德克萨斯州奥斯汀- 2018年6月5日- Wi-Fi联盟®推出的Wi-Fi CERTIFIED增强开放™,一个认证程序,在开放的Wi-Fi用户带来新的效益®网络。Wi-Fi增强型Open™在不需要用户身份验证或无法分发凭据的情况下提供保护。这些未经身份验证的网络通常部署在公共场所,例如本地咖啡店和带有网络门户的访客网络,这些门户网站位于机场,酒店和运动场所。Wi-Fi Enhanced Open™在保持便利性和易用性的同时提供了改进的数据隐私性。
Wi-Fi增强开放式网络提供保护,防止被动监听,而无需输入密码或采取其他步骤即可加入网络。Wi-Fi增强开放基于机会无线加密(OWE),集成了已建立的加密机制,可为每个用户提供独特的单独加密,从而保护用户设备与Wi-Fi网络之间的数据交换。受保护的管理框架进一步保护了接入点和用户设备之间的管理流量。使用强制性门户网站控制网络访问的网络运营商可以维护其部署的简便性,因为没有要维护或共享的网络凭证。
【被动监听和无缝体验】
但是,如果用户仍然没有任何密码连接到无线网络(与传统的Open Auth SSID相同),这将无法为身份验证提供任何安全性。如果您的设备支持“增强开放”功能,则它将在初始关联后对数据流量进行加密。
这是“增强开放”无线协会中的基本帧交换
OWE发现
在RSNE下,接入点(AP)使用OWE的AKM套件选择器宣传对OWE的支持。下面显示了使用OWE配置的SSID的信标帧中的RSNE。您将看到AKM套件类型值18( 00-0F-AC:18)表示OWE支持。
如果查看RSN功能字段,您将看到AP同时发布了管理帧保护(MFP)功能和MFP必需位设置为1。当客户端发
送该消息时,在关联请求帧(#88)上也会看到相同的消息。
您可以看到DH参数元素具有以下格式,其中元素ID为255,扩展值为32。
为了使实现符合标准,它必须支持DH-Group 19,这是一个256位的椭圆曲线(ECP)。您可以看到在给定的数据包捕获中使用了DH组号。如果AP不支持关联请求中指示的DH组,则AP会以状态码77进行响应,指示不支持的组。
同意进行OWE的AP必须在关联响应帧的RSNE中包含OWE AKM。如果未执行“ PMK缓存”,则还必须包括DH参数元素。这是第90帧的详细信息。
OWE PMK缓存
在启用了“增强开放”的SSID上支持PMK缓存,其中STA和AP可以在一段时间内缓存PMK。一旦客户端第一次与OWE SSID相关联,就必须计算PMKID值。当STA随后连接到同一AP时,它可以在关联请求帧中包含PMKID。如果AP已缓存该PMKID标识的PMK,则它将PMKID包含在其关联响应帧中。在这种情况下,该关联响应帧中将不包含DH参数元素。从配置的角度来看,您可以通过在“ WLAN” ->“ 安全性” ->“ 第2层”选项卡下简单地选择“启用增强”,如下所示(使用运行WLC的Cisco AireOS 8.10.x)
在过渡模式下,您将创建两个SSID。一种启用了增强开放。另一个启用了开放式身份验证+转换模式。仅开放式身份验证SSID正在广播其SSID名称。因此,客户端设备只能看到一个SSID,但是,如果设备支持OWE,它将顺利连接到增强型开放式SSID。
上面显示了我们的测试拓扑。SSID1(CWAP-Open)已启用“增强开放”。请注意,SSID名称不是广播名称。我们在“ 增强开放-第1部分”博客文章中使用了相同的SSID 。 在OWE转换模式下,将SSID2(来宾)配置为具有开放验证(即L2安全性设置为“无”)。请注意,如下所示,我们在SSID2配置下将SSID1包括为“增强的开放式SSID。(Cisco AireOS 8.10.x WLC)
如果查看信标帧,则会看到来自两个SSID的信标帧,但是SSID名称仅在“访客” SSID中可见。如果查看标记的参数,则会注意到两个SSID中都有供应商特定元素“ OWE Transition Mode ”信标帧或探测响应帧。下面显示了SSID2 – Guest的信标帧。
这是WiFi Alliance OWE规范v1.0中定义的OWE转换模式元素格式
您将在该信标帧的OWE Transition Mode元素中看到这些字段信息。请注意,波段信息和频道信息是可选字段。有效选项是同时包含这两个信息字段,还是不同时包含这两个字段。在我们的情况下,这两个都不存在。在我的情况下,两个SSID均配置为5GHz频段(必须测试以后在每个SSID中修改那些频段)。注意,SSID名称和BSSID信息在OWE转换信息元素下列出。
这是名为“ CWAP-Open”的“ Enhanced Open” SSID的信标帧
注意“增强开放” SSID信标帧中的要点(“探测响应”帧中也有相同的信息)
• SSID长度为零
• 包含“ RSNE”以表示OWE支持。
• 包含OWE过渡元素
以下是我们感兴趣的那些元素的细信息(SSID,RSNE,OWE Transition)
但是,当AirCheckG2尝试连接时,它已连接到正在进行“开放式身份验证”的“访客” SSID。您会注意到2个打开的身份验证框架(#2757,2760)和关联请求/响应(#2762,2764),然后清除了文本数据框架。请注意,在以下wireshark显示过滤器中,该过滤器用于缩小与AG2相关的帧并过滤掉控制帧。wlan.addr == 6c:0b:84:c2:4e:99 &&不是wlan.fc.type == 1
但是,当AirCheckG2尝试连接时,它已连接到正在进行“开放式身份验证”的“访客” SSID。您会注意到2个打开的身份验证框架(#2757,2760)和关联请求/响应(#2762,2764),然后清除了文本数据框架。请注意,在以下wireshark显示过滤器中,该过滤器用于缩小与AG2相关的帧并过滤掉控制帧。wlan.addr == 6c:0b:84:c2:4e:99 &&不是wlan.fc.type == 1
来源:51CTO
作者:河南慕慕
链接:https://blog.51cto.com/13672543/2471495