WMN網(wǎng)絡(luò)超低功耗

1、AirSnort搜集大量的數(shù)據(jù)，通常在100MB和1GB之間，然后對(duì)數(shù)據(jù)包進(jìn)行分析。由上所述我們看到一個(gè)處處都是漏洞的無線網(wǎng)絡(luò)是多么可怕，黑客會(huì)時(shí)刻來光顧你存放 在主機(jī)里的絕密信息。6 .最佳安全性最佳安全性的目的是為了向WMN用戶提供最佳保護(hù)，對(duì)大公司、金融機(jī)構(gòu)和政府部門 等需要確保無線數(shù)據(jù)安全的機(jī)構(gòu)來說，非常有參考價(jià)值。參考方案如下。決定自己的需求。了解用戶數(shù)量、工作環(huán)境類型、預(yù)期的帶寬，并詳細(xì)說明什么內(nèi) 容需要最低安全標(biāo)準(zhǔn)。檢查自己周圍的環(huán)境。檢查出其中的麻煩和錯(cuò)誤，并根據(jù)指導(dǎo)，判斷AP的最佳位置， 確保AP放在了不會(huì)受到改動(dòng)的位置。找到最好的無線AP，至少要支持128位WEP，最好能支

2、持其他安全性更高的加密方 案，還需要支持MAC過濾。重新改寫全部缺省設(shè)置，啟動(dòng)MAC地址過濾和協(xié)議過濾。構(gòu)建網(wǎng)絡(luò)。熟悉入侵檢測(cè)程序包。安裝配置VPN服務(wù)器，更新安全策略，提供一個(gè)密鑰發(fā)布的安全方法。在系統(tǒng)正式運(yùn)行前測(cè)試系統(tǒng)弱點(diǎn)。6. 3無線Mesh網(wǎng)絡(luò)相關(guān)安全協(xié)議與標(biāo)準(zhǔn)這一部分將介紹無線網(wǎng)絡(luò)安全的幾個(gè)重要協(xié)議和標(biāo)準(zhǔn)，包括RADIUS、WAPI、802. 11i、 WPA和名聲不太好的WEP。在研究無線網(wǎng)絡(luò)的安全時(shí)，經(jīng)常會(huì)碰到這些協(xié)議或標(biāo)準(zhǔn)。限于 篇幅，以下僅能作簡(jiǎn)單介紹。6. 3. 1遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)協(xié)議(RADIUS)1. RADIUS 概述遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議(RADIUS，R

3、emote AuthenticationDial In User Service)最初是由 Livingston公司提出的一個(gè)為撥號(hào)用戶提供認(rèn)證和計(jì)費(fèi)的協(xié)議，后經(jīng)多次改進(jìn)，逐漸成為一 項(xiàng)通用的網(wǎng)絡(luò)認(rèn)證、計(jì)費(fèi)協(xié)議，并定義于IETF提交的RFC2865和RFC 2866文件中。RADIUS 協(xié)議以Client / Server方式工作，客戶端為網(wǎng)絡(luò)接入服務(wù)器(NAS)，它向RADIUS服務(wù)器提交 認(rèn)證、計(jì)費(fèi)等信息，RADIUS服務(wù)器處理信息，并將結(jié)果返回給NAS。RADIUS協(xié)議的應(yīng)用范圍很廣，在移動(dòng)、數(shù)據(jù)、智能網(wǎng)等業(yè)務(wù)的認(rèn)證、計(jì)費(fèi)系統(tǒng)中都有 所應(yīng)用。WLAN的802. 1X認(rèn)證框架中，在認(rèn)證端也

4、建議使用RADIUS協(xié)議。在實(shí)際WLAN中，可以用交換機(jī)來實(shí)現(xiàn)802. 1X認(rèn)證協(xié)議中的端口控制功能。為保證 網(wǎng)絡(luò)的安全性，在網(wǎng)絡(luò)的出口和認(rèn)證端應(yīng)加上防火墻。RADIUS服務(wù)器和數(shù)據(jù)庫還可以采取 主、備結(jié)構(gòu)，以保證網(wǎng)絡(luò)的健壯性。網(wǎng)絡(luò)結(jié)構(gòu)可簡(jiǎn)化為圖6.3.1所示。WLAN的認(rèn)證端由RADIUS服務(wù)器、網(wǎng)絡(luò)接入服務(wù)器(NAS)和數(shù)據(jù)庫組成。NAS:作為RADlUS服務(wù)器的客戶端，向RADIUS服務(wù)器轉(zhuǎn)交用戶的認(rèn)證信息。并在用戶 通過認(rèn)證之后，向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)信息。Ndwarfc用域網(wǎng)空挽肌圖6.11 職國(guó)UE視句f WMN的橫償躊由毒同城隋交檢枇知果藤周端櫻人職黑饕RADIUS服務(wù)器：

