1、 2006工程兵工程学院 计算机教研室第八章本章主要内容本章主要内容n无线局域网的开放性和安全问题无线局域网的开放性和安全问题;nWEPWEP;n802.11i802.11i;nWPA2WPA2。本讲主要内容本讲主要内容n频段的开放性频段的开放性;n空间的开放性空间的开放性;n开放带来的安全问题和解决开放带来的安全问题和解决思路思路。n开放频段是无需国家无线电管理委员会批准就可开放频段是无需国家无线电管理委员会批准就可使用的频段,无线电频段是重要的国家资源,审使用的频段,无线电频段是重要的国家资源,审批过程非常复杂,开放频段为无线电产品生产厂批过程非常复杂,开放频段为无线电产品生产厂家免除了频
2、段审批的麻烦;家免除了频段审批的麻烦;n开放频段的信号能量必须受到限制,否则,可能开放频段的信号能量必须受到限制,否则,可能相互影响。相互影响。开放频段开放频段n空间开放性使得终端不需要通过线缆连接网络,但信号空间开放性使得终端不需要通过线缆连接网络,但信号传播范围内的任何终端都能接收其他终端之间的传输的传播范围内的任何终端都能接收其他终端之间的传输的数据,也能向其他终端发送数据;数据,也能向其他终端发送数据;n如果没有采取措施,通信的安全性无法保障。如果没有采取措施,通信的安全性无法保障。1 1安全问题安全问题频段开放性和空间开放性会带来以下安全问题频段开放性和空间开放性会带来以下安全问题。
3、n信道干扰信道干扰;n嗅探和流量分析嗅探和流量分析;n重放重放攻击;攻击;n数据数据篡改;篡改;n伪造伪造APAP。2 2解决思路解决思路(1 1)接入控制)接入控制 对对无线终端实施接入控制,保证只有授权终端无线终端实施接入控制,保证只有授权终端才能与才能与APAP进行通信,并通过进行通信,并通过APAP访问内部网络。访问内部网络。2 2解决思路解决思路(2 2)加密)加密 加密加密授权终端和授权终端和APAP之间交换的数据,保证只有之间交换的数据,保证只有拥有密钥的授权终端和拥有密钥的授权终端和APAP才能还原出明文,以此保才能还原出明文,以此保证授权终端与证授权终端与APAP之间交换的数
4、据的保密性。之间交换的数据的保密性。2 2解决思路解决思路(3 3)完整性检测)完整性检测 对对授权终端和授权终端和APAP之间交换的数据进行完整性检之间交换的数据进行完整性检测,通过完整性检测机制保证授权终端与测,通过完整性检测机制保证授权终端与APAP之间交之间交换的数据的完整性。换的数据的完整性。本讲主要内容本讲主要内容nWEPWEP加密和完整性检测过程加密和完整性检测过程;nWEPWEP帧结构;帧结构;nWEPWEP鉴别机制鉴别机制;n基于基于MACMAC地址鉴别机制地址鉴别机制;n关联的接入控制关联的接入控制功能;功能;nWEPWEP的安全的安全缺陷。缺陷。n24位初始向量(位初始向
5、量(IV)和)和40位(或位(或104位)密钥构成位)密钥构成64位伪随机数种子,产生数据长位伪随机数种子,产生数据长度度4(单位字节)的一次性密钥;(单位字节)的一次性密钥;n数据的循环冗余检验码(数据的循环冗余检验码(4个字节)作为数据的完整性检验值(个字节)作为数据的完整性检验值(ICV)用于检测数)用于检测数据的完整性;据的完整性;n一次性密钥和数据及一次性密钥和数据及ICV进行异或运算,其结果作为密文;进行异或运算,其结果作为密文;n为了在发送端和接收端同步伪随机数种子,以明文方式传输为了在发送端和接收端同步伪随机数种子,以明文方式传输IV,由于伪随机数种,由于伪随机数种子由密钥和子
6、由密钥和IV组成,截获组成,截获IV并不能获得伪随机数种子。并不能获得伪随机数种子。WEP加密过程加密过程n用发送端以明文传输的用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;相同的一次性密钥;n用和密文相同长度的一次性密钥异或密文,得到数据和用和密文相同长度的一次性密钥异或密文,得到数据和4字节的字节的ICV;n根据数据计算出循环冗余检验码,并与根据数据计算出循环冗余检验码,并与ICV比较
