[硕士论文精品]无线局域网加密算法研究及改进

无线局域网加密算法研究及改进无线局域网加密算法研究及改进中文摘要随着网络的飞速发展，笔记本电脑的普及，人们对移动办公的要求越来越高。因而无线网络非常适合这些用户的需要，高效快捷、组网灵活的无线局域网应运而生。目前组建无线局域网应用最广泛的就是基于80211协议的无线局域网技术。无线局域网与有线局域网相比更容易受到安全威胁，主要原因在于开放性。无线局域网的无线收发机常常采用全向天线，信息被发送到开放的空间，与有线局域网有固定物理边界不同，无线局域网的信息边界是开放的、不确定的，因而更容易造成信息泄露，遭受未授权获取信息的攻击。无线局域网在信息传输的过程，大致可以分为身份认证、密钥协商、数据加密、数据传输几个模块。各信息传输模块中会产生用户身份合法性、密钥管理、数据机密性和数据完整性等安全问题，而且这些问题相互依赖。本文以无线局域网络的信息安全问题为研究背景，以加密认证算法为研究重点，以密码算法分析为支撑，以加密算法的应用为主线，研究了无线局域网中通用的加密认证算法。以常用的WEP、TKIP和AES算法为主要对象，分析了WEP、TKIP和AES的加密算法。同时在对这几个算法进行深入分析的基础上，设计了一种既可以在原来80211无线网络硬件设备环境下使用的，又可以提供足够网络安全的数据加密方法。提出了对于WEP的增强机制的加解密过程、密钥更新机制方案，解决了对以前用于80211无线网络设备WEP认证过渡解决方案。关键词加密算法，无线局域网，WEP，TKIP，AES作者朱利民指导教师朱巧明英文摘要无线局域网加密算法研究及改进THERESEARCHANDIMPROVEMENTOFWIRELESSLANEYPTIONALGORITHMNCRYPTIONAIRORITHMABSTRACTWITHTHERAPIDDEVELOPMENTOFTHENETWORKANDTHEPOPULARITYOFNOTEBOOKCOMPUTERS，THEREISALLINCREASINGDEMANDFORMOBILEOFFICETHEEFFICIENTANDFLEXIBLEWIRELESSLOCALAREANETWORKCAMEINTOBEINGFORWIRELESSNETWORKINGMEETSTHENEEDSOFTHESEUSERSATPRESENTTHEFORMATIONOFTHEMOSTWIDELYUSEDWIRELESSLOCALAREANETWORKISBASEDON80211PROTOCOLFORWIRELESSLANTECHNOLOGYCOMPAREDWITHCABLENETWORK，WIRELESSNETWORKISMORESUSCEPTIBLETOSECURITYTHREATS，MAINLYDUETOITSOPENNESSWIRELESSLANWIRELESSTRANSCEIVERSOFTENUSEOLNNIDIRECTIONALANTENNASANDTHEINFORMATIONISSENTTOANOPENSPACEBESIDESTHEWIRELESSLANINFORMATIONBORDER，WHICHISDIFFERENTFROMWIREDLANHASAFIXEDPHYSICALBOUNDARY，ISOPENANDUNCERTAINTHEREFOREITMOREEASILYLEADSTOINFORMATIONDISCLOSURE，ANDISATTACKEDBYTHEUNAUTHORIZEDACCESSTOINFORMATIONWIRELESSLANINTHEINFORMATIONTRANSMISSIONPROCESSCALLBEDIVIDEDINTOSEVERALMODULESSUCHASAUTHENTICATION，KEYAGREEMENT，DATAENCRYPTIONANDDATATRANSMISSIONSOMESECURITYPROBLEMS，THELEGITIMACYOFUSERIDENTITY，KEYMANAGEMENT,DATACONFIDENTIALITYANDDATAINTEGRITYETC，PROBABLYEMERGEANDINTERACTDURINGTHEINFORMATIONTRANSMISSIONINTHISPAPER,TOSTUDIEDTHERESEARCHBACKGROUNDOFTHEWLANINFORMATIONSECURITYPROBLEM，TAKEAFOCUSONTHEENCRYPTIONANDAUTHENTICATIONALGORITHMS，TAKINGANALYSISOFCRYPTOGRAPHICALGORITHMSSUPPORTEDBYTHEAPPLICATIONASTHEMAINLINE，WESTUDIDETHECOMMONLYUSEDWIRELESSLOCALAREANETWORKENCRYPTIONANDAUTHENTICATIONALGORITHMSTAKEAFOCUSONTHECOMMONLYUSEDWEP，TKIPANDAESALGORITHM，WEANALIEDTHEWEP，TKIPANDAESENCRYPTIONALGORITHMTHESAMETIME，SEVERALOFTHESEALGORITHMSINDEPTHANALYSISOFTHEBASIS，WEDESIGNEDABOTHINTHEORIGINAL80211WIRELESSNETWORKINGHARDWAREENVIRONMENTFORUSE，ANDCANPROVIDEADEQUATENETWORKSECURITY，DATAENCRYPTIONMETHODPROPOSEDMECHANISMFORTHEENHANCEDWEPENCRYPTIONANDDECRYPTIONPROCESS，无线局域网加密算法研究及改进英文摘要THEKEYUPDATEMECHANISMTHATADDRESSESTHEPREVIOUS80211WIRELESSNETWORKINGEQUIPMENTFORTHETRANSITIONOFWEPAUTHENTICATIONSOLUTIONKEYWORDSENCRYPTIONALGORITHMS，WLAN，WEP，TKIP，AESMWRITTENBYZHULIMINSUPERVISEDBYZHUQIAOMIN苏州大学学位论文独创性声明及使用授权的声明学位论文独创性声明本人郑重声明所提交的学位论文是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含其他个人或集体已经发表或撰写过的研究成果，也不含为获得苏州大学或其它教育机构的学位证书而使用过的材料。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人承担本声明的法律责任。研究生签名学位论文使用授权声明苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文会作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布包括刊登论文的全部或部分内容。论文的公布包括刊登授权苏州大学学位办办理。研究生签名导师签名毖一T_T期型日期立旦一无线局域网加密算法研究及改进第一章引言第一章引言11背景随着网络的飞速发展，笔记本电脑的普及，人们对移动办公的要求越来越高。传统的有线局域网要受到布线的限制，如果建筑物中没有预留的线路，布线以及调试的工程量将非常大，而且线路容易损坏，给维护和扩容等带来不便，网络中的各节点的搬迁和移动也非常麻烦。越来越多的用户使用笔记本电脑或无线设备工作，商业用户由于经常性地往来于各个城市之间更需要移动办公，因而无线网络非常适合这些用户的需要，高效快捷、组网灵活的无线局域网应运而生。为了实现任何人在任何时间、任何地点均能进行数据通信的目标，要求传统的计算机网络由有线向无线，由固定向移动，由单一业务向多媒体发展，顺应这一需求的无线局域网技术因此得了普遍的关注。无线局域网以其方便、快捷、廉价等诸多优势，在企事业内部和公共热点地区等领域的应用中很快取得了长足的发展和巨大的成功，而与此同时用户对无线局域网各种性能，尤其是安全性能的要求变得格外苛刻。当前大多数的无线局域网产品都基于IEEE80211系列标准。IEEE于1997年正式公布了80211WLAN1997版技术标准，该标准提供了三个物理层PHY规范，包括24GHZISM频段中的红外线、1“一2MBPS跳频技术和I2MBPS直接序列扩频技术DSSS。主要用于解决办公室局域网和校园网中用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2MBPS。由于它在速率和传输距离上都不能满足人们的需要，因此，IEEE又相继推出了80211B和8021LA两个新标准。80211B也被WECATHEWIRELESSETHEMETCOMPATIBILITYALLIANCE称为WIFI，使用开放的24GHZ频率，一般采用直接序列扩频DSSS和补偿编码键控调制技术，最大数据传输速率为11MBPS。从1999年推出到现在，8021LB在无线局域网市场取得了明显的主导地位。8021LA工作于5GHZ频带，采用正交频分复用OFDM的多载波技术和QFSK调制，所支持的数据速率最高可达54MBPS，遵循“IEEE8021LA“产品被标记为“WIFI5”，目前已有少量基于80211A的产品面世。由于8021LA技术和80211B技术运行在完全不同的频率范围之上，因此尽管它们在互不干扰的条件下能共存，但完全不兼容，主要特点比较如表11所示第一章引言无线局域网加密算法研究及改进表1180211、8021IB、80211A的特点比较802118021LB8021LA。0频率24GHZ24GHZ5GHZ带宽12MBPS可达1IMBPS可达54MBPS距离100M功率增加可扩展100M510KM业务数据数据、图像语音、数据、图像无线网络最初采用的安全机制是WFP有线等效私密，但是后来发现WEP是很不安全的。于是80211组织开始着手制定新的安全标准，也就是后来的80211I协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会因为为了网络的安全性而放弃原来的无线设备，因此WIFI联盟在标准推出之前，在80211I草案的基础上，制定了一种称为WPAWIFIPROCTEDACCESS的安全机制，它使用TKIP临时密钥完整性协议，它使用的加密算法还是WEP中使用的加密算法RC4，所以不需要修改原来无线设备的硬件，WPA针对WEP中存在的问题IV过短、密钥管理过于简单、对消息完整性没有有效的保护，通过软件升级的方法提高网络的安全性。