无线网络安全 IEEE80211简介.ppt

1、第12章 无线网络安全,12.1 无线局域网的基本概念 12.2 早期的无线网络安全及安全漏洞 12.3 新无线局域网安全标准802.11i 12.4 802.11i认证 12.5 802.11i密钥分配 12.6 802.11i数据加密,本章学习目标,无线网络安全涉及无线局域网工作原理、认证、密钥管理、加密解密等内容，涉及的概念、原理、协议、算法较多，掌握无线局域网基本工作原理、WEP的攻击原理。 新安全标准802.11i由来，顺着802.11i的工作流程，学习其认证、密钥生成与分配、加密各阶段的工作原理。,无线网络的分类,全球无线标准,12.1 无线局域网的基本概念,12.1.1 无线局域

2、网的传输媒质无线局域网的传输媒质分为无线电波和光波两类。 无线电波主要使用无线电波和微波，光波主要使用红外线。无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）,12.1.2 无线局域网标准的演进,表中所有标准都包含共同的安全性能设计，即有线等价协议WEP（Wired Equivalent Privacy），希望能提供与有线网络同等的安全性能。,12.1.3 无线局域网网络结构,站STA,1. 802.11网络的两个基本构件,无线局域网网络

3、有两个基本构件站和无线接入点。（1）站（Station，STA）站是无线网的端头设备，例如笔记本、掌上电脑等。通常是通过计算机加一块无线网卡构成的。（2）无线接入点（Access Point，AP）AP将STA与DS相连，典型的DS是某单位的有线网络，AP也可在不访问DS情况下将多个STA相连。,2. 802.11网络的两种组网模式（1）,工作在对等模式下的STA集合称为自主基本服务集IBSS（Independent Basic Service Set）,对等网络用于一台无线工作站（STA，Station）和另一台或多台其他无线工作站的直接通讯，该网络无法接入有线网络中，只能独立使用。这是最简

4、单的无线局域网结构。一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同的工作组名、SSID和密码。对等网络组网灵活，任何时间，只要两个或更多的无线接口互相都在彼此的范围之内，它们就可以建立一个独立的网络。这些根据要求建立起来的典型网络在管理和预先调协方面没有任何要求。,802.11网络的两种组网模式（2）,基础模式是一种最常用的无线网络配置模式，所有的STA与AP联系，AP在STA之间 、STA与DS之间转发数据帧。无线访问点也称无线 AP 或无线 Hub，用于在无线STA和有线网络之间接收、缓存和转发数据。无线AP通常能够覆盖多个甚至几十用户，覆盖半径达上百米。,基本服务集BSS,

5、一个BSS（Basic Service Set）包含一个AP和与其关联的一个或数个STA。 BSS是无线局域网的基本构件。 一个无线访问点所覆盖的微蜂窝区域就是基本服务区BSA（Basic Service Area）,扩展服务集ESS,扩展服务区 ESS 是指由多个 AP 以及连接它们的分布式系统组成的结构化网络，所有 AP 必需共享同一个ESSID，也可以说扩展服务区 ESS 中包含多个 BSS。分布式系统在 IEEE802.11标准中并没有定义，但是目前大都是指以太网。扩展服务区只包含物理层和数据链路层，网络结构不包含网络层及其以上各层。因此，对于高层协议比如 IP 来说，一个 ESS 就

6、是一个 IP 子网。,3. 802.11体系结构,IEEE802.11标准提出一个体系结构，如下图所示，主要有两个部分：数据链路层的MAC子层和物理层。,802.11体系结构,在PLCP（Physical Layer Convergence Procedure）子层，将来自MAC子层的数据作为PLCP的服务数据单元（PSDU），加上PLCP的前导码（同步信号或帧起始信号）和PLCP帧头组成PLCP的协议数据单元（PPDU），送交给PMD子层。PLCP的帧数据单元与PMD子层采用的媒体传送方式有关。PMD子层将PLCP的数据调制后经天线发射出去。,与安全相关的是MAC子层，MAC子层提供3种服务

