网络与内容安全-008无线局域网安全-新

信通院模式识别实验室无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全无线局域网络组成网络组成通信设备用户终端网络支持单元（软件）无线局域网络组成通信设备（功能划分）WLAN固定小区WLAN移动小区——无中断连接、越区切换

WLAN桥路器——为分散小区提供中远距离点对点连接

通信保密装置——用于链路数据保密，如Radius（Remoteauthenticationdialinuserservice远程认证拨号用户服务）服务器等。无线局域网络组成

用户终端

提供包括电子邮件、数据传输、语音和图像信息

不同层次的纠错传输

网络支持单元

本地网络管理

外部接口设备无线局域网络拓扑结构

三种主要形式

点对点型Hub型

完全分布型点对点型拓扑结构

网络互连

无线链路与有线局域网的连接：桥路器或中继器Hub型拓扑结构

集中控制式

完全分布型拓扑结构

主要用于军事和无线传感器网络

局部拓扑知识的分享，完成分布路由算法网络协议评价：数据纠错、传输速率、吞吐率、时延特性IEEE802系列标准载波侦听多路访问/冲突避免（CSMA/CA）协议时分双工（TDD）复用技术网关方式网络设计问题

吞吐量无线传输与有线传输的有效匹配保密性提高安全性的同时，不产生太多的附加延迟或开销“动中通”OTMOn-The-Move蜂窝或微蜂窝

无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全3个标准的比较

IEEE802.11协议

IEEE802工作组建立的标准802.11a802.11b与物理层有关802.11g802.11i——影响MAC层家庭射频技术

家庭射频（HomeRF）技术是数字式增强型无绳电话DECT（DigitalEnhancedCordlessTelephone）技术和WLAN技术相互融合的产物无线局域网标准IEEE802.11采用CSMA/CA（载波监听多点接入/冲突避免）方式，特别适合于数据业务DECT使用TDMA（时分多路复用）方式，特别适合于话音通信将两者融合便构成了家庭射频使用的共享无线应用协议SWAP（SharedWirelessAccessProtocol）SWAP使用TDMA+CSMA/CA方式，适合话音和数据业务，并且针对家庭小型网络进行了优化。家庭射频系统设计的目的就是为了在家用电器设备之间传送话音和数据，并且能够与公众交换电话网（PSTN）和互联网进行交互式操作

蓝牙技术

蓝牙（Bluetooth）技术是实现语音和数据无线传输的开放性规范,是一种低成本、短距离的无线连接技术无线收发器是一块很小的芯片，大约只有9mm×9mm，可方便地嵌入到便携式设备中，从而增加设备的通信选择性蓝牙技术实现了设备的无连接工作（无线链路替代电缆连接），提供了接入数据网功能，并且具有外围设备接口，可以组成一个特定的小网无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全WLAN的安全

应用角度看，移动用户或无线上网用户，通过无线设备的网卡发信息给AP，信息在传输时可能遭受3种攻击①信息泄露。最典型的情形是信息在空中传输时被监听②信息被篡改。数据在传输过程中，内容被篡改③信息阻断。例如，用户发送信息给AP，虽然用户确认信息已经发送出去，但是由于黑客可以在AP端“做手脚”，所以信息有可能传输到AP就被非法中断了技术角度看，无线IP包中参数被篡改或侦测，可能产生以上攻击WLAN的安全

一般地，WLAN的安全性有下面4级定义①扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据②设置严密的用户口令及认证措施，防止非法用户入侵③设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容④采取网络隔离及网络认证措施IEEE802.11b的安全

两种认证服务开放系统认证（Open

SystemAuthentication）共享密钥认证（SharedKeyAuthentication）无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全强化无线局域网常用的6种技术方案

（1）WEP。即有线等价协议（WiredEquivalencyProtocol），它与现有的无线网络的兼容性非常好，设置方法简单（2）IEEE802.1x。它为用户提供认证。IEEE802.1x可用于有线或无线环境，并包含每次WEP会话（session）的密钥。IEEE802.1x的优点是可以在接入网络之前的链路层对用户进行认证（3）IEEE802.11i技术。这是IEEE的无线网络安全标准。（4）网站认证技术。它易于安装和使用。不过也容易被窃取和破解（5）IPSec。它是一种安全性最高的模式，其结构与互联网的远程接入一样。然而，该技术需要安装客户端软件，因而不利于该技术的应用和升级（6）IPSecPassthrough。它的优势是易于同现在的VPNs技术整合WEP的运作方式

