無線wifi 6 OWE 加強型Open加密

德克薩斯州奧斯汀- 2018年6月5日- Wi-Fi聯盟®推出的Wi-Fi CERTIFIED加強開放™，一個認證程序，在開放的Wi-Fi用戶帶來新的效益®網絡。Wi-Fi加強型Open™在不須要用戶身份驗證或沒法分發憑據的狀況下提供保護。這些未經身份驗證的網絡一般部署在公共場所，例如本地咖啡店和帶有網絡門戶的訪客網絡，這些門戶網站位於機場，酒店和運動場所。Wi-Fi Enhanced Open™在保持便利性和易用性的同時提供了改進的數據隱私性。
Wi-Fi加強開放式網絡提供保護，防止被動監聽，而無需輸入密碼或採起其餘步驟便可加入網絡。Wi-Fi加強開放基於機會無線加密（OWE），集成了已創建的加密機制，可爲每一個用戶提供獨特的單獨加密，從而保護用戶設備與Wi-Fi網絡之間的數據交換。受保護的管理框架進一步保護了接入點和用戶設備之間的管理流量。使用強制性門戶網站控制網絡訪問的網絡運營商能夠維護其部署的簡便性，由於沒有要維護或共享的網絡憑證。
【被動監聽和無縫體驗】
可是，若是用戶仍然沒有任何密碼鏈接到無線網絡（與傳統的Open Auth SSID相同），這將沒法爲身份驗證提供任何安全性。若是您的設備支持「加強開放」功能，則它將在初始關聯後對數據流量進行加密。
這是「加強開放」無線協會中的基本幀交換

OWE發現
在RSNE下，接入點（AP）使用OWE的AKM套件選擇器宣傳對OWE的支持。下面顯示了使用OWE配置的SSID的信標幀中的RSNE。您將看到AKM套件類型值18（ 00-0F-AC：18）表示OWE支持。

若是查看RSN功能字段，您將看到AP同時發佈了管理幀保護（MFP）功能和MFP必需位設置爲1。當客戶端發
送該消息時，在關聯請求幀（＃88）上也會看到相同的消息。

您能夠看到DH參數元素具備如下格式，其中元素ID爲255，擴展值爲32。

爲了使實現符合標準，它必須支持DH-Group 19，這是一個256位的橢圓曲線（ECP）。您能夠看到在給定的數據包捕獲中使用了DH組號。若是AP不支持關聯請求中指示的DH組，則AP會以狀態碼77進行響應，指示不支持的組。

贊成進行OWE的AP必須在關聯響應幀的RSNE中包含OWE AKM。若是未執行「 PMK緩存」，則還必須包括DH參數元素。這是第90幀的詳細信息。

OWE PMK緩存

在啓用了「加強開放」的SSID上支持PMK緩存，其中STA和AP能夠在一段時間內緩存PMK。一旦客戶端第一次與OWE SSID相關聯，就必須計算PMKID值。當STA隨後鏈接到同一AP時，它能夠在關聯請求幀中包含PMKID。若是AP已緩存該PMKID標識的PMK，則它將PMKID包含在其關聯響應幀中。在這種狀況下，該關聯響應幀中將不包含DH參數元素。從配置的角度來看，您能夠經過在「 WLAN」 ->「 安全性」 ->「 第2層」選項卡下簡單地選擇「啓用加強」，以下所示（使用運行WLC的Cisco AireOS 8.10.x）

在過渡模式下，您將建立兩個SSID。一種啓用了加強開放。另外一個啓用了開放式身份驗證+轉換模式。僅開放式身份驗證SSID正在廣播其SSID名稱。所以，客戶端設備只能看到一個SSID，可是，若是設備支持OWE，它將順利鏈接到加強型開放式SSID。

上面顯示了咱們的測試拓撲。SSID1（CWAP-Open）已啓用「加強開放」。請注意，SSID名稱不是廣播名稱。咱們在「 加強開放-第1部分」博客文章中使用了相同的SSID 。 在OWE轉換模式下，將SSID2（來賓）配置爲具備開放驗證（即L2安全性設置爲「無」）。請注意，以下所示，咱們在SSID2配置下將SSID1包括爲「加強的開放式SSID。（Cisco AireOS 8.10.x WLC）

若是查看信標幀，則會看到來自兩個SSID的信標幀，可是SSID名稱僅在「訪客」 SSID中可見。若是查看標記的參數，則會注意到兩個SSID中都有供應商特定元素「 OWE Transition Mode 」信標幀或探測響應幀。下面顯示了SSID2 – Guest的信標幀。

這是WiFi Alliance OWE規範v1.0中定義的OWE轉換模式元素格式

您將在該信標幀的OWE Transition Mode元素中看到這些字段信息。請注意，波段信息和頻道信息是可選字段。有效選項是同時包含這兩個信息字段，仍是不一樣時包含這兩個字段。在咱們的狀況下，這兩個都不存在。在個人狀況下，兩個SSID均配置爲5GHz頻段（必須測試之後在每一個SSID中修改那些頻段）。注意，SSID名稱和BSSID信息在OWE轉換信息元素下列出。

這是名爲「 CWAP-Open」的「 Enhanced Open」 SSID的信標幀

注意「加強開放」 SSID信標幀中的要點（「探測響應」幀中也有相同的信息）
• SSID長度爲零
• 包含「 RSNE」以表示OWE支持。
• 包含OWE過渡元素
如下是咱們感興趣的那些元素的細信息（SSID，RSNE，OWE Transition）

可是，當AirCheckG2嘗試鏈接時，它已鏈接到正在進行「開放式身份驗證」的「訪客」 SSID。您會注意到2個打開的身份驗證框架（＃2757,2760）和關聯請求/響應（＃2762,2764），而後清除了文本數據框架。請注意，在如下wireshark顯示過濾器中，該過濾器用於縮小與AG2相關的幀並過濾掉控制幀。wlan.addr == 6c：0b：84：c2：4e：99 &&不是wlan.fc.type == 1
可是，當AirCheckG2嘗試鏈接時，它已鏈接到正在進行「開放式身份驗證」的「訪客」 SSID。您會注意到2個打開的身份驗證框架（＃2757,2760）和關聯請求/響應（＃2762,2764），而後清除了文本數據框架。請注意，在如下wireshark顯示過濾器中，該過濾器用於縮小與AG2相關的幀並過濾掉控制幀。wlan.addr == 6c：0b：84：c2：4e：99 &&不是wlan.fc.type == 1