近日，小銳收到這樣的反饋：

“為什么手機上有的無線信號有顯示小鎖標識，有的沒有呢？”

“我都進行web認證了，為什么手機上還是顯示不安全的網絡呢？”

……

出現這些問題的原因是什么，那把小鎖、不安全網絡到底是怎么回事？ 請容小銳詳解。

常見的智能手機終端蘋果手機無線網絡顯示標識：

安卓手機上的無線網絡顯示標識：

可以發現手機終端顯示無線網絡信號旁邊有的有小鎖標識并顯示加密字樣；有的沒有小鎖，安卓機還會顯示開放網絡，蘋果機則是顯示不安全的網絡。

手機上查看無線網絡列表的時候就能看到各個無線信號的狀態了，此時終端還沒有接入無線，手機終端是如何知道各無線信號是否配置了接入驗證的？關于這些顯示呈現，手機終端又是如何實現的呢？

帶著這些疑問，好學的小銳開始了求知之旅。口說無憑，小銳決定結合配置和報文來進一步分析，還真讓小銳發窺探到“天機”，且聽小銳娓娓道來。

首先小銳對終端接入無線到上網階段的過程進行了整理，如下：

終端接入無線都需要經過掃描、認證（此處認證跟日常提到的802.1x認證等不是一個階段）和關聯階段，之后才涉及到密碼接入以及802.1x認證、web認證等多種接入驗證。

無線終端接入無線信號，以及進行無線數據傳輸，都是在空氣中進行傳播的。空氣是移動終端（手機）和基站之間傳輸的介質和接口，簡稱空口。在空氣中傳輸的無線報文，簡稱空口報文。

緊接著小銳結合無線設備的配置以及空口抓包，進一步分析。

通過多次空口抓包和比對無線信號的配置，小銳發現：在掃描階段時，AP對外廣播的Beacon報文中，Privacy位的狀態跟手機終端無線信號后面是否有小鎖等顯示有關聯性。

當無線信號配置為Wep、Wpa、Wpa2、Wapi、中的任意一種加密或者部署為802.1x認證時，AP廣播的Beacon幀中的Privacy位會置為1，此時手機上在無線信號的wifi圖標旁邊會顯示一把小鎖標識，安卓手機還會多出加密兩個字，此時對應的無線信號是加密的。

而沒有上述這些加密配置時，AP廣播的Beacon幀中的Privacy位會置為0，手機上該無線網絡旁邊不會顯示小鎖標識，當蘋果手機關聯上該不加密的信號時會提示不安全的網絡，跟無線信號是否開啟了mab認證或者web認證無關。而安卓手機未關聯前則會顯示開放這兩個字，關聯后除了已連接不會有其他提示。此時對應的無線信號是開放的。

通過上面的說明，相信大家對于手機終端上無線信號的顯示情況已經了解了。大家可能會有新的疑問，無線信號是否配置加密有什么影響呢？數據傳輸安全嗎？為什么蘋果手機會提示不安全的網絡呢？

小銳繼續抓取空口報文，抓取終端的數據報文：發現當空口是開放的時候，抓包可以看到終端的數據報文，協議和內容都可以看出來；

到目前為止，小銳可以確定部署了web認證但是卻反饋不安全網絡的無線信號，是因為空口是開放的，空口傳輸的數據報文是明文傳輸的。

看到這里，可能大家不禁會有疑問，web認證到底有什么作用呢？小銳是這么認為的：web認證是對終端能否使用網絡做的授權，web認證成功之前終端可以接入無線網絡，也會獲取到ip地址，但是無法上網，只有web認證成功之后才可以使用無線網絡。

那么在部署了web認證的網絡中，如何讓空口報文傳輸更加安全呢？可以考慮在對應的無線信號上同時配置上wpa/wpa2加密，這樣終端數據在空口傳輸的時候就是加密的，終端需要先輸入密碼接入無線之后再進行web認證。

而當空口加密時，無線設備跟終端會先進行四次握手，之后數據報文都是加密的，無法看到數據內容，如下：

上圖是使用omnipeek抓取的空口報文，用該軟件打開后無法直觀的看到四次握手的過程，但是可以看到數據是加密的。使用wireshark軟件打開報文，可以很直觀的看到四次握手的交互過程，如下：

關于四次握手的作用，小銳經過研究發現是為了最終生成PTK（成對傳輸秘鑰）或者GTK（組臨時秘鑰）置于網卡。PTK或者PMK再根據一定的加密算法對數據報文進行加密和解密。報文由終端發送出去的時候，終端加密，AP解密；報文由AP發給終端時，AP加密，終端解密，數據在空口傳輸的時候是加密傳輸的。

對于加密信號的無線802.11的數據幀，所有的單播數據幀將會被PTK保護，所有的組播數據以及廣播數據將會被GTK保護。

組臨時秘鑰GTK是在PTK的基礎上生成的，而PMK（成對主密鑰）是用于生成PTK的主材料。那么PMK是如何產生的呢？802.1x認證和wpa/wpa2等加密算法的PMK生成方法是否一樣呢？PTK又是如何生成的呢？PTK生成過程如下：

通過上圖可以看到802.1x認證和wpa/wpa2等加密算法的PMK生成方法不同，但是后面生成PTK的過程是一樣的。PTK的生成過程中的A-NONCE是AP生成的隨機數，B-NONCE是終端生成的隨機數，由于隨機數和終端STA的MAC都是不同的，所以在一個加密的無線信號中，每個STA都有一個獨自的PTK。

空口抓包的四次握手過程，就是PTK的生成和協商過程，在四次握手的時候，還會生成GTK（GTK是在PTK的基礎上生成的，對于GTK的生成不做過多講述，所有的STA和AP共同擁有一個相同的GTK）。

最后，小銳針對wpa/wpa2/wapi、802.1x認證、web認證的生效順序進行了整理（由于wep加密算法過舊且容易被破解，流程圖中去掉了wep加密），附上終端接入無線并使用無線的流程如下：

“運維實戰家”專欄，從技術到實踐，和您聊聊運維的那些事兒，講述運維人的“昨天、今天和明天”。