WEP提供一种为无线局域网数据流加密的安全方法，是一种对称加密方法

目标：接入控制和防止未授权的用户接入网络TKIPTKIP（TemporalKeyIntergrityProtocal）相对WEP的静态密码安全性更好用户口令用于初始化或启动加密过程实际密钥在加密过程中不断循环变换，每个数据包使用新密钥同一个AP或LAN上的用户被相互隔离无线局域网的基本概念无线局域网的技术标准无线局域网安全问题无线局域网的安全策略WAPI标准第八章无线局域网安全5WAPI概述无线LAN认证和保密基础设施（WLANAuthenticationandPrivcyInfrastructure）我过2003年发布，由ISO/IEC授权的IEEERegistrationAuthority审查获得认可无线Lan安全标准WAPI基本术语

（1）接入点（AccessPoint，AP）。（2）站点（STAtion，STA）。（3）基本服务组（BasicServiceSet，BSS）。（4）系统和端口——受控端口与非受控端口（5）鉴别服务单元ASU（AuthenticationServiceUnit）。（6）公钥证书。WAPI的工作原理

WAPI的工作原理（1）认证激活。（2）接入认证请求。（3）证书认证请求。（4）证书认证响应。（5）接入认证响应。WAPI评述中国无线局域网标准，是在国际上还没有一个有效、统一的安全措施的基础上推出的。因为中国的无线局域网技术正处在发展初期，如果这时能够解决无线局域网的安全问题，就能促进其在中国的长久发展。GB15629.11的制定，正是顺应了这个需要。而其中关于无线局域网安全部分的规定，可以解决现有的无线局域网的安全问题，为无线局域网的发展保驾护航。和中国的数字家庭闪联标准的推出一样，WAPI对于我国标准化工作的推进具有积极的意义。WAPI评述WAPI标准出台后，部分芯片生产厂商表示理解和支持，但也有一部分厂商表示反对。由于WAPI标准对Intel公司原有的迅驰移动技术中的无线网络功能不兼容，所以它反对强制实行WAPI标准。中国宽带无线标准组织也表示将与厂商和国际组织合作，进一步完善WAPI标准。从兼容性的角度来看，WAPI目前的应用前景还不是很乐观。第六讲：无线局域网安全本地无线连接无线局域网WLAN802.11x系列标准中国标准WAPI9798-3/ISOSC27无线局域网技术无线LAN和个人通信网（PCN）代表了1990年代通信网络技术的发展方向。相关技术的发展天线设计技术的发展高性能、高集成度的CMOS和GaAs半导体技术的发展，MCM技术网络软硬件设计技术的进展无线网络拓扑结构点对点型，HUB型，完全分布型adhocnetworkInfrastructurenetwork几种无线标准的比较笔记本,移动电话,PDA,寻呼机和轿车台式/笔记本电脑，电话,modem,网关台式/笔记本电脑，PDA，网关终端类型30－400Kbps家庭办公室，私人住宅和庭院的网络办公区和校园局域网应用范围Bluetooth1,2,10Mbps11Mbps传输速度HomeRF802.11b蓝牙研究组，Ericsson，Motorola，NokiaApple,Compaq,Dell,HomeRF工作群,Intel,MotorolaCisco,Lucent,3Com,WECAConsortium,…支持公司窄带发射频谱跳频发射频谱直接顺次发射频谱传输协议30英尺150英尺50－300英尺覆盖范围点对点或每节点多种设备的接入接入方式多样化接入方式红外系统射频系统非专用频段，或称为工业、科研、医学（ISM）频段专用频段：（18.825～18.875）GHz，（19.165～19.215）GHz毫米波段（mmW）无线局域网的安全标准WEP(WiredEquivalentPrivacy)协议TKIP(TemporaryKeyIntegrityProtocol)802.1X协议Wi-Fi组织提出的WPA(Wi-FiProtectedAccess)标准802.11i标准(较新标准)WAPI(中国标准)Wi-Fi组织简介WLAN的802.1x协议系列标准1997年，IEEE802.11协议1999年，IEEE802.11b协议2004年，IEEE802.11i协议(DraftStandard)2007年，IEEE802.11i协议(Standard)

