EAP报文,eap报文格式

('EAP协议1.EAP身份验证方法使用可扩展的身份验证协议(EAP)，任意身份验证机制都可以对远程访问连接进行身份验证。通过远程VPN客户端和验证程序（ISA服务器或RADIUS服务器）协商要使用的确切身份验证方案。ISA服务器包括默认情况下支持MessageDigest5Challenge(MD5-Challenge)和EAP-TransportLevelSecurity(EAP-TLS)。EAP允许远程VPN客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程VPN客户端的响应组成。例如，当EAP与安全标记卡一起使用时，验证程序可以单独查询远程访问客户端的名称、PIN和卡标记值。经过提问和回答一轮查询之后，远程访问客户端将通过身份验证的另一个级别。正确回答所有问题之后，将对远程访问客户端进行身份验证。特定的EAP身份验证方案称为EAP类型。远程访问客户端和验证程序必须支持相同的EAP类型才能成功进行身份验证。2.EAP结构EAP是一组以插件模块的形式为任何EAP类型提供结构支持的内部组件。为了成功进行身份验证，远程访问客户端和验证程序必须安装相同的EAP身份验证模块。ISA服务器支持两种EAP类型：MD5-Challenge和EAP-TLS。2.1MD5-ChallengeMessageDigest5Challenge(MD5-Challenge)是一种必需的EAP类型，其使用与基于PPP的CHAP相同的质询/握手协议，但是质询和响应是作为EAP消息发送的。MD5-Challenge的典型用法是通过使用用户名和密码安全系统对远程VPN客户端的凭据进行身份验证。您还可以使用MD5-Challenge来测试EAP的互操作性。2.2EAP-TLSEAP-TransportLevelSecurity(EAP-TLS)是在基于证书的安全环境中使用的EAP类型。如果您将智能卡用于远程访问身份验证，则必须使用EAP-TLS身份验证方法。EAP-TLS的消息交换可以提供远程VPN客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS提供了最强大的身份验证和密钥确定方法。3.EAP-RADIUSEAP-RADIUS并不是一种EAP类型，但是可以通过验证程序将任何EAP类型的EAP消息传递到RADIUS服务器，以便进行身份验证。例如，将ISA服务器配置为用于RADIUS身份验1证时，将封装在远程VPN客户端和ISA服务器之间发送的EAP消息，并在远程访问服务器和RADIUS服务器之间将格式设置为RADIUS消息。EAP-RADIUS用在将RADIUS作为身份验证提供程序的环境中。使用EAP-RADIUS的优势在于不需要在每个远程访问服务器上安装EAP类型，只需要在RADIUS服务器上安装即可。在Internet验证服务(IAS)中，只需要在ISA服务器上安装EAP类型。2',)