Wi-Fi安全加密的演进下图所示,当前最新的加密方式是WPA3。WPA3对现有网络提供了全方位的安全防护,增强了公共网络、家庭网络和802.1X企业网的安全性。
WPA3的核心为对等实体同时验证方式(Simultaneous Authentication of Equals, SAE),即通信双方利用本地私钥和对方传输的公钥计算出密钥信息,并根据该密钥信息计算出各自的哈希值,交互给对方验证,完成认证后,最终为每个用户每次连接生成唯一的PMK。接下来将重点介绍WPA3 SAE协议交互过程。
1. SAE协议
SAE的握手协议又称为蜻蜓(Dragonfy)协议,蜻蜓协议的核心算法是迪菲 一 赫尔曼密钥交换(Diffe-Hellman Key Exchange, DHKE)协议,该协议是美国密码学家惠特菲尔德·迪菲和马丁·赫尔曼在1976年合作发明并公开的,它被广泛用于多种计算机通信协议中,比如SSH、VPN、HTTPS等,堪称现代密码基石。在介绍SAE协议之前,下面先简单介绍迪菲一赫尔曼密钥交换协议。
1.1 迪菲 — 赫尔曼密钥交换协议
迪菲 — 赫尔曼密钥交换协议用到了数学上原根和离散对数两个概念,本节先介绍这两个数据概念,在此基础上,进一步介绍迪菲 — 赫尔曼密钥交换生成过程以及安全缺陷。
1.1.1 迪菲 — 赫尔曼密钥交换协议成功过程
下图给出了迪菲一赫尔曼密钥交换生成过程,具体步骤如下:
1.1.2 迪菲 — 赫尔曼密钥交换协议安全缺陷
下图给出了公钥替换攻击过程:
1.2 SAE协议交互流程
SAE协议的密钥交互方式如下图所示,其本质也是一个基于离散对数计算困难的原理,这一点与迪菲 — 赫尔曼密钥交换协议非常类似。相对于迪菲一赫尔曼密钥交换协议,其改进主要体现在以下三个方面:
- 对于原根进行保护;
- 密钥生成算法改进;
- 生成密钥双方验证;