这个问题确实说明了一切。是否可以通过任何通用协议从 WiFi 服务器到 WiFi 客户端建立安全连接,而无需服务器和客户端共享秘密?
如果是这样,那该如何运作?:-)
答案1
这个问题并不像乍一看那么愚蠢:
- 接入点配置为放弃对 RADIUS 服务器的身份验证。
- RADIUS 服务器有自己的证书颁发机构,负责向客户端颁发证书。证书一旦颁发,即可撤销。
- 当客户端连接时,它会通过接入点向 RADIUS 服务器出示其证书,由服务器决定身份验证是否成功。证书必须由服务器签名,并且不能出现在其证书吊销列表中。
- 如果客户端成功通过身份验证,RADIUS 服务器会将加密密钥发送回接入点,用于加密连接。
此配置(字母数字汤:通过 WPA2/802.1x 的 EAP-TLS)意味着客户端不与服务器共享简单的秘密。