7、,如果相同,表明数据传比较,如果相同,表明数据传输过程未被篡改。输过程未被篡改。WEP解密过程解密过程n控制字段中的控制字段中的WEP标志位置标志位置1;n净荷字段中包含密文(数据和净荷字段中包含密文(数据和ICV与一次性密钥与一次性密钥异或运算后的结果)、异或运算后的结果)、IV、密钥标识符,、密钥标识符,2位密位密钥标识符允许发送端和接收端在钥标识符允许发送端和接收端在4个密钥中选择个密钥中选择一个密钥作为伪随机数种子的组成部分。一个密钥作为伪随机数种子的组成部分。n确定终端是否是授权终端的唯一依据就是终端是否拥有和确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥;的密钥;n终
8、端一旦通过认证,终端一旦通过认证,AP记录下终端的记录下终端的MAC地址,以后,终端地址,以后,终端MAC地地址就是授权终端发送的址就是授权终端发送的MAC帧的标识符。帧的标识符。challenge是是128字字节长度的随机数。节长度的随机数。密文(密文(challengeICV) K;K是一次性密钥,以是一次性密钥,以IV和密钥为伪和密钥为伪随机数种子生成的伪随机数,其长随机数种子生成的伪随机数,其长度度1284(单位字节)。(单位字节)。nAP首先建立授权终端首先建立授权终端MAC地址列表;地址列表;n终端是否是授权终端的依据是该终端的终端是否是授权终端的依据是该终端的MAC地址是否包地址
9、是否包含在含在AP的的MAC地址列表中。地址列表中。n建立关联过程中,终端和建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;完成物理层协议、信道、传输速率的同步过程;n建立关联过程中,建立关联过程中,AP完成对终端的认证;完成对终端的认证;n建立关联后,终端的建立关联后,终端的MAC地址将记录在关联表中,地址将记录在关联表中,AP只接收、发送源或只接收、发送源或目的目的MAC地址在关联表中的地址在关联表中的MAC帧。帧。这些意味着一旦终端和这些意味着一旦终端和AP建立关联,建立关联,AP已经完成对终端的接入控制过程。已经完成对终端的接入控制过程。建立关联过程建立关联过程n共
10、享密钥认证机制的安全缺陷;共享密钥认证机制的安全缺陷;n一次性密钥字典;一次性密钥字典;n完整性检测缺陷。完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密安全缺陷起因于以下几点:一是一次性密钥和初始向量一一对应,发送端通过明文传输初钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有性密钥;二是一次性密钥的空间只有224,且伪,且伪随机数生成器根据伪随机数种子生成一次性密钥随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是机制使得各个一次性密钥之
11、间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的同时篡改密文和加密后的ICV。n两端一次性密钥两端一次性密钥K K取决于明文取决于明文IVIV。nY=PKY=PK,很容易根据,很容易根据Y Y和和P P推出推出K= PY= P PK=KK= PY= P PK=K。nIVIV不变,不变,APAP根据根据IVIV推出的一次性密钥推出的一次性密钥K K不变,如果不变,如果Y=P KY=P K,APAP认定黑客终端拥有共享密钥。认定黑客终端拥有共享密钥。认证响应(认证响应(P P)认证请求(认证请求(Y,IVY,IV)认证请求
12、认证请求认证响应(认证响应(P)认证响应(认证响应(Y,IV)认证响应(成功)认证响应(成功)n一次性密钥和初始向量一一对应,初始向量又以明文方式出现在一次性密钥和初始向量一一对应,初始向量又以明文方式出现在WEP帧中,在知道明文帧中,在知道明文P和密文和密文Y的情况下,又很容易得出一次性密的情况下,又很容易得出一次性密钥钥K=P Y;n图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度、固图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度、固定内容的数据,入侵终端通过接收发送给授权终端的密文和对应的定内容的数据,入侵终端通过接收发送给授权终端的密文和对应的IV,及已知的数据明文得