7、：（1）异步数据服务。异步数据服务允许两端的LLC实体交换MSDU，要支持这项服务，本地MAC需要使用底层PHY级的服务将MSDU传送到对端的MAC实体，然后再将MSDU传送到对端的LLC。（2）安全服务。（3）MSDU排序。MSDU是由LLC层发给MAC层的数据，称服务数据单元，它被添加MAC头后，成为MPDU，称协议数据单元，在同层的两个MAC实体中传递。一个MSDU可能被切分为多个MPDU。,12.1.4 基础模式工作原理,STA连接到AP并开始发送数据的过程：先假设AP已经开机且正在运行。AP以固定的时间间隔（通常为每秒钟10次）发送无线短消息通告它的存在。这些短消息称为信标使无线设备

8、发现AP的标识。现在假设有人打开了一台装有无线网卡的笔记本电脑（STA），初始化后，STA开始寻找AP，它也许配置为寻找一个特定的AP，也可能准备连接到任一AP。STA扫描所有频段，收听信标，STA可能会发现若干个AP，通常它根据信号的强度来决定要与哪个AP连接。当STA准备连接到AP时，它首先发送一条认证请求消息给AP（假定不使用安全措施），AP马上发送一条表示接受的认证响应来回复认证请求。,现在AP被允许连接到AP，在IEEE 802.11中，概念“连接”被称为“关联”。当STA与AP关联在一起时，它才能发送和接收数据。STA发送关联请求消息，AP发送关联请求消息，AP以关联响应回复表明连

9、接成功。此后，STA发送的数据就由AP转发到有线局域网，同样，从有线局域网发给STA的数据也由AP转发。,IEEE 802.11中的3种MAC帧,（1）控制帧。告诉设备何时开始、停止发送以及通信是否失败的帧。如：RTS、CTS、ACK帧等。（2）协商和管理STA和AP之间关系的帧。如：认证帧、关联请求帧。（3）数据帧。一旦STA和AP已经同意建立连接，数据就以这种消息类型发送。,管理帧,（1）信标帧发送信标是接入点对外通告它已经准备就绪和在网络中维持定时的方法。信标是AP定期发送的管理帧。信标包含诸如网络名称和AP性能等有用信息。例如，信标可以告诉STA，AP是否支持IEEE 802.11标准

10、中的新规范。（2）探测帧为了加速找到一个AP，STA可以选择发送探测帧。相当于大喊“喂，有人在吗？”任何接入点收到探测请求，立刻以探测响应来进行回答，STA就可以迅速找到AP。,（3）连接到AP连接到AP的过程称为关联。当你相连接时，先发送关联请求，接入点以关联响应回答。如果响应是肯定的，那么现在你就与接入点关联上了。（4）漫游如果同一网络中有几个接入点，你的STA可能选择将其关联从当前AP移动到新的AP。首先，它必须使用解除关联，与原来的AP断开连接，然后使用重新关联，连接到新的AP。重新关联包含一些与原来的AP有关的信息，能够移交更顺利，这些信息让新的AP与原来的AP对话，确定已经发生了漫

11、游。,（5）发送数据一旦你通过了认证，并且被关联上了，就可以发送数据。数据在STA和AP之间交换。通常，数据先到达AP，然后被转发到有线局域网或其他的STA。每个发到或者来自AP的802.11数据帧都有3个地址：2个是源地址和目的地址，第3个是“中间”地址消息路过的接入点的地址。当你从STA发送数据到AP时，一个源STA地址，2个目的地址，一个目的端的AP地址，另一个目的STA地址，与此相似，从AP到STA的数据有一个目的地址（STA）和2个源地址AP地址和STA地址。,12.2 早期的无线网络安全及漏洞,安全问题对早期的无线局域网来说不是大问题。那时设备是私有的，互相不兼容。许多无线局域网使

12、用服务区标识符（SSID）和MAC地址过滤作为安全的基本形式。这两种方式都是不安全的，无线监听可以找到合法的MAC地址和服务区标识符SSID。,12.2.1 早期的无线网络安全,（1）服务区标识符,在每个AP内都会设置唯一的网络SSID，每当无线终端设备要连接AP时，AP会检查其SSID是否与自己的服务区域认证ID一致。只有当AP和无线终端的SSID相匹配时，AP才接受无线终端的访问并提供网络服务；如果不匹配，访问点就拒绝给予服务。服务区标识SSID是一个数据结构，用来在逻辑上区分不同的服务区。SSID并不提供任何数据机密功能，也不提供终端到无线接入点的认证。使用网络分析工具（如Sniffer

