【文章內(nèi)容簡介】 報文中，通過 Radius報文和 authentication5. server進行交互。6. 注意： ，依賴 EAP協(xié)議完成認(rèn)證， EAP協(xié)議給諸多認(rèn)證協(xié)議提供了框架， EAP協(xié)議前端依賴EAPOL后端依賴 Raduis 完成協(xié)議交換31RADIUS認(rèn)證中 EAP的消息格式請求者 =客戶 無線 LAN 認(rèn)證者 =接入服務(wù)器內(nèi)部互聯(lián)LANRADIUS消息格式認(rèn)證服務(wù)器EAP消息封裝為RADIUS消息屬性ＥＡＰＯＬ包攜帶的EAP請求和響應(yīng)消息32（ 3） WPA中 —— 可擴展認(rèn)證協(xié)議 EAP216。 可擴展認(rèn)證協(xié)議 (EAP)： 是建立在 遠程接入架構(gòu) 上的，而遠程接入最初是在點對點協(xié)議 (Pointtopoint Protocol, PPP)組中為撥號連接而建立的。224。PPP撥號序列提供了 鏈路協(xié)商和網(wǎng)絡(luò)控制協(xié)議 ，以及基于要求安全等級的 認(rèn)證協(xié)議 。例如 ：216。密碼認(rèn)證協(xié)議 (Password Authentication Protocol, PAP)216。挑戰(zhàn)握手認(rèn)證協(xié)議 (Challenge Handshake Authentication Protocol, CHAP)等認(rèn)證協(xié)議216。在建立連接后 ， 在客戶端和遠程接入服務(wù)器之間協(xié)商，然后用所選擇的協(xié)議認(rèn)證連接。33（ 3） WPA中 —— 可擴展認(rèn)證協(xié)議216。 EAP通過允許使用被稱為 EAP類型的 任意認(rèn)證機制 延伸了這個結(jié)構(gòu)， EAP類型 為交換認(rèn)證消息定義了多種多樣的結(jié)構(gòu)。224。當(dāng)建立了一個 WLAN連接，客戶和接入點同意使用EAP來認(rèn)證，那么在開始連接認(rèn)證階段就會選定一個特定的 EAP類型。224。認(rèn)證過程 ： 包括客戶端和認(rèn)證服務(wù)器之間的一系列消息的交換 。 交換長度和細(xì)節(jié)取決于請求連接的參數(shù)和選擇的 EAP類型。 34EAP協(xié)議Extensible Authentication ProtocolAKA/SIMTLS Token CardPPP EAP設(shè)計的中心思想： 可以支持多種認(rèn)證方法和多種鏈路層協(xié)議。35（ 3） WPA中 —— 可擴展認(rèn)證協(xié)議 EAP36? 在 LAN或 WLAN而不是撥號連接中應(yīng)用 EAP， LAN中的可擴展認(rèn)證協(xié)議 (EAP over LAN, EAPoL)在 IEEE 準(zhǔn)中被定義為 傳送認(rèn)證消息的傳輸協(xié)議 。? EAP over LAN:是一種封裝技術(shù)，支持客戶端 PAE和設(shè)備端 PAE在 LAN環(huán)境中進行 EAP報文的交換。? EAPoL定義了一套攜帶認(rèn)證消息的包的類型，最常見的如下：224。EAPoL開始 ： 由認(rèn)證者發(fā)送來開始認(rèn)證消息交換224。EAP包 ： 攜帶每個 EAP消息224。EAPoL密鑰 ： 攜帶有關(guān)生成密鑰的信息224。EAPoL注銷 ： 通知認(rèn)證者客戶正在注銷37216。 由 WiFi聯(lián)盟互用性認(rèn)證計劃支持的 EAP類型包括：224。1. EAPTLS(EAP with Transport Layer Security，傳輸層安全 )216。RFC 2716 based on SSL(安全套接字 )216?；谧C書的安全環(huán)境中使用的 EAP 類型。216。提供客戶端和驗證程序之間的雙向身份驗證、加密方法的協(xié)商和加密密鑰（動態(tài)生成）的確定。216。要求站點和認(rèn)證服務(wù)器 RADIUS通過公鑰和交換數(shù)字證書來證明其身份。