无线局域网安全讲义

第八章无线局域网安全马占宇信通院模式识别实验室无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全无线局域网络组成网络组成通信设备用户终端网络支持单元（软件）无线局域网络组成通信设备（功能划分）WLAN固定小区WLAN移动小区——无中断连接、越区切换

WLAN桥路器——为分散小区提供中远距离点对点连接

通信保密装置——用于链路数据保密，如Radius（Remoteauthenticationdialinuserservice远程认证拨号用户服务）服务器等。无线局域网络组成

用户终端

提供包括电子邮件、数据传输、语音和图像信息

不同层次的纠错传输

网络支持单元

本地网络管理

外部接口设备无线局域网络拓扑结构

三种主要形式

点对点型Hub型

完全分布型点对点型拓扑结构

网络互连

无线链路与有线局域网的连接：桥路器或中继器Hub型拓扑结构

集中控制式

完全分布型拓扑结构

主要用于军事和无线传感器网络

局部拓扑知识的分享，完成分布路由算法网络协议评价：数据据纠错、传传输速率、、吞吐率、、时延特性性IEEE802系列标准载波侦听多多路访问/冲突避免（（CSMA/CA）协议时分双工（（TDD）复用技术术网关方式网络设计问问题吞吐量无线传输与与有线传输输的有效匹匹配保密性提高安全性性的同时，，不产生太太多的附加加延迟或开开销“动中通”OTMOn-The-Move蜂窝或微蜂蜂窝无线局域网网的基本概概念无线局域网网的技术标标准无线局域网网安全问题题无线局域网网的安全策策略WAPI标准第八章无线线局域网安安全3个标准的比比较IEEE802.11协议IEEE802工作组建立立的标准802.11a802.11b与物理层有有关802.11g802.11i———影响MAC层家庭射频技技术家庭射频（（HomeRF）技术是数数字式增强强型无绳电电话DECT（DigitalEnhancedCordlessTelephone）技术和WLAN技术相互融融合的产物物无线局域网网标准IEEE802.11采用CSMA/CA（载波监听听多点接入入/冲突避免））方式，特特别适合于于数据业务务DECT使用TDMA（时分多路路复用）方方式，特别别适合于话话音通信将两者融合合便构成了了家庭射频频使用的共共享无线应应用协议SWAP（SharedWirelessAccessProtocol）SWAP使用TDMA+CSMA/CA方式，适合合话音和数数据业务，，并且针对对家庭小型型网络进行行了优化。。家庭射频系系统设计的的目的就是是为了在家家用电器设设备之间传传送话音和和数据，并并且能够与与公众交换换电话网（（PSTN）和互联网网进行交互互式操作蓝牙技术蓝牙（Bluetooth）技术是实实现语音和和数据无线线传输的开开放性规范范,是一种低成成本、短距距离的无线线连接技术术无线收发器器是一块很很小的芯片片，大约只只有9mm×9mm，可方便地地嵌入到便便携式设备备中，从而而增加设备备的通信选选择性蓝牙技术实实现了设备备的无连接接工作（无无线链路替替代电缆连连接），提提供了接入入数据网功功能，并且且具有外围围设备接口口，可以组组成一个特特定的小网网无线局域网网的基本概概念无线局域网网的技术标标准无线局域网网安全问题题无线局域网网的安全策策略WAPI标准第八章无线线局域网安安全WLAN的安全应用角度看看，移动用用户或无线线上网用户户，通过无无线设备的的网卡发信信息给AP，信息在传传输时可能能遭受3种攻击①信息泄泄露。最典典型的情形形是信息在在空中传输输时被监听听②信息被被篡改。数数据在传输输过程中，，内容被篡篡改③信息阻阻断。例如如，用户发发送信息给给AP，虽然用户户确认信息息已经发送送出去，但但是由于黑黑客可以在在AP端“做手脚”，所以信息息有可能传传输到AP就被非法中中断了技术角度看看，无线IP包中参数被被篡改或侦侦测，可能能产生以上上攻击WLAN的安全一般地，WLAN的安全性有有下面4级定义①扩频、、跳频无线线传输技术术本身使盗盗听者难以以捕捉到有有用的数据据②设置严严密的用户户口令及认认证措施，，防止非法法用户入侵侵③设置附附加的第三三方数据加加密方案，，即使信号号被盗听也也难以理解解其中的内内容④采取网网络隔离及及网络认证证措施IEEE802.11b的安全两种认证服服务开放系统认认证（OpenSystemAuthentication）共享密钥认认证（SharedKeyAuthentication）无线线局局域域网网的的基基本本概概念念无线线局局域域网网的的技技术术标标准准无线线局局域域网网安安全全问问题题无线线局局域域网网的的安安全全策策略略WAPI标准准第八八章章无无线线局局域域网网安安全全强化化无无线线局局域域网网常常用用的的6种技技术术方方案案（1）WEP。即即有有线线等等价价协协议议（（WiredEquivalencyProtocol），，它它与与现现有有的的无无线线网网络络的的兼兼容容性性非非常常好好，，设设置置方方法法简简单单（2）IEEE802.1x。