【文章內(nèi)容簡(jiǎn)介】 報(bào)文中，通過(guò) Radius報(bào)文和 authentication5. server進(jìn)行交互。6. 注意： ，依賴 EAP協(xié)議完成認(rèn)證， EAP協(xié)議給諸多認(rèn)證協(xié)議提供了框架， EAP協(xié)議前端依賴EAPOL后端依賴 Raduis 完成協(xié)議交換31RADIUS認(rèn)證中 EAP的消息格式請(qǐng)求者 =客戶 無(wú)線 LAN 認(rèn)證者 =接入服務(wù)器內(nèi)部互聯(lián)LANRADIUS消息格式認(rèn)證服務(wù)器EAP消息封裝為RADIUS消息屬性ＥＡＰＯＬ包攜帶的EAP請(qǐng)求和響應(yīng)消息32（ 3） WPA中 —— 可擴(kuò)展認(rèn)證協(xié)議 EAP216。 可擴(kuò)展認(rèn)證協(xié)議 (EAP)： 是建立在 遠(yuǎn)程接入架構(gòu) 上的，而遠(yuǎn)程接入最初是在點(diǎn)對(duì)點(diǎn)協(xié)議 (Pointtopoint Protocol, PPP)組中為撥號(hào)連接而建立的。224。PPP撥號(hào)序列提供了 鏈路協(xié)商和網(wǎng)絡(luò)控制協(xié)議 ，以及基于要求安全等級(jí)的 認(rèn)證協(xié)議 。例如 ：216。密碼認(rèn)證協(xié)議 (Password Authentication Protocol, PAP)216。挑戰(zhàn)握手認(rèn)證協(xié)議 (Challenge Handshake Authentication Protocol, CHAP)等認(rèn)證協(xié)議216。在建立連接后 ， 在客戶端和遠(yuǎn)程接入服務(wù)器之間協(xié)商，然后用所選擇的協(xié)議認(rèn)證連接。33（ 3） WPA中 —— 可擴(kuò)展認(rèn)證協(xié)議216。 EAP通過(guò)允許使用被稱為 EAP類型的 任意認(rèn)證機(jī)制 延伸了這個(gè)結(jié)構(gòu)， EAP類型 為交換認(rèn)證消息定義了多種多樣的結(jié)構(gòu)。224。當(dāng)建立了一個(gè) WLAN連接，客戶和接入點(diǎn)同意使用EAP來(lái)認(rèn)證，那么在開(kāi)始連接認(rèn)證階段就會(huì)選定一個(gè)特定的 EAP類型。224。認(rèn)證過(guò)程 ： 包括客戶端和認(rèn)證服務(wù)器之間的一系列消息的交換 。 交換長(zhǎng)度和細(xì)節(jié)取決于請(qǐng)求連接的參數(shù)和選擇的 EAP類型。 34EAP協(xié)議Extensible Authentication ProtocolAKA/SIMTLS Token CardPPP EAP設(shè)計(jì)的中心思想： 可以支持多種認(rèn)證方法和多種鏈路層協(xié)議。35（ 3） WPA中 —— 可擴(kuò)展認(rèn)證協(xié)議 EAP36? 在 LAN或 WLAN而不是撥號(hào)連接中應(yīng)用 EAP， LAN中的可擴(kuò)展認(rèn)證協(xié)議 (EAP over LAN, EAPoL)在 IEEE 準(zhǔn)中被定義為 傳送認(rèn)證消息的傳輸協(xié)議 。? EAP over LAN:是一種封裝技術(shù)，支持客戶端 PAE和設(shè)備端 PAE在 LAN環(huán)境中進(jìn)行 EAP報(bào)文的交換。? EAPoL定義了一套攜帶認(rèn)證消息的包的類型，最常見(jiàn)的如下：224。EAPoL開(kāi)始 ： 由認(rèn)證者發(fā)送來(lái)開(kāi)始認(rèn)證消息交換224。EAP包 ： 攜帶每個(gè) EAP消息224。EAPoL密鑰 ： 攜帶有關(guān)生成密鑰的信息224。EAPoL注銷 ： 通知認(rèn)證者客戶正在注銷37216。 由 WiFi聯(lián)盟互用性認(rèn)證計(jì)劃支持的 EAP類型包括：224。1. EAPTLS(EAP with Transport Layer Security，傳輸層安全 )216。RFC 2716 based on SSL(安全套接字 )216?；谧C書(shū)的安全環(huán)境中使用的 EAP 類型。216。提供客戶端和驗(yàn)證程序之間的雙向身份驗(yàn)證、加密方法的協(xié)商和加密密鑰（動(dòng)態(tài)生成）的確定。216。要求站點(diǎn)和認(rèn)證服務(wù)器 RADIUS通過(guò)公鑰和交換數(shù)字證書(shū)來(lái)證明其身份。過(guò)程見(jiàn)： p130— 客戶站確認(rèn)認(rèn)證服務(wù)器的證書(shū)，并發(fā)送含有自己證書(shū)的 EAP響應(yīng)消息— 接下來(lái)開(kāi)始協(xié)商加密參數(shù)（加密的密碼類型）— 一旦認(rèn)證服務(wù)器確認(rèn)客戶的證書(shū)有效，則用會(huì)話中的加密密鑰響應(yīng)216。