13、）很容易就可以获得SSID。,（2）MAC地址过滤,接入点AP存有一个允许接入无线局域网的STA的MAC地址列表，阻止非列表内的STA访问请求。由于MAC地址通常是明文传输，攻击者可轻松地嗅到MAC地址。另外，无线网卡允许通过软件更换MAC地址。一个攻击者能使用这些“特性”通过对网卡的编程，伪装成有效的MAC地址，进入并享有网络。,12.2.2 802.11网络的安全方案,1.认证802.11标准中的认证是用来对无线终端或设备进行认证，不对用户进行认证。IEEE 802.11网络中的安全包括认证和加密两大主要功能，定义了两种认证方式：开放系统认证和共享密钥认证。802.11要求必须实现开放系统

14、认证，共享密钥认证的实现是可选的。初始STA与认证STA（通常是AP）建立连接前需要认证，认证使用管理帧。,开放系统认证,开放系统认证是802.11的一种默认协议，正如其名，无论谁请求认证都会被对方通过，实质上，它是一个空认证过程。开放认证对于确定一个客户是否合法没有提供任何帮助。开放认证系统分为2步： STA发送认证请求帧给认证STA，帧内通常包含STA的MAC地址和SSID号。 如果认证STA的认证方式设为开放系统认证，要向请求者发送认证成功帧。 当然，在开放系统认证中，认证STA（通常是AP）并没有被认证。,共享密钥认证,共享密钥认证支持拥有密钥的 STA进行身份认证，密钥不会在网络上文

15、明传送，但它需要使用WEP协议 ，因此只能在已现实WEP协议的节点运行。共享密钥认证假设密钥已分配并已正确装入MAC层内，它回避了密钥分配问题，共享密钥认证分为4步，请求者为STA，认证者为AP。,请求者向认证者发送认证请求。 认证者向请求者发送一个文明的随机数。 请求者使用WEP密钥加密此随机数，并发送给认证者。 认证者使用WEP密钥加密原随机数，并与受到的密文比较，若相同，向请求者发认证成功帧。,2.有线等价保密协议WEP,有线等效保密协议（WEP）是在IEEE 802.11标准中采用的信息保密机制，它主要用于保障无线局域网中链路层信息数据的保密。 WEP采用对称加密原理，数据的加密和解密

16、采用相同的密钥和加密算法。 WEP只对数据帧实体内容加密，加密后的数据帧替换原数据帧，然后发送出去。 WEP协议只保护客户和访问点之间链路级数据（无连接部分），而不是端到端的安全，如下图所示：,WEP帧格式,假如使用WEP加密算法对帧实体进行加密，那么该标记被置为1，只有数据类型和管理类帧中的认证子类型的WEP标记位才能设为1，所有其他帧的WEP标记位被置为0.当WEP标记位为1时，帧实体将按下图所述被扩展。,4字节的扩展域，不加密,PDU使用CRC-32生成的帧校验序列，将同PDU一同被加密,初始化向量域,密钥ID域指示使用4个可能密钥中的某个密钥,填充内容为0,12.2.3 RC4加密算法

17、,WEP使用RC4加密算法，RC4是一种对称流密码，每次加密一个字节明文。RC4算法产生密钥字节流，密钥流与明文异或，形成密文。 RC4主要包括2个阶段： 1.KSA阶段（The KeyScheduling Algorithm，KSA） 2.PRGA阶段（The Pseudo-Random Algorithm，PRGA）,12.2.4 802.11的巨大安全漏洞,IEEE802.11中的安全方案存在巨大的漏洞，认证、加密、完整性都不能保证。 1.机密性的漏洞分析 WEP中RC4的使用方式主要有两个缺陷：IV重复使用与直接密钥攻击。 （1） IV重复使用 IV在实际产品中一般用计数器实现，但24

18、位空间太小，在繁忙的网络里，很快就会重新使用以前的IV值，由此带来严重问题。RC4本身非常强壮，但是在取某些密钥值时，会使输出的前几个字节没那么随机，这些密钥值被称作弱密钥，使RC4出现很大隐患。 （2）直接密钥攻击 RC4在802.11中使用时，其密钥由前24位随机数拼接40位或104位密钥，形成一个64位或128位的密钥，用其进行加密解密，前24位即前3个字节是可监听到的明文。,2.认证的漏洞分析 认证期间，AP发送一个128字节的随机串，STA用WEP加密数字串然后返回，WEP用密钥流与明文相异或形成密文。（异或的性质是任意两者异或就得到第3者）若监听到明文的质询和加密后的回应，将二者异