過程見： p130— 客戶站確認(rèn)認(rèn)證服務(wù)器的證書，并發(fā)送含有自己證書的 EAP響應(yīng)消息— 接下來開始協(xié)商加密參數(shù)（加密的密碼類型）— 一旦認(rèn)證服務(wù)器確認(rèn)客戶的證書有效，則用會話中的加密密鑰響應(yīng)216。提供了最強大的身份驗證和密鑰確定方法。38216。 由 WiFi聯(lián)盟互用性認(rèn)證計劃支持的 EAP類型包括：224。2. EAPPEAP（ Protected EAP,受保護的可擴展認(rèn)證協(xié)議）224。利用 TLS創(chuàng)建加密通道224。在通道內(nèi)部，驗證的方法可以基于216。EAPMSCHAPv2216。EAPTLS216。EAPGTC224。 由微軟、思科、 RSA 發(fā)起(Tunnelled TLS,管道傳輸層安全 )224。類似于 PEAP，可以使用任何第三方 EAP認(rèn)證方法224。Requires 3rd party supplicant on Windows224。Developed by Funk Software39216。 公共密鑰體系 (PKI,Public Key Infrastructure)： 可以使用數(shù)字證書來 電子識別 個人或組織。 PKI要求具有 ：224。認(rèn)證機構(gòu) (Certificate Authority, CA)： CA發(fā)行和核實 數(shù)字證書 ；224。注冊機構(gòu) (Registration Authority, RA)： 當(dāng)發(fā)行新的數(shù)字證書時， RA作為 CA的核實者 ；224。證書管理系統(tǒng) ： 證書管理系統(tǒng)包括一個或多個目錄服務(wù)，目錄服務(wù)中存儲著 證書 和它們的 公共密鑰 。40216。 當(dāng)請求證書時， CA會利用某種算法，如 RSA（ RivestShamirAdleman算法），同時產(chǎn)生一個公共的和私有的密鑰。224。公共密鑰 寄存在可用的 公共目錄 服務(wù)中 ， 發(fā)送消息方 只能 從公共目錄中獲取 公鑰；224。私有密鑰 是給請求方的， 它 被請求方安全的所有，不會共享也不會通過因特網(wǎng)發(fā)送。它用來解密已經(jīng)使用相關(guān)的公共密鑰加密的消息 。216。 PKI 使得用戶使用私有密鑰加密來對消息進行 數(shù)字簽名 ，并允許接受者通過找回發(fā)送者的公共密鑰來檢查簽名及解密消息。224。用這種方法 ， 各方可以 不需要交換共享秘密 就建立用戶認(rèn)證、 消息保密和完整性。415. WPA2? IEEE ： 為 IEEE 強，提供更強大的加密、認(rèn)證和密鑰管理策略，以建立一個魯棒的安全網(wǎng)絡(luò) (Robust Security Network, RSN)為目的。? WPA2和 IEEE ： WPA2（ WiFi Protected Access2，無線保護接入 2）是 WiFi聯(lián)盟對 準(zhǔn)終稿的實現(xiàn)。42通過 EAPTLS等認(rèn)證方法對用戶進行認(rèn)證用戶認(rèn)證接入控制通過 key的動態(tài)協(xié)商實現(xiàn) TKIP、 CCMP算法實現(xiàn)數(shù)據(jù)的加密 為了增強 WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了 RSN（Robust Security Network）的概念，并且針對 WEP加密機制的各種缺陷做了多方面的改進 。435. WPA2? IEEE ：224。密鑰 協(xié)商 ： 使在設(shè)備鏈接期間每個選擇的通信類型都有合適的機密性協(xié)議 ；224。密鑰 分發(fā)和管理 ： 可以 生成和管理 兩個層次的密鑰。216。在設(shè)備鏈接和認(rèn)證時，通過 EAP握手建立和認(rèn)證單播的密鑰對和多播消息的群密鑰。224。更安全的加密 ：使用 兩個提高數(shù)據(jù)機密性的協(xié)議（即 TKIP和 AESCCMP）。44WPA和 WPA2的比較 216。PSK碼是無線網(wǎng)絡(luò)的密鑰，當(dāng)采用 WPA加密的時候， 家庭網(wǎng)絡(luò)中采用的是 WPA的簡化版 ， WPA－ PSK（預(yù)共享密鑰）。455. WPA2（ 1）