《80211无线网络权威指南》第7 章 80211i：RSN、TKIP 与CCMP

1、第7 章 802.11i：TKIP 、CCMP 与与RSN本章概述：1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式第7 章 802.11i：TKIP 、CCMP 与与RSN本章概述：1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式第7 章 802.11i：TKIP 、CCMP 与与RSN临时密钥完整性协议（TKIP）：第一种广为使用的新式链路层加密协议开发TKIP的主要动机，是为了升级旧式WEP 硬件的安全性TKIP 保留了WEP 的

2、基本架构与过程方式，因为它原本就是一个设计来升级WEP 方案的软件第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 与WEP 的差异：密钥阶层体系与自动密钥管理为个别帧配钥序号计数器新的信息完整性检验（简称MIC )信息完整性检验失败的反制措施第7 章 802.11i：TKIP 、CCMP 与与RSN密钥阶层体系与自动密钥管理：不同于WEP 直接使用单一主钥(master key)的做法，TKIP 使用到了多把主钥。最后用来加密帧的密钥，是由这些主钥衍生而来。另外，TKIP 也提供密钥管理过程，使得主钥的更新可以在安全的情况下进行。第7 章 802.11i：TKIP 、CCM

3、P 与与RSN为个别帧配钥（per-frame keying）：虽然TKIP 保留WEP 所使用的RC4 帧加密机制，不过为了防范针对弱点密钥的攻击，它会为个别帧（从主钥）衍生出特有的RC4 密钥。为每个帧准备独特密钥的程序，称为配钥。第7 章 802.11i：TKIP 、CCMP 与与RSN序号计数器（sequence counter )：为个别帧编列序号，即可辨识出次序错乱的帧，如此便能防范所谓的重放攻击，亦即攻击者先拦截有效封包，等候一段时间再予以重传的攻击。第7 章 802.11i：TKIP 、CCMP 与与RSN新的信息完整性检验：TKIP 以一种比较牢靠，称为Michael 的完整

4、性检验杂凑算法，取代WEP 所使用的线性杂凑算法。Michael 较为牢靠，检测伪造帧也更加容易。此外，来源地址受到完整性检验的保护，就可以检测出宣称来自特定来源的伪造帧。第7 章 802.11i：TKIP 、CCMP 与与RSN信息完整性检验失败的反制措施：设计上，TKIP 是为了套用于现有的硬件，因此不免有所限制。Michael 可能遭受主动式攻击而被攻陷，因此TKIP 包含了一些反制措施，以控制主动式攻击可能造成的损害。第7 章 802.11i：TKIP 、CCMP 与与RSNWEP 的主要破绽：WEP 的随机种子（seed）系由初始向量（简称IV）以及WEP 密钥串连而成，IV 本身就

5、泄露了大部分的密钥结构。如此一来，攻击者就可以观察IV 的重复使用情形，进一步挖掘出用以加密帧的相同密钥串。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 初始向量的使用：为了防范初始向量攻击，TKIP 将IV 的长度从24 位元为48 个位元初始向量空间即由一千六百万一千六百万增加为二二百八十一兆百八十一兆可以有效防止IV 空间在密钥的使用期限内耗尽。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP配钥(key mixing）的使用：在TKIP 中，各个帧均会被特有的RC4 密钥所加密只要各个帧使用不同密钥，TKIP 就能够防止攻击者搜集足够的数据，针对

6、这些密钥发动攻击。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 序号计数器：TKIP 初始向量本身扮演序号计数器（sequence counter）的角色。每次安装新的主钥，初始向量/序号计数器就会被重设为1。每传一个帧，序号计数器就会随之累加。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP重演攻击防护：为了防范重演攻击，TKIP 会保留来自各工作站的最近序号。一旦成功接收到某个帧，就会以之与最近接收到的帧序号进行比对。如果大于前值就予以接受，否则就加以拒绝。第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 完整性检验：TKIP

7、 设计当时，处理器功能都不够强，数学运算不够快，无法及时进行完整性检验。Michael 的实现方式完全是采用swap、shift 之类的逐位元（bitwise）运算，或甚至是通过丢弃特定位元的方式。第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 反制措施：从Micheal 的设计，可以看出它无法提供多少安全性TKIP 整合了一些反制措施，以关闭网络与更新密钥来检测与应对主动攻击。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据处理与过程：第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的配钥程序：TKIP 会为所传送的每个

