基于802.1X和DFW的网络安全研究及NAC系统的设计与(14)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

Authentication Layer是认证机制层，可以根据实际情况的需要自由的选择认证机制，图中所举的三种认证机制是标准自带的，也可以使用自己定义的私有认证机制；EAP Layer是EAP报文层，用于对认证报文进行封闭和解封；MAC Layer层则主要负责将认证报文进一步封闭在MAC帧里。

2.2.2 EAP协议帧的结构

可扩展认证协议EAP是PPP (Point-to-Point Protocol)认证中的一个通用协议，特点是EAP在链路控制阶段(Link Control Protocol, LCP)没有选定一种认证机制，而把这一步推迟到认证阶段。顾名思义，EAP可以支持多种认证机制，允许使用一个“后端”服务器来实际实现各种认证机制，认证者仅需要传送认证信息。EAP协议本身具有良好的可扩展性，这使得在添加新的认证机制时丝毫不会影响现有实现的继续使用。

EAP不是一个具体的认证协议，而仅仅是一种认证协议的封装格式。通过使用EAP封装，STA和认证服务器（如RADIUS Server）之间能够实现对具体认证方法的动态协商。EAP协议帧的结构如图2-3所示[25]:

图2-3 EAP协议帧的结构

Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下: Code=1--Request

Code=2--Response

Code=3--Success

Code=4--Failure

Identifier域为一个字节，辅助进行Request和Response。的匹配。每一个Request都应该有一个Response相对应，这样的一个Identifier:域就建立了这样的一个对应关系一相同的Identifier相匹配。Length域为两个字节，表明了EAP数据包的长度，包括Code, Identifier, Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充,