前回はWPA2-Personalがいかにセキュアに鍵の生成を行うか？というのをまとめてみました。

今回は企業で使われるRADIUSを使用したWPA2-Enterpriseの手順をまとめておきます。

EAPによるMSK、PMKの生成

WPA2-PersonalはPSK(Pre-Shared Key)を元にMSK(Master Session Key)、PMK(Pairwise Master Key)の生成を行っていました。
WPA2-EnterpriseではPSKの設定を必要としないので別の方法でMSKの生成を行う必要があります。
MSKはRADIUSサーバにて生成され、EAPの手順内でAP、Clientに転送されます。
EAPの手順はTLSで暗号化されている状態となりますので、鍵の伝達は安全な状態となっています。
APおよびClientは入手したMSKからPMKを生成します。

これ以降はWPA2-Personalの時と同様に4Way Handshake内でAP、Clientがそれぞれランダム値を生成、交換を行い最終的なPTK(Pairwise Transient key)、GTK(Group Transient Key)の生成までを行います。

まとめ

WPA2-Personalとの大きな違いはPSKを利用せず、RADIUSサーバにて認証毎にMSKが生成されるということです。
徐々にではありますがWPA2に変わりWPA3も利用が開始されてきています。
Wi-Fi 6EではWPA3が必須となっていますので、どこかのタイミングでWPA3に関してもまとめられたらと思っています。