802.11w协议介绍

1      产生背景

相对于有线网络，WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享传输媒介，任何一台设备可以接收到其它所有设备的数据，这个特性直接威胁到WLAN接入数据的安全。因此，WLAN协议中定义了安全性的标准802.11i，涉及用户接入控制及身份验证、用户数据加密、密钥管理等多个方面。但是，上述的安全措施都没有针对管理帧进行保护，管理帧仍然暴露在不安全的网络环境中。因此，IEEE802.11工作组又基于现有的加密方式提出了针对管理帧的保护协议802.11w。

2      技术概述

802.11w协议主要基于现有的对数据报文的加密形式，对管理帧进行类似的加密。802.11w需要加密的管理帧包括解关联帧、去认证帧及强壮Action帧。强壮Action帧包括如下Action帧：

n  Spectrum Management

n  QoS

n  DLS

n  Block Ack

n  Radio Measurement

n  Fast BSS Transition

n  SA Query

n  Protected Dual of Public Action

n  Vendor-specific Protected

对广播管理报文不能采用简单粗暴的加密，因为广播报文是需要同时发送给不识别加密管理帧的客户端的。802.11w协议中专门定义了针对广播管理帧的特殊加密方式，称为BIP（Broadcast Integrity Protocol，广播完整性协议）。

另外，为防止客户端仿冒攻击，802.11w协议中定义了一种新的辨别机制，称为SA Query（Security Association Query，安全关联询问）。该机制主要用于识别是否有攻击者企图仿冒正常客户端发起下线请求等破坏网络秩序或试图破解网络安全性的行为。

下面对上述几个功能进行逐一介绍。

2.1    单播管理帧加密

管理帧加密功能为非必备功能，需要交互双方协商。协商通过RSN能力集中的6、7两位来辨别。其中第6bit为Management Frame Protection Required（MFPR），第7bit为Management Frame Protection Capable（MFPC）。MFPR代表是否需要强制支持管理帧加密，MFPC代表是否支持管理帧加密。协商时，如果一方要求强制支持802.11w（MFPR置1），而另一方不支持802.11w（MFPR置0），则无法协商成功；其他情况皆可。

如果协商成功，则双方交互管理帧时，需要使用数据帧对应的密钥加密管理帧（不维护额外的密钥）。但目前802.11w仅支持CCMP加密套件，也就是说，对802.11w协议来说，CCMP+RSNA方式为必要条件。RSNA是Robust Security Network Association（健壮安全网络连接），为802.11i协议规定的一种新的安全机制，而CCMP（Counter mode with CBC-MAC Protocol，[计数器模式]搭配[区块密码锁链－信息真实性检查码]协议）为其中新增的一种加密强度目前最高的加密机制。

2.2    广播管理帧加密

广播管理帧的处理与单播有所不同，它是在正常的广播报文Payload之后增加一个Management MIC IE（MME）用于接收方判断报文合法性。MME格式如图1：

图1 MME格式

其中：

Element ID表示该元素ID，Length表示长度，KeyID表示使用的密钥编号，IPN是IGTK报文序号，用来做Replay Counter检测，MIC是加密后的校验码，用来校验报文合法性。

广播管理帧的加密使用独立的加密算法，因此需要协商加密套件和密钥。

802.11w协议规定，在RSN IE中增加四个字节代表组播广播加密，如图2中最后一个字段Group Management Cipher Suite。H3C目前使用的值为00-0F-AC-06，代表BIP加密套件。

图2 RSN IE中新增的字段Group Management Cipher Suite

广播管理帧加密使用的密钥叫做IGTK，与组播数据报文使用的加密密钥GTK对应。密钥协商时IGTK与GTK一起在第三个EAPOL-KEY报文中以加密方式携带。加密时，使用原始报文、IGTK及AES-128-CMAC算法计算之后得到MIC填充到MME中。

为防止重放攻击，广播管理帧中使用的IPN由协商时生成并在每次发送广播管理帧时递增。客户端在协商时保存IPN的初值，如果收到的报文中的IPN小于当前值则丢弃。

 

2.3    SA Query机制

为防止被仿冒关联或者重关联报文干扰，导致AP对客户端作出错误的响应，802.11w提出SA Query机制来保证无线用户的在线连接安全。当AP处在安全的连接时，收到不加密的关联或者重关联请求时，AP会发送对应的响应报文，错误码为30（Association request rejected temporarily; try again later），并附带Time Out IE，其中注明了SA静默时间。

SA静默时间之内，AP不会再次响应任何关联或者重关联报文。客户端应该在此时间内也保持静默状态，不发送关联或者重关联报文。

同时，AP启动SA Query机制，向客户端发送SA Query Request报文。如果能收到客户端的SA Query Response或者任意经过保护的管理帧，则认为当前已有的连接是可靠的，忽略刚刚收到的关联请求。如果没有收到回应，AP每隔一段时间，会再发送一个SA Query Request，直到达到最大发送次数后如果还没收到回应，AP删除客户端信息，Station需要重新上线。

图4 真实STA的SA交互过程

图5 仿冒STA的SA交互过程

SA Query Request和Response是Action类型报文，结构如图3：

图3 SA Query Request和Response报文结构

其中Category字段为8，表示该Action是SA Query报文。Action为0代表Request，为1代表Response。Transaction Identifier代表交互ID。

客户端需要同样的保护机制。对其来说，如果收到一个未保护的去关联或者去认证报文，会发起与上述机制相同的SA Query校验，由AP回复SA Query Response。

 

2.4    新的密钥管理方式

802.11w协议增强了加密的强度，基于已有的密钥管理模式（PSK和802.1x）衍生出了两种新的方式，将原先两种模式下的Key-derivation（密钥衍生算法）由HMAC-SHA1替换为更高强度的HMAC-SHA256。RSN IE中的密钥管理模式新增两个值：00-0F-AC-05（802.1x+SHA256）、00-0F-AC-06（PSK+SHA256）。如果MFPR位置1，则仅支持该两种新模式。否则，默认支持所有模式。

3      结论

802.11w协议完善了WLAN的安全机制，提高了802.11网络的整体安全性，是推动WLAN飞速发展的一大利器。