Wi-Fi 安全协议 - EAP

Data（数据）

根据每种类型的规则加以诠释

数值类型说明

（身份证明）

用于 消息中，表示认证者（）试图进行身份认证，Data字段会携带申请者的信息。一般简写为/

（通知）

认证者（）用于传递消息（例如密码已过期、账号被锁等）给。一般简写为/

Nak（Null ，回应）

仅用于帧，表示否定确认。

当用了不支持的验证类型发起请求时，可利用/Nak消息以告知其支持的验证类型

身份验证方法为MD5质询法

发送一段随机的明文给

收到后，将其和密码一起做MD5计算得到结果A，然后将结果A返回给

根据正确密码和MD5质询文做MD5计算得到结果B

A和B一比较就知道使用的密码是否正确

身份验证方法为OTP（One Time ，一次性密码）

目前最安全的身份验证机制，如网银付费时系统会通过短信发送一个密码，就是OTP方式

身份验证方法为GTC（ Token Card，通用令牌卡）

GTC对应一个实际的设备，如银行给申请网银的用户一个动态口令牌，就是GTC方式

254

扩展验证方法（ Types）

255

试验性用途（ Use）

EAP 认证流程 认证者（）发出/ 数据包，识别使用者身份。

/ 目的：启动交换程序外，同时告诉认证申请者（）在身份认证完成前将会丢弃任何传输数据。认证申请者（）要求用户输入识别码，然后以/数据包回复。当 确认 后，将发送认证验查数据包。

将发送一个/MD-5 （要求/MD-5 口令）数据包。如果 是以token card（标记卡）进行身份认证，不支持MD5质询法，它将回复/NAK数据包，建议以 Token Card作为认证机制。发送个/ Token Card 的口令，要求回复卡号（ on the card）。 输入卡号，通过/ Token Card 回复。如果 的回复不正确，认证失败。一般认证失败超过3次才会回复消息，发送第二个/ Token Card的口令。 通过/ Token Card 回复正确的卡号。回复正确，发出（成功）消息。

EAP 认证方式 类型代码身份认证协议说明

13

EAP-TLS

通过凭证交换来进行相互认证，建立一条可信赖的管道

21

EAP-TTLS

TTLS 管道式（ TLS，TTLS），以TLS 加密保护较脆弱的身份认证方式

25

EAP-PEAP

防护型EAP（ EAP，PEAP），首先使用建立起TLS 管道，认证服务器会验证网络的信赖性，其他身份认证协议在TLS 管道上进行加密传输

第一个步骤称为外层身份认证，第一个步骤称为内层身份认证

类型代码身份认证协议说明

MD-5

身份认证要求中包含了发给的口令，只要能够成功回应挑战，就证明它拥有共享密钥

Token Card

身份认证要求中包含了 Token Card 信息，在回复信息中，Type-Data 字段用来携带复制自token card 的信息

13

EAP-SIM

使用移动电话的SIM 卡进行身份认证

23

EAP-AKA

第三代移动电话网络上使用的身份认证系统， and Key ，AKA

29

EAP--V2

的密码身份认证方式，通常作为内层身份认证方式，并搭配PEAP 一起使用

身份认证协议说明

密码身份认证协议（PAP）

PAP 以未经加密的方式在网络上传递名称与密码

PAP 只能作为TTLS 里的内层认证方式，以确保不致泄露密码

挑战磋商身份认证协议（CHAP）

使用CHAP 进行身份认证时，首先会发出口令信息给

只要能够成功回应挑战信息，就可以证明它的确握有共享密钥

MS-CHAP-V1

MS-CHAP 由 所设计，用来提供类似CHAP 的功能，但是针对 过程系统提供加强型的功能

MS-CHAP 并不是EAP ，只有TTLS 才支持。