（通信与信息系统专业论文）无线局域网认证机制的安全与效能研究.pdf

摘要 摘要 随着无线局域网的快速发展，它的安全性问题r 益受到人们的关注。无线局域 网安全的最大问题在于无线通信设备是在自由空问中进行传输，而不是像有线网 络那样是在一定的物理线缆上进行传输。安全性的缺陷给w l a n 的推广带来许多 麻烦，虽然一方面w l a n 需求不断增长，但同时也让许多潜在的用户对由于不能 够得到可靠的安全保护而对最终是否采用w l a n 系统犹豫不决。所以企业和个人 都希望新的安全标准尽快出台，以使无线局域网( w l a n ) 从这种尴尬局面中解脱出 来。 为了保护本国无线局域网的安全，我们国家推出了自己的无线局域网国家标准 w a p l 以及后来起草的无线认证和保密基础设施( w 世i ) 实施方案，目标是解决 i e e e8 0 2 1 1 中w e p 协议的安全问题。本文中作者在对困际国内无线局域网安全 技术标准作了回顾与必要的介绍之后，进一步用b a n 类逻辑分析了w a p i 实施方 案的安全性，对i e e e8 0 2 1 l i 下的e a p t l s 认证协议与w a p i 标准进行了效能比 较。随后提出一种增强的改进无线认证方案e a p i w a p i 作为i e e e8 0 2 1 1 i 下的一 个认证防议使用。最后对此改进协议在c k f c a n e t t i i ( r a w c z y k ) 模型下进行了安全 性分析。 关键词：无线局域网无线认证和保密基础设施8 0 2 1 1 i 安全性分析效能比较 a b s t r a c t a b s t r a c t w i mm ef a s td e v e l o p m e n to f 龇w i r e l e s sl a n ( w l a n ) ，t h ep r o b l e mo fs e c “t y b e c a m em o r ea n dm o r e 印p a r e n t ，t h es e c u r i 哆o fw l a n m o s t l yc o n s i s t si nt h a t 也e w i r e l e s sc o m m l m i c a t i o ne q u i p m e n t st r a n s m i ti nt h eo p e n e ds p a c e s ，b u tn o ti nt h e p h y s i c a ll i n e st h r o u g hw h i c ht h ew i r en e t w o r k st r a l l s m j t t l l e1 i m i t a t i o no fs e c u r j t yi n w l a nb r i n g sm u c hn o u b l et ot h eg e n e r a l i z a t i o n a 1 t h o u 曲o nt h eo n eh a n dt i e r e q u i r e r n e m so fw l a ni n c r e a s ec o n t i n u a l l y ，o nt h eo t l e rh a n dt h e r e r ea l s om a n y p o t e m i a lu s e r sh e s i t a t i n gw h e t h e rt oa d o p tw l a ns y s t e m sf o rt h el a c ko fs 色c u r i t y p r o t e c t i o n t h e r e f o r eb o t he n t e i p r i s e sa j l dt h ei n d i v i d u a l sh o p ean e ws e c u r i t ys t a l l d a r d c o u l db ep u to ma ss o o na sp o s s i b l e f o rt h es a k eo fp r o t e c t i n gs e c u r i t yt h en a t i v ew l a n ，o u rc o u n yh a v eb r o u 曲t f o n a r do u ro w l lw l a nn a t i o n a ls t a n d a r dw a p i ( w i r e l e s sa u t h e n t i c a t i o na n dp r i v a c y i n 矗a s t r u c t u r e ) a n dt h ec h i n e s ew i r e l e s sl a ns e c u r i t ys t a n d a r dw a p li m p l e m e n t a t i o n p l a i lw