802.1X的認證機制是否假設您已經初步連接到可信任網路?讓我困惑的是,如果我設定一個克隆的接入點來欺騙用戶透過我連接,如果他們在連接到正確的網路之前連接到我,他們怎麼會意識到我不是正確的網路?我的狡猾存取點可以使用 802.1X,我可以向他們提供我的身份驗證訊息,他們可以使用我的公鑰來解密?它沒有告訴他們他們在錯誤的網路上?
我認為 802.1X 只有在您的電腦上已經擁有受信任網路的公鑰的情況下才能有效防止此類攻擊?但現在我又困惑了:當我連接到網路時,我的電腦如何知道要使用哪個公鑰?它不能根據SSID儲存公鑰,因為SSID不是唯一的?
答案1
[H]當我連接到網路時,我的電腦如何知道要使用哪個公鑰?它不能根據SSID儲存公鑰,因為SSID不是唯一的?
客戶端擁有一組在各種網路上使用的憑證。每個憑證都與一個公鑰相關聯,該公鑰由相應的網路擁有。認證流程如下:
1) 客戶端連接到網路。
2) 網路使用與其公鑰相對應的私鑰向客戶端進行身份驗證。
3) 客戶端現在知道網路擁有特定的公鑰。客戶端檢查它是否具有與該公鑰相對應的身份。
4) 用戶端使用與網路公鑰關聯的客戶端身分向伺服器證明其身分。
客戶端不需要事先知道它連接到哪個網路。