WPA(2/3)-PSK-兼容每个设备的Wi密码，以防止AP在IoT网络上

Question

虽然WPA2-PSK和WPA3-SAE在连接建立后确实是安全的，但我的理解是，如果您能够访问Wi密码，则可以模拟AP而不存在任何问题。我开始在我的网络中增加越来越多的IoT设备，我越来越担心这些设备中的任何一个都可能泄露IoT的Wi密码，并危及网络中的所有设备，主要是在智能锁和太阳能逆变器等电力基础设施方面。因此，我一直在寻找一种为每个设备分配不同密码的方法，而不必为每个设备或设备类添加一个新的Wi网络。

WPA Enterprise是我首先想到的事情，下面列出了我认为可能适用于此的EAP协议列表：

• EAP-PSK
• EAP-PWD
• EAP-GPSK
• 埃普-艾克

这些认证机制只需要一个预共享密钥，但是我不确定这些机制中是否有一个与那些期望使用WPA2-PSK或WPA3-SAE进行身份验证的设备兼容。这样的事有可能吗？如果没有，你能提出任何替代方案吗？

Answer 1

正如艾斯得在他们出色的答案中提到的，hostapd有一个特性，允许根据站点MAC地址指定不同的PSKs。这可以通过使用wpa_psk_file或wpa_psk_radius信任来实现。

基于此，我决定制作一个轻量级的OpenWRT包，其中包含一组脚本，根据每个站点的MAC地址为其分配不同的密码和属性。它以类似于无状态密码管理器的方式工作，它获取站点地址和“主密码”，并将它们混在一起产生PSK。使用这种方法的优点是不同AP之间不需要存储或同步，因此漫游不会受到影响。此外，我认为它更健壮，因为不需要集中式数据库，任何AP都可以自己生成PSKs。

该软件包及其依赖项占用的闪存不足100 K。

这是到的链接。

Answer 2

您列出的选项是WPA企业的一部分。它们不适用于只支持WPA个人(即WPA1-PSK、WPA2-PSK、WPA3-SAE)的电台.

如果您的设备只能执行WPA2-PSK，则您的选项如下：

1. 对每个站点的MAC地址使用不同的PSK (这对于IoT设备非常有用)；
2. 让接入点/RADIUS试着检查几个PSKs (在大量PSKs的情况下，这可能不是很好的扩展)。

我已经描述了对这些选项的一些支持，在本节的末尾。

如果您的设备只能执行WPA3-SEA，它可能支持密码标识符。这是WPA3 3 SEA的扩展，它允许站点发送密码标识符(即登录)，作为SAE握手的一部分。这使您有一个PDK每个站，而没有在上一段中提到的黑客。