跳到主要内容

1. 引言 (Introduction)

TLS 知识证明 (TLS Proof of Knowledge, TLS-POK) 面向没有用户界面或用户界面受限的自举设备. 设备可能需要网络访问来获取凭据, 但又需要凭据才能接入基于 IEEE 802.1X / EAP 的网络, 因而形成自举循环.

如果设备拥有 public/private key pair, 且其 public key 可通过带外 (out-of-band) 方式可信获得, 设备即可向 TLS 服务器或 EAP 服务器进行认证. Device Provisioning Profile (DPP), 也称为 Wi-Fi Easy Connect, 覆盖 Wi-Fi 入网, 但不覆盖有线网络访问, 也未定义如何在 TLS 中使用 DPP key pair. TLS-POK 填补了这一空白.

TLS-POK 不应该用于无线网络的自举, 应该用于有线网络的自举.

1.1. 术语 (Terminology)

BSK 是 Bootstrap Key, 即适合 ECDSA 的椭圆曲线 public/private key pair. EPSK 表示 External Pre-Shared Key. TEAP 是 Tunnel Extensible Authentication Protocol. NAI 是 Network Access Identifier.

1.2. 自举概述 (Bootstrapping Overview)

BSK private key 仅设备知道. BSK public key 由设备所有者知道, 并配置到 TLS 服务器上. 服务器证明它知道 public key, 设备证明它知道 private key. 在 EAP 部署中, EAP 服务器应该为设备配置后续 EAP 认证使用的凭据.

1.3. EAP 网络访问 (EAP Network Access)

该自举交换可为设备提供足够的连接能力, 以便使用 TEAP 或其他注册机制获取后续 EAP 认证所需的凭据.

1.4. 支持的 EAP 方法 (Supported EAP Methods)

本文假定 TEAP 是受支持的 EAP 方法, 因为 TEAP 支持证书配置. 未来 EAP 方法若支持证书配置, 也可能使用 TLS-POK, 但相关定义不在本文范围内.