无线安全 Wi-Fi 认证模式

在本章中，我们将简要介绍无线部署中使用的可能的身份验证方案。它们是：开放身份验证和基于预共享密钥 (PSK) 的身份验证。前一种是基于EAP帧来派生动态密钥。

开放认证

开放身份验证这个术语本身就非常具有误导性。它表明某种身份验证已经到位，但实际上，该方案中的身份验证过程更像是正式步骤，而不是身份验证机制。该过程如下图所示 -

用简单的英语来说，此交换的意思是，在身份验证请求中，无线客户端（请求者）说“嗨 AP，我想进行身份验证”，而来自 AP 的身份验证响应则说“好的，开始吧”。您在这个设置中看到任何类型的安全性吗？我也不…

这就是为什么永远不要使用开放身份验证，因为它只允许任何客户端对网络进行身份验证，而无需进行正确的安全检查。

当无线客户端向 AP 进行身份验证时，两者都会经历称为 4 次握手的 4 步身份验证过程。在这些消息交换期间，共享密码是在 AP 和无线客户端之间导出的，而不是在任何这些 EAP 消息中传输。

成对主密钥 (PMK) 是黑客想要收集的东西，以破解网络加密方案。PMK 只有请求者和验证者知道，但在传输过程中不会在任何地方共享。

然而，会话密钥是，它们是 ANonce、SNonce、PMK、请求者和验证者的 MAC 地址的组合。我们可以将该关系写成数学公式 -

Sessions_keys = f(ANonce, SNonce, PMK, A_MAC, S_MAC)。

为了从该方程导出 PMK，必须破解 AES/RC4（取决于使用 WPA2 还是 WPA）。这并不容易，因为唯一实用的方法是执行暴力或字典攻击（假设您有一本非常好的字典）。

这绝对是推荐使用的身份验证方法，并且绝对比使用开放身份验证更安全。

Wi-Fi粉笔是无线局域网历史上一个非常有趣的概念，主要在美国使用。主要思想是标记实施开放式身份验证或弱身份验证的 WLAN 的位置。通过这样做，每个人只要在墙上或地面上的某个地方发现这个用粉笔写的标志，那么他就可以无需身份验证即可登录Wi-Fi系统。聪明吧？

您可能会问自己 - 为什么用粉笔而不是某种记号笔、喷雾剂或其他更持久的标记方式？答案很简单，来自刑法——用粉笔书写不被视为破坏公物的Behave。