相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享传输媒介,任何一台设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。因此,WLAN协议中定义了安全性的标准802.11i,涉及用户接入控制及身份验证、用户数据加密、密钥管理等多个方面。但是,上述的安全措施都没有针对管理帧进行保护,管理帧仍然暴露在不安全的网络环境中。因此,IEEE802.11工作组又基于现有的加密方式提出了针对管理帧的保护协议802.11w。
802.11w协议主要基于现有的对数据报文的加密形式,对管理帧进行类似的加密。802.11w需要加密的管理帧包括解关联帧、去认证帧及强壮Action帧。强壮Action帧包括如下Action帧:
n Spectrum Management
n QoS
n DLS
n Block Ack
n Radio Measurement
n Fast BSS Transition
n SA Query
n Protected Dual of Public Action
n Vendor-specific Protected对广播管理报文不能采用简单粗暴的加密,因为广播报文是需要同时发送给不识别加密管理帧的客户端的。802.11w协议中专门定义了针对广播管理帧的特殊加密方式,称为BIP(Broadcast Integrity Protocol,广播完整性协议)。
另外,为防止客户端仿冒攻击,802.11w协议中定义了一种新的辨别机制,称为SA Query(Security Association Query,安全关联询问)。该机制主要用于识别是否有攻击者企图仿冒正常客户端发起下线请求等破坏网络秩序或试图破解网络安全性的行为。
802.11w协议增强了加密的强度,基于已有的密钥管理模式(PSK和802.1x)衍生出了两种新的方式,将原先两种模式下的Key-derivation(密钥衍生算法)由HMAC-SHA1替换为更高强度的HMAC-SHA256。RSN IE中的密钥管理模式新增两个值:00-0F-AC-05(802.1x+SHA256)、00-0F-AC-06(PSK+SHA256)。如果MFPR位置1,则仅支持该两种新模式。否则,默认支持所有模式。
802.11w协议完善了WLAN的安全机制,提高了802.11网络的整体安全性,是推动WLAN飞速发展的一大利器。
注意:有些无线驱动程序不完全支持 802.11w。例如:mwlwifi 可能会有一些问题
- 802.11w 管理帧保护开启后,不管选项是可选还是必须的,我的小米台灯和饮水机都无法联网
- 802.11w 管理帧保护禁用后,选项为已禁用时,我的小米台灯和饮水机恢复正常联网
开启时发现有设备不能正常联网,禁用此项再试试
有些无线驱动程序不完全支持 802.11w,实际应用中视设备连接情况决定是否开启
