[精选]无线局域网安全讲义33444.pptx

-1-1-第八章无线局域网安全第八章无线局域网安全 马占宇马占宇信通院模式识别实验室信通院模式识别实验室-32-32-第六讲：无线局域网安全本地无线连接无线局域网WLAN802.11x系列标准中国标准WAPI9798-3/ISO SC27-33-33-无线局域网技术无线LAN和个人通信网（PCN）代表了1990年代通信网络技术的发展方向。相关技术的发展天线设计技术的发展高性能、高集成度的CMOS和GaAs半导体技术的发展，MCM技术网络软硬件设计技术的进展无线网络拓扑结构点对点型，HUB型，完全分布型ad hoc networkad hoc networkInfrastructure networkInfrastructure network-34-34-几种无线标准的比较笔记本,移动电话,PDA,寻呼机和轿车台式/笔记本电脑，电话,modem,网关台式/笔记本电脑，PDA，网关终端类型终端类型30400Kbps家庭办公室，私人住宅和庭院的网络办公区和校园局域网应用范围应用范围BluetoothBluetooth1,2,10Mbps11Mbps传输速度传输速度HomeRFHomeRF802.11802.11b b蓝牙研究组，Ericsson，Motorola，NokiaApple,Compaq,Dell,HomeRF工作群,Intel,MotorolaCisco,Lucent,3Com,WECA Consortium,支持公司支持公司窄带发射频谱跳频发射频谱直接顺次发射频谱传输协议传输协议30英尺150英尺50300英尺覆盖范围覆盖范围点对点或每节点多种设备的接入接入方式多样化接入方式接入方式o红外系统o射频系统n非专用频段，或称为工业、科研、医学（ISM）频段n专用频段：（18.82518.875）GHz，（19.16519.215）GHzn毫米波段（mmW）-35-35-无线局域网的安全标准WEP(Wired Equivalent Privacy)协议TKIP(Temporary Key Integrity Protocol)802.1X协议Wi-Fi组织提出的WPA(Wi-Fi Protected Access)标准802.11i标准(较新标准)WAPI(中国标准)-36-36-Wi-Fi组织简介-37-37-WLAN的802.1x协议系列标准1997年，IEEE 802.11协议1999年，IEEE 802.11b协议2004年，IEEE 802.11i协议(Draft Standard)2007年，IEEE 802.11i协议(Standard)网络吞吐速率,高速数字传输和稳定的连接CIS/SJTU372008-3-28标准标准最大数据传输速率最大数据传输速率工作频率工作频率公布时间公布时间802.112Mbps2.4GHz1997年年802.11b11Mbps2.4GHz1999年年802.11a54Mbps5GHz2001年年802.11g54Mbps2.4GHz2002年年HiperLAN254Mbps5GHz2003年年-38-38-802.11无线安全技术演进-39-39-802.11协议工作方式无线站无线接入点(AP)物理层三个物理层包括了两个扩频技术规范和一个红外传播规范传输速率是1Mbps和2Mbps，使用FHSS(frequency hopping spread spectrum)或DSSS(direct sequence spread spectrum)技术联合结构、蜂窝结构和漫游MAC子层负责解决客户端工作站和访问接入点之间的连接-40-40-802.11的三种基本安全机制802.11标准规定无线局域网有三种基本的接入AP的安全措施服务区别号(SSID)MAC地址过滤等价有线协议(WEP)40-41-41-802.11的三种基本安全机制服务区别号（SSID）无线Station必须出示正确的SSID才能访问AP，SSID可以被看作是一个简单的口令MAC地址过滤CIS/SJTU412008-3-28n可以手工维护一组允许或拒绝访问的MAC地址列表，用来进行物理地址过滤。物理地址过滤属于硬件认证，不属于用户认证。在MAC地址列表中手工增删用户的MAC地址，只适合小型网络。-42-42-802.11的三种基本安全机制有线等价协议（WEP）802.11标准包含一个WEP协议(Wired Equivalent Privacy protocol)，它的安全目标是阻止窃听（保护机密性）阻止消息被篡改（保护完整性）控制对WLAN的访问（访问控制）实质上，WEP应提供与有线网络等同的安全性。WEP是一个保护链路层通信安全的协议，而不提供端到端的安全解决方案。在ad hoc网络中不能使用WEP，因为该种网络没有AP。CIS/SJTU422008-3-28-43-43-WEP协议的主要内容在Mobile Station与Access Point之间共享一个密钥，用来认证。使用CRC-32（循环冗余校验码）来保护消息完整性。使用RC4流密码算法对包载荷和CRC校验值进行加解密。接收者解密数据，计算包载荷的CRC校验值，若正确则接受，否则丢弃该包。CIS/SJTU432008-3-28Mobile StationMobile StationMobile StationMobile StationAccess PointAccess PointAccess PointAccess Point-44-44-WEP协议的认证CIS/SJTU442008-3-28STAAPAPChallenge(Nonce)Response(Nonce RC4RC4 encrypted under shared key)Shared secret distributed out of bandDecrypted nonce OK?-45-45-WEP协议的完整性校验PlaintextICVIntegrityAlgorithmICV？