当前位置：首页 > news >正文

WIFI 企业级认证手段 EAP-TLS介绍

news 2026/2/11 5:11:31

EAP-TLS（EAP-Transport Layer Security）被认为是WLAN网络里最安全的认证方法，因此被企业广泛采用。本文会针对EAP-TLS的基本原理进行介绍。

在介绍原理之前，先介绍下WLAN网络里认证加密手段涉及到的一些基本概念。

1 802.1x

IEEE 802.1X 使用认证服务器在无线网卡和无线访问点（AP）之间提供基于端口的访问控制和相互认证。采用EAP作为认证消息交互协议。如下图所示：

• 三元结构

• Supplicant ：要访问网络的设备，通常是 802.11 客户端；

• Authenticator ：客户端和认证服务器的中间设备，在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点（ AP ）

• Authentication Server （认证服务器）：对 Supplicant 进行实际身份验证的设备，通常 RADIUS ）服务器

•业务端口为受控端口，初始处于关闭状态，鉴权通过后打开，终端可使用该业务端口鉴权完成后，终端与鉴权服务器协商生成主密钥 PMK ，该主密钥由鉴权服务器分发给 AP

总结一下，WLAN的企业级认证都需要一个认证服务器，充当Authenticator Server的角色。终端（Supplicant）只有通过认证服务器的认证，才能打开受控的业务端口，进行正常网路的访问。AP充当了Authenticator的角色。

2 EAP 和 EAPOL

上面提到了802.1x协议使用EAP协议进行认证消息的传递，因此EAP主要充当消息传递的功能。常见的EAP-TLS，EAP-TTLS，EAP-MSCHAPv2等，都是基于EAP来传递认证协议。

EAP（RFC2284/3748）需要封装在WLAN的数据帧里进行传输，因此EAPOL（EAP over Lan）作为一种封装格式，用来在Wlan数据帧里传送EAP消息，具体封装格式如下图：

EAP的格式定义如下：

其中code有四种取值：

EAPOL(802.1x authentication)的code有5种取值:

3 各种KEY的生成原理

我们家庭里面的WIFI最常用的是密码方式的认证，也就是AP上预先配置一个密码，手机去连接AP的时候，输入正确的密码即可连接AP并传输加密数据。其实这个背后有一些列的密码处理过程。WLAN的802.11i协议定义了一个完整的密钥生成体系，如下图：

Ø MSK: Master Session Key

Ø PMK Pairwise Master Key

Ø PTK Pairwise Transient Key

Ø KCK Key Confirmation Key ,EAPOL-Key 用于四次握手的消息完整性保护

Ø KEK Key Encryption Key ， EAPOL-Key 用于四次握手的消息加密

Ø TK Temporal Key ，用于后续的单播数据加密

Ø GMK: Group master key

Ø GTK: groupTransient Key

Ø TK Temporal Key,

用于组播数据加密

从上图可以看出，首先要生成最顶层的MSK；MSK对于家庭的AP，可以简单理解为就是连接AP时候需要输入的不少于8位密码。而对于企业级的Wlan网络，则需要通过EAP-TLS，EAP-TTLS，EAP-MSCHAPv2等认证方法来生成。

其次，要生成第二层的PMK，对于家庭AP，PMK=pdkdf2_SHA1(passphrase，SSID，SSID length，4096)；Passphrase（8-63字符），就是连接AP用的密码；

对于企业级的wlan网路，PMK =L(MSK, 0, 256)，MSK前256bit。对于AP来说，每一个终端S都有各自的PMK，用PMKID来管理：PMKID = HMAC-SHA1-128(PMK, "PMK Name" || AA || SPA)

最后，就是第三层的PTK的生成，

Ø PTK Pairwise Transient Key

Ø 通过 4 次握手过程，从 PMK 衍生

Ø PTK ← PRF-X(PMK, “Pairwise key expansion”, Min(AA,SPA) || Max(AA,SPA) ||Min( ANonce,SNonce ) || Max( ANonce,SNonce ))；PTK是由 PMK+ MAC （ AA ）＋无线网卡 MAC （ SPA ）＋ AP 产生的随即值（ ANonce ）＋ wifi 产生的随机值（ SNonce ），五个值通过 SHA256 和 MD5 算法得到的，这种算法是不可逆的；

4 EAP-TLS

所以从上面的介绍可以看出，EAP-TLS主要利用在客户端和服务器端的证书来生成MSK。有了MSK后，再通过算法映射为PSK，然后再通过4次握手的协商过程完成PTK/KCK/KEK/TK的生成。

因此，EAP-TLS最重要的就是确保证书要在客户端和服务器端都正确可靠的安装。

认证服务器和AP之间采用Radius协议传输认证报文

AP和客户端之间使用EAP传输TLS交互报文；

整个交互流程其实就是TLS的报文交互过程（生成MSK）和四步握手过程（生成其他Key）这两部分的组合,如下图：

WIFI 企业级认证手段 EAP-TLS介绍

1 802.1x

2 EAP 和 EAPOL

3 各种KEY的生成原理

4 EAP-TLS

相关文章：

WIFI 企业级认证手段 EAP-TLS介绍

【网络架构】keepalive

【Dison夏令营 Day 03】使用 Python 创建我们自己的 21 点游戏

Workbench密码登录登录失败

哈尔滨高校大学智能制造实验室数字孪生可视化系统平台项目的验收

009、MongoDB的分片策略

go～缓存设计配合singleFlight

多线程引发的安全问题

在晋升受阻或遭受不公待遇申诉时，这样写是不是好一些？

LeetCode 2710.移除字符串中的尾随零：模拟

代码随想录训练营第二十三天 39组合总和 40组合总和II 131分割回文串

【C++】数组、字符串

MySQL InnoDB支持几种行格式

Day6: 344.反转字符串 541. 反转字符串II 卡码网：54.替换数字

kubekey 离线安装高可用 kubernetes 集群

大数据面试题之Hive(2)

求推荐几款http可视化调试工具？

Python逻辑控制语句之判断语句--if else结构

word2016中新建页面显示出来的页面没有页眉页脚，只显示正文部分。解决办法

8.javaSE基础进阶_泛型generics(无解通配符?+上下界统配符superextends)

ESP32 I2S音频总线学习笔记（四）： INMP441采集音频并实时播放

ETLCloud可能遇到的问题有哪些？常见坑位解析

现代密码学 | 椭圆曲线密码学—附py代码

C++.OpenGL （10/64）基础光照（Basic Lighting）

QT： `long long` 类型转换为 `QString` 2025.6.5

【开发技术】.Net使用FFmpeg视频特定帧上绘制内容

Linux --进程控制

听写流程自动化实践，轻量级教育辅助

佰力博科技与您探讨热释电测量的几种方法

VM虚拟机网络配置（ubuntu24桥接模式）：配置静态IP