WPA3---SAE原理介紹

WPA3簡介

WPA3---SAE原理介紹_wpa3-sae-CSDN博客

WIFI聯盟2018.4月發佈WPA3 V1.0版本，詳細參見WIFI聯盟官網 https://www.wi-fi.org/zh-hans/discover-wi-fi/security
背景：2017年10月份，有安全研究者公佈了WPA2協議的一個弱點，會遭受到KRACK（ Key Reinstallation AttaCK）攻擊；攻擊者可以獲取STA和AP之間傳輸的數據，許多廠家已經發布相關補丁修復此漏洞；但是WPA2的形象和名聲還是受到損害，因而WIFI聯盟迅速推出了WPA3

WPA3對於個人和企業網絡提供不同模式

• WPA3-SAE 個人網絡
• WPA3-Enterprise 企業網絡

WPA3優勢：

• 加密一致性：通過強制執行同時使用“先進加密標準（Advanced Encryption Standard，簡稱AES）”和傳統協議（例如“臨時密鑰完整性協議（Temporal Key Integrity Protocol，簡稱TKIP）”）的政策，降低了網絡遭受攻擊的可能性；
• 網絡彈性：通過啓用受保護的管理幀（Protected Management Frames，簡稱PMF）機制，防止竊聽和假冒管理幀的行爲，提供了可靠的保護。一致地使用這類保護措施可提高關鍵任務型網絡的彈性。

WPA3-Personal
應用於個人網絡的WPA3定義兩種模式

WPA3-SAE Mode
其特點如下：

• “對等實體同時驗證（Simultaneous Authentication of Equals，簡稱SAE）”取代了“預共享密鑰（Pre-Shared Key，簡稱PSK）”，提供更可靠的、基於密碼的驗證。WPA3-Personal通過證實密碼信息，用密碼進行身份驗證，而不是進行密鑰導出，從而爲用戶提供了增強的安全保護；
• 要求AP和客戶端支持PMF（管理幀保護），RSN IE中的必須支持管理幀保護（Management Frame Protection Required）”位=1

WPA3-SAE Transition Mode
其特點如下：

• 過渡模式，允許逐步向WPA3-Personal網絡遷移，同時保持與WPA2-Personal設備的互操作性，且不會干擾到用戶；
• 網絡配置爲能夠支持PMF（“能夠支持管理幀保護（Management Frame Protection Capable）”位=1和“必須支持管理幀保護（Management Frame Protection Required）”位=0），而不是必須支持PMF。
• 過渡模式中，WPA3-Personal接入點（AP）在單個“基本服務集（Basic Service Set，簡稱BSS）”上同時支持WPA2-Personal和WPA3-Personal

WPA3-Enterprise
應用於企業網絡
主要特點如下：

• WPA3-Enterprise主要是定義並執行了提高一致性的政策，沒有從根本上改變或取代WPA2-Enterprise中定義的協議
• 對於PMF，同樣存在必須支持或者能夠支持兩種配置
• WPA3-Enterprise提供一種可選的192位安全模式，該模式規定了每一個加密組件的配置，以使網絡的總體安全性保持一致
• WPA3-Enterprise 192位安全模式採用：GCMP-256（256位Galois/Counter Mode Protocol），此時PMF是必選項

WPA3-Enterprise 192-bit Mode下運行的EAP加密認證方法

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  -ECDHE and ECDSA using the 384-bit prime modulus curve P-384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  -ECDHE using the 384-bit prime modulus curve P-384
  -RSA≥3072-bit modulus
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  -RSA≥3072-bit modulus
  -DHE ≥3072-bit modulus

不同字段的理解如下圖：

PMF（ Protected Management Frames）
IEEE802.11w定義了PMF，針對竊聽和假冒爲管理幀的行爲提供可靠的保護
2012年，Wi-Fi Alliance首次推出PMF，當時PMF是WPA2的可選功能，後來成爲所有Wi-Fi CERTIFIED™ ac設備的必選功能。現在，隨着WPA3的推出，Wi-Fi Alliance規定在所有WPA3模式必須使用PMF，從而爲包括“行動（Action）”幀、“斷開關聯（Disassociate）”幀和“解除驗證（Deauthenticate）”幀在內的單播和組播管理幀提供了可靠的安全保護。

PMF對部分影響網絡健壯性的管理幀和Action幀進行保護

• Disassociation and deauthentication
• Radio measurement action for infrastructure BSS (802.11k frames)
• QoS action frame (802.11e frames)
• 11v management frames (802.11v frames)

PMF的好處

• 提供deauth／ Disassociation的保護。這防止一未經授權的用戶通過僞裝合法用戶MAC地址啓動服務拒絕(DoS)攻擊和發送deauth/Disassociation幀。