在8021LI颁布之后，WIFI联盟推出了WPA2，它使用AES高级加密算法，取得了更好的无线数据传输的安全性，但是它却需要新的硬件支持。然而，原来大量使用的802II的无线设备由于无法提供AES等加密方法所需要的硬件设备以提高其安全措施面临即将被淘汰的命运，为此现在社会上需要一种既可以给原来的80211的无线设备提供足够安全的加密机制的无线加密方法，又可以兼容原来的设备的加密方法。12WLAN安全综述WLAN具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，但是由于无线局域网信道开放的特点，使攻击者能够很容易的进行窃听，恶意修改，因此安全性成为阻碍无线局域网发展的最重要因素。8021L协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络，需要实施一种性能高于80211的高级安全机制。一、链路认证方式2无线局域网加密算法研究及改进第一章引言1开放系统认证OPENSYSTEMAUTHENTICATION开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤第一步是请求认证，第二步是返回认证结果。图11开放系统认证过程2共享密钥认证SHAREDKEYAUTHENTICATION共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。共享密钥认证的认证过程为客户端先向设备发送认证请求，无线设备端会随机产生一个CHALLENGE包即一个字符串发送给客户端；客户端会将接收到字符串拷贝到新的消息中，用密钥加密后再发送给无线设备端；无线设备端接收到该消息后，用密钥将该消息解密，然后对解密后的字符串和最初给客户端的字符串进行比较。如果相同，则说明客户端拥有无线设备端相同的共享密钥，即通过了SHAREDKEY认证；否则SHAREDKEY认证失败。CLOTPAUBHERCALIONREQUESTTLALILH骱她撕NR喇铺TCHALL辨RLH搴NTI翰抽EN鲫9L卅CHALEN妒，一L一U蚰州蛳R娜S燃二、WLAN服务的数据安全图12共享密钥认证过程3第一章引言无线局域网加密算法研究及改进相对于有线网络，WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介，任何一个设备可以接收到其他所有设备的数据，这个特性直接威胁到WLAN接入数据的安全。802II协议也在致力于解决WLAN的安全问题，主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现了WLAN数据的安全性保护。目前支持四种安全服务。1明文数据该种服务本质上为无安全保护的WLAN服务，所有的数据报文都没有通过加密处理。2WEP加密WEPWIREDEQUIVALENTPRIVACY，有线等效加密用来保护无线局域网中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。WEP使用RC4加密算法来保证数据的保密性，通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度，虽然WEPL04在一定程度上提高了WEP加密的安全性，但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制，WEP加密还是存在比较大的安全隐患。WEP加密方式可以分别和OPENSYSTEM、SHAREDKEY链路认证方式使用。采用OPENSYSTEMAUTHENTICATION方式此时WEP密钥只做加密，即使密钥配的不一致，用户也是可以上线，但上线后传输的数据会因为密钥不一致被接收端丢弃。采用SHAREDKEYAUTHENTICATION方式此时如果双方密钥不一致，客户端就不能通过SHAREDKEY认证，无法上线。也就是说，当WEP和SHAREDKEY认证方式配合使用时，WEP也可以作为一种认证方法。3TKIP加密TKIP是一种加密方法，用于增强PRERSN硬件上的WEP协议的加密的安全性，其加密的安全性远远高于WEP。WEP主要的缺点在于，尽管IVINITIALVECTOR，初始向量改变但在所有的帧中使用相同的密钥，而且缺少密钥管理系统，不可靠。TKIP和WEP加密机制都是使用RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。4无线局域网加密算法研究及改进第一章引言首先，TKIP通过增长了算法的IV长度提高了WEP加密的安全性。相比WEP算法，TKIP将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位其次，TKIP支持密钥的动态协商，解决了WEP加密需要静态配置密钥的限制。