EAPOL 協議

一、基本概念

　　EAPOL 的全稱為 Extensible Authentication Protocol Over LAN，即 EAP Over Lan，也即基於局域網的擴展認證協議。EAP是一個普遍使用的認證機制，它常被用於無線網絡或點到點的連接中。EAP不僅可以用於無線局域網，而且可以用於有線局域網。EAP是一個認證框架，不是一個特殊的認證機制。EAP提供一些公共的功能，並且允許協商所希望的認證機制。這些機制被叫做EAP方法，現在大約有40種不同的方法。

 

二、EAP的認證過程

　　EAP 交換范例如下圖所示。EAP交換過程從認證請求開始，以成功或失敗信息結束。在EAP認證方式交換過程中，由認證者發送的封包是以Request/Method表示，如果是客戶端答復的響應則以Response/Method表示。

 

 

 

1、認證者（authenticator）發出一個Request/Identity（請求/身份證明）數據包以識別用戶身份。

 

2、客戶端要求用戶輸入標識符，隨后將搜集到的用戶標識符以Response/Identify（響應/身份證明）消息送出。

 

3、一旦認出該用戶，認證者隨即會送出認證質詢（Request/MD-5 Challenge）。

 

4、客戶端在設定上是以token card（令牌卡）進行身份驗證，因此會送出一個Response/NAK（響應/否定確認）消息，提議以Generic Token Card （一般令牌卡）作為認證機制。

5、認證者會送出一個Request/Generic Token Card（請求/一般令牌卡）的質詢，要求取得卡號（numerical sequence on the card）。

6、用戶輸入卡號，通過Response/Generic Token Card（響應/一般令牌卡）送回。

7、用戶的響應並不正確，因此認證失敗。不過，這個認證者在EAP的實現中允許多次認證，因此會送出第二個Request/Generic Token Card（請求/一般令牌卡）的質詢。

8、用戶再度響應，依然通過Response/Generic Token Card（響應/一般令牌卡）傳遞。

9、此次的響應正確，因此認證者發出一個success （成功）消息。

 

三、協議包的格式