13、出不同及已知的数据明文得出不同IV和一次性密钥的对应关系,这就是固定和一次性密钥的对应关系,这就是固定长度的一次性密钥字典。长度的一次性密钥字典。黑客建立固定长度的一次性密钥字典的过程黑客建立固定长度的一次性密钥字典的过程n入侵终端发送正确加密的入侵终端发送正确加密的ICMP ECHO请求报文给请求报文给AP,AP将回送将回送ICMP ECHO响响应报文;应报文;n根据固定长度根据固定长度L的一次性密钥字典,试探性得出的一次性密钥字典,试探性得出L+8长度的一次性密钥;长度的一次性密钥;n试探过程采用穷举法,一次性密钥的高试探过程采用穷举法,一次性密钥的高L位保持不变,底位保持不变,底8位从位
14、从0开始,每次增开始,每次增1。n数据数据M1(X),ICV=(Xr M1(X)/G(X)的余数,即的余数,即R1(X);n密文密文(Xr M1(X) R1(X) K;n篡改密文数据篡改密文数据 (Xr M2(X) R2(X),其中,其中R2(X)= (Xr M2(X) )/G(X)的余数;的余数;n如果篡改后密文如果篡改后密文 (Xr M1(X) R1(X) K (Xr M2(X) R2(X),由于,由于(Xr (M1(X) M2(X) )/G(X)的余数的余数R1(X) R2(X),用一次性密钥异或篡改后,用一次性密钥异或篡改后密文的到的明文,其完整性检测结果是未被篡改。密文的到的明文,其
15、完整性检测结果是未被篡改。 由于由于一次性密钥只与一次性密钥只与IVIV和密钥相关,因此,和密钥相关,因此,属于同一属于同一BSSBSS的所有终端,在密钥保持不变的情的所有终端,在密钥保持不变的情况下,只能共享况下,只能共享2 22424个一次性密钥,导致重复使个一次性密钥,导致重复使用一次性密钥的几率大增,严重影响数据传输安用一次性密钥的几率大增,严重影响数据传输安全全。 如果如果某台设置了密钥的笔记本计算机失窃,某台设置了密钥的笔记本计算机失窃,或者某个知道密钥的人员离开原来的岗位,需要或者某个知道密钥的人员离开原来的岗位,需要对属于同一对属于同一BSSBSS的所有终端重新配置新的的所有终
16、端重新配置新的密钥。密钥。本讲主要内容本讲主要内容n802.11i802.11i增强的安全功能增强的安全功能;n802.11i802.11i加密和完整性检测机制加密和完整性检测机制;n802.1X802.1X鉴别鉴别机制;机制;n动态密钥分配动态密钥分配机制。机制。加密机制加密机制 一一是基于用户配置密钥,且密钥采用动态配是基于用户配置密钥,且密钥采用动态配置机制,因此,不同用户使用不同的密钥,同一置机制,因此,不同用户使用不同的密钥,同一用户每一次接入无线局域网使用不同的密钥。这用户每一次接入无线局域网使用不同的密钥。这也是也是802.11i802.11i将终端与将终端与APAP之间的共享密
17、钥称为临之间的共享密钥称为临时密钥时密钥(TKTK)的原因。二是将一次性密钥集中的)的原因。二是将一次性密钥集中的一次性密钥数量增加到一次性密钥数量增加到2 24848个,且个,且BSSBSS中的每一个中的每一个终端拥有独立的终端拥有独立的2 24848个一次性密钥,以此避免出个一次性密钥,以此避免出现重复使用一次性密钥的情况。现重复使用一次性密钥的情况。完整性检测完整性检测机制机制 一一是是802.11i802.11i用于实现数据完整性检测的完用于实现数据完整性检测的完整性检验值具有报文摘要的特性,即整性检验值具有报文摘要的特性,即802.11i802.11i计计算完整性检验值的算法具有报文
