亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于WAP加密安全性分析

        2014-08-08 17:21:31馬秋賢鄭揚(yáng)馳
        無(wú)線互聯(lián)科技 2014年6期
        關(guān)鍵詞:加密算法加密技術(shù)報(bào)文

        馬秋賢 鄭揚(yáng)馳

        摘要:本文簡(jiǎn)單闡述了WAP加密認(rèn)證的體系結(jié)構(gòu)和認(rèn)證整個(gè)流程,同時(shí)指出了WAP加密中存在的不安全問(wèn)題,即可以利用中間人攻擊達(dá)到對(duì)WLAN的威脅,并提出了改進(jìn)的有效措施和建議。

        關(guān)鍵詞:WAP;WLAN;IEEE;802.111引言

        隨著各種各樣移動(dòng)設(shè)備的大范圍使用,這些設(shè)備連接互聯(lián)網(wǎng)已經(jīng)越來(lái)越頻繁。而移動(dòng)設(shè)備連接互聯(lián)網(wǎng)是通過(guò)無(wú)線連接。無(wú)線與有線連接方式在物理上存在很大的差別,因?yàn)闊o(wú)線是通過(guò)無(wú)線電波連接,任何在該無(wú)線覆蓋范圍內(nèi)的用戶都可以通過(guò)不同的途徑連接,其方便了很多合法的用戶,特別對(duì)應(yīng)移動(dòng)性較強(qiáng)的用戶。但另一方面對(duì)于安全性方面更具有挑戰(zhàn)性。

        眾所周知,前期的IEEE 802.11協(xié)議是無(wú)線連接的標(biāo)準(zhǔn)協(xié)議,該協(xié)議是為了方便移動(dòng)用戶連接無(wú)線網(wǎng)絡(luò),但在安全性方面沒(méi)有做太多的要求,但隨著無(wú)線網(wǎng)絡(luò)的普及和無(wú)線技術(shù)的發(fā)展,無(wú)線網(wǎng)絡(luò)這一致命的弱點(diǎn)很容易被非法的用戶利用,并對(duì)無(wú)線網(wǎng)絡(luò)安全造成很大的威脅。IEEE802.11i所使用的加密技術(shù)是基于WEP(有線等效加密)協(xié)議,該協(xié)議設(shè)計(jì)目標(biāo)是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全性,它可以防止明文數(shù)據(jù)在無(wú)線傳輸中被竊聽(tīng),并不足以對(duì)抗具有專門(mén)知識(shí)、充足計(jì)算資源的黑客對(duì)使用WEP加密的數(shù)據(jù)進(jìn)行攻擊。

        2WAP加密技術(shù)工作流程

        WPA采用了802.1x和TKIP來(lái)實(shí)現(xiàn)WLAN的訪問(wèn)控制、密鑰管理與數(shù)據(jù)加密。802.1x是一種基于端口的訪問(wèn)控制標(biāo)準(zhǔn),用戶必須通過(guò)了認(rèn)證并獲得授權(quán)之后,才能通過(guò)端口使用網(wǎng)絡(luò)資源。TKIP雖然與WEP同樣都是基于RC4加密算法,但同時(shí)引入了4個(gè)新算法:

        ⑴擴(kuò)展的48位初始化向量(IV)和IV順序規(guī)則(IV Sequencing Rules);

        ⑵每包密鑰構(gòu)建機(jī)制(per-packet key construction);

        ⑶Michael(Message Integrity Code,MIC)消息完整性代碼;

        ⑷密鑰重新獲取和分發(fā)機(jī)制。

        WPA系統(tǒng)在工作的時(shí)候,先由AP向外公布自身對(duì)WPA的支持,在Beacons、Probe Response等報(bào)文中使用新定義的WPA信息元素(Information Element),這些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。STA根據(jù)收到的信息選擇相應(yīng)的安全配置,并將所選擇的安全配置表示在其發(fā)出的Association Request和Re-Association Request報(bào)文中。WPA通過(guò)這種方式來(lái)實(shí)現(xiàn)STA與AP之間的加密算法以及密鑰管理方式的協(xié)商。

        STA通過(guò)了802.1x身份驗(yàn)證之后,AP會(huì)得到一個(gè)與STA相同的Session Key, AP與STA將該Session Key作為PMK(Pairwise Master Key,對(duì)于使用預(yù)共享密鑰的方式來(lái)說(shuō),PSK就是PMK)。隨后AP與STA通過(guò)EAPOL-KEY進(jìn)行WPA的四次握手(4-Way Handshake)過(guò)程。(如圖1所示)