WPA-SAE
SAE-對等實體同時驗證，特點如下：

• WPA3-Personal基於IEEE Std 802.11-2016中定義的SAE。SAE採用了“互聯網工程任務組（IETF）”RFC7664規範中定義的“蜻蜓（Dragonfly）”握手協議，將其應用於Wi-Fi網絡以進行基於密碼的身份驗證
• Wi-Fi Alliance WPA3規範針對以SAE模式運行的設備定義了更多要求。SAE是一種密鑰交換協議，僅用密碼對兩個對等實體進行身份驗證，在兩個對等實體之間產生一個共享密鑰，通過公用網絡交換數據時，該密鑰可用來進行加密通信。這種方法可以安全地替代使用證書的驗證方法，或者在不提供集中式驗證機制時採用這種方法。
• 在Wi-Fi基礎設施網絡中，SAE握手協議針對每個客戶端設備協商新的“成對主密鑰（Pairwise Master Key，簡稱PMK）”，然後該PMK用於傳統Wi-Fi四路握手協議，以產生會話密鑰。
• 無論是SAE交換中使用的PMK還是密碼證書，被動型攻擊、主動型攻擊或離線字典式攻擊都不可能得到。
• 密碼恢復僅有可能通過重複進行主動型攻擊實現，而且一次僅能猜測一個密碼。
• 提供了前向安全性；也就是說即使攻擊者拿到密鑰，也無法用於破解過去截獲到的加密報文。

SAE的簡單原理和實現描述：

• 在Wi-Fi基礎設施網絡中，SAE握手協議針對每個客戶端設備協商新的PMK，然後新的PMK用於傳統Wi-Fi四路握手協議，以產生會話密鑰。注意：以往都是直接用PMK進行四路握手協議，SAE會在PMK基礎上產生新的PMK。
• Beacon消息RSN IE中AKM取值爲8，代表AP支持SAE Authentication 交互會發生2次，用來產生PMK
• 提供前向安全，如果密碼被破解，SAE握手協議確保PMK不能被恢復。如下圖中，即使攻擊者拿到密碼算出R，也無法從vR或uR反推出v或u（此處的vR或uR的運算不是簡單乘法，而是定義在有限域上的運算，這個無法反推u或v的性質是SAE協議的安全性的關鍵所在），因此無法合成出uvR； SAE的實現原理類似於下圖：
  

SAE：交互過程

• 兩次Authencation交互，產生的PMK用於後續的4-way握手
• 雙向commit／Confirm；commit用於提交計算PMK的素材，Confirm用於確認和驗證雙方計算正確；

SAE：PMK產生過程
以橢圓曲線ECC爲例，注意下面的運算 * 是基於橢圓曲線的運算，而不是簡單的加減乘除

• 首先AP和STA都通過用戶的密碼映射到橢圓曲線的一個點element PWE
• STA通過Authentication1 攜帶scalar(rand1+mask1),以及Element（-mask1 * PWE）；注意：此處傳遞的rand1和PWE，相當於上面例子中的u和R，但是都通過mask給掩碼了，所以攻擊者無法直接讀出u或R，接收着可以直接計算出u * R；
• AP接收到消息後，先生成自己的rand2，然後使用KEY計算公式KEY=rand2 * ((rand1+mask1) * PWE-mask1 * PWE) =rand2 * rand1 * PWE；注意 rand2 * rand1 * PWE；相當於上面例子中的u * v * R；
• AP再通過HASH_512函數F(KEY)，生成最後的PMK和KCK;
• 同樣AP響應給STA的Authentication2消息攜帶類似的內容，幫助STA算出相同的PMK，KCK
• STA再次發送Authentication3，攜帶confirm字段，內容是對雙方之間交互過的信息（scalar1+element1+scalar2+element2+KCK）的HASH_256值
• AP收到後，執行相同算法驗證，確認STA使用的KCK是否正確；
• AP也會發送Authentication4供STA驗證；由於scalar／element計算順序不一樣，雙方消息攜帶的confirme字段內容看起來不一樣。

 

---

alps\packages\modules\Wifi\framework\java\android\net\wifi\WifiConfiguration.java
/** Security type for an open network. */
public static final int SECURITY_TYPE_OPEN = 0;
/** Security type for a WEP network. */
public static final int SECURITY_TYPE_WEP = 1;
/** Security type for a PSK network. */
public static final int SECURITY_TYPE_PSK = 2;
/** Security type for an EAP network. */
public static final int SECURITY_TYPE_EAP = 3;
/** Security type for an SAE network. */
public static final int SECURITY_TYPE_SAE = 4;
/** Security type for an EAP Suite B network. */
public static final int SECURITY_TYPE_EAP_SUITE_B = 5;
/** Security type for an OWE network. */
public static final int SECURITY_TYPE_OWE = 6;
/** Security type for a WAPI PSK network. */
public static final int SECURITY_TYPE_WAPI_PSK = 7;
/** Security type for a WAPI Certificate network. */
public static final int SECURITY_TYPE_WAPI_CERT = 8;

WPA3對於個人和企業網絡提供不同模式

WPA3-SAE 個人網絡
WPA3-Enterprise 企業網絡

WPA3-SAE Transition Mode
其特點如下：

過渡模式，允許逐步向WPA3-Personal網絡遷移，同時保持與WPA2-Personal設備的互操作性，且不會干擾到用戶；
網絡配置爲能夠支持PMF（“能夠支持管理幀保護（Management Frame Protection Capable）”位=1和“必須支持管理幀保護（Management Frame Protection Required）”位=0），而不是必須支持PMF。
過渡模式中，WPA3-Personal接入點（AP）在單個“基本服務集（Basic Service Set，簡稱BSS）”上同時支持WPA2-Personal和WPA3-Personal