骨干WLAN中的认证与密钥管理AKM操作
来源:互联网 发布:html href javascript 编辑:程序博客网 时间:2024/06/08 00:35
骨干WLAN中的认证与密钥管理AKM操作
ESS中AP包含一个认证方,每个连接上的STA包含一个请求方。; j( S9 Y; D2 B, L% [9 \! X1 Z
在带有802.1X 认证服务器AS的环境中,通过多个步骤实现AKM。我们分成几个帖子介绍。' O0 J+ U; R: B" b/ n; j8 u5 I& o: X% ~, _" p
第一步,执行802.11连接。这个不用多少。
2 R" N5 j$ u J& C第二步,执行EAP扩展认证并获得成对主控密钥。步骤如下:
6 C7 S7 y g1 d# ^6 n7 T8 U9 c1 u" N. r5 Y- y
a. 认证方连通认证服务器。在所有802.1X-2004操作开始之前,802.11假设认证方authenticator已经和认证服务器AS建立起安全通道。如何建议不在本协议中规定。另外认证的凭信credentials必须在STA-AP连接之前配置到请求方和AS处。$ r, J# G5 j/ I* v/ [% }
1 N6 s* u+ `6 }3 \8 D1 S$ Y
b. 两种方式启动认证。STA通过消极监视或者积极的probing方式,获取AP的安全策略。如果802.1X认证被使用,则扩展认证协议EAP的认证处理将启动。启动方式有两种:1 o! z7 B$ m/ Z' {1 j% g) ~+ p% S
(1) AP的认证方向STA发出EAP-Request请求。
8 ]* D6 w Y. M6 U (2) STA的请求方发出EAPOL-Start 消息。1 e1 {0 W" s% r
这个EAP认证将穿越请求方和认证方的不受控端口进行,并在请求方和认证服务器(注意不是认证方)之间交互消息。
+ m3 z2 I2 g% k+ _7 v
, [( o* G! P8 K" r* fc. 互相认证产生密钥并配置本地。请求方和认证服务器AS互相认证并产生成对主控密钥PMK。然后AS通过安全通道告知认证方PMK。
4 `+ x& S1 f) _2 g _& i1 O6 t' a- P6 p" t" h+ w, E
总结:在整个过程中,认证方只不过是一个中介,操作在请求方和认证服务器之间进行。
(续)骨干WLAN中的安全操作——4-way握手及其作用
第三步,(4way 握手)利用PMK建立并安装成对密钥与群密钥,打开控制端口。步骤在后面帖子中用图表示。! u% O' w, o/ h2 f$ T; r( M6 p* B% t- I. R" j1 D0 E" f6 r4 次握手操作由认证方发起,通过EAPOL-Key帧实现。其主要应用包括:, y" t1 f/ ?! S+ U) J
-- 确认一个live peer持有成对主控密钥PMK
& x) S J2 t! b- m0 [9 R-- 确认上述PMK是最新的. c6 ?; y; H& G6 w* B
-- 从PMK中获取一个新的成对临时密钥PTK) }0 u! f+ S; Y+ `* b6 ^9 ~
-- 为802.11安装成对的加密和集成密钥# d9 {/ n( }5 ?$ d& w. C
-- 由认证方向请求方传输群临时密钥GTK及其序列号并将这些信息安装到STA
0 z) w- W; O( ?) o U-- 认证方将群临时密钥GTK及其序列号安装到AP4 \( @& d P1 ]3 ~- b7 Y
-- 确认加密套件cipher suite的选项。
! V) ~ U0 c% M% I) y: R$ s- Z1 z& f! [; Z. C- N
补充:
) P" ~0 ?1 f' I5 w" c. U" v安装PTK(如果需要,还有GTK)将使MAC对所有经过控制和非控制端口的数据执行加密和解密。
8 P3 b' q1 o. @6 w1 _8 q8 v* l通过一个4-way握手,认证方和请求方实现互相认证,同时控制端口被打开,允许普通数据的传输。5 ~) i* [7 r, b5 h5 V3 O
如果认证方后来修改了GTK,则他会将GTK及其序列号通过Group Key 握手发送到请求方。
(续)认证与密钥管理AKM操作简图总结
第一步,建立802.11连接。$ Z( n' n$ a n6 ~2 o( ?6 c& ~/ O2 V/ U! ASTA AP/STA! s! J# f; }/ e% o
4 S' g |9 t- z0 z5 K. A" h$ T--------- probe request --------------------------------------->0 U9 Q# Y6 T3 r- k: ]
<------- probe response (security parameters)-----------% H. L6 z7 u( T- h- E$ R4 i: X
--------- open system authentication request ------------>
6 R0 B; @0 n S6 H% Q; m' U<------- open system authentication response-----------
N* a. q& r% `6 V--------- association request (security parameter) ------>
4 |. v' M% y3 g# G& u2 k<------- association response -------------------------------- h. M* J9 @& M0 h# w1 `" j
6 h0 @6 @ v4 b' Z1 y* z* L8 `2 V第二步,执行扩展认证协议以获取成对主控密钥PMK
2 ], {6 s9 k2 f- V+ \ B' s- h7 |5 R" ~- {& v% |
Supplicant Authenticator AS
6 m5 m7 R) U, A/ h" Q
, w- b9 ^5 I; K3 P. P1 U9 l5 ~) Z<------- 802.1X EAP request --------: R- V) D+ Z; S# ?4 A3 I1 c8 a' m
--------- 802.1X EAP response ----->: O- p, {+ | ^. C) H* v$ J
------------------ EAP request ---------------------->/ s# X; V! z9 F: l- v
<---------------------- EAP authentication protocol exchange ----------------------------->: \. Y5 P; r% Z
