WPA/WPA2密钥派生与分发

                                AUTHOR:   Jeffrey.zhu

 

 

 

                                    BLOG:http://blog.csdn.net/gueter/

 

 

1 概述

 

WPA的密钥生成、管理系统结合了认证和数据私密功能,具有较强的健壮性,在STAAP之间认证完成且四次握手成功后,各类密钥就产生了。在ESS网络中,RSNA定义了两类密钥层次结构:

1)            Pairwise Key层次结构,用于保护单播流量(Unicast Traffic),支持CCMPTKIP,通过将发送地址、接收地址与Pairwise Key的绑定,可以在解密(Decapsulation)过程中,有效地检测出攻击者伪造的MPDU,即允许接收端的STA检测MAC欺骗及数据伪造,而GTK则不具备这样的能力;

2)            Group Key层次结构,用于保护多播(Multicast Traffic)和广播流量(Broadcast Traffic),由单个密钥组成。

       ESS中,APBSSID就是IEEE 802.1X 认证器的AAMAC 地址),而请求者的MAC地址(SPA)也就是STAMAC地址,在RSN中,使用CCMPSTA在每个<TA, RA>对中,应该至少支持一个Pariwise Key,同时可以用<TA ,RA>来标识Pariwise Key

       在复杂网络中(ESSIBSS混合),当AP同时与使用WEP(用共享WEP密钥)的STA以及使用CCMPTKIP(用Pairwise Key)的STA通信时,使用WEPSTA使用Default Key 0~3 作为shared WEP Key,问题在于,若AP设置成使用WEP Default Key 0与使用WEPSTA通信,那些不支持WEP Default 0但支持TKIP或者CCMPSTA将会在RSN Capabilites field里头指定为No Pairwise subfield,由此,AP也会配置成与WEP-STANo Pairwise-STANo Pairwise的使用仅为了在RSNA中支持WEP)通信,也就是说四次握手的时候AP不会安装Pairwise Temporal Key,而是在所有类型的通信流量中使用WEP Default Key 0

       在复杂网络中,支持TKIPSTA都应该支持一个Pairwise Key,无论这个Pairwise Key是通过Key mapping Key(由PTK映射)方式获取,还是通过mapping to Default Key 0(由Default Key 0映射)的方式获取,这样,AP就会使用Pairwise Key用于保护APSTA之间的单播流量,如果支持Key mapping Key的方式,那么<TA ,RA>可以用来标识pariwise Key,如果不支持,则帧中的密钥索引(Key index)将会置0,也就是说会使用Default Key 0保护通信流量。

       同时不支持TKIPWEP Default Key 0STA通过设置RSN IENo Pairwise域来广播这一信息,在四次握手的message3中,AP将会清除install bit通知STA不要安装Pairwise Key,相应地,AP会发一个WEP shared KeySTA作为Default Key 0使用,这个Key将会用于STAAP之间单播帧的传递。

       TSN中,支持CCMPSTA将会同时支持Pairwise KeysWEP Default Key 0,当配置使用CCMP时,STA协商为No Pairwise subfield是无效的。

       密钥层次的描述用到两个函数:

l  L(Str, F, L):从Str的左边开始,抽取从LL+F-1F bits

l  PRF-n:产生n bits输出的伪随机函数。

 2 Pairwise Key层次结构

       Pairwise Key层次结构如下图所示:

WPA/WPA2密钥派生与分发_第1张图片

         根据采用的密钥管理协议(AKMP)的不同,PMK的获取有两种情况:

l  802.1X+EAP模式下,PMKMSK中派生而来,取MSK的前256 bits (bits 0–255)用来计算PMK PMK =L(MSK, 0, 256),也就是说,在这种模式下,MSK的长度至少要是256bits,且PTK的的生命周期应该短于PMK的生命周期(lifetime),其中生命周期由认证服务器(AS)决定:lifetime = Session-Timeout + dot1xAuthTxPeriod 或者取MIB里头的变量: lifetime = dot11RSNAConfigPMKLifetime

l  WPA-PSK模式下,一个256bitsPSK将会直接配置到STAAP中,或者将pass-phrase(如用户输入的密码)配置到请求端(Supplicant)与认证器端(Authenticator),关于PSK的配置方法不属于IEEE802.11i标准的内容,其中常用的方法是系统与用户交互来完成PSK的配置(且具体实现中,应该为每一对STA之间的通信生成一个PSK),例如,如果配置了pass-phrase,则256bitPSK将会通过下面方式派生,并当作PMK使用,利用PMK便可以派生出PTK,流程如下图所示:

 

WPA/WPA2密钥派生与分发_第2张图片

l  SNonce 是由Supplicant端(即STA端)生成的一个伪随机数;

l  ANonce 是由Authenticator端(即AP端)生成的一个伪随机数。

       其中,pdkdf2_SHA1( )SHA1_PRF( )在前述章节有所介绍。根据密钥套类型(TKIP/CCMP),我们将PTK的肢解进行进一步细分:

WPA/WPA2密钥派生与分发_第3张图片

 

 

l  KCK,用于4-Way Handshake中对数据原始性认证进行保障,也就是MIC Key

l  KEK用于4-Way HandshakeGroup Key Handshake中的EAPOL-Key帧的加解密;

l  TEK,也就是TK,用于数据帧的加解密;

l  TMK则是TKIP中的MIC校验Key

       最后,作者对Pairwise Key层次结构中不同密钥资源在不同信息安全体系中的使用进行了一个总结: WPA/WPA2密钥派生与分发_第4张图片

3 Group Key层次结构

       GMK的获取在前述章节有所介绍,GTK作为一个临时密钥(TK)应该是一个伪随机数,也就是说AP中的GMK(Group Master Key )应该周期性地改变,Group Key层次结构如下图所示:

 

WPA/WPA2密钥派生与分发_第5张图片

l  Group nonce (GNonce) 是一个由IEEE 802.1X认证器生成的伪随机数;

l  AAIEEE 802.1X 认证器MAC 地址;

       根据密钥套选择的类别,GTK被肢解为不同长度的TKTemporal Key)用于保护多播与广播通信(Multicast / Broadcast Communication),也就是说,GTK被用于一个认证器端与多个请求端之间,其中,TKIPX = 256 CCMPX = 128 WEPX = 40104

       类似地,作者也对Group Key层次结构中不同密钥资源在不同信息安全体系中的使用进行了一个总结:

       WPA/WPA2密钥派生与分发_第6张图片             

4 PeerKey Key 层次结构

         PeerKey Key层次结构如下图所示:

WPA/WPA2密钥派生与分发_第7张图片

 

 

         由于PeerKey Key用在IBSS网络中,所以下面只进行简单介绍:

l  SMK256bits

l  STKs 用于Initiator STAPeer STA之间,即用于IBSSSTASTA之间;

l  TK 用于保护Initiator STAPeer STA之间的单播通信(Unicast Communication);

l  INonce 是一个由Initiator STA产生的伪随机数;

l  PNonce 是一个由Peer STA 产生的伪随机数;

l  SKCK 用于保护4-Way STK Handshake中的认证数据;

l  SKEK 用于保障4-Way STK Handshake EAPOL-Key帧的保密性。

你可能感兴趣的:(网络,IE,服务器,Blog,解密,gtk)