18、摘要算法的抗碰算完整性检验值的算法具有报文摘要算法的抗碰撞性。二是数据传输过程中将完整性检验值加密撞性。二是数据传输过程中将完整性检验值加密运算后的密文作为消息鉴别码运算后的密文作为消息鉴别码(MACMAC),而且黑),而且黑客无法获取用于加密完整性检验值时使用的密钥。客无法获取用于加密完整性检验值时使用的密钥。鉴别身份鉴别身份机制机制 802.11i 802.11i一是采用基于扩展鉴别协议一是采用基于扩展鉴别协议(EAPEAP)的的802.1X802.1X作为鉴别协议,允许采用多种不同的鉴作为鉴别协议,允许采用多种不同的鉴别机制别机制,二,二是是802.11i802.11i采用的多种鉴别机制
19、是针采用的多种鉴别机制是针对用户的,因此,可以对用户接入对用户的,因此,可以对用户接入BSSBSS进行控制;进行控制;三是采用双向鉴别机制,既可以对接入用户身份三是采用双向鉴别机制,既可以对接入用户身份进行鉴别,又可以对进行鉴别,又可以对APAP身份进行鉴别,防止黑客身份进行鉴别,防止黑客通过伪造通过伪造APAP套取用户的机密信息。套取用户的机密信息。802.11i加密机制主要有:加密机制主要有:n临时密钥完整性协议(临时密钥完整性协议(TKIP););nCCMP。TKIP是尽量和是尽量和WEP兼容,但又比兼容,但又比WEP有有着更安全的加密和完整性检测机制的一种着更安全的加密和完整性检测机制
20、的一种加密认证机制。加密认证机制。CCMP和和WEP没有相关性,采用较复杂的没有相关性,采用较复杂的加密和完整性检测算法。加密和完整性检测算法。n48位位TSC、终端、终端MAC地址、和地址、和TK一起作为伪随机数种子,在一起作为伪随机数种子,在TSC高高32位不变的情位不变的情况下,况下,TTAK维持不变;维持不变;n第第2级密钥混合函数输出的级密钥混合函数输出的128位伪随机数,作为位伪随机数,作为WEP加密机制的伪随机数种子,加密机制的伪随机数种子,用于产生数据长度用于产生数据长度+4的一次性密钥;的一次性密钥;n完整性检测含源和目的完整性检测含源和目的MAC地址。地址。n密钥混合函数是
21、伪密钥混合函数是伪随机数生成器,随机数生成器,Michael是简化的报是简化的报文摘要算法,但完文摘要算法,但完整性检测能力远远整性检测能力远远超过循环冗余检验超过循环冗余检验码;码;nTK是临时密钥,只是临时密钥,只在安全关联存在期在安全关联存在期间有效;间有效;n源和目的源和目的MAC地址地址 优先级优先级净荷净荷MIC构成用于加密的数据;构成用于加密的数据;n为了和接收端同步,为了和接收端同步,TKIP MPDU必须携带必须携带48位的位的TSC,因此,因此,TKIP增增加了加了4字节的扩展字节的扩展IV,1字节字节WEP种子用于检测种子用于检测TSC;n密钥标识符允许发送端和接收端在密
22、钥标识符允许发送端和接收端在4个临时密钥中选择;个临时密钥中选择;nWEP帧和帧和TKIP MPDU的区别是的区别是IV中的扩展中的扩展IV位。位。MAC帧格式和帧格式和TKIP MPDU封装过程封装过程n从从MAC帧中取出以明文传输的帧中取出以明文传输的TSC和发送端地址和发送端地址TA,根据,根据TA确定临时密钥确定临时密钥TK,以此生成以此生成128位伪随机数种子,根据位伪随机数种子,根据128位伪随机数种子,生成一次性密钥,一次位伪随机数种子,生成一次性密钥,一次性密钥和密文异或操作,还原出明文;性密钥和密文异或操作,还原出明文;n明文由源和目的明文由源和目的MAC地址、优先级、净荷和
23、地址、优先级、净荷和MIC组成(如果明文是这些内容分段组成(如果明文是这些内容分段后的某个段,需要将所有段重新拼装成原始格式),然后根据源和目的后的某个段,需要将所有段重新拼装成原始格式),然后根据源和目的MAC地址、地址、优先级、净荷与优先级、净荷与MIC密钥计算密钥计算MIC,将计算结果和,将计算结果和MAC帧携带的帧携带的MIC比较,如果相比较,如果相同,表示源和目的同,表示源和目的MAC地址、优先级、净荷在传输过程中未被篡改;地址、优先级、净荷在传输过程中未被篡改;n由于每一段数据封装成由于每一段数据封装成TKIP帧格式时,帧格式时,WEP加密机制用循环冗余检验码作为加密机制用循环冗余
