无线局域网中使用的加密技术

1、WLAN加密技术目 录CONTENTS PAGE 04 WPA/WPA2-PSK 协议01 引 言02 WEP 协议03 WPA/WPA2 协议目 录 CONTENTS PAGE 04 WPA/WPA2-PSK 协议01 引 言02 WEP 协议03 WPA/WPA2 协议01 引 言5 第一章 引言 x 无线局域网什么是WLAN？n 无线局域网络英文全名：Wireless Local Area Networks；简写为： WLAN。n WLAN利用射频技术，使用电磁波，取代双绞线，所构成的局域网络。n Wi-Fi是WLAN的重要组成部分，属于采用WLAN协议中的一项新技术。n Wi-Fi的覆

2、盖范围则可达90米左右，而WLAN最大可以到5KM。WLAN在为人们提供便利的同时，安全问题也日渐突出。WLAN与Wi-Fi的区别6 第一章 引言 x 无线局域网什么是802.11？n 802.11协议簇是国际电工电子工程学会（IEEE）为无线局域网络制定的标准。n 802.11采用2.4GHz和5GHz这两个ISM频段。n 目前主流的Wi-Fi实用的是802.11n协议。n 最新的无线AP厂商开始改用802.11ac协议。802.11是Wi-Fi使用的协议目 录 CONTENTS PAGE 04 WPA/WPA2-PSK 协议01 引 言02 WEP 协议03 WPA/WPA2 协议02 W

3、EP协议8 第二章 有线等效保密协议 x WEP协议WEP协议概述n相对于有线网络来说，通过无线局域网发送和接收数据更容易遭到窃听。n无线局域网中应用加密和认证技术的最根本目的就是使无线业务能够达到与有线业务同样的安全等级。n针对这个目标，IEEE 802.11标准中采用了WEP协议来设置专门的安全机制，进行业务流的加密和节点的认证。协议的制定WEP是建立在RC4序列密码机制上的协议，并使用CRC-32算法进行数据检验和校正从而确保数据在无线网络中的传输完整性。9 第二章 有线等效保密协议 x WEP协议RC4 算法nRC4加密算法是RSA三人组中的Ronald Rivest在1987年设计的

4、密钥长度可变的序列密码算法簇。n在WEP协议中密钥长度可选择64 bit和128 bit。n由伪随机数产生算法（PRGA）和密钥调度算法（KSA）两部分构成。算法概述罗纳德李维斯特10 第二章 有线等效保密协议 x WEP协议RC4算法1）KSA算法p 线性填充：将S数组按从0至255的顺序填充，即令S0=0，S11，S255255，记为Si。p 密钥填充：用密钥重复填充另一个256字节的数组，不断重复密钥直到填充到整个数组，得到：K0,K1,K255，记为Ki。p S盒交换：对于i=0到255，计算j=(j+SiKi)mod 256，交换Si与Ki。p KSA算法最终得到一个八进八出的S盒：

5、S0、S1S255。0123254255S0S1S2S3S254S255k0k1k2k254k255K0K1K2K3K254K255设k0=3，i=0时， j=(j+S1+K1)mod 256=0+k0=3， 交换S0和K3 0k311 第二章 有线等效保密协议 x WEP协议RC4算法2）PRGA算法p 算法用到两个计数器i、j，设其初值为0。p 每加密一个字节，将（i+1 mod256）赋值给i，将 （j+Si mod256）赋值给j。交换Si、Sj。p 中间变量t=(Si+Sj)mod256，密钥K = St。p 最后利用得到的密钥K与明文进行按位模2加。793142512195S0S1

6、S2S3S254S25500ijt13K12 第二章 有线等效保密协议 x WEP协议254RC4算法2）PRGA算法p 算法用到两个计数器i、j，设其初值为0。p 每加密一个字节，将（i+1 mod256）赋值给i，将 （j+Si mod256）赋值给j。交换Si、Sj。p 中间变量t=(Si+Sj)mod256，密钥K = St。p 最后利用得到的密钥K与明文进行按位模2加。792511432195S0S1S2S3S254S25500ijt13K2100010101K1001100110001100MC13 第二章 有线等效保密协议 x WEP协议RC4算法RC4算法的实现p RC4的算法

