为什么客户端在与 AP 关联之前进行身份验证

这似乎有点奇怪。是的，在现代 802.11 中，在关联请求/响应之前进行了开放式身份验证。这也是在任何类型的 802.1X 身份验证或 WPA/WPA2 密钥交换之前。

但是，您需要记住，IEEE 有一个原始的 802.11 标准。802.11i（又名 WPA2）或 802.11ac 之类的东西是对现有标准的修订。这些修订在很大程度上试图扩展或增强基本标准，同时保留尽可能多的现有标准以提供向后兼容性。

因此，这种预关联身份验证是由于遗留功能（即 WEP）而发生的。这是 WEP 客户端向 AP 提供其身份验证的点。当 802.11i 添加到标准中时，这是一个更复杂的身份验证过程。因此，802.11i 在关联后执行，但在获得网络访问权限之前执行。

虽然新流程不再使用预关联身份验证请求/响应，但它作为开放身份验证保留在流程中，为客户端/AP 提供一致的体验。如果旧客户端/AP 和较新的客户端/AP 都可以简单地期望身份验证/关联流而不是必须寻找两个不同的连接流，那么它可以简化流程和开发。

注意：您可以在此 Cisco/Meraki 文档 中找到完整的当前连接过程（使用 802.1X）。所有当前的 802.11 连接都会进行初始身份验证和关联过程。

但是，WFA 提出的 WPA3（它不是IEEE 标准）首次通过 SAE（等值同步认证）功能改变了这一过程。我的理解是，这将 802.11 身份验证过程从两帧请求/响应更改为四帧提交/确认过程。

目前我还没有看到 IEEE 工作组讨论与 WPA3 相关的任何更改。

更新：我确实忘记添加 802.11 身份验证是进行 MAC 身份验证的地方（主要是忘记了，因为我不使用 MAC 身份验证）。这对现代无线网络尤其重要，因为供应商正在添加自己的更新以更好地控制 PSK（Cisco->Identity PSK、Aerohive->Private PSK、Ruckus->Dynamic PSK、MiKroTik->Private PSK 等）。

AFAIK，这些无线平台都使用 802.11 身份验证阶段来设置 PSK 以通过某种机制（此时不同且非标准化）用于相关设备，所有这些都在 WPA2 握手之前，因此 WPA2 个人体验是透明的到客户端设备。