……网络吞吐速率,高速数字传输和稳定的连接CIS/SJTU372008-3-28标准最大数据传输速率工作频率公布时间802.112Mbps2.4GHz1997年802.11b11Mbps2.4GHz1999年802.11a54Mbps5GHz2001年802.11g54Mbps2.4GHz2002年HiperLAN254Mbps5GHz2003年802.11无线安全技术演进802.11协议工作方式无线站无线接入点(AP)物理层三个物理层包括了两个扩频技术规范和一个红外传播规范传输速率是1Mbps和2Mbps，使用FHSS(frequencyhoppingspreadspectrum)或DSSS(directsequencespreadspectrum)技术联合结构、蜂窝结构和漫游MAC子层负责解决客户端工作站和访问接入点之间的连接802.11的三种基本安全机制802.11标准规定无线局域网有三种基本的接入AP的安全措施服务区别号(SSID)MAC地址过滤等价有线协议(WEP)40802.11的三种基本安全机制服务区别号（SSID）无线Station必须出示正确的SSID才能访问AP，SSID可以被看作是一个简单的口令MAC地址过滤CIS/SJTU412008-3-28可以手工维护一组允许或拒绝访问的MAC地址列表，用来进行物理地址过滤。物理地址过滤属于硬件认证，不属于用户认证。在MAC地址列表中手工增删用户的MAC地址，只适合小型网络。802.11的三种基本安全机制有线等价协议（WEP）802.11标准包含一个WEP协议(WiredEquivalentPrivacyprotocol)，它的安全目标是阻止窃听（保护机密性）阻止消息被篡改（保护完整性）控制对WLAN的访问（访问控制）实质上，WEP应提供与有线网络等同的安全性。WEP是一个保护链路层通信安全的协议，而不提供端到端的安全解决方案。在adhoc网络中不能使用WEP，因为该种网络没有AP。CIS/SJTU422008-3-28WEP协议的主要内容在MobileStation与AccessPoint之间共享一个密钥，用来认证。使用CRC-32（循环冗余校验码）来保护消息完整性。使用RC4流密码算法对包载荷和CRC校验值进行加解密。接收者解密数据，计算包载荷的CRC校验值，若正确则接受，否则丢弃该包。CIS/SJTU432008-3-28MobileStationAccessPointWEP协议的认证CIS/SJTU442008-3-28STAAPChallenge(Nonce)Response(NonceRC4encryptedundersharedkey)SharedsecretdistributedoutofbandDecryptednonceOK?WEP协议的完整性校验PlaintextICV’IntegrityAlgorithmICV＝？AcceptPacketRejectPacketYesNo

IntegrityCheckValue（ICV）WEP协议的加、解密RC4是一种流密码算法，它可利用一个密钥生成无限长的伪随机数序列（称为密钥流）。加密时，将密钥流与明文相异或，解密方法与加密相同。Pseudo-randomnumbergeneratorEncryptionKeyKPlaintextdatabytepRandombyterCiphertextdatabytec=p

rDecryptionworksthesameway:p=c

rCIS/SJTU482008-3-28WEP协议的加密||WEPPRNGIntegrityAlgorithm||IVCiphertext

IntegrityCheckValue（ICV）SeedSecretKeyPlaintextIVCIS/SJTU492008-3-28WEP协议的解密IVCiphertextSecretKey||WEPPRNGPlaintextICV’CIS/SJTU502008-3-28WEP的帧格式在使用流密码算法（包括RC4）时，加密两个消息时使用同一密钥流是十分危险的WEP中使用24bit长的IV来增加密钥的个数Key=base_key||IV不同的IV将产生不同的密钥流,IV放在每包的开头，对IV不进行加密IVCRC-32…PayloadKeyIDbyteRC4encryptedWEP的密钥长度WEP采用RC4算法加密数据包，密钥长度为40bit或104bit。由于存在24bit长的IV，WLAN厂商通常对外宣称密钥长度为64bit或128bit。CIS/SJTU512008-3-28LabforCryptographyandInformationSecurity,SJTU522008-3-28WPA,WPA-PSK开放系统，共享系统流密码算法RC4RC4wasdesignedbyRonRivestofRSASecurityin1987RC4wasinitiallyatradesecret,butinSeptember1994adescriptionofitwasanonymouslypostedtotheCypherpunksmailinglist.Itwassoonpostedonthesci.cryptnewsgroup,andfromtheretomanysitesontheInternet.Thecurrentstatusseemstobethat"unofficial"implementationsarelegal,butcannotusetheRC4name.RC4isoftenreferredtoas"ARCFOUR",toavoidpossibletrademarkproblems.Ithasbecomepartofsomecommonlyusedencryptionprotocolsandstandards,includingWEPandWPAforwirelesscardsandSSL.CIS/SJTU532008-3-28RC4:pseudo-randomgenerationalgorithm(PRGA)考虑所有的字节（8bit数组）0,1,2,…,255S(需初始化):所有字节的置换S[0],S[1],S[2],…,S[255]流密码算法：明文、密钥按字节对应数组XOR密钥流输出算法i:=0j:=0whileGeneratingOutput:i:=(i+1)mod256j:=(j+S[i])mod256swap(S[i],S[j])outputS[(S[i]+S[j])mod256]RC4:key-schedulingalgorithm置换S通过密钥初始化密钥长度（字节数）l通常5～16（40–128bits）首先，设S为恒等置换

