3.16. Extensible Authentication Protocol (EAP) Payload (EAP ペイロード)
3.16. Extensible Authentication Protocol (EAP) Payload (EAP ペイロード)
Extensible Authentication Protocol (EAP) payload は本書で EAP と表し, RFC 3748 [EAP] で定義されたプロトコルおよびその後の拡張を用いて IKE SA を認証できるようにする. EAP を用いる場合は適切な EAP メソッドを選ぶ必要がある. 多くのメソッドが定義され, 各種認証メカニズムとの併用が規定されている. EAP メソッド種別は [EAP-IANA] に列挙される. 明確化のため EAP 形式の短い要約をここに含める.
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload |C| RESERVED | Payload Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ EAP Message ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
図 24: EAP payload 形式
EAP payload のペイロード種別は 48 である.
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Type_Data...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
図 25: EAP メッセージ形式
-
Code (1 オクテット) - 本メッセージが Request (1), Response (2), Success (3), Failure (4) のいずれかを示す.
-
Identifier (1 オクテット) - PPP ではリプレイされたメッセージと繰り返しを区別するために用いられる. IKE では EAP は信頼できるプロトコル上で動作するため, ここでは Identifier に機能はない. 応答メッセージでは, 本オクテットは対応する要求の識別子と一致させなければならない.
-
Length (2 オクテット, 符号なし整数) - EAP メッセージの長さ. カプセル化ペイロードの Payload Length より 4 小さくなければならない.
-
Type (1 オクテット) - Code が Request (1) または Response (2) の場合にのみ存在する. それ以外の Code では EAP メッセージ長は 4 オクテットでなければならず, Type と Type_Data フィールドはあってはならない. Request (1) では Type が要求するデータを示す. Response (2) では Type は Nak であるか, 要求されたデータの種別と一致しなければならない. IKE は IKE_AUTH 交換の最初のメッセージで発起者識別の示唆を渡すため, 応答者は EAP Identity 要求 (種別 1) を送るべきではない. ただし発起者がそのような要求を受け取った場合は応答してよい.
-
Type_Data (可変長) - Request の Type と対応する Response によって異なる. EAP メソッドの文書は
[EAP]を参照のこと.
IKE は IKE_AUTH 交換の最初のメッセージで発起者識別の示唆を渡すため, 応答者は EAP Identity 要求を送るべきではない. ただし発起者がそのような要求を受け取った場合は応答してよい.