5、作為認(rèn)證系統(tǒng)的中心服務(wù)器，它與NAS、數(shù)據(jù)庫相連，接收來自NAS 提交的信息，對(duì)數(shù)據(jù)庫進(jìn)行相應(yīng)的操作，并把處理結(jié)果返回給NAS。數(shù)據(jù)庫：用于保存所有的用戶信息、計(jì)費(fèi)信息和其他信息。用戶信息由網(wǎng)絡(luò)管理員添加 至數(shù)據(jù)庫中，計(jì)費(fèi)信息來自于RADIUS服務(wù)器，其他信息包括日志信息等。2、RADIUS的包格式RADIUS是應(yīng)用層的協(xié)議，在傳輸層它的報(bào)文封裝在UDP的報(bào)文中，進(jìn)而封裝進(jìn)IP包，RADIUS認(rèn)證使用1812端口，計(jì)費(fèi)使用1813端口。4頃浦如AutbcnticttoRADIUS數(shù)據(jù)包的格式如J0H-1-5-6-T-8-9-0-1 -3TT-&-7-8-9-0T-2-37- mFTF IUUP

6、包頭RADIUS敷嵬但以太網(wǎng)上的RADIUS封裝后的包蜻構(gòu)如卜:RADIUS數(shù)據(jù)包分為5個(gè)部分。Code : 1個(gè)字節(jié)，用于區(qū)分RADIUS包的類型。常用類型有：接入請(qǐng)求 (Access-Request),Code=1 ;接入接受(Assess-Accept)，Code=2；接入拒絕(Access-Reject)，Code=3；計(jì)費(fèi)請(qǐng)求(Accounting-Request)， Code=4 等。Identifier： 一個(gè)字節(jié)，用于請(qǐng)求和應(yīng)答包的匹配。Length：兩個(gè)字節(jié)，表示 RADIUS 數(shù)據(jù)區(qū)(包括 Code、Identifier、Length、Authenticators 和Att

7、rubutes)的長(zhǎng)度，單位是字節(jié)，最小20，最大為4096。(4)Authenticator： 16個(gè)字節(jié)，用于驗(yàn)證服務(wù)器端的應(yīng)答，另外還用于用戶口令的加密。RADIUS服務(wù)器和NAS的共享密鑰(Shared Secret)與請(qǐng)求認(rèn)證碼(Request Authenticator)和應(yīng)答 認(rèn)證碼(Response Authenticator)共同支持發(fā)、收?qǐng)?bào)文的完整性和認(rèn)證。另外，用戶密碼不能 在NAS和RADIUS服務(wù)器之間用明文傳輸，而一般使用共享密鑰(Shared Secret)和認(rèn)證碼 (Authenticator)通過MD5加密算法進(jìn)行加密隱藏。(5)Attributes：不定長(zhǎng)度

8、，最小可為0個(gè)字節(jié)，描述RADIUS協(xié)議的屬性，如用戶名、 口令、IP地址等信息。3. RADIUS的認(rèn)證和計(jì)費(fèi)過程如圖6. 3. 1網(wǎng)絡(luò)模型所示，認(rèn)證和計(jì)費(fèi)過程如下。申請(qǐng)者登錄網(wǎng)絡(luò)時(shí)，NAS會(huì)有一個(gè)客戶定義的Login提示符要求申請(qǐng)者輸入用戶 信息(用戶名和口令)。申請(qǐng)者輸入相關(guān)的認(rèn)證信息后，等待認(rèn)證結(jié)果。NAS在得到用戶信息后，將根據(jù)RADIUS的數(shù)據(jù)包格式，向RADIUS服務(wù)器發(fā)出 “接入請(qǐng)求(Access-Request)包，包中一般包括以下RADIUS屬性值：用戶名、用戶口令、訪問服務(wù)器的ID、訪問端口的ID。當(dāng)RADIUS服務(wù)器收到“接入請(qǐng)求”包后，首先驗(yàn)證NAS的共享密碼與RAD