24、检验码作为ICV,用于检测密文传输过程中是否被篡改,因此,每一段数据对应的用于检测密文传输过程中是否被篡改,因此,每一段数据对应的TKIP帧需用帧需用ICV检检测传输过程中是否被篡改。测传输过程中是否被篡改。TKIP解密过程解密过程nMIC主要对数据和主要对数据和MAC帧首部中的关键字段值进行完整性检测,因此,输入内容帧首部中的关键字段值进行完整性检测,因此,输入内容由数据、由数据、MAC帧帧MAC帧首部中的关键字段值构成的附加认证数据和用于防止重放帧首部中的关键字段值构成的附加认证数据和用于防止重放攻击的随机数及用于确定随机数和附加认证数据长度的标志字节组成;攻击的随机数及用于确定随机数和附
25、加认证数据长度的标志字节组成;n计算计算MIC的过程是首先将输入内容分成的过程是首先将输入内容分成128B的数据段,除第一段外,前一段的数据段,除第一段外,前一段AES加密结构和当前段数据的异或结果作为加密结构和当前段数据的异或结果作为AES的输入,临时密钥作为加密密钥,最的输入,临时密钥作为加密密钥,最后一段数据加密结果的前后一段数据加密结果的前8B作为计算作为计算MIC的一个参数。的一个参数。CCMP计算计算MIC过程过程一次性密钥产生过程是由多段标志字节、随机数和计数器构成的一次性密钥产生过程是由多段标志字节、随机数和计数器构成的16B数据经数据经AES加密运算后生成多段加密运算后生成多
26、段16B密文,这些密文串接在一密文,这些密文串接在一起,构成和数据同样长度的一次性密钥,不同的计数器值保证每一起,构成和数据同样长度的一次性密钥,不同的计数器值保证每一段密文是不同的。段密文是不同的。CCMP加密数据过程加密数据过程n附加认证数据由附加认证数据由MAC首部中首部中传输过程中不变的字段组成,传输过程中不变的字段组成,需要对这些字段的完整性进需要对这些字段的完整性进行检测;行检测;n随机数由报文序号、发送端随机数由报文序号、发送端地址和优先级组成,使得不地址和优先级组成,使得不同发送端、不同同发送端、不同MAC帧的随帧的随机数均不相同;机数均不相同;nCCMP根据随机数和附加认根据
27、随机数和附加认证数据计算证数据计算MIC和数据相同和数据相同长度的一次性密钥,用一次长度的一次性密钥,用一次性密钥和数据的异或操作产性密钥和数据的异或操作产生密文。生密文。CCMP加密加密MAC帧的过程帧的过程CCMP首部中以明文方式传输了报文编号,首部中以明文方式传输了报文编号,报文编号的作用一是防止重放攻击(也称中报文编号的作用一是防止重放攻击(也称中继攻击),二是同步随机数,随机数是计算继攻击),二是同步随机数,随机数是计算MIC和一次性密钥的参数。和一次性密钥的参数。CCMP帧格式帧格式n解密和完整性检测的关键解密和完整性检测的关键是重新计算一次性密钥和是重新计算一次性密钥和MIC,计
28、算一次性密钥所,计算一次性密钥所需要的参数主要有临时密需要的参数主要有临时密钥钥TK、报文编号和发送端、报文编号和发送端地址及全地址及全0的优先级字段,的优先级字段,因此,产生相同的一次性因此,产生相同的一次性密钥的前提是同步计算一密钥的前提是同步计算一次性密钥所需要的参数;次性密钥所需要的参数;n同样,重新计算同样,重新计算MIC,需,需要同步附加认证数据、随要同步附加认证数据、随机数和临时密钥机数和临时密钥TK。CCMP解密和完整性检测过程解密和完整性检测过程802.11i的安全性基于以下特点:的安全性基于以下特点:n基于用户身份认证,不是基于终端,因此,同一基于用户身份认证,不是基于终端
29、,因此,同一用户可在不同的用户可在不同的BSS和和AP建立安全关联;建立安全关联;n和和AP建立安全关联,并在建立安全关联时分配临建立安全关联,并在建立安全关联时分配临时密钥时密钥TK,TK只在安全关联存在期间有效;只在安全关联存在期间有效;n802.11X完成双向的、基于用户的身份认证,并分完成双向的、基于用户的身份认证,并分配临时密钥配临时密钥TK;n安全关联指在正常建立的关联的基础上由安全关联指在正常建立的关联的基础上由802.11X完成双向的、基于用户的身份认证,并分配临时完成双向的、基于用户的身份认证,并分配临时密钥密钥TK的关联。的关联。n建立安全关联的第一步是建立正常关联,建立正