h i c hw a sd m 丘e do u t 瓶e n v a r d s t h et a r g e ti st or e s o l v et h es e c u r i t yp r o b l e mo f t h ew e pi ni e e e8 0 2 11 i nt h i sp a p e rm ea u m o rr e v i e w sa n dm a k e sn e c e s s a r y i n t r o d u c t i o no ft h es e c u r i t yb o t ho n 缸e r n a t i o n a la n dn a t i o n a lw l a n st e c h n o l o g y s t a n d a r d t h e nw em a k ea n a l ”i so ft h es e c u r i t yo fw a p ii m p l e m e n t a t i o np l a l lf o rm o r e u s i n gt h eb a nl o g i c w ea l s oc o m p a r em ee m c i e n c yo fe a p - t l sa u t l e n t i c a t i o n p r o t o c o ii ni e e e8 0 2 11i t ot h a to fw a p is t a j l d a r d s u b s e q u e m l y ，w ep u tf o r w a r da 1 1 e n h a n c e di m p r o v e dw i r e l e s sa u t h e n t i c a t i o np l a i le a p i w a p it ob ea p p l i e da sak i n do f a u t h e n t i c a t i o np r o t o c o li ni e e e8 0 2 1 1i a t1 a s tw em a k ea n a l y s i so fs e c u r i t y0 ns u c h i m p r 0 v e dp r o t o c o lu n d e rc km o d c l _ k e y w o r d s ：w l a n w a p i8 0 2 1 1 i a 矾垮s i so fs e c u r n ye m c i e n c yc o m p a r a t i o n 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 含有其他人已经发表或撰写的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位沦文与资料若有不实之处，本人承担一切相关责任。 本人签名：至丝f = 期 跏易。五- 可 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的只是产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名： 导师签名： 妻垦 查：至 同期 弦彤2 - z 日期兰竺i 兰! 第一章绪论 第一章绪论 1 1 无线局域网概念的出现 近年来以局域网为代表的计算机通信网和以数字蜂窝电话网为代表的移动通 信网飞速发展，在社会生活的各个领域发挥着越来越重要的作用。随着人们对移 动办公、移动计算的要求闩益迫切，各种各样的通信产品不断涌现，这些产品的 可靠性、灵活性、低价格等指标也不断提高，这些产品的出现和相关技术的进步 使人们提出了“个人通信”的概念。所谓个人通信，是指任何人，在任何地方和 任何时候，都能和他人进行通信、传真、数据及图像在内的多业务通信。 从终端用户的角度考虑，数字蜂窝电话系统、无线本地用户环路系统、数字无 绳电话系统、无线局域网等都含有个人通信的影子，但带宽、灵活性、通信成本 等指标离个人通信的要求还相差很人。 二十世纪九十年代初，无线局域网( w l a n ) 技术的不断成熟导致了“移动计 算网络”概念的出现。移动计算网络是指主机可在网中漫游的计算机网络，它把 局域网的高数据速率与移动通信系统的漫游功能有机地融为一体。移动计算网络 中的漫游不仅指单个主机的漫游，也包括整个子网的漫游。例如，在汽车、飞机 等运载工具中的计算机网络随运载工具在网中漫游的同时，还保持与外部网络的 通信连接。局域网的高数据率可使移动计算网络容易地支持包括语音、传真、高 速数据、图像等在内的多媒体业务，而移动通信的特性使移动计算网络具有很大 的灵活性，随着技术的进步，移动计算网络也许最终将发展成为个人通信网络。 无线局域网是实现移动计算网络的关键技术之一，它实现移动计算网络中移动 站的物理层与链路层功能，为移动计算网络提供必要的物理网接口。 随着无线局域网的只益普及与大量应用，无线传输的安全性已经成为个人用户 和运营商关注的焦点。