TKIP使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥，虽然TKIP采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破；另外，TKIP还支持了MIC认证MESSAGEINTEGRITYCHECK，信息完整性校验和COUNTERMEASURE功能。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，可以采取一系列的对策，来阻止黑客的攻击。4CCMP加密CCMPCOUNTERMODEWITHCBCMACPROTOCOL，计数器模式搭配区块密码锁链一信息真实性检查码协议加密机制是基于AESADVANCEDENCRYPTIONSTANDARD，高级加密标准加密机制的CCMCOUNTERMODECBCMAC，区块密码锁链一信息真实性检查码方法。CCM结合CTRCOUNTERMODE，计数器模式进行机密性校验，同时结合CBCMAC区块密码锁链一信息真实性检查码进行认证和完整性校验。CCM可以保护了MPDU数据段和IEEE80211首部中被选字段的完整性。CCMP中所有的AES处理进程都使用128位的密钥和128位的块大小。CCM中每个会话都需要一个新的临时密钥。对于每个通过给定的临时密钥加密的帧来说，CCM同样需要确定唯一的随机值NONCE。CCMP使用48位的PNPACKETNUMBER来实现这个目的。对于同一个临时密钥，重复使用PN会使所有的安全保证无效。四、WLAN安全需求无线局域网信息传输系统的安全需求主要包括四个方面身份认证因为无线网络中用户不用自接连接网络，所以攻击者一更容易非法登入网络为了有效的防止非法用户登入，需要一定的身份认证机制来验用户的合法性。系统所实现的身份认证主要有两个目标构建安全可靠的身认证机制实现双向身份认证APACCESSPOINT与用户相互认证身份，只有双方均认证成功，用户方能登入网络。数据加密为了确保无线局域网中的传输数据只有合法接受者才能读取，信息必5第一章引言无线局域网加密算法研究及改进须具有机密性，为了实现这一点通常使用综合性能良好的加密算法对数据加密，只有拥有密钥的接收方才能解密，而没有密钥的攻击者即使获得密文，也无法获知相应的明文。系统实现数据加密主要有三个目标加密算法安全性能够满足无线网络的需要算法的效率足够高，包括算法的速度以及用内存算法使用灵活，移植性好，能够在未来无线网络的主要设施一智能上较好的实现。信息完整性认证由于在无线局域网中信息容易丢失或被攻击者修改，因此需要进行信息完整性认证，包括对信息的完整性以及正确性进行验证，信息认证的速度会影响到加密的速度，采用高效的信息认证是关键。密钥管理构建强健的密钥管理对系统的安全起着决定性的作用，无线网络的安全特性，对密钥管理有几个要求提供动态更新的密钥管理机制，避免密钥重用尽可能减少密钥管理中的通信量，提高密钥管理的效率尽可能减少密钥管理中的通信量，提高密钥管理的效率。13研究目的、意义及本文所做的工作与被广泛应用的有线网络相比，WLAN由于具有可移动、安装便捷、使用灵活、经济节约、易于扩展、可提供高速无线接入等优势。越来越多的企业、组织和个人用户开始在各领域使用WLAN技术。但是因为WLAN的信息传输媒介是电磁波，这一传输介质的开放性就导致了它比有线介质双绞线、光纤更容易受到干扰、窃取和破坏。所以WLAN的数据安全问题是WLAN发展的一个重要问题，也是专家和用户非常关心的问题。本文以无线局域网络的信息安全问题为研究背景，以加密认证算法为研究重点，以密码算法分析为支撑，以加密算法的应用为主线，研究和分析无线局域网中常用的加密认证算法，设计了一种既可以支持原来80211环境下使用的无线网络硬件设备，又可以提供足够网络安全的数据加密方法。所做的主要工作有1、对现有数据加密技术码学及安全协议知识进行了研究和分析。主要包括对称密码算法中的多种流密码算法、分组密码算法、分组密码算法的工作模式、散列函数，以及安全协议证明方法的理论知识，为后续的研究工作提供理论依据。2、深入分析无线局域网中常用的加密算法，以常用的WEP、TKIP和AES算6无线局域网加密算法研究及改进第一章引言法为主要对象，分析WEP、TKIP算法和AES算法的具体加密过程，从初始密钥的产生，到密钥流的生成，以及其过程中所体现出的加密算法的设计原则。3、在对这几个算法进行深入的分析地基础上，提出了对于WEP的增强机制的加解密过程、密钥更新机制方案，解决了对以前用于80211无线网络设备WEP认证过渡解决方案。7第二章数据加密技术的研究无线局域网加密算法研究及改进第二章数据加密技术的研究21数据加密算法的分类设加密密钥为KP，解密密钥为KS，按照密钥的特点可对密码算法分为两类1对称私钥密码算法私钥密码算法又称对称密码算法，此时KP同KS相等，或实质上等同，即从KP易于推出KS。私钥密码体制从加密模式上可分为序列密码和分组密码两大类。在对称加密系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样才可以实现数据的机密性和完整性。私钥密码算法的优点是加解密速度快，其缺点是1密钥的分发和管理非常复杂、代价高昂。对于具有N个用户的网络，需要NN12个密钥，对予大型网络，当用户数目N很大、分布很广时，密钥的分配和保存就成了问题。2不能用于数字签名。2公钥密码算法公钥密码算法又称非对称密钥算法、双钥密码算法。