        四次握手協(xié)議執(zhí)行過(guò)程如下:

        ⑴AP發(fā)送EAPOL-Key消息1給STA,其中包含Anonce,STA接收后進(jìn)行重放攻擊檢查,若通過(guò)就利用Anonce和自己產(chǎn)生的Snonce調(diào)用PRF函數(shù)計(jì)算生成PTK。

        ⑵STA發(fā)送EAPOL-Key消息2給AP,其中包含Snonce,并在KeyData字段中放入STA的RSNIE,并用計(jì)算出的MIC對(duì)此消息進(jìn)行數(shù)據(jù)完整性保護(hù)。

        ⑶AP收到消息2后把得到的STA的隨機(jī)數(shù)Snonce和自己的Anonce采用PRF函數(shù)計(jì)算PTK,再使用計(jì)算出PTK(Pairwise Transient Key)中的MK對(duì)消息2進(jìn)行數(shù)據(jù)完整性校驗(yàn)。如校驗(yàn)失敗就放棄消息2,如成功,AP會(huì)將STA發(fā)來(lái)的RSNIE和在前一階段建立關(guān)聯(lián)時(shí)發(fā)送的RSNIE進(jìn)行比較,如不同則說(shuō)明該STA可能為假冒者,中斷STA的關(guān)聯(lián),若相同則EAPOL-Key消息3給STA。其中包含Anonce、KeyRSC、RSNIE和MIC(Message Integrity Code)。

        ⑷STA發(fā)送EAPOL-Key消息4給AP,AP收到后進(jìn)行重放攻擊檢查。若通過(guò)就驗(yàn)證MIC,驗(yàn)證通過(guò)就裝載PTK,而STA在發(fā)送完消息4后也裝載相應(yīng)的PTK,四次握手過(guò)程到次完成。

        四次握手成功后,AP要生成一個(gè)256位的GTK(Group Transient Key),GTK是一組全局加密密鑰,所有與該AP建立關(guān)聯(lián)的STA均使用相同的GTK,AP用這個(gè)GTK來(lái)加密所有與它建立關(guān)聯(lián)的STA的通信報(bào)文, STA則使用這個(gè)GTK來(lái)解密由AP發(fā)送的報(bào)文并檢驗(yàn)其MIC。該密鑰可以分解為三種不同用途的密鑰, 最前面的128位作為構(gòu)造全局“每報(bào)文密鑰”(Per-packet Encryption Key)的基礎(chǔ)密鑰(Base Key),后面的兩個(gè)64位的密鑰分別作為計(jì)算和檢驗(yàn)WPA數(shù)據(jù)報(bào)文的MIC的密鑰。AP使用EAPOL-KEY加密密鑰將GTK加密并發(fā)送給STA,并指明該GTK是否允許STA用作發(fā)送報(bào)文所使用,STA成功接收到該報(bào)文,將GTK解密后,向AP發(fā)送應(yīng)答報(bào)文,并根據(jù)AP所指示的Key Index將其安裝無(wú)線網(wǎng)卡的相應(yīng)位置,如果AP使用GTK作為向某一STA單播傳輸?shù)拿荑€,則該STA也需要使用GTK作為向AP發(fā)送單播報(bào)文的密鑰。WAP并不直接使用由PTK/GTK分解出來(lái)的密鑰作為加密報(bào)文的密鑰,而是將該密鑰作為基礎(chǔ)密鑰(Base Key),經(jīng)過(guò)兩個(gè)階段的密鑰混合過(guò)程,從而生成一個(gè)新的每一次報(bào)文傳輸都不一樣的密鑰,該密鑰才是用做直接加密的密鑰。

        3WAP加密技術(shù)存在的安全問(wèn)題

        在WPA中,AP支持WPA和WEP無(wú)線客戶端的混合接入。在STA與AP建立關(guān)聯(lián)時(shí),AP可以根據(jù)STA的Association Request中是否帶有WPA信息元素來(lái)確定哪些客戶端支持使用WPA。但是在混合接入的時(shí)候,所有WPA客戶端所使用的加密算法都得使用WEP,這就降低了無(wú)線局域網(wǎng)的整體安全性。

