EAP 是一种身份验证框架,用于网络在授权设备(EAP 对等体)访问互联网和其他网络服务之前对其进行身份验证。EAP 本身并不是一种身份验证机制,而是一个支持大量身份验证方法的框架。多年来,许多不同的 EAP 方法已被标准化,包括一些特定于供应商的方法。在建立 IP 连接之前,EAP 通常直接在链路层上运行。每个链路层定义如何封装 EAP 数据包,每个 EAP 方法定义如何在 EAP 数据包中封装。EAP 由互联网工程任务组(IETF)标准化,目前由 EMU 工作组负责。
EAP 的主要优势在于其灵活性。当使用后端认证服务器时,接入网(包括认证器)只是作为后端认证服务器(EAP 服务器)的一个直通口,由其实施认证方法。要连接到网络,EAP 对等方通常使用网络访问标识符(NAI),如 @operator.net 或 @industry.net,而验证器则根据域(operator.net 或 industry.net)找到正确的 EAP 服务器。通过使用匿名 NAI,设备的用户名不会以明文形式发送。验证器和 EAP 服务器之间的接口通常是 RADIUS 或 DIAMETER。EAP 服务器可能会将 EAP 消息转发到不同的认证服务器(例如用于 3GPP 漫游的服务器)。
图 1 显示了企业部署 EAP 进行以太网和 Wi-Fi 接入身份验证的典型情况。现代 EAP 方法支持相互认证,并衍生出多个密钥: 主会话密钥(MSK)在 EAP 对等方和验证方之间共享,扩展 MSK(EMSK)在 EAP 对等方和 EAP 服务器之间共享。
EAP 与 IEEE 802 网络中的后端 EAP 服务器。
EAP 协议定义在RFC 3748。EAP 框架的其他方面(如状态机、网络发现和选择、EAP 密钥分级、中间人攻击和信道绑定)在配套文件中进行了讨论,所有现代 EAP 方法都在各自的规范中进行了定义。