阅读目录
- WEP安全策略
- 链路认证阶段
- 接入认证阶段
- 密钥协商阶段
- 数据加密
- WPA3个人版
- WPA3企业版
- 过渡模式
- WAPI的优势
- 身份鉴别阶段
- 密钥协商阶段
- 密钥更新方式
Wi-Fi 加密方式有不加密、WPA2 PSK 模式、 WPA/WPA2 PSK 混合模式、WPA2 PSK/WPA3 SAE 混合模式。
1)加密方式设置为不加密时,连接路由器的 Wi-Fi 时无需输入密码,因此不太安全。
2)WPA2 PSK 的加密方式设置比 WPA/WPA2 PSK 更安全,但是只有用 WPA2 认证的终端才能正常连接,因此会有兼容性问题。
3)加密方式设置为 WPA/WPA2 PSK 时,WPA 或 WPA2 认证的终端都可以连接路由器。
4)WPA2 PSK/WPA3 SAE 的加密方式比 WPA/WPA2 PSK 更安全,WPA2 或 WPA3 认证的终端都可以连接路由器。
建议您将路由器设置为 WPA/WPA2 PSK 混合模式。
WLAN安全策略配置建议
有线等效加密WEP(Wired Equivalent Privacy)协议是由802.11标准定义的,用来保护无线局域网中的授权用户所传输的数据的安全,防止这些数据被窃听。WEP的核心是采用RC4算法,加密密钥长度有64位、128位和152位,其中有24bit的IV(初始向量)是由系统产生的,所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥,接入同一SSID下的所有STA使用相同的密钥访问无线网络。
WEP安全策略WEP安全策略包括了链路认证机制和数据加密机制。
链路认证分为开放系统认证和共享密钥认证。详细的内容请参见STA接入过程中的”链路认证阶段“。
如果选择开放系统认证方式,链路认证过程不需要WEP加密。用户上线后,可以通过配置选择是否对业务数据进行WEP加密。
如果选择共享密钥认证方式,链路认证过程中完成了密钥协商。用户上线后,通过协商出来的密钥对业务数据进行WEP加密。
WEP加密使用静态的共享密钥,不同的用户都采用相同的WEP密钥加密,安全性很低。在802.11i标准推出前,无线加密没有统一的标准,厂商对WEP加密进行了增强,结合802.1X接入认证,产生了动态WEP加密,动态WEP加密的40位、104位或128位的密钥由802.1X接入认证的认证服务器动态生成下发,可以实现对不同的用户采用不同的WEP密钥进行加密。
动态WEP的链路认证阶段仅支持开放系统认证,用户上线后,使用服务器动态生成下发的密钥对业务数据进行WEP加密。
WPA/WPA2由于WEP共享密钥认证采用的是基于RC4对称流的加密算法,需要预先配置相同的静态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁。为了解决这个问题,在802.11i标准没有正式推出安全性更高的安全策略之前,Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4,在WEP基础上提出了临时密钥完整性协议TKIP(Temporal Key Integrity Protocol)加密算法,采用了802.1X的身份验证框架,支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2,区别于WPA,WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP(Counter Mode with CBC-MAC Protocol)加密算法。
为了实现更好的兼容性,在目前的实现中,WPA和WPA2都可以使用802.1X的接入认证、TKIP或CCMP的加密算法,他们之间的不同主要表现在协议报文格式上。
综上所述,WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。
链路认证阶段链路认证分为开放式系统认证和共享式密钥认证,详细内容请参见STA接入过程中的“链路认证阶段”。
WPA/WPA2仅支持开放式系统认证。
接入认证阶段WPA/WPA2分为企业版和个人版:
WPA/WPA2企业版:采用WPA/WPA2-802.1X的接入认证方式,使用RADIUS服务器和可扩展认证协议EAP(Extensible Authentication Protocol)进行认证。用户提供认证所需的凭证,如用户名和密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现对用户的接入认证。
在大型企业网络中,通常采用WPA/WPA2企业版的认证方式。
WPA/WPA2支持基于EAP-TLS和EAP-PEAP的802.1X认证方式,其认证流程如图1和图2所示。
图1 基于EAP–TLS的802.1X认证流程图
图2 基于EAP-PEAP的802.1X认证流程图
WPA/WPA2个人版:对一些中小型的企业网络或者家庭用户,部署一台专用的认证服务器代价过于昂贵,维护也很复杂,因此,WPA/WPA2提供了一种简化的模式,即WPA/WPA2预共享密钥(WPA/WPA2-PSK)模式,它不需要专门的认证服务器,仅要求在每个WLAN节点(WLAN服务端、无线路由器、网卡等)预先输入一个预共享密钥即可。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。
802.1X认证可以支持对有线用户和无线用户进行身份认证,而PSK认证则是专门针对无线用户的认证方法。
PSK认证需要事先在STA和AC端配置相同的预共享密钥,然后通过是否能够对协商的消息成功解密,来确定STA配置的预共享密钥是否和AC配置的预共享密钥相同,从而完成STA和AC的互相认证。如果密钥协商成功,表明PSK接入认证成功;如果密钥协商失败,表明PSK接入认证失败。
密钥协商阶段在802.11i里定义了两种密钥层次模型,分别是:
一种是成对密钥层次结构,主要用来保护STA与AP之间往来的数据;
一种是群组密钥层次结构,主要用来描述STA与AP之间的广播或组播数据。
密钥协商阶段是根据接入认证生成的成对主钥PMK(Pairwise Master Key)产生成对临时密钥PTK(Pairwise Transient Key)和群组临时密钥GTK(Group Temporal Key)。PTK用来加密单播报文,GTK用来加密组播和广播无线报文。
针对802.1X接入认证,生成PMK的流程图如图1所示。
针对PSK认证,根据设置预共享密钥的方式不同(通过命令行可以选择设置预共享密钥的方式),生成的PMK方式也不同:
如果设置的预共享密钥是十六进制,则预共享密钥即是PMK;
如果设置的预共享密钥是字符串,则PMK是利用预共享密钥和SSID通过哈希算法计算出来的。
密钥协商包括单播密钥协商和组播密钥协商过程。
单播密钥协商过程
密钥协商过程也叫做四次握手过程,是通过EAPOL-Key报文进行信息交互的,如图3所示。