9、IUS 服務(wù)器中預(yù)先設(shè)定的是否一致，以判斷其是否為所屬的RADIUS客戶端。在確認(rèn)了包的正確 性之后，RADIUS服務(wù)器會(huì)依據(jù)包中的用戶名在用戶數(shù)據(jù)庫中查詢是否有此用戶記錄。如果 用戶信息不符合，就向NAS發(fā)出“接入拒絕(Access-Reject)包。NAS在收到拒絕包后，會(huì) 立即停止用戶連接端口的服務(wù)要求，用戶被強(qiáng)制退出。如果用戶信息全部符合，服務(wù)器向NAS發(fā)出“接入質(zhì)詢”包(Access-Challenge)， 對(duì)用戶的登錄請(qǐng)求作進(jìn)一步的驗(yàn)證，其中包括用戶口令、用戶登錄訪問服務(wù)器的IP、用戶登 錄的物理端口號(hào)等。NAS收到“接入質(zhì)詢”包后，將消息顯示給用戶，要求用戶進(jìn)一步確認(rèn) 登錄請(qǐng)求。

10、用戶再次確認(rèn)后，RADIUS服務(wù)器將比較兩次的請(qǐng)求信息，決定如何響應(yīng)用戶(發(fā) 送 Access-Accept、Access-Reject 或再一次的 Access-Challenge)。當(dāng)所有的驗(yàn)證條件和握手會(huì)話均通過后，RADIUS服務(wù)器會(huì)將數(shù)據(jù)庫中的用戶配 置信息放在“接入接受” (Access-Accept)包中返回給NAS，后者會(huì)根據(jù)包中的配置信息限定 用戶的具體網(wǎng)絡(luò)訪問能力，包括服務(wù)類型(SLIP、PPP、Login User、Rlogin、Framed、Callback 等)，還包括與服務(wù)類型相關(guān)的配置信息(IP地址、時(shí)間限制等)。在所有的驗(yàn)證、授權(quán)完成后，局域網(wǎng)交換機(jī)的控制端口被

11、打開。用戶可以通過 交換機(jī)進(jìn)入網(wǎng)絡(luò)。同時(shí)，NAS向RADIUS服務(wù)器發(fā)“計(jì)費(fèi)請(qǐng)求開始”包(Accounting-Request Start)， 通知RADIUS服務(wù)器開始計(jì)費(fèi)。當(dāng)用戶下網(wǎng)時(shí)，NAS向RADIUS服務(wù)器發(fā)送“計(jì)費(fèi)請(qǐng)求結(jié)束” 包(Accounting-Request Stop)， RADIUS服務(wù)器根據(jù)計(jì)費(fèi)包的信息計(jì)算用戶使用網(wǎng)絡(luò)的費(fèi)用。6. 3. 2中國(guó)無線網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)WAPlWAPI概述安全問題一直是困擾在無線網(wǎng)絡(luò)靈活便捷的優(yōu)勢(shì)之上的陰影，已成為阻礙無線網(wǎng)絡(luò) 進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙。國(guó)際標(biāo)準(zhǔn)為此采用了 WEP、WPA、802.1x、802.11i、VPN 等方式來保證

12、WLAN等無線網(wǎng)絡(luò)的安全，但都沒有從根本上解決安全問題。我國(guó)在2003年 5月提出了 WLAN國(guó)家標(biāo)準(zhǔn)GBl5629.11,引入了一種全新的安全機(jī)制WAPI (WLANAuthentication and Privacy Infrastructure)，使WLAN等無線網(wǎng)絡(luò)的安全問題再次成為人們關(guān) 注的焦點(diǎn)。WAPI機(jī)制已由ISO / IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可，并分配 了用于該機(jī)制的以太類型號(hào)(IEEE EtherType Field)0 x88b4。這是我國(guó)在這一領(lǐng)域向ISO/IEC提 出并獲得批準(zhǔn)的惟一的以太類型號(hào)。WAPl的安全機(jī)制W

