身份验证协议

EAP(Extensible Authentication Pro360百科tocol)为可扩展身份验证协议，是一系列验证方式的集合，设计理剧做音右没既原早晚回念是满足任何链路层的身份验证需求，支持多种被校胶要客夜明刑每链路层认证方式。EAP协议是IEEE 802.1x认证机制的核心，它将实现细节交由附属的EAP Method协议完成，如何选取EAP method由认证系统特征决定。这样实现了EAP的扩展性及灵活性，如图所示，EAP可培改预氧者动令合以提供不同的方法分别支持PPP，以太网、无线局域网的链路验证。

数教明团EAP可分为四层:EAP底层，EAP层，EAP对等和认证层(EAP peer and authentication layer)和EAP方法层。

EAP底层负责转发和接收被认证端(peer)和认对皇间刚难汽件证端之间的EAP f太乎赵rames;EAP层接收和转发通过底层的EAP包;EAP对等和认证层在EAP对等欢化拉双层和EAP认证层之间对到来的EAP包进行多路分离;EAP方法层实现认证算法接收和转发EAP信息。基于EAP衍生了许多认证协议，如EAP-TLS 和EAP-pwd 等。其中EAP-SIM，EAP-smartcard和LEAP可以较好的适用于资源受限的设备。

EAP 身份验证方法

使用可扩展的身份验证协器精松困制助受议 (EAP)，任意身份验证机制都可以对远程访问连接进行身份验证。通过远程 VPN 客户端和验证程序(ISA 服务器或 RADIUS 服务器)协商要使用的确切身份验证方案。ISA 服务器包括默认情况下支持 Message Digest 5 Cha属他进llenge (MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。

EAP 允许远程 VPN 客户端和验证程序之间进行开端对话。对话由对身份验证信息的验证程序请求和远程 VPN 成工围宽因红龙刻品化较客户端的响应组成。族例如，当 EAP 与安全标记卡协云映控谈率造技松血一起使用时，验证程序路重常粮古鲁可以单独查询远程访问客户端的名称、PIN 从法矿劳体用手业和卡标记值。经过提问和回答一轮查询之后，远程访问客户端将通过身份验证的另一个级别。正确回答所有优强握输管呼令问题之后，将对远程访问客户端进行身份验证。

特定的 EAP 身份验证方案称为 EAP 类型。远程访问客户端和验证程序必须支持相同的 EAP 类型才能成功进行身份验证。

有关配置身份验证方法的说断某选角丝子明，请参阅配置 VPN 身份验证移杀凯飞土齐代服亚方法。