19、或，就得到与IV值相对应的密钥流。3.完整性的漏洞分析 由于ICV是由CRC32产生的，而CRC32运算对于异或运算而言是线性的，而WEP算法使用异或加密，采用“比特翻转”技术就可以实现改动，造成攻击，而无法发现消息的非法改动，所以无法胜任数据完整性检测。,12.3 新无线局域网安全标准802.11i,WEP协议的缺陷引起了IEEE的重视，它委托802.11i任务组制定新的标准，加强无线局域网的安全性。 IEEE标准委员会已于2004年6月批准802.11i标准。IEEE 802.11i标准提出了一个新概念RSN健壮安全网络，定义了新的认证、密钥管理、数据加密方法。在一个真正的RSN网中，仅允

20、许符合RSN要求的设备连入接入点。 软件升级 临时密钥完整性协议TKIP作为RSN的一个可选模式。,为了强化无线网络安全性，解决目前无线网络安全方面的漏洞，IEEE成立的802.11i工作小组开发了新的无线网络机制，其中新增了几项新技术：首先，802.11i使用了EAP(Extensible Authentication通信协议）以及802.1x，强迫使用者必须进行验证以及交互验证；第二，使用了MIC(Message Integrit Code，信息完整性编码）检测传送的字节是否有被修改的情况；第三，使用TKIP（Temporal Key Integrity通信协议），使加密的过程由原来的静态

21、变为动态，让攻击者更难以破解。为了能提供更高级别的加密保护，802.11i采用新的WLAN架构，支持新的AES（Advanced Encryption Standard）标准。,12.3.1 802.11i标准体系结构,802.11安全机制分类图,RSN重点处理了WEP协议中的缺陷，并对无线链路提供数据完整性、机密性保护。 RSN安全机制只工作在数据链路层，为STA与AP之间或STA与STA之间的通信提供保护，并不提供端到端的应用层通信保护。 RSN只工作在整个网络的无线部分，在基础模式中，不为有线网络部分提供保护。,12.3.2 802.11i标准工作流程,RSN中有三种类型的设备：STA：

22、无线终端设备AP：网络设备，它允许STA通过无线通信或连入有线网AS（Authentication Servers）：为STA提供认证服务，AS是RSN新提出的部件。,RSN工作流程,AP不参与认证，只转发STA与AS间通信,STA中的加密与认证机制必须能满足AP提出的要求,RSN只保护STA与AP间的数据链路层的安全，不包括端到端的安全,12.4 802.11i认证,在802.11i的认证中，涉及三个核心协议：802.1x、EAP、RADIUS。802.11i标准使用802.1x协议，为STA与AS之间提供双向认证。,12.4.1 IEEE 802.1x协议,端口访问实体PAE，执行认证机制

23、中规定的算法或协议。申请者中的PAE负责相应认证；认证者中的PAE负责与申请者通信，并将认证信息传递给认证服务器；认证者中的PAE根据认证结果，决定控制端口处于认证或非认证状态。,认证服务器,802.1x体系结构,认证者中定义了两个逻辑端口：控制端口和非控制端口。 非控制端口始终打开，但只能用于同申请者交换认证信息，主要是EAPOL帧； 控制端口只有在认证通过的状态下才打开，可传递网络服务。,申请者、认证者、认证服务器间基于端口的访问控制,认证者与认证服务器之间的通信细节超出了802.1x标准的范围。一种典型的实现是将EAP帧加载到一个合适的高层协议中，例如RADIUS协议。这样，认证服务器可

24、放置在局域网之外，因为高层协议能穿越复杂的网络，认证者要进行协议转换，将EAPOL拆封，取出数据，再封装入RADIUS消息中。,12.4.2 EAP协议,EAP（Extension Authentication Protocol，可扩展认证协议）本身具有良好的可扩展性，可以支持多种认证机制，允许通信双方使用它们希望采用的认证算法。认证算法的具体内容在EAP中并没有定义。EAP是基于认证方的，定义了两个术语是认证方和对端。,EAP规定了4种消息可供传送：,（1）Request用来发送由认证方给对端的消息,（2）Response用来发送由对端返回给认证方的消息,（3）Success由认证方发送的消

