【正文】 驗證機制 STA WTP 身份認(rèn)證請求 發(fā)送隨機數(shù) 用密文響應(yīng) 確認(rèn)成功 生成隨機數(shù)發(fā)送到客戶端 解密收到的相應(yīng)結(jié)果，并與原發(fā)送的隨機數(shù)進(jìn)行比較，如果相同則認(rèn)為成功 RC4加密隨機數(shù) WLAN常用安全技術(shù) WPA： WIFI Protected Access WIFI訪問保護(hù) 由于 WEP無法為 WLAN的安全性做出有效的保障 ,在 臺之前 ,WIFI聯(lián)盟設(shè)計了一套用來完全取代 WEP的方案 ,即 WPA(WI FI Protected Access). WPA主要包含以下的內(nèi)容 : （ PreShared Key） 這一節(jié)講述 WPA主要針對 WPAPSK， 講述 。 WLAN常用安全技術(shù) WPAPSK采用的是一種叫做 TKIP（ Temporal Key Integrity Protocol，臨時密鑰集成協(xié)議）的協(xié)議，它的設(shè)計完全是在 WEP的基礎(chǔ)上升級而來，一般都能適用于早期使用 WEP的設(shè)備。 它對比 WEP，做出的改進(jìn)主要有： ； ； ； 。 WLAN常用安全技術(shù) TKIP加密過程 WLAN常用安全技術(shù) TKIP密鑰混合過程 WLAN常用安全技術(shù) TKIP封裝格式 WLAN常用安全技術(shù) TKIP接收解密過程 WLAN常用安全技術(shù) TKIP完整封包過程 WLAN常用安全技術(shù) TKIP加密的 WLAN常用安全技術(shù) WLAN常用安全技術(shù) 為了進(jìn)一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， 標(biāo)準(zhǔn)的 ，并且致力于從長遠(yuǎn)角度考慮解決 IEEE 。 IEEE 標(biāo)準(zhǔn)中主要包含加密技術(shù)： ?TKIP (Temporal Key Integrity Protocol) ?AES（ Advanced Encryption Standard） ? 。 IEEE 2023年 6月 24美國新澤西的 IEEE標(biāo)準(zhǔn)會議上正式獲得批準(zhǔn)。 WLAN常用安全技術(shù) WPA的關(guān)系 WPA、 WPA2是 WIFI聯(lián)盟推動的對 ，它們在 。可以說 WPA就是，在市場的一些 WLAN設(shè)備上常見一些叫法： ?WPA個人版：即 TKIP ?WPA企業(yè)版：即 ?WPA2個人版：加入了 CCMP ?WPA2企業(yè)版：即 WLAN常用安全技術(shù) CCMP加密 CCMP主要是兩個算法所組合而成的，分別是 CTR mode以及 CBCMAC mode。 CTR mode為加密算法， CBCMAC用于訊息完整性的運算。在 IEEE 規(guī)格書中， CCMP為 default mode，在所謂的 RSN work中，扮演相當(dāng)重要的角色。以下將分別簡介 CTR mode以及 CBCMAC。 RSN: (Robust Security Network) WLAN常用安全技術(shù) CTR Mode 全名是 Advanced Encryption Standard (AES) in Counter Mode，在 CCMP使用的 AES 是 based on Rijndael Algorithm所發(fā)展出的算法，主要是經(jīng)過 NIST(National Institute of Standards and Technology)修改并且認(rèn)證，不再有 TKIP protocol支持 WEP系統(tǒng)的既有攻擊，所以在安全強度上，有一定的水平。 WLAN常用安全技術(shù) CTR Mode WLAN常用安全技術(shù) CBCMAC 全名是 Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對 message block作運算，最后輸出 message authentication code，達(dá)到驗證 message的效果 (因為 CTR并沒有提供 authentication的機制 )。 CBCMAC加解密過程主要是把 Message block經(jīng)由 block cipher algorithm加密后，再把輸出給下一個 block當(dāng) input使用。