其思想是由DIFFIE和HELLMAN在1976年提出的，在密码学的发展史上具有划时代意义。在公钥密码算法中，KPCKS，KP可以公开。KS，必须保密，简称私钥。从KS很容易推出KP，但从KP很难推出KS。公钥密码算法的这种单向特性是基于陷门单向函数实现的。陷门单向函数是满足下列条件的函数F1给定X，计算YFKX是容易的2给定Y，计算XFKQY是不可行3存在K，当K已知时，对给定的任何Y，若相应的X存在，则计算X使F1KY是容易的。满足12两条的函数称为单向函数，K称为陷门信息。当用陷门函数F作为加密函数时，可将F公开，也就相当于公布了加密算法。第2条性质表明窃听者由截获的密文YFX推测X是不可行的。函数F所具有的单向性是因为它利用了以下的几个数学难题1大整数分解问题RSA算法采用2有8无线局域网加密算法研究及改进第二章数据加密技术的研究限域的乘法群上的离散对数问题EIGALNAL算法采用3椭圆曲线上的离散对数问题ECC采用。公钥密码算法的特性1加密与解密将由不同的密钥完成加密Z_YYKX11，解密；Y_ZZ侣OG”122知道加密算法，从加密密钥得到解密密钥在计算上是不可行的。3两个密钥中任何一个都可以用作加密而另一个用作解密不是必须的，即X1D氏饵KPXD1EXRXS岱MO公钥密码算法的优点是1密钥的分配和管理很简单，比如对于具有N个用户的网络，仅需要2N个密钥2公开密码算法能够很容易地实现数字签名，适应于电子商务和电子政务的需要。而且，基于数字签名，还可实现鉴别、数据完整性和防抵赖等安全目标。3密钥交换基于公钥密码算法，结合DIFFIEHELLINAN密钥共识协议可以很方便地实现密钥交换。公钥密码算法的缺点是虽然公钥密码算法也可实现机密性，但算法复杂，而且加密数据的速率较低。因此，在实际应用中，公钥密码算法通常被用来加密关键性的、核心的机密数据如会话密钥，而对称密码算法通常被用来加密大量的数据。这较好地解决了运算速度问题和密钥分配管理问题。理想密码系统中，密文的所有统计特性都与所使用的密钥独立。因此，加密算法主要基于两个设计原则扩散性DIFUSSION和模糊性CONFUSION。扩散性要求加密算法将密文的不同部分进行混合，使任何字符都不在其原来的位置。模糊性意味着加密算法应隐藏所有局部模式，也就是说，语言的任何识别字符都应变模糊。加密算法应将可能导致破解密钥的提示性语言特征进行隐藏。22流密码算法流密码算法又称为序列密码算法。是一个重要的密码体制，也是手工和机械密码时代的主流。在20世纪50年代，由于数字电子技术的发展，使密钥流可以方便的利O第二章数据加密技术的研究无线局域网加密算法研究及改进用以移位寄存器为基础的电路来产生，从而促使线性和非线性移位寄存器理论迅速发展。在加上有效的数学工具，使得流密码理论迅速发展，并逐步走向成熟阶段。同时由于具有实现简单、速度快、以及错误传播少的优点，使流密码在实际应用中，特别是在专用和机密机构中仍保持优势。流密码是将明文划分成字符如单个字母，或其编码的基本单元如O，1数字，字符分别与密钥流作用进行加密，解密时以同步产生的同样的密钥流实现，其基本框图如图21所示图21流密码原理图在图21中，KG为密钥流生成器，姑为初始密钥。流密码强度完全依赖于密钥流生成器所生成序列的随机性RANDOMNCSS和不可预测性UNPREDICTABILITY。其核心问题是密钥流生成器的设计。保持收发两端密钥流的精确同步是实现可靠解密的关键技术。明文消息流MMLM2MI，其中MIM。密文流“CCLC2CIEKLM1EK2M2EKIMI，其中CIC。密钥流KI，I耋0。若它是一个完全随机的非周期序列，则可以实现一次一密体制。常用的密钥流生成器有两种同步与自同步两种。同步生成器所生成的密钥流与明文流无关。因此，如果在传输中丢失了一个密文字符，密文与密钥流将不能对齐。若要正确还原明文，密钥流必须再次同步。自同步加密法是根据前N个密钥字符来生成密钥流的。如果某个密文字符有错，在N个密文字符后，密钥流可自行同步。有多种产生同步密钥流生成器的方法，使用一种称为线性反馈移位寄存器1INEARFEEDBACKSHIFREGISTER，LFSR的硬件设备是最普遍的方法。10无线局域网加密算法研究及改进第二章数据加密技术的研究23分组密码算法分组密码及其应用的研究始于20世纪70年代中期，至今已有30多年的历史。其间，各国学者对分组密码的理论，技术和应用进行了大量的探讨和研究，提出了众多的分组密码算法，如IDEA、FEAL、RC5、GOST等等，使分组密码的理论与技术日臻完善，为分组密码的应用开辟了广阔的前景。在分组密码发展的20多年间，密码分析与密码设计始终是相互竞争和相互推动的，对分组密码安全性的讨论也越来越多。一些在当时被认为是安全的算法随着时间的推移和密码攻击方法、能力的提高、已被攻破。例如已广泛使用了20多年的数据加密标准DES，在1997年6月18日，被美国科罗拉多州的一个以ROCKEVERSER为首的工作组破译，该破译小组成员利用美国和加拿大联网于INTEMET上的数万台个人微机的空闲CPU时间，采用“穷搜索“技术进行破译。本次破译成功宣布了DES的不安全性，同时促使美国国家标准技术所NIST推出新的高级加密标准AES。目前对分组密码安全性的讨论包括差分分析、线性分析、穷搜索等几个方面。