Protokół Extensible Authentication Protocol (EAP) opisany jest w dokumencie RFC 3748. Protokół ten umożliwia stosowanie oraz implementację różnorodnych metod uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji sposób. Architektura tego protokołu oparta jest o model klient/serwer. W terminologii EAP serwer pełni rolę autentykatora, natomiast klient rolę suplikanta.

Protokół ten ma bardzo małe wymagania odnośnie używanego medium transportowego. Jako warunek poprawnego funkcjonowania protokołu wymagane jest, aby warstwa transportowa gwarantowała uporządkowanie pakietów (niezawodność nie jest wymagana). Z tego względu protokół znalazł zastosowanie jako wygodny i elastyczny mechanizm uwierzytelniania użytkowników w takich protokołach, jak np. PPP, IEEE802. Proces uwierzytelniania przeprowadzany jest zanim nastąpi inicjalizacja warstwy IP.

W najczęściej spotykanych rozwiązaniach urządzenie dostępowe (autentykator) pracuje w roli pośrednika, pomiędzy użytkownikiem (suplikantem) a zewnętrznym serwerem uwierzytelniającym, przekazując jedynie pakiety EAP do i z zewnętrznego serwera.

Spis treści

edytuj Zastosowanie

Protokół EAP jest najczęściej używany w połączeniach:

  • korzystajÄ…cych z protokoÅ‚u PPP,
  • korzystajÄ…cych z protokoÅ‚u IEEE802 (wymagane sÄ… urzÄ…dzenia sieciowe wspierajÄ…ce obsÅ‚ugÄ™ tego protokoÅ‚u):


Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację pojawiających się duplikatów pakietów i ponowną retransmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest autentykator, natomiast suplikant musi zajmować się eliminacją duplikatów pakietów.

Bezpośrednio w protokole brakuje obsługi mechanizmu fragmentacji. Jeśli jakaś metoda uwierzytelniania potrzebuje przesyłać porcje danych, które są większe niż maksymalny rozmiar ramki łącza danych, to fragmentacja musi być zrealizowana w ramach tej metody.

edytuj Zalety

Wśród zalet protokołu EAP należy wymienić:

  • obsÅ‚uga różnorodnych metody uwierzytelniania,
  • istnieje możliwość negocjacji używanej metody uwierzytelniania,
  • ponieważ urzÄ…dzenie dostÄ™powe może pracować w roli poÅ›rednika, możliwe jest wdrożenie nowej (lub aktualizacja) metody uwierzytelniania, bez ingerowania w jego konfiguracjÄ™ –- wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnÄ™trznego serwera uwierzytelniania,
  • separacja pomiÄ™dzy urzÄ…dzeniem dostÄ™powym a zewnÄ™trznym serwerem uwierzytelniania uÅ‚atwia zarzÄ…dzanie danymi poufnymi, takimi jak np. loginy i hasÅ‚a użytkowników.


edytuj Wady

Najistotniejsze wady protokołu EAP to:

  • nie wszystkie implementacje PPP wspierajÄ… uwierzytelnianie z wykorzystaniem protokoÅ‚u EAP,
  • sprzÄ™t sieciowy (przeÅ‚Ä…czniki, punkty dostÄ™pu) musi posiadać obsÅ‚ugÄ™ protokoÅ‚u IEEE802,
  • ze wzglÄ™du na separacje urzÄ…dzenia dostÄ™powego od zewnÄ™trznego serwera uwierzytelniania komplikuje siÄ™ analiza zagadnieÅ„ bezpieczeÅ„stwa.


edytuj Metody EAP

Dokument RFC 3748 wprowadza następujące obowiązkowe metody uwierzytelniania:

  • MD5 Challange
  • One Time Password (OTP)
  • Generic Token Card (GTC)

Oprócz wyżej wymienionych metod istnieje wiele innych które są opisane w odrębnych dokumentach, np.: