這個問題確實說明了一切。是否可以透過任何通用協議從 WiFi 伺服器到 WiFi 用戶端建立安全連接,而不需要伺服器和客戶端共享秘密?
如果是這樣,那怎麼行得通? :-)
答案1
這並不像乍看那樣愚蠢:
- 接入點配置為取消對 RADIUS 伺服器的身份驗證。
- RADIUS 伺服器有自己的憑證授權機構,負責向客戶端頒發憑證。證書一旦頒發,可以撤銷。
- 當客戶端連接時,它會透過存取點向 RADIUS 伺服器提供其證書,該伺服器決定身份驗證是否應成功。該證書必須由伺服器簽名,且不得出現在其憑證吊銷清單中。
- 如果用戶端成功通過驗證,RADIUS 伺服器會將加密金鑰傳送回存取點,用於加密連線。
此配置(字母數字湯:透過 WPA2/802.1x 的 EAP-TLS)意味著客戶端不與伺服器共用簡單的機密。