S然后经过类似PRGA的256次迭代生成，即

forifrom0to255S[i]:=ij:=0forifrom0to255j:=(j+S[i]+key[imodl])mod256swap(S[i],S[j])IV的碰撞问题不同的包使用相同IV的现象称作IV的碰撞相同的IV意味着加密密钥流是同一个

C1C2=P1P2如果C1、C2、P1已知，则立即可以推算出P2。如果有三个或三个以上的包使用相同的IV，则解密更加容易。

C1C3=P1P3

C2C3=P2P3

C1C2=P1P2WEP中的IV碰撞802.11没有规定如何选择IV，甚至没有要求对于不同的包采用不同的IV许多基于802.11的产品将IV的初始化值设为0，随后IV递增实际上，IV的取值总共有224种可能，在几个小时以后就会出现IV碰撞的情况。当一个密钥的生命期比较长时，或多个用户使用同一个密钥时，IV碰撞发生的几率会急剧增大。在IV发生碰撞时，可根据C1C2=P1P2推测明文P1、P2的值。已知明文攻击一旦我们得知一个数据包的明文内容，只需将明文与密文相异或，我们就可以推导出加密该包的密钥流。RC4(k,IV)=PlaintextCipher用此密钥流可以解密所有具有相同IV值的其它被加密数据包。如果我们能够收集224个不同IV开头的数据包的明文内容，就可以得到加密224个包的密钥流，用它们组织成解密字典，可以实时地解密任何一个数据包。由于在一般的情况下，IV是从0开始计数的，所以IV值较小的包会经常出现，这些数据包将比IV值大的包更容易遭到破解。对WEP中CRC校验的攻击CRC-32是考虑检验传输错误，并非保护数据完整。基于线性纠错编码：k位序列k+r位序列，r位冗余用于校验nbit长的明文可以表示成一个n-1

次多项式的形式

p=pn-1xn-1+pn–2xn–2++p0x0 (eachpi=0or1)

则明文与ICV可以被一起表示为

px32+ICV(p)=pn-1xn+31+pn–2xn＋30++p0x32+ICV(p)如果将（n+32）bit长的密钥流表示成（n+31）次的多项式b，则密文可以表示为

