Wi-Fi及无线网状网(Mesh)的安全

　　英文中分别叫Supplicant,Authenticator和Authentication Server。

　　所谓Supplicant就是认证的客户端，在Wi-Fi中通常就是要求连接的无线客户端上的认证软件。AuthenticationServer就是认证服务器。在Wi-Fi中，通常是AP来充当Authenticator的角色。当进行802.1X／EAP认证时，在客户端和AP间运行的就是EAPOL协议，而在AP和认证服务器之间运行的通常是一个叫RADIUS（RemoteAuthenticationDialIn User

　　Service）。其实802.1X并不指定AP和认证服务器之间运行什么协议，RADIUS只是一个事实上的标准，绝大部分的应用都是用的RADIUS协议。同样原因，通常的认证服务器就是一个RADIUS服务器。

　　一个典型的802.1X认证过程通常是这样的：

　　无线客户端向AP发一个EAPOL-Start的包提出认证请求，AP收到后会向无线客户端作出回应（EAPRequest/Identity包），之后两者之间就会开始更多的EAP交互。但在这个过程中AP基本上是一个透明的转发者。它把从

　　无线客户端收到的EAP包，翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后，AP会最终从RADIUS学到认证是否成功，从而决定是否给予无线客户端以访问权限。

　　关于802.1X的模式，可以用下图说明：

　　PSK

　　PSK是Pre-SharedKey的缩写，即预共享的密钥。WPA和802.11i／WPA2都支持一个PSK的模式。简单的说，PSK模式是一个简化的WPA／802.11i，是一个没有802.1X部分的WPA或802.11i。

　　802.1X在WPA和802.11i的应用中，除了认证之外，还提供一个作用，它会让客户端和认证服务器之间产生一个叫PMK（PairwiseMasterKey）的密钥。PMK是WPA／802.11i密钥层级里的最顶层，是所有其它密钥产生的基础，极其重要。