13、LAN鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI由WLAN鑒別基礎(chǔ)結(jié)構(gòu)(WAI，WLAN Authentication lnfrastructure)和 WLAN 保密基礎(chǔ)結(jié)構(gòu)(WPI，WLAN Privacy Infrastructure)組成。其中，WAI 采 用基于橢圓曲線的公鑰證書體制，無線客戶端STA和接入點(diǎn)AP通過鑒別服務(wù)器AS進(jìn)行雙 向身份鑒別。而在對(duì)傳輸數(shù)據(jù)的保密方面，WPI采用了國(guó)家商用密碼管理委員會(huì)辦公室提供 的對(duì)稱密碼算法進(jìn)行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩?。WAPI充分考慮了市場(chǎng)應(yīng)用，根據(jù)WLAN應(yīng)用的不同情況，可以不同的模式工作， 同時(shí)也可以和現(xiàn)有的運(yùn)營(yíng)商系統(tǒng)結(jié)合，支持大規(guī)模的運(yùn)

14、營(yíng)級(jí)服務(wù)。此外，根據(jù)用戶的使用場(chǎng) 景不同，WAPI的實(shí)現(xiàn)和工作方式也略有差異。WAPI的用戶使用場(chǎng)景主要有以下幾種。(1 )企業(yè)級(jí)用戶應(yīng)用場(chǎng)景：有AP和獨(dú)立的AS(鑒別服務(wù)器)，內(nèi)部駐留ASU(鑒別服務(wù) 單元)，實(shí)現(xiàn)多個(gè)AP和STA證書的管理和用戶身份的鑒別。小公司和家庭用戶應(yīng)用場(chǎng)景：有AP，ASU可駐留在AP中。公共熱點(diǎn)用戶應(yīng)用場(chǎng)景：有AP，ASU駐留在接入控制服務(wù)器中。自組網(wǎng)用戶應(yīng)用場(chǎng)景：無AP，各STA在應(yīng)用上是對(duì)等的，采用共享密鑰來實(shí)現(xiàn) 鑒別和保密。圖6. 3. 2給出了與WAI相關(guān)的STA的狀態(tài)轉(zhuǎn)換圖。與ISO / IEC 8802.11-1999的 5.5相比，該狀態(tài)圖將原有的“鑒

15、別”改為了 “鏈路驗(yàn)證”，此外新增了專用于處理WAI過 程的“鑒別狀態(tài)”。這樣，STA總共需要維護(hù)鏈路驗(yàn)證狀態(tài)、關(guān)聯(lián)狀態(tài)和鑒別狀態(tài)3個(gè)狀態(tài) 變量，由此決定了 STA將會(huì)有4種本地狀態(tài)，如圖6. 3. 2狀態(tài)1-4所示。其中STA和AP 之間的WAI鑒別過程處于狀態(tài)3。美聯(lián)成功留渡通荏物狂通伸；fit橘已未表聯(lián)狀志七槌肆已騷旺 已炳 未富別4.排昭已毋if6.5.2與VM相關(guān)前&TA的桃春轉(zhuǎn)挨圖健團(tuán)獨(dú)讓成助爵1、 W類幃們，L 制#解除鑲鹿 廉近詭管霍刷成命第I 3 .鑒別系統(tǒng)結(jié)構(gòu)圖6.3.3描述了鑒別請(qǐng)求者、鑒別器和鑒別服務(wù)實(shí)體之間的關(guān)系及信息交換過程。這 里首先介紹幾個(gè)重要概念，以有助于對(duì)鑒

16、別系統(tǒng)結(jié)構(gòu)的理解。鑒別器實(shí)體(AE):駐留在AP中，在接入服務(wù)前，提供鑒別操作。鑒別請(qǐng)求者實(shí)體(ASUE):駐留在STA中，需通過鑒別服務(wù)單元ASU進(jìn)行鑒別。鑒別服務(wù)實(shí)體(ASE)：駐留在ASU中，為鑒別器和鑒別請(qǐng)求者提供相互鑒別。在圖6.3.3中，鑒別器的受控端口處于未鑒別狀態(tài)，鑒別器系統(tǒng)拒絕提供服務(wù)，鑒 別器實(shí)體利用非受控端口和鑒別請(qǐng)求者通信。受控與非受控端口可以是連接到同一物理端口的兩個(gè)邏輯端口，所有通過物理端口的數(shù)據(jù)都可以到達(dá)受控端口和非受控端口，并根據(jù)鑒別狀態(tài)決定數(shù)據(jù)的實(shí)際流向。受控端口：只有當(dāng)該端口的鑒別狀態(tài)為已鑒別時(shí)，才允許協(xié)議數(shù)據(jù)通過。只有通過 別的STA才能使用的AP提供的數(shù)