px32+ICV(p)+bICV的运算是线性的，即对于任意两个多项式p

和q

，有以下的等式成立ICV(p+q)=ICV(p)+ICV(q)若q

是一个任意的n

阶多项式，将它与密文相异或将得到以下等式成立：(p+q)x32+ICV(p+q)+b

=px32+qx32+ICV(p)+ICV(q)+b=((px32+ICV(p))+b)+(qx32+ICV(q))按照该规则修改密文将可以不被CRC-32校验检测到！对WEP中CRC校验的攻击原来的密文q及其CRC校验值WEP中的完整性很弱WEP中的完整性校验不能阻止对包内容的篡改可以利用这个弱点来篡改包内容,绕过访问控制例如：存在一种攻击认证的方法记录一个认证的“Challenge－Response”全过程根据RC4(k,IV)=PlaintextCipher，使用截获的Challenge、Response包获取加密密钥流在认证时使用算出的加密密钥流来加密AP发来的ResponseCIS/SJTU612008-3-28Challenge(Nonce)Response(NonceRC4encryptedundersharedkey)DecryptednonceOK?从WEP设计的教训及补救措施设计出的标准草案应该面向大众，在接受学术界的普遍分析和检验以后才能被确立为标准。设计安全标准应该有密码学家的参与。WEP的设计者缺乏密码学常识，RC4本身是一个“安全”的加密算法，但是WEP的设计者没有正确地使用RC4算法。设计标准和协议需要汲取以前设计协议的经验教训，误用CRC的问题在以前的协议中出现过，但是WEP的设计者并没有注意到这一点。补救措施对于密钥管理做出了改进，采用多个密钥，在连接时才决定使用哪一个密钥建议将WLAN视为不安全的网络，避免通过它来传输敏感数据将WLAN置于公司内部网之外，两者之间要使用防火墙对于要求高安全级别的应用，使用VPN临时密钥完整性协议TKIP针对WEP的不足，2002年10月提出新的安全协议临时密钥完整性协议TKIP(TemporaryKeyIntegrityProtocol)可以提供加密和消息认证功能使用带密钥的消息完整性保护算法Michael算法(MessageIntegrityCode,MIC)使用IV序列计数器，其输出值参与会话密钥的生成，可以抗重放攻击使用密钥混合函数，不会产生WEP中的弱密钥；使用密钥自动更新机制，减少IV碰撞现象发生的机会TKIP加密642008-3-28KevinBenton,TheEvolutionof802.11WirelessSecurity,http:///pubs/benton_wireless.pdf,UNLVInformatics-Spring2010802.1X标准2001年6月，IEEE公布了802.1X标准，用于在用户终端和AP之间建立起经过认证的安全连接。比起802.11有比较大的改变它的核心是可扩展认证协议EAP，实质是对通信端口进行鉴权。如果认证通过，AP为Station打开逻辑通信端口，否则拒绝Station的接入请求。802.1X标准三个重要部分：Station，AccessPoint，RADIUS802.1X标准要求无线工作站Station安装802.1x客户端软件，AP要内嵌802.1x认证代理，将用户认证信息转发给RADIUS（RemoteAuthenticationDial-inService，远程用户接入认证服务）服务器，由RADIUS服务器来进行认证。ExtensibleAuthenticationProtocol(EAP)EAP即PPP（Point-to-Point）扩展认证协议,是一个用于PPP认证的通用协议，可以支持多种认证方法。EAP并不在联接建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这种机制还允许PPP认证方简单地把收到的认证报文传递给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。EAP是建立在询问－响应模型上的，共有四种类型的信息：EAP请求、EAP响应、EAP成功信息、EAP失败信息。EAP工作在网络层上而不是工作在数据链路层上，可以将信息路由到中心服务器上而不是让每一个端口AP进行认证，因此由更大的灵活性。802.1X标准的认证过程AuthenticationtrafficNormalDataPortStatus:RADIUSAssociateEAPIdentityRequestEAP-SuccessAPEAPAuthResponseEAPAuthResponseEAPAuthRequestEAPAuthRequestEAPIdentityResponseEAPIdentityResponseEAP-SuccessSTA69WLAN中802.1X的认证过程51~~Userrequestsaccess;APpreventswirednetworkaccessEncryptedcredentialssenttoauthenticationserverAuthenticationservervalidatesuser,grantsaccessrightsAPPortenabledandDynamicWEPkeysareassignedtoclient(encrypted)WirelessclientcannowaccessgeneralnetworkservicessecurelyAccessPointOtherNetworkServersandServices24EncryptedLEAP3WirelessClientRadiusAuthenticationServerDynamicWEP802.1X标准的特点在802.1X标准中没有指定采用哪种认证协议，EAP只是一种封装协议，可以选用不同的认证协议，如Kerberos、EAP-TLS等。802.1x是为了在Station和AP之间进行认证和分发加密密钥设计的，可以动态生成加密密钥。802.1X除提供端口访问控制能力以外，还提供基于用户的认证系统和计费功能，特别适用于公共场合（如宾馆、候机室）的无线接入解决方案。Wi-FiProtectedAccess(WPA)2003年提出，集合了现有的802.1x认证机制(EAP)、临时密钥完整性协议(TKIP)和消息完整性检查机制(MIC)，这些技术的结合可以保证数据包的安全性。UsesTemporalKeyIntegrityProtocol(TKIP)fordataencryptionandconfidentialityStillusesRC4,128bitsforencryptionProvisionsforchangingbasekeysAvoidsweakkeysIncludesMichaelaMessageIntegrityCode(MIC)64bitsReplacestheCRCObservercannotcreatenewMICtomaskchangestodataIncreasesIVfrom24bitsto48MixestheIVandthebasekey2008-3-28WPA2UsesAES,specificallyCounter-Mode/CBC-MACProtocol(CCMP)ToocomputationallyintensiveinSWforwirelesshardwaredeployedatthetimeofWEPUses128bitkeyProvidesdataconfidentialitybyusingAESincountermodeProvidesmessageauthenticationusingCipherBlockChainingMessageAuthenticationCode(CBC-MAC)TheMACalsocoversthepacketsourceanddestination802.11i标准802.11i是专门为改善WLAN安全而制定的标准，2004年月获得IEEE标准委员会通过。该标准将使用TKIP协议作为过渡的加密算法，最终转向使用AES加密算法。使用AES算法的何种工作模式目前尚未确定，AES-OCB、AES-CCM是比较被看好的候选方案。该标准中的认证方案将支持WLAN用户的漫游。IEEE802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。完成的802.11i标准包括两项主要发展：Wi-Fi保护接入(WPA)和强健的安全网络(RSN)。802.11i协议增强无线安全有线等效加密协议(WEP)由于缺少足够的安全性，从而延缓了无线局域网在许多企业中的广泛采用。尽管多数网络管理人员和最终用户都知道切断以太网连线所带来的生产力好处，但大多数人担心这样做的风险。从安全角度看，人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时，人们假定他们已经是可信赖的用户。因此，用户可以使用也可以不使用像802.1x或RADIUS这样额外增加的认证功能的协议。Wi-Fi保护接入第一个任务是堵住遗留设备中的安全漏洞，一般是通过固件或驱动器升级。Wi-Fi联盟已经采纳了802.11i草案标准的一个子集合，将它称为WPA，并且现在开始认证设备是否满足WPA要求。WPA利用临时密钥完整协议(TKIP)作为改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。还增加了消息完整性检查功能来防止数据包伪造。虽然WPA对弥补WEP的缺点有很大帮助，但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备和操作系统。