8、帧配制一把独特的密钥。此密钥衍生自初始向量/序号计数器、帧的传送端地址（未必是帧来源）以及临时密钥。第7 章 802.11i：TKIP 、CCMP 与与RSN密钥的配制：第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据传输：1. 将802.11 帧置于伫列待传(queued for transmission）。其中包含帧标头以及承载数据（payload）。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据传输：2. 计算信息完整性检验值（简称MIC）。它以秘钥（secret key）作为验证程序的一部分，而且不止保护802.11 帧所承载的数据

9、。除了帧数据，MIC 还纳入了来源与目的地址，以及未来802.11e 标准将会用到的优先性位元（priority bits）。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据传输：3. 赋予各个帧片段序号。与WEP 初始向量不同，TKIP 的序号计数器会随每个帧片段累加。如果帧毋须切割，那么只要编列一个序号即可。如果帧被切割为数个片段，计数器则会依片段数量累加。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据传输：4. 每个帧均会以其独有的WEP 密钥进行加密。通过配钥程序，TKIP 为每个帧产生WEP 密钥。个别帧所拥有的密钥将会传给WEP

10、，以作为IV与密钥之用；对个别帧而言，此二者均会随之变动。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的数据传输：5. 帧本身加上步骤二所得到的Michael 信息完整性检验值，以及步骤四所得到的RC4 密钥，一并交付WEP，由WEP 进行帧分封过程，如第五章所述。值得注意的是，这意味着，受到TKIP 保护的帧，将会同时包含WEP 的成份。第7 章 802.11i：TKIP 、CCMP 与与RSN帧封包格式：第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的接收：1.一旦无线界面接收到帧，如果通过帧检查程序确认不曾损毁，就会交付TKIP 做进一步的验

11、证。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的接收：2.TKIP 采取的第一个步骤是检查序号，以防范重演攻击。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的接收：3.还原用来加密封包的WEP 随机种子。第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的接收：4.WEP 随机种子到手后，就可以除去帧外围所包覆的WEP 层，然后还原内容第7 章 802.11i：TKIP 、CCMP 与与RSNTKIP 的接收：6.帧重组之后，将会依帧内容计算其Michael 值。第7 章 802.11i：TKIP 、CCMP 与与RSNMic

12、hael 完整性检验：从架构的观点来看，Michael 被安插在MAC 服务层中。Michael 并不算是特别安全的加密协议。它的设计，主要是为了那些设备不少的用户，在升级既有网络安全性的过渡时期，可以有点喘息的空间。第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 的数据处理：第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 反制措施：1.标记并登录该MIC 错误。在验证MIC 之前，此帧必须通过重放攻击防护以及WEP 完整性检验。帧如果已送Michael 验证，事情就没那么单纯。因此，只要MIC 验证失败，就可能发生安全相关问题，系统管理员必

13、须加以探究。第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 反制措施：2.如果在60 秒通讯之内发生两次以上MIC 错误，反制措施会立即停止所有的TKIP 通讯60秒。暂停通讯的做法，可以让攻击者无法立即再次发动持续性的攻击。第7 章 802.11i：TKIP 、CCMP 与与RSNMichael 反制措施：3.更新密钥。工作站删除自己所持有的主钥副本，然后向认证者要求配发新的密钥，认证者负责产生与传递新的密钥。第7 章 802.11i：TKIP 、CCMP 与与RSN本章概述：1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CC

14、MP）3.固安网络（RSN）的运作方式第7 章 802.11i：TKIP 、CCMP 与与RSN计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）：一种以先进加密标准（简称AES）的区块密码锁为基础的安全协议。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据处理：第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：1.将802.11 帧置于伫列待传。其中包含帧标头以及承载数据。和WEP 一样，TKIP 只保护802.11 MAC 的承载数据，至于802.11 帧标头以及下层协议的标头则原封不动。第7 章 802.11i：TKIP 、

15、CCMP 与与RSNCCMP 的数据传输：2.赋予一个48 位元的封包号码（简称PN）。和TKIP 序号一样，同一把临时密钥不会重复使用PN。每次传送后PN 就会累加，它同时也用来检测重演攻击。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：3.建立额外认证数据（简称AAD）。其中包含帧标头的一些字段，这些字段必须通过真实性的检验，但又不能经过加密，否则802.11 协议便无法进行过程。接收端同样会使用AAD 字段，以确认这些字段在传输过程中未受更改。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：4.其次，建立CCMP nonc

16、e。所谓nonce，是指少数的数据位元，用以确保加密程序确实现用于某些独特的数据。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：5.其次，建立CCMP 标头。它会将构成PN（封包号码）的六个位元组拆开，然后将Key ID（密钥识别码）置于其中。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：6.至此CCM 加密引擎所需要的输入项均已备齐它以128 位元的临时密钥、步骤四所产生的nonce、步骤三所产生的额外认证数据（AAD）以及帧本体作为输入项。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的数据传输：7.