30、常关联需要终端和建立安全关联的第一步是建立正常关联,建立正常关联需要终端和AP之间完之间完成信道、物理层协议及传输速率同步、终端认证和关联建立过程,由于需要用成信道、物理层协议及传输速率同步、终端认证和关联建立过程,由于需要用802.1X进行双向身份认证,因此,关联建立过程常使用开放系统认证方式;进行双向身份认证,因此,关联建立过程常使用开放系统认证方式;n如果安全机制采用如果安全机制采用802.11i,在没有用,在没有用802.1X完成双向身份认证和临时密钥分完成双向身份认证和临时密钥分配前,关联是非授权关联,终端不能通过该关联向配前,关联是非授权关联,终端不能通过该关联向AP发送数据。发送
31、数据。这种网络结构可以使用户接入相同这种网络结构可以使用户接入相同SSID的不同无线局域的不同无线局域网,而且通过用户名和口令对每一个用户进行身份认证,网,而且通过用户名和口令对每一个用户进行身份认证,不同用户和不同用户和AP分配不同的临时密钥分配不同的临时密钥TK,因此,因此,TK只是只是安全关联存在期间,特定终端和安全关联存在期间,特定终端和AP的共享密钥。的共享密钥。双向双向CHAP网络结构网络结构challenge1MD5(标识标识符符challenge1PASSA)challenge2n一旦注册,认证服务器的认证数据库中有用户名和口令,同时,注册用户也被告一旦注册,认证服务器的认证数
32、据库中有用户名和口令,同时,注册用户也被告知用户名和口令,因此,用户名和口令只有认证服务器和用户知道;知用户名和口令,因此,用户名和口令只有认证服务器和用户知道;nAP和认证服务器之间通信需要通过共享密钥和认证服务器之间通信需要通过共享密钥K认证发送端身份,因此,只有拥有认证发送端身份,因此,只有拥有和认证服务器之间共享密钥的和认证服务器之间共享密钥的AP才是授权才是授权AP;n一旦证明某个用户拥有注册用户名和口令,该用户就是注册用户,同样,用户一一旦证明某个用户拥有注册用户名和口令,该用户就是注册用户,同样,用户一旦通过旦通过AP证明认证服务器知道用户名和口令,也证明证明认证服务器知道用户名
33、和口令,也证明AP是授权是授权AP。MD5(标识标识符符challenge2PASSA)nTLS的功能一是约定安全参数,如加密算法、报文摘要算法、压缩的功能一是约定安全参数,如加密算法、报文摘要算法、压缩算法及主密钥等,二是认证双方身份;算法及主密钥等,二是认证双方身份;n认证双方身份的过程是首先用证书证明用户名和认证双方身份的过程是首先用证书证明用户名和SSID与公钥的绑定,与公钥的绑定,然后证明自己拥有公钥对应的私钥;然后证明自己拥有公钥对应的私钥;n由于由于AP和认证服务器之间通信时,用共享密钥认证对方身份,因此,和认证服务器之间通信时,用共享密钥认证对方身份,因此,一旦证实认证服务器的
34、身份,也证实了一旦证实认证服务器的身份,也证实了AP的身份。的身份。TLS网络结构网络结构nEAP认证协议认证协议和和TLS认证机认证机制;制;n用户用户A和和AP之之间无线局域网间无线局域网连接;连接;nEAP的操作过的操作过程是不断重复程是不断重复请求和响应报请求和响应报文,每一个文,每一个EAP报文可以报文可以包含多个包含多个TLS消息。消息。n802.1X分两步,先是完成双向身份认证,如果分两步,先是完成双向身份认证,如果采用双向采用双向CHAP认证机制,认证服务器和终端通认证机制,认证服务器和终端通过口令推出主密钥,如果采用过口令推出主密钥,如果采用TLS认证机制,由认证机制,由认证
35、服务器和终端通过认证过程约定主密钥,完认证服务器和终端通过认证过程约定主密钥,完成双向身份认证后,由认证服务器向成双向身份认证后,由认证服务器向AP发送一发送一个主密钥;个主密钥;nAP然后和终端通过密钥分配过程生成成对临时然后和终端通过密钥分配过程生成成对临时密钥密钥TK,成对临时密钥的含义是该密钥只是终,成对临时密钥的含义是该密钥只是终端和端和AP之间的共享密钥,而且只是在安全关联之间的共享密钥,而且只是在安全关联存在期间有效。存在期间有效。n以终端和以终端和AP具有的主密钥、双方交换的随机数具有的主密钥、双方交换的随机数AN和和SN、终端和、终端和AP的的MAC地址为伪随机数种子生成过度
