无线网络安全 课件 第2章 FLAP：一种高效的WLAN初始访问认证协议.ppt

**************FLAP：一种高效的WLAN初始访问认证架构研究背景现有工作我们的方案架构分析实验结果总结研究背景FLAP：一种高效的WLAN初始访问认证架构研究背景近年来，无线局域网（WirelessLocalAreaNetwork，WLAN）因其移动性好、带宽大和灵活性高而受到关注，越来越多的移动设备（如智能手机、平板电脑等）都开始支持WLAN。然而，由于无线媒体是在一定范围内对公众开放的，其安全性是一个严重的问题。研究背景为了通过无线链路提供安全的数据通信，802.11任务组提出了有线等效保密（WiredEquivalentPrivacy，WEP）架构来加密数据流、认证无线设备。然而，在加密和认证架构[1]中都发现了重大缺陷。为了修复WEP中的问题，Wi-Fi联盟提出了一种基于EAP/802.1X/RADIUS的认证架构以取代WEP中糟糕的开放式系统认证和共享密钥认证。作为保护无线链路安全的长期解决架构，最新的IEEE标准802.11i于2004年6月24日获得批准，其认证过程将802.1X认证与密钥管理过程结合，生成新的成对密钥和（或）群组密钥，然后进行数据传输会话。WLAN中的大多数安全问题都可以由802.11i解决。[1]W.A.Arbaugh,N.Shankar,andJ.Wang,“Your802.11NetworkHasNoClothes,”Proc.IEEEFirstInt’lConf.WirelessLANsandHomeNetworks(ICWLHN’01),pp.131-144,2001.研究背景现有工作我们的方案架构分析实验结果总结现有工作FLAP：一种高效的WLAN初始访问认证架构现有工作现有工作已经提出了一些方案，然而仍然存在以下不足：1）在WLAN中，每次移动设备进入扩展服务集（ExtendServiceSet，ESS）时，它都必须进行初始链路设置以建立WLAN连接，该连接通常包括源接入点（AccessPoint，AP）的发现和关联，802.11i认证和IP地址的获取。当大量用户同时进入ESS时，需要一种可扩展的高效机制来最小化STA在初始链路设置中所花费的时间，同时保持安全的认证。初始链路的设置花费大量时间会导致移动设备无法充分利用WLAN，很多服务难以执行。2）802.11i规定的认证过程是初始链路设置中一个庞大且耗时的组件，导致802.11i效率低下的根本原因是，它是从架构角度设计的，在移动终端和WLAN之间引入了太多的消息交互。研究背景现有工作我们的方案架构分析实验结果总结我们的方案FLAP：一种高效的WLAN初始访问认证架构我们的方案基于区块链的互愈式群组密钥管理方案核心思想我们提出了一种高效的WLAN初始访问认证架构FLAP，该架构通过两条往返消息来实现认证和密钥分配，从而实现比目前所使用的802.11i更快的接入认证架构。创新点：使用最少的消息（两条消息）实现STA和AS之间的认证，并将四次握手架构消息合理地集成在一起，实现STA和AP之间的认证我们的方案设计目标架构的设计目标有：（1）方向：架构不是取代802.11i，而是一种补充，应该与之兼容。（2）范围：只引入了一个新的初始访问认证，不应影响802.11i的后续过程（如PTK的更新）。（3）功能性：使用最少的消息实现STA、AP和AS之间的认证和密钥分配。（4）安全性：架构的安全级别不低于现行标准。（5）性能：架构将极大地改进802.11i。FLAP：一种高效的WLAN初始访问认证架构FLAP架构步骤在该架构中，每个STA与AS共享一个密钥，并且假设AS和AP之间的链路是安全的。FLAP架构执行步骤FLAP：一种高效的WLAN初始访问认证架构FLAP架构步骤具体步骤如下：（1）STA通过主动扫描获取WLAN信息，包括基本服务集的身份、AS的身份和网络的安全能力。（2）第一条认证消息从STA发送到AP，当发送这条消息时，STA将计数器加1。（3）AP向AS发送快速访问认证请求消息。（4）AS中还为每个用户设置了一个计数器，其初始值也设置为1。在接收到快速访问认证请求消息时，AS根据ID获取其当前值，并将其与接收到的值进行比较。如果接收到的值小于AS保存的值，则STA的认证失败。反之，STA认证成功。FLAP：一种高效的WLAN初始访问认证架构FLAP架构步骤（5）AS用认证响应消息回复AP。（6）在接收到认