从理论上讲，差分密码分析和线性密码分析是目前攻击分组密码的最有效方法。而从实际上说，穷搜索等强力攻击是攻击分组密码的最可靠方法。截止到现在，已有大量文献对分组密码的设计和测试进行研究，并归纳出许多有价值的设计和安全准则。231分组密码算法的基本理论分组密码是将明文消息编码表示后的数字序列XO，X1XI戈0分成长为N的组XX0，XL，XN1，各组长为N的矢量分别在密钥KK0，KL，H1的控制下变换成等长的输出数字序列RYO，YL，OOO9YM1长为M，如图22所示。畴图22分组密码框图分组密码与流密码的不同之处在于输出的每一位数字不是只与相应时刻输入明第二章数据加密技术的研究无线局域网加密算法研究及改进文数字有关，而是与一组长为N的明文数字有关。在相同密钥下，分组密码对长为N的输入明文组所实施的变换是相同的，所以只需研究对任意一组明文数字的变换规则，这种密码的实质是对字长为N的数字序列的代换密码。若11M，则为有数据压缩的分组密码。通常取N_M，我们主要讨论二元的情况。X和Y均为二元数字序列，它们的分量XI，YIEEF2，将长为N的二元X和Y表示成小于2N的整数，即N1膏，吒，而一一磊吩ZL司F，I一1Y_O，O，N。，靠一T一磊N_M2122则分组密码就是将ILXLI0，1，2，2“。1映射为ILYLIO，1，2小1，即为0，1，2NI到其自身的一个置换兀，即YYIX。置换的选择有密钥K决定，所有可能的置换构成一个对称群SYM2N，其元素个数为2N，实际应用中的各种密码所用的置换都不过是上述置换集中的一个很小的子集。设计分组密码的主要问题在于找到一种算法，能在密钥控制下从一个足够大而且足够好的置换子集中简单而迅速的给出一个置换，用来对当前输入明文数字组进行加密交换。分组密码的数学定义如下如果映射EGF2NXSGF2N具有如下性质，即对任意KS，YEX，K均是GF2N上的双射，则称该映射为一个密钥分组密码。此时称YEKX，为密钥K下的加密函数有时简记为Y_EKX，称E的逆函数YDY；K，均为K下的解密函数有时简记为XDKY，参数N和K分别为该分组密码的分组长度和密钥长度。记明文空间GF2N，密文空间GF2N，密钥空间YDY，K，加密函数集EK，解密函数集D，分别为P，C，K，E，D，则任意分组密码体制均可以用五元组P，C，K，E，D来刻画。232分组密码算法的工作模式分组密码是将消息作为数据分组来加密或解密的，而实际应用中大多数消息的长度是不定的，数据格式也不同，因此，在分组密码的实际应用中，需要灵活应用分组密码。大于分组长度的消息需要分成几个分组分别进行处理。另一方面，在实际应用中，分组密码算法也需要采用适当的工作模式来隐蔽明文的统计性、数据格式、增加12无线局域网加密算法研究及改进第二章数据加密技术的研究分组密码算法的随机性、控制错误传播等，以提高整体的安全性，降低删除、重放、插入和伪装成功的机会。所采用的运行模式应当力求简单、有效和易于实现。本节介绍五个常用的运行模式，即电码本ECB模式、密码分组链接CBC模式、输出反馈OFB模式、密码反馈CFB模式和计数器CTR模式。在描述中，将使用下面的记号E0基本分组密码的加密算法。VO基本分组密码的解密算法。11“基本分组密码算法的消息分组的二进制长度。P1，P2，PM输入到运行模式中明文消息的M个连续分段。第M个分段的长度可能小于其他分段的长度，在这种情况下，可对第M分段添加，使其与其他分段长度相同。C1，C2，CM从运算模式输出的密文消息的M个连续分段。LSBUB，MSBVB分别是分组B中最低U位比特和最高V位比特，比如LSB2101001111，MSB5101001110100，AIIB数据分组A和数据分组B的链接，例如LSB21010011IIMSB510100111110100。1电码本模式ELECTRONICCODEBOOKMODE这种方式直接利用分组密码算法对消息的各个分组逐个进行加密或解密。在给定密钥的情况下，每个分组P可能取值有2N种，对应的密文C也有2N种可能的取值，各个P，C彼此独立，类似于构成一个巨大的电码本，因此称其为电码本模式ECB。ECB模式定义如下ECB加密CIEPI，I1，2，M23ECB解密PIVCI，IL，2，M24ECB模式是确定性的，也就是说，如果在相同的密钥下将P1，P2，PM，加密两次，那么输出的密文分组也是相同的。在实际应用中，如果明文消息是可猜测的，那么由确定性加密方案得到的密文就会使攻击者猜测出明文。因此，通常我们不希望使用确定性密码，因此在大多数应用中不使用ECB模式。2密码分组链接模式CIPHERBLOCKCHAINING密码分组链接CBC运行模式是用于一般数据加密的一种模式。使用CBC模式，输出是N比特密码分组的一个序列，这些密码分组链接在一起使得每个密码分组不仅13第二章数据加密技术的研究无线局域网加密算法研究及改进依赖于所对应的原文分组，而且依赖于所有以前的数据分组。CBC模式的加密和解密运算如下CBC加密输入V,PI，最。毛IS,V，Q，G，CL一；岛VPQ芎露国G吣，I一1Z，M2啕CBC解密输入TM,Q，G，Q输出忍，忍，己CO但忉，魏T，QOQL，JL2，一，嬲2哪第一个密文分组CL的计算需要一个特殊的输入分组C0，称之为“初始向量”IV。