TLS在第4层，802.1X EAP-TLS在第2层？

Question

在CISSP书籍中，SSL/TLS通过了参数，并将rest放在传输层2而不是会话上。好吧-好吧。

端口安全802.1X和EAP是一种数据链路层2认证机制。由于EAP是一个框架，所以它由EAP(EAP、PEAP和LEAP等)组成。

也许我在这里漏掉了一些愚蠢的东西，但是当TLS直到第4层才进入图片时，这本书怎么能将EAP称为第二层认证机制呢？

Answer 1

“层”是从一个旧的ISO抽象分类，它已经应用于实际世界中的实际运作，往往与修辞相当于一个大锤。你不应该试图跟随层作为福音，它往往会导致混乱。

SSL/TLS是一种可以应用于双向数据隧道的协议，它提供了双向数据隧道，具有身份验证(服务器由客户端或互端)、机密性(通过加密)和经验证的完整性。在“层”方面，它位于OSI模型的第4层和第6层之间，这表明“层”的概念无法捕获SSL/TLS的实际位置。

巧合的是，SSL/TLS的身份验证部分(“握手”)包含一系列消息，这些消息以交替顺序交换；有关显示该序列的图表，请参见TLS规范，第36页。在“正常”SSL/TLS中，消息在任何双向数据隧道SSL/TLS上进行交换，通常是TCP连接。但是，握手的加密属性来自消息内容，而不是消息的发送方式。此时，请考虑EAP:这是一个由消息组成的身份验证协议框架；EAP用于任何可以发送消息的传输机制(“第二层”，如果您真的想在层中考虑它)。因此定义了EAP :这是一种身份验证协议，由一系列消息组成，这些消息是为SSL/TLS握手指定的--但作为EAP使用的传输机制发送的消息太多。EAP-TLS不是TLS，它不为数据提供隧道；它是一种协议，它重用在TLS连接开始时发生的部分握手。

Answer 2

https://www.omnisecu.com/tcpip/how-ieee-802.1x-port-based-authentication-works.php

如果您查看上面的802.1x数据包，它将显示通信发生在第二层。