此外，并不是所有的用户都可以共享同样的安全基础设施，一些用户将使用PDA并缺少PC的处理资源。此外，除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件，否则TKIP/WPA将降低网络性能。强健的安全网络(RSN)RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(EAP)的，加密算法为高级加密标准(AES)。动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。由于采用动态协商、802.1x、EAP和AES,RSN比WEP和WPA可靠得多。但是，RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件，提供今天的无线局域网产品所期望的性能。WPA将把遗留设备的安全性提高到最低限度的可接受水平，而RSN才是802.11无线传输安全性的未来。ArchitecturalComponentsKeyhierarchyPairwiseKeys,GroupKeysEAP/802.1X/RADIUSOperationalPhasesDiscovery,Authentication,KeyManagement,DatatransferPairwiseKeyHierarchyMasterKey(MK)PairwiseMasterKey(PMK)=TLS-PRF(MasterKey,“clientEAPencryption”|clientHello.random|serverHello.random)PairwiseTransientKey(PTK)=EAPoL-PRF(PMK,APNonce|STANonce|APMACAddr|STAMACAddr)KeyConfirmationKey(KCK)–PTKbits0–127KeyEncryptionKey(KEK)–PTKbits128–255TemporalKey–PTKbits256–n–canhaveciphersuitespecificstructurePairwiseKeysMasterKey–representspositiveaccessdecisionPairwiseMasterKey–representsauthorizationtoaccess802.11mediumPairwiseTransientKey–Collectionofoperationalkeys:KeyConfirmationKey(KCK)–usedtobindPTKtotheAP,STA;usedtoprovepossessionofthePMKKeyEncryptionKey(KEK)–usedtodistributeGroupTransientKey(GTK)TemporalKey(TK)–usedtosecuredatatrafficGroupKeysGroupTransientKey(GTK)–Anoperationalkeys:TemporalKey–usedto“secure”multicast/broadcastdatatraffic802.11ispecificationdefinesa“Groupkeyhierarchy”Entirelygratuitous:impossibletodistinguishGTKfromarandomlygeneratedkeyMoreTerminology802.1XorEAPoLEAPTLSEAP-TLSRADIUSAuthenticationandKeyManagementArchitecture(1)802.1X(EAPoL)AuthenticationServerAccessPoint802.11WirelessStationEAP-TLSEAPRADIUSUDP/IPOutofscopeof802.11istandardAuthenticationandKeyManagementArchitecture(2)EAPisend-to-endtransportforauthenticationbetweenSTA,AS802.1XistransportforEAPover802LANsAPproxiesEAPbetween802.1XandbackendprotocolbetweenAPandASBackendprotocoloutside802.11scopeButRADIUSisthedefactotransportforEAPoverIPnetworksConcreteEAPauthenticationmethodoutside802.11scopeButEAP-TLSisthedefactoauthenticationprotocol,becausetheothersdon’twork802.11OperationalPhasesCCMPdataprotection802.1Xauthentication802.1XkeymanagementRADIUS-basedkeydistributionSecuritycapabilitiesdiscoveryAuthenticationServerAccessPointStationPurposeofeachphase(1)DiscoveryDeterminepromisingpartieswithwhomtocommunicateAPadvertisesnetworksecuritycapabilitiestoSTAs802.1XauthenticationCentralizenetworkadmissionpolicydecisionsattheASSTAdetermineswhetheritdoesindeedwanttocommunicateMutuallyauthenticateSTAandASGenerateMasterKeyasasideeffectofauthenticationGeneratePMKasanaccessauthorizationtokenPurposeofeachphase(2)RADIUS-basedkeydistributionASmoves(notcopies)PMKtoSTA’sAP802.1XkeymanagementBindPMKtoSTAandAPConfirmbothAPandSTApossessPMKGeneratefreshPTKProveeachpeerisliveSynchronizePTKuseDistributeGTKAuthenticationOverview802.1X/EAP-RequestIdentity802.1X/EAP-ResponseIdentity(EAPtypespecific)RADIUSAccessRequest/IdentityEAPtypespecificmutualauthenticationRADIUSAccept(withPMK)802.1X/EAP-SUCCESSDerivePairwiseMasterKey(PMK)DerivePairwiseMasterKey(PMK)ASAPSTA802.1XRADIUSAP802.1XblocksportfordatatrafficSTA802.1XblocksportfordatatrafficAuthenticationSummaryAttheendofauthenticationTheASandSTAhaveestablishedasessionifconcreteEAPmethoddoesTheASandSTApossessamutuallyauthenticatedMasterKeyifconcreteEAPmethoddoesMasterKeyrepresentsdecisiontograntaccessbasedonauthenticationSTAandAShavederivedPMKPMKisanauthorizationtokentoenforceaccesscontroldecisionAShasdistributedPMKtoanAP(hopefully,theSTA’sAP)上次到这里DataTransferOverview802.11idefines3protocolstoprotectdatatransferCCMPWRAPTKIP–tocommunicatewithlegacygearonlyThreeprotocolsinsteadofoneduetopoliticsMoreonFilteringCCMPMandatorytoimplementBasedonAESinCCMmodeCCM=CounterModeEncryptionwithCBC-MACDataOriginAuthenticityAESoverheadrequiresnewAPhardwareAESoverheadmayrequirenewSTAhardwareforhand-helddevices,butnotmobilePCsAnallnewprotocolwithfewconcessionstoWEPProtectsMPDUs=fragmentsof802.2framesCCMBlockDiagramB0SmBrEE...B1BkHeaderMessageTagA1AmEEA0E...Notencrypted0padding0paddingBk+1......ESm...S1SmS0DCCCMModeDescription(1)Givenaninput(N,H,M),theCCMencryptionoperationproceedsasfollowsCBC-MACcomputation:FormaCBC-MACsequenceB=(B0,