是一个随机的11比特分组，每次会话加密时都要使用一个新的随机IV，由于IV可看作密文分组，因此无需保密，但一定要是不可预知的。由加密过程我们知道，由于IV的随机性，第一个密文分组被随机化，同样，依次后续的输出密文分组都将被前面紧接着的密文分组随机化，因此，CBC模式输出的是随机化的密文分组。发送给接受者的密文消息应该包括。因此，对于M个分组的明文，CBC模式将输出M1个密文分组。令Q1，Q2，QM是对密文分组C0，CL，C2CM解密得到的数据分组输出，则由QVCJ国CI_,一忍OQ1国CLD一露可知解密正确。图23给出了CBC模式的图示。N城存储卜HNB缸存储F一JII，百IJNL一VYLDI1I，_图23密码分组链接运行模式CBC通过反馈使输出密文与以前的各明文相关，从而实现了隐藏明文图样的目的。但是CBC由于反馈的作用而对线路中的差错比较敏感，会出现错误传播。密文中任何一位发生变化都会影响到后面分组的解密。14无线局域网加密算法研究及改进第二章数据加密技术的研究3密码反馈模式CIPHERFEEDBACKBLOCK若加密消息必须按字符或按比特处理，可采用密码反馈CFB运行模式。CFB的特点在于反馈相继的密码分段，这些分段从模式的输出返回作为基础分组密码算法的输入。消息明文或密文分组长为S，其中12L，则称该分组密码算法是实际安全的。2目前常见的对分组密码的技术攻击方法主要有以下几种1强力攻击在唯密文攻击中，密码分析者依次使用密钥空间中的所有密钥来解释一个或多个截获的密文，直至得到一个或多个有意义的明文块。在已知明文攻击下，密码攻击者试用密钥空间中的所有可能的密钥对一个己知明文加密，将加密结果同该明文相应的已知密文比较，直至二者相符，然后在利用其他几个己知明密文对来验证该密钥的正LG无线局域网加密算法研究及改进第二章数据加密技术的研究确性。实际上，强力攻击适合于任何分组密码。2线性攻击也称线性分析线性分析是一种已知明文攻击方法，最早由MATSUL在1993年提出，该算法主要利用了明文、密文和密钥的若干位之间的线性关系。3差分攻击也称差分分析差分攻击是一种选择明文攻击方法，最早由BIHAM和SHAMIR在1990年引入，该算法主要是利用了明文对的特殊差分对应的密文对差分的影响，通过分析某个些最大概率差分来确定可能密钥的概率并找出最可能的密钥。差分分析是目前用于攻击分组密码最强有力的方法之一。4相关密钥攻击也称相关密钥密码分析类似于差分分析，这种方法利用密钥的差分来攻击分组密码，这是因为BIHAM证明了许多分组密码的密钥编排算法明显保持了密钥间的关系。显然，这种攻击的方法与分组密码的迭代轮数和加密函数无关。5中间相遇攻击MEETINTHEMIDDLEATTACK这是一种适用于多重加密下的已知明文的攻击。已知P1，CIEK2EKIP1，P2，C2EK2EKLP2，遍历所有的KK1或K2，密码攻击者分别计算EKP1并存储加密结果，计算DKC1，在存储表中搜索与之相同的结果。此时，当前密钥很可能是K2，而存储表中的相应密钥很可能是K1。最后再用可能的K1，K2加密P2，若加密结果为C2，则认为K1，K2就是当前密钥。24无线网络对密码算法的需求电磁波是无线通信的载体。由于无线信道是个开放信道，电磁波在空中传播时很容易被截获，这就给无线网络带来了许多安全威胁，例如通信内容容易被窃听和篡改、通信双方的身份可能被假冒等。在无线网络投入运营的初期，由于移动终端功耗的限制，无线网络采用了一些运算量较小、复杂度较低但简单实用的算法，如A5、RC4等。随着终端硬件集成度的提高，无线网络采用的算法将不在受制于硬件，那么密码算法本身的强壮性就成为重点考虑的问题。19第三章无线局域加密算法研究无线局域网加密算法研究及改进第三章无线局域网加密算法研究3180211加密算法WEPWEP2及其分析无线局域网基本安全需求包括用户的身份认证、数据传输的机密性保护、数据传输的完整性保护。IEEE80211体系希望通过无线局域网的安全业务也就是安全功能的实现来达到这些要求。在所有体系业务中与安全有关的有私有业务PRIVACYSERVICE、认证业务AUTHENTICATION、关联业务ASSOCIATION、还有与之对应的DEAUTHENTICATION和DISASSOCIATION。其中，AUTHENTICATION和DEAUTHENTICATION属于终端业务集SS，用于建立和终止认证关系。而ASSOCIATION和DISASSOCIATION则属于分布式系统业务集DSS，用于建立和终止关联业务。私有业务则是通过有线保密协议WIREDEQUIVALENTPRIVACY,WEP来加密MAC协议数据单元MACPROTOCOLDATAUNIT，MPDU。值得注意的是，这种数据保密功能仅局限于站点间的数据交换，而且其对于LLC和上层都是透明的。在IEEE802111999年版协议中，规定的加密算法WEPWIREDEQUIVALENTPRIVACY，是整个协议中唯一的密码协议。WEP提供三个方面的安全保护数据机密性、访问控制和数据完整性。其核心是RC4序列密码算法，其原理是用密钥作为种子通过伪随机数产生器PRNG产生伪随机密钥序歹UPRKS和明文相异或后得到密文序列，其加密原理如图31所示。图31WEP协议加密原理由于在序列算法中，同一伪随机序列不能使用两次，因此WEP中将RC4的输入密钥K分为两部分24BITS的初始向量和40BFFS的密钥SK，IVIISKK。