WPA3,WPA2,WPA的核心要点

本文介绍了WPA的安全标准发展,从WPA到WPA2再到WPA3,强调了安全认证和加密的重要性。WPA3引入了SAE和OWE,强制所有新设备支持,以应对日益严重的安全威胁。
摘要由CSDN通过智能技术生成

目录

WPA是什么?

WPA:WiFi protected Access

安全是什么?

安全= 认证+加密

IEEE 802.11定义了2个阶段:pre-RSNA, RSNA

Pre-RSNA:

RSNA:robust security network association

RSNA Authentication:

RSNA Encryption:

RSNA VS WPA and WPA2

为什么要WPA3?

WPA3-SAE

WPA3-OWE

总结:目前WPA3进入强制阶段,所有新的WiFi设备都必须支持WPA3,6G频段直接去掉了open的支持,强制WPA3。


WPA是什么?

WPA:WiFi protected Access

IEEE 802.11一开始就内置了安全协议,包括WEP(wired equivalent privacy),shared key authentication等,但是大家很快就发现这个安全太脆弱。

2003年,WiFi联盟基于802.11i draft3先做了WPA(WiFi Protected Access);

2004年802.11i正式发布后,WiFi联盟更新为WPA2;

2018年,WiFi联盟再次更新为WPA3。

如果没有安全的话,我们的WiFi就像裸奔一样。附近的人通过捕捉空中的报文(air sniffer),可以轻松的破解我们的各种卡号密码。因此通信安全是至关重要。                        
 

安全是什么?

安全= 认证+加密

security = authentication+encryption.

  • authentication 认证:你是谁?
  • encryption 加密:加密数据,避免被破解。

note:实际执行中,这2个会经常混在一起,比如在认证的时候,就需要加密数据,避免破解等。

但是我们考虑安全的时候一定要从这2个角度出发。

IEEE 802.11定义了2个阶段:pre-RSNA, RSNA

RSNA:robust security network association

Pre-RSNA:

  • encryption:
    • WEP (已淘汰,不赘述)
  • authentication:
    • Open :最最基本的,下图为最基本的连接过程:probe,authentication,association
    • shared key (已淘汰,不赘述)

RSNA:robust security network association

RSNA Authentication:

An RSNA relies on IEEE Std 802.1X-2004 to provide authentication services and uses the IEEE 802.11 key management
RSNA先经过Open association的过程,然后把port block。
然后进行EAP的过程,authentication和key management。
如下图。
认证主要有2种:
1, PSK:Preshared Key,使用最广泛。
2,EAP企业级:
  • EAP-TLS
  • EAP-PEAP/MSCHAPv2 (both PEAPv0 and PEAPv1)
  • EAP-PEAP/TLS (both PEAPv0 and PEAPv1)
  • EAP-PEAP/GTC (both PEAPv0 and PEAPv1)
  • EAP-PEAP/OTP (both PEAPv0 and PEAPv1)
  • EAP-PEAP/MD5-Challenge (both PEAPv0 and PEAPv1)
  • EAP-TTLS/EAP-MD5-Challenge
  • EAP-TTLS/EAP-GTC
  • EAP-TTLS/EAP-OTP
  • EAP-TTLS/EAP-MSCHAPv2
  • EAP-TTLS/EAP-TLS
  • EAP-TTLS/MSCHAPv2
  • EAP-TTLS/MSCHAP
  • EAP-TTLS/PAP
  • EAP-TTLS/CHAP
  • EAP-SIM
  • EAP-AKA
  • EAP-AKA'
  • EAP-FAST
  • EAP-PAX
  • EAP-SAKE
  • EAP-IKEv2
  • EAP-GPSK,etc.

RSNA Encryption:

Temporal Key Integrity Protocol (TKIP) (已淘汰,不赘述)
The TKIP is a cipher suite enhancing the WEP protocol on pre-RSNA hardware.
CTR with CBC-MAC Protocol (CCMP)
CCMP is based on the CCM of the AES encryption algorithm. CCM combines CTR for data confidentiality and CBC-MAC for authentication and integrity. CCM protects the integrity of both the MPDU Data field and selected portions of the IEEE 802.11 MPDU header.
The AES algorithm is defined in FIPS PUB 197-2001. All AES processing used within CCMP uses AES with a 128-bit key and a 128-bit block size.

RSNA VS WPA and WPA2

WiFi联盟的WPA 和WPA2对应IEEE RSNA。2003年,WiFi联盟基于802.11i draft3先做了WPA(WiFi Protected Access);2004年802.11i正式发布后,WiFi联盟更新为WPA2;

因为WPA主要使用TKIP,随着TKIP被淘汰,WPA也随之淘汰。

为什么要WPA3?

WPA2已经保护了WiFi 十多年,2018年左右,突然有个Crack攻击,导致WPA2被破解,为了应对这个安全隐患,WiFi联盟更新了WPA3。

目前有几个版本应对不同的场景:

  • WPA3-SAE:优化WPA2-PSK,原来authentication是Open,现在增强了authentication的交互。
  • WPA3-Enterprise:针对企业环境,增加Suite-B,将密码算法提升至192位。
  • WPA3-OWE:针对机场等原来使用EAP-Open的场景,验证手机号之后,不加密,安全隐患很大。强制open环境下也进行加密,保证通信安全。

WPA3-SAE

WPA3-SAE:Simultaneous Authentication of Equals (SAE) upon WPA2 PSK.

注意看中间authentication的4个包,是与WPA2的主要区别。

  1. Authentication (Commit) from STA to AP

    • This packet is an 802.11 authentication frame.

    • Commit will include SAE authentication Seq Number 1 with a scalar and an element not related to the password to be used.

    • This is used to generate the PMK (Pairwise Master Key) on the STA.

  2. Authentication (Commit) from AP to STA

    • This packet is an 802.11 authentication frame.

    • Commit will include SAE authentication Seq Number 1 with a scalar and an element not related to the password to be used.

    • This is used to generate the PMK (Pairwise Master Key) on the AP.

  3. Authentication (Confirm) from STA to AP

    • This packet is an 802.11 authentication frame.

    • Confirm includes Seq Number 2 with confirm message with key generated for AP to validate.

  4. Authentication (Confirm) from AP to STA

    • This packet is an 802.11 authentication frame.

    • Confirm includes Seq Number 2 with confirm message with key generated letting STA know the key is correct or rejecting the authentication.

WPA3-OWE

Opportunistic wireless encryption

association之前的过程是WPA2一样,只是后面强制进行4-way handshake,加密数据。

总结:目前WPA3进入强制阶段,所有新的WiFi设备都必须支持WPA3,6G频段直接去掉了open的支持,强制WPA3。

引用:

Enhanced Open – Part 1 | mrn-cciew (mrncciew.com)

RFC 8110 - Opportunistic Wireless Encryption (ietf.org)

WPA3 Encryption and Configuration Guide - Cisco Meraki Documentation

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ankie(资深技术项目经理)

打赏就是赞赏,感谢你的认可!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值