图3 单播密钥协商流程图
AP发送EAPOL-Key帧给STA,帧中包含随机数ANonce。
STA根据STA与AP的MAC地址、PMK、ANonce和SNonce计算出PTK,STA发送EAPOL-Key帧给AP,帧中包含SNonce、RSN信息元素和EAPOL-Key帧的消息完整码MIC(Message Integrity Code)。AP根据PMK、ANonce、SNonce、AP的MAC地址、STA的MAC地址计算出PTK,并校验MIC,核实STA的PMK是否和自己的一致。
AP发送EAPOL-Key帧给STA,并通知STA安装密钥,帧中包含Anonce、RSN信息元素、帧MIC、加密过的GTK。
STA发送EAPOL-Key帧给AP,并通知AP已经安装并准备开始使用加密密钥。AP收到后安装加密密钥。
组播密钥协商过程
组播密钥协商过程也叫做二次握手过程,此过程是在四次握手产生PTK并安装密钥后开始进行的,如图4所示。
图4 组播密钥协商流程图
AP计算出GTK,用单播密钥加密GTK,发送EAPOL-Key帧给STA。
STA收到EAPOL-Key帧后,验证MIC,解密GTK,安装组播加密密钥GTK,并发送EAPOL-Key确认消息给AP。AP收到EAPOL-Key确认帧后,验证MIC,安装GTK。
数据加密WPA/WPA2支持TKIP和CCMP两种加密算法。
TKIP加密算法
区别于WEP共用一个共享密钥,TKIP采用一套动态密钥协商和管理方法,每个无线用户都会动态地协商一套密钥,保证了每个用户使用独立的密钥。每个用户的密钥是由密钥协商阶段协商出来的PTK、发送方的MAC地址和报文序列号计算生成的,通过这种密钥混合的防护方式来防范针对WEP的攻击。
TKIP采用信息完整性校验机制,一方面保证接收端接收报文的完整性;另一方面保证接收端和发送端数据的合法性。信息完整性校验码是通过密钥协商阶段协商出来的MIC Key、目的MAC地址、源MAC地址和数据包计算生成的。
区别于WEP和TKIP采用的流密码机制,CCMP采用了以高级加密标准AES(Advanced Encryption Standard)的块密码为基础的安全协议。这种基于块密码的加密技术克服了RC4算法本身的缺陷,安全性更高。
WPA3是Wi-Fi联盟组织发布的新一代Wi-Fi加密协议,在WPA2的基础上增加了新的功能,以简化Wi-Fi安全保障方法、实现更可靠的身份验证,提高数据加密强度。所有的WPA3网络都必须进行管理帧保护PMF(Protected Management Frame),保证数据的安全性。
根据Wi-Fi网络的用途和安全需求的不同,WPA3又分为WPA3个人版、WPA3企业版,即WPA3-SAE和WPA3-802.1X。WPA3为不同网络提供了额外功能:WPA3个人版增强了对密码安全的保护,而WPA3企业版的用户可以选择更高级的安全协议,保护敏感数据。
WPA3个人版对比WPA2个人版,WPA3个人版能提供更可靠的基于密码的身份验证。这是由于WPA3个人版使用了更安全的协议——对等实体同时验证SAE(Simultaneous Authentication of Equals)。SAE取代了WPA2个人版的PSK认证方式,可以有效地抵御离线字典攻击,增加暴力破解的难度。SAE能够提供前向保密,即使攻击者知道了网络中的密码,也不能解密获取到的流量,大大提升了WPA3个人网络的安全。WPA3个人版只支持AES加密方式。
SAE在WPA/WPA2-PSK原有的四次握手前增加了SAE握手,实质上是为了动态协商成对主密钥PMK。WPA/WPA2-PSK的PMK只与SSID和预共享密钥有关,而SAE引入了动态随机变量,每次协商的PMK都是不同的,提升了安全性。SAE交互流程如图1。
图1 SAE交互流程
SAE握手可以由任意一方发起,主要分两个阶段:
交换密钥阶段 (SAE Commit)
这个阶段的主要目的是生成四次握手的PMK,由认证的两个实体(AP和STA)各自发送一个包含了用随机数封装起来的PWE(password element of an ECC group)。PWE是由密码和协商对象的MAC衍生出来的密钥,最终通过运算得出PMK。Commit阶段结束后,两个认证实体都生成了PMK,但是并不知道两者的PMK是否一致。
这个阶段的主要目的是校验两个实体是否拥有相同的PMK,通过使用PMK的一部分来对上一轮发送的Commit报文进行完整性校验。如果双方都可以校验通过,说明两端的PMK是一致的,可以进行四次握手过程。
SAE交互完成后生成PMK作为四次握手的输入,四次握手的过程与WPA2-PSK认证类似。
SAE攻击防御由于SAE握手使用了大量的复杂算法,如果攻击者不停使用大量不同的MAC来发送SAE Commit报文,将会频繁触发SAE握手,耗费大量计算资源,从而达到拒绝服务攻击的目的。
针对这种方式的攻击,WPA3协议规定SAE交互报文的并发量达到阈值后,如果有新的SAE握手,则SAE Commit报文中必须携带token,token对于用户MAC唯一标示用户,如果不携带token则不能进行SAE交互,从而达到防止攻击的作用。
终端闪断后快速重新连接WPA3个人版支持终端闪断后快速重新连接,掉线后重新连接的终端使用OPEN认证而不是进行SAE交互,在重关联请求报文中携带PMKID,AP对PMKID进行匹配校验,如果校验成功则可以直接使用之前的PMK进行四次握手协商,无需进行SAE协商,从而实现闪断后快速重新连接。
