Реферат Курсовая Конспект
Работа сделанна в 2005 году
Усовершенствованный механизм управления ключами - раздел Связь, - 2005 год - Информационная безопасность в сетях Wi-Fi Усовершенствованный Механизм Управления Ключами. Алгоритмы Аутентификации Ста...
|
Усовершенствованный механизм управления ключами. Алгоритмы аутентификации стандарта 802.11 и ЕАР могут обеспечить сервер RADIUS и клиента динамическими, ориентированными на пользователя ключами. Но тот ключ, который создается в процессе аутентификации, не является ключом, используемым для шифрования фреймов или проверки целостности сообщений. В стандарте 802.11i WPA для получения всех ключей используется так называемый мастер-ключ (master key). Клиент и точка доступа устанавливают динамический ключ (он называется пар¬ный мастер-ключ, или РМК, от англ. pairwise master key), полученный в процес¬се аутентификации по стандарту 802.1X. На основе этого ключа, а также МАС-адресов клиента и точки доступа генерируется парный переходный ключ (painvise transient key, PTK), на основе которого получают ключи для шифрования фреймов и проверки целостности сообщений.
Парный мастер-ключ (РМК) и парный переходный ключ (РТК) являются одноад¬ресатными по своей природе.
Они только шифруют и дешифруют одноадресатные фреймы, и предназначены для единственного пользователя. Широковещательные фреймы требуют отдельной иерархии ключей, потому что использование с этой целью одноадресатных ключей приведет к резкому возрастанию трафика сети. Точке доступа (единственному объекту BSS, имеющему право на рассылку широковещательных или многоадресатных сообщений) пришлось бы посылать один и тот же широковещатель¬ный или многоадресатный фрейм, зашифрованный соответствующими пофреймовы¬ми ключами, каждому пользователю. Широковещательные или многоадресатные фреймы используют иерархию группо¬вых ключей.
Групповой мастер-ключ (group master key, GMK) находится на вершине этой иерархии и выводится в точке доступа. Групповой мастер-ключ, текстовая строка, МАС-адрес точки доступа и Gnonce (значение, которое берется из счетчика ключа точки доступа) объединяются и обраба¬тываются с помощью генератора ПСП, в результате чего получается 256-разрядный групповой пе¬реходный ключ (group transient key, GTK). GTK делится на 128-разрядный ключ шиф¬рования широковещательных/многоадресатных фреймов, 64-разрядный ключ переда¬чи MIC (transmit MIC key) и 64-разрядный ключ приема MIC (MIC receive key). С помощью этих ключей широковещательные и многоадресатные фреймы шифруют¬ся и дешифруются точно так же, как с помощью одноадресатных ключей, полученных на основе парного мастер-ключа (РМК). Групповые ключи удаляются и регенерируются каждый раз, когда какая-нибудь станция диассоциируется или деау¬тентнфицируется в BSS. Если происходит ошибка MIC, одной из мер противодейст¬вия также является удаление всех ключей с имеющей отношение к ошибке приемной станции, включая групповые ключи.
Шифрование по алгоритму AES Известно, что шифрование и аутентификация, проводимые в соответствии со стандартом 802.11, имеют слабые стороны.
IEEE и WPA усилили алгоритм WEP про¬токолом TKIP и предлагают сильный механизм аутентификации по стандарту 802.11i, обеспечивающий защиту беспроводных LAN стандарта 802.11. В то же время IEEE рассматривает возможность усиления механизма шифрования.
С этой целью IEEE адаптировал алгоритм AES для применения его по отношению к разделу, касающему¬ся защищаемых данных предлагаемого стандарта 802.11i. Компоненты WPA не обес¬печивают поддержку шифрования по алгоритму AES. Однако последние версии WPA, возможно, будут реализованы в соответствии со стандартом 802.11i и для обеспечения взаимодействия будут поддерживать шифрование по алгоритму AES. Алгоритм AES представляет собой следующее поколение средств шифрования, одобренное Национальным институтом стандартов и технологий (NIST) США. IEEE разработал режим AES, предназначенный специально для применения в беспроводных LAN. Этот режим называется режим счета сцеплений блоков шифра (Cipher Block Chaining Counter Mode, CBC-CTR) с контролем аутентичности сообщений о сцеплениях бло¬ков шифра (Cipher Block Chaining Message Authenticity Check, CBC-MAC), все вместе это обозначается аббревиатурой AES-CCM. Режим ССМ представляет собой комби¬нацию режима шифрования CBC-CTR и алгоритма контроля аутентичности сообще¬ний СВС-МАС. Эти функции скомбинированы для обеспечения шифрования и про¬верки целостности сообщений в одном решении.
Алгоритм шифрования CBC-CTR работает с использованием счетчика для попол¬нения ключевого потока.
Значение этого счетчика увеличивается на единицу после шифрования каждого блока. Такой процесс обеспечивает получение уникального клю¬чевого потока для каждого блока.
Фрейм с открытым текстом делится на 16-байтовые блоки. После шифрования каждого блока значение счетчика увеличивается на едини¬цу, и так до тех пор, пока не будут зашифрованы все блоки. Для каждого нового фрейма счетчик переустанавливается. Алгоритм шифрования СВС-МАС выполняется с использованием результата шиф¬рования СВС по отношению ко всему фрейму, к адресу назначения, адресу источника и данным.
Результирующий 128-разрядный выход усекается до 64 бит для использо¬вания в передаваемом фрейме. СВС-МАС работает с известными криптографическими функциями, но имеет из¬держки, связанные с выполнением двух операций для шифрования и целостности со¬общений. Этот процесс требует серьезных вычислительных затрат и значительно уве¬личивает "накладные расходы" шифрования. Резюме Алгоритмы аутентификации и шифрования, определенные в стандарте 802.11 раз¬работки 1997 года, имеют множество недостатков.
Система аутентификации, так же как алгоритм WEP-шифрования, могут быть взломаны за короткое время. Протокол TKIP обещает ликвидировать недостатки WEP-шифрования и системы аутентифика¬ции в краткосрочной перспективе, а стандарт 802.1X и AES предоставят долговремен¬ное решение проблемы безопасности беспроводных сетей.
– Конец работы –
Эта тема принадлежит разделу:
Данные переда¬ются по радио отправителем, полагающим, что приемник также работает в выбранном радиодиапазоне. Недостатком такого механизма является то, что любая другая стан¬ция,… Если не использовать какой-либо механизм защиты, любая станция стандарта 802.11 сможет обработать данные, посланные по…
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Усовершенствованный механизм управления ключами
Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:
Твитнуть |
Новости и инфо для студентов