B1,...,

Br)ofblocksfrom(N,H,M)inaprescribedmanner;weassumethatthenonceNisuniquelydeterminedbythefirstblockB0(N,H,M)®

Bisprefix-free–twodifferentinputscannotresultintwosequencesBandB’withBaprefixofB’Example: B0

=flags||

N

|||M|

(|M|=lengthofM) B=B0

|||H|

||H

||[padding]||

M||[padding]Computethekt-bitCBC-MACtagTofBwith

IV0: Y0=EK(B0);Yi=EK(Yi–1

ÅBi);T=firstktbitsinYrCCMDescription(2)CTRencryptionFormCTRblocksAiincludingAandi;i³

0

EncryptTwith(thefirstktbitsof)S0=EK(A0):D=T

ÅS0

EncryptMinCTRmodewith(thefirst|M|bitsof)S1=EK(A1),S2=EK(A2),...:C=M

Å

[S1||S2||S3||...]Outputtheresultingciphertext(C,D)CCMPropertiesCTR+CBC-MAC(CCM)isbasedonablockciphersuchastheAESCCMprovidesauthenticityandprivacyACBC-MACoftheplaintextisappendedtotheplaintexttoformanencodedplaintextTheencodedplaintextisencryptedinCTRmodeIfdesired,CCMcanleaveanynumberofinitialblocksoftheplaintextunencryptedCCMhasasecuritylevelasgoodasanyoftheNISTproposals,includingOCBInparticular,CCMisprovablysecureNIST美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology，NIST）直属美国商务部，从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，提供标准、标准参考数据及有关服务，在国际上享有很高的声誉。NIST有四位研究者因其物理学上的成就获得了诺贝尔奖：威廉·丹尼尔·菲利普斯（1997年），埃里克·康奈尔（2001年），约翰·霍尔（2005年）和大卫·维因兰德(2012年)，是美国政府实验室里获奖者最多的。CCMP加密/解密Other802.11iFeaturesPre-authenticationandroamingPEAPandlegacyauthenticationsupportPre-sharedkeywithoutauthenticationAdhocnetworksPassword-to-KeymappingRandomnumbergenerationAdhocnetwork临时网络是一个没有有线基础设施或中央控制器支持的移动网络。在临时网络中，所有的节点都是由移动主机构成的。该类型的网络最初是应用于军事领域，为了在战场环境下分组无线网络数据的通信。网络拓扑结构的动态性是临时网络的重要特点。临时网络通信的核心问题在网络通信效率和节点能量消耗之间的合理平衡。由于网络中的节点没有当前网络拓扑结构的先验知识，通常在需要通信时才开始发现路由。常见的临时网络的路由方式有主动构建路由表、按需构建路由，面向流的路由和适应性路由等。典型的按需构建路由协议有无线自组网按需平面距离矢量路由协议。临时网络的英文叫做adhocnetwork。AdHoc是一个拉丁词汇，在拉丁语中的意思是“即兴，临时”。802.11i是否安全？IEEE802.11i作为安全接入标准，包含三种安全机制WEP、WPA和WPA2，其中，早期是使用WEP/WPA作为安全机制，但已被证明存在严重安全漏洞，目前网上到处流传着破解上述Wi-Fi安全机制的方法。WPA2是WPA的升级版本，Wi-Fi联盟宣布：将全面摒弃WEP/WPA，推进WPA2这一新的安全机制WPA2本身有两种版本，个人版和企业版。个人版整个网络的所有用户均共享一个密码(称为预共享密钥或简称为PSK)，相较企业版每个用户会有一个数字证书而言，个人版比企业版的安全系数要更低。据悉，国外黑客组织已经建立了高达500G的详尽的WPA/WPA2攻击Table库甚至一些基本完善的WPA-PSKHashTables已经在黑客网站上开始公开出售，只需要支付120美金，就可买到8张包含WPA-PSKHashTables的DVD光盘。