8 0 2 11 无线局域网标准采用开放系统认证和共享密钥认证 两种方式提供用户认证。但8 0 2 1 l 标准的认证协议存在极大的安全问题，随着人 们对w l a n 安全问题的关注不断升级，因此i e e e 正在制定新的安全增强标准 8 0 2 1 l i ，针对无线局域网原有的安全弱点进行改进。 在当前市面上的w l a n 产品都采用有线等价保密协议w e p ( w i r e de q u i v a l e n t p r i v a c y ) 来实现对数据的加密和完整性保护。w e p 协议的设计目标是保护传输数据 的完整性、机密性和提供对w l a n 的访问控制，但由于协议设计者对r c 4 加密算 法的不正确使用，使得w e p 实际上无法达到其期望目标。w e p 协议在设计上的 无线局域网认证机制的安全及效能研究 缺陷引起i e e e 的重视，它委托8 0 2 儿i 任务组制定新的标准来加强w l a n 的安 全性。由于i e e e8 0 2 1 1 i 的标准尚未制订完成，在w i f i 组织的推动下，制订了 w p a ( w i f ip r o t e c t e d a c c e s s ) 标准，以i e e e8 0 2 1 1 i 草案为蓝图，去建构出一个符合 现今需求，具备进一步安全性的无线网络环境。 我国也提出了自己的无线局域网国家标准。标准在i e e e8 0 2 1 l 的基础上提出 了一种新的无线局域网媒体访问控制和物理规范，其中增加了类似于i e e e8 0 2 1 x 的认证模型：无线局域网鉴别与保密基础结构w a p i ( w l a na u 山e n t i c a t i o na 1 1 d p r i v a c yi n f r a s t r u c t u r e ) 。目标是解决i e e e8 0 2 1 1 中w e p 协议的安全问题。 1 2 本论文的章节安排 本文主要对无线局域嘲现存的安全问题以及国内外解决方案进行了探讨。全文 由六章组成，第二章对无线局域网进行了概要介绍，包括无线局域网的概念，传 输方式，网络拓扑结构，以及无线局域网的标准。 第三章对我国起草无线认证和保密基础设施( w a p i ) 实施方案的安全问题进行 了分析。其中用到了b a n 类逻辑的增强类型a u t l o g 逻辑。主要是对实施方案 的密钥协商协议的安全性进行了形式化的分析，验证了其能满足足够的安全性， 具有一定的安全属性。 第四章对i e e e8 0 2 1 1 i 下的e a p t l s 认证协议与w a p i 标准进行了效能比较。 第五章提出基于e a p 协议的改进的w a p i 安全协议e a p i w 心i ( i m p m v e d w a p i ) 。所提方案不仅适用于w a p i 的环境，而且通过e a p 协议的封装，该协议 也可以作为i e e e8 0 2 1 1 i 下的一个认证协议使用。 第六章在c k ( c a n e t t i k r a w c z y k ) 模型下进行了所提出的改进协议的安全性分 析。 第二章无线局域网介绍 第二章无线局域网介绍 2 1 无线局域网的概念 无线局域网( w l a n ) 是计算机网络与无线通信技术相结合的产物。一般来讲， 凡是采用无线传输媒体的计算机局域网都可称为无线局域网，进一步讲，无线局 域网利用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移 动化、个性化和多媒体应用提供了可能。 2 2 无线局域网的传输方式【2 1 传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。目前无线 局域网采用的传输媒体主要有两种，即无线电波和红外线，在采用无线电波作为 传输媒体的无线局域删依调制方式的不同，又可分为扩展频谱方式与窄带调制方 式。 2 2 1 扩展频谱方式 扩频技术的最大优点在于其较强的抗干扰能力，以及保密、多址、组网、抗多 径干扰等，但由于各种扩频方式的抗干扰机理不同，因而各有其长处和不足。直 扩系统靠伪随机码的相关处理，降低进入解调器的干扰功率来达到抗干扰的目的， 而跳频系统是靠载频的随机跳变，将干扰排斥在接收通道以外来达到抗干扰的目 的。直扩技术同时使用整个子频段，信号被扩展多次而无损耗，跳频技术是连续 间断跳跃使用多个频点，当跳跃至某个频点时，判断该频点是否有噪声干扰，若 无干扰则传输信号，若有则依据算法跳至下一频点继续判断。利用跳频技术，使 得频谱范围很宽，而信息在每个频点上停留的时间很短，从而使得数据的抗干扰 能力较强，传输更加稳定，提高了数据的安全性。 在扩展频谱方式中，数据基带信号的频谱被扩展至几倍几十倍后再被搬移至 射频发射出去。这一方式虽然牺牲了频带带宽，却提高了通信系统的抗干扰能力 和安全性。由于单位频带内的功率降低，对其它电子设备的干扰也减少了。