7、比较简单，软件容易实现。只需把算法中的i、j和S盒作为其内部状态。p 基于这种观点，编写程序时把内部状态封装在一个结构体中，KSA算法和PRGA算法则直接对这一结构体进行操作即可实现。14 第二章 有线等效保密协议 x WEP协议RC4算法RC4算法安全性分析p 在RC4算法流程中，对S盒进行的唯一操作是交换。S盒始终保存256bit初始信息的某个转置状态，而且转置随着时间而更新。这也是算法的强度所在。算法的内部状态一共用256！个，此状态大约保存了1700bit的信息。15 第二章 有线等效保密协议 x WEP协议RC4算法RC4算法安全性分析p S盒的初始化状态仅仅依靠于加密密钥K，因此，

8、若已知加密密钥就可完全破解RC4算法。加密密钥完全且唯一确定了RC4输出的伪随机数序列，相同的密钥总是产生相同的序列。另外，RC4算法本身并不提供数据完整性校验功能，此功能的实现必须由其他方法实现。16 第二章 有线等效保密协议 x WEP协议RC4算法RC4算法安全性分析p RC4算法属于序列密码，相同的密钥总是产生相同的输出。为解决密钥重用的问题，WEP协议中引入了初始化向量IV。初始化向量为一随机数，每次加密时随机产生。初始化向量以某种形式与原密钥相结合，作为此次加密的密钥。由于并不属于密钥的一部分，所以无须保密，多以明文传输。循环冗余检查18 第二章 有线等效保密协议 x WEP协议循

9、环冗余检查WEP协议中使用循环冗余算法（CRC-32）进行数据的完整性检查。CRC校验码的编码方法：1、用待发送的二进制数据t(x)乘上Xr(r为生成多项式的阶数)2、将结果除以生成多项式g(x)完成的，最后的余数即为CRC校验码。WEP协议采用CRC-32的方式对数据进行编码,其生成的多项式为:x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1。19 第二章 有线等效保密协议 x WEP协议例如：对M(x)=1100，用G(x)=1011，求CRC码。a. 将待编码的k=4位有效信息位组写成表达式： M(x)=Ck-1Xk-1+Ck-2Xk-

10、2+C1X+C0=X3+X2=11001011010111010111100000G(X)XM(X)3b. 将信息位组左移r=3位,M(x) Xr=M(X) X3=1100000c. 用M(x) Xr除以G(x)，所得余数作为校验位。d. 有效的CRC码此处为(7,4)码为： M(x) Xr+R(x)= 1100000 + 010 = 1100010。20 第二章 有线等效保密协议 x WEP协议循环冗余检查CRC-32算法的缺陷：1、检验和是有效数据的线性函数，恶意攻击者可以随意篡改原文的内容。2、由于 CRC-32检验和不是加密函数，只负责检验原文是否完整，恶意攻击者还可以自己生成数据进行

11、发送。由于这些缺陷的存在，攻击者开发了多种方法来破解WEP，例如 chopchop 攻击、分段攻击、FMS 攻击和 PTW攻击等。WEP协议22 第二章 有线等效保密协议 x WEP协议WEP协议WEP加密过程p 1、计算校验和p 对输入数据进行完整性校验和计算。p 把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入。CRC-32输入校验码输入明文M23 第二章 有线等效保密协议 x WEP协议WEP协议WEP加密过程p 2、加密p 将24位的初始化向量和40位的密钥连接进行校验和计算，得到64位的加密密钥。p 将这个64位的数据输入到PRGA算法

12、中，产生加密时所用的乱数。p 乱数与明文按位异或，生成密文。明文MIV密钥PRGA乱数密文C24 第二章 有线等效保密协议 x WEP协议WEP协议WEP加密过程p 3、传输p 将初始化向量和密文串接起来，得到要传输的加密数据顿，在无线链路上传输。明文MIV密钥PRGA乱数密文C25 第二章 有线等效保密协议 x WEP协议WEP协议的不安全因素RC4算法问题pRC4算法存在弱密钥性。p研究发现，存在特殊格式的初始化向量IV，用它构造的密钥（弱密钥）生成的伪随机数的初始字节与此密钥的少数几个字节存在很强的相关性，大大地减少了搜索密钥空间所需的工作量。26 第二章 有线等效保密协议 x WEP协

