随着人们对WLAN安全性的不断研究,推出了一个又一个安全机制,在2006年,国际标准组织批准IEEE802.11i为更安全无线协议的基础。IEEE802.11i在数据加密方面定义了TKIP、CCMP和WRAP三种加密机制。那么我们今天就来讲一下AES加密算法在WLAN中的使用。
一、AES加密算法在CCMP中的应用
CCMP是一种基于AES加密算法和CCM认证机制,可以大大提高无线网络的安全程度。
WPA(无线局域网受保护访问协议)是一种新型的无线安全技术,它是IEEE802.11i的一个子集,核心是IEEE802.1x和TKIP,可用以下公式表示几者之间的关系:
WPA=802.1x+EPA+TKIP+MIC
其中MIC(信息完整性检查码)是CCMP加密技术中的一个重要组成部分:
CCMP首先用CBC-MAC数据源认证模式对消息中的明文头、明文头长度和负载计算出一个MIC,然后使用计数模式对负载和MIC进行加密,产生128比特的密匙,其中计数模式的核心算法就是AES加密算法。
二、AES加密算法在WRAP中的应用
无线健壮安全认证协议(WRAP),是一种基于128比特AES-OCB模式的加密算法。
OCB是802.11健壮安全网络(RSN),AES加密算法所采用的操作模式OCB使用AES加密算法进行块加密,OCB首先把明文分成m个128bit长度的的数据块,然后依次对m个数据块进行异或和AES加密运算,直到生成m个加密数据块,随后将m个加密数据块拼接在一起,与重放计数器、MIC一起作为加密数据负载,完成对明文数据的加密。
AES在WRAP中的作用体现在对数据处理过程中,WRAP的数据封装过程如下:
1、密钥产生进程
通过802.1x协议建立链接,构建临时密钥,媒体访问控制(MAC)由联接请求、应答和临时密钥K一起通过密钥产生算法生成加密密钥。
2、加密密钥生成
加密密钥生成后,初始化连接状态,MAC使用WRAP数据封装算法,利用加密密钥对所有即将发送的单MAC服务数据单元进行保护:
(1)在数据加密之前,传输端根据所要发送的MSDU(是单播MSDU还是多播/广播MSDU数据)选择合适的封装方式决定使用何种方式保护MSDU;
(2)选好封装方式后,传输端对MSDU分组个数进行检验。分组个数为:(其中表示向上取整,AES分组长度为128bit)。
根据分组个数,选择合适的重放计数器(主要作用是构造Nonce和检测接收到的MSDU是否被重放,占有4个字节的字段长度,用来传输MSDU序列号)
(3)OCB加密每一条消息的Nonce都没有相互雷同的,重放计数器、QOS通信类别、MSDU源MAC地址和MSDU目的MAC地址共同作用构成OCBNonce,来保证Nonce的唯一性,提高消息的安全性。
(4)由目的MAC地址构造一个相关的数据分组。
(5)使用AES-OCB对MSDU等数据进行加密:设备使用WRAP临时加密密钥和Nonce对明文MSDU文件加密,产生两个输出结果:一个OCB加密数据串;一个64比特的OCB标识符。
(6)构造MSDU负载,生成最终的加密密钥。
3、数据解封进程
一旦加密密钥被生成,初始化连接状态后,802.11MAC用WRAP数据解封算法和加密密钥对所有接收来的单播MSDU进行解封,丢弃所有未经过数据封装算法保护的。其中MSDU数据的解密是通过对Nonce和AES解密密钥的使用来实现的。
可见,AES不论是在初始时的数据加密,还是密钥生成后的解封,都是作为核心算法在其中起着关键的作用,使得网络数据传输的安全性更高。
AES加密算法作为新一代的数据加密标准,具有高安全性、高性能、高效率、易用和灵活等优点,将它应用于WLAN中,为无线网络带来更强大的安全防护。成为取代WEP的新一代的加密技术,随着AES在加密领域应用的扩展,人们将进一步体会到一个好的算法带来的进步。
小知识之AES加密算法
AES加密算法又称为Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院_(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。