采用 无线局域网认证机制的安全与效能研究 扩展频谱方式的无线局域网一般选择i s m ( i n d u s 衄，s c i e 埘f i c ，m e d i c a l ) 频段。 2 2 2 窄带调制方式 在窄带调制方式中，数据基带信号的频谱不作任何扩展即被直接搬移到射频发 射出去。与扩展频谱方式相比，窄带调制方式占用频带少，频带利用率高。采用 窄带调制方式的无线局域网一般选用专用频段，需要经过国家无线电管理部门的 许可方可使用，也可选用i s m 频段，这样可吼免去向无线电管理委员会申请，但 当临近的仪器设备或通信设备也在使用这一频段时，会严重影响通信质量，通信 的可靠性无法得到保障。 2 2 3 红外线方式 采用红外线方式的最大优点是这种传输方式不受无线电干扰，且红外线的使用 不受国家无线电管理委员会的限制，然而红外线方式对非透明物体的透过性较差， 这导致传输距离受限。 2 3 无线局域网的拓扑结构1 2 i j 无线局域网可以在普通局域网的基础上通过无线h u b 、无线接入点( a p ) 、无 线网桥、无线m o d e m 及无线网卡来实现，以无线网卡使用最为普遍。 无线局域网的拓扑结构可分为两类：无中心或对等式( p e e r t op e e r ) 拓扑或有 中心拓扑( h u b b a s e d ) ，二者的拓扑结构图2 1 所示。 图2 1无线局域网络的拓扑结构 无中心拓扑的网络中各站点都处于同等的地位，网中任意两个站点均可直接通 信。采用这种拓扑结构的网络一般使用公用广播信道，各站点都可竞争公用信道， 而媒介访问控制协议( m a c ) 大多采用载波监听多址访问( c s m a ) 类型的多址接入 第二章无线局域网介绍 协议。这种结构的优点是网络抗毁性好，建网容易，且费用较低。但当网中用户 数( 站点数) 过多时，信道竞争成为限制网络性能的要害，并且为了满足任意两 个站点可直接通信的要求，网络中站点布局受环境限制较大，因此这种拓扑结构 适用于用户数相对较少的工作群网络规模。 在有中心拓扑结构中，要求一个无线站点充当中心站，所有站点对网络的访问 均由其控制，这样，当网络业务量增大时，网络吞吐性能及网络时延性能的恶化 并不剧烈。由于每个站点只需在中心站覆盖范围之内就可与其它站点通信，故网 络中站点布局受环境限制也小。此外，中心站为接入有线骨干刚提供了一个逻辑 接入点。有中心网络拓扑结构的缺点是抗毁性差，中心站点的故障容易导致整个 网络瘫痪，并且中心站点的引入增加了网络成本。在实际应用中，无线局域网往 往与有线主干网络结合起来使用，这时，中心站点充当无线局域网与有线主干网 的转接器。 2 4 网络接口 这涉及无线局域网中站点从哪一层接入网络系统。一般来讲，网络接口可以选 择在o s i 参考模型的物理层或数据链路层。所谓物理层接口指使用无线信道替代 通常的有线信道，而物理层以上各层不变。这种方式的最大优点是上层的网络操 作系统及相关的驱动程序可不作任何修改。这种接口方式在使用时一般作为有线 局域网的集线器和无线转发器以实现有线局域网j 、h j 互联或扩大有线局域网的覆盖 范围。 另一种接口方式是从数据链路层接入网络。这种接口方式并不沿用有线局域网 的m a c 协议，而采用更适合无线传输环境的m a c 协议。在实现时，m a c 层及 其以下层对上层足透明的，配置相应的驱动程序来完成与上层的接口，这样可保 证现有的有线局域网操作系统和相应软件可在无线局域刚上正常运行。目前，大 部分商业应用采用数据链路层接口方式。 2 5 无线局域网的应用 根据无线局域网的技术特点，其应用情况可分为两类：半移动网络应用和全移 动网络应用。 在半移动网络应用环境下，又可分为两类：室内应用和室外应用。 a 室内应用：在室内应用环境下，无线局域网作为有线局域网的补充，与有 6 无线局域网认证机制的安全与效能研究 线局域网并存。其典型应用环境是大型办公室、车间、超级市场，仓库等。 b 室外应用：在难于步线的室外环境下，无线局域网可充分发挥其高速率、 组网灵活的优点。以下为其典型应用环境：城市建筑群间通信、校园网络、 厂区自动化与管理系统、军事应用等。 在全移动网络应用环境下，无线局域网与有线骨干网构成移动计算网络。 这种网络传输速率高，覆盖面大，是一种可传输多媒体信息的个人通信网络， 这是无线局域网的未束发展方向。 2 6 无线局域网的标准1 2 2 1 1 2 3 1 1 2 4 】 对于计算机网络来说，标准是至关重要的。不遵循一定的标准，不同站点之间 就不可能进行通信。对于无线网络来说要涉及到所使用的无线频率范围、空中接 口通信协议等技术规范与技术标准，只有遵循共同的标准，各种不同厂商之间才 能互连互通，否则不能实现无线设备之间的通信。 在无线局域网标准中，最著名的是i e e e8 0 2 1 1 系列，此外制定w l a n 标准的 组织还有e t s i ( 欧洲电信标准化组织) 和h o m e r f 工作组。