802.1X 的身份验证机制是否假设您已经初步连接到受信任的网络?令我感到困惑的是,如果我设置了一个克隆的接入点来欺骗用户通过我进行连接,如果他们在连接到正确的网络之前连接到我,他们怎么会意识到我不是正确的网络?我的不可靠的接入点可以使用 802.1X,我可以向他们提供我的身份验证消息,他们可以使用我的公钥解密?它没有告诉他们他们处于错误的网络上?
我认为 802.1X 只有在您的计算机上已经拥有受信任网络的公钥时才能有效地防止此类攻击?但现在我又困惑了:当我连接到网络时,我的计算机如何知道要使用哪个公钥?它无法根据 SSID 存储公钥,因为 SSID 不是唯一的??
答案1
当我连接到网络时,我的计算机如何知道要使用哪个公钥?它无法根据 SSID 存储公钥,因为 SSID 不是唯一的?
客户端拥有一组在各种网络上使用的凭证。每个凭证都与相应网络拥有的一个公钥相关联。身份验证过程如下:
1)客户端连接到网络。
2)网络使用与公钥相对应的私钥向客户端进行身份验证。
3) 客户端现在知道网络拥有一个特定的公钥。客户端检查自己是否拥有与该公钥相对应的身份。
4)客户端使用与网络公钥相关联的身份向服务器证明其身份。
客户端不需要提前知道它要连接的网络。