会话密钥(Session Key)

会话密钥可以用於在建立会话之後或在身份验证之後根据需要确保机密性和完整性。因此，主体的会话密钥最不可能是主体向接入点（AP）进行身份验证所必需的

会话键(Session Keys)
. 在交流中，会话是指两方之间的会话时间。可以使用会话密钥（“用於在一个通信会话中加密所有消息的一次性对称密钥）对会话中发送的消息进行加密。” （维基百科）
. 在TLS的上下文中，会话密钥可以泛指从主密钥派生的各种秘密，从这些秘密可以派生出一组工作密钥。（RFC 8446）

TLS会话密钥可以派生出来，并用於身份验证後的消息身份验证代码（MAC）的加密和计算。如下图所示，用於确保数据来源的“客户端MAC密钥”和“服务器MAC密钥”即使被称为“ MAC”密钥也可以视为会话密钥。结果，就TLS而言，会话密钥可用於加密和身份验证。

预共享密钥(Preshared Key)
预共享密钥是通常用於身份验证的预配置共享密钥。AP允许配置了正确预共享密钥的无线客户端进行连接。
公钥(Public Key)
公钥通常包含在由证书颁发机构（CA）签名和颁发的数字证书中。在完善的公钥基础结构中，可以将证书用於身份验证，例如EAP-TLS。
私钥(Private Key)
即使完善的PKI可以使用公钥进行身份验证，专有的身份验证解决方案也可以使用私钥来实现“零知识证明”进行身份验证。

公钥和私钥的非对称密钥对总是一起使用。主体可以使用其私钥来实现“零知识证明”，这种方法可以证明一方以任何方式拥有或控制秘密，除了直接提供秘密（在这种情况下为私钥）。
. 认证服务器通常将质询（例如，随机值）发送给受试者。对像在收到挑战时使用其私钥对挑战进行加密，然後将其发回。（PS。CHAP使用MD5来计算哈希值作为响应MD5（ID || secret ||挑战）。）
. 然後，身份验证服务器使用主体的公共密钥解密响应，并将其与原始质询值进行比较。如果它们匹配，则认证服务器可以推断出该主题是真实的。

参考
. 会话密钥
. 什麽是会话密钥？| 会话密钥和TLS握手
. 零知识证明
. 密码学概述
. EAP-TLS身份验证协议（RFC 5216）
. 传输层安全性（TLS）协议版本1.3（RFC 8446）

资料来源： Wentz Wu QOTD-20201114