e t s i 提出的标准有 h i p e r l a n 和h i p e r l a l l 2 ，h o m e r f 工作组的两个标准是h o m e r f 和h o m e r f 2 。其 中，i e e e 的8 0 2 1 l 标准系列由于它对以太网标准8 0 2 3 影响很大，而得到最广泛 的支持，尤其在数据业务上。在w l a n 中，常用的标准主要有i e e e8 0 2 11 b 、i e e e 8 0 2 1 l a 、i e e e8 0 2 1 1 9 、b 1 u e t o o t h 、h o m e r f 、i r l ) a 、h i p e r l a n 2 等。 2 6 1i e e e 8 0 2 1 l 标准介绍【2 s l l 2 6 1 1 2 7 l i e e e 8 0 2 1 l 最终的标准，即正式称为i e e e 无线局域网媒介访问控制协议 ( m a c ) 和物理层( p h y ) 规范，定义了局域网内必须支持的网络广播协议。类 似于其它基于8 0 2 的i e e e 标准，i e e e 8 0 2 1 1 标准的主要服务是发送两个同级l l c 间的m s d u ( m a c 服务数据单元) 。提供i e e e 8 0 2 1 1 标准功能的典型应用是接入 点( a c c e s sp o i n t ) 和无线网卡。 i e e e 8 0 2 有两种工作模式，a d - h o c 模式和i n 丘a s t f l 【c t u r e 模式。i e e e 标准定 义a d - h o c 模式为独立基本服务集( i b s s ) ，i n f r a s 呐c t u r e 模式为基本服务集( b s s ) 。 下面分别介绍这两种模式的区别和工作方式。 在a d - h o c 模式下，每个工作站直接和网络中其他工作站通信，如图2 ，2 所示。 第二章无线局域网介绍 a d h o c 模式规定一个工作站只有在另一个工作站的传输范围之内( 即在同一个小 区内) 才能互相通信，如果一个工作站要和小区外的工作站通信，则小区内的一 个工作站必须充当网关，并选择路由。 ( 1 i c “( 图2 2 a d _ h o c 模式 在i n 丘a s 廿i l c t u r e 模式下，所有工作站与中心站，即接入点建立通信。接入点具 有网桥的功能，与其他网络，如有线嘲或玉线网建立通信。如图2 3 所示。 c l i c n t b a c c e s sp o i n t 、t ，i 。i 图2 3i n f f a s t r u c t u r e 模式 1 e e e8 0 2 1 1 标准对物理层和m a c 层作了规定。i e e e 8 0 2 1 1 和o s i 参考模型 的关系如图2 4 所示。物理层可以使用直接序列扩频、跳频扩频和红外线脉冲调制。 i e e e8 0 2 1 l 提供l m b p s 或2 m b p s 的数据速率。在扩频传输方式下工作在 2 4 2 4 8 3 5 g h z 频带( 即i s m 频带) ，在红外线传输方式下工作在3 0 0 4 2 8 ，o o o g h z 频带。红外线方式通常被认为具有更高的安全性，因为红外线传输要求绝对的视 线连接( 在传输距离之外或拐弯处则不能进行传输) ，而无线电波能穿透墙壁，从 而被第三方截取。但是，红外线传输易受外界因素( 如阳光) 的影响。 蔫霉 无线局域网认证机制的安全与效能研究 闼络操作系统 ( n o s ) 她， o ，存在k 。 0 使得对所 有k k c 有s m ) ：x ，y ，z 一z q 的概率分布是计算不可分的。 c d h 假设：设k 是安全参数，p ，q 是素数，其中q 的长度为k 比特，且q p 1 。g 是群z + 口中阶为q 的元素，x 和y 是从z p 中均匀选择的。则对于任何的多项 式时间算法a ，p r a ( p ，q ，g ，矿，9 7 ) = g “】是可忽略的。 为了描述认证密钥建立协议的安全性，首先建立基本的形式化模型。在该形式 无线局域网认证机制的安全与效能研究 化模型中，认证的密钥建立协议被称为密钥交换协议。下面给出c k 模型中的有关 概念。 2 ) 消息驱动协议 一个n 方( n p a n y ) 消息驱动协议是n 个程序的集合，其中每个程序由不同的参 与者( p a n y ) 运行( 每个程序是一个交互的概率多项式时间( p p t ) 图灵机) 。每个程序首 先用初始输入、随机输入和一些安全参数，然后等待一个激活( a c t i v a t i o n ) 。有两种 消息可以引起一个激活：一个是来自】叫路的到达消息( i n c o m i n gm e s s a g e ) ，另一个 是山同一个参与者f ：运行的其他程序发出的激活请求( a c t i o nr e q u e s t ) 。当收到一个 激活后，程序处理收到的数据，从当日口状态丌始转变，产生发往网络的消息和 个本地输出( l o c a lo u t p u t ) 值，并给其他程序发送激活请求，然后继续等待下次 激活。