13、议WEP协议的不安全因素WEP本身的缺陷p 使用了静态的WEP密钥。p WEP协议中不提供密钥管理，所以对于许多无线连接网络中的用户而言，同样的密钥可能需要使用很长时间。p WEP协议的共享密钥为40位，用来加密数据显得过短，不能抵抗某些具有强大计算能力的组织或个人的穷举攻击或字典攻击。27 第二章 有线等效保密协议 x WEP协议WEP协议的不安全因素WEP本身的缺陷pWEP没有对加密的完整性提供保护。p协议中使用了未加密的循环冗余码校验CRC检验数据包的完整性，并利用正确的检查和来确认数据包。p未加密的检查和加上密钥数据流一起使用会带来安全隐患，并常常会降低安全性。28 第二章 有线等效保

14、密协议 x WEP协议WEP协议的不安全因素WEP本身的缺陷p由于WEP中存在这些缺陷，当在多个数据包上使用相同WEP静态密钥、相同的IV进行加密时，就产生了大量的弱密钥。攻击者收集到足够多的使用弱密钥进行加密的数据包后，经过统计分析，只需要相对较少的计算量就可以逐个字节地破解出静态密钥。29 第二章 有线等效保密协议 x WEP协议WEP破解方法举例被动无线网络窃听p由于WEP中存在这些缺陷，当在多个数据包上使用相同WEP静态密钥、相同的IV进行加密时，就产生了大量的弱密钥。攻击者收集到足够多的使用弱密钥进行加密的数据包后，经过统计分析，只需要相对较少的计算量就可以逐个字节地破解出静态密钥。

15、30 第二章 有线等效保密协议 x WEP协议WEP破解方法举例ARP请求攻击模式p ARP，地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。p 攻击者抓取合法无线局域网客户端的数据请求包。如果截获到合法客户端发给无线访问接入点的是ARP请求包，攻击者便会向无线访问接入点重发ARP包。无线访问接入点接到这样的ARP请求后就会自动回复到攻击者的客户端。这样攻击者就能搜集到更多的初始向量IV。31 第二章 有线等效保密协议 x WEP协议WEP破解方法举例ARP请求攻击模式p当捕捉到足够多的初始向量IV后就可以进行被动无线网络窃听并进行密码破解。p但当攻击者没办法获取ARP请求时，

16、其通常采用的模式即使用ARP数据包欺骗，让合法的客户端和无线访问接入点断线，然后在其重新连接的过程中截获ARP请求包，从而完成WEP密码的破解。目 录 CONTENTS PAGE 04 WPA/WPA2-PSK 协议01 引 言02 WEP 协议03 WPA/WPA2 协议03 WPA/WPA2 协议33 第三章 WPA/WPA2 协议WPA 协议WPA协议概述p 由于WEP协议自身存在的不足导致以此为安全机制的变得脆弱而易于被攻击破解，所以需要一种新的协议对其进行改进。WPA协议应运而生。对WPA的检验在2003年4月开始，完整的WPA标准是在2004年6月通过的。p WPA 采用的加密算法

17、是临时密钥完整协议(TKIP)RC4 加密算法，该算法继承了 WEP 协议的加密原理，但是在 WEP 的加密原理上做出了巨大改进，弥补了 WEP 的缺陷，极大的提高了数据加密的安全性。34 第一章 引言 x 无线局域网WPA协议WPA加密过程p阶段一密钥混合；p阶段二密钥混合；pMIC；p分段；pWEP封装。35 第三章 WPA/WPA2 协议WPA协议WPA加密过程图：36 第一章 引言 x 无线局域网WPA协议1）阶段一密钥混合p输入： 临时密钥TA128比特 发送方的MAC地址48比特 初始化向量IV的高32比特p输出：一个中间密钥TTAK80比特阶段一密钥混合TKMACIVTTAKAE

18、S中的S盒非线性较好算法的操作：加法；异或；逻辑与；查表；操作速度较快38 第一章 引言 x 无线局域网WPA协议2）阶段二密钥混合p输入：中间变量TTAK 80 比特 临时密钥TA 128 比特 初始向量IV位的低16 比特p 输出：WEP加密密钥 SEED128 比特阶段二密钥混合TATTAKIVSEED40 第一章 引言 x 无线局域网WPA协议3）MICp目的：保证名文块MSDU数据单元的完整性p输入：MSDU的源地址(SA)、目的地址(DA)、优先级和MSDU明文数据、MIC密钥p输出：MIC值 算法：Michael算法41 第一章 引言 x 无线局域网WPA协议Michael 算法