Accept PacketReject PacketYesNo Integrity Check Value（ICV）-46-46-WEP协议的加、解密RC4是一种流密码算法，它可利用一个密钥生成无限长的伪随机数序列（称为密钥流）。加密时，将密钥流与明文相异或，解密方法与加密相同。Pseudo-random number generatorEncryption Key KPlaintext data byte pRandom byte r Ciphertext data byte c=p rDecryption works the same way:p=c r-47-47-48-48-CIS/SJTU482008-3-28WEP协议的加密|WEPPRNGIntegrityAlgorithm|IVCiphertext Integrity Check Value（ICV）SeedSecret KeyPlaintextIV-49-49-CIS/SJTU492008-3-28WEP协议的解密IVCiphertextSecret Key|WEPPRNG PlaintextICV-50-50-CIS/SJTU502008-3-28WEP的帧格式在使用流密码算法（包括RC4）时，加密两个消息时使用同一密钥流是十分危险的WEP中使用2424bitbit长的IVIV来增加密钥的个数 KeyKey=base_keybase_key|IVIV不同的IV将产生不同的密钥流,IV放在每包的开头，对IV不进行加密IVCRC-32PayloadKey ID byteRC4 encrypted-51-51-WEP的密钥长度WEP采用RC4算法加密数据包，密钥长度为40bit或104bit。由于存在24bit长的IV，WLAN厂商通常对外宣称密钥长度为64bit或128bit。CIS/SJTU512008-3-28-52-52-Lab for Cryptography and Information Security,SJTU522008-3-28WPA,WPA-PSKWPA,WPA-PSK开放系统，共享系统开放系统，共享系统-53-53-流密码算法RC4RC4 was designed by Ron Rivest of RSA Security in 1987RC4 was initially a trade secret,but in September 1994 a description of it was anonymously posted to the Cypherpunks mailing list.It was soon posted on the sci.crypt newsgroup,and from there to many sites on the Internet.The current status seems to be that unofficial implementations are legal,but cannot use the RC4 name.RC4 is often referred to as ARCFOUR,to avoid possible trademark problems.It has become part of some commonly used encryption protocols and standards,including WEP and WPA for wireless cards and SSL.CIS/SJTU532008-3-28-54-54-RC4:pseudo-random generation algorithm(PRGA)考虑所有的字节（8bit数组）0,1,2,255 S(需初始化):所有字节的置换S0,S1,S2,S255流密码算法：明文、密钥按字节对应数组XOR密钥流输出算法 i:=0 j:=0 while GeneratingOutput:i:=(i+1)mod 256 j:=(j+Si)mod 256 swap(Si,Sj)output S(Si+Sj)mod 256-55-55-RC4:key-scheduling algorithm置换S通过密钥初始化密钥长度（字节数）l通常516（40128 bits）首先，设S为恒等置换 S 然后经过类似PRGA的256次迭代生成，即 for i from 0 to 255 Si:=i j:=0 for i from 0 to 255 j:=(j+Si+keyi mod l)mod 256 swap(Si,Sj)-56-56-IV的碰撞问题不同的包使用相同IV的现象称作IV的碰撞相同的IV意味着加密密钥流是同一个 C1 C2=P1 P2如果C1、C2、P1已知，则立即可以推算出P2。如果有三个或三个以上的包使用相同的IV，则解密更加容易。C1 C3=P1 P3 C2 C3=P2 P3 C1 C2=P1 P2-57-57-WEP中的IV碰撞802.11没有规定如何选择IV，甚至没有要求对于不同的包采用不同的IV许多基于802.11的产品将IV的初始化值设为0，随后IV递增实际上，IV的取值总共有224 种可能，在几个小时以后就会出现IV碰撞的情况。当一个密钥的生命期比较长时，或多个用户使用同一个密钥时，IV碰撞发生的几率会急剧增大。在IV发生碰撞时，可根据C1 C2=P1 P2推测明文P1、P2的值。-58-58-已知明文攻击一旦我们得知一个数据包的明文内容，只需将明文与密文相异或，我们就可以推导出加密该包的密钥流。RC4(k,IV)=Plaintext Cipher用此密钥流可以解密所有具有相同IV值的其它被加密数据包。如果我们能够收集224个不同IV开头的数据包的明文内容，就可以得到加密224个包的密钥流，用它们组织成解密字典，可以实时地解密任何一个数据包。