無線局域網(wǎng)中使用的加密技術(shù)

01引言什么是WLAN？無線局域網(wǎng)絡英文全名：WirelessLocalAreaNetworks；簡寫為：WLAN。WLAN利用射頻技術(shù)，使用電磁波，取代雙絞線，所構(gòu)成的局域網(wǎng)絡。Wi-Fi是WLAN的重要組成部分，屬于采用WLAN協(xié)議中的一項新技術(shù)。Wi-Fi的覆蓋范圍則可達90米左右，而WLAN最大可以到5KM。WLAN在為人們提供便利的同時，安全問題也日漸突出。WLAN與Wi-Fi的區(qū)別什么是802.11？802.11協(xié)議簇是國際電工電子工程學會（IEEE）為無線局域網(wǎng)絡制定的標準。802.11采用2.4GHz和5GHz這兩個ISM頻段。目前主流的Wi-Fi實用的是802.11n協(xié)議。最新的無線AP廠商開始改用802.11ac協(xié)議。802.11是Wi-Fi使用的協(xié)議02WEP協(xié)議WEP協(xié)議概述相對于有線網(wǎng)絡來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)更容易遭到竊聽。無線局域網(wǎng)中應用加密和認證技術(shù)的最根本目的就是使無線業(yè)務能夠達到與有線業(yè)務同樣的安全等級。針對這個目標，IEEE802.11標準中采用了WEP協(xié)議來設置專門的安全機制，進行業(yè)務流的加密和節(jié)點的認證。協(xié)議的制定WEP是建立在RC4序列密碼機制上的協(xié)議，并使用CRC-32算法進行數(shù)據(jù)檢驗和校正從而確保數(shù)據(jù)在無線網(wǎng)絡中的傳輸完整性。RC4算法RC4加密算法是RSA三人組中的RonaldRivest在1987年設計的密鑰長度可變的序列密碼算法簇。在WEP協(xié)議中密鑰長度可選擇64bit和128bit。由偽隨機數(shù)產(chǎn)生算法（PRGA）和密鑰調(diào)度算法（KSA）兩部分構(gòu)成。算法概述羅納德·李維斯特RC4算法1）KSA算法線性填充：將S數(shù)組按從0至255的順序填充，即令S0=0，S1＝1，…，S255＝255，記為Si。密鑰填充：用密鑰重復填充另一個256字節(jié)的數(shù)組，不斷重復密鑰直到填充到整個數(shù)組，得到：K0,K1,…,K255，記為Ki。S盒交換：對于i=0到255，計算j=(j+Si＋Ki)mod256，交換Si與Ki。KSA算法最終得到一個八進八出的S盒：S0、S1…S255。0123…254255S0S1S2S3S254S255…k0k1k2…k254k255K0K1K2K3K254K255…設k0=3，i=0時，j=(j+S1+K1)mod256=0+k0=3，交換S0和K30k3RC4算法2）PRGA算法算法用到兩個計數(shù)器i、j，設其初值為0。每加密一個字節(jié)，將（i+1mod256）賦值給i，將（j+Simod256）賦值給j。交換Si、Sj。中間變量t=(Si+Sj)mod256，密鑰K=St。最后利用得到的密鑰K與明文進行按位模2加。79314251…2195S0S1S2S3S254S255…00ijt13K254RC4算法2）PRGA算法算法用到兩個計數(shù)器i、j，設其初值為0。每加密一個字節(jié)，將（i+1mod256）賦值給i，將（j+Simod256）賦值給j。交換Si、Sj。中間變量t=(Si+Sj)mod256，密鑰K=St。最后利用得到的密鑰K與明文進行按位模2加。79251143…2195S0S1S2S3S254S255…00ijt13K2100010101K1001100110001100MCRC4算法RC4算法的實現(xiàn)RC4的算法比較簡單，軟件容易實現(xiàn)。只需把算法中的i、j和S盒作為其內(nèi)部狀態(tài)?；谶@種觀點，編寫程序時把內(nèi)部狀態(tài)封裝在一個結(jié)構(gòu)體中，KSA算法和PRGA算法則直接對這一結(jié)構(gòu)體進行操作即可實現(xiàn)。RC4算法RC4算法安全性分析在RC4算法流程中，對S盒進行的唯一操作是交換。S盒始終保存256bit初始信息的某個轉(zhuǎn)置狀態(tài)，而且轉(zhuǎn)置隨著時間而更新。這也是算法的強度所在。算法的內(nèi)部狀態(tài)一共用256！個，此狀態(tài)大約保存了1700bit的信息。RC4算法RC4算法安全性分析S盒的初始化狀態(tài)僅僅依靠于加密密鑰K，因此，若已知加密密鑰就可完全破解RC4算法。加密密鑰完全且唯一確定了RC4輸出的偽隨機數(shù)序列，相同的密鑰總是產(chǎn)生相同的序列。另外，RC4算法本身并不提供數(shù)據(jù)完整性校驗功能，此功能的實現(xiàn)必須由其他方法實現(xiàn)。RC4算法RC4算法安全性分析RC4算法屬于序列密碼，相同的密鑰總是產(chǎn)生相同的輸出。為解決密鑰重用的問題，WEP協(xié)議中引入了初始化向量IV。初始化向量為一隨機數(shù)，每次加密時隨機產(chǎn)生。初始化向量以某種形式與原密鑰相結(jié)合，作為此次加密的密鑰。由于并不屬于密鑰的一部分，所以無須保密，多以明文傳輸。循環(huán)冗余檢查循環(huán)冗余檢查WEP協(xié)議中使用循環(huán)冗余算法（CRC-32）進行數(shù)據(jù)的完整性檢查。CRC校驗碼的編碼方法：1、用待發(fā)送的二進制數(shù)據(jù)t(x)乘上Xr(r為生成多項式的階數(shù))2、將結(jié)果除以生成多項式g(x)完成的，最后的余數(shù)即為CRC校驗碼。WEP協(xié)議采用CRC-32的方式對數(shù)據(jù)進行編碼,其生成的多項式為:x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1。例如：對M(x)=1100，用G(x)=1011，求CRC碼。a.將待編碼的k=4位有效信息位組寫成表達式：

