Extensible Authentication Protocol

Extensible Authentication Protocol (EAP) – protokół komunikacyjny, który został opisany w dokumencie RFC 3748 ↓. Protokół ten umożliwia stosowanie oraz implementację różnorodnych metod uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji sposób. Architektura tego protokołu oparta jest na modelu klient-serwer. W terminologii EAP serwer pełni rolę serwera uwierzytelniającego, natomiast klient rolę suplikanta.

Protokół ten ma bardzo małe wymagania odnośnie do używanego medium transportowego. Jako warunek poprawnego funkcjonowania protokołu wymagane jest, aby warstwa transportowa gwarantowała uporządkowanie pakietów (niezawodność nie jest wymagana). Z tego względu protokół znalazł zastosowanie jako wygodny i elastyczny mechanizm uwierzytelniania użytkowników w takich protokołach, jak na przykład Point-to-Point Protocol, IEEE802. Proces uwierzytelniania przeprowadzany jest, zanim nastąpi inicjalizacja warstwy IP.

W najczęściej spotykanych rozwiązaniach urządzenie dostępowe (serwer uwierzytelniający) pracuje w roli pośrednika, pomiędzy użytkownikiem (suplikantem) a zewnętrznym serwerem uwierzytelniającym, przekazując jedynie pakiety EAP do i z zewnętrznego serwera.

Protokół EAP jest najczęściej używany w połączeniach:

• korzystających z protokołu PPP,
• korzystających z protokołu IEEE802 (wymagane są urządzenia sieciowe wspierające obsługę tego protokołu):
  • dla sieci przewodowych – IEEE802.1X,
  • dla sieci bezprzewodowych – IEEE802.11i.

Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację pojawiających się duplikatów pakietów i ponowną retransmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest serwer uwierzytelniający, natomiast suplikant musi zajmować się eliminacją duplikatów pakietów.

Bezpośrednio w protokole brakuje obsługi mechanizmu fragmentacji. Jeśli jakaś metoda uwierzytelniania potrzebuje przesyłać porcje danych, które są większe niż maksymalny rozmiar ramki łącza danych, to fragmentacja musi być zrealizowana w ramach tej metody.

Wśród zalet protokołu EAP należy wymienić:

• obsługa różnorodnych metod uwierzytelniania,
• istnieje możliwość negocjacji używanej metody uwierzytelniania,
• ponieważ urządzenie dostępowe może pracować w roli pośrednika, możliwe jest wdrożenie nowej (lub aktualizacja) metody uwierzytelniania, bez ingerowania w jego konfigurację – wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnętrznego serwera uwierzytelniania,
• separacja pomiędzy urządzeniem dostępowym a zewnętrznym serwerem uwierzytelniania ułatwia zarządzanie danymi poufnymi, takimi jak np. loginy i hasła użytkowników.

Najistotniejsze wady protokołu EAP to:

• nie wszystkie implementacje PPP wspierają uwierzytelnianie z wykorzystaniem protokołu EAP,
• sprzęt sieciowy (przełączniki, punkty dostępu) musi posiadać obsługę protokołu IEEE802,
• ze względu na separacje urządzenia dostępowego od zewnętrznego serwera uwierzytelniania komplikuje się analiza zagadnień bezpieczeństwa.

Dokument RFC 3748 ↓ wprowadza następujące obowiązkowe metody uwierzytelniania:

• MD5 Challenge,
• One Time Password (OTP),
• Generic Token Card (GTC).

Oprócz wyżej wymienionych metod istnieje wiele innych które są opisane w odrębnych dokumentach, np.:

• EAP-TLS – RFC 2716 ↓,
• EAP-TTLS – draft-ietf-pppext-eap-ttls-01.txt,
• EAP-IKEv2 – RFC 5106 ↓.

• B.B. Aboba B.B., D.D. Simon D.D., PPP EAP TLS Authentication Protocol, RFC 2716, IETF, październik 1999, DOI: 10.17487/RFC2716, ISSN 2070-1721, OCLC 943595667  (ang.).
• B.B. Aboba B.B., L.L. Blunk L.L., J.J. Vollbrecht J.J., J.J. Carlson J.J., H.H. Levkowetz H.H., Extensible Authentication Protocol (EAP), RFC 3748, IETF, czerwiec 2004, DOI: 10.17487/RFC3748, ISSN 2070-1721, OCLC 943595667  (ang.).
• H.H. Tschofenig H.H., D.D. Kroeselberg D.D., A.A. Pashalidis A.A., Y.Y. Ohba Y.Y., F.F. Bersani F.F., The Extensible Authentication Protocol-Internet Key Exchange Protocol version 2 (EAP-IKEv2) Method, RFC 5106, IETF, luty 2008, DOI: 10.17487/RFC5106, ISSN 2070-1721, OCLC 943595667  (ang.).