每加密一20无线局域网加密算法研究及改进第三章无线局域加密算法研究次需改变一次，以明文的形式随着密文数据帧发往接受方。SK为各STA所共享的秘密信息，通常由管理员手工配置和分发。由于担心密钥空间太小导致安全性下降，一些设备制造商使用128位密钥WEP2协议。当接收方无法正确解密收到的数据包，它将丢弃所有收到的帧，80211通过这样的方法提供访问控制。为了保证数据的完整性，WEP中采用CRC32算法作为消息认证，并将数据的消息认证码ICV作为明文的一部分一同加密。接受端在解密密文后，重新计算消息认证码ICV，并和收到的ICV比较，若不符则抛弃所接受数据。WEP的加密结构框图如图31所示。WEP加密的过程为秘密密钥SECRETKEY是和初始向量INITIALIZATIONVECTOR，相连接，合成成为种子SEED并作为一个RC4PRNG算法的输入值。算法输出一个密钥序列KEYSEQUENCE，该序列是一个以字节为单位的伪随机数，而且长度和扩展的明文MPDUMACPROTOCOLDATAUNIT帧的长度相同。为了防止攻击者恶意篡改密文数据，WEP中采用了CRC一32作为消息认证算法INTEGRITYALGORITHM。认证算法对明文PLAINTEXT进行操作产生一个消息认证码ICVINTEGRITYCHECKVALUE，并将其与明文相结合也就形成了前文所述的扩展的明文MPDU一同加密，形成密文。加密后的MPDU格式如图32所示。卜_1蕊而而叫L7DATAICVIPDUJ4之1池吣INITVECTOR1OCTET3IVKEVID6BITS2BITS图32加密后的密文MPDU格式对于上述受WEP保护的帧，起初的四个字节对应用于加密明文MPDU的IV区域。最后的四个字节则是ICV区域。RC4PRNG的种子长64比特。其中的比特0到23位对应于区域中的比特0到23位，而另外的比特24到63位则对应于密钥区域SK中的比特0到39位。中剩下的八比特分别为，一个2比特的密钥身份KEYID区域和一个6比特的密钥序列区。与加密相对应，WEP的解密原理如图33所示。2L第三章无线局域加密算法研究无线局域网加密算法研究及改进|IL厂_K。T。JIVL嘲竺J一JIINTEGRITYAI洲MI配V卜OLCIPHERLEXT、I“YK儿“J图33WEP协议解密原理WEP协调解密从密文帧到达时开始。接收到的MPDU中的将被用于恢复密钥序列，这个序列对于解密来说是必需的。按照之前的描述，WEP使用逐位异或来把密钥序列和扩展的明文帧相结合。所以，将密文和恢复的密钥序列部分再次异或就产生了原先的明文和ICV。在完成正确的解密后，将通过对恢复的明文重新执行消息认证算法得到消息认证码ICV，并和之前恢复的ICV相比较。如果不相等，则抛弃所接收的数据，同时发送一个错误指示给MAC管理层。否则加密认证通过。由于担心密钥空间太小导致安全性下降，一些设备制造商也使用128位密钥WEP2协议。该协议使用128位的与128位的密钥SK异或构成种子SEED，其它不变。虽然长度增加，但并没有解决WEP的安全问题。协议的制定者希望该协议能够保护一个已被无线LAN批准的用户不受窃听进而提供给用户与有线网络相等价的安全性。然而，研究分析表明，WEP算法存在如下巨大的安全漏洞1WEP加密是可选功能，在大多数的实际产品中默认为关闭，因此将用户数据完全暴露于攻击者面前。2初始向量INITIALIZATIONVECTOR，IV空间太小，易受IVWEAKNESS攻击而被完全恢复秘密密钥SK。38021L协议没有规定WEP密钥管理机制，也没有规定其中SK如何产生和分发。在绝大多数产品中密钥有两种方法产生一是直接由用户写入40或108比特的SK；二是由用户输入一个密钥词组，该词组通过一个GENERATOR产生SK。通常普通用户愿意采用方便的第二种方法，但普通用户还喜欢用生日、电话号码等作为密钥词组，这使得字典攻击或穷举攻击成为可能。4SK可以由用户手工输入，也可以自动生成，无论怎样都容易遭受穷举攻击。而且SK为用户共享，很少变动，因而容易泄漏。无线局域网加密算法研究及改进第三章无线局域加密算法研究5流加密算法的一个重要缺陷是如果使用相同的IVIISK加密两个消息时，攻击者可以获得C2ECI尸LO足C4洳FL豚O尹20灭C4FL豚P1OP2。如果其中的一个消息明文已知，另一个消息的明文立即就可以获得。为了防止这种攻击，WEP采用IVLISK作为密钥，其中SK不变，每传输一次就变换来获得不同的密钥流，以明文的方式传送。但是WEP协议中的空间只有24BITS，在实际的产品中一般用计数器实现，24比特的空间使得在繁忙的WLAN中每过几个小时就会循环重复出现一次。在SK不变时，同一意味着产生同一伪随机密钥序列PRKS，而这在序列加密算法中是不允许的。6WEP中的CRC算法原本是通信中用于检查随机误码的，是一个线性的校验，并不具有抗恶意攻击所需的消息认证功能。首先，CRC算法是一个线性函数，因此攻击者可以任意修改密文而不被发现。其次，由于CRC算法是一个不需要密钥的函数，任何人如果知道消息的话都可以自行计算消息的校验和。如果攻击者获得一个传输帧对应的明文，它就可以在无线网络中传输任意的数据。7WEP没有重放保护