)備只需關(guān)心認(rèn)證結(jié)果是成功還是失敗，然后結(jié)束認(rèn)證階段。

缺點(diǎn)：
EAP需要在LCP中增加一個(gè)新的認(rèn)證協(xié)議，這樣現(xiàn)有的PPP實(shí)現(xiàn)要想使用EAP就必須進(jìn)行修改。同時(shí)，使用EAP也和現(xiàn)有的在LCP協(xié)商階段指定認(rèn)證方法的模型不一致。
2.1 配置選項(xiàng)(Config Option)格式
用于指定EAP認(rèn)證協(xié)議的認(rèn)證協(xié)議配置選項(xiàng)格式如下所示，字段的傳輸順序是從左向右。
  0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Type      |    Length     |     Authentication-Protocol   |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
類型 Type
      3
長(zhǎng)度 Length
	4
認(rèn)證協(xié)議 Authentication-Protocol
	C227 (16進(jìn)制) 對(duì)應(yīng)于PPP的擴(kuò)展認(rèn)證協(xié)議EAP
1.1 報(bào)文格式
當(dāng)PPP幀的協(xié)議字段是16機(jī)制的C227的時(shí)候，表示PPP幀的信息字段里封裝了一個(gè)完整的EAP報(bào)文。EAP報(bào)文的格式如下所示，字段的傳輸順序是從左向右。

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Code      |  Identifier   |            Length             |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    Data ...
   +-+-+-+-+
代碼 Code
代碼字段占一個(gè)字節(jié)，表明了EAP報(bào)文的報(bào)文類型。分配如下：
         1       請(qǐng)求
         2       應(yīng)答
         3       成功
         4       失敗

標(biāo)識(shí) Identifier
標(biāo)識(shí)字段占一個(gè)字節(jié)，用于應(yīng)答報(bào)文和請(qǐng)求報(bào)文之間進(jìn)行匹配。