M(x)=Ck-1Xk-1+Ck-2Xk-2+……+C1X+C0=X3+X2=1100b.將信息位組左移r=3位,M(x)·

Xr=M(X)·

X3=1100000c.用M(x)·

Xr除以G(x)，所得余數(shù)作為校驗位。d.有效的CRC碼[此處為(7,4)碼]為：

M(x)·

Xr+R(x)=

1100000+010=1100010。循環(huán)冗余檢查CRC-32算法的缺陷：1、檢驗和是有效數(shù)據(jù)的線性函數(shù)，惡意攻擊者可以隨意篡改原文的內(nèi)容。2、由于CRC-32檢驗和不是加密函數(shù)，只負責檢驗原文是否完整，惡意攻擊者還可以自己生成數(shù)據(jù)進行發(fā)送。由于這些缺陷的存在，攻擊者開發(fā)了多種方法來破解WEP，例如chopchop攻擊、分段攻擊、FMS攻擊和PTW攻擊等。WEP協(xié)議WEP協(xié)議WEP加密過程1、計算校驗和對輸入數(shù)據(jù)進行完整性校驗和計算。把輸入數(shù)據(jù)和計算得到的校驗和組合起來得到新的加密數(shù)據(jù)，也稱之為明文，明文作為下一步加密過程的輸入。CRC-32輸入校驗碼輸入明文MWEP協(xié)議WEP加密過程2、加密將24位的初始化向量和40位的密鑰連接進行校驗和計算，得到64位的加密密鑰。將這個64位的數(shù)據(jù)輸入到PRGA算法中，產(chǎn)生加密時所用的亂數(shù)。亂數(shù)與明文按位異或，生成密文。明文MIV密鑰PRGA亂數(shù)⊕密文CWEP協(xié)議WEP加密過程3、傳輸將初始化向量和密文串接起來，得到要傳輸?shù)募用軘?shù)據(jù)頓，在無線鏈路上傳輸。明文MIV密鑰PRGA亂數(shù)⊕密文CWEP協(xié)議的不安全因素RC4算法問題RC4算法存在弱密鑰性。研究發(fā)現(xiàn)，存在特殊格式的初始化向量IV，用它構(gòu)造的密鑰（弱密鑰）生成的偽隨機數(shù)的初始字節(jié)與此密鑰的少數(shù)幾個字節(jié)存在很強的相關(guān)性，大大地減少了搜索密鑰空間所需的工作量。WEP協(xié)議的不安全因素WEP本身的缺陷使用了靜態(tài)的WEP密鑰。WEP協(xié)議中不提供密鑰管理，所以對于許多無線連接網(wǎng)絡中的用戶而言，同樣的密鑰可能需要使用很長時間。WEP協(xié)議的共享密鑰為40位，用來加密數(shù)據(jù)顯得過短，不能抵抗某些具有強大計算能力的組織或個人的窮舉攻擊或字典攻擊。WEP協(xié)議的不安全因素WEP本身的缺陷WEP沒有對加密的完整性提供保護。協(xié)議中使用了未加密的循環(huán)冗余碼校驗CRC檢驗數(shù)據(jù)包的完整性，并利用正確的檢查和來確認數(shù)據(jù)包。未加密的檢查和加上密鑰數(shù)據(jù)流一起使用會帶來安全隱患，并常常會降低安全性。