EAP

EAP 的全名是 PPP Extensible Authentication Protocol，它提供 了多種的認證型態以達認證的功能[20]。在 PPP 的協定之中，定義了 如何透過兩個點對點之間的連線來傳輸資料，其中也包含了認證的功 能。由於原本 PPP 協定中的認證只支援了簡單的認證功能[21]。而 EAP 便是針對 PPP 的認證功能所做的延伸，它可以支援多種認證方式。EAP 並不在 PPP 的 Link Control Phase 中指明使用何種認證方式，而是把 認證的過程延後，如此一來可以於後端新增一個認證伺服器來支援多 重認證方式的使用。於是 IETF 便公佈這個延伸的協定，透過了新增 PPP 協定中的 Authentication-Protocol 值為 C227，則表示可使用 EAP 用來認證。

整個 EAP 的過程是由認證者(Authenticator，通常指 AP 或後端伺 服器)，對客戶端提出認證的請求，這個請求之中的一個欄位會包含所 用的 EAP 型態，諸如 MD5、One-Time Password、Token Card 等等，

之後客戶端送出回應給認證者，回應的封包會有兩種情形，第一種是 回應封包中包含了認證者所提供的 EAP 型態及認證資訊，則認證者可 以驗證資料正確與否；第二種情形是客戶端不支援認證者所要求的認

證型態，則客戶端回應封包中的 EAP 型態欄位中則會填入「NaK」，

認證者收到 NaK 的封包後則會再次發起另一個 EAP 型態的要求封 包，客戶端則再次回應另一個回應封包。最後認證者則回應成功或失 敗的訊息給客戶端，而結束整個認證的過程。

整個 EAP 認證流程請參考下圖 7。

圖 7 EAP 認證流程

EAP 的優點

EAP 的好處在於可以支援多種 EAP 型態的認證，另外證明者也無 需瞭解各種 EAP 型態如何認證，它可以當做一個代理者的角色把各種 EAP 型態的封包往後端的認證伺服器傳送。最後只要認得認證伺服器 傳回的成功或失敗封包即可。

EAP 的缺點

現有的 PPP 協定必須修正為支援 EAP 功能。表示舊有的 PPP 設 備必須透過昇級才能使用 EAP 認證。

Peer Peer

(Authenticator) LCP

EAP Request (EAP-TYPE) EAP Response(EAP-TYPE/NaK)

Success/Failure

•••

3.4. 802.1x

802.1x 是由 IEEE 組織在 2001 年八月時所公佈[22]。目前許多新 的無線網路設備加入了 802.1x 的標準以加強無線網路的安全性。儘管 如此，如果可以適當的使用 802.1x 標準，的確可以提昇安全性的需求。

由於下列幾項新興的趨勢促進了 802.1x 的發展：

網路使用率在公眾與半公眾區域中的提昇

當網路從內部區域延伸到公眾區域後，管理者需要控制這些使用 者的網路存取權力。在 802.1x 以前，使用者只要網路插上網路連接埠，

就可以任意地使用網路資源，在無線網路的環境中使用者甚至只要接 上無線網路卡，無需任何實體線路就可以無線上網。

控制每一個連接埠的需求提昇

網路連接埠是使用者連上網路的第一道關卡，在這道關卡上進行 封包或是協定的過濾，就可以針對各別使用者來控制他們的存取權限。

認證、授權、紀錄(Authentication Authorization Accounting，簡稱 AAA)的需求提昇

傳統的做法可以透過遠端撥號服務或是經由防火牆來達到 AAA 的 需求，目前許多地方都在投資 AAA 的基礎建設以達到對使用者上網的 存取控制。802.1x 標準可以讓目前 802.1x 的設備結合 AAA 伺服器達 到上述的功能。

傳遞動態加密金鑰的需求提昇

無線網路中的 WEP 做法是為了達到跟有線環境上相當的加密等 級，它透過對稱式加密方式讓兩端使用者建立一個加密的通道來傳輸 資料。如何安全地傳遞及管理這些加密金鑰是一項極大的挑戰。802.1x

提供了一個方法可以傳遞 WEP 金鑰給 AP 及用戶端。

3.4.1. 802.1x 概述

IEEE 802.1x，也稱為 Port Based Network Access Control，定義 了一個以網路連接埠為基礎的存取控制認證方式。 By Authenticator`s

System

Authenticator Authentication Server

LAN

圖 8 Supplicant, Authenticator 與 Authentication Server 關係圖。在 802.1x 中每一個連接埠即需要一 個 Authenticator。上圖表示連接埠未經授權，所以不允許網路封包通過。

3.4.2. 802.1x 用於無線網路

在無線網路中應用 802.1x 標準時，客戶端必須先與連線的 AP 建 立關聯(association)，建立完成後才能與認證伺服器交換 EAP 訊息來 認證邏輯連接埠。當邏輯連接埠被授權之前，AP 只能用來交換 EAP 訊息。建立關聯及 EAP 認證的流程如圖 9：

圖 9 無線網路中 Association, Authentication 及 Key Distribution 的過程

802.1x 標準利用下列兩個特點來達到每一個連接埠的存取控制：

l 建立邏輯連接埠

在 EAPOL 協 定 的 交 換 過 程 中 使 用 了 客 戶 端 及 AP 的 MAC Address 以達到對邏輯層位址的控制。

l 金鑰管理

客 戶 端 在 認 證 完 成 後 ， AP 才 會 送 出 或 收 到 包 含 金 鑰 資 訊 的 EAPOL-Key 訊息。

建立邏輯連接埠

但在無線網路的環境中，每一個客戶端並不是透過實體的連接線

連上網路，甚至許多台電腦會經由一個 AP 來上網，因此 802.11 的環 境中，客戶端必須透過一個建立關聯的過程才能上網。透過關聯的過 程，AP 才能得到電腦的 MAC Address，客戶端即可以建立一個「邏 輯連接埠」，之後才能與 AP 通訊。AP 必須使用 Open Authentication，

才能讓客戶端在取得 WEP 金鑰前建立關聯。當關聯建立完成後，所連 接的電腦即可使用 EAP 協定做認證的動作。

金鑰管理

802.1x 是一個認證協定，其中不包含 WEP 或其他的加密演算法，

它透過 EAPOL-Key 訊息即可讓 AP 發佈加密金鑰的資訊到客戶端。這 個訊息是每個 session 使用一次，如果有心人士想要擷取 WEP 金鑰，

下個 session 後這個金鑰就沒有用了。