主要参考资料:
Wi-Fi 安全性: https://docs.espressif.com/projects/esp-idf/zh_CN/release-v4.4/esp32/api-guides/wifi-security.html
1.ESP32 Wi-Fi 安全功能
- 支持受保护的管理帧 (PMF)
- 支持第三代 Wi-Fi 访问保护 (WPA3-Personal):WPA3 能更好地保护隐私,并在已知针对传统模式的攻击下具有更强的鲁棒性。
1.1 受保护的管理帧 (PMF)
Wi-Fi 网络中,非 AP 设备使用如信标、探测、(解)身份验证和(断)关联等管理帧,扫描并连接到 AP。不同于数据帧,管理帧在传输时不会加密。
由此,攻击者可以利用窃听和数据包注入,在适当时机发送伪造的(解)身份验证或(断)关联管理帧,发起拒绝服务 (DoS) 和中间人攻击等攻击。
PMF 通过加密单播管理帧以及为广播管理帧提供完整性检查,来应对上述解身份验证、解关联和鲁棒管理帧等攻击。此外,PMF 还提供了安全关联 (SA) 拆除机制,防止伪造的关联或验证帧使已连接的客户端断开连接。
station 和 AP 支持三类 PMF 配置模式:
- 可选 PMF
- 强制 PMF
- 禁用 PMF
1.2 第三代 Wi-Fi 访问保护 (WPA3-Personal)
第三代 Wi-Fi 访问保护 (WPA3) 是一组强化的 Wi-Fi 接入安全性标准,旨在取代当前的 WPA2 标准。WPA3 包含了新的功能和属性,可以提供更显著的保护效果,应对不同类型的攻击。相比 WPA2-Personal,WPA 3-Personal 有以下改进:
- WPA3 使用对等实体同时验证 (SAE) 技术,这是一种基于 Diffie-Hellman 密钥交换的密码验证密钥协商方法。与 WPA2
不同,SAE 技术能够抵抗离线字典攻击,即攻击者在无需进一步网络交互的情况下,尝试通过窃听的四次握手确定共享密钥。 - 禁用过时协议,如 TKIP 协议,该协议容易受到如 MIC 密钥恢复攻击等简单攻击。
- 强制使用受保护的管理帧 (PMF) 保护单播和组播鲁棒管理帧,包括 Disassoc 和 Deauth 帧。这意味着攻击者无法通过向 AP
发送伪造的 Assoc 帧或向 station 发送 Deauth/Disassoc 帧来中断已建立的 WPA3 会话。 - 提供前向保密功能,即使攻击者在数据传输后成功破解密码,也无法解密捕获的数据。
ESP32 的 station 模式还支持以下额外的 Wi-Fi CERTIFIED WPA3™ 功能:
- 禁用过渡:WPA3 为客户端定义了过渡模式。该模式下,即使网络中的某些 AP
不支持最强的安全模式,客户端也能正常接入网络。客户端通常会默认将网络配置文件配置为过渡模式。然而,这类客户端可能会遭受主动降级攻击,即攻击者会引导客户端使用强度较低的安全模式,以利用该模式的漏洞。为减轻这种攻击的影响,WPA3引入了禁用过渡功能。当连接到某个网络时,若该网络已全面支持更高级的安全模式,则支持客户端从过渡模式切换到“纯粹”模式。请在wifi_sta_config_t 中启用 transition_disable,为 ESP32 的 station 模式启用此功能。 - SAE PWE方法:ESP32 station模式支持SAE密码元素派生方法Hunting And Pecking和Hash to Element (H2E)。H2E的计算效率很高,因为它比Hunt And Peck使用更少的迭代,而且它还减轻了侧信道攻击。可以使用来自wifi_sta_config_t的参数sae_pwe_h2e配置station。通过使用WPA3_SAE_PWE_BOTH配置,可以同时启用Hunt And Peck和H2E。
在 ESP32 上设置 WPA3
配置选项 CONFIG_ESP_WIFI_ENABLE_WPA3_SAE 用于在 station 上启用或禁用 WPA3,该选项默认启用,如果禁用,则 ESP32 无法建立 WPA3 连接。Wi-Fi 组件中还提供了配置选项 CONFIG_ESP_WIFI_SOFTAP_SAE_SUPPORT,用于在 SoftAP 上启用或禁用 WPA3。此外,由于 WPA3 协议强制使用 PMF,因此,station 和 SoftAP 的 PMF 模式均默认为可选 PMF。可以使用 Wi-Fi 配置选项将 PMF 模式配置为强制 PMF。WPA3 SoftAP 仅支持使用强制 PMF 模式,如无特别指定,则将在 NVS 中隐式配置并存储该模式。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