提供了最強(qiáng)大的身份驗(yàn)證和密鑰確定方法。38216。 由 WiFi聯(lián)盟互用性認(rèn)證計(jì)劃支持的 EAP類型包括：224。2. EAPPEAP（ Protected EAP,受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議）224。利用 TLS創(chuàng)建加密通道224。在通道內(nèi)部，驗(yàn)證的方法可以基于216。EAPMSCHAPv2216。EAPTLS216。EAPGTC224。 由微軟、思科、 RSA 發(fā)起(Tunnelled TLS,管道傳輸層安全 )224。類似于 PEAP，可以使用任何第三方 EAP認(rèn)證方法224。Requires 3rd party supplicant on Windows224。Developed by Funk Software39216。 公共密鑰體系 (PKI,Public Key Infrastructure)： 可以使用數(shù)字證書(shū)來(lái) 電子識(shí)別 個(gè)人或組織。 PKI要求具有 ：224。認(rèn)證機(jī)構(gòu) (Certificate Authority, CA)： CA發(fā)行和核實(shí) 數(shù)字證書(shū) ；224。注冊(cè)機(jī)構(gòu) (Registration Authority, RA)： 當(dāng)發(fā)行新的數(shù)字證書(shū)時(shí)， RA作為 CA的核實(shí)者 ；224。證書(shū)管理系統(tǒng) ： 證書(shū)管理系統(tǒng)包括一個(gè)或多個(gè)目錄服務(wù)，目錄服務(wù)中存儲(chǔ)著 證書(shū) 和它們的 公共密鑰 。40216。 當(dāng)請(qǐng)求證書(shū)時(shí)， CA會(huì)利用某種算法，如 RSA（ RivestShamirAdleman算法），同時(shí)產(chǎn)生一個(gè)公共的和私有的密鑰。224。公共密鑰 寄存在可用的 公共目錄 服務(wù)中 ， 發(fā)送消息方 只能 從公共目錄中獲取 公鑰；224。私有密鑰 是給請(qǐng)求方的， 它 被請(qǐng)求方安全的所有，不會(huì)共享也不會(huì)通過(guò)因特網(wǎng)發(fā)送。它用來(lái)解密已經(jīng)使用相關(guān)的公共密鑰加密的消息 。216。 PKI 使得用戶使用私有密鑰加密來(lái)對(duì)消息進(jìn)行 數(shù)字簽名 ，并允許接受者通過(guò)找回發(fā)送者的公共密鑰來(lái)檢查簽名及解密消息。224。用這種方法 ， 各方可以 不需要交換共享秘密 就建立用戶認(rèn)證、 消息保密和完整性。415. WPA2? IEEE ： 為 IEEE 強(qiáng)，提供更強(qiáng)大的加密、認(rèn)證和密鑰管理策略，以建立一個(gè)魯棒的安全網(wǎng)絡(luò) (Robust Security Network, RSN)為目的。? WPA2和 IEEE ： WPA2（ WiFi Protected Access2，無(wú)線保護(hù)接入 2）是 WiFi聯(lián)盟對(duì) 準(zhǔn)終稿的實(shí)現(xiàn)。42通過(guò) EAPTLS等認(rèn)證方法對(duì)用戶進(jìn)行認(rèn)證用戶認(rèn)證接入控制通過(guò) key的動(dòng)態(tài)協(xié)商實(shí)現(xiàn) TKIP、 CCMP算法實(shí)現(xiàn)數(shù)據(jù)的加密 為了增強(qiáng) WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了 RSN（Robust Security Network）的概念，并且針對(duì) WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn) 。435. WPA2? IEEE ：224。密鑰 協(xié)商 ： 使在設(shè)備鏈接期間每個(gè)選擇的通信類型都有合適的機(jī)密性協(xié)議 ；224。密鑰 分發(fā)和管理 ： 可以 生成和管理 兩個(gè)層次的密鑰。216。在設(shè)備鏈接和認(rèn)證時(shí)，通過(guò) EAP握手建立和認(rèn)證單播的密鑰對(duì)和多播消息的群密鑰。224。更安全的加密 ：使用 兩個(gè)提高數(shù)據(jù)機(jī)密性的協(xié)議（即 TKIP和 AESCCMP）。44WPA和 WPA2的比較 216。PSK碼是無(wú)線網(wǎng)絡(luò)的密鑰，當(dāng)采用 WPA加密的時(shí)候， 家庭網(wǎng)絡(luò)中采用的是 WPA的簡(jiǎn)化版 ， WPA－ PSK（預(yù)共享密鑰）。455. WPA2（ 1）