它它为为用用户户提提供供认认证证。。IEEE802.1x可用用于于有有线线或或无无线线环环境境，，并并包包含含每每次次WEP会话话（（session）的的密密钥钥。。IEEE802.1x的优优点点是是可可以以在在接接入入网网络络之之前前的的链链路路层层对对用用户户进进行行认认证证（3）IEEE802.11i技术术。。这这是是IEEE的无无线线网网络络安安全全标标准准。。（（4）网网站站认认证证技技术术。。它它易易于于安安装装和和使使用用。。不不过过也也容容易易被被窃窃取取和和破破解解（5）IPSec。它它是是一一种种安安全全性性最最高高的的模模式式，，其其结结构构与与互互联联网网的的远远程程接接入入一一样样。。然然而而，，该该技技术术需需要要安安装装客客户户端端软软件件，，因因而而不不利利于于该该技技术术的的应应用用和和升升级级（6）IPSecPassthrough。它它的的优优势势是是易易于于同同现现在在的的VPNs技术术整整合合WEP的运运作作方方式式WEP提供供一一种种为为无无线线局局域域网网数数据据流流加加密密的的安安全全方方法法，，是是一一种种对对称称加加密密方方法法目标标：：接接入入控控制制和和防防止止未未授授权权的的用用户户接接入入网网络络TKIPTKIP（TemporalKeyIntergrityProtocal）相对对WEP的静静态态密密码码安安全全性性更更好好用户户口口令令用用于于初初始始化化或或启启动动加加密密过过程程实际际密密钥钥在在加加密密过过程程中中不不断断循循环环变变换换，，每每个个数数据据包包使使用用新新密密钥钥同一一个个AP或LAN上的的用用户户被被相相互互隔隔离离无线线局局域域网网的的基基本本概概念念无线线局局域域网网的的技技术术标标准准无线线局局域域网网安安全全问问题题无线线局局域域网网的的安安全全策策略略WAPI标准第八章无无线局域域网安全全5WAPI概述无线LAN认证和保保密基础础设施（（WLANAuthenticationandPrivcyInfrastructure）我过2003年发布，，由ISO/IEC授权的IEEERegistrationAuthority审查获得得认可无无线Lan安全标准准WAPI基本术语语（1）接入点点（AccessPoint，AP）。（2）站点（（STAtion，STA）。（3）基本服服务组（（BasicServiceSet，BSS）。（4）系统和和端口——受控端口口与非受受控端口口（5）鉴别服服务单元元ASU（AuthenticationServiceUnit）。（6）公钥证证书。WAPI的工作原原理WAPI的工作原原理（1）认证激激活。（2）接入认认证请求求。（3）证书认认证请求求。（4）证书认认证响应应。（5）接入认认证响应应。WAPI评述中国无线线局域网网标准，，是在国国际上还还没有一一个有效效、统一一的安全全措施的的基础上上推出的的。因为为中国的的无线局局域网技技术正处处在发展展初期，，如果这这时能够够解决无无线局域域网的安安全问题题，就能能促进其其在中国国的长久久发展。。GB15629.11的制定，，正是顺顺应了这这个需要要。而其其中关于于无线局局域网安安全部分分的规定定，可以以解决现现有的无无线局域域网的安安全问题题，为无无线局域域网的发发展保驾驾护航。。和中国国的数字字家庭闪闪联标准准的推出出一样，，WAPI对于我国国标准化化工作的的推进具具有积极极的意义义。WAPI评述WAPI标准出出台后后，部部分芯芯片生生产厂厂商表表示理理解和和支持持，但但也有有一部部分厂厂商表表示反反对。。由于于WAPI标准对对Intel公司原原有的的迅驰驰移动动技术术中的的无线线网络络功能能不兼兼容，，所以以它反反对强强制实实行WAPI标准。。中国国宽带带无线线标准准组织织也表表示将将与厂厂商和和国际际组织织合作作，进进一步步完善善WAPI标准。。从兼兼容性性的角角度来来看，，WAPI目前的的应用用前景景还不不是很很乐观观。第六讲讲：无无线局局域网网安全全本地无无线连连接无线局局域网网WLAN802.11x系列标标准中国标标准WAPI9798-3/ISOSC27无线局局域网网技术术无线LAN和个人人通信信网（（PCN）代表了了1990年代通通信网网络技技术的的发展展方向向。