程序的本地输出是积累的。初始的本地输h 是空的，之后的每一次激活的 输出都依次添加到它的后面。协议可以把本地输出中的一部分标记为“秘密 ( s e c r e t ) ”。协议的一次执行称为一个会话( s e s s i o n ) 。 3 1 非认证信道对手模型u m 非认证信道对手模型( t h eu n a u t h e m i c a n o n 1 i n k sa d v e r s a r i a lm o d e l ) 定义了对手 的能力以及它与协议的交互规则。对于n 方协议万，它的每个参与者p 有输入x 。 和随机输入b ( i - 1 ，2 ，n ) 。除了参与者以外，我们引入协议万的。个u m 对手 u ( 是一个程序或p p t ) 。协议刀在u m 中的执行是由一系列不同参与者中丌的激活 组成，激活被u 控制和安排。u 知道每次激活的结果，还知道每个参与者的本地 输出，只是不知道标记为“秘密”的输出。u 可以自由的产生、插入、篡改和传 送任何消息。 除了激活参与者和控制网络外，u 还可以执行以下活动：攻陷参与者( c o r r u p t ap a r t y ) 、会话状念暴露( s e s s i o n s t a t er e v e a l ) 、会话输出查询( s e s s j o n o u t p u t q u e r y ) 。 最后，协议万添加一个初始化函数i ，i 用于模型化带外的( 0 u to fb a n d ) 和认证 的消息交换。i 的输入是随机输入r 和安全参数k ，输出向量i ( r ，k ) = i ( r ，k ) o i ( r ， k ) 。其中i ( r ，k ) o 是公开消息，所有的参与者和u 都知道；当o 时，i ( r ，k ) 。只 有p i 知道，当u 攻陷p i 后，也知道i ( r ，k ) 。 运行在u m 中的协议的全局输出是所有参与者的本地输出和u 输出的串联，u 的输出是在交互结束时内部状态的函数。我们引入以下的符号表示： k 是安全参数，x = ) 【l x 。，r = r o r n ( 。o 是u 的随机输入，x i 和r 。是p i 的输入) 。 u m a d v “o ( k ，x ，r ) 指当u 和运行万的参与者交互时基于安全参数k 和u 的 输出。 u n a u t h “( k ，x ，r ) 。指存在u 时，基于安全参数k 运行z 的参与者p 累计的 本地输出。 第五章改进的w a p i 安全协议e a p 1 w a p u n a u t h “，u ( k ，x ，r ) = u m a d v “u ( k ，x ，r ) ，u m a d v ”u ( k ，x ，r ) 卜u m a d v 8 。 “( k ，x ，r ) 。 当r 是均匀选择时，用随机变量u n 姒j t h “。( k ，x ) 描述u n a u r “( k ，x ， r ) 。u n a u t h “。表示一个样本空问 u n a u t h “( k ，x ) 。6 ”1 。5 o - 1 卜 4 ) 密钥交换卧议 密钥交换协议( k e ye x c h a n g ep r o t o c o ls ) 是n 方消息驱动协议的一种特殊情 况，需要增加一些语法米描述。 一个n 方消息驱动协议是n 个程序的集合，其中每个程序由不同的参与者运行。 在密钥交换k e ( k e ye x c h a n g e ) 的协议中z 中，p 。收到的激活请求的形式是 e s t a b l i s h s e s s i o n ( p ，e ，s ，k ) ，p i 、s 同上，k 是会话密钥。密钥交换协议的一次 执行称为密钥交换会话( k e s e s s i o n ) 。空的k 表示会话出现错误，响应的密钥交换 会话的状态是被巾止的( a b o r t e d ) 。非空的k 被标识为“秘密”，相应的密钥交换会话 的状态是完成的( c o m p l e t e d ) 。 在密钥交换协议的一次执行中，e 有一个输入为 p 。，p j ，s ，r o l e 的会话，p 。 有一个输入为 p 。，r ，s ，m l e 的会话。如果s = s ，则称这两个会话是匹配的( 注 意并不要求m l e m l e ) ，所以我们后面将会话表示为 p 。，b ，s 。 在u m 中，针对密钥交换协议的对手行为在本质上和一般的u m 对手u 是相 同的。为了清楚起见，用会话密钥查询( s e s s i o n k e yq u e r y ) 代替会话输出查询。另 外，有一个成分，即会话过期( s e s s i o ne x p i r a t i o n ) 要加入这个模型。u 可以安排e 中任何一个完成的会话 p ，p ，s 执行会话过期，这个行为的结果是相应会晤的“秘 密”输出f 会话密钥1 从r 中抹去，以及表示这个会晤过期的特定标记加入到p 【的本 地输出。 