由于在一般的情况下，IV是从0开始计数的，所以IV值较小的包会经常出现，这些数据包将比IV值大的包更容易遭到破解。-59-59-对WEP中CRC校验的攻击CRC-32是考虑检验传输错误，并非保护数据完整。基于线性纠错编码基于线性纠错编码：k 位序列k+r 位序列，r 位冗余用于校验n bit长的明文可以表示成一个 n-1 次多项式的形式 p=pn-1xn-1+pn2xn2+p0 x0(each pi=0 or 1)则明文与ICV可以被一起表示为 px32+ICV(p)=pn-1xn+31+pn2xn30+p0 x32+ICV(p)如果将（n+32）bit长的密钥流表示成（n+31）次的多项式 b，则密文可以表示为 px32+ICV(p)+bICV的运算是线性的，即对于任意两个多项式p 和 q，有以下的等式成立ICV(p+q)=ICV(p)+ICV(q)-60-60-若 q 是一个任意的 n 阶多项式，将它与密文相异或将得到以下等式成立：(p+p+q q)x x32 32+ICV(+ICV(p+p+q q)+)+b b =pxpx32 32+q qx x32 32+ICV(+ICV(p p)+ICV(ICV(q q)+)+b b=(=(pxpx32 32+ICV(+ICV(p p)+)+b b)+(q qx x3232+ICV(ICV(q q)按照该规则修改密文将可以不被CRC-32校验检测到！对WEP中CRC校验的攻击原来的密文原来的密文原来的密文原来的密文q q及其及其及其及其CRCCRCCRCCRC校验值校验值校验值校验值-61-61-WEP中的完整性很弱WEP中的完整性校验不能阻止对包内容的篡改可以利用这个弱点来篡改包内容,绕过访问控制例如：存在一种攻击认证的方法记录一个认证的“ChallengeResponse”全过程根据RC4(k,IV)=Plaintext Cipher，使用截获的Challenge、Response包获取加密密钥流在认证时使用算出的加密密钥流来加密AP发来的ResponseCIS/SJTU612008-3-28Challenge(Nonce)Response(Nonce RC4RC4 encrypted under shared key)Decrypted nonce OK?-62-62-从WEP设计的教训及补救措施设计出的标准草案应该面向大众，在接受学术界的普遍分析和检验以后才能被确立为标准。设计安全标准应该有密码学家的参与。WEP的设计者缺乏密码学常识，RC4本身是一个“安全”的加密算法，但是WEP的设计者没有正确地使用RC4算法。设计标准和协议需要汲取以前设计协议的经验教训，误用CRC的问题在以前的协议中出现过，但是WEP的设计者并没有注意到这一点。补救措施对于密钥管理做出了改进，采用多个密钥，在连接时才决定使用哪一个密钥建议将WLAN视为不安全的网络，避免通过它来传输敏感数据将WLAN置于公司内部网之外，两者之间要使用防火墙对于要求高安全级别的应用，使用VPN-63-63-临时密钥完整性协议TKIP针对WEP的不足，2002年10月提出新的安全协议临时密钥完整性协议TKIP(Temporary Key Integrity Protocol)可以提供加密和消息认证功能使用带密钥的消息完整性保护算法Michael算法(Message Integrity Code,MIC)使用IV序列计数器，其输出值参与会话密钥的生成，可以抗重放攻击使用密钥混合函数，不会产生WEP中的弱密钥；使用密钥自动更新机制，减少IV碰撞现象发生的机会-64-64-TKIP加密642008-3-28Kevin Benton,The Evolution of 802.11 Wireless Security,http:/itffroc.org/pubs/benton_wireless.pdf,UNLV Informatics-Spring 2010-65-65-802.1X标准2001年6月，IEEE公布了802.1X标准，用于在用户终端和AP之间建立起经过认证的安全连接。比起802.11有比较大的改变o它的核心是可扩展认证协议EAP，实质是对通信端口进行鉴权。o如果认证通过，AP为Station打开逻辑通信端口，否则拒绝Station的接入请求。-66-66-802.1X标准三个重要部分：Station，Access Point，RADIUSRADIUS802.1X标准要求无线工作站Station安装802.1x客户端软件，AP要内嵌802.1x认证代理，将用户认证信息转发给RADIUS（Remote Authentication Dial-in Service，远程用户接入认证服务）服务器，由RADIUS服务器来进行认证。-67-67-Extensible Authentication Protocol(EAP)EAP 即PPP（Point-to-Point）扩展认证协议,是一个用于PPP认证的通用协议，可以支持多种认证方法。EAP并不在联接建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这种机制还允许PPP认证方简单地把收到的认证报文传递给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。EAP是建立在询问响应模型上的，共有四种类型的信息：EAP请求、EAP响应、EAP成功信息、EAP失败信息。EAP工作在网络层上而不是工作在数据链路层上，可以将信息路由到中心服务器上而不是让每一个端口AP进行认证，因此由更大的灵活性。