IEEE 802.11i-2004 , eller 802.11i förkortat , är en ändring av den ursprungliga IEEE 802.11 , implementerad som Wi-Fi Protected Access II (WPA2). Standarden ratificerades den 24 juni 2004. Denna standard definierar säkerhetsmekanismer för trådlösa nätverk genom att ersätta den ursprungliga standardens Short Authentication and Privacy - klausul med en detaljerad säkerhetsklausul . Under denna process blir WEP (Wired Equivalent Privacy) föråldrad och inkluderades senare i den publicerade IEEE 802.11-2007-standarden.
802.11i ersätter den tidigare säkerhetsspecifikationen, Wired Equivalent Privacy ( WEP ), som har visat sig ha säkerhetsbrister. Wi -Fi Protected Access (WPA) introducerades tidigare av Wi-Fi Alliance som en mellanlösning på WEP-säkerhetsproblem. WPA implementerar en reducerad version av 802.11i. Wi-Fi Alliance hänvisar till dess godkända interoperabla implementering av den fullständiga versionen av 802.11i som WPA2 , även kallad RSN (Robust Security Network) High Security Network. 802.11i använder blockchifferet Advanced Encryption Standard (AES), det vill säga en symmetrisk blockchifferalgoritm , medan WEP och WPA använder RC4 -strömchifferet . [ett]
IEEE 802.11i utökar IEEE 802.11-1999-standarden genom att tillhandahålla ett högsäkerhetsnätverk (RSN) med två nya protokoll: 4-vägs handskakning och multicast. De använder tjänsterna för autentisering och portåtkomstkontroll som beskrivs i IEEE 802.1X för att ställa in och ändra lämpliga kryptografiska nycklar. [2] [3] Ett RSN är ett säkerhetsnätverk som endast tillåter att RSNA (Reliable Security Network Associations) skapas, vilket är en typ av association som används av ett par stationer (STA) om autentiserings- eller associeringsproceduren mellan dem inkluderar 4-sidig handskakning. [fyra]
Standarden tillhandahåller också två RSNA-konfidentialitets- och integritetsprotokoll, TKIP och CCMP , där CCMP-implementering är obligatorisk eftersom TKIP:s konfidentialitets- och integritetsmekanismer inte är lika tillförlitliga som CCMP:s. [5] Huvudmålet med att implementera TKIP var att algoritmen skulle implementeras inom kapaciteten hos de flesta äldre WEP-bara enheter.
Den initiala autentiseringsprocessen utförs antingen med en fördelad nyckel (PSK) eller efter ett EAP -utbyte över 802.1X (känd som EAPOL , vilket kräver en autentiseringsserver). Denna process säkerställer att klientstationen (STA) är autentiserad med åtkomstpunkten (AP). Efter PSK- eller 802.1X-autentisering genereras en delad hemlighet, kallad Pairwise Master Key (PMK). PMK härleds från ett lösenord som anges via PBKDF2-SHA1 som en kryptografisk hashfunktion . I ett fördelat nyckelnätverk är PMK faktiskt PSK. Om ett EAP 802.1X-utbyte har utförts, erhålls PMK från EAP-parametrarna som tillhandahålls av autentiseringsservern.
4-vägshandskakningen är utformad så att åtkomstpunkten (eller autentiseringsenheten) och den trådlösa klienten (eller supplikanten) oberoende kan bevisa att de känner till PSK/PMK utan att avslöja nyckeln. Istället för att avslöja nyckeln, krypterar åtkomstpunkten (AP) och klienten varandras meddelanden – som bara kan dekrypteras med den PMK de redan delar – och om dekrypteringen av meddelandena lyckades bekräftar detta kunskapen om PMK. 4-vägshandskakningen är avgörande för att skydda PMK från skadliga AP:er – till exempel SSID för en angripare som maskerar sig som en riktig AP – så att klienten aldrig behöver berätta för AP:n sin PMK.
PMK är designad för att hålla hela sessionen och bör exponeras så lite som möjligt; därför måste nycklarna för att kryptera trafiken erhållas. 4-vägshandskakningen används för att upprätta en annan nyckel, en så kallad Pairwise Transitional Key (PTK). PTK genereras genom att kombinera följande attribut: PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC-adress och STA MAC-adress . Produkten körs sedan genom en pseudo-slumpmässig funktion . Handskakningen ger också GTK (Group Temporal Key) som används för att dekryptera multicast- och broadcast-trafik.
De faktiska meddelanden som utbyts under handskakningen visas i figuren och förklaras nedan (alla meddelanden skickas som EAPOL -Key frames):
Den parade övergångsnyckeln (64 byte) är uppdelad i fem separata nycklar:
Den tillfälliga gruppnyckeln (32 byte) är uppdelad i tre separata nycklar:
Tx/Rx-nycklarna för Michael MIC-autentisering i PTK och GTK används endast om nätverket använder TKIP för att kryptera data.
Detta 4-vägs handslag har visat sig vara sårbart för KRACK .
Group Temporal Key (GTK) som används i nätverket kan behöva uppdateras på grund av att en förinställd timer löper ut. När en enhet lämnar nätverket måste GTK också uppdateras. Detta för att förhindra att enheten tar emot fler multicast- eller broadcastmeddelanden från åtkomstpunkten.
För att bearbeta 802.11i-uppdateringen definierar den en gruppnyckelhandskakning, som består av en tvåvägshandskakning:
CCMP är baserat på AES-krypteringsalgoritmen CCM. CCM kombinerar CTR för integritet och CBC-MAC för autentisering och integritet. CCM skyddar integriteten för både MPDU-datafältet och valda delar av IEEE 802.11 MPDU-huvudet.
RSNA definierar två nyckelhierarkier:
Beskrivningen av nyckelhierarkier använder följande två funktioner:
Nyckelparshierarkin använder PRF-384 eller PRF-512 för att härleda sessionsspecifika nycklar från PMK, vilket genererar en PTK som är uppdelad i KCK och KEK, såväl som alla temporära nycklar som används av MAC för unicast-säkerhet.
GTK måste vara ett slumptal som också genereras med PRF-n, vanligtvis PRF-128 eller PRF-256. I denna modell tar gruppnyckelhierarkin en GMK (Group Master Key) och genererar en GTK.
Underfält | Protokollversion | Sorts | Undertyp | till DS | av D.S. | Fler fragment | För att försöka igen | Energihantering | Mer data | Skyddad ram | Ordning |
bitar | 2 bitar | 2 bitar | 4 bitar | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit |
Det skyddade ramfältet är 1 bit långt. Fältet "Säker ram" har ett värde på 1 om "huvudramfältet" innehåller information som behandlas av den kryptografiska inkapslingsalgoritmen. Fältet Protected Frame är endast inställt på 1 i dataramar av typen Data och i kontrollramar av typen Control och subtype Authentication. I alla andra ramar har Secure Frame-fältet värdet 0. När Secure Frame -bitfältet är 1 i en dataram, skyddas basfältet för ramen med kryptografisk inkapsling. algoritm och utökad enligt definitionen i paragraf 8. Endast WEP är tillåten som kryptografisk inkapslingsalgoritm för kontrollramar av subtypen "Autentisering" [7] .
IEEE- standarder | |||||||
---|---|---|---|---|---|---|---|
Nuvarande |
| ||||||
Serie 802 |
| ||||||
P-serien |
| ||||||
Ersatt | |||||||
|