25、息，用来指示允许对端接入,（4）Failure由认证方发送的消息，用来指示拒绝对端接入,代码域占用一个字节，用来指示消息的类型：Request（01）、Response（02）、Success（03）、Failure（04）。 Success和Failure这两种消息不包含具体数据，十分短小，用来指示认证结果。 不同的认证算法使用不同的类型，并将所需数据放在类型数据。在RFC2284文档中，类型值高于6的都没有定义。,EAP消息细化格式,12.4.3 EAPOL,EAP最初是为拨号系统设计的，根本不是一个局域网协议，要在局域网中传送EAP消息，就需要对EAP消息进行封装，IEEE802.1x制

26、定了在局域网上EAP消息封装格式EAPOL（EAP Over LAN），在申请者和认证方之间传送EAP消息。 并非所有的EAPOL帧都用来承载EAP消息，其中有些是用来执行管理任务的。,EAPOL的消息类型,EAPOL消息共有五种类型，具体如下所示：EAPOL-Encapsulated-ASF-Alert可忽略该帧，它允许一个未授权设备向系统发送管理警告，WPA/RSN中没有使用这种消息。（1）EAPOL-Start申请者PAE使用此帧启动认证过程。（2）EAPOL-Key用来在申请者和认证者之间传送密钥。（3）EAPOL-Logoff申请者若想离开，就发送该帧，使认证者PAE将控制端口变为非

27、授权状态。（4）EAPOL-Packet数据帧，真正在局域网上封装EAP消息的帧，是制定EAPOL协议的最初目的。,EAPOL帧格式,EAPOL-Start ，EAPOL-Logoff帧中没有Packet Body部分； EAPOL-Packet帧中的Packet Body部分就是EAP帧；EAPOL-Key帧中的Packet Body部分是密钥描述信息。EAPOL-Start 帧、EAPOL-Logoff帧、EAPOL-Key帧只在申请者和认证者之间传递。 EAPOL-Packet帧在认证者处被拆封，取出EAP消息，再封装入RADIUS消息中，然后在认证者与认证服务器间传递。,12.4.4

28、RADIUS,RADIUS协议描述了一种网络访问服务器（NAS）与一个共享的认证服务器之间的通信规范。在IEEE802.1x情景中，可理解NAS为认证者，认证服务器仍为认证服务器，使用RADIUS完成认证者和认证服务器的通信。,RADIUS认证协议主要特征,1.客户/服务器模型 RADIUS将NAS作为其客户端，客户端的主要任务是完成与访问用户的交互，向服务器发送收集到的认证信息以及对服务器发送回的认证结果进行应答。认证服务器对用户身份进行认证，并返回认证结果。 2.网络安全性 RADIUS服务器与NAS之间共享一对密钥，它们之间的所有通信都受到这对密钥的鉴别保护，同时提供一定的完整性保护。

29、3.可扩展的协议设计 RADIUS数据包通过定义一个相对固定的消息头和一系列属性构成。用户可以自定义其他的属性。,4.灵活的鉴别机制 RADIUS规定使用UDP传输消息，实现NAS与服务器之间的通信。每一个RADIUS消息都被封装在一个UDP报文中。,RADIUS消息封装图,RADIUS消息基本长度结构图,12.4.5 安全分层,安全分层只是逻辑概念，是为了更清楚地理解无线网络认证过程，而不是网络体系结构或安全体系结构中定义的。三个层次是无线局域网层、接入控制层、认证层。无线局域网层：一个工作层，能够实现正常的无线数据通信，在未认证前，应能接受入网申请等。接入控制层：控制STA的接入，在未通过

30、认证前，STA不能获取网络服务。802.1x描述了它的体系结构由申请者、认证者和认证服务器构成。认证层：制定一种认证策略，对申请者进行身份认证。,12.4.6 在EAP中使用TLS,TLS现已被业界广泛认可，在OSI分层结构中位于TCP和应用层协议之间，它既可以为客户机认证服务器，也可以为服务器认证客户机，二者都是基于公钥机制的。TLS协议分为两部分：握手协议和记录协议。握手协议在客户机和服务器双方进行保密通信前要确定密钥、加密认证算法等安全参数；记录协议则定义了传输的格式。,EAP-TLS认证过程,12.5 802.11i密钥分配,RSN的工作流程可分为5个阶段，在完成认证之后，STA与AP

