19、802.11无线局域网动态加密密钥生成与安全网络解析

802.11无线局域网动态加密密钥生成与安全网络解析

1. 802.11安全方法概述

802.11 - 2012标准定义了两类安全方法，分别基于预RSNA和RSNA算法。预RSNA方法采用静态WEP加密和传统认证方法；而RSNA安全方法则使用TKIP/ARC4或CCMP/AES加密、动态密钥管理程序，以及PSK和802.1X认证方法。

2. 动态加密的优势

2.1 802.1X/EAP与动态密钥生成

虽然802.1X/EAP框架不强制要求加密，但强烈建议使用加密来保障数据隐私。802.1X/EAP的主要目的是认证和授权，当客户端通过认证服务器使用第2层EAP协议进行正确认证后，可通过认证器的受控端口开始上层（3 - 7层）通信。802.1X/EAP能保护网络资源，仅允许经过验证的客户端访问。此外，802.1X/EAP认证过程还能生成和分发动态加密密钥，PSK认证也能产生动态加密密钥。

2.2 支持动态密钥生成的EAP协议

部分EAP协议利用相互认证提供用于动态生成加密密钥的“种子材料”。例如EAP - TLS、EAP - TTLS、EAP - FAST、EAP - LEAP、EAP - PEAP等协议采用相互认证，可提供动态加密密钥生成所需的种子材料；而EAP - MD5仅使用单向认证，无法生成动态密钥。

2.3 动态密钥相较于静态密钥的优势

传统WLAN安全使用静态WEP密钥，管理困难，且同一静态密钥在多用户间共享时易被社会工程攻击破解。使用动态密钥的优势在于：
- 用户对密钥不知情，无法通过社会工程攻击获取。
- 每个用户拥有不同且唯一的密钥