[精选]网络与内容安全-008无线局域网安全-新32934.pptx

-1-1-第八章无线局域网安全 马占宇信通院模式识别实验室-32-32-第六讲：无线局域网安全 本地无线连接 无线局域网WLAN 802.11x系列标准 中国标准WAPI 9798-3/ISO SC27-33-33-无线局域网技术 无线LAN和个人通信网（PCN）代表了1990年代通信网络技术的发展方向。相关技术的发展 天线设计技术的发展 高性能、高集成度的CMOS和GaAs半导体技术的发展，MCM技术 网络软硬件设计技术的进展 无线网络拓扑结构 点对点型，HUB型，完全分布型ad hoc network ad hoc networkInfrastructure network Infrastructure network-34-34-几种无线标准的比较笔记本,移动电话,PDA,寻呼机和轿车台式/笔记本电脑，电话,modem,网关台式/笔记本电脑，PDA，网关终端类型30400Kbps家庭办公室，私人住宅和庭院的网络 办公区和校园局域网 应用范围Bluetooth1,2,10Mbps 11Mbps 传输速度HomeRF 802.11b蓝牙研究组，Ericsson，Motorola，NokiaApple,Compaq,Dell,HomeRF工作群,Intel,MotorolaCisco,Lucent,3Com,WECA Consortium,支持公司窄带发射频谱 跳频发射频谱 直接顺次发射频谱 传输协议30英尺 150英尺 50300英尺 覆盖范围点对点或每节点多种设备的接入 接入方式多样化 接入方式o 红外系统o 射频系统n 非专用频段，或称为工业、科研、医学（ISM）频段n 专用频段：（18.82518.875）GHz，（19.16519.215）GHzn 毫米波段（mmW）-35-35-无线局域网的安全标准 WEP(Wired Equivalent Privacy)协议 TKIP(Temporary Key Integrity Protocol)802.1X 协议 Wi-Fi 组织提出的WPA(Wi-Fi Protected Access)标准 802.11i 标准(较新标准)WAPI(中国标准)-36-36-Wi-Fi 组织简介-37-37-WLAN的802.1x 协议系列标准 1997年，IEEE 802.11 协议 1999年，IEEE 802.11b 协议 2004年，IEEE 802.11i 协议(Draft Standard)2007年，IEEE 802.11i 协议(Standard)网络吞吐速率,高速数字传输和稳定的连接CIS/SJTU 37 2008-3-28标准 最大数据传输速率 工作频率 公布时间802.1 1 2 Mbps 2.4 GHz 1997 年802.1 1 b 1 1 Mbps 2.4 GHz 1999 年802.1 1 a 54 Mbps 5 GHz 2001 年802.1 1 g 54 Mbps 2.4 GHz 2002 年HiperLAN2 54 Mbps 5 GHz 2003 年-38-38-802.11无线安全技术演进-39-39-802.11协议 工作方式 无线站 无线接入点(AP)物理层 三个物理层包括了两个扩频 技术规范和一个红外传播规范 传输速率是1Mbps和2Mbps，使用FHSS(frequency hopping spread spectrum)或DSSS(direct sequence spread spectrum)技术 联合结构、蜂窝结构和漫游 MAC子层负责解决客户端工作站和访问接入点之间的连接-40-40-802.11的三种基本安全机制 802.11标准规定无线局域网有三种基本的接入AP的安全措施 服务区别号(SSID)MAC地址过滤 等价有线协议(WEP)40-41-41-802.11的三种基本安全机制 服务区别号（SSID）无线Station必须出示正确的SSID才能访问AP，SSID可以被看作是一个简单的口令 MAC地址过滤CIS/SJTU 41 2008-3-28n 可以手工维护一组允许或拒绝访问的MAC地址列表，用来进行物理地址过滤。物理地址过滤属于硬件认证，不属于用户认证。在MAC地址列表中手工增删用户的MAC地址，只适合小型网络。-42-42-802.11的三种基本安全机制 有线等价协议（WEP）802.11 标准包含一个WEP 协议(Wired Equivalent Privacy protocol)，它的安全目标是 阻止窃听（保护机密性）阻止消息被篡改（保护完整性）控制对WLAN的访问（访问控制）实质上，WEP 应提供与有线网络等同的安全性。WEP是一个保护链路层通信安全的协议，而不提供端到端的安全解决方案。在ad hoc 网络中不能使用WEP，因为该种网络没有AP。CIS/SJTU 42 2008-3-28-43-43-WEP 协议的主要内容 在Mobile Station 与Access Point之间共享一个密钥，用来认证。使用CRC-32（循环冗余校验码）来保护消息完整性。使用RC4流密码算法对包载荷和CRC校验值进行加解密。接收者解密数据，计算包载荷的CRC校验值，若正确则接受，否则丢弃该包。CIS/SJTU 43 2008-3-28Mobile Station Mobile StationAccess Point Access Point-44-44-WEP 协议的认证CIS/SJTU 44 2008-3-28STAAP APChallenge(Nonce)Response(Nonce RC4 RC4 encrypted under shared key)Shared secret distributed out of bandDecrypted nonce OK?-45-45-WEP 协议的完整性校验PlaintextICVIntegrityAlgorithmICV？