-68-68-802.1X标准的认证过程Authentication trafficNormal DataPort Status:RADIUSRADIUSAssociateEAP Identity RequestEAP-SuccessAPAPEAP Auth ResponseEAP Auth ResponseEAP Auth RequestEAP Auth RequestEAP Identity ResponseEAP Identity ResponseEAP-SuccessSTASTA-69-69-69WLAN中802.1X的认证过程5 5 5 5 1 1 1 1 1)1)User requests access;AP prevents wired network accessUser requests access;AP prevents wired network access2)2)Encrypted credentials sent to authentication serverEncrypted credentials sent to authentication server3)3)Authentication server validates user,grants access rightsAuthentication server validates user,grants access rights4)4)AP Port enabled and Dynamic WEP keys are assigned to client(encrypted)AP Port enabled and Dynamic WEP keys are assigned to client(encrypted)5)5)Wireless client can now access general network services securelyWireless client can now access general network services securelyAccess Access PointPointOther Network Servers Other Network Servers and Servicesand Services2 2 2 2 4 4 4 4 EncryptedEncryptedLEAPLEAP3 3 3 3 WirelessWirelessClientClientRadiusRadiusAuthentication ServerAuthentication ServerDynamicDynamicWEPWEP-70-70-802.1X标准的特点在802.1X标准中没有指定采用哪种认证协议，EAP只是一种封装协议，可以选用不同的认证协议，如Kerberos、EAP-TLS等。802.1x是为了在Station和AP之间进行认证和分发加密密钥设计的，可以动态生成加密密钥。802.1X除提供端口访问控制能力以外，还提供基于用户的认证系统和计费功能，特别适用于公共场合（如宾馆、候机室）的无线接入解决方案。-71-71-Wi-Fi Protected Access(WPA)2003年提出，集合了现有的802.1x认证机制(EAP)、临时密钥完整性协议(TKIP)和消息完整性检查机制(MIC)，这些技术的结合可以保证数据包的安全性。Uses Temporal Key Integrity Protocol(TKIP)for data encryption and confidentialityStill uses RC4,128 bits for encryption Provisions for changing base keysAvoids weak keysIncludes Michael a Message Integrity Code(MIC)64 bitsReplaces the CRCObserver cannot create new MIC to mask changes to dataIncreases IV from 24 bits to 48Mixes the IV and the base key-72-72-2008-3-28WPA2Uses AESAES,specifically Counter-Mode/CBC-MAC Protocol(CCMP)Too computationally intensive in SW for wireless hardware deployed at the time of WEPUses 128 bit keyProvides data confidentiality by using AES in counter modeoProvides message authentication using Cipher Block Chaining Message Authentication Code(CBC-MAC)nThe MAC also covers the packet source and destination-73-73-802.11i标准802.11i是专门为改善WLAN安全而制定的标准，2004年月获得IEEE标准委员会通过。该标准将使用TKIP协议作为过渡的加密算法，最终转向使用AES加密算法。使用AES算法的何种工作模式目前尚未确定，AES-OCB、AES-CCM是比较被看好的候选方案。该标准中的认证方案将支持WLAN用户的漫游。IEEE 802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。完成的完成的完成的完成的802.11802.11802.11802.11i i标准包括两项主要发展：标准包括两项主要发展：标准包括两项主要发展：标准包括两项主要发展：Wi-FiWi-Fi保护接入保护接入保护接入保护接入(WPA)WPA)和强健的安和强健的安和强健的安和强健的安全网络全网络全网络全网络(RSN)RSN)。-74-74-802.11i协议增强无线安全有线等效加密协议(WEP)由于缺少足够的安全性，从而延缓了无线局域网在许多企业中的广泛采用。