17、據(jù)端口為受控端口。非受控端口：協(xié)議數(shù)據(jù)的傳送不受當(dāng)前鑒別狀態(tài)的限制。AP提供STA連接到鑒別 服務(wù)單元ASU的端口即為非受控端口。需要說明的是，除鑒別數(shù)據(jù)外，系統(tǒng)中AP與STA之間的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的交換都是 通過一個(gè)或多個(gè)受控端口來實(shí)現(xiàn)的。受控端口狀態(tài)由系統(tǒng)鑒別控制參數(shù)確定。另一個(gè)重要概念是鑒別服務(wù)單元ASU，前面已經(jīng)提到，在整個(gè)WAI鑒別過程中， ASU作為第三方起著提供鑒別服務(wù)的作用。此外，ASU還擔(dān)當(dāng)著為STA和AP提供證書的頒 發(fā)、認(rèn)證、吊銷等功能。一個(gè)ASU可以管理一個(gè)或多個(gè)BSS，在同一個(gè)ASU的管理范圍內(nèi)， STA與AP之間需通過ASU實(shí)現(xiàn)證書的雙向認(rèn)證。WAI鑒別基礎(chǔ)結(jié)構(gòu)在BSS

18、中，當(dāng)STA關(guān)聯(lián)或重新關(guān)聯(lián)至AP時(shí)，必須進(jìn)行相互身份鑒別。若鑒別成功， 則AP允許STA接入，否則解除其鏈路驗(yàn)證。整個(gè)鑒別過程包括證書鑒別、單播密鑰協(xié)商與 組播密鑰通告。STA與AP之間的鑒別數(shù)據(jù)分組利用以太類型字段為0 x8884的WAPI協(xié)議傳送，AP 與ASU之間的鑒別數(shù)據(jù)報(bào)文通過端口號(hào)為3810的UDP套接口傳輸。根據(jù)WLAN的不同類型，可將基于WAI的安全接入控制作以下分類。BSS(Basic Service Set，有 AP)在BSS中，采用公鑰密碼技術(shù)實(shí)現(xiàn)STA與AP之間的相互身份鑒別，證書鑒別成功 后分單播密鑰協(xié)商和組播密鑰通告。在BSS中，只有鑒別成功后，AP才允許STA接入

19、，同 時(shí)STA也才允許通過該AP收發(fā)數(shù)據(jù)。IBSS(Ad hoc 方式，無 AP)IBSS中使用的共享密鑰通過界面由用戶設(shè)置。對(duì)用戶輸入的共享主密鑰，利用密鑰 導(dǎo)山算法導(dǎo)出加密密鑰和完整性校驗(yàn)密鑰，采用與BSS同樣的WPI封裝實(shí)現(xiàn)數(shù)據(jù)的保密傳 輸。在IBSS模式下，沒有密鑰協(xié)商過程。WDS模式(無線分布式系統(tǒng))采用共享密鑰對(duì)數(shù)據(jù)進(jìn)行保密通信。用戶輸入共享主密鑰，利用KD-HMAC-SHA256 算法進(jìn)行擴(kuò)展，生成長(zhǎng)度為32個(gè)八位位組的共享會(huì)話密鑰，其中前16個(gè)八位位組為共享加 密密鑰，后6個(gè)八位位組為共享完整性校驗(yàn)密鑰。WDS的保密通信支持目前為可選項(xiàng)。WPI描述WPI采用國(guó)家密碼管理委員會(huì)辦