Accept PacketReject PacketYesNo Integrity Check Value（ICV）-46-46-WEP 协议的加、解密 RC4是一种流密码算法，它可利用一个密钥生成无限长的伪随机数序列（称为密钥流）。加密时，将密钥流与明文相异或，解密方法与加密相同。Pseudo-random number generatorEncryption Key KPlaintext data byte pRandom byte rCiphertext data byte c=p rDecryption works the same way:p=c r-47-47-48-48-CIS/SJTU 48 2008-3-28WEP 协议的加密|WEPPRNGIntegrityAlgorithm|IVCiphertext Integrity Check Value（ICV）SeedSecret KeyPlaintextIV-49-49-CIS/SJTU 49 2008-3-28WEP 协议的解密IVCiphertextSecret Key|WEPPRNG PlaintextICV-50-50-CIS/SJTU 50 2008-3-28WEP的帧格式 在使用流密码算法（包括RC4）时，加密两个消息时使用同一密钥流是十分危险的 WEP中使用24 24bit bit长的IV IV来增加密钥的个数 Key Key=base_key base_key|IV IV 不同的IV将产生不同的密钥流,IV放在每包的开头，对IV不进行加密IV CRC-32PayloadKey ID byteRC4 encrypted-51-51-WEP的密钥长度 WEP采用RC4算法加密数据包，密钥长度为40bit或104bit。由于存在24bit 长的IV，WLAN 厂商通常对外宣称密钥长度为64bit或128bit。CIS/SJTU 51 2008-3-28-52-52-Lab for Cryptography and Information Security,SJTU52 2008-3-28WPA,WPA-PSK WPA,WPA-PSK开放系统，共享系统 开放系统，共享系统-53-53-流密码算法RC4 RC4 was designed by Ron Rivest of RSA Security in 1987 RC4 was initially a trade secret,but in September 1994 a description of it was anonymously posted to the Cypherpunks mailing list.It was soon posted on the sci.crypt newsgroup,and from there to many sites on the Internet.The current status seems to be that unofficial implementations are legal,but cannot use the RC4 name.RC4 is often referred to as ARCFOUR,to avoid possible trademark problems.It has become part of some commonly used encryption protocols and standards,including WEP and WPA for wireless cards and SSL.CIS/SJTU 53 2008-3-28-54-54-RC4:pseudo-random generation algorithm(PRGA)考虑所有的字节（8bit 数组）0,1,2,255 S(需初始化):所有字节的置换S0,S1,S2,S255 流密码算法：明文、密钥按字节对应数组XOR 密钥流输出算法 i:=0 j:=0 while GeneratingOutput:i:=(i+1)mod 256 j:=(j+Si)mod 256 swap(Si,Sj)output S(Si+Sj)mod 256-55-55-RC4:key-scheduling algorithm 置换S通过密钥初始化 密钥长度（字节数）l通常516（40128 bits）首先，设S 为恒等置换 S 然后经过类似PRGA的256次迭代生成，即 for i from 0 to 255 Si:=i j:=0 for i from 0 to 255 j:=(j+Si+keyi mod l)mod 256 swap(Si,Sj)-56-56-IV的碰撞问题 不同的包使用相同IV的现象称作IV的碰撞 相同的IV意味着加密密钥流是同一个 C1 C2=P1 P2 如果C1、C2、P1已知，则立即可以推算出P2。如果有三个或三个以上的包使用相同的IV，则解密更加容易。C1 C3=P1 P3 C2 C3=P2 P3 C1 C2=P1 P2-57-57-WEP中的IV 碰撞 802.11没有规定如何选择IV，甚至没有要求对于不同的包采用不同的IV 许多基于802.11的产品将IV的初始化值设为0，随后IV 递增 实际上，IV的取值总共有224 种可能，在几个小时以后就会出现IV 碰撞的情况。当一个密钥的生命期比较长时，或多个用户使用同一个密钥时，IV 碰撞发生的几率会急剧增大。在IV 发生碰撞时，可根据C1 C2=P1 P2推测明文P1、P2的值。-58-58-已知明文攻击 一旦我们得知一个数据包的明文内容，只需将明文与密文相异或，我们就可以推导出加密该包的密钥流。RC4(k,IV)=Plaintext Cipher 用此密钥流可以解密所有具有相同IV 值的其它被加密数据包。如果我们能够收集224个不同IV 开头的数据包的明文内容，就可以得到加密224个包的密钥流，用它们组织成解密字典，可以实时地解密任何一个数据包。