WEP協(xié)議的不安全因素WEP本身的缺陷由于WEP中存在這些缺陷，當在多個數(shù)據(jù)包上使用相同WEP靜態(tài)密鑰、相同的IV進行加密時，就產(chǎn)生了大量的弱密鑰。攻擊者收集到足夠多的使用弱密鑰進行加密的數(shù)據(jù)包后，經(jīng)過統(tǒng)計分析，只需要相對較少的計算量就可以逐個字節(jié)地破解出靜態(tài)密鑰。WEP破解方法舉例被動無線網(wǎng)絡竊聽由于WEP中存在這些缺陷，當在多個數(shù)據(jù)包上使用相同WEP靜態(tài)密鑰、相同的IV進行加密時，就產(chǎn)生了大量的弱密鑰。攻擊者收集到足夠多的使用弱密鑰進行加密的數(shù)據(jù)包后，經(jīng)過統(tǒng)計分析，只需要相對較少的計算量就可以逐個字節(jié)地破解出靜態(tài)密鑰。WEP破解方法舉例ARP請求攻擊模式ARP，地址解析協(xié)議，是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。攻擊者抓取合法無線局域網(wǎng)客戶端的數(shù)據(jù)請求包。如果截獲到合法客戶端發(fā)給無線訪問接入點的是ARP請求包，攻擊者便會向無線訪問接入點重發(fā)ARP包。無線訪問接入點接到這樣的ARP請求后就會自動回復到攻擊者的客戶端。這樣攻擊者就能搜集到更多的初始向量IV。WEP破解方法舉例ARP請求攻擊模式當捕捉到足夠多的初始向量IV后就可以進行被動無線網(wǎng)絡竊聽并進行密碼破解。但當攻擊者沒辦法獲取ARP請求時，其通常采用的模式即使用ARP數(shù)據(jù)包欺騙，讓合法的客戶端和無線訪問接入點斷線，然后在其重新連接的過程中截獲ARP請求包，從而完成WEP密碼的破解。03WPA/WPA2協(xié)議WPA協(xié)議WPA協(xié)議概述由于WEP協(xié)議自身存在的不足導致以此為安全機制的變得脆弱而易于被攻擊破解，所以需要一種新的協(xié)議對其進行改進。WPA協(xié)議應運而生。對WPA的檢驗在2003年4月開始，完整的WPA標準是在2004年6月通過的。WPA采用的加密算法是臨時密鑰完整協(xié)議(TKIP)RC4加密算法，該算法繼承了WEP協(xié)議的加密原理，但是在WEP的加密原理上做出了巨大改進，彌補了WEP的缺陷，極大的提高了數(shù)據(jù)加密的安全性。WPA協(xié)議WPA加密過程階段一密鑰混合；階段二密鑰混合；MIC；分段；WEP封裝。WPA協(xié)議WPA加密過程圖：WPA協(xié)議1）階段一密鑰混合輸入：臨時密鑰TA128比特

發(fā)送方的MAC地址48比特

初始化向量IV的高32比特輸出：一個中間密鑰TTAK80比特階段一密鑰混合TKMACIVTTAKAES中的S盒非線性較好算法的操作：加法；異或；邏輯與；查表；操作速度較快WPA協(xié)議2）階段二密鑰混合輸入：中間變量TTAK