20、公室批準(zhǔn)的用于WLAN的SSF43對(duì)稱分組加密算法 對(duì)MAC子層的MSDU進(jìn)行加/解密處理，有兩種工作模式：用于數(shù)據(jù)保密的OFB模式和用 于完整性校驗(yàn)的CBC-MAC模式。數(shù)據(jù)發(fā)送時(shí)，WPI的封裝過程為：利用加密密鑰和數(shù)據(jù)分組序號(hào)PN,通過工作在OFB模式的加密算法對(duì)MSDU(包 括SNAP)數(shù)據(jù)進(jìn)行加密，得到MSDU密文：利用完整性校驗(yàn)密鑰與數(shù)據(jù)分組序號(hào)PN,通過工作在CBC-MAC模式的校驗(yàn)算法 對(duì)完整性校驗(yàn)數(shù)據(jù)進(jìn)行計(jì)算，得到完整性校驗(yàn)碼MIC：封裝后再組幀發(fā)送。數(shù)據(jù)接收時(shí)，WPI的解封裝過程為：判斷數(shù)據(jù)分組序號(hào)PN是否有效，若無效，則丟棄該數(shù)據(jù)：利用完整性校驗(yàn)密鑰與數(shù)據(jù)分組序號(hào)PN，通過

21、工作在CBC-MAC模式的校驗(yàn)算法 對(duì)完整性校驗(yàn)數(shù)據(jù)進(jìn)行本地計(jì)算，若計(jì)算得到的值與分組中的完整性校驗(yàn)碼MIC不同，則 丟棄該數(shù)據(jù)：利用解密密鑰與數(shù)據(jù)分組序號(hào)PN，通過工作在OFB模式的解密算法對(duì)分組中的 MSDU密文進(jìn)行解密，恢復(fù)出MSDU明文：去封裝后將MSDU明文遞交至上層處理。6.3.3 IEEE802. 11i無線局域網(wǎng)安全協(xié)議IEEE 802. 11i 概述WLAN中的WEP加密機(jī)制并不能為無線用戶提供足夠的安全保護(hù)。許多潛在的用 戶對(duì)于WLAN技術(shù)所帶來的靈活性十分感興趣，但卻由于不能夠得到可靠的安全保護(hù)而對(duì)是 否采用WLAN系統(tǒng)猶豫不決。為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來

22、，IEEE 802. 11的i工作組致力于制 訂被稱為IEEE 802.11i的新一代安全標(biāo)準(zhǔn)。這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證 性能，定義了 RSN(RobustSecurityNetwork)概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多 方面的改進(jìn)。802. 11i規(guī)定使用802. 1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了 TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode / CBC-MAC Protocol)和 WRAP(Wireless Robust Authenticated Protocol)3種加密機(jī)

23、制。其中 TKIP采用 WEP機(jī)制里的 RC4 作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN 安全的目的。CCMP機(jī)制基于 AES(Advanced Encryption Standard)加密算法和 CCM(Counter-Mode / CBC-MAC)認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的 強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升 級(jí)實(shí)現(xiàn)。WRAP機(jī)制基于AES加密算法和OCB(Offset Codebook)，是一種可選的加密機(jī)制。IEEE 802.11i的基本組成802.11i的基本組成包

24、括3個(gè)部分，分別是網(wǎng)絡(luò)認(rèn)證和授權(quán)、密鑰生成和管理與數(shù) 據(jù)加密機(jī)制。(1)網(wǎng)絡(luò)認(rèn)證和授權(quán)802.11i對(duì)網(wǎng)絡(luò)的認(rèn)證和授權(quán)提出了很高的安全要求，主要包括：防止秘密信息被竊聽：抗重放攻擊：能夠抵抗中間人攻擊：能夠抵抗詞典攻擊：能夠保證信息的完整性。針對(duì)這些要求，802. 11i并沒有重新設(shè)計(jì)自己的認(rèn)證協(xié)議，而是在滿足安全性的同時(shí)，充分考慮兼容性和可擴(kuò)展性，采用了許多現(xiàn)在比較成熟的協(xié)議。802. 11i的認(rèn)證系統(tǒng)采用了 802. 1x所定義的訪問控制機(jī)制。它由STA和AP分別 充當(dāng)請(qǐng)求者和認(rèn)證者，認(rèn)證服務(wù)器既可以和AP配置在一起，也可以單獨(dú)設(shè)立。一般情況下， 一個(gè)認(rèn)證服務(wù)器可以為多個(gè)用戶提供集中的認(rèn)證

