Extensible Authentication Protocol

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

Protokół Extensible Authentication Protocol (EAP) opisany jest w dokumencie RFC 3748. Protokół ten umożliwia stosowanie oraz implementację różnorodnych metod uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji sposób. Architektura tego protokołu oparta jest o model klient/serwer. W terminologii EAP serwer pełni rolę serwera uwierzytelniającego, natomiast klient rolę suplikanta.

Protokół ten ma bardzo małe wymagania odnośnie używanego medium transportowego. Jako warunek poprawnego funkcjonowania protokołu wymagane jest, aby warstwa transportowa gwarantowała uporządkowanie pakietów (niezawodność nie jest wymagana). Z tego względu protokół znalazł zastosowanie jako wygodny i elastyczny mechanizm uwierzytelniania użytkowników w takich protokołach, jak np. PPP, IEEE802. Proces uwierzytelniania przeprowadzany jest zanim nastąpi inicjalizacja warstwy IP.

W najczęściej spotykanych rozwiązaniach urządzenie dostępowe (serwer uwierzytelniający) pracuje w roli pośrednika, pomiędzy użytkownikiem (suplikantem) a zewnętrznym serwerem uwierzytelniającym, przekazując jedynie pakiety EAP do i z zewnętrznego serwera.

Zastosowanie[edytuj | edytuj kod]

Protokół EAP jest najczęściej używany w połączeniach:

  • korzystających z protokołu PPP,
  • korzystających z protokołu IEEE802 (wymagane są urządzenia sieciowe wspierające obsługę tego protokołu):

Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację pojawiających się duplikatów pakietów i ponowną retransmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest serwer uwierzytelniający, natomiast suplikant musi zajmować się eliminacją duplikatów pakietów.

Bezpośrednio w protokole brakuje obsługi mechanizmu fragmentacji. Jeśli jakaś metoda uwierzytelniania potrzebuje przesyłać porcje danych, które są większe niż maksymalny rozmiar ramki łącza danych, to fragmentacja musi być zrealizowana w ramach tej metody.

Zalety[edytuj | edytuj kod]

Wśród zalet protokołu EAP należy wymienić:

  • obsługa różnorodnych metod uwierzytelniania,
  • istnieje możliwość negocjacji używanej metody uwierzytelniania,
  • ponieważ urządzenie dostępowe może pracować w roli pośrednika, możliwe jest wdrożenie nowej (lub aktualizacja) metody uwierzytelniania, bez ingerowania w jego konfigurację – wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnętrznego serwera uwierzytelniania,
  • separacja pomiędzy urządzeniem dostępowym a zewnętrznym serwerem uwierzytelniania ułatwia zarządzanie danymi poufnymi, takimi jak np. loginy i hasła użytkowników.

Wady[edytuj | edytuj kod]

Najistotniejsze wady protokołu EAP to:

  • nie wszystkie implementacje PPP wspierają uwierzytelnianie z wykorzystaniem protokołu EAP,
  • sprzęt sieciowy (przełączniki, punkty dostępu) musi posiadać obsługę protokołu IEEE802,
  • ze względu na separacje urządzenia dostępowego od zewnętrznego serwera uwierzytelniania komplikuje się analiza zagadnień bezpieczeństwa.

Metody EAP[edytuj | edytuj kod]

Dokument RFC 3748 wprowadza następujące obowiązkowe metody uwierzytelniania:

  • MD5 Challange,
  • One Time Password (OTP),
  • Generic Token Card (GTC).

Oprócz wyżej wymienionych metod istnieje wiele innych które są opisane w odrębnych dokumentach, np.: