# 802.1X/EAP 认证框架详解

## 802.1X 端口访问控制协议

802.1X 定义了基于端口的网络接入控制机制。在 WiFi 环境中，"端口"指的是无线关联的逻辑通道。

### 受控端口 vs 非受控端口

```
STA                          AP
 │                            │
 │── EAPOL ─────────────────→│ (非受控端口: 仅允许 EAPOL)
 │                            │
 │←─ EAPOL ──────────────────│ (非受控端口: 仅允许 EAPOL)
 │                            │
 │  [认证成功]                │
 │                            │
 │◄══════════════════════════► (受控端口打开: 允许所有数据)
```

- **非受控端口**：始终开放，但只允许 EAPOL 帧通过
- **受控端口**：认证通过后才开放，允许正常数据传输

## EAP（Extensible Authentication Protocol）

EAP 是一个认证框架，而非具体的认证方法。它定义了消息格式和交换流程，支持多种认证方法（EAP Method）。

### EAP 消息格式

```
┌──────────┬──────────┬──────────┬──────────────┐
│ Code (1) │ ID (1)   │ Length(2)│ Data (var)   │
└──────────┴──────────┴──────────┴──────────────┘

Code:
  1 = Request    2 = Response
  3 = Success    4 = Failure

ID: 匹配请求/响应的标识符
Length: 整个 EAP 包的长度（含头部）
```

### EAP 在 WiFi 中的封装层次

```
EAP Method (如 TLS/MSCHAPv2)
  │
  ▼
EAP Packet
  │
  ▼
EAPOL Frame (802.1X over LAN)
  │
  ▼
802.11 Data Frame (QoS Data, UP=0)
  │
  ▼
PHY PPDU → Air
```

## EAP-TLS 详细流程

### Phase A - TLS 握手

```
Round 1:
Server → Client: EAP-Request/TLS [Start, Length]
Client → Server: EAP-Response/TLS [Empty, ClientHello]

Round 2:
Server → Client: EAP-Request/TLS [ServerHello, Certificate,
               ServerKeyExchange, CertificateRequest,
               ServerHelloDone]
Client → Server: EAP-Response/TLS [Certificate,
               ClientKeyExchange, CertificateVerify,
               Finished]

Round 3:
Server → Client: EAP-Request/TLS [ChangeCipherSpec, Finished]
Client → Server: EAP-Response/TLS [ChangeCipherSpec, Finished]

Round 4:
Server → Client: EAP-Success
```

### Phase B - MSK 派生

```
MSK = PRF(master_secret, "Master Secret",
     Client Random || Server Random)

其中 master_secret 来自 TLS 握手。
PMK = MSK[0:128] (前128字节用于四次握手)
```

## EAP-PEAP 详细流程

### Phase 1 - 建立 TLS 隧道

```
Server → Client: EAP-Request/PEAP [Start]
Client → Server: EAP-Response/PEAP [ClientHello]

Server → Client: EAP-Request/PEAP [ServerHello, Certificate,
               ServerKeyExchange, Finished]
Client → Server: EAP-Response/PEAP [ClientKeyExchange, Finished]

→ TLS 隧道建立（仅服务器认证）
```

### Phase 2 - 隧道内认证

```
在加密隧道内:
Server → Client: EAP-Request/MSCHAPv2-Challenge [Challenge]
Client → Server: EAP-Response/MSCHAPv2-Response [Username, NT-Response]

Server → Client: EAP-Request/MSCHAPv2-Success [Challenge-ACK]
                 (或 MSCHAPv2-Failure)

→ PEAP 封装结束
Server → Client: EAP-Success
```

## EAP-TTLS 与 PEAP 的区别

| 特性 | PEAP | TTLS |
|------|------|------|
| 隧道建立 | TLS（服务器证书） | TLS（服务器证书） |
| 隧道内方法 | 主要是 MSCHAPv2 | PAP/CHAP/MS-CHAPv2/Kerberos/EAP |
| 灵活性 | 较低 | 更高（支持更多内部方法） |
| Microsoft 支持 | 原生支持 | 需要第三方 supplicant |

## EAP 方法选择指南

```
决策树:

需要最高安全性？
├── YES → 有 PKI 基础设施？
│         ├── YES → EAP-TLS（最佳选择）
│         └── NO  → 部署 PKI，然后使用 EAP-TLS
└── NO  → 使用现有 AD/LDAP？
          ├── YES → PEAP-MSCHAPv2（最简单）或 TTLS
          └── NO  → 考虑一次性令牌 + PEAP-GTC
```