<------ accept / EAP success / Key material ----' w$ }- ?7 I4 _. g2 G: d1 F
<------- 802.1X EAP success --------
/ C y/ d; G: n# s5 w, I" A9 U* V4 W# z/ O3 J- ]" W: Q
第三步,(4way 握手)利用PMK建立并安装成对密钥与群密钥,打开控制端口2 Y, t% A9 J6 ~
' Y' P$ l8 E; u6 i8 Q5 H/ hSupplicant Authenticator5 v4 b; ^' X" [; D2 p0 P) w; }& N" u
7 c* \$ R6 G0 H, Q! }
PMK is known. Generate SNonce PMK is known. Generate ANonce
- C& U4 R9 c7 r5 E# n<--------------- MSG1: EAPOL-Key (ANonce, Unicast) ------------------------------------------& o# V7 I8 w* c. H( d, Z2 u! _ f
Derive PTK
( ?8 }/ ^; i$ L0 }' Q' e( o8 `2 R---------------- MSG2: EAPOL-Key (SNonce, Unicast, MIC) ----------------------------------->
2 L A" s7 C: c& i9 k, q2 _ Derive PTK. If needed generate GTK6 Q8 J! K' ]$ y
<--------------- MSG3: EAPOL-Key (install PTK, Unicast, MIC, Encrypted GTK) ----------8 N5 S; a1 ~9 ~3 W3 J# t9 O
---------------- MSG4: EAPOL-Key (Unicast, MIC) ---------------------------------------------->
5 `8 e- c) N) q4 F0 cInstall PTK & GTK Install PTK: z% s* H0 s! h/ r
802.1X controlled port unblocked- A0 |! L4 d0 j' z0 W2 c. R
; y% _6 G8 z( O: l% F, E6 g
7 ~+ N. n4 v5 i6 P! p
第四步,(需要时)更换GTK
9 G6 ?/ k8 A( f5 y i
3 N+ J& l1 f ESupplicant Authenticator1 V( y+ o& C3 W3 b* }: o, r7 ]; z
# I- H9 M1 W5 K$ Y& B4 y
Generate GTK. Encrypt GTK with PTK.; O4 _' p' w) \! z3 a% f
<--------------- MSG1: EAPOL-Key (Encrypted GTK, Group, MIC) --------------------------7 F+ X6 u5 H% b l: e- L9 I6 U
Install GTK
9 |, C' p1 u0 Z7 w' g1 [9 b----------------- MSG2: EAPOL-Key (Group, MIC) ---------------------------------------------->
(续)骨干WLAN中的安全操作——如果没有认证服务器AS
如果没有认证服务器AS,则认证与密钥管理操作就不能采取上面所述的方法。中间请求者和AS的相互认证环节将被省略,而是由请求者和认证者直接协商,产生一个类似PMK的密钥,叫做preshared key,预共享密钥。$ n* B/ q/ n1 J+ N- I' J* W( [- @) m! ^! b; v. S2 b2 O
所以,如果没有AS,则整个AKM操作简图还是如上个帖子所述。唯一的差别是,第二步的执行扩展认证协议以获取成对主控密钥PMK,变成没有AS参与的双方直接协商产生PSK的过程。只要将PSk当成PMK,后面的步骤就完全相同了。
(续)骨干WLAN中的安全操作——disassociation时的情况
在RSNA中任意一方STA启动disassociation都将导致安全连接SA的拆除。" N. n$ j- E. Y: w+ y; Q0 C( {(1) 双方的成对临时密钥安全连接PTKSA将被拆除。
( h: u* t$ P- P" @% V8 n(2) 非AP的STA的群临时密钥安全连接GTKSA也将被拆除。4 H* m) E T8 _8 W/ e" m; I* h# K
(3) 为该连接创建的802.1X端口也被删除。
原文链接:http://www.socvista.com/bbs/viewthread.php?tid=1000&extra=page%3D2
- 骨干WLAN中的认证与密钥管理AKM操作
- OpenSSH 密钥管理:RSA/DSA 认证
- OpenSSH 密钥管理:RSA/DSA 认证
- ssh密钥管理和认证代理
- 怎么用手中的私人密钥与GitHub 进行认证和 通信
- AKA简单翻译 认证与密钥协商
- 认证、密钥、随机数与技术应用(上)
- 【寒江雪】密钥分配与管理
- wlan 认证过程
- ssh-keygen - 生成、管理和转换认证密钥
- 【ssh-keygen】生成、管理和转换认证密钥
- 渗透测试 | 无线渗透 | 5-身份认证与密钥交换
- PuTTY、Xshell 远程连接Linux与密钥认证方法
- 医院WLAN无线认证解决方案
- 多密钥ssh-key生成与管理
- 密钥管理
- mongodb管理与安全认证
- mongodb管理与安全认证
- log4j.properties配置详解
- 手机“族群论”:十大族群背后的移动新世界
- hql中常用函數介紹
- Oracle10g ORA-32004 问题解决方案
- 动态修改web.config文件
- 骨干WLAN中的认证与密钥管理AKM操作
- 基于Visual C++6.0的DLL编程实现
- 文件的压缩与打包 linux
- android linux alsa_amixer
- string 和stringbuilder的区别
- 打印全排列
- 内网渗透利器--reDuh
- linux中的僵尸进程
- Eclipse Maven Tomcat 组合之下 提高开发效率的尝试