WAPI出现背景WLAN的安全技术处在不断发展中，像移动通信安全技术的发展过程一样，WLAN安全问题将得到比较满意的解决。安全标准的不兼容不会影响到WLAN的发展。开发出我国具有自主知识产权的WLAN标准（包括安全方面）将为国家产生重大的经济效益和社会价值，已成为我们面对的当务之急。由于当时无线局域网国际标准(802.11)中的安全解决方案(WEP)，已被广泛证实不安全。国际标准为此采用了WPA、802.11x、802.11i、VPN等方式试图保证WLAN安全。但这些方式要么只是将有线网络安全机制通过技术转接到WLAN上，要么在技术上很容易被破译。在2003年5月12日，中国信息产业部报送国家标准化管理委员会正式颁布了无线局域网两项国家标准，在考虑和兼顾无线局域网产品互联互通的基础上，针对无线局域网的安全问题，给出了技术解决方案和规范要求。WAPI概念无线局域网鉴别与保密基础结构（wirelesslocalareanetworkauthenticationandprivacyinfrastructure，WAPI）是在中国无线局域网国家标准GB15629.11中提出的用来实现无线局域网中的鉴别和加密的机制，是针对IEEE802.11中WEP协议的安全问题提出的WLAN安全解决方案。它已由ISO/IEC授权的IEEERegistrationAuthority审查获得认可，是我国目前在该领域惟一获得批准的协议。2004年6月1日开始强制执行。WAPI的组成WAPI包括两个部分无线局域网鉴别基础结构WAI（WLANAuthenticationInfrastructure）无线局域网保密基础结构WPI（WLANPrivacyinfrastructure）WAI是采用公钥密码技术，用于STA（station）与AP（accesspoint）之间的身份认证。WPI是采用国家密码管理委员会办公室批准的用于WLAN的对称密码算法实现数据保护，对MAC子层的MAC数据服务单元进行加密、解密处理。WAPI的要点WAPI利用证书进行用户设备和AP的双向认证，这一证书是由鉴别服务单元ASU所发布的，证实了用户设备和AP的身份。由于采用了新的椭圆曲线数字签名算法（包括192位椭圆曲线算法、224位椭圆曲线算法和256位椭圆曲线算法），WAPI为用户的身份认证提供更加强大的保护。STAAUSAPWAPI系统构成整个系统由STA、AP和ASU组成STA（station，站（点））：包含符合本部分的与无线媒体的MAC和PHY接口的任何设备AP（accesspoint，接入点）：具备站点功能，通过无线媒体为关联的站点提供访问分布式服务的能力的实体ASU（AuthenticationServiceUnit鉴别服务单元）：主要功能是负责证书的发放、验证与吊销等，是实现电子信息交换的核心鉴别系统结构鉴别请求者实体（ASUE）鉴别服务实体（ASE）鉴别器系统提供的服务鉴别器实体（AE）鉴别请求者系统鉴别器系统鉴别服务系统WLAN站点STA接入点AP鉴别服务单元ASU非受控端口未鉴别受控端口WAPI过程简单说明STA与AP上都安装有ASU发放的公钥证书，作为自己的数字身份凭证AP提供访问LAN受控端口与非受控端口两类端口，STA首先通过AP提供的非受控端口连接到ASU发送认证信息，只有通过认证的STA才能使用AP提供的数据端口（即受控端口）访问网络认证通过后，STA与AP通过密钥协商生成密钥，以对称算法进行数据加密传输。WAPI工作原理图鉴别服务

AP提供访问LAN的逻辑通道，定义为两类端口，即受控端口与非受控端口。AP提供STA连接到鉴别服务单元（ASU）的端口（即非受控端口），确保只有通过鉴别的STA才能使用AP提供的数据端口（即受控端口）访问网络。在基于端口的接入控制操作中，定义了三个实体：鉴别器实体AE（AuthenticatorEntity）：为鉴别请求者在接入服务器之前提供鉴别操作的实体