由于在一般的情况下，IV是从0开始计数的，所以IV 值较小的包会经常出现，这些数据包将比IV 值大的包更容易遭到破解。-59-59-对WEP中CRC校验的攻击 CRC-32是考虑检验传输错误，并非保护数据完整。基于线性纠错编码 基于线性纠错编码：k 位序列k+r 位序列，r 位冗余用于校验 n bit长的明文可以表示成一个 n-1 次多项式的形式 p=pn-1xn-1+pn 2xn 2+p0 x0(each pi=0 or 1)则明文与ICV可以被一起表示为 px32+ICV(p)=pn-1xn+31+pn 2xn30+p0 x32+ICV(p)如果将（n+32）bit长的密钥流表示成（n+31）次的多项式 b，则密文可以表示为 px32+ICV(p)+b ICV的运算是线性的，即对于任意两个多项式p 和 q，有以下的等式成立ICV(p+q)=ICV(p)+ICV(q)-60-60-若 q 是一个任意的 n 阶多项式，将它与密文相异或将得到以下等式成立：(p+p+q q)x x32 32+ICV(+ICV(p+p+q q)+)+b b=px px32 32+q qx x32 32+ICV(+ICV(p p)+ICV(ICV(q q)+)+b b=(=(px px32 32+ICV(+ICV(p p)+)+b b)+(q qx x32 32+ICV(ICV(q q)按照该规则修改密文将可以不被CRC-32校验检测到！对WEP中CRC校验的攻击原来的密文 原来的密文q q及其 及其CRC CRC校验值 校验值-61-61-WEP中的完整性很弱 WEP中的完整性校验不能阻止对包内容的篡改 可以利用这个弱点来 篡改包内容,绕过访问控制 例如：存在一种攻击认证的方法 记录一个认证的“ChallengeResponse”全过程 根据RC4(k,IV)=Plaintext Cipher，使用截获的Challenge、Response包获取加密密钥流 在认证时使用算出的加密密钥流来加密AP 发来的ResponseCIS/SJTU 61 2008-3-28Challenge(Nonce)Response(Nonce RC4 RC4 encrypted under shared key)Decrypted nonce OK?-62-62-从WEP 设计的教训及补救措施 设计出的标准草案应该面向大众，在接受学术界的普遍分析和检验以后才能被确立为标准。设计安全标准应该有密码学家的参与。WEP的设计者缺乏密码学常识，RC4本身是一个“安全”的加密算法，但是WEP的设计者没有正确地使用RC4算法。设计标准和协议需要汲取以前设计协议的经验教训，误用CRC的问题在以前的协议中出现过，但是WEP的设计者并没有注意到这一点。补救措施 对于密钥管理做出了改进，采用多个密钥，在连接时才决定使用哪一个密钥 建议将WLAN 视为不安全的网络，避免通过它来传输敏感数据 将WLAN置于公司内部网之外，两者之间要使用防火墙 对于要求高安全级别的应用，使用VPN-63-63-临时密钥完整性协议TKIP 针对WEP的不足，2002年10月提出新的安全协议 临时密钥完整性协议TKIP(Temporary Key Integrity Protocol)可以提供加密和消息认证功能 使用带密钥的消息完整性保护算法Michael算法(Message Integrity Code,MIC)使用IV序列计数器，其输出值参与会话密钥的生成，可以抗重放攻击 使用密钥混合函数，不会产生WEP中的弱密钥；使用密钥自动更新机制，减少IV 碰撞现象发生的机会-64-64-TKIP加密64 2008-3-28Kevin Benton,The Evolution of 802.11 Wireless Security,http:/itffroc.org/pubs/benton_wireless.pdf,UNLV Informatics-Spring 2010-65-65-802.1X 标准 2001年6月，IEEE公布了802.1X标准，用于在用户终端和AP之间建立起经过认证的安全连接。比起802.11有比较大的改变o 它的核心是可扩展认证协议EAP，实质是对通信端口进行鉴权。o 如果认证通过，AP为Station打开逻辑通信端口，否则拒绝Station的接入请求。-66-66-802.1X 标准 三个重要部分：Station，Access Point，RADIUSRADIUS 802.1X 标准要求无线工作站Station安装802.1x客户端软件，AP要内嵌802.1x 认证代理，将用户认证信息转发给RADIUS（Remote Authentication Dial-in Service，远程用户接入认证服务）服务器，由RADIUS服务器来进行认证。-67-67-Extensible Authentication Protocol(EAP)EAP 即PPP（Point-to-Point）扩展认证协议,是一个用于PPP 认证的通用协议，可以支持多种认证方法。EAP 并不在联接建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这种机制还允许PPP 认证方简单地把收到的认证报文传递给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。EAP是建立在询问响应模型上的，共有四种类型的信息：EAP 请求、EAP 响应、EAP成功信息、EAP失败信息。EAP工作在网络层上而不是工作在数据链路层上，可以将信息路由到中心服务器上而不是让每一个端口AP 进行认证，因此由更大的灵活性。