25、服務(wù)。系統(tǒng)認(rèn)證在AS和STA之間進(jìn)行，采 用EAP協(xié)議的TLS認(rèn)證方式。信息的傳送，在請(qǐng)求者和認(rèn)證者之間是由802. 1x定義的EAPoL 協(xié)議完成的，在認(rèn)證者和認(rèn)證服務(wù)器之間，802. 11i并沒有做出強(qiáng)制要求，但目前通常采用 RADIUS協(xié)議，以后可能會(huì)采用其他協(xié)議，如Dimeter協(xié)議。802.11i的認(rèn)證協(xié)議系統(tǒng)架構(gòu)如 圖6. 3. 4所示。EAFIsfEAPoLj1EAP俏息*蝎協(xié)議(R.JLDRJS)SI 6J.4 Bg.lli認(rèn)泣系統(tǒng)的協(xié)議堵柑在通信開始的最初階段，802.11i要求STA與AP之間通過開放系統(tǒng)認(rèn)證，建立一個(gè) 802.11關(guān)聯(lián)。在這個(gè)過程中，802.11i對(duì)關(guān)聯(lián)過

26、程交互的信息做了擴(kuò)充，在信標(biāo)幀、探詢響 應(yīng)幀、關(guān)聯(lián)/再關(guān)聯(lián)請(qǐng)求幀中包含了一個(gè)被稱為健壯安全網(wǎng)絡(luò)(RSN)信息元素的數(shù)據(jù)結(jié)構(gòu)， 這個(gè)數(shù)據(jù)結(jié)構(gòu)能夠提供站點(diǎn)支持的認(rèn)證方式、數(shù)據(jù)加密和數(shù)據(jù)完整性算法等安全信息。通過 RSN信息元素，STA與AP在建立802.11關(guān)聯(lián)的過程中可以進(jìn)行安全策略的協(xié)商，安全策略 中的認(rèn)證可以采用預(yù)先共享密鑰的方式，也可以采用基于802.1X的認(rèn)證，后者是RSN的強(qiáng) 制要求的。基于802.1X的認(rèn)證目前采用EAP-TLS協(xié)議，而加密算法則可以是CCMP、TKIP或 WRAP等等。EAP-TLS協(xié)議的認(rèn)證過程是一個(gè)基于數(shù)字證書的雙向認(rèn)證，能夠保證認(rèn)證過程 的安全性。在認(rèn)證完成后

27、，AP和STA之間獲得了一個(gè)共享主密鑰(MK)，在MK的基礎(chǔ)上， STA和AS再分別用TLS中的偽隨機(jī)函數(shù)TLS-PRY構(gòu)造一個(gè)對(duì)等主密鑰(PMK)，之后AS把PMK 通過RADIUS協(xié)議的ACCEPT報(bào)文傳送到AP，從而完成PMK在STA和AP之間的綁定，這樣 就完成了系統(tǒng)的認(rèn)證和授權(quán)，STA與AP獲得了使用同一受控端口通信的授權(quán)。密鑰生成和管理總體來說，802. 11i最初密鑰產(chǎn)生的過程可以分為3個(gè)步驟：在AP和STA之間綁定PMK；在PMK的基礎(chǔ)上，通過一個(gè)4次握手協(xié)商過程，AP和STA獲得了 PTK，并完成 單播密鑰的安裝；組密鑰握手過程，向STA分發(fā)AP產(chǎn)生的多播/廣播密鑰。具體來說

28、，密鑰協(xié)商及分配過程所需的信息都通過EAPoL-Key的格式封裝在EAPoL 報(bào)文中。802.11i的密鑰管理過程如圖6.3.5所示。在4次握手中，認(rèn)證者首先選擇一個(gè)隨機(jī) 數(shù)Anonce，并發(fā)送一個(gè)信息給請(qǐng)求者，其中包含了密鑰信息和密鑰材料(Anonce)：當(dāng)請(qǐng)求者 收到報(bào)文后，進(jìn)行重放計(jì)數(shù)的檢查，如果通不過檢查，則丟棄報(bào)文，通過檢查后也挑選一個(gè) 隨機(jī)數(shù)(Snonce)，并根據(jù) Anonce、Snonce、PMK、AP 和 STA 的 MAC 地址，通過 EAPoL-PRF 函數(shù)計(jì)算出PTK，之后發(fā)送第二個(gè)信息，其中包含密鑰信息、Snonce、MIC以及自己RSN信 息元素；認(rèn)證者收到這個(gè)消息

