换路由器但Wi-Fi名称密码不变,设备能不能自动识别? admin 102523文章 87评论 2023年12月19日09:20:51评论17 views字数 1052阅读3分30秒阅读模式 可以的。 移动终端(STA)保存信息是以SSID名称为关键字,生成一个条目Entry,保存在profile database里。 这个Entry里包含了两个最关键的信息: SSID name Password 当试图连接一个SSID时,根据双方的MAC地址、password,计算出一个共同的PMK。 然后再根据PMK在4-way handshake的时候,双方各贡献一个nonce,计算出双方加密解密的TK。理论上只要双方的PMK相同,可以成功完成4-way handshake的。 所以,无论路由器的MAC地址如何改变、以及WPA、WPA2、WPA3的改变,只要双方的password相同,就可以成功连接,只要双方都支持WPA、WPA2、WPA3。 但是,如果路由器配置只(only)使用WPA3安全认证,但是移动终端不支持WPA3,很抱歉,即使双方的password一样也是无法连接的。但是这个和password无关。 企业的无线认证采用的802.1x-eap,每当移动终端associate一个全新的AP时,需要重新802.1x-eap认证,动态分享一个全新的PMK。 可是,802.1x-eap认证太漫长了,为什么不能重用已有的PMK? 这个就是Opportunistic Key Cache技术。 但是,这个需要new AP 和old AP分享PMK,这个不难,可以依赖于AC controller充当二传手来分享。 以上技术最大的缺陷是,都是企业私有实现,无法在不同厂商之间交互。于是业界快速推出了一个全新的快速漫游(802.11r)技术。 其精髓是,每个移动终端与AC分享一个PMK-R0,移动终端每漫游到一个AP时,由AC根据PMK-R0动态生成一个PMK-R1给AP,移动终端也根据PMK-R0计算出PMK-R1,双方只要4-way handshake即可完成握手,然后漫游就快速完成。 这个解决方案不仅快速,还具有更高的安全性。因为PMK-R0仅仅握在AC的手中,无论时old AP还是new AP只能解密自己PMK-R1计算得到的TK,却无法解密其他AP的解密流量,因为没有其它AP的PMK-R1。 俯瞰整个wi-fi的认证、安全、快速漫游,灵魂就是PMK,Pairwise Master Key。读者一旦理解了PMK的前世和今生,从哪里来,到哪里去,这个简单的哲学命题,可以少走一半的路程即可到达终点,因为无线的code有一半是围绕PMK而存在的。 原文始发于微信公众号(车小胖谈网络):换路由器但Wi-Fi名称密码不变,设备能不能自动识别? 点赞 https://cn-sec.com/archives/2315196.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论