3gpp标准-5G认证EAP - 通信人家园

EAP（ExtensibleAuthentication Protocol），可扩展认证协议，是一种普遍使用的支持多种认证方法的认证框架协议，主要用于网络接入认证。该协议一般运行在数据链路层上，即可以直接运行于PPP或者IEEE 802之上，不必依赖于IP。EAP可应用于无线、有线网络中。

EAP的架构非常灵活，在Authenticator（认证方）和Supplicant（客户端）交互足够多的信息之后，才会决定选择一种具体的认证方法，即允许协商所希望的认证方法。认证方不用支持所有的认证方法，因为EAP架构允许使用一个后端的认证服务器（也就是AAA服务器），此时认证方将在客户端和认证服务器之间透传消息。

该协议支持重传机制，但这需要依赖于底层保证报文的有序传输，EAP不支持乱序报文的接收。协议本身不支持分片与重组，当一些EAP认证方法生成大于MTU（MaximumTransmission Unit，最大传输单元）的数据时，需要认证方法自身支持分片与重组。

EAP认证方法目前大约有40种，IETF的RFC中定义的方法包括：EAP-MD5、 EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA, 还包括一些厂商提供的方法和新的建议。AP过程

EAP过程由认证方发起，而认证协议一般都是由客户端发起，为了在特定的认证协议上支持EAP过程，认证协议需要增加一个或多个的附加报文来满足条件。如以太网上的认证通常情况下是以客户端发送EAPOL报文开始的。

1、Authenticator发送请求报文EAP-Request给Supplicant（客户端），表明EAP认证开始。该请求由一个字段标明需要请求的数据是什么。这个字段包含Identity（询问对端的身份）, MD5-challenge（MD5挑战字）等。上述发送EAP-Request的步骤在某些情况下也可省去，比如在有线网络中，Authenticator（有时也称为NAS）已经根据客户端连接的端口识别用户身份，或者通过MAC地址，IMSI卡等识别用户身份的情况下。

2、Supplicant针对Authenticator发过来的请求回应一个响应消息EAP-Response，该消息包含了请求消息中请求的字段信息，如身份识别信息。

3、Authenticator继续发送EAP-Request消息，消息中包含具体EAP Type及其协议数据，Supplicant对此做出响应。根据EAP Method的不同，此步骤可能会交互多次。

EAP交互过程是Supplicant与Authenticator一来一往的过程，每次只能处理一个EAP报文，在收到响应之前不能发送新的请求，即锁步机制（Lockstep）。因此Authenticator要负责请求消息的重传。如果重传一定次数后都没有收到应答消息，这次的EAP过程就要被终结。重传后收到应答消息或者一直没有收到应答消息，Authenticator都不发送成功或者失败消息。

4、交互多次之后，会出现两种情形：Authenticator不能确认Supplicant的接入权限，此时必须发送EAP-Failure，终结此次的EAP过程；或者确认接入权限，此时必须发送EAP-Success消息。

Authenticator也可以作为PassThrough设备，透传EAP报文。这种情形下Authenticator检查EAP的Code，Id及Length并将报文转发出去。Authenticator需要将EAP Code为2（Response）的报文转给后端的认证服务器，将EAP Code=1（Request），3（Success），4（Failure）的报文转给Supplicant。在这个处理过程中除非Pass ThroughAuthenticator实现了某种EAP Methods，一般是只将消息转发，并不去检查EAP Methods Layer的的消息头（即EAP Type）。