WPA 临时密钥
WEP 对单播数据加密使用单一密钥,对多播和广播数据加密通常另外使用一个不同的密钥。与 WEP 不同,WPA 对各个
无线客户端
无线 AP 对(又称成对的临时密钥)使用由四个不同的密钥构成的一组密钥,对多播和广播通信量使 用由两个不同的密钥构成的一组密钥。
供单播数据和 EAP over LAN (EAPOL)-Key 消息使用的一组成对密钥由下列密钥构成:
为了派生成对的临时密钥,WPA 需使用下列值:
对于使用 RADIUS
服务器的 802.1X 身份验证,PMK 由
无线客户端和 RADIUS
服务器共同确定,RADIUS
服务器 通过 RADIUS Access-Accept 消息将 PMK 传输给
无线 AP。接收到 PMK 后,
无线 AP 启动临时密钥消息交换,这包括 下列几部分:
这组消息用于交换确定成对的临时密钥所需的值,验证各个
无线对等方是否知道 PMK(通过验证 MIC 的值), 指示各个
无线对等方已准备好为随后的单播数据帧和 EAPOL-Key 消息提供加密和消息完整性保护。
对于多播和广播通信量,
无线 AP 会派生一个 128 位的组加密密钥和一个 128 位的组完整性密钥,并使用一条 EAPOL-Key 消息(用 EAPOL-Key 加密密钥进行加密,并用 EAPOL-Key 完整性密钥保护消息的完整性)将这些值发送给
无线客户端。
无线客户端再使用一条 EAPOL-Key 消息来确认收到该 EAPOL-Key 消息。(