        此外,通過(guò)對(duì)整個(gè)握手過(guò)程的分析可以了解到,惡意的攻擊者可以在四次握手的過(guò)程中消息2發(fā)送后,冒充AP向STA發(fā)送偽造的msg1。STA將根據(jù)新的msg1中的Anonce和本身產(chǎn)生新的Snonce,重新計(jì)算PTK,而PTK與認(rèn)證者收到msg2后產(chǎn)生的PTK顯然是不一致的,這樣STA收到msg3后無(wú)法正確校驗(yàn),就會(huì)導(dǎo)致四次握手過(guò)程被終止,造成了DOS攻擊。(如圖3所示)

        4解決WAP加密技術(shù)安全問(wèn)題的方法

        對(duì)于以上存在的安全問(wèn)題,可以在當(dāng)前的四次握手協(xié)議上做一部分改動(dòng),使STA保存所有可能的PTK,這樣可以適用這些PTK對(duì)msg3的MIC進(jìn)行認(rèn)證,從而可以防止上面提到的攻擊行為。

        其次,當(dāng)STA加入或者離開(kāi)的時(shí)候必須更新組密鑰,在四次握手結(jié)束后,就可通過(guò)組密鑰握手協(xié)議更新GTK,更新的基本思路是AP選擇一個(gè)具有密碼性質(zhì)的256bit隨機(jī)數(shù)作為組密鑰,接著由GMK、AP的MAC地址直接推導(dǎo)出256bit的組臨時(shí)密鑰GTK,將GTK包含在EAPOL-Key消息中加密傳送。

        [參考文獻(xiàn)]

        [1]馬建峰,吳振強(qiáng).無(wú)線局域網(wǎng)安全體系結(jié)構(gòu).北京:高等教育出版社,2008.

        [2]楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階.北京:電子工業(yè)出版社,2011.

        [3]姚琳,王雷.無(wú)線網(wǎng)絡(luò)安全技術(shù).北京:清華大學(xué)出版社,2013.

        猜你喜歡
        加密算法加密技術(shù)報(bào)文
        基于J1939 協(xié)議多包報(bào)文的時(shí)序研究及應(yīng)用
        海洋水文信息加密技術(shù)方案設(shè)計(jì)與測(cè)試
        CTCS-2級(jí)報(bào)文數(shù)據(jù)管理需求分析和實(shí)現(xiàn)
        淺析反駁類報(bào)文要點(diǎn)
        數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用
        電子制作(2018年16期)2018-09-26 03:27:10
        ATS與列車(chē)通信報(bào)文分析
        在計(jì)算機(jī)網(wǎng)絡(luò)安全中數(shù)據(jù)加密技術(shù)的應(yīng)用
        基于小波變換和混沌映射的圖像加密算法
        Hill加密算法的改進(jìn)
        基于四叉樹(shù)網(wǎng)格加密技術(shù)的混凝土細(xì)觀模型
        午夜视频在线观看国产| 人妻在卧室被老板疯狂进入国产| 亚洲AV成人无码久久精品四虎| 国产成人综合亚洲国产| 日本人妖熟女另类二区| 国产综合无码一区二区辣椒 | 在线观看老湿视频福利| 久久精品一区二区三区av| 在线丝袜欧美日韩制服| 美女视频在线观看一区二区三区| 欧美日韩午夜群交多人轮换| 国产av精国产传媒| 日本视频一区二区三区免费观看| 国产精品亚洲一区二区三区久久| 少妇久久久久久被弄高潮| 欧美老妇与zozoz0交| 国产成年无码aⅴ片在线观看| 国产无卡视频在线观看| 人妻少妇久久久久久97人妻| 少妇太爽了在线观看| 国产高清一区在线观看| 免费av日韩一区二区| 国产老妇伦国产熟女老妇高清| 国产黄色三级三级三级看三级| 强开小婷嫩苞又嫩又紧视频| 野花社区www高清视频| 久久午夜无码鲁丝片直播午夜精品 | 精品国产三级国产av| 真人做爰试看120秒| 五月婷婷俺也去开心| 成人精品免费av不卡在线观看| 久久精品国产免费一区二区三区| 久热国产vs视频在线观看| 精品视频999| 中文字幕亚洲永久精品| 胸大美女又黄的网站| 人妻在卧室被老板疯狂进入国产 | 久久精品亚州中文字幕| 免费看黄色电影| 午夜免费福利一区二区无码AV| 日韩精品极品系列在线免费视频|