Zum Inhalt springen

Extensible Authentication Protocol

aus Wikipedia, der freien Enzyklopädie

Das Extensible Authentication Protocol (EAP; {{#invoke:Vorlage:lang|full|CODE=de|SCRIPTING=Latn|SERVICE=deutsch}}<ref>Extensible Authentication Protocol (EAP). heise online, Glossar.</ref>) ist ein von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungsprotokoll, das unterschiedliche Authentifizierungsverfahren unterstützt wie z. B. Benutzername/Passwort (RADIUS), Digitales Zertifikat, SIM-Karte. EAP wird oft für die Zugriffskontrolle in WLANs genutzt.

EAP wurde entwickelt, um eine generische Unterstützung bei der Authentifizierung, d. h. der Einwahl, in ein fremdes Netzwerk zu schaffen, ohne dass man sich bei jeder neuen Authentifizierung um die Infrastruktur kümmern und sie aktualisieren müsste. EAP ist heute weit verbreitet und wird von unterschiedlichen Transportprotokollen, wie z. B. Point-to-Point Protocol (PPP), Remote Authentication Dial-In User Service (RADIUS) und Diameter unterstützt. Der IEEE-802.1X-Standard schlägt u. a. EAP als Authentifizierungsverfahren vor. Ebenso hat 3GPP den EAP-Standard zur Zusammenführung der GSM- mit der IP-Technologie übernommen. EAP könnte in Zukunft zudem zum bevorzugten Authentifizierungsverfahren bei der WiMAX-Authentifizierung werden.

Vorteile

Es können mehrere Authentifizierungsmechanismen (auch in Folge) verwendet werden, die nicht schon in der Verbindungsaufbauphase ausgehandelt werden müssen.

Authentifizierungsverfahren

Bei EAP erfolgt die Aushandlung des konkret eingesetzten Authentifizierungsmechanismus erst während der Authentifizierungsphase, was den Einsatz eines Authentifizierungs-Servers erlaubt. Ein sogenannter Supplikant (Bittsteller) ist ein User oder Client, welcher sich bei einer Authentifizierungsstelle zur Authentifizierung anmelden möchte, z. B. ein mobiler Node beim Verbindungsaufbau zu einem Netzwerk. Ein sogenannter Authentikator gibt dabei die Authentifizierungsnachrichten vom Supplicant an den Authentifizierungs-Server weiter. Dabei können auch mehrere Mechanismen in Folge benutzt werden. Die Kontrolle darüber hat der Authentikator, der mittels eines Request das Verfahren bestimmt. Zur Auswahl stehen z. B. Identitätsabfrage für Dial-In-Verbindungen, MD5-Challenge (CHAP), One-Time-Passwörter, Generic Token Cards etc. Nach Authentifizierungsanreiz (Request) vom Authentikator an den Supplicant, antwortet dieser mit einer Response, die im Datenfeld die jeweilige Authentifizierung (Identität (ID), Passwort, Hash-Wert, IMSI etc.) enthält. Daraufhin kann der Authentikator weitere Angaben mittels Challenge-Response-Verfahren fordern. Abgeschlossen wird die Authentifizierung mit einem Success-/Failure-Response vom Authentikator.

Identität

Identifizierung möglicherweise durch den Benutzer, d. h. durch Eingabe einer User-ID. Im Request-Paket kann ein Aufforderungstext mitgeschickt werden, der dem Benutzer vor der Eingabe der ID angezeigt wird.

Benachrichtigung

Im Datenteil des Pakets wird eine Meldung an den Benutzer transportiert, die diesem angezeigt wird. Z. B. Authentifizierungsfehler, Passwortablaufzeit, …

NAK

(NAK = No Acknowledgement / Negative Acknowledgement). Dieser Typ darf nur in einer Response-Nachricht auftauchen. Es wird damit signalisiert, dass der Peer das gewünschte Authentifizierungsverfahren nicht unterstützt.

MD5-Challenge

Dies entspricht CHAP mit MD5 als Hash-Algorithmus. In der Request-Message wird ein Zufallswert übertragen. Das Response-Paket enthält den Hash-Wert über diesen Zufallswert und ein nur den beiden Parteien bekanntes Passwort (siehe auch Challenge-Response-Authentifizierung).

One-Time-Password

Die Request-Message enthält eine OTP-Challenge. Im Response-Paket steht das jeweilige One-Time-Passwort.

TLS

Um ein aufwendiges Design von kryptographischen Protokollen zu vermeiden, wird hier der Authentifizierungsdialog von TLS verwendet.

Weit verbreitet ist das EAP-TLS-Verfahren, welches bei allen nach 802.11i standardisierten WLAN-Komponenten genutzt werden kann. Dabei prüft der Authenticator (Accesspoint/Router) die vom potentiellen Netzwerkteilnehmer (Notebook) übermittelten Authentifizierungsinformationen auf einem Authentifizierungsserver (RADIUS).