尽管多数网络管理人员和最终用户都知道切断以太网连线所带来的生产力好处，但大多数人担心这样做的风险。从安全角度看，人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时，人们假定他们已经是可信赖的用户。因此，用户可以使用也可以不使用像802.1x或RADIUS这样额外增加的认证功能的协议。-75-75-Wi-Fi保护接入第一个任务是堵住遗留设备中的安全漏洞，一般是通过固件或驱动器升级。Wi-Fi联盟已经采纳了802.11i草案标准的一个子集合，将它称为WPA，并且现在开始认证设备是否满足WPA要求。WPA利用临时密钥完整协议(TKIP)作为改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。还增加了消息完整性检查功能来防止数据包伪造。虽然WPA对弥补WEP的缺点有很大帮助，但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备和操作系统。此外，并不是所有的用户都可以共享同样的安全基础设施，一些用户将使用PDA并缺少PC的处理资源。此外，除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件，否则TKIP/WPA将降低网络性能。-76-76-强健的安全网络(RSN)RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(EAP)的，加密算法为高级加密标准(AES)。动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。由于采用动态协商、802.1x、EAP和AES,RSN比WEP和WPA可靠得多。但是，RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件，提供今天的无线局域网产品所期望的性能。WPA将把遗留设备的安全性提高到最低限度的可接受水平，而RSN才是802.11无线传输安全性的未来。-77-77-Architectural ComponentsKey hierarchyPairwise Keys,Group KeysEAP/802.1X/RADIUSOperational PhasesDiscovery,Authentication,Key Management,Data transfer-78-78-Pairwise Key HierarchyMaster Key(MK)Master Key(MK)Pairwise Master Key(PMK)=TLS-PRF(MasterKey,“client EAP Pairwise Master Key(PMK)=TLS-PRF(MasterKey,“client EAP encryption”|clientHello.random|serverHello.random)encryption”|clientHello.random|serverHello.random)Pairwise Transient Key(PTK)=EAPoL-PRF(PMK,AP Nonce|STA Pairwise Transient Key(PTK)=EAPoL-PRF(PMK,AP Nonce|STA Nonce|AP MAC Addr|STA MAC Addr)Nonce|AP MAC Addr|STA MAC Addr)Key Key Confirmation Confirmation Key(KCK)Key(KCK)PTK bits 0127PTK bits 0127Key Encryption Key Encryption Key(KEK)Key(KEK)PTK bits 128PTK bits 128255255Temporal Key PTK bits 256Temporal Key PTK bits 256n can have cipher suite specific can have cipher suite specific structurestructure-79-79-Pairwise KeysMaster Key represents positive access decisionPairwise Master Key represents authorization to access 802.11 mediumPairwise Transient Key Collection of operational keys:Key Confirmation Key(KCK)used to bind PTK to the AP,STA;used to prove possession of the PMKKey Encryption Key(KEK)used to distribute Group Transient Key(GTK)Temporal Key(TK)used to secure data traffic-80-80-Group KeysGroup Transient Key(GTK)An operational keys:Temporal Key used to“secure”multicast/broadcast data traffic802.11i specification defines a“Group key hierarchy”Entirely gratuitous:impossible to distinguish GTK from a randomly generated key-81-81-More Terminology802.1X or EAPoLEAPTLSEAP-TLSRADIUS-82-82-Authentication