过渡模式由于WPA2仍在广泛使用,为了能兼容暂时不支持WPA3的终端能接入WPA3网络,Wi-Fi联盟规定了WPA3个人版的过渡模式,即WPA3和WPA2在未来的一段时间里可以共存。过渡模式只支持AES加密方式,不支持TKIP加密方式。
WPA3过渡模式中,对于使用WPA2接入的用户,接入流程和WPA2-PSK认证一致,不强制使用PMF。使用WPA3接入的用户,接入流程使用WPA3-SAE认证流程,必须使用PMF。
WPA3企业版企业、政府和金融机构为了更高的安全性可以采用WPA3企业版。WPA3企业版基于WPA2企业版,提供一种可选模式——WPA3-Enterprise 192bit,该模式有以下优点:
数据保护:使用192位的Suite-B安全套件,增加密钥的长度。
密钥保护:使用HMAC-SHA-384在4次握手阶段导出密钥。
流量保护:使用伽罗瓦计数器模式协议GCMP-256(Galois Counter Mode Protocol)保护用户上线后的无线流量。
管理帧保护:使用GMAC-256(GCMP的伽罗瓦消息认证码,Galois Message Authentication Code)保护组播管理帧。
WPA2企业版支持多种EAP方式的身份验证,但是WPA3企业版仅支持EAP-TLS的方式。WPA3企业版支持的EAP密码套件有以下几种:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
OWE认证针对于开放性Wi-Fi网络,WPA3也在OPEN认证的基础上做了升级,提出了OWE认证。OWE认证是基于机会性无线加密算法OWE(Opportunistic wireless encryption)的新一代开放网络认证方式,也叫做增强型开放网络认证(enhanced-open)。用户无需输入密码即可加入网络,设备使用AES加密算法对网络中的数据进行加密,保护用户设备与Wi-Fi网络之间的数据交换。
OWE认证过程与SAE认证过程相似,但是OWE省去了密码的维护,使用Diffie–Hellman协议进行密钥交换,生成用于后续四次握手过程的PMK。在确保开放性网络的便捷性的同时,OWE认证也保证了开放型网络的数据安全性。
过渡模式由于部分终端不支持OWE认证,为了兼容此类终端,OWE还支持过渡模式,即不支持OWE认证的终端将以OPEN方式接入,支持OWE认证的终端将以OWE方式接入。OWE过渡模式认证仅支持AES加密方式。
PPSK常用的接入认证方式有WPA/WPA2-802.1X认证、WPA/WPA2-PSK认证和Portal认证,这些接入认证方式各有优缺点。WPA/WPA2-802.1X认证安全性较高,但部署较为复杂,且一些客户端不支持802.1X认证;WPA/WPA2-PSK认证,只需在每个WLAN节点预先输入一个预共享密钥,虽然部署简单,但对于连接到相同SSID的所有客户端,预共享密钥相同,可能会导致未授权的用户共享密钥;Portal认证相对于WPA/WPA2-PSK认证部署也较为复杂。
WPA/WPA2-PPSK(Private PSK)认证继承了WPA/WPA2-PSK认证的优点,部署简单,同时还可以实现对不同的客户端提供不同的预共享密钥,有效提升了网络的安全性。如图1所示,WPA/WPA2-PSK认证,对于连接到指定SSID的所有客户端,密钥将保持相同,从而可能存在安全风险。使用WPA/WPA2-PPSK认证,连接到同一SSID的每个用户都可以有不同的密钥,根据不同的用户可以下发不同的授权,并且如果一个用户拥有多个终端设备,这些终端设备也可以通过同一个PPSK账号连接到网络。
图1 PSK认证和PPSK认证对比图
WPA/WPA2-PPSK认证具有以下特点:
连接到同一SSID的每个用户都可以有不同的密钥。
配置和部署简单。
如果一个用户拥有多个终端设备,这些终端设备也可以通过同一个PPSK用户连接到网络。
PPSK用户绑定用户组或者授权VLAN,根据不同的PPSK用户可以下发不同的授权。
WAPI无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)是中国提出的、以802.11无线协议为基础的无线安全标准。WAPI能够提供比WEP和WPA更强的安全性,WAPI协议由以下两部分构成:
无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure):用于无线局域网中身份鉴别和密钥管理的安全方案;
无线局域网保密基础结构WPI(WLAN Privacy Infrastructure):用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。
WAPI采用了基于公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于无线设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息的加密保护。
WAPI的优势体现在以下几个方面:
双向身份鉴别
双向鉴别机制既可以防止非法的STA接入WLAN网络,同时也可以杜绝非法的WLAN设备伪装成合法的设备。
WAPI有独立的证书服务器,使用数字证书作为STA和WLAN设备的身份凭证,提升了安全性。对于STA申请或取消入网,管理员只需要颁发新的证书或取消当前证书。
在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。
如图1所示,WAPI安全策略涉及身份鉴别和密钥协商阶段,是在STA与AC建立关联以后开始进行的。