相关技技术的的发展展天线设设计技技术的的发展展高性能能、高高集成成度的的CMOS和GaAs半导体体技术术的发发展，，MCM技术网络软软硬件件设计计技术术的进进展无线网网络拓拓扑结结构点对点点型，，HUB型，完完全分分布型型adhocnetworkInfrastructurenetwork几种无无线标标准的的比较较笔记本,移动电话,PDA,寻呼机和轿车台式/笔记本电脑，电话,modem,网关台式/笔记本电脑，PDA，网关终端类型30－400Kbps家庭办公室，私人住宅和庭院的网络办公区和校园局域网应用范围Bluetooth1,2,10Mbps11Mbps传输速度HomeRF802.11b蓝牙研究组，Ericsson，Motorola，NokiaApple,Compaq,Dell,HomeRF工作群,Intel,MotorolaCisco,Lucent,3Com,WECAConsortium,…支持公司窄带发射频谱跳频发射频谱直接顺次发射频谱传输协议30英尺150英尺50－300英尺覆盖范围点对点或每节点多种设备的接入接入方式多样化接入方式红外系系统射频系系统非专用用频段段，或或称为为工业业、科科研、、医学学（ISM）频段专用频频段：：（18.825～～18.875）GHz，（（19.165～19.215））GHz毫米波波段（（mmW）无线局局域网网的安安全标标准WEP(WiredEquivalentPrivacy)协议TKIP(TemporaryKeyIntegrityProtocol)802.1X协议Wi-Fi组织提提出的的WPA(Wi-FiProtectedAccess)标准802.11i标准(较新标标准)WAPI(中国标标准)Wi-Fi组织简简介WLAN的802.1x协议系系列标标准1997年年，IEEE802.11协议1999年年，IEEE802.11b协议2004年年，IEEE802.11i协议(DraftStandard)2007年，IEEE802.11i协议(Standard)……网络吞吞吐速速率,高速数字传传输和稳定定的连接372008-3-28标准最大数据传输速率工作频率公布时间802.112Mbps2.4GHz1997年802.11b11Mbps2.4GHz1999年802.11a54Mbps5GHz2001年802.11g54Mbps2.4GHz2002年HiperLAN254Mbps5GHz2003年802.11无线安全技技术演进802.11协议工作方式无线站无线接入点点(AP)物理层三个物理层层包括了两两个扩频技术规范和和一个红外外传播规范范传输速率是是1Mbps和2Mbps，，使用FHSS(frequencyhoppingspreadspectrum)或DSSS(directsequencespreadspectrum)技术联合结构、、蜂窝结构构和漫游MAC子层负责解解决客户端端工作站和和访问接入入点之间的的连接802.11的三种种基本安全全机制802.11标准规规定无线局局域网有三三种基本的的接入AP的安全措施施服务区别号号(SSID)MAC地址过滤等价有线协协议(WEP)40802.11的三种种基本安全全机制服务区别号号（SSID））无线Station必须出示正正确的SSID才能访问AP，SSID可以被看作作是一个简简单的口令令MAC地址过滤412008-3-28可以手工维维护一组允允许或拒绝绝访问的MAC地址列表，，用来进行行物理地址址过滤。物物理地址过过滤属于硬硬件认证，，不属于用用户认证。。在MAC地址列表中中手工增删删用户的MAC地址，只适适合小型网网络。802.11的三种种基本安全全机制有线等价协协议（WEP）802.11标准包含一一个WEP协议(WiredEquivalentPrivacyprotocol)，它的安全目目标是阻止窃听（（保护机密密性）阻止消息被被篡改（保保护完整性性）控制对WLAN的访问（访访问控制））实质上，WEP应提供与有有线网络等等同的安全全性。WEP是一个保护护链路层通通信安全的的协议，而而不提供端端到端的安安全解决方方案。在adhoc网络中不能能使用WEP，因为该种网网络没有AP。422008-3-28WEP协议的主要要内容在MobileStation与AccessPoint之间共享一一个密钥，，用来认证证。使用CRC-32（循环冗余校校验码）来来保护消息息完整性。。使用RC4流密码算法法对包载荷荷和CRC校验值进行行加解密。。接收者解密密数据，计计算包载荷荷的CRC校验值，若若正确则接接受，否则则丢弃该包包。432008-3-28MobileStationAccessPointWEP协议的认证证442008-3-28STAAPChallenge(Nonce)Response(NonceRC4encryptedundersharedkey)SharedsecretdistributedoutofbandDecryptednonceOK?WEP协议的完整整性校验PlaintextICV’IntegrityAlgorithmICV＝？AcceptPacketRejectPacketYesNoIntegrityCheckValue（ICV）WEP协议的加、、解密RC4是一种流密密码算法，，它可利用用一个密钥钥生成无限限长的伪随随机数序列列（称为密密钥流）。。加密时，，将密钥流流与明文相相异或，解解密方法与与加密相同同。Pseudo-randomnumbergeneratorEncryptionKeyKPlaintextdatabytepRandombyterCiphertextdatabytec=p