and Key Management Architecture(1)802.1802.1X(EAPoL)X(EAPoL)Authentication ServerAccess Point802.11802.11Wireless StationEAP-TLSEAP-TLSEAPEAPRADIUSRADIUSUDP/IPUDP/IPOut of scope of 802.11i standard-83-83-Authentication and Key Management Architecture(2)EAP is end-to-end transport for authentication between STA,AS802.1X is transport for EAP over 802 LANsAP proxies EAP between 802.1X and backend protocol between AP and ASBackend protocol outside 802.11 scopeBut RADIUS is the de facto transport for EAP over IP networksConcrete EAP authentication method outside 802.11 scopeBut EAP-TLS is the de facto authentication protocol,because the others dont work-84-84-802.11 Operational PhasesCCMP data protectionCCMP data protection802.1802.1X authenticationX authentication802.1802.1X key managementX key managementRADIUS-based key distributionRADIUS-based key distributionSecurity capabilities discoverySecurity capabilities discoveryAuthentication ServerAccess PointStation-85-85-Purpose of each phase(1)DiscoveryDetermine promising parties with whom to communicateAP advertises network security capabilities to STAs802.1X authenticationCentralize network admission policy decisions at the ASSTA determines whether it does indeed want to communicateMutually authenticate STA and ASGenerate Master Key as a side effect of authenticationGenerate PMK as an access authorization token-86-86-Purpose of each phase(2)RADIUS-based key distributionAS moves(not copies)PMK to STAs AP802.1X key managementBind PMK to STA and APConfirm both AP and STA possess PMKGenerate fresh PTKProve each peer is liveSynchronize PTK useDistribute GTK-87-87-Authentication Overview802.1802.1X/EAP-Request IdentityX/EAP-Request Identity802.1802.1X/EAP-Response Identity X/EAP-Response Identity(EAP type specific)(EAP type specific)RADIUS Access Request/IdentityRADIUS Access Request/IdentityEAP type specific mutual authenticationEAP type specific mutual authenticationRADIUS Accept(with PMK)RADIUS Accept(with PMK)802.1802.1X/EAP-SUCCESSX/EAP-SUCCESSDerive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)ASAPSTA802.1XRADIUSAP 802.1X blocks port for data trafficAP 802.1X blocks port for data trafficSTA 802.1X blocks port for data trafficSTA 802.1X blocks port for data traffic-88-88-Authentication SummaryAt the end of authenticationThe AS and STA have established a session if concrete EAP method doesThe AS and STA possess a mutually authenticated Master Key if concrete EAP method doesMaster Key represents dec