Passa al contenuto principale

3.16. Extensible Authentication Protocol (EAP) Payload

3.16. Extensible Authentication Protocol (EAP) Payload

Il Extensible Authentication Protocol payload, indicato come EAP in questo documento, consente di autenticare le IKE SA usando il protocollo definito in RFC 3748 [EAP] e le successive estensioni. Con EAP occorre selezionare un metodo EAP appropriato. Molti metodi sono stati definiti, specificando l'uso del protocollo con vari meccanismi di autenticazione. I tipi di metodo EAP sono elencati in [EAP-IANA]. Per chiarezza si include qui un breve riassunto del formato EAP.

                    1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload  |C|  RESERVED   |         Payload Length        |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
~                       EAP Message                             ~
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Figura 24: Formato del EAP payload

Il tipo di payload per un EAP payload è quarantotto (48).

                    1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      | Identifier    |           Length              |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      | Type_Data...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Figura 25: Formato del messaggio EAP

  • Code (1 ottetto) - Indica se questo messaggio è Request (1), Response (2), Success (3) o Failure (4).

  • Identifier (1 ottetto) - Usato in PPP per distinguere messaggi riprodotti da messaggi ripetuti. Poiché in IKE EAP opera su un protocollo affidabile, qui l'Identifier non ha funzione. In un messaggio di risposta, questo ottetto DEVE essere uguale all'identificatore della richiesta corrispondente.

  • Length (2 ottetti, intero senza segno) - La lunghezza del messaggio EAP. DEVE essere inferiore di quattro rispetto alla Payload Length del payload incapsulante.

  • Type (1 ottetto) - Presente solo se il campo Code è Request (1) o Response (2). Per altri codici, la lunghezza del messaggio EAP DEVE essere quattro ottetti e i campi Type e Type_Data NON DEVONO essere presenti. In un messaggio Request (1), Type indica i dati richiesti. In Response (2), Type DEVE essere Nak oppure corrispondere al tipo di dati richiesti. Poiché IKE passa un'indicazione dell'identità dell'iniziatore nel primo messaggio dello scambio IKE_AUTH, il rispondente NON DOVREBBE inviare richieste EAP Identity (tipo 1). L'iniziatore PUÒ tuttavia rispondere a tali richieste se le riceve.

  • Type_Data (lunghezza variabile) - Varia con il Type della Request e della Response associata. Per la documentazione dei metodi EAP, vedere [EAP].

Poiché IKE passa un'indicazione dell'identità dell'iniziatore nel primo messaggio dello scambio IKE_AUTH, il rispondente NON DOVREBBE inviare richieste EAP Identity. L'iniziatore PUÒ tuttavia rispondere a tali richieste se le riceve.

Ultimo aggiornamento il