关于Wi-Fi的加密认证过程,我们前面已经讲解:WLAN数据加密机制_tls加密wifi-CSDN博客
今天我们来理解下AKM,AKM(Authentication and Key Management)在Wi-Fi安全中是指认证和密钥管理协议。它是用于确定Wi-Fi网络中的认证方式以及如何生成和管理加密密钥的机制。AKM协议在Wi-Fi安全协议(如WPA、WPA2、WPA3)中扮演着关键角色,确保无线网络的安全性和完整性。
1. AKM的作用
- 认证:验证用户或设备的身份。
- 密钥管理:生成、分发和管理加密密钥,以保护无线通信数据。
2. AKM类型
不同的Wi-Fi安全协议支持不同的AKM类型,如下图所示,是当前所拥有的Wi-Fi身份验证和密钥管理协议(Authentication and Key Management Protocol,AKMP)。
同时也定义了多种加密方法,用于保护保护第三~七层的数据,具体有WEP、TKIP、CCMP、GCMP等等,如下图所示:
IEEE 802.11关于加密套件的定义如下所示:
在Beacon报文里面,我们可以清晰的看到"Group Cipher Suite"、"Pairwise Cipher Suite"、"AKM",具体如下图所示:
2.1 WPA/WPA2
- PSK(Pre-Shared Key):预共享密钥认证,用于家庭和小型企业网络。用户在配置无线网络时,输入相同的密码短语(Pre-Shared Key)。
- WPA-PSK:使用TKIP加密。
- WPA2-PSK:使用AES-CCMP加密。
- 802.1X/EAP(Extensible Authentication Protocol):基于RADIUS服务器的认证,用于企业网络。支持多种EAP方法,如EAP-TLS、EAP-PEAP、EAP-TTLS等。
- WPA-Enterprise(WPA-802.1X):使用TKIP加密。
- WPA2-Enterprise(WPA2-802.1X):使用AES-CCMP加密。
2.2 WPA3
- SAE(Simultaneous Authentication of Equals):用于WPA3-Personal,提供更强的安全性,抵御离线字典攻击。
- Suite B:用于WPA3-Enterprise,提供更高的安全性和密钥管理能力,支持更强的加密算法(如AES-GCMP)。
3. AKM协议的工作流程
以下是AKM协议在Wi-Fi网络中的工作流程:
3.1 PSK模式(WPA/WPA2-PSK)
- 预共享密钥配置:用户在路由器和客户端设备上配置相同的密码短语。
- 四次握手协议:用于认证和密钥交换。
-
- AP和STA使用预共享密钥(PSK)生成PMK(Pairwise Master Key)。
- AP和STA通过四次握手协议生成PTK(Pairwise Transient Key)和GTK(Group Temporal Key),用于加密单播和组播数据。
3.2 802.1X/EAP模式(WPA/WPA2-Enterprise)
- 身份验证:
-
- STA向AP发送认证请求,AP将请求转发到RADIUS服务器。
- RADIUS服务器使用EAP协议对STA进行身份验证。
- EAP协议支持多种认证方法,如证书、用户名和密码等。
- 密钥生成和分发:
-
- 认证成功后,RADIUS服务器生成PMK,并将其发送给AP。
- AP和STA通过四次握手协议生成PTK和GTK。
3.3 SAE模式(WPA3-Personal)
- 密码认证:使用SAE协议,通过迪菲-赫尔曼密钥交换和密码承诺机制,确保密码短语的安全性。
- 四次握手协议:与PSK模式类似,用于生成PTK和GTK。
4. AKM的安全性
- PSK模式:安全性依赖于密码短语的强度。弱密码容易被暴力破解。
- 802.1X/EAP模式:提供更高的安全性,适用于企业网络。安全性依赖于EAP方法和RADIUS服务器的配置。
- SAE模式:提供更强的安全性,抵御离线字典攻击,适用于个人和小型企业网络。
