在本章中，我们将简要介绍无线部署中可能使用的身份验证方案。它们是：开放身份验证和基于预共享密钥(PSK)的身份验证。前一种基于EAP框架来导出动态密钥。

开放式认证

术语“开放身份验证”本身很容易引起误解。这表明已经进行了某种身份验证，但实际上，此方案中的身份验证过程更像是正式步骤，而不是身份验证机制。该过程如下图所示：

用通俗的英语来说，这种交换是指，在身份验证请求中，无线客户端(请求方)说：“嗨，AP，我想进行身份验证”，而来自AP的身份验证响应则说“好，您来了”。您在此设置中看到任何安全性吗?我也不…

这就是为什么不应该使用开放式身份验证，因为它只允许任何客户端向网络进行身份验证，而无需进行正确的安全检查。

基于EAP的4向握手(带有WPA / WPA2)

当无线客户端向AP进行身份验证时，它们都经过称为4向握手的4步身份验证过程。在这些消息交换期间，共享密码是在AP和无线客户端之间派生的，而不在任何这些EAP消息中进行传输。

成对主密钥(PMK)是黑客想要收集的东西，目的是破坏网络加密方案。 PMK仅对请求方和身份验证方已知，但在传输中的任何地方均不共享。

但是，会话密钥是它们，它们是ANonce，SNonce，PMK，请求方和认证方的MAC地址的组合。我们可以将该关系写为数学公式-

Sessions_keys = f(ANonce，SNonce，PMK，A_MAC，S_MAC) 。

为了从该方程式得出PMK，必须打破AES / RC4(取决于使用的是WPA2还是WPA)。这不是那么容易，因为唯一实用的方法是执行暴力破解或字典攻击(假设您拥有一本非常好的字典)。

它绝对是推荐使用的身份验证方法，并且绝对比使用“开放身份验证”更安全。

Wi-Fi粉笔

Wi-Fi粉笔在无线局域网历史上是一个非常有趣的概念，主要在美国使用。主要思想是标记实施开放身份验证或实施弱身份验证的WLAN的位置。这样，每个发现该标志在墙壁或地面上某处的人都用粉笔写字，然后他无需身份验证即可登录Wi-Fi系统。聪明吧?

您可能会问自己-为什么用粉笔而不是某种记号笔，喷雾剂或其他更永久的记号方式?答案很简单，来自刑法-用粉笔写字不被认为是故意破坏行为。