36、密钥;地址为伪随机数种子生成过度密钥;n为了求证终端和为了求证终端和AP生成相同的过度密钥,双方用过度密钥导出的证实密钥生成相同的过度密钥,双方用过度密钥导出的证实密钥加密传输的加密传输的EAPOL-KEY帧的报文摘要,如果对方用证实密钥解密后得出的帧的报文摘要,如果对方用证实密钥解密后得出的报文摘要和对接收到的报文摘要和对接收到的EAPOL-KEY帧计算所得的报文摘要相同,表明双方帧计算所得的报文摘要相同,表明双方具有相同的证实密钥,因而确定双方具有相同的过度密钥及通过过度密钥具有相同的证实密钥,因而确定双方具有相同的过度密钥及通过过度密钥导出的临时密钥。导出的临时密钥。802.1X密钥分配
37、过程密钥分配过程n主密钥(主密钥(PMK)或由口令导出,或由)或由口令导出,或由TLS认证过程产生,认证过程产生,AN和和SN密钥分密钥分配过程中相互交换;配过程中相互交换;n针对不同的加密机制(针对不同的加密机制(TKIP或或CCMP)伪随机数生成器生成不同长度的随)伪随机数生成器生成不同长度的随机数,该随机数作为过度密钥;机数,该随机数作为过度密钥;n其他密钥通过分解过度密钥产生,证实密钥其他密钥通过分解过度密钥产生,证实密钥KCK用于证实终端和用于证实终端和AP产生相产生相同的过度密钥。同的过度密钥。本讲本讲主要内容主要内容nWPA2WPA2企业模式企业模式;nWPA2WPA2个人模式个
38、人模式。 WPA2WPA2企业模式应用环境如企业模式应用环境如图所图所示,需要配置专示,需要配置专用的鉴别服务器,由鉴别服务器统一完成对用户的用的鉴别服务器,由鉴别服务器统一完成对用户的身份鉴别过程。采用基于用户身份的鉴别机制,可身份鉴别过程。采用基于用户身份的鉴别机制,可以用用户名和口令,或者是证书和私钥唯一标识用以用用户名和口令,或者是证书和私钥唯一标识用户身份户身份。 WPA2 WPA2企业模式下的加密、完整性检测机制和身企业模式下的加密、完整性检测机制和身份鉴别份鉴别机制与机制与802.11i802.11i相同。相同。 1 1密钥导出密钥导出PMKPMK过程过程 属于属于相同相同BSS
39、BSS的终端配置的终端配置8 86363个字符长个字符长度的字符串作为密钥,终端和度的字符串作为密钥,终端和APAP可以通过密可以通过密钥导出钥导出256b256b长度的预共享密钥长度的预共享密钥PSKPSK。2 2由由PSKPSK导出导出PTKPTK的过程的过程 WPA2 WPA2个人模式下,终端和个人模式下,终端和APAP直接将直接将256b256b长度的长度的PSKPSK作为作为PMKPMK,采用和,采用和802.11i802.11i相同的相同的PTKPTK生成生成过程。过程。MICMICA A= HMAC= HMACKCKKCK(D DA A)MICMICB B= HMAC= HMAC
40、 KCK KCK(D DB B)MICMICC C =HMAC =HMACKCKKCK(ACKACK) 终端终端和和APAP鉴鉴别对方身份过程别对方身份过程就是确定对方是就是确定对方是否拥有与自己相否拥有与自己相同的同的KCKKCK和和KEKKEK的的过程。过程。 WPA2WPA2个人模式下,所有配置相同密钥个人模式下,所有配置相同密钥的终端有着相同的的终端有着相同的PMKPMK,因此,当终端,因此,当终端Y Y嗅嗅探到终端探到终端X X与与APAP之间为生成之间为生成PTKPTK相互交换的相互交换的信息,终端信息,终端Y Y获得终端获得终端X X生成生成PTKPTK所需的所需的PMKPMK、APAP的的MACMAC地址、终端地址、终端X X的的MACMAC地址、地址、APAP产生产生的随机数的随机数ANAN、终端、终端X X产生的随机数产生的随机数SNSN,因,因此,终端此,终端Y Y也可以生成终端也可以生成终端X X与与APAP之间的之间的PTKPTK,从而能够解密嗅探到的终端,从而能够解密嗅探到的终端X X与与APAP之之间传输的密文。间传输的密文。