rDecryptionworksthesameway:p=c

r482008-3-28WEP协议的加密密||WEPPRNGIntegrityAlgorithm||IVCiphertext

IntegrityCheckValue（ICV）SeedSecretKeyPlaintextIV492008-3-28WEP协议的解密密IVCiphertextSecretKey||WEPPRNGPlaintextICV’502008-3-28WEP的帧格式在使用流密密码算法（（包括RC4）时，加密两两个消息时时使用同一一密钥流是是十分危险险的WEP中使用24bit长的IV来增加密钥钥的个数Key=base_key||IV不同的IV将产生不同同的密钥流流,IV放在每包的的开头，对对IV不进行加密密IVCRC-32…PayloadKeyIDbyteRC4encryptedWEP的密钥长度度WEP采用RC4算法加密数数据包，密密钥长度为为40bit或104bit。由于存在24bit长的IV，WLAN厂商通常对对外宣称密密钥长度为为64bit或128bit。512008-3-28522008-3-28WPA,WPA-PSK开放系统，，共享系统统流密码算法法RC4RC4wasdesignedbyRonRivestofRSASecurityin1987RC4wasinitiallyatradesecret,butinSeptember1994adescriptionofitwasanonymouslypostedtotheCypherpunksmailinglist.Itwassoonpostedonthesci.cryptnewsgroup,andfromtheretomanysitesontheInternet.Thecurrentstatusseemstobethat"unofficial"implementationsarelegal,butcannotusetheRC4name.RC4isoftenreferredtoas"ARCFOUR",toavoidpossibletrademarkproblems.Ithasbecomepartofsomecommonlyusedencryptionprotocolsandstandards,includingWEPandWPAforwirelesscardsandSSL.532008-3-28RC4:pseudo-randomgenerationalgorithm(PRGA)考虑所有的字字节（8bit数组）0,1,2,…,255S(需初始化):所有字节的置置换S[0],S[1],S[2],……,S[255]流密码算法：：明文、密钥钥按字节对应应数组XOR密钥流输出算算法i:=0j:=0whileGeneratingOutput:i:=(i+1)mod256j:=(j+S[i])mod256swap(S[i],S[j])outputS[(S[i]+S[j])mod256]RC4:key-schedulingalgorithm置换S通过密钥初始始化密钥长度（字字节数）l通常5～16（40–128bits）首先，设S为恒等置换S然后经过类似似PRGA的256次迭代生成，，即forifrom0to255S[i]:=ij:=0forifrom0to255j:=(j+S[i]+key[imodl])mod256swap(S[i],S[j])IV的碰撞问题不同的包使用用相同IV的现象称作IV的碰撞相同的IV意味着加密密密钥流是同一一个C1C2=P1P2如果C1、C2、、P1已知，则立即即可以推算出出P2。如果有三个或或三个以上的的包使用相同同的IV，则解密更加容容易。C1C3=P1P3C2C3=P2P3C1C2=P1P2WEP中的IV碰撞802.11没有规定如如何选择IV，甚至没有要求求对于不同的的包采用不同同的IV许多基于802.11的的产品将IV的初始化值设设为0，随后后IV递增实际上，IV的取值总共有有224种种可能，在几几个小时以后后就会出现IV碰撞的情况。。当一个密钥钥的生命期比比较长时，或或多个用户使使用同一个密密钥时，IV碰撞发生的几几率会急剧增增大。在IV发生碰撞时，，可根据C1C2=P1P2推测明文P1、P2的值。已知明文攻击击一旦我们得知知一个数据包包的明文内容容，只需将明明文与密文相相异或，我们们就可以推导导出加密该包包的密钥流。。RC4(k,IV)=PlaintextCipher用此密钥流可可以解密所有有具有相同IV值的其它被加加密数据包。。如果我们能够够收集224个不同IV开头的数据包包的明文内容容，就可以得得到加密224个包的密密钥流，用它它们组织成解解密字典，可可以实时地解解密任何一个个数据包。由于在一般的的情况下，IV是从0开始计计数的，所以以IV值较小的包会会经常出现，，这些数据包包将比IV值大的包更容容易遭到破解。对WEP中CRC校验的攻击CRC-32是考虑检验传传输错误，并并非保护数据据完整。基于线性纠错错编码：k位序列k+r位序列，r位冗余用于校校验nbit长的明文可以以表示成一个个n-1次多项式的形形式p=pn-1xn-1+pn–2xn–2++p0x0(eachpi=0or1)则明文与ICV可以被一起表表示为px32+ICV(p)=pn-1xn+31+pn–2xn＋30++p0x32+ICV(p)如果将（n+32）bit长的密钥流表表示成（n+31））次的多项式b，则密文可以表表示为px32+ICV(p)+bICV的运算是线性性的，即对于于任意两个多多项式p和q，有以下的等式式成立ICV(p+q)=ICV(p)+ICV(q)若q是一个任意的的n阶多项式，将将它与密文相相异或将得到到以下等式成成立：(p+q)x32+ICV(p+q)+b=px32+qx32+ICV(p)+ICV(q)+b=((px32+ICV(p))+b)+(qx32+ICV(q))按照该规则修修改密文将可可以不被CRC-32校验检测到！！对WEP中CRC校验的攻击原来的密文q及其CRC校验值WEP中的完整性很很弱WEP中的完整性校校验不能阻止止对包内容的的篡改可以利用这个个弱点来篡改包内容,绕过访问控制制例如：存在一一种攻击认证证的方法记录一个认证证的“Challenge－Response”全过程根据RC4(k,IV)=PlaintextCipher，使用截获的Challenge、Response包获取加密密密钥流在认证时使用用算出的加密密密钥流来加加密AP发来的Response612008-3-28Challenge(Nonce)Response(NonceRC4encryptedundersharedkey)DecryptednonceOK?