SIM/AKA

Das EAP for GSM Subscriber Identity Module bzw. for UMTS Authentication and Key Agreement (RFC 4186<ref>Vorlage:RFC-Internet</ref> – RFC 4187<ref>Vorlage:RFC-Internet</ref>) ist ein weiteres Authentifizierungsverfahren des Extensible Authentication Protocols, welches die GSM/UMTS SIM-Karte zum Authentifizieren nutzt. Durch diese Methode erfolgt das Einwählen an einem verschlüsselten WLAN automatisch, da der Client (meist ein Mobiltelefon) sich im Triple-A-System durch seinen SIM-Authentifizierungs-Algorithmus einwählt und somit die Eingabe eines voreingestellten WLAN-Passworts wegfällt.<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20120409120027 

      | {{#ifeq: 20120409120027 | *
    | Vorlage:Webarchiv/Wartung/Stern{{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }} (Archivversionen)
    | {{#iferror: {{#time: j. F Y|20120409120027}}
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/DatumDer Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
         | {{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y|20120409120027}} im Internet Archive{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
      }}
  }}
      | {{#if:
          | {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
    | {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
       | 16= {{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | 9 = {{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!Vorlage:Webarchiv/Wartung/webcitation{{#if:  || }}
      }}
    | c|{{{webciteID}}}}} {{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }} (Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
  }}
          | {{#if: 
              | Vorlage:Webarchiv/Today
              | {{#if:
                      | Vorlage:Webarchiv/Generisch
                      | {{#if: What is EAP-SIM? | {{#invoke:WLink|getEscapedTitle|What is EAP-SIM?}} | {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}} }}  
                 }}}}}}}}{{#if:
    | Vorlage:Webarchiv/archiv-bot
  }}{{#invoke:TemplatePar|check
     |all      = url=
     |opt      = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
     |cat      = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
     |errNS    = 0
     |template = Vorlage:Webarchiv
     |format   = *
     |preview  = 1
  }}{{#ifexpr: {{#if:20120409120027|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
  }}{{#if: 
    | {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
        | web.archive.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}} 
        | webcitation.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}} 
        | archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
      }}{{#if: 
         | {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
             | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
          |  }} 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
      }}
    | {{#if: 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
      }}
  }}{{#if:{{#invoke:URLutil|isHostPathResource|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html}}
    || {{#if:  || }}
  }}{{#if: What is EAP-SIM?
    | {{#if: {{#invoke:WLink|isBracketedLink|What is EAP-SIM?}}
        | {{#if:  || }}
      }}
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Linktext_fehlt
  }}{{#switch: 
    |addlarchives|addlpages= {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/Parameter}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
  }}{{#ifeq: {{#invoke:Str|find|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html%7Carchiv}} |-1
    || {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html%7C4}}%7Chttp}} |-1
         || {{#switch: {{#invoke:Webarchiv|getdomain|http://blog.fon.com/en/archivo/technology/what-is-eap-sim.html }}
              | abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org = 
              | #default = {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/URL}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
            }} 
       }}
  }}</ref>

Weitere Verfahren

Es gibt ca. 40 EAP-Verfahren, darunter sind:

  • Laut RFC: EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS
  • Herstellerspezifisch: EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP, EAP-TTLS, EAP-IKEv2

Normen und Standards

Einzelnachweise

<references />

{{#ifeq: s | p | | {{#if: 7730299-0 | |

}} }}Vorlage:Hinweisbaustein{{#ifeq: s | p | | {{#if: 7730299-0 | |

}} }}{{#ifeq:||{{#if: | [[Kategorie:Wikipedia:GND fehlt {{#invoke:Str|left|{{{GNDCheck}}}|7}}]] }}{{#if: | {{#if: | | }} }} }}{{#if: | {{#ifeq: 0 | 2 | | }} }}{{#if: | {{#ifeq: 0 | 2 | | }} }}{{#ifeq: s | p | {{#if: 7730299-0 | | {{#if: {{#statements:P227}} | | }} }} }}{{#ifeq: s | p | {{#if: 7730299-0 | {{#if: {{#invoke:Wikidata|pageId}} | {{#if: {{#statements:P227}} | | }} }} }} }}{{#ifeq: s | p | {{#if: | | {{#if: {{#statements:P244}} | | }} }} }}{{#ifeq: s | p | {{#if: | {{#if: {{#invoke:Wikidata|pageId}} | {{#if: {{#statements:P244}} | | }} }} }} }}{{#ifeq: s | p | {{#if: | | {{#if: {{#statements:P214}} | | }} }} }}{{#ifeq: s | p | {{#if: | {{#if: {{#invoke:Wikidata|pageId}} | {{#if: {{#statements:P214}} | | }} }} }} }}Vorlage:Wikidata-Registrierung

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Extensible_Authentication_Protocol&oldid=310222