80比特

臨時密鑰TA128比特

初始向量IV位的低16比特輸出：WEP加密密鑰SEED128比特階段二密鑰混合TATTAKIVSEED實現(xiàn)上：加法、異或、與或、右移；實現(xiàn)簡單，運算速度較快；安全性：輸入與輸出間不存在明顯的線性或差分關(guān)系；輸出較好地掩蓋了輸入的數(shù)據(jù)。WPA協(xié)議3）MIC目的：保證名文塊MSDU數(shù)據(jù)單元的完整性輸入：MSDU的源地址(SA)、目的地址(DA)、優(yōu)先級和MSDU明文數(shù)據(jù)、MIC密鑰輸出：MIC值算法：Michael算法WPA協(xié)議Michael算法認證密鑰Kmic64bitsMichael連接函數(shù)將消息M按32bits分割成M0,M1…Mn，最后生成64bits的MIC值，接收方用共享的Kmic和接收到的消息計算出MIC’,與接收到的MIC進行校驗XSWAP是一個交換函數(shù)，XSWAP(ABCD)=BADC思想：代替+移位WPA協(xié)議4）分段，WEP封裝分段主要是將明文信息分段，有利于網(wǎng)絡傳輸WEP封裝是將第三步MIC數(shù)據(jù)完整性算法產(chǎn)生的MPDU單元利用第二步階段二密鑰混合算法生成的密鑰進行WEP封裝。WPA協(xié)議4）分段，WEP封裝優(yōu)點：之前使用WEP協(xié)議加密的設備只需要軟件升級就可以支持WPA協(xié)議，兼容性好。缺點：仍然采用RC4算法，效率較低，限制了安全性的進一步提升。TKIP是一種過渡算法WPA2協(xié)議WPA2協(xié)議WPA2協(xié)議概述為了提高安全性，IEEE在21世紀初期一直致力于制定“IEEE802.11i安全標準”方式。2004年06月IEEE802.11i安全標準制定完畢。Wi-Fi聯(lián)盟經(jīng)過修訂后推出了具有與IEEE802.11i標準相同功能的WPA2協(xié)議。目前，WPA2已經(jīng)成為一種強制性的標準。WPA2需要采用AES的芯片組來支持。WPA2協(xié)議與WPA協(xié)議的區(qū)別WPAWPA2加密算法TKIPAES完整性算法MICCCMPWPA2協(xié)議CCMP算法CCMP數(shù)據(jù)加密算法是基于高級加密標準AES的新一代加密算法。由于AES具有應用范圍廣、等待時間短、相對容易隱藏、吞吐量高等優(yōu)點，能提供比RC4算法更高的加密強度。CTRCBC-MAC保密性完整性WPA2協(xié)議CTR加密過程對輸入的計數(shù)器Ctri用密鑰進行AES算法加密，生成密鑰流SK(i)；SK(i)=AES(Ctri，K)將明文分組Pi與該密鑰流進行異或,得到密文分組Ci。Ci=Pi⊕SK(i)CTR模式保證安全性的關(guān)鍵在于正確的分配各計數(shù)器的值。不能用值相同的計數(shù)器分組加密多個明文分組。WPA2協(xié)議CBC-MAC算法CCMP模式中使用的消息完整性認證碼MIC是根據(jù)CBC-MAC算法得出的。1、將該初始向量IV與要加密的數(shù)據(jù)分組Pi進行異或；2、經(jīng)AES算法加密異或得到的數(shù)據(jù)分組,生成密文Ci；WPA2協(xié)議CBC-MAC算法處理下一個明文分組Pi+1時,初始向量IV由上一次加密生成的密文分組Ci充當；最后得到的認證碼MIC為最后一個密文分組Cm的前n位,n可以取4,6,8等值。記IV為C0，MIC=MSBn(Cm)即課堂上講的分組鏈接加密模式WPA2協(xié)議CCMP數(shù)據(jù)的封裝MPDU格式如圖所示?？梢钥闯?CCMP加密封裝將原MPDU格式擴充了16個字節(jié),其中8個字節(jié)為CCMPHeader,8個字節(jié)為MIC。CCMPHeader由PN(PacketNumber包號)、ExtIV和KeyID組成。PN為6字節(jié)的數(shù)據(jù)包序列號,相當于WEP中的IV。ExtIV比特位設置為1,用以標志CCMP。