Extensible Authentication Protocol

EAP (Extensible Authentication Protocol) on alun perin PPP-protokollan yhteydessä kehitetty käyttäjien tunnistusprotokolla (RFC 3748, päivitysversio RFC 5247). IEEE sovitti sen toimimaan myös 802.1X-protokollan kanssa. ^[1]

Sitä ajetaan käytännössä Työasemalta RADIUS-palvelimelle asti. Se on vain todennusprotokollan runko, jolla voidaan neuvotella mitä tarkkaa todennusmekanismia käytetään. Mahdollisia IETF:n määrittämiä avoimia EAP-todennusprotokollia ovat:

EAP-SRP: haaste/vastaus-tyylinen salasanatunnistus.
EAP-TLS: TLS-pohjainen varmenne/sirukorttitunnistus.

Valmistajakohtaisia EAP-protokollia:

EAP-SIM: Nokian määrittelemä tapa todentaa käyttäjät SIM-kortilla.
LEAP (Lightweight EAP): Ciscon valmistajakohtainen järjestelmä, joka on kryptografisesti heikko ja murrettavissa.

Muita EAP-protokollia^[1]:

EAP-MD5: Kevytrakenteinen mutta heikosti suojattu tunnistus.
EAP-TTLS: Tunneled TLS - laajennus EAP-TLS:lle joka helpottaa tunnistautumista.

Koska EAP ei sinällään todenna palvelinta asiakkaalle päin ja sisältää muita ongelmia, useimmiten nykyään käytetään sen suojattua muotoa Protected EAP (PEAP). Siinä ensin käydään TLS-neuvottelu palvelimelta asiakkaalle ja sen jälkeen ajetaan TLS-suojatussa tunnelissa haluttua huonommin suojattua EAP-protokollaa.

Lähteet

↑ ^a ^b Harri Lehmonen (insinöörityö): 802.1X-autentikoinnin käyttöönotto toimistoverkossa 2007. Helsingin ammattikorkeakoulu, Tekniikan ja liikenteen toimiala. Viitattu 25.7.2021.

Tämä tietotekniikkaan liittyvä artikkeli on tynkä. Voit auttaa Wikipediaa laajentamalla artikkelia.

[hl07-1] Harri Lehmonen (insinöörityö): 802.1X-autentikoinnin käyttöönotto toimistoverkossa 2007. Helsingin ammattikorkeakoulu, Tekniikan ja liikenteen toimiala. Viitattu 25.7.2021.

[1]