无线局域网安全、强健安全网络 (RSN)

由于媒体的广播性质，无线局域网更容易受到安全风险的影响，这简化了窃听。有线等效保密 (WEP) 协议虽然由于其设计缺陷而过时，但它提供了一些关于如何不设计安全协议的重要教训。WEP 协议旨在提供完整性、机密性和身份验证。它使用对称密钥加密方法，其中主机使用带外方法与接入点共享密钥，这些方法大多由管理员或家庭网络用户预先安装。发送方使用循环冗余校验 (CRC) 算法对有效载荷计算 32 位完整性校验值 (ICV)。将 104 位共享密钥与 24 位初始化向量 (IV) 组合输入伪随机数生成器 (PRNG)，例如 RC4 流密码。然后使用逐位异或运算将帧的明文有效载荷和 CRC 与 RC4 生成的密钥序列组合以加密帧。每个帧都使用一个新的 IV。

对于身份验证，接入点 (AP) 通过信标帧通告是否需要身份验证。但是，并非所有 AP 都支持此功能。如果需要身份验证，在关联之前，连接到 AP 的主机将从 AP 收到一个 128 位随机数。它会使用共享密钥加密随机数并将其发送回 AP。AP 将使用共享密钥解密此响应并验证它是否与最初发送的随机数匹配。接收方将提取以明文形式收到的 IV，将 IV 和共享密钥输入 PRNG，获取密钥流，将密钥流与加密数据进行异或以解密数据 + ICV，最后使用 ICV 验证数据的完整性。

WEP 协议存在许多设计缺陷。首先，使用 24 位 IV 会给该方案带来弱点，即 224 或 1600 万个唯一 IV 会在高速链路中在不到 2 小时内耗尽。由于 IV 以明文形式发送，窃听者可以轻松检测到这种重用并发起已知明文攻击。在 WEP 中使用 RC4 会导致 Fluhrer、Martin 和 Shamir (FMS) 攻击。在 FMS 中，攻击者可以通过捕获该流中的大量消息来恢复 RC4 加密流中的密钥。线性 CRC 算法适用于检测随机链路错误，但不适合恶意修改消息。如更高层协议中讨论的强加密技术（如消息认证码和签名）更适合此任务。

鉴于 WEP 的安全设计不佳，Wi-Fi 联盟承担了保护无线网络的工作。在制定 WPA2 的同时，为实现向后硬件兼容性，迅速开发了一项名为 Wi-Fi 保护访问 (WPA) 的临时标准。WPA 使用临时密钥完整性协议 (TKIP)，但保留了 RC4 以实现兼容性。预共享密钥 (PSK)，也称为 WPA-Personal，与 WEP-Key 类似。但是，PSK 的使用方式不同，随机数和 PSK 经过哈希处理以生成临时密钥。随后，使用加密混合函数将此临时密钥、临时 MAC (TMAC) 和序列计数器组合在一起，从而生成一个用于加密的密钥（128 位）和另一个用于完整性的密钥（64 位）。因此，每个数据包都使用唯一的加密密钥进行加密，以避免 FMS 式攻击。此外，WPA 将 WEP IV 扩展为 48 位，用作数据包序列计数器。重放相同的 IV 需要 100 年的时间。接收站会丢弃无序接收的数据包。几个新字段包括新的帧校验序列 (FCS) 字段、用于纠错的 CRC-32 校验和以及基于新字段 Michael (MIC) 的哈希函数，用于完整性检查。正如文献中所报道的，WPA 也曾遭受过攻击。

2004 年，Wifi 联盟 WPA2 标准最终确定，该标准源自 IEEE 802.11i 标准。WPA2 依靠更强大的硬件，支持 128 位 AES 计数器模式和密码块链接消息认证码协议 (CCMP)。这些方法在密码学知识领域（第 10 章）中讨论。它还提供了改进的 4 次握手和临时密钥生成方法。

2018 年，新的 WPA3 标准被接受，以逐步过渡并最终取代 WPA2。WPA3 克服了 WPA 和 WPA2 中缺乏完美前向保密的问题。PSK 被一种基于 IETF Dragonfly 密钥交换的称为“同时对等认证 (SAE)”的新密钥分发所取代。WPA3-Personal 模式使用 128 位加密，而 WPA3-Enterprise 使用 192 位加密。

强大的安全网络 (RSN)

前面一节描述了 WEP 演变为 WPA 和 WPA2。然而，IEEE 802.11i 工作组提出了 RSN 框架来提供最强大的安全性。它采用基于 802.1X 的访问控制机制，如上所述。身份验证和密钥生成通过 EAP 完成。它继续使用 TKIP 和 CCMP 进行各种加密功能，例如加密/解密、完整性检查以及来源身份验证和重放攻击检测。Stallings 对 RSN 协议和标准进行了很好的概述。

RSN 密钥派生机制在一定程度上是复杂的，如图 17.8 所示。我们将对此进行总结，因为许多其他遵循与成对密钥方案类似的方案的协议（包括蜂窝 GSM）提供了一种在用户每次启动新会话时生成动态会话密钥的机制。

首先，用户设备和 AP 将使用带外方法获得预共享密钥 (PSK)。然而，这不是一个可扩展的解决方案，在使用 IEEE 802.1X 的企业设置中，主会话密钥 (MSK) 通常在身份验证阶段生成。有了这两个选项，可以通过以下两种方式生成成对主密钥 (PMK)：使用 PSK 作为 PMK 或使用伪随机函数 (PRF) 从 MSK 派生 PMK。PSK 还在生成 PTK 时使用主机和 AP 地址，从而提供针对会话劫持和冒充的额外防御。此外，在混合中使用随机数来实现良好的随机密钥材料。PTK 现在分为三部分，从而为每个函数生成单独的密钥。

RSN 还适用于组密钥生成，其中主机可以与多播组进行通信，如图 17.9 所示。此密钥由 AP 生成，并使用上面导出的安全成对密钥安全地分发给关联的主机。此组密钥可以根据各种网络策略定期更改。标准中未定义组临时密钥生成方法。