从WEP设计的教训及及补救措施设计出的标准准草案应该面面向大众，在在接受学术界界的普遍分析析和检验以后后才能被确立立为标准。设计安全标准准应该有密码码学家的参与与。WEP的设计者缺乏乏密码学常识识，RC4本身是一个““安全”的加加密算法，但但是WEP的设计者没有有正确地使用用RC4算法。设计标准和协协议需要汲取取以前设计协协议的经验教教训，误用CRC的问题在以前前的协议中出出现过，但是是WEP的设计者并没没有注意到这这一点。补救措施对于密钥管理理做出了改进进，采用多个个密钥，在连连接时才决定定使用哪一个个密钥建议将WLAN视为不安全的的网络，避免免通过它来传传输敏感数据据将WLAN置于公司内部部网之外，两两者之间要使使用防火墙对于要求高安安全级别的应应用，使用VPN临时密钥完整整性协议TKIP针对WEP的不足，2002年10月提出新的安安全协议临时密钥完整整性协议TKIP(TemporaryKeyIntegrityProtocol)可以提供加密密和消息认证证功能使用带密钥的的消息完整性性保护算法Michael算法(MessageIntegrityCode,MIC)使用IV序列计数器，，其输出值参参与会话密钥钥的生成，可可以抗重放攻攻击使用密钥混合合函数，不会会产生WEP中的弱密钥；；使用密钥自动动更新机制，，减少IV碰撞现象发生生的机会TKIP加密642008-3-28KevinBenton,TheEvolutionof802.11WirelessSecurity,http:///pubs/benton_wireless.pdf,UNLVInformatics-Spring2010802.1X标准2001年6月，IEEE公布了802.1X标准，用于在在用户终端和和AP之间建立起经经过认证的安安全连接。比起802.11有比较大的改改变它的核心是可可扩展认证协协议EAP，实质是对通信信端口进行鉴鉴权。如果认证通过过，AP为Station打开逻辑通信信端口，否则则拒绝Station的接入请求。。802.1X标准三个重要部分分：Station，AccessPoint，，RADIUS802.1X标准要求无线线工作站Station安装802.1x客户端软件，，AP要内嵌802.1x认证代理，将将用户认证信信息转发给RADIUS（RemoteAuthenticationDial-inService，远程用户接入入认证服务））服务器，由RADIUS服务器来进行行认证。ExtensibleAuthenticationProtocol(EAP)EAP即PPP（Point-to-Point）扩展认证协议议,是一个用于PPP认证的通用协协议，可以支支持多种认证证方法。EAP并不在联接建建立阶段指定定认证方法，，而是把这个个过程推迟到到认证阶段。。这种机制还允允许PPP认证方简单地地把收到的认认证报文传递递给后方的认认证服务器，，由后方的认认证服务器来来真正实现各各种认证方法法。EAP是建立在询问问－响应模型型上的，共有有四种类型的的信息：EAP请求、EAP响应、EAP成功信息、EAP失败信息。EAP工作在网络层层上而不是工工作在数据链链路层上，可可以将信息路路由到中心服服务器上而不不是让每一个个端口AP进行认证，因因此由更大的的灵活性。802.1X标准的认证过过程AuthenticationtrafficNormalDataPortStatus:RADIUSAssociateEAPIdentityRequestEAP-SuccessAPEAPAuthResponseEAPAuthResponseEAPAuthRequestEAPAuthRequestEAPIdentityResponseEAPIdentityResponseEAP-SuccessSTA69WLAN中802.1X的认证过程51~~Userrequestsaccess;APpreventswirednetworkaccessEncryptedcredentialssenttoauthenticationserverAuthenticationservervalidatesuser,grantsaccessrightsAPPortenabledandDynamicWEPkeysareassignedtoclient(encrypted)WirelessclientcannowaccessgeneralnetworkservicessecurelyAccessPointOtherNetworkServersandServices24EncryptedLEAP3WirelessClientRadiusAuthenticationServerDynamicWEP802.1X标准的特点在802.1X标准中没有指指定采用哪种种认证协议，，EAP只是一种封装装协议，可以以选用不同的的认证协议，，如Kerberos、EAP-TLS等。802.1x是为了在Station和AP之间进行认证证和分发加密密密钥设计的的，可以动态态生成加密密密钥。802.1X除提供端口访访问控制能力力以外，还提提供基于用户户的认证系统统和计费功能能，特别适用用于公共场合合（如宾馆、、候机室）的的无线接入解解决方案。Wi-FiProtectedAccess(WPA)2003年提出，集合合了现有的802.1x认认证机制(EAP)、临时密钥完完整性协议(TKIP)和消息完整性性检查机制(MIC)，这些技术的的结合可以保保证数据包的的安全性。