p 。中的一个密钥交换会话 r ，p j ，s ) 被称为本地暴露的( l o c a le x p o s e d ) ，如果 u 对该会话作： 会话状态暴露。 会话密钥查询。 在会话 p j ，e ，s ) 过期前攻击参与者p 。 一个密钥交换会活被称为暴露的( e x p o s e d ) ，如果它或者它的匹配会话是本地暴 露的。 5 ) 认证信道对手模型a m 认证信道对手模型a m ( t h ea u m e m i c a t e d 一1 i n k sa d v e r s a r i a lm o d e l ) 和u m 是相同 的，除了以下的例外：a m 对手a 不能插入、篡改消息，它只能传送参与者产生 的消息o 次或1 次。 仿照1 u n a u t h “定义a u t p “。 6 ) 认证器 无线局域网认证机制的安全与效能研究 在设计一个认证协议时，先在a m 下设计满足安全要求的协议万，然后再转换 成u m 中等效的协议万，这种转换甫认证器( a u t l e n t i c a t o r ) 来完成。 定义l 设刀和万是n 方消息驱动协议，万运行在a m 中，万运行在u m 中。 如果对于任何u m 对手u ，存在一个a m 对手a 使得a u t 心。a 和u n a u t h “ 是计算不【 j 区分的，则称万在u m 中仿真( e m u l a t e s ) 万。 定义2 一个编译器( c o m p i l e r ) c 是一个算法，它的输入是叻、议的描述，输出也 是协议的描述。若一个编译器c 对于任何的胁议刀，协议c ( 口) 仿真7 r 在u m 中， 则这个编译器称为认证器。 认证器的构造：从定义可以知道，一个认证器可以把在a m 中设计的协议等价 地转化为u m 中的协议。认证器的构造方法可以如下：考虑下面的简单协议，称 为消息传输( m t ) 协议，其输入为空。当参与者p 。收到请求发送消息( p j ，e ，m ) 后， 输出p ，r e c e i v e dm 行o mp j ”，其中每次消息m 不同。若该协议在a m 中运行，它是 一个完善的认证的消息传输协议。假设五是一个在u m 中仿真m t 的协议，则称五 是m t a u t h e n t i c a t o r 。基于兄，我们定义一个编译器c y ，对于输入协议万，产生协 议万= c 1 ( 丌) 。当万在一个参与者中激活，它首先激发五。对于协议万激发 发送 相同的消息给指定的接受者。当7 r 被某个进来的消息激活时，它用同样的消息激 活五。当z 输出er e c e i v e d m 疗o mp i ”时，协议石被来自p j 相同的消息m 激活。 结论：假设五是一个m t - a u t h e n t i c a t o r ，则c 。是一个认证器。 7 1 会话密钥安全 在定义了密钥交换协议的基本彤式化模型和对手攻击能力之后，需要明确安全 的密钥交换协议的条件。只要攻击者没有通过密钥暴露得到会话密钥值，会话密 钥安全( s e s s i o n k e ys e c u r i t y ) 就能保证每个会话密钥的安全性。 定义3 测试会话查询( t e s t s e s s i o nq u e r y ) 针对密钥交换协议的对手u 可以在 它运行的任何时刻，从那些完成的、没过期的、没暴露的会话中选择一个测试会 话( t e s t s e s s i o n ) 。设k 是测试会话的会话密钥，当u 对测试会话查询时，我们掷 币b ，b l f 0 ，1 。若b = 0 ，把k 给u ；否则，从协议万产生的密钥的概率分枷 空问随机选择一个值r 给u 。除了在测试会话过期前不允许使测试会话暴露外，u 可以继续进行各种活动。最后，u 输出一个比特b ，作为b 的猜测。 定义4k e 对手被允许执行测试会话查询的密钥交换协议对手是k e 对手。 定义5 如果对于任何u m 中的k e 对手u ，满足下列两条性质： 1 如果两个未攻陷的参与者完成了匹配的会话，它们输出相同的会话密钥。 2 u 进行测试会话查询，猜中b 的概率不超过0 5 + 占，其中占是可忽略的。 则称这个密钥交换协议在u m 中是会话密钥安全的( s k s e c u r e ) 。 如果上述性质对于任何a m 中的k e 对手是满足的，则协议在a m 中是会话密 钥安全的。 第五章改进的w a p l 安全协议e a p 1 w 芦l p l 两点说明： 对于定义5 中的性质2 ，我们定义优势a “= s 。 模型中提供了会话过期，所以满足定义5 的协议具有完善前向保密的性质。 定义6 如果定义5 中的u m 或a m 不允许使用会话过期，则满足定义5 的密 钥交换协议是s k s e c u r ew i t h o u tp f s 。 结论：设，在a m 中是s k s e c u r e ( 州t h o u tp f s ) 密钥交换协议，丑是一个 m t _ a u t h e n t i c a t o r ，则石= c 。