一開始第一個 block沒有 input所以 IV用 0代入。在 CCMP里會把低位的 64bit無條件的去掉，只取高位 64bit當(dāng)做 MIC。 WLAN常用安全技術(shù) AESCCM加密過程 WLAN常用安全技術(shù) AESCCM加密過程分解（ 1） AESCCM要求發(fā)射機生成惟一的隨機值 Nonce，每個分組進(jìn)行加密時使用的隨機值各不相同。 第 0～ 4B是由 GMH的前 5B構(gòu)成的。第 58B是預(yù)留段，全部設(shè)置為 0。第 912B是分組序號 (Packet Number， PN)。 PN與安全關(guān)聯(lián) (SA)對應(yīng)，當(dāng)安全關(guān)聯(lián)建立和新 TEK安裝完畢后， PN設(shè)置為 1。由于 Nonce值取決于 GMH，因而接收機能夠檢測到 GMH的變化。 WLAN常用安全技術(shù) AESCCM加密過程分解（ 1） 為了產(chǎn)生消息認(rèn)證碼 (Message Authentication Code，MAC)， AESCCM使用的是 CBC模式的一種變形。 AESCCM不使用 Ⅳ，而是在對消息進(jìn)行加密之前，將 CBC分組添加到消息的開頭。初始 CBC分組是由一個標(biāo)記 、分組 Nonce值和載荷長度構(gòu)成的 。 WLAN常用安全技術(shù) AESCCM加密過程分解（ 1） 為了對載荷和消息認(rèn)證碼進(jìn)行加密， AESCCM采用了計數(shù)器(CTR)模式。使用這種模式，可生成 n個計數(shù)器分組，其中 n是與消息長度和消息認(rèn)證碼的一個分組長度 (AES使用 128bit分組 )之和相匹配的分組數(shù)。第 1個分組用于對消息認(rèn)證碼進(jìn)行加密，其余分組用于對載荷進(jìn)行加密。計數(shù)器分組是由標(biāo)識、分組 Nonce、分組序號 i(o≤i≤n) 組成的。 WLAN常用安全技術(shù) AESCCM加密過程分解（ 1） WLAN常用安全技術(shù) AESCCM加密過程分解（ 1） 消息認(rèn)證碼是通過對初始 CBC分組和明文載荷進(jìn)行加密得到的，消息認(rèn)證碼生成和消息認(rèn)證碼的加密過程如圖 79所示。產(chǎn)生消息認(rèn)證碼的第 1步是從 PDU中提取明文載荷，并將初始CBC分組添加到明文載荷的起始位置；然后，使用 AESCBC和來自連接 SA的 TEK對消息進(jìn)行加密，并選擇加密后輸出結(jié)果的最后 128bit(AES分組的大小 )來表示消息認(rèn)證碼。 發(fā)送者執(zhí)行此過程，然后對消息和消息認(rèn)證碼進(jìn)行加密。接收者對消息和消息認(rèn)證碼進(jìn)行解密，然后對消息執(zhí)行相同的過程。然后，接收者將生成的消息認(rèn)證碼與接收到的消息認(rèn)證碼進(jìn)行比較。如果兩者相同，則消息通過認(rèn)證，否則丟棄該消息。 WLAN常用安全技術(shù) AESCCM加密過程分解（ 2） WLAN常用安全技術(shù) AESCCM加密過程分解（ 2） 對消息認(rèn)證碼的加密，是通過使用 AESCTR模式和來自于SA的 TEK對計數(shù)器分組 0進(jìn)行加密來實現(xiàn)的。加密后的分組與消息認(rèn)證碼進(jìn)行異或運算，來生成加密的消息認(rèn)證碼版本。對載荷的加密，是通過使用 AESCTR模式和用于加密消息認(rèn)證碼的同一 TEK對 1～ n的計數(shù)器分組進(jìn)行加密得到的。然后，從 PDU中提取出明文載荷，并與加密后的計數(shù)器分組進(jìn)行異或運算，從而生成密文載荷。 然后，將分組序號到密文載荷前，將消息認(rèn)證碼添加到密文載荷的后面，這樣這組數(shù)據(jù)就代替了明文載荷。將 GMH中的EC位設(shè)置為 1，表示加密后的載荷，同時對 EKS進(jìn)行設(shè)置，以表示用來加密載荷的 TEK。對于新的密文載荷，如果包含了 CRC，則需要對其進(jìn)行更新。 WLAN常用安全技術(shù) 端口訪問控制 WLAN常用安全技術(shù) Client/Server的訪問控制和認(rèn)證協(xié)議。 它可以限制未經(jīng)授權(quán)的用戶 /設(shè)備通過接入端口 (access port)訪問 LAN/WLAN。