17、以原始的MAC 标头、CCMP 标头与步骤六所产生的加密数据来组成待传的加密帧。帧产生之后，就会交付无线界面传送，如图：第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收：1.一旦无线界面接收到帧，如果通过帧检验程序确定未曾受损，就会交付CCMP 进行验证。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收：2.从所接收到的帧还原出AAD（额外认证数据）。其中只包含帧标头，而且并未经过加密。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收：3.从帧还原出CCMP nonce。其中包含封包编号、传送端地址以及QOS 字段的

18、内容，这三者均可自未加密的帧标头中取得。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收：4.接收端解读密文。此时需要临时密钥、步骤3 所还原的nonce、步骤2 所得到的认证数据，当然还有加密过的帧本体。此一程序完成后，接收端就会得到一份经解密之帧的副本，以及经解密的完整性检查码。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收：5.完整性检验是针对明文数据与额外认证数据进行计算。如果计算出的完整性检验值与步骤4 所得到的完整性检验值相符，就继续进行。否则就终止程序。第7 章 802.11i：TKIP 、CCMP 与与RSNCCMP 的接收

19、：6.从MAC 标头与步骤4 所还原的数据组成明文帧。要能通过重放攻击检测检验，其封包号码必须大于或等于最近接收到之通过完整性检验程序的封包号码。第7 章 802.11i：TKIP 、CCMP 与与RSN本章概述：1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式第7 章 802.11i：TKIP 、CCMP 与与RSN固安网络（RSN）的运作方式：这组程序主要在定义密钥的产生与传递方式第7 章 802.11i：TKIP 、CCMP 与与RSN802.11i 密钥阶层体系：链路层加密协议使用了两种密钥。成对密钥（pa

20、irwise keys）用来保护工作站与AP 之间往来的数据。群组密钥（group keys）用来保护AP 至所连接工作站之间的广播或组播数据。第7 章 802.11i：TKIP 、CCMP 与与RSN成对密钥阶层体系：TKIP 与CCMP 均使用单一主钥来产生帧保护过程所需要的其他密钥。利用衍生密钥，工作站得以更新加密密钥，毋须重新执行整个认证程序。主钥本身扮演着秘密根源的角色，必须小心保护，因为所有配钥素材均衍生于此。第7 章 802.11i：TKIP 、CCMP 与与RSN成对密钥阶层体系：配钥是从主钥开始。在成对密钥体系中，主钥称为成对主钥（简称PMK），长度为256 个位元第7 章

21、802.11i：TKIP 、CCMP 与与RSN成对密钥阶层体系：为了得到本章之前所提到的临时密钥，必须使用预先定义好的准随机函式来展开PMK。为了使数据更为随机，此一展开过程是根据预设主钥、申请者与认证者的MAC 地址以及两个作为四道密钥交换磋商的随机nonce 值。第7 章 802.11i：TKIP 、CCMP 与与RSN成对密钥阶层体系：TKIP 与CCMP 均会使用准随机函式将256 位元的PMK 展开为成对临时密钥(简称PTK）。在TKIP 与CCMP 体系中，临时密钥的两组128 位元区块，在传递过程中被用来保护临时密钥。第7 章 802.11i：TKIP 、CCMP 与与RSN群组密钥阶层体系：链路层安全协议为广播与组播使用了另一组不同的密钥。已连接的各工作站均拥有不同的预设主钥，因此无法从认证过程中推衍出组播所需要的密钥。事实上，认证者拥有群组主钥（简称GMK），以作为临时密钥的基础。第7 章 802.11i：TKIP 、CCMP 与与RSN群组密钥阶层体系：通过准随机函式，群组主钥会被展开成群组密钥体系：第7 章 802.11i：TKIP 、CCMP 与与RSN802.11i 密钥的产生与传递：第7 章 802.11i：TKIP 、CCMP 与与RSN更新成