无线wifi 6 OWE 加强型Open加密

德克萨斯州奥斯汀- 2018年6月5日- Wi-Fi联盟®推出的Wi-Fi CERTIFIED加强开放™，一个认证程序，在开放的Wi-Fi用户带来新的效益®网络。Wi-Fi加强型Open™在不须要用户身份验证或没法分发凭据的状况下提供保护。这些未经身份验证的网络一般部署在公共场所，例如本地咖啡店和带有网络门户的访客网络，这些门户网站位于机场，酒店和运动场所。Wi-Fi Enhanced Open™在保持便利性和易用性的同时提供了改进的数据隐私性。
Wi-Fi加强开放式网络提供保护，防止被动监听，而无需输入密码或采起其余步骤便可加入网络。Wi-Fi加强开放基于机会无线加密（OWE），集成了已创建的加密机制，可为每一个用户提供独特的单独加密，从而保护用户设备与Wi-Fi网络之间的数据交换。受保护的管理框架进一步保护了接入点和用户设备之间的管理流量。使用强制性门户网站控制网络访问的网络运营商能够维护其部署的简便性，由于没有要维护或共享的网络凭证。
【被动监听和无缝体验】
可是，若是用户仍然没有任何密码链接到无线网络（与传统的Open Auth SSID相同），这将没法为身份验证提供任何安全性。若是您的设备支持“加强开放”功能，则它将在初始关联后对数据流量进行加密。
这是“加强开放”无线协会中的基本帧交换

OWE发现
在RSNE下，接入点（AP）使用OWE的AKM套件选择器宣传对OWE的支持。下面显示了使用OWE配置的SSID的信标帧中的RSNE。您将看到AKM套件类型值18（ 00-0F-AC：18）表示OWE支持。

若是查看RSN功能字段，您将看到AP同时发布了管理帧保护（MFP）功能和MFP必需位设置为1。当客户端发
送该消息时，在关联请求帧（＃88）上也会看到相同的消息。

您能够看到DH参数元素具备如下格式，其中元素ID为255，扩展值为32。

为了使实现符合标准，它必须支持DH-Group 19，这是一个256位的椭圆曲线（ECP）。您能够看到在给定的数据包捕获中使用了DH组号。若是AP不支持关联请求中指示的DH组，则AP会以状态码77进行响应，指示不支持的组。

赞成进行OWE的AP必须在关联响应帧的RSNE中包含OWE AKM。若是未执行“ PMK缓存”，则还必须包括DH参数元素。这是第90帧的详细信息。

OWE PMK缓存

在启用了“加强开放”的SSID上支持PMK缓存，其中STA和AP能够在一段时间内缓存PMK。一旦客户端第一次与OWE SSID相关联，就必须计算PMKID值。当STA随后链接到同一AP时，它能够在关联请求帧中包含PMKID。若是AP已缓存该PMKID标识的PMK，则它将PMKID包含在其关联响应帧中。在这种状况下，该关联响应帧中将不包含DH参数元素。从配置的角度来看，您能够经过在“ WLAN” ->“ 安全性” ->“ 第2层”选项卡下简单地选择“启用加强”，以下所示（使用运行WLC的Cisco AireOS 8.10.x）

在过渡模式下，您将建立两个SSID。一种启用了加强开放。另外一个启用了开放式身份验证+转换模式。仅开放式身份验证SSID正在广播其SSID名称。所以，客户端设备只能看到一个SSID，可是，若是设备支持OWE，它将顺利链接到加强型开放式SSID。

上面显示了咱们的测试拓扑。SSID1（CWAP-Open）已启用“加强开放”。请注意，SSID名称不是广播名称。咱们在“ 加强开放-第1部分”博客文章中使用了相同的SSID 。 在OWE转换模式下，将SSID2（来宾）配置为具备开放验证（即L2安全性设置为“无”）。请注意，以下所示，咱们在SSID2配置下将SSID1包括为“加强的开放式SSID。（Cisco AireOS 8.10.x WLC）

若是查看信标帧，则会看到来自两个SSID的信标帧，可是SSID名称仅在“访客” SSID中可见。若是查看标记的参数，则会注意到两个SSID中都有供应商特定元素“ OWE Transition Mode ”信标帧或探测响应帧。下面显示了SSID2 – Guest的信标帧。

这是WiFi Alliance OWE规范v1.0中定义的OWE转换模式元素格式

您将在该信标帧的OWE Transition Mode元素中看到这些字段信息。请注意，波段信息和频道信息是可选字段。有效选项是同时包含这两个信息字段，仍是不一样时包含这两个字段。在咱们的状况下，这两个都不存在。在个人状况下，两个SSID均配置为5GHz频段（必须测试之后在每一个SSID中修改那些频段）。注意，SSID名称和BSSID信息在OWE转换信息元素下列出。

这是名为“ CWAP-Open”的“ Enhanced Open” SSID的信标帧

注意“加强开放” SSID信标帧中的要点（“探测响应”帧中也有相同的信息）
• SSID长度为零
• 包含“ RSNE”以表示OWE支持。
• 包含OWE过渡元素
如下是咱们感兴趣的那些元素的细信息（SSID，RSNE，OWE Transition）

可是，当AirCheckG2尝试链接时，它已链接到正在进行“开放式身份验证”的“访客” SSID。您会注意到2个打开的身份验证框架（＃2757,2760）和关联请求/响应（＃2762,2764），而后清除了文本数据框架。请注意，在如下wireshark显示过滤器中，该过滤器用于缩小与AG2相关的帧并过滤掉控制帧。wlan.addr == 6c：0b：84：c2：4e：99 &&不是wlan.fc.type == 1
可是，当AirCheckG2尝试链接时，它已链接到正在进行“开放式身份验证”的“访客” SSID。您会注意到2个打开的身份验证框架（＃2757,2760）和关联请求/响应（＃2762,2764），而后清除了文本数据框架。请注意，在如下wireshark显示过滤器中，该过滤器用于缩小与AG2相关的帧并过滤掉控制帧。wlan.addr == 6c：0b：84：c2：4e：99 &&不是wlan.fc.type == 1