隨著人們對(duì)WLAN安全性的不斷研究，推出了一個(gè)又一個(gè)安全機(jī)制，在2006年，國(guó)際標(biāo)準(zhǔn)組織批準(zhǔn)IEEE802.11i為更安全無(wú)線協(xié)議的基礎(chǔ)。IEEE802.11i在數(shù)據(jù)加密方面定義了TKIP、CCMP和WRAP三種加密機(jī)制。那么我們今天就來(lái)講一下AES加密算法在WLAN中的使用。

一、AES加密算法在CCMP中的應(yīng)用

CCMP是一種基于AES加密算法和CCM認(rèn)證機(jī)制，可以大大提高無(wú)線網(wǎng)絡(luò)的安全程度。

WPA（無(wú)線局域網(wǎng)受保護(hù)訪問(wèn)協(xié)議）是一種新型的無(wú)線安全技術(shù)，它是IEEE802.11i的一個(gè)子集，核心是IEEE802.1x和TKIP，可用以下公式表示幾者之間的關(guān)系：

WPA＝802.1x＋EPA＋TKIP＋MIC

其中MIC（信息完整性檢查碼）是CCMP加密技術(shù)中的一個(gè)重要組成部分：

CCMP首先用CBC－MAC數(shù)據(jù)源認(rèn)證模式對(duì)消息中的明文頭、明文頭長(zhǎng)度和負(fù)載計(jì)算出一個(gè)MIC，然后使用計(jì)數(shù)模式對(duì)負(fù)載和MIC進(jìn)行加密，產(chǎn)生128比特的密匙，其中計(jì)數(shù)模式的核心算法就是AES加密算法。

二、AES加密算法在WRAP中的應(yīng)用

無(wú)線健壯安全認(rèn)證協(xié)議（WRAP），是一種基于128比特AES－OCB模式的加密算法。

OCB是802.11健壯安全網(wǎng)絡(luò)（RSN），AES加密算法所采用的操作模式OCB使用AES加密算法進(jìn)行塊加密，OCB首先把明文分成m個(gè)128bit長(zhǎng)度的的數(shù)據(jù)塊，然后依次對(duì)m個(gè)數(shù)據(jù)塊進(jìn)行異或和AES加密運(yùn)算，直到生成m個(gè)加密數(shù)據(jù)塊，隨后將m個(gè)加密數(shù)據(jù)塊拼接在一起，與重放計(jì)數(shù)器、MIC一起作為加密數(shù)據(jù)負(fù)載，完成對(duì)明文數(shù)據(jù)的加密。

AES在WRAP中的作用體現(xiàn)在對(duì)數(shù)據(jù)處理過(guò)程中，WRAP的數(shù)據(jù)封裝過(guò)程如下：

1、密鑰產(chǎn)生進(jìn)程

通過(guò)802.1x協(xié)議建立鏈接，構(gòu)建臨時(shí)密鑰，媒體訪問(wèn)控制（MAC）由聯(lián)接請(qǐng)求、應(yīng)答和臨時(shí)密鑰K一起通過(guò)密鑰產(chǎn)生算法生成加密密鑰。

2、加密密鑰生成

加密密鑰生成后，初始化連接狀態(tài)，MAC使用WRAP數(shù)據(jù)封裝算法，利用加密密鑰對(duì)所有即將發(fā)送的單MAC服務(wù)數(shù)據(jù)單元進(jìn)行保護(hù)：

（1）在數(shù)據(jù)加密之前，傳輸端根據(jù)所要發(fā)送的MSDU（是單播MSDU還是多播／廣播MSDU數(shù)據(jù)）選擇合適的封裝方式?jīng)Q定使用何種方式保護(hù)MSDU；

（2）選好封裝方式后，傳輸端對(duì)MSDU分組個(gè)數(shù)進(jìn)行檢驗(yàn)。分組個(gè)數(shù)為：（其中表示向上取整，AES分組長(zhǎng)度為128bit）。

根據(jù)分組個(gè)數(shù)，選擇合適的重放計(jì)數(shù)器（主要作用是構(gòu)造Nonce和檢測(cè)接收到的MSDU是否被重放，占有4個(gè)字節(jié)的字段長(zhǎng)度，用來(lái)傳輸MSDU序列號(hào)）

（3）OCB加密每一條消息的Nonce都沒(méi)有相互雷同的，重放計(jì)數(shù)器、QOS通信類別、MSDU源MAC地址和MSDU目的MAC地址共同作用構(gòu)成OCBNonce，來(lái)保證Nonce的唯一性，提高消息的安全性。

（4）由目的MAC地址構(gòu)造一個(gè)相關(guān)的數(shù)據(jù)分組。

（5）使用AES－OCB對(duì)MSDU等數(shù)據(jù)進(jìn)行加密：設(shè)備使用WRAP臨時(shí)加密密鑰和Nonce對(duì)明文MSDU文件加密，產(chǎn)生兩個(gè)輸出結(jié)果：一個(gè)OCB加密數(shù)據(jù)串；一個(gè)64比特的OCB標(biāo)識(shí)符。

（6）構(gòu)造MSDU負(fù)載，生成最終的加密密鑰。

3、數(shù)據(jù)解封進(jìn)程

一旦加密密鑰被生成，初始化連接狀態(tài)后，802.11MAC用WRAP數(shù)據(jù)解封算法和加密密鑰對(duì)所有接收來(lái)的單播MSDU進(jìn)行解封，丟棄所有未經(jīng)過(guò)數(shù)據(jù)封裝算法保護(hù)的。其中MSDU數(shù)據(jù)的解密是通過(guò)對(duì)Nonce和AES解密密鑰的使用來(lái)實(shí)現(xiàn)的。

可見(jiàn)，AES不論是在初始時(shí)的數(shù)據(jù)加密，還是密鑰生成后的解封，都是作為核心算法在其中起著關(guān)鍵的作用，使得網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩愿摺?/p>

AES加密算法作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)，具有高安全性、高性能、高效率、易用和靈活等優(yōu)點(diǎn)，將它應(yīng)用于WLAN中，為無(wú)線網(wǎng)絡(luò)帶來(lái)更強(qiáng)大的安全防護(hù)。成為取代WEP的新一代的加密技術(shù)，隨著AES在加密領(lǐng)域應(yīng)用的擴(kuò)展，人們將進(jìn)一步體會(huì)到一個(gè)好的算法帶來(lái)的進(jìn)步。

admin

收藏 海報(bào)分享