专业信息安全工程师网站|培训机构|服务商(2019信息安全工程师学习QQ群:327677606,客服QQ:270019001)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
802.11i安全工作机制的4个阶段-信息安全工程师知识点
来源:信管网  2019年01月10日  【信管网:信息安全工程师专业网站所有评论

信息安全工程师知识点:802.11i安全工作机制的4个阶段

802.11i定义的安全工作机制分为安全能力通告协商、安全接入认证、会话密钥协商和加密数据通信4个阶段:

①安全能力通告发生在STA与AP之间建立802.11关联阶段:首先,AP为通告自身对WPA的支持,会对外发送一个包含M的安全配置信息(包括加密算法及认证方法等安全配置信息)的帧;接着, STA向AP发送802.11X系统认证请求,AP响应认证结果,从商实现STA和M的链路间认证;最后,STA根据AP通告的IE信息选择相应的安全配置,并将所选择的安全配置信息发送至础。在该阶段中,如果STA不支持AP所能支持的任何一种加密和认证方法,则AP可拒绝与之建立关联;反过来,如果AP不支持STA支持任何一种加密和认证方法,则STA也可拒绝与AP建立关联。

②安全接入认证阶段:该阶段主要进行用户身份认证,并产生双方的成对主密钥PMK。PMK是所有密钥数据的最终来源,可由STA和认证服务器动态协商而成,或由配置的预共享密钥(PSK)直接提供。对于802.1X认证方式: PMK但是在认证过程中STA和认证服务器动态协商生成(由认证方式协议中规定),这个过程对AP来说是透明的,AP主要完成用户认证信息的上传、下达工作,并根据认证结果打开或关闭端口。对于PSK:认证PSK认证没有STA和认证服务器协商PMK的过程,AP和STA把设置的预共享密钥直接当作是PMK,只有接入认证成功,STA和认证服务器(对于802.1X认证)才产生双方的PMK。对于802.1X接入认证,在认证成功后,服务器会将生成的PMK分发给AP。

③会话密钥协商阶段:该阶段主要是进仔逼信密钥协商,生成PTK和GTK,分别用来加密单播和组播报文。AP与STA通过EAPOL-KEY报文进行WPA 的4次握手(4-WayHandshake)进行密钥协商。在4次握手的过程中,AP与STA在PMK的基础上计算出一个512位的PTK,并将该PTK分解成为以下几种不同用途的密钥:数据加密密钥、MICKey(数据完整性密钥)、EAPOL-Key报文加密密钥、EAPOL-Key报文完整性加密密钥等。用来为随后的单播数据帧和EAPOLKey消息提供加密和消息完整性保护。在4次握手成功后,AP使用PTK的部分字段对GTK进行加密,并将加密后的GTK发送给STA,STA使用PTK解密出GTK。GTK是一组全局加密密钥, AP用GTK来加密广播、组播通信报文,所有与该AP建立关联的STA均使用相同的GTK来解密AP发出的广播,组播加密报文并检验其MIC。

④加密数据通信阶段:该阶段主要进行数据的加密及通倍。TKIP或AES加密算法并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥(BaseKey),经过两个阶段的密钥混合过程,从而生成一个新密钥。每一次报文传输都会生成不一样的密钥。在随后的通信过程中,AP和STA部使用该密钥加密通信。



分享到: 新浪微博 腾讯朋友 收藏本页
发表评论  查看完整评论  

相关内容

推荐文章
合作网站内容