计算机网络安全 第五章
5.2 WEP加密和认证机制 WEP加密机制; WEP帧结构; WEP认证机制; 基于MAC地址认证机制; 关联的接入控制功能。 WEP主要提供加密和认证机制,可以加密终端间传输的数据,允许终端和AP交换数据前,由AP完成对终端的身份认证,通过认证的终端的MAC地址记录在关联表中,以后的数据交换过程中,MAC地址作为发送端的标识符。
WEP加密机制 WEP加密过程 24位初始向量(IV)和40位(或104位)密钥构成64位伪随机数种子,产生数据长度+4(单位字节)的一次性密钥; 数据的循环冗余检验码(4个字节)作为数据的完整性检验值(ICV)用于检测数据的完整性; 一次性密钥和数据及ICV进行异或运算,其结果作为密文; 为了在发送端和接收端同步伪随机数种子,以明文方式传输IV,由于伪随机数种子由密钥和IV组成,截获IV并不能获得伪随机数种子。
WEP加密机制 WEP解密过程 用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥; 用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV; 根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
WEP帧结构 控制字段中的WEP标志位置1; 净荷字段中包含密文(数据和ICV与一次性密钥异或运算后的结果)、IV、密钥标识符,2位密钥标识符允许发送端和接收端在4个密钥中选择一个密钥作为伪随机数种子的组成部分。
WEP认证机制 确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥; 密文=(challenge‖ICV)⊕K; K是一次性密钥,以IV和密钥为伪随机数种子生成的伪随机数,其长度=128+4(单位字节)。 challenge是128字节长度的随机数。 确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥; 终端一旦通过认证,AP记录下终端的MAC地址,以后,终端MAC地址就是授权终端发送的MAC帧的标识符。
基于MAC地址认证机制 AP首先建立授权终端MAC地址列表; 终端是否是授权终端的依据是该终端的MAC地址是否包含在AP的MAC地址列表中。
关联的接入控制功能 建立关联过程 建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程; 建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。 这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。