Extensible Authentication Protocol

Extensible Authentication Protocol

EAPExtensible Authentication Protocol RFC 3748 (Request for Comments) ist ein von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungs-Protokoll, das unterschiedliche Authentisierungsverfahren (wie z. B. Username/Password (RADIUS), elektronische Zertifizierung, SIM (Subscriber Identity Module), etc.) unterstützt. EAP wird oft für die Zugriffskontrolle bei WLAN (Wireless Local Area Network)-Netzwerken genutzt.

EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifikation, d. h. der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentisierung um die Infrastruktur kümmern und sie aktualisieren müsste. EAP ist heute weit verbreitet und wird von unterschiedlichen Transport-Protokollen, wie z. B. PPP (Point-to-Point Protocol), RADIUS (Remote Authentication Dial-In User Service) (RFC 2869), Diameter, unterstützt. Der IEEE 802.1X Standard schlägt u.a. EAP als Authentisierungsverfahren vor. Ebenso hat 3GPP den EAP-Standard zur Zusammenführung der GSM- mit der IP-Technologie übernommen. EAP könnte in Zukunft zudem zum bevorzugten Authentisierungsverfahren bei der WiMAX-Authentisierung werden.

Inhaltsverzeichnis

Vorteile

Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungs-Aufbau-Phase ausgehandelt werden müssen.

Authentifizierungsverfahren

Bei EAP erfolgt die Aushandlung des konkret eingesetzten Authentisierungs-Mechanismus erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt. Ein sog. Supplicant (Bittsteller) ist ein User oder Client, welcher sich bei einer Authentifizierungsstelle zur Authentisierung anmelden möchte, z. B. ein mobiler Node beim Verbindungsaufbau zu einem Netzwerk. Ein sog. Authentikator gibt dabei die Authentifizierungs-Nachrichten vom Supplicant an den Authentisierungs-Server weiter. Dabei können auch mehrere Mechanismen in Folge benutzt werden. Die Kontrolle darüber hat der Authentikator, der mittels eines Request das Verfahren bestimmt. Zur Auswahl stehen z. B. Identitätsabfrage für Dial-In-Verbindungen, MD5-Challenge (CHAP), One-Time-Passwörter, Generic Token Cards etc. Nach Authentisierungsanreiz (Request) vom Authentikator an den Supplicant, antwortet dieser mit einer Response, die im Datenfeld die jeweilige Authentisierung (Identität (ID), Passwort, Hash-Wert, IMSI etc.) enthält. Daraufhin kann der Authentikator weitere Angaben mittels Challenge-Response-Verfahren fordern. Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Response vom Authentikator.

Identität

Identifizierung möglicherweise durch den Benutzer, d. h. durch Eingabe einer User-ID. Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird.

Benachrichtigung

Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird. Z. B. Authentifizierungsfehler, Passwortablaufzeit, …

NAK

(NAK = No Acknowledgement / Negative Acknowledgement). Dieser Typ darf nur in einer Response-Nachricht auftauchen. Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt.

MD5-Challenge

Dies entspricht CHAP mit MD5 als Hash-Algorithmus. In der Request-Message wird ein Zufallswert übertragen. Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch Challenge-Response-Authentifizierung).

One-Time-Password

Die Request-Message enthält eine OTP-Challenge. Im Response-Paket steht das jeweilige One-Time-Passwort.

TLS

Um ein aufwendiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von TLS verwendet.

Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten WLAN-Komponenten genutzt werden kann. Dabei prüft der Authenticator (Accesspoint/Router) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver (RADIUS).

Weitere Verfahren

Es gibt ca. 40 EAP-Verfahren, darunter sind:

  • Laut RFC: EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM, EAP-AKA
  • Herstellerspezifisch: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP, EAP-TTLS, EAP-IKEv2

Weblinks

  • RFC 3748 – Extensible Authentication Protocol (EAP)
  • RFC 2284 – PPP Extensible Authentication Protocol (EAP)
  • RFC 1938 – A One-Time Password System
  • RFC 4186 – Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)

Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Extensible Authentication Protocol — Extensible Authentication Protocol, or EAP, is a universal authentication framework frequently used in wireless networks and Point to Point connections. It is defined in RFC 3748, which has been updated by RFC 5247. Although the EAP protocol is… …   Wikipedia

  • Extensible Authentication Protocol — Saltar a navegación, búsqueda Extensible Authentication Protocol (EAP) es una autenticación framework usada habitualmente en redes WLAN Point to Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para… …   Wikipedia Español

  • Extensible Authentication Protocol — Pour les articles homonymes, voir EAP. Extensible Authentication Protocol (EAP) est un mécanisme d identification universel, fréquemment utilisé dans les réseaux sans fil (ex : de type Wi Fi) et les liaisons point à point. Sommaire 1… …   Wikipédia en Français

  • Extensible Authentication Protocol —    Abbreviated EAP. In Microsoft Windows 2000 Server, a mechanism that allows future authentication schemes to be added to the operating system quickly and easily.    See also Challenge Handshake Authentication Protocol …   Dictionary of networking

  • Protected Extensible Authentication Protocol — PEAP is also an acronym for Personal Egress Air Packs. Protected Extensible Authentication Protocol, Protected EAP, or simply PEAP (pronounced peep ), is a method to securely transmit authentication information, including passwords, over wired or …   Wikipedia

  • Lightweight Extensible Authentication Protocol — The Lightweight Extensible Authentication Protocol (LEAP) is a proprietary wireless LAN authentication method developed by Cisco Systems. Important features of LEAP are dynamic WEP keys and mutual authentication (between a wireless client and a… …   Wikipedia

  • Protected Extensible Authentication Protocol — Protected Extensible Authentication Protocol, Protected EAP, ou plus simplement PEAP, est une méthode de transfert sécurisée d informations d authentification, créée au départ pour les réseaux sans fil. Ce protocole a été développé conjointement… …   Wikipédia en Français

  • Lightweight Extensible Authentication Protocol — Das Lightweight Extensible Authentication Protocol (LEAP) ist eine proprietäre Methode von Cisco Systems, mit der es möglich ist, eine Authentifizierung für Wireless Clients zu integrieren. Ein interessantes Merkmal ist die Möglichkeit, mehrere… …   Deutsch Wikipedia

  • Authentication protocol — An authentication protocol is a type of cryptographic protocol with the purpose of authenticating entities wishing to communicate securely.Authentication protocol may refer to: * Challenge handshake authentication protocol (CHAP) * Extensible… …   Wikipedia

  • Password authentication protocol — A password authentication protocol (PAP) is an authentication protocol that uses a password. PAP is used by Point to Point Protocol to validate users before allowing them access to server resources. Almost all network operating system remote… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”