( 万) 在u m 中是s k s e c l l r e ( w i t h o u t p f s ) 密钥交换协议。 5 3 改进的无线认证基础设施1 w a p l f l 5 i | 1 6 l l l 7 j 1 1 8 针对原来w a p i 的认证协议和密钥协商部分存在的安全缺陷，我们设计了一种 改进的无线对等认证方案e a p 1 w a p i 。所提方案对于w a p l 的加解密和签名等其 他算法未做任何改动，所以完全川是适用于w a p i 环境，提供安全而有效的认证 和密钥协商。由于i e e e8 0 2 1 1 i 也是采用基于i e e e8 0 2 1 x 的体系结构，所以通过 e a p 协议进行封装，本文所设汁的协议也可以作为i e e e8 0 2 1 l i _ 卜的一个认证协 议使用。通过对a p 进行强制认证，在s t a 与a p 问进行密钥协商。i m 谨i 协议采 用模块化的设计方式，在c 鲫e n i k r a w c z y k 模型下提供了可证明的安全性，具有所 需的安全特性。 5 3 1 协议设计 协议的设计思想是基于模块化设计方案。我们首先构造一个a m 下s k s e c u r e 的e a p i w a p i a m 协议，其次选取合适的认证器丑s i o ，最后将其转化为u m 下 s k s e c u r e 的协议。 步骤1 ：构造a m 下s k s e c w e 的协议e a p 一，a p l a m 。 e a p i w a p i a m 的构造如下： 设p ，q 为素数，q p - l ，g 是群z p + 中阶为q 的元素 l ，发起方p i 收到建立会话( p i ，e ，s ) 的请求后，选择随机数x 一 o ，1 ) 。， 把消息( p ，s ，口= g 。) 发送到p j ； 2 响应者p 、收到消息( b ，s ，甜) 后，选择随机数y 一 o ，1 。，把消息( r ， s ，卢= 9 7 ) 发送到p i ，擦除y ，并输出会话密钥y = 口7 ，其会话标识为s ： 3 p 收到消息( p i ，s ，) 后，计算厂= 。，擦除x ，并输出会话密钥y ，其会 话标识为s 。 4 2 无线局域网认证机制的安全与效能研究 步骤2 ：选取基于公钥签名的m t _ a u t h e n t i c a t o r 五s i g 。 设s i g n 和v e r 分别表示签名和验证算法。s i 及v 。表示参与者p i 对应的签名 和验证密钥。公开信息为所有的公钥：i o = ”l ，k ，v n ，p i 的私钥为i f 5 i 。 1 当p 。被外部请求激活向p 1 发送消息m 时，五s i g 激活一个双方通信协议 z s i g ，五s i g 过程如下( 旯s i g 仅涉及两个参与者，我们使用p a 、p b 代替p 。、 p ，) ：p a 把消息m 发送给p b ，p a 同时输出：p as e n d m t o ； 2 p b 收到来自p a 的消息m 后，选择个随机数n b j l o ，1 。，把挑战 m ， n b 发送给p a ； 3 p a 收到来自p b 的挑战后，把响应 s i g n a t u r e ：m ，s i g n s 。( m ，n b ，p b ) 发 送给p r ； 4 p b 收到p a 的响应后，验证该签名，通过后接受m ，f 一时输出：p br e c e i v e d m 厅o m p a 。 我们能够证明a m 中的协议e a p i w a p i a m 是s k s e c u r e 的，构造的协议五s l g 是m t - a u t h e n t i c a t o r 。因此，我们町以使用认证器的构造巾的方法把e a p 1 w a p i a m 协议转化为e a p i w a p i u m 协议。通信双方使用gs 一和g 一作为挑战，把五s l g 应 用到e a p i w a p i a m 协议的每一个消息，并结合p i g g y _ b a c k i n g 技术，我们得到 e a p m p i u m 协议。 1 s t a 手a p ：e ( p k a s ；n a i ，h ( p 船。lf5 删) ，s ) ，一5 蹦，r s t a 旦一z q 2 a p s t a ：g 。 ，s i 昏k p ( 幽t a ，9 7 _ ) ，s i g s k4 p ( g r s t a ，g “) ，t a p ，p k a p ， m a c k m ，( s ，g 川) ，r s t a l z q ，k m n = ( g s t a ) 。州 3 s t a 手a p ：m a c k 州( s ，g s 1 a ) ，k m n = ( 9 1 。9 ) s 1 a 5 3 2e a p 1 w a p i u m 协议描述 在我们防议中，a s 与a p 的