IEEE802.11协议规定无线帧包含数据帧、控制帧和管理帧三类,本文将详细剖析此无线安全协议。
数据帧的任务是在工作站间传递数据,数据帧信息会因为所处的网络环境不同而发生变化。控制帧多用于为数据帧提供服务,保证工作站之间数据能可靠传输。控制帧能够选择通信信道、维护载波监听功能、清理工作区域、对收到的数据作出应答等。管理帧起监督作用。比如对STA加入无线网络、退出无线网络、在基站间的漫游等进行管理。
IEEE802.11i提供给企业网络管理员使用的安全保护,只适应于网络中的数据通信。若管理员想管理或者控制无线网络的运行,基本上无能为力。目前管理、控制报文并未受到保护,机密性、真实性、完整性无法得到保证,容易受到仿冒或者监听。为了在一定程度上消除这个安全隐患,802.11w诞生了。它经由保护无线网络“管理帧”的过程来改善安全性,能够在一定程度上制止通过“管理帧“进攻网络的行为。
1.1802.11w协议内容
1.1.1无线管理帧
IEEE规定的802.11管理帧的通用格式如图1-1所示。
图1-1管理帧基本结构
管理帧十分具有弹性。帧主体中的数据,长度不会变化的位叫做固定式位;长度在一定范围内可变的位就叫做IE(informationelement,信息元素)位。信息元素指的就是长度有所变化的数据块。每一个数据块均会标注上类型编号与大小。不同IE的数据位具有不同的解释方式。802.11标准允许增加新的IE。
1.1.2802.11w协议简介
802.11w保护的管理帧,包括去认证帧、去关联帧、强健Action帧。强健Action帧主要包含:SpectrumManagement、Qos、DLS、BlockAsk、Radiomeasurement、FastBSSTransition、SAQuery、ProtectedDualofPublicAction、Vendor-specficProtected帧[27]。
对于单播管理帧采用数据帧的临时密钥对其进行加密保护。对广播管理帧采用新提出的加密套件BIP进行保护,提供了完整性校验以及重放保护。
802.11w协议一致性测试的内容主要包括两部分:管理帧保护和SAQuery处理机制,SAQuery处理机制中涉及的SAQueryRequest和SAQueryResponse帧属于强壮Action帧,同样受802.11w标准保护。
1.1.3RSNIE变更
IE(InformationElement,信息元素)是管理帧的组成成分,其长度可变。管理帧会通过IE来与别的系统交换信息。信息元素一般包括一个ElementID(元素识别码)位、一个Length(长度)位和一个长度不定的位。16bit的CapabilityInformation(能力信息)位,用于在发送Beacon帧时通告一个服务集内的工作站本网络所具有的能力。它同样能够用于ProbeRequest和ProbeResponse帧中。每个bit位各自代表一个旗标,分别代表网络具备何种功能。STA使用这些公告信息判断自己是否支持该BSS所有的功能。一般情况下,不具备性能通告中要求的能力的工作站,不能加入此服务集。首先AP通过信标帧广播RSN能力,使得无线工作站之间能够互换安全信息。版本Version属于必要位,802.11定义了版本0,1保留未用,版本2以上未定义[22]。群组密码套件GroupDataCipherSuit在同一时间能且只能选择一种。并且所选套件必须和全部接入该服务集的工作站的组密码套件兼容。密码套件选项占四个字节,由厂商的OUI以及代表密码套件的编号组成,802.11系列协议所使用的OUI为00-0F-AC,IEEE802.11w中定义的标准密码套件如表2-2所示;成对密码套件PairwiseCipherSuites(count+list)作用是保护单播管理帧,它包含二字节的计数字段与4*n(n为正整数)字节它允许的密码套件描述符。除信息元素长度有受限外,协议并未规定其允许的密码套件数量;身份认证与密钥管理套件AuthenticationandKeyManagementSuites(count+list)也存在好几种身份认证类型,它由一组四个字节的识别码组成。包括一个OUI和一组套件类型标识符。AKM取不同值时对应的认证和密钥管理类型如表2-3所示。强健安全网络能力RSNCapability字段占两个字节,用于描述发送方的安全性能。
802.11w协议提出在RSN信息元素的RSNcapabilities(如表1-1)中增加MFPR及MFPC位;AKM字段新增类型00-0F-AC:5和00-0F-AC:6;并且新增GroupManagementCiphersuit字段。
增加的MFPR和MFPC位用来协商保护管理帧能力,MFPR位置1表示强制要求管理帧保护,MFPC位置1表示支持管理帧保护;通过MFPR及MFPC位的设置来协商保护管理帧能力。
AKM字段新增类型00-0F-AC:5及00-0F-AC:6分别表示认证类型为802.1x及PSK,相较00-0F-AC:1和00-0F-AC:2,把加密算法从SHA1变为SHA256。
GroupManagementCiphersuit字段用来保护广播或多播管理帧[1],新增密码套件BIP用来保护广播或多播的完整性,BIP协议运用AES加密算法,在CBC-MAC模式下计算认证码。健壮安全网络信息元素格式如图2-所示。
图1-2强健安全网络信息元素格式
ElementID:协议设定为48(十进制)。
Length:定义了从该字段以后RSNIE字段的总字节数。
Version:版本类型,值为1。
GroupCipherSuite(组播加密套件):该字段标识了使用何种加密算法进行组播加密,字段结构如图2-3。
图1-3加密套件选择器格式
PairwiseCipherSuiteCount:多存在于STA发往AP的帧中,该字段为1。而在AP广播所带的RSNIE中,该字段值为AP支持的加密套件总数。
PairwiseCipherSuiteList:该字段列出了所用的加密算法,格式类似组播加密算法的标识格式,数量与PairwiseCipherSuiteCount字段的值一致。
AKMSuiteCount:标识使用的AuthenticationKeyManagement(AKM)套件的数量。
AKMSuiteList:结构同字段PairwiseCipherSuiteList,具体值见表1-3[22]。
RSNCapability:此字段用于描述发送端能力,后六位保留未用,必须设定为0,字段结构如表1-1所示[22]。
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。