19、p认证密钥Kmic 64 bitspMichael连接函数将消息M按32bits分割成M0,M1Mn，最后生成64bits的MIC值，接收方用共享的Kmic和接收到的消息计算出MIC,与接收到的MIC进行校验XSWAP是一个交换函数，XSWAP(ABCD)=BADC思想：代替+移位43 第一章 引言 x 无线局域网WPA协议4）分段，WEP封装p分段主要是将明文信息分段，有利于网络传输pWEP封装是将第三步MIC数据完整性算法产生的MPDU单元利用第二步阶段二密钥混合算法生成的密钥进行WEP封装。44 第一章 引言 x 无线局域网WPA协议4）分段，WEP封装p优点：之前使用WEP协议加密的设

20、备只需要软件升级就可以支持WPA协议，兼容性好。p缺点：仍然采用RC4算法，效率较低，限制了安全性的进一步提升。TKIP是一种过渡算法WPA2协议46 第三章 WPA/WPA2 协议WPA2协议WPA2协议概述p 为了提高安全性，IEEE 在21世纪初期一直致力于制定“IEEE 802.11i安全标准”方式。p 2004年06月IEEE 802.11i安全标准制定完毕。Wi-Fi联盟经过修订后推出了具有与IEEE 802.11i标准相同功能的 WPA2协议。p 目前，WPA2已经成为一种强制性的标准。WPA2需要采用AES的芯片组来支持。47 第三章 WPA/WPA2 协议WPA2协议与WPA

21、协议的区别WPAWPAWPA2WPA2加密算法加密算法TKIPTKIPAES完整性算法完整性算法MICMICCCMP48 第一章 引言 x 无线局域网WPA2协议CCMP算法pCCMP数据加密算法是基于高级加密标准AES的新一代加密算法。p由于AES具有应用范围广、等待时间短、相对容易隐藏、吞吐量高等优点，能提供比RC4算法更高的加密强度。CTRCBC-MAC保密性完整性49 第一章 引言 x 无线局域网WPA2协议CTR加密过程p对输入的计数器Ctri用密钥进行AES算法加密，生成密钥流SK(i)； SK(i)=AES (Ctri，K) p 将明文分组Pi与该密钥流进行异或,得到密文分组Ci

22、。 Ci = Pi SK(i) CTR模式保证安全性的关键在于正确的分配各计数器的值。不能用值相同的计数器分组加密多个明文分组。51 第一章 引言 x 无线局域网WPA2协议CBC- MAC 算法pCCMP模式中使用的消息完整性认证码MIC是根据CBC-MAC算法得出的。p1、将该初始向量IV与要加密的数据分组Pi进行异或；p2、经AES算法加密异或得到的数据分组,生成密文Ci；52 第一章 引言 x 无线局域网WPA2协议CBC- MAC 算法p处理下一个明文分组Pi+1时,初始向量IV由上一次加密生成的密文分组Ci充当；p最后得到的认证码MIC为最后一个密文分组Cm的前n位,n可以取4,6

23、,8等值。p记IV为C0，,3 ,2 ,1),(1icmEciikiMIC = MSBn(Cm)即课堂上讲的分组链接加密模式54 第一章 引言 x 无线局域网WPA2协议CCMP数据的封装MPDU格式如图所示。可以看出,CCMP加密封装将原MPDU格式扩充了16个字节,其中8个字节为CCMPHeader,8个字节为MIC。CCMPHeader由PN(PacketNumber包号)、ExtIV和KeyID组成。PN为6字节的数据包序列号,相当于WEP中的IV。ExtIV比特位设置为1,用以标志CCMP。附加在DATA后面的MIC是通过前面所述的CBC-MAC模式计算出来的,它和DATA一起要经过

24、加密。具体封装过程如下：（1）PN加1,保证对每个MPDU有一个不同的PN,这样在同一临时密钥TK中不会重复使用PN；（2）用MAC帧头构造CCMP的附加认证数据AAD,CCMP算法为AAD提供完整性保护；（3）用PN,MPDU的发送地址TA及其优先级值构造CCM Nonce；（4）把PN和KeyID放入CCMP header；（5）根据MPDU和nonce一起构造生成MIC-IV；（6）用MIC-IV、CCMP header和明文MPDU,在TK作用下进行CBC-MAC计算得到MIC；（7）用PN和TA构造计数器counter；（8）在 TK 控制下, 对明文 MPDU 和 MIC 进行 C