-68-68-802.1X 标准的认证过程Authentication trafficNormal DataPort Status:RADIUS RADIUSAssociateEAP Identity RequestEAP-SuccessAP APEAP Auth Response EAP Auth ResponseEAP Auth RequestEAP Auth RequestEAP Identity ResponseEAP Identity ResponseEAP-SuccessSTA STA-69-69-69WLAN中802.1X的认证过程5 5 1 1 1)User requests access;AP prevents wired network access2)Encrypted credentials sent to authentication server3)Authentication server validates user,grants access rights4)AP Port enabled and Dynamic WEP keys are assigned to client(encrypted)5)Wireless client can now access general network services securelyAccess PointOther Network Servers and Services2 2 4 4 EncryptedLEAP3 3 WirelessClientRadiusAuthentication ServerDynamicWEP-70-70-802.1X 标准的特点 在802.1X 标准中没有指定采用哪种认证协议，EAP只是一种封装协议，可以选用不同的认证协议，如Kerberos、EAP-TLS等。802.1x是为了在Station和AP之间进行认证和分发加密密钥设计的，可以动态生成加密密钥。802.1X除提供端口访问控制能力以外，还提供基于用户的认证系统和计费功能，特别适用于公共场合（如宾馆、候机室）的无线接入解决方案。-71-71-Wi-Fi Protected Access(WPA)2003年提出，集合了现有的802.1x认证机制(EAP)、临时密钥完整性协议(TKIP)和消息完整性检查机制(MIC)，这些技术的结合可以保证数据包的安全性。Uses Temporal Key Integrity Protocol(TKIP)for data encryption and confidentiality Still uses RC4,128 bits for encryption Provisions for changing base keys Avoids weak keys Includes Michael a Message Integrity Code(MIC)64 bits Replaces the CRC Observer cannot create new MIC to mask changes to data Increases IV from 24 bits to 48 Mixes the IV and the base key-72-72-2008-3-28WPA2 Uses AES AES,specifically Counter-Mode/CBC-MAC Protocol(CCMP)Too computationally intensive in SW for wireless hardware deployed at the time of WEP Uses 128 bit key Provides data confidentiality by using AES in counter modeo Provides message authentication using Cipher Block Chaining Message Authentication Code(CBC-MAC)n The MAC also covers the packet source and destination-73-73-802.11i 标准 802.11i是专门为改善WLAN安全而制定的标准，2004年月获得IEEE标准委员会通过。该标准将使用TKIP协议作为过渡的加密算法，最终转向使用AES加密算法。使用AES算法的何种工作模式目前尚未确定，AES-OCB、AES-CCM是比较被看好的候选方案。该标准中的认证方案将支持WLAN用户的漫游。IEEE 802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。完成的 完成的802.11 802.11i i标准包括两项主要发展：标准包括两项主要发展：Wi-Fi Wi-Fi保护接入 保护接入(WPA)WPA)和强健的安 和强健的安全网络 全网络(RSN)RSN)。-74-74-802.11i 协议增强无线安全 有线等效加密协议(WEP)由于缺少足够的安全性，从而延缓了无线局域网在许多企业中的广泛采用。尽管多数网络管理人员和最终用户都知道切断以太网连线所带来的生产力好处，但大多数人担心这样做的风险。从安全角度看，人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时，人们假定他们已经是可信赖的用户。因此，用户可以使用也可以不使用像802.1x或RADIUS 这样额外增加的认证功能的协议。-75-75-Wi-Fi保护接入 第一个任务是堵住遗留设备中的安全漏洞，一般是通过固件或驱动器升级。Wi-Fi 联盟已经采纳了802.11i草案标准的一个子集合，将它称为WPA，并且现在开始认证设备是否满足WPA要求。WPA利用临时密钥完整协议(TKIP)作为改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。还增加了消息完整性检查功能来防止数据包伪造。虽然WPA 对弥补WEP的缺点有很大帮助，但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备和操作系统。此外，并不是所有的用户都可以共享同样的安全基础设施，一些用户将使用PDA 并缺少PC的处理资源。此外，除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件，否则TKIP/WPA 将降低网络性能。-76-76-强健的安全网络(RSN)RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(EAP)的，加密算法为高级加密标准(AES)。动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。由于采用动态协商、802.1x、EAP和AES,RSN比WEP和WPA可靠得多。但是，RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件，提供今天的无线局域网产品所期望的性能。WPA 将把遗留设备的安全性提高到最低限度的可接受水平，而RSN才是802.11无线传输安全性的未来。-77-77-Architectural Components Key hierarchy Pairwise Keys,Group Keys EAP/802.1X/RADIUS Operational Phases Discovery,Authentication,Key Management,Data transfer-78-78-Pairwise Key HierarchyMaster Key(MK)Pairwise Master Key(PMK)=TLS-PRF(MasterKey,“client EAP encryption”|clientHello.random|serverHello.random)Pairwise Transient Key(PTK)=EAPoL-PRF(PMK,AP Nonce|STA Nonce|AP MAC Addr|STA MAC Addr)Key Confirmation Key(KCK)PTK bits 0127Key Encryption Key(KEK)PTK bits 128255Temporal Key PTK bits 256n can have cipher suite specific structure-79-79-Pairwise Keys Master Key represents positive access decision Pairwise Master Key represents authorization to access 802.11 medium Pairwise Transient Key Collection of operational keys:Key Confirmation Key(KCK)used to bind PTK to the AP,STA;used to prove possession of the PMK Key Encryption Key(KEK)used to distribute Group Transient Key(GTK)Temporal Key(TK)used to secure data traffic-80-80-Group Keys Group Transient Key(GTK)An operational keys:Temporal Key used to“secure”multicast/broadcast data traffic 802.11i specification defines a“Group key hierarchy”Entirely gratuitous:impossible to distinguish GTK from a randomly generated key-81-81-More Terminology 802.1X or EAPoL EAP TLS EAP-TLS RADIUS-82-82-Authentication and Key Management Architecture(1)802.1X(EAPoL)Authentication ServerAccess Point802.11Wireless StationEAP-TLSEAPRADIUSUDP/IPOut of scope of 802.11i standard-83-83-Authentication and Key Management Architecture(2)EAP is end-to-end transport for authentication between STA,AS 802.1X is transport for EAP over 802 LANs AP proxies EAP between 802.1X and backend protocol between AP and AS Backend protocol outside 802.11 scope But RADIUS is the de facto transport for EAP over IP networks Concrete EAP authentication method outside 802.11 scope But EAP-TLS is the de facto authentication protocol,because the others dont work-84-84-802.11 Operational PhasesCCMP data protection802.1X authentication802.1X key management RADIUS-based key distributionSecurity capabilities