29、后，進(jìn)行重放計(jì)數(shù)和MIC、RSN信息元素有效性檢查，并進(jìn)行 與STA 一樣的計(jì)算，得到相同的PTK，同時(shí)這個(gè)消息也包含了 Anonce、認(rèn)證者的RSN信息 元素和MIC;請(qǐng)求者收到后，檢查報(bào)文的有效性，如果通過檢查，就發(fā)送第4個(gè)信息，確認(rèn) 密鑰已經(jīng)安裝，這個(gè)信息包含有MIC來保證信息的完整性。這樣，完成4次握手以后，AP 和STA之間就獲得了一個(gè)共享PTK，用于它們之間的單播通信。謂求看僧口由證者An.EAPinL_Ktiy K財(cái)-諭匝 Sncnct, MJC” R5N IE,EAPxjL.Kcyfix Anfrnce JwflCR_M IE,卜 4 次播手.EATHL.Kcy (Key_l

30、nfc. MIC)EAPoLin 給 MIC, G7K)EaToL Kej (key姻虛田第于藤M(fèi)W lli密田皆香祖:程圖6.3.5的最后兩個(gè)信息流標(biāo)識(shí)的是組密鑰的握手過程。由于已經(jīng)安裝了 PTK，組 密鑰的分配是在其他密鑰保護(hù)下進(jìn)行的，組密鑰是一個(gè)由認(rèn)證者選擇的隨機(jī)數(shù)，AP會(huì)定期 進(jìn)行組密鑰的更新。在認(rèn)證者發(fā)送組密鑰之前，首先用KEK(EAPOL-Key Encryption Key)加密 組密鑰，然后KCK(EAPOL-Key Confirmation Key計(jì)算出MIC，一起發(fā)送給請(qǐng)求者。請(qǐng)求者將收 到的信息進(jìn)行各種安全性驗(yàn)證，如果經(jīng)過驗(yàn)證，它會(huì)在MAC層安裝這個(gè)組密鑰，并給AP 發(fā)送

31、一個(gè)確認(rèn)結(jié)果，這樣就完成了組密鑰的分發(fā)和安裝。另外在加密通信過程中，為了防止重放攻擊，802. 11i使用了包計(jì)數(shù)(48位)機(jī)制， 這樣就需要新的機(jī)制來保證在包計(jì)數(shù)耗盡前來更新加密使用的暫時(shí)密鑰TK和組密鑰。對(duì)于 組密鑰的更新，802. 11i使用一種“乒乓”機(jī)制來達(dá)到目的，它設(shè)定了兩個(gè)密鑰標(biāo)識(shí)符，在 前一個(gè)密鑰將要過期時(shí)，AP就會(huì)開始一個(gè)新的組密鑰握手過程，給所有與自己關(guān)聯(lián)的AP 安裝新的密鑰，并用信標(biāo)幀中的GNONCE(groupnonce)來同步新的密鑰使用。TK的更新，是 通過一個(gè)新的密鑰安裝過程來完成的。數(shù)據(jù)加密機(jī)制802.11i提供了比WEP更強(qiáng)大的加密機(jī)制，包含TKIP、CCMP

32、和WRAP等3種加密 方案。由于CCMP可以提供和WRAP 一樣的安全保證，而WRAP受到專利保護(hù)的限制，所以 本節(jié)不討論WRAP。TKIP是802. 11i的可選方案，其目的是給現(xiàn)有設(shè)備一個(gè)目前可以接受的安全保證， 它不是一個(gè)長(zhǎng)期性的解決方案。TKIP是在WEP的外圍增加了一些機(jī)制來彌補(bǔ)WEP的缺陷， 具體包括：利用 Michael(The message integrity code(MIC) for the Temporal Key Integruty Protocol(TKIP)算法計(jì)算的信息完整性代碼(MIC / MAC)；每包密鑰構(gòu)建機(jī)制(Per-packet Key Construction)；擴(kuò)展的48位初始化向量(W)和IV順序規(guī)則(IV Sequencing R