31、要执行一系列操作来配置密钥，这一阶段称密钥生成与分配阶段KGD（Key Generation and Distribution）。 密钥通常都是分层使用的，在RSN中也是一样。AP和STA之间的单播所用的密钥称为成对密钥，其分层使用称为成对密钥层次结构；AP和STA之间的组播所用的密钥称为组密钥，其分层使用称为组密钥层次结构。,12.5.1 创建和交付PMK,成对密钥层次结构最复杂，这种层次结构从顶端的PMK（成对主密钥Pairwise Master Key）开始，全部其他成对密钥从它这里导出。作为认证过程的副产物，认证方法必须生成能用于密钥层次结构的密钥材料，例如TLS和Kerberos都能

32、产生密钥，认证过程中产生的密钥就是PMK。认证发生在申请者和服务器之间，结果是申请者STA和服务器生成了匹配的PMK，但是使用PMK的是STA和AP，需要把PMK提供给AP。,12.5.2 计算PTK,RSN中的密钥层次结构依据加密方法为TKIP或AES而分为两类，下以TKIP为例讲解。,TKIP成对密钥层次图,PMK应用伪随机函数PRF导出PTK，计算TKIP的PTK时使用PRF-512，计算AES的PTK时使用PRF-384，函数PRF中的参数AA和SA分别是认证者和申请者的MAC地址，SNonce和ANonce分别是申请者和认证者发出的现时当前值。PTK=PRF-384/512（PMK，

33、“Pairwise key expansion”，Min（AA，SA）|Max（AA，SA）| SNonce|ANonce ）,12.5.3 四次握手,认证阶段之后是密钥生成与分配阶段，要通过4次握手完成以下任务：STA和AP要确认PMK，产生新的PTK，确认数据加密与完整性检验方法。,12.5.4 结束握手与组密钥分发,成对密钥的生成和分配比较复杂，因为不得不从一个非安全连接开始，要考虑监听、假冒、篡改、重放等攻击。组密钥的情况比较简单，因为可以等到成对密钥建立后再使用安全的连接传送组密钥，仅仅需要2次握手。在组密钥分发过程中，AP完成下面的步骤： （1）创建一个256位的组主密钥（GMK）

34、。 （2）导出256位组临时密钥。 （3）在每一个成对的安全连接建立后：第一帧：AP传送GTK到STA，GTK被加密，并且整个消息有完整性保护。第二帧：STA发送到AP，只是作为对上一帧的确认。,12.6 802.11i数据加密,RSN的工作流程的第4步是加密的数据传输。在这一阶段之前，STA和AP已经协商好了安全策略，完成了相互认证，产生，分配，确认了会话密钥，控制端口也已经打开。STA和AP开始保密的通信，包括机密性和数据完整性，所用的算法是在发现阶段协商的。IEEE802.11i中定义了两种加密和完整性协议，一种是TKIP临时密钥完整性协议（Temporal Key Integrity

35、Protocol），另一种是CCMP（Counter Mode with Cipher Block Chaining MAC Protocol）。TKIP由于使用了RC4，有一些缺点，不适合高可靠环境，若需要高可靠性，最好使用CCMP。,12.6.1 TKIP,2001年，当WEP被攻破的时候，已安装的数百万个系统突然失去安全，需要一种方案解决这一问题。但这些系统的硬件不能支持AES-CCMP。因此，设计者们寻找到一种既能够克服WEP的缺陷，又能利用现有的硬件的方法，这就是TKIP 。TKIP必须能够运行在已安装的硬件上，只要升级软件就可以更新安全系统。,WEP的主要缺陷：（1）IV值太短，不

36、能防止重用。（2）由IV生成密钥的方法使其易受攻击。（3）无法检测消息是否被篡改。TKIP中的数据完整性校验和加密主要包括4个过程：（1）MIC的产生和校验（2）IV的产生和校验（3）IV加密（4）解密,TKIP加密过程示意图,1.完整性校验,完整性校验值是在分段之前计算完毕并附加到MSDU内的，校验值字节只出现在最后的MPDU内，并在加密的有效载荷中。原来的校验码ICV仍然进行计算并且附加到每个MPDU中，初始向量IV通常是由一个计数器从0开始计数产生，所以它也叫TSC（TKIP Sequence Counter）。TKIP中使用了Michael算法计算MIC值。,2.IV的产生,为1表示T