25、TR 加密；（9）最后, 由原MAC帧头,CCMP header,和密文组合形成CCMP MPDU。59 第一章 引言 x 无线局域网WPA2协议CCMP 安全性分析pCCMP是以高级加密标准AES为核心的加密算法。p比WEP和TKIP中的RC4算法具有更高的安全性。pCCMP使用同一个密钥进行CTR模式加密和CBC-MAC模式认证。CTR模式和CBC-MAC模式分别构造不同的IV，所以不会出现安全问题。60 第一章 引言 x 无线局域网WPA2协议CCMP 安全性分析p使用同一密钥的好处在于可以简化CCMP的设计,降低对密钥管理的要求,从而减少了因用户误用或密钥管理不健全而造成的安全漏洞。p

26、CTR with CBC-MAC模式已有20多年的历史，但其强大的安全性却得到了长期实践的证明。目 录 CONTENTS PAGE 04 WPA/WPA2-PSK 协议01 引 言02 WEP 协议03 WPA/WPA2 协议04 WPA/WPA2-PSK协议62 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSK企业级WPA/WPA2的认证p企业级的WPA认证需要一台RADIUS服务器，该服务器存储了用户的相关信息，如用户名、密码、用户访问控制列表等。63 第四章 WPA/WPA2-PSK 协议企业级WPA/WPA2认证过程请求连接要求设备发送ID64 第四章 WPA/WPA2-

27、PSK 协议企业级WPA/WPA2认证过程设备发送ID将设备的ID发给服务器从授权目录中获取设备的公钥Ea用Ea加密的请求1+1=？转发用Ea加密的请求1+1=？65 第四章 WPA/WPA2-PSK 协议企业级WPA/WPA2认证过程转发结果“2”用Da脱密得到并完成请求1+1=2发送结果“2”处理结果正确66 第四章 WPA/WPA2-PSK 协议企业级WPA/WPA2认证过程转发利用公钥加密的MSK告知AP允许设备连接利用AP和设备的公钥提供主密钥MSK利用私钥脱密得到主密钥利用私钥脱密得到MSK67 第四章 WPA/WPA2-PSK 协议企业级WPA/WPA2认证过程利用MSK生成密钥

28、加密密钥PMK利用PMK生成会话密钥PTK68 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSKWAP/WPA2-PSK原理p企业级WPA/WPA2具有很高的安全性，但这种认证模式需要架设一台专用的RADIUS服务器，对于小型企业和个人用户来说，代价过于昂贵，维护也很复杂。p针对小型企业和个人用户，WPAWPA2提供了一种不需要RADIUS服务器的预共享(Pre-Shared Key，PSK)模式。69 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSKWAP/WPA2-PSK原理p在PSK模式下，申请者和认证者预先输人一个passphrase，然后根据PSK函数生成

29、PSK。p PSK = f (passphrase ，ssid，kLength）pssid 是认证者的服务集标识。p计算得到的PSK用于替代密钥加密密钥PMK。70 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSKWAP/WPA2-PSK原理p生成会话密钥PTK，需要5个必要元素：p密钥加密密钥PMKpAP随机产生的Anoncep设备随机产生的SnoncepAP、设备的MAC地址AMAC、SMAC71 第四章 WPA/WPA2-PSK 协议WPA/WPA2-PSK认证过程请求连接发送随机信息ANonce72 第四章 WPA/WPA2-PSK 协议WPA/WPA2-PSK认证过程此

30、时设备已经具有生成临时密钥PTK的所有条件产生SNonce产生PTK73 第四章 WPA/WPA2-PSK 协议WPA/WPA2-PSK认证过程SNonceSMACMIC计算PTK验证完整性Anonce，用PTK加密的组临时密钥GTK，MIC74 第四章 WPA/WPA2-PSK 协议WPA/WPA2-PSK认证过程验证完整性装入GTKFinnish75 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSK安全性分析p企业级WPAWPA2的安全性非常高，破解难度极大。p目前已经有多种黑客软件可以采用字典破解的方式破解WPAWPA2-PSK。76 第四章 WPA/WPA2-PSK 协议WAP/WPA2-PSK安全性分析p计算PTK需要ANonce、SNonce、AP的MAC地址A-MAC、设备的MAC地址S