UsesTemporalKeyIntegrityProtocol(TKIP)fordataencryptionandconfidentialityStillusesRC4,128bitsforencryptionProvisionsforchangingbasekeysAvoidsweakkeysIncludesMichaelaMessageIntegrityCode(MIC)64bitsReplacestheCRCObservercannotcreatenewMICtomaskchangestodataIncreasesIVfrom24bitsto48MixestheIVandthebasekey2008-3-28WPA2UsesAES,specificallyCounter-Mode/CBC-MACProtocol(CCMP)ToocomputationallyintensiveinSWforwirelesshardwaredeployedatthetimeofWEPUses128bitkeyProvidesdataconfidentialitybyusingAESincountermodeProvidesmessageauthenticationusingCipherBlockChainingMessageAuthenticationCode(CBC-MAC)TheMACalsocoversthepacketsourceanddestination802.11i标准802.11i是专门为改善善WLAN安全而制定的的标准，2004年月获获得IEEE标准委员会通通过。该标准将使用用TKIP协议作为过渡渡的加密算法法，最终转向向使用AES加密算法。使用AES算法的何种工工作模式目前前尚未确定，，AES-OCB、AES-CCM是比较被看好好的候选方案案。该标准中的认认证方案将支支持WLAN用户户的的漫漫游游。。IEEE802.11工作作组组建建立立了了802.11i任务务小小组组，，为为802.11标标准准开开发发安安全全升升级级。。802.11i任务务小小组组正正在在围围绕绕基基于于802.1x端口口认认证证为为用用户户和和设设备备认认证证开开发发802.11i标准准。。完成成的的802.11i标准准包包括括两两项项主主要要发发展展：：Wi-Fi保护护接接入入(WPA)和强强健健的的安安全全网网络络(RSN)。。802.11i协议议增增强强无无线线安安全全有线线等等效效加加密密协协议议(WEP)由于于缺缺少少足足够够的的安安全全性性，，从从而而延延缓缓了了无无线线局局域域网网在在许许多多企企业业中中的的广广泛泛采采用用。。尽尽管管多多数数网网络络管管理理人人员员和和最最终终用用户户都都知知道道切切断断以以太太网网连连线线所所带带来来的的生生产产力力好好处处，，但但大大多多数数人人担担心心这这样样做做的的风风险险。。从安安全全角角度度看看，，人人们们应应该该像像接接入入网网络络而而非非核核心心企企业业网网络络那那样样对对待待无无线线局局域域网网。。当当企企业业用用户户通通过过局局域域网网交交换换机机或或集集线线器器连连接接到到网网络络时时，，人人们们假假定定他他们们已已经经是是可可信信赖赖的的用用户户。。因因此此，，用用户户可可以以使使用用也也可可以以不不使使用用像像802.1x或RADIUS这样样额额外外增增加加的的认认证证功功能能的的协协议议。。Wi-Fi保护护接接入入第一一个个任任务务是是堵堵住住遗遗留留设设备备中中的的安安全全漏漏洞洞，，一一般般是是通通过过固固件件或或驱驱动动器器升升级级。。Wi-Fi联盟盟已已经经采采纳纳了了802.11i草案案标标准准的的一一个个子子集集合合，，将将它它称称为为WPA，，并且且现现在在开开始始认认证证设设备备是是否否满满足足WPA要求。。WPA利用临临时密密钥完完整协协议(TKIP)作为改改进WEP所使用用密钥钥的安安全性性的协协议和和算法法。它它改变变了密密钥生生成方方式，，更频频繁地地变换换密钥钥来获获得安安全。。还增增加了了消息息完整整性检检查功功能来来防止止数据据包伪伪造。。虽然WPA对弥补补WEP的缺点点有很很大帮帮助，，但是是并不不是所所有的的用户户都能能够利利用它它。这这是由由于WPA可能不不能向向后兼兼容某某些遗遗留设设备和和操作作系统统。此外，，并不不是所所有的的用户户都可可以共共享同同样的的安全全基础础设施施，一一些用用户将将使用用PDA并缺少少PC的处理理资源源。此外，，除非非无线线局域域网系系统具具有运运行WPA和加快快该协协议处处理速速度的的硬件件，否否则TKIP/WPA将降低低网络络性能能。强健的的安全全网络络(RSN)RSN是接入入点与与移动动设备备之间间的动动态协协商认认证和和加密密算法法。802.11i草案标标准中中建议议的认认证方方案是是基于于802.1x和扩展展认证证协议议(EAP)的，加加密算算法为为高级级加密密标准准(AES)。。动态协协商认认证和和加密密算法法使RSN可以不不断演演进，，与最最新的的安全全水平平保持持同步步，添添加算算法应应付新新的威威胁，，并不不断提提供保保护无无线局局域网网传送送的信信息所所需要要的安安全性性。由于采采用动动态协协商、、802.1x、EAP和AES,RSN比WEP和WPA可靠得得多。。但是是，RSN不能很很好地地在遗遗留设设备上上运行行。只只有最最新的的设备备才拥拥有加加快算算法在在客户户机和和接入入点中中运行行速度度所需需的硬硬件，，提供供今天天的无无线局局域网网产品品所期期望的的性能能。WPA将把遗遗留设设备的的安全全性提提高到到最低低限度度的可可接受受水平平，而而RSN才是802.11无无线传传输安安全性性的未未来。。ArchitecturalComponentsKeyhierarchyPairwiseKeys,GroupKeysEAP/802.1X/RADIUSOperationalPhasesDiscovery,Authentication,KeyManagement,DatatransferPairwiseKeyHierarchyMasterKey(MK)PairwiseMasterKey(PMK)=TLS-PRF(MasterKey,“clientEAPencryption”|clientHello.random|serverHello.random)PairwiseTransientKey(PTK)=EAPoL-PRF(PMK,APNonce|STANonce|APMACAddr|STAMACAddr)KeyConfirmationKey(KCK)–PTKbits0–127KeyEncryptionKey(KEK)–PTKbits128–255TemporalKey–PTKbits256–n–canhaveciphersuitespecificstructurePairwiseKeysMasterKey––representspositiveaccessdecisionPairwiseMasterKey––representsauthorizationtoaccess802.11mediumPairwiseTransientKey––Collectionofoperationalkeys:KeyConfirmationKey(KCK)––usedtobindPTKtotheAP,STA;usedtoprovepossessionofthePMKKeyEncryptionKey(KEK)––usedtodistributeGroupTransientKey(GTK)TemporalKey(TK)––usedtosecuredatatrafficGroupKeysGroupTransientKey(GTK)––Anoperationalkeys:TemporalKey––usedto““secure””multicast/broadcastdatatraffic802.11ispecificationdefinesa““Groupkeyhierarchy””Entirelygratuitous:impossibletodistinguishGTKfromarandomlygeneratedkeyMoreTerminology802.1XorEAPoLEAPTLSEAP-TLSRADIUSAuthenticationandKeyManagementArchitecture(1)802.1X(EAPoL)AuthenticationServerAccessPoint802.11WirelessStationEAP-TLSEAPRADIUSUDP/IPOutofscopeof802.11istandardAuthenticationandKeyManagementArchitecture(2)EAPisend-to-endtransportforauthenticationbetweenSTA,AS802.1XistransportforEAPover802LANsAPproxiesEAPbetween802.1XandbackendprotocolbetweenAPandASBackendprotocoloutside802.11scopeButRADIUSisthedefactotransportforEAPoverIPnetworksConcreteEAPauthenticationmethodoutside802.11scopeButEAP-TLSisthedefactoauthenticationprotocol,becausetheothersdon’twork802.11OperationalPhasesCCMPdataprotection802.1Xauthentication802.1XkeymanagementRADIUS-basedkeydistributionSecuritycapabilitiesdiscoveryAuthenticationServerAccessPointStationPurposeofeachphase(1)DiscoveryDeterminepromisingpartieswithwhomtocommunicateAPadvertisesnetworksecuritycapabilitiestoSTAs802.1XauthenticationCentralizenetworkadmissionpolicydecisionsattheASSTAdetermineswhetheritdoesindeedwanttocommunicateMutuallyauthenticateSTAandASGenerateMasterKeyasasideeffectofauthenticationGeneratePMKasanaccessauthorizationtokenPurposeofeachphase(2)RADIUS-basedkeydistributionASmoves(notcopies)PMKtoSTA’’sAP802.1XkeymanagementBindPMKtoSTAandAPConfirmbothAPandSTApossessPMKGeneratefreshPTKProveeachpeerisliveSynchronizePTKuseDistributeGTKAuthenticationOverview802.1X/EAP-RequestIdentity802.1X/EAP-ResponseIdentity(EAPtypespecific)RADIUSAccessRequest/IdentityEAPtypespecificmutualauthenticationRADIUSAccept(withPMK)802.1X/EAP-SUCCESSDerivePairwiseMasterKey(PMK)DerivePairwiseMasterKey(PMK)ASAPSTA802.1XRADIUSAP802.1XblocksportfordatatrafficSTA802.1XblocksportfordatatrafficAuthenticationSummaryAttheendofauthenticationTheASandSTAhaveestablishedasessionifconcreteEAPmethoddoesTheASandSTApossessamutuallyauthenticatedMasterKeyifconcreteEAPmethoddoesMasterKeyrepresentsdecisiontograntaccessbasedonauthenticationSTAandAShavederivedPMKPMKisanauthorizationtokentoenforceaccesscontroldecisionAShasdistributedPMKtoanAP(hopefully,theSTA’sAP)上次到这里里DataTransferOverview802.11idefines3protocolstoprotectdatatransferCCMPWRAPTKIP––tocommunicatewithlegacygearonlyThreeprotocolsinsteadofoneduetopoliticsMoreonFilteringCCMPMandatorytoimplementBasedonAESinCCMmodeCCM=CounterModeEncryptionwithCBC-MACDataOriginAuthenticityAESoverheadrequiresnewAPhardwareAESoverheadmayrequirenewSTAhardwareforhand-helddevices,butnotmobilePCsAnallnewprotocolwithfewconcessionstoWEPProtectsMPDUs=fragmentsof802.2framesCCMBlockDiagramB0SmBrEE...B1BkHeaderMessageTagA1AmEEA0E...Notencrypted0padding0paddingBk+1......ESm...S1SmS0DCCCMModeDescription(1)Givenaninput(N,H,M),theCCMencryptionoperationproceedsasfollowsCBC-MACcomputation:FormaCBC-MACsequenceB=(B0,B1,...,Br)ofblocksfrom(N,H,M)inaprescribedmanner;weassumethatthenonceNisuniquelydeterminedbythefirstblockB0(N,H,M)®Bisprefix-free–twodifferentinputscannotresultintwosequencesBandB’withBaprefixofB’Example:B0=flags||N|||M|(|M|=lengthofM)B=B0|||H|||H||[padding]||M||[padding]Computethekt-bitCBC-MACtagTofBwithIV0:Y0=EK(B0);Yi=EK(Yi–1ÅBi);T=firstktbitsinYrCCMDescription(2)CTRencryptionFormCTRblocksAiincludingAandi;i³0EncryptTwith(thefirstktbitsof)S0=EK(A0):D=TÅS0EncryptMinCTRmodewith(thefirst|M|bitsof)S1=EK(A1),S2=EK(A2),...:C=MÅ[S1||S2||S3||...]Outputtheresultingciphertext(C,D)CCMPropertiesCTR+CBC-MAC(CCM)isbasedonablockciphersuchastheAESCCMprovidesauthenticityandprivacyACBC-MACoftheplaintextisappendedtotheplaintexttoformanencodedplaintextTheencodedplaintextisencryptedinCTRmodeIfdesired,CCMcanleaveanynumberofinitialblocksoftheplaintextunencryptedCCMhasasecuritylevelasgoodasanyoftheNISTproposals,includingOCBInparticular,CCMisprovablysecureNIST美国国国家标标准与与技术术研究究院（（NationalInstituteofStandardsandTechnology，NIST）直属美美国商商务部部，从从事物物理、、生物物和工工程方方面的的基础础和应应用研研究，，以及及测量量技术术和测测试方方法方方面的的研究究，提提供标标准、、标准准参考考数据据及及有关关服务务，在在国际际上享享有很很高的的声誉誉。NIST有四位位研究究者因因其物物理学学上的的成就就获得得了诺诺贝尔尔奖：：威廉廉·丹尼尔尔·菲利普普斯（（1997年），，埃里里克·康奈尔尔（2001年），，约翰翰·霍尔（（2005年）和和大卫卫·维因兰兰德(2012年)，是美美国政政府实实验室室里获获奖者者最多多的。。CCMP加密/解密Other802.11iFeaturesPre-authenticationandroamingPEAPandlegacyauthenticationsupportPre-sharedkeywithoutauthenticationAdhocnetworksPassword-to-KeymappingRandomnumbergenerationAdhocnetwork临时网网络是一个个没有有有线线基础础设施施或中中央控控制器器支持持的移移动网网络。。在临临时网网络中中，所所有的的节点点都是是由移移动主主机构构成的的。该该类型型的网网络最最初是是应用用于军军事领领域，，为了了在战战场环环境下下分组组无线线网络络数据据的通通信。。网络拓拓扑结结构的的动态态性是是临时时网络络的重重要特特点。。临时时网络络通信信的核核心问问题在在网络络通信信效率率和节节点能能量消消耗之之间的的合理理平衡衡。由于于网网络络中中的的节节点点没没有有当当前前网网络络拓拓扑扑结结构构的的先先验验知知识识，，通通常常在在需需要要通通信信时时才才开开始始发发现现路路由由。。常常见见的的临临时时网网络络的的路路由由方方式式有有主主动动构构建建路路由由表表、、按按需需构构建建路路由由，，面面向向流流的的路路由由和和适适应应性性路路由由等等。。典典型型的的按按需需构构建建路路由由协协议议有有无无线线自自组组网网按按需需平平面面距距离离矢矢量量路路由由协协议议。。临时时网网络络的的英英文文叫叫做做adhocnetwork。AdHoc是一一个个拉拉丁丁词词汇汇，，在在拉拉丁丁语语中中的的意意思思是是““即即兴兴，，临临时时””。。802.11i是否否安安全全？？IEEE802.11i作为为安安全全接接入入标标准准，，包包含含三三种种安安全全机机制制WEP、WPA和WPA2，其其中中，，早早期期是是使使用用WEP/WPA作为为安安全全机机制制，，但但已已被被证证明明存存在在严严重重安安全全漏漏洞洞，，目目前前网网上上到到处处流流传传着着破破解解上上述述Wi-Fi安全全机机制制的的方方法法。。WPA2是WPA的升升级级版版本本，，Wi-Fi联盟盟宣宣布布：：将将全全面面摒摒弃弃WEP/WPA，推推进进WPA2这一一新新的的安安全全机机制制WPA2本身身有有两两种种版版本本，，个个人人版版和和企企业业版版。。个个人人版版整整个个网网络络的的所