37、KIP帧；为0表示WEP帧,3.密钥混合,TKIP并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥，而是将该密钥作为基础密钥（Base Key），经过两个阶段的密钥混合过程，从而生成一个新的每一次报文传输都不一样的密钥，该密钥才是用做直接加密的密钥。 通过这种方式可以进一步增强WLAN的安全性。密钥的生成方式如下图所示。,12.6.2 CCMP,CCMP是围绕AES建立的安全协议，称为计数器模式+密码块链认证码协议（ Counter Mode with Cipher Block Chaining MAC Protocol，CCMP）。 CCMP能提供高可靠的安全性，因为它是独立的设

38、计，不是妥协的产物。 在实际加密过程中，如何使用密码算法，称为密码工作模式。,计数器模式,CBC-MAC工作原理图,CBA-MAC是目前使用最广泛的数据认证模式之一，经过20多年的发展，已经很成熟且已标准化。它的概念非常简单：（1）取出消息中的第一块，应用AES对它进行加密。（2）将此结果与第二个块异或，将结果加密。（3）将此结果与下一个块异或，再加密 如此进行下去。,Couter（CTR）和CBC-MAC都是20世纪70年代提出的，目前都已标准化。CCMP使用CBC-MAC来计算MIC值，使用CTR来进行数据加密，CCMP就是定义了一套AES的使用方法，AES对CCMP的关系就像RC4对TK

39、IP的关系一样。 IEEE802.11i中指定AES的密钥长度和块长度为128bits。,1.CCMP处理步骤,在CCMP对信息包加密过程中，CCMP在MAC协议数据单元MPDU级别加密数据，服务数据单元MSDU可能被切分，添加头部后成为多个MPDU。,CCMP对MPDU的处理步骤如下,（1）准备MPDU，在MAC头部有些字段的值无法预先得到，直到其传送过程中才有，这些字段值先设置为0。（2）准备MIC计算格式，添加第一块，一个特殊块，在MAC头部之后添加CCMP头部，此外还增加了填充字节（设置为0），以确保头部、明文数据部分恰好为整数个128位块，准备计算MIC值，填充字节只是为计算而插入的

40、，实际并不插入到MPDU中。（3）计算MIC值，MIC值附加于数据之后。（4）对数据和MIC值部分进行加密。（5）准备发送帧，在加密部分前添加CCMP报头，然后使用802.11封装格式进行封装，封装后的MPDU在无线网中传输。,2.CCMP封装格式,6个字节的IV域中放置的是PN，一个48位、唯一标记每个分组的号码。PN主要用于抵御重放攻击，并用于接收方的现时（Nonce）,为1，指示这个帧为RSN格式；为0指示是早期的WEP格式,指示使用哪个密钥,3.AES-CBC-MAC概述,CCMP使用AES-CBC-MAC来计算MIC值。MIC的计算步骤如下：（1）使用AES和数据完整性密钥加密第一块

41、，这将产生一个128位的结果Result1。（2） Result1与下一块明文异或，产生一个128位的结果XResult1。（3）使用AES和数据完整性密钥对XResult1进行加密，这将产生Result2。（4） Result2继续与下一块明文异或，这将产生XResult2。如此计算，直至结束，最终结果为128位，取最终结果中的高64位为MIC值。,4.AES-CTR概述,计数器模式加密需要一个计数器，用来产生输出值，输出值与明文异或产生密文。保证CTR安全的关键在于正确地设置计数器值，不能重复。由于计数器值包含PN|Counter，对同一个MPDU来讲，各块的Counter不同，而不同的MPDU，PN不同，因此，在整个加密过程不会有同一个计数器值出现两次。,加密过程如下： （1）使用AES和数据加密密钥加密计数器初值，产生一个128位的结果Result1。 （2）对Result1与第一块明文数据异或操作，这将产生第一个128位加密文块。 （3）计数器值加1，并使用AES和数据加密密钥对其进行加密，将产生Result2。 （4）Result2与第二个明文数据块异或，将产生第二个加密文块。 依此类推。,5.解密过程,CCMP解密过程是加密过程的逆过程，原理完全相同。过程如下：,