• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

【网络老爬虫第9期-无线新技术专题】802.11w协议介绍

2017-12-05发布
  • 0关注
粉丝:3人 关注:0人

802.11w协议介绍 

文/黄智明

——网络老爬虫(无线新技术专题)  

 

1      产生背景相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享传输媒介,任何一台设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。因此,WLAN协议中定义了安全性的标准802.11i,涉及用户接入控制及身份验证、用户数据加密、密钥管理等多个方面。但是,上述的安全措施都没有针对管理帧进行保护,管理帧仍然暴露在不安全的网络环境中。因此,IEEE802.11工作组又基于现有的加密方式提出了针对管理帧的保护协议802.11w


2      技术概述802.11w协议主要基于现有的对数据报文的加密形式,对管理帧进行类似的加密。802.11w需要加密的管理帧包括解关联帧、去认证帧及强壮Action帧。强壮Action帧包括如下Action帧:

  •   Spectrum Management
  •   QoS
  •   DLS
  •   Block Ack
  •   Radio Measurement
  •   Fast BSS Transition
  •   SA Query
  •   Protected Dual of Public Action
  •   Vendor-specific Protected

对广播管理报文不能采用简单粗暴的加密,因为广播报文是需要同时发送给不识别加密管理帧的客户端的。802.11w协议中专门定义了针对广播管理帧的特殊加密方式,称为BIPBroadcast Integrity Protocol,广播完整性协议)。

另外,为防止客户端仿冒攻击,802.11w协议中定义了一种新的辨别机制,称为SA QuerySecurity Association Query,安全关联询问)。该机制主要用于识别是否有攻击者企图仿冒正常客户端发起下线请求等破坏网络秩序或试图破解网络安全性的行为。

下面对上述几个功能进行逐一介绍。

2.1    单播管理帧加密管理帧加密功能为非必备功能,需要交互双方协商。协商通过RSN能力集中的67两位来辨别。其中第6bitManagement Frame Protection RequiredMFPR),第7bitManagement Frame Protection CapableMFPC)。MFPR代表是否需要强制支持管理帧加密,MFPC代表是否支持管理帧加密。协商时,如果一方要求强制支持802.11wMFPR1),而另一方不支持802.11wMFPR0),则无法协商成功;其他情况皆可。

如果协商成功,则双方交互管理帧时,需要使用数据帧对应的密钥加密管理帧(不维护额外的密钥)。但目前802.11w仅支持CCMP加密套件,也就是说,对802.11w协议来说,CCMP+RSNA方式为必要条件。RSNARobust Security Network Association(健壮安全网络连接),为802.11i协议规定的一种新的安全机制,而CCMPCounter mode with CBC-MAC Protocol[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)为其中新增的一种加密强度目前最高的加密机制。

2.2    广播管理帧加密广播管理帧的处理与单播有所不同,它是在正常的广播报文Payload之后增加一个Management MIC IEMME用于接收方判断报文合法性。MME格式如图1

1 MME格式

其中:

Element ID表示该元素IDLength表示长度,KeyID表示使用的密钥编号,IPNIGTK报文序号,用来做Replay Counter检测,MIC是加密后的校验码,用来校验报文合法性。

广播管理帧的加密使用独立的加密算法,因此需要协商加密套件和密钥。

802.11w协议规定,在RSN IE中增加四个字节代表组播广播加密,如图2中最后一个字段Group Management Cipher SuiteH3C目前使用的值为00-0F-AC-06,代表BIP加密套件。

2 RSN IE中新增的字段Group Management Cipher Suite

广播管理帧加密使用的密钥叫做IGTK,与组播数据报文使用的加密密钥GTK对应。密钥协商时IGTKGTK一起在第三个EAPOL-KEY报文中以加密方式携带。加密时,使用原始报文、IGTKAES-128-CMAC算法计算之后得到MIC填充到MME中。

为防止重放攻击,广播管理帧中使用的IPN由协商时生成并在每次发送广播管理帧时递增。客户端在协商时保存IPN的初值,如果收到的报文中的IPN小于当前值则丢弃。

 

2.3    SA Query机制为防止被仿冒关联或者重关联报文干扰,导致AP对客户端作出错误的响应,802.11w提出SA Query机制来保证无线用户的在线连接安全。当AP处在安全的连接时,收到不加密的关联或者重关联请求时,AP会发送对应的响应报文,错误码为30Association request rejected temporarily; try again later),并附带Time Out IE,其中注明了SA静默时间。

SA静默时间之内,AP不会再次响应任何关联或者重关联报文。客户端应该在此时间内也保持静默状态,不发送关联或者重关联报文。

同时,AP启动SA Query机制,向客户端发送SA Query Request报文。如果能收到客户端的SA Query Response或者任意经过保护的管理帧,则认为当前已有的连接是可靠的,忽略刚刚收到的关联请求。如果没有收到回应,AP每隔一段时间,会再发送一个SA Query Request,直到达到最大发送次数后如果还没收到回应,AP删除客户端信息,Station需要重新上线。

4 真实STASA交互过程

5 仿冒STASA交互过程

SA Query RequestResponseAction类型报文,结构如图3

3 SA Query RequestResponse报文结构

其中Category字段为8,表示该ActionSA Query报文。Action0代表Request,为1代表ResponseTransaction Identifier代表交互ID

客户端需要同样的保护机制。对其来说,如果收到一个未保护的去关联或者去认证报文,会发起与上述机制相同的SA Query校验,由AP回复SA Query Response

 

2.4    新的密钥管理方式802.11w协议增强了加密的强度,基于已有的密钥管理模式(PSK802.1x)衍生出了两种新的方式,将原先两种模式下的Key-derivation(密钥衍生算法)由HMAC-SHA1替换为更高强度的HMAC-SHA256RSN IE中的密钥管理模式新增两个值:00-0F-AC-05802.1x+SHA256)、00-0F-AC-06PSK+SHA256)。如果MFPR位置1,则仅支持该两种新模式。否则,默认支持所有模式。


3      结论802.11w协议完善了WLAN的安全机制,提高了802.11网络的整体安全性,是推动WLAN飞速发展的一大利器。

 



0个回复

该话题暂时没有网友回复过

回复

分享扩散:

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作