discoveryAuthentication ServerAccess Point Station-85-85-Purpose of each phase(1)Discovery Determine promising parties with whom to communicate AP advertises network security capabilities to STAs 802.1X authentication Centralize network admission policy decisions at the AS STA determines whether it does indeed want to communicate Mutually authenticate STA and AS Generate Master Key as a side effect of authentication Generate PMK as an access authorization token-86-86-Purpose of each phase(2)RADIUS-based key distribution AS moves(not copies)PMK to STAs AP 802.1X key management Bind PMK to STA and AP Confirm both AP and STA possess PMK Generate fresh PTK Prove each peer is live Synchronize PTK use Distribute GTK-87-87-Authentication Overview802.1X/EAP-Request Identity802.1X/EAP-Response Identity(EAP type specific)RADIUS Access Request/IdentityEAP type specific mutual authenticationRADIUS Accept(with PMK)802.1X/EAP-SUCCESSDerive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)ASAPSTA802.1X RADIUSAP 802.1X blocks port for data trafficSTA 802.1X blocks port for data traffic-88-88-Authentication Summary At the end of authentication The AS and STA have established a session if concrete EAP method does The AS and STA possess a mutually authenticated Master Key if concrete EAP method does Master Key represents decision to grant access based on authentication STA and AS have derived PMK PMK is an authorization token to enforce access control decision AS has distributed PMK to an AP(hopefully,the STAs AP)-89-89-上次到这里-90-90-Data Transfer Overview 802.11i defines 3 protocols to protect data transfer CCMP WRAP TKIP to communicate with legacy gear only Three protocols instead of one due to politics More on Filtering-91-91-CCMP Mandatory to implement Based on AES in CCM mode CCM=Counter Mode Encryption with CBC-MAC Data Origin Authenticity AES overhead requires new AP hardware AES overhead may require new STA hardware for hand-held devices,but not mobile PCs An all new protocol with few concessions to WEP Protects MPDUs=fragments of 802.2 frames-92-92-CCM Block DiagramB0SmBrE E.B1BkHeader MessageTagA1AmE EA0E.Not encrypted0padding0paddingBk+1.ESm.S1SmS0D C-93-93-94-94-CCM Mode Description(1)Given an input(N,H,M),the CCM encryption operation proceeds as follows1.CBC-MAC computation:Form a CBC-MAC sequence B=(B0,B1,.,Br)of blocks from(N,H,M)in a prescribed manner;we assume that the nonce N is uniquely determined by the first block B0(N,H,M)B is prefix-free two different inputs cannot result