附加在DATA后面的MIC是通過前面所述的CBC-MAC模式計算出來的,它和DATA一起要經(jīng)過加密。具體封裝過程如下：（1）PN加1,保證對每個MPDU有一個不同的PN,這樣在同一臨時密鑰TK中不會重復使用PN；（2）用MAC幀頭構(gòu)造CCMP的附加認證數(shù)據(jù)AAD,CCMP算法為AAD提供完整性保護；（3）用PN,MPDU的發(fā)送地址TA及其優(yōu)先級值構(gòu)造CCMNonce；（4）把PN和KeyID放入CCMPheader；（5）根據(jù)MPDU和nonce一起構(gòu)造生成MIC-IV；（6）用MIC-IV、CCMPheader和明文MPDU,在TK作用下進行CBC-MAC計算得到MIC；（7）用PN和TA構(gòu)造計數(shù)器counter；（8）在TK控制下,對明文MPDU和MIC進行CTR加密；（9）最后,由原MAC幀頭,CCMPheader,和密文組合形成CCMPMPDU。WPA2協(xié)議CCMP安全性分析CCMP是以高級加密標準AES為核心的加密算法。比WEP和TKIP中的RC4算法具有更高的安全性。CCMP使用同一個密鑰進行CTR模式加密和CBC-MAC模式認證。CTR模式和CBC-MAC模式分別構(gòu)造不同的IV，所以不會出現(xiàn)安全問題。WPA2協(xié)議CCMP安全性分析使用同一密鑰的好處在于可以簡化CCMP的設計,降低對密鑰管理的要求,從而減少了因用戶誤用或密鑰管理不健全而造成的安全漏洞。CTRwithCBC-MAC模式已有20多年的歷史，但其強大的安全性卻得到了長期實踐的證明。04WPA/WPA2-PSK協(xié)議WAP/WPA2-PSK企業(yè)級WPA/WPA2的認證企業(yè)級的WPA認證需要一臺RADIUS服務器，該服務器存儲了用戶的相關(guān)信息，如用戶名、密碼、用戶訪問控制列表等。企業(yè)級WPA/WPA2認證過程請求連接要求設備發(fā)送ID企業(yè)級WPA/WPA2認證過程設備發(fā)送ID將設備的ID發(fā)給服務器從授權(quán)目錄中獲取設備的公鑰Ea用Ea加密的請求1+1=？轉(zhuǎn)發(fā)用Ea加密的請求1+1=？企業(yè)級WPA/WPA2認證過程轉(zhuǎn)發(fā)結(jié)果“2”用Da脫密得到并完成請求1+1=2發(fā)送結(jié)果“2”處理結(jié)果正確企業(yè)級WPA/WPA2認證過程轉(zhuǎn)發(fā)利用公鑰加密的MSK告知AP允許設備連接利用AP和設備的公鑰提供主密鑰MSK利用私鑰脫密得到主密鑰利用私鑰脫密得到MSK企業(yè)級WPA/WPA2認證過程利用MSK生成密鑰加密密鑰PMK利用PMK生成會話密鑰PTKWAP/WPA2-PSKWAP/WPA2-PSK原理企業(yè)級WPA/WPA2具有很高的安全性，但這種認證模式需要架設一臺專用的RADIUS服務器，對于小型企業(yè)和個人用戶來說，代價過于昂貴，維護也很復雜。針對小型企業(yè)和個人用戶，WPA／WPA2提供了一種不需要RADIUS服務器的預共享(Pre-SharedKey，PSK)模式。WAP/WPA2-PSKWAP/WPA2-PSK原理在PSK模式下，申請者和認證者預先輸人一個passphrase，然后根據(jù)PSK函數(shù)生成PSK。PSK=f(passphrase，ssid，kLength）ssid是認證者的服務集標識。計算得到的PSK用于替代密鑰加密密鑰PMK。WAP/WPA2-PSKWAP/WPA2-PSK原理生成會話密鑰PTK，需要5個必要元素：密鑰加密密鑰PMKAP隨機產(chǎn)生的Anonce設備隨機產(chǎn)生的SnonceAP、設備的MAC地址AMAC、SMACWPA/WPA2-PSK認證過程請求連接發(fā)送隨機信息ANonceWPA/WPA2-PSK認證過程此時設備已經(jīng)具有生成臨時密鑰PTK的所有條件產(chǎn)生SNonce產(chǎn)生PTKWPA/WPA2-PSK認證過程SNonceSMACMIC計算P