受保护的管理帧
了解IEEE 802.11w 受保护的管理帧在Wi-Fi网络中的重要性,通过提供数据完整性和保护管理帧交换的子集免受潜在攻击,从而增强安全性。
IEEE 802.11w-2009修正(现已成为IEEE 802.11-2020的一部分)引入了受保护的管理帧(PMF),旨在保护强健的管理帧。在WPA3和增强型开放(Enhanced Open)之前,大多数管理帧都未加密。由于Wi-Fi是一种广播媒介,任何设备都可以窃听或作为合法或恶意客户端参与。保护管理帧与保护数据帧同样重要。没有PMF,所有管理帧都以未保护的方式在开放环境中传输。PMF保护一组强健的管理帧,并增强已为数据帧(802.11i)实施的隐私保护。WPA3和增强型开放要求使用PMF。
PMF也被称为管理帧保护(MFP)。在讨论受保护的管理帧是可选还是必需时,将使用术语MFPR(必需)和MFPC(具备能力)。它们的配置选项将在下文中讨论。在整个安全模式部分,术语PMF和MFP可以互换使用。在HPE Aruba Networking的背景下,这些术语意味着相同的内容。
受保护的管理帧存在三种可能的配置:
| 配置 | 参数 | 支持PMF的客户端 | 非PMF客户端 |
|---|---|---|---|
| 禁用 | MFPR=0/MFPC=0 | 无益 | 无益 |
| 支持(可选) | MFPR=0/MFPC=1 | 保护收益 | 无收益 |
| 必填(Required) | MFPR=1/MFPC=1 | 保护优势 | 无法连接 |
保护管理帧有助于确保管理帧的安全,防止各种攻击。其主要安全目标是防止被动窃听,防止伪造单播和多播操作帧,允许重放检测,并防止站点冒充为其他站点。
PMF 防止在关联后伪造解除关联和去认证帧。
客户端丢弃未保护的去认证帧的示例。
受保护的鲁棒操作帧示例包括:
- 信道切换公告
- 质量服务(QoS)
- ADDBA 协商
- 阻塞确认
- 射频测量
- 安全关联(QA)查询
- 无线网络管理
在 RSNE 的 RSN 能力中广告支持保护管理帧,该信息可以在信标、探测响应和关联响应中找到。
RSN 能力示例显示管理帧保护(Management Frame Protection)所需和支持参数已设置为启用(MFPR=1 和 MFPC=1)。
AOS 具体内容:
- 对于 WPA3 或增强开放(Enhanced Open)安全模式,PMF 不可由用户配置。MFPR(必需)和 MFPC(支持)配置为自动。
最后修改时间:2024 年 3 月 4 日(aef6136)