什么是OWE(Opportunistic Wireless Encryption)?
OWE(Opportunistic Wireless Encryption,机会性无线加密)是新一代Wi-Fi(WiFi)加密协议WPA3在开放认证方式(Open)基础上提出的一种增强型开放网络认证方式(Enhanced Open)。基于OWE认证的开放式Wi-Fi网络中,用户无需输入密码即可接入Wi-Fi网络,OWE采用Diffie-Hellman密钥交换算法对Wi-Fi网络中的数据进行加密,保护用户与Wi-Fi网络之间的数据传输安全。
OWE解决了什么问题?
传统开放式Wi-Fi网络的风险
当前,许多公共场所都提供了Wi-Fi服务,如机场、车站、酒店和体育馆等场所。为了便于用户随时随地接入到Wi-Fi网络中,大多数公共场所都采用开放认证方式,用户无需输入密码即可接入Wi-Fi网络。然而,开放式Wi-Fi网络是存在风险的,所有用户都无需输入密码即可接入Wi-Fi网络,增加了非法攻击者接入网络的风险。同时,用户与Wi-Fi网络之间的数据传输也是透明的、未经过加密的,这就使得数据传输过程可能被非法攻击者进行侦听,窃取用户数据。
基于OWE认证的增强型开放式Wi-Fi网络
为了解决传统开放式Wi-Fi网络中开放认证所带来的不安全数据传输问题,Wi-Fi联盟于2018年发布了新一代Wi-Fi加密协议—WPA3,WPA3在开放认证的基础上提出了增强型开放式网络认证,即OWE认证。
OWE认证方式下,用户仍然无需输入密码即可接入网络,保留了开放式Wi-Fi网络用户接入的便利性。同时,OWE采用Diffie-Hellman密钥交换算法在用户和AP之间交换密钥,为用户与Wi-Fi网络的数据传输进行加密,保护用户数据的安全性。
OWE认证流程
OWE认证流程在开放认证流程的基础上,增加了采用Diffie-Hellman算法密钥交换流程,开放认证和OWE认证的区别和联系如下:
开放认证流程
AP采用开放认证,所有终端的认证请求都会通过。具体认证流程如下图所示:
开放认证流程图
- Authentication Request:终端向AP请求认证。
- Authentication Response:AP采用开放认证,终端请求认证通过,返回认证结果。
OWE认证流程
AP采用OWE认证,包括OWE Discovery和OWE Association两个阶段。具体认证流程如下图所示:
OWE认证流程图
OWE Discovery阶段:
- Authentication Request:终端向AP请求认证。
- Authentication Response:AP采用OWE认证,终端请求认证通过,返回认证结果。认证结果中包含AKM(Authentication and Key Management)字段,向终端宣称自己支持OWE认证。支持OWE认证的终端收到认证结果后,进入OWE Association阶段,不支持OWE认证的终端将以开放认证的方式接入。
OWE Association阶段:
- Association Request:终端向AP发起关联请求,并在Diffie-Hellman Parameter字段中添加终端侧公钥(Public Key)。
- Association Response:AP向终端返回关联结果,并在Diffie-Hellman Parameter字段中并添加AP侧公钥(Public Key)。终端和AP完成公钥交换后生成PMK(Pairwise Master Key,成对主密钥)。
- 4-Way Handshake:终端和AP进行四次握手,确定双方通信所要采用的密钥。
OWE的过渡模式
开放式网络到增强型开放式网络的迁移是循序渐进的,用户设备的更新换代也是逐步进行,为了兼容部分不支持OWE认证的终端,OWE还支持过渡模式(OWE Transition Mode),即不支持OWE认证的终端将以开放认证方式接入Wi-Fi网络,支持OWE认证的终端以OWE认证方式接入Wi-Fi网络。OWE过渡模式的工作原理如下:
- AP需要创建两个SSID,SSID 1启用开放认证,SSID 2启用OWE认证。
- SSID 2将被设置为隐藏,只有SSID 1对外广播它的SSID名称,因此对于终端而言,只能看到SSID 1。
- SSID 1中包含了过渡模式字段和对应SSID 2的信息,终端连接到SSID1时,如果终端支持OWE认证,则会通过过渡模式直接连接到SSID 2。
