[精选]无线局域网安全讲义.pptx

《[精选]无线局域网安全讲义.pptx》由会员分享，可在线阅读，更多相关《[精选]无线局域网安全讲义.pptx（119页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信通院模式识别实验室信通院模式识别实验室第六讲：无线局域网安全本地无线连接无线局域网WLAN802.11x系列标准中国标准WAPI9798-3/ISO SC27无线局域网技术无线LAN和个人通信网PCN代表了1990年代通信网络技术的开展方向。相关技术的开展天线设计技术的开展高性能、高集成度的CMOS和GaAs半导体技术的开展，MCM技术网络软硬件设计技术的进展无线网络拓扑结构点对点型，HUB型，完全分布型ad hoc networkad hoc networkInfrastructure networkInfrastructure network几种无线标准的比较笔记本,移动电话,PDA,寻

2、呼机和轿车台式/笔记本电脑，电话,modem,网关台式/笔记本电脑，PDA，网关终端类型终端类型30400Kbps家庭办公室，私人住宅和庭院的网络办公区和校园局域网应用范围应用范围BluetoothBluetooth1,2,10Mbps11Mbps传输速度传输速度HomeRFHomeRF802.11802.11b b蓝牙研究组，Ericsson，Motorola，NokiaApple,Compaq,Dell,HomeRF工作群,Intel,MotorolaCisco,Lucent,3Com,WECA Consortium,支持公司支持公司窄带发射频谱跳频发射频谱直接顺次发射频谱传输协议传输协议

3、30英尺150英尺50300英尺覆盖范围覆盖范围点对点或每节点多种设备的接入接入方式多样化接入方式接入方式o红外系统o射频系统n非专用频段，或称为工业、科研、医学ISM频段n专用频段：18.82518.875GHz，19.16519.215GHzn毫米波段mmW无线局域网的安全标准WEPWired Equivalent Privacy协议TKIPTemporary Key Integrity Protocol802.1X协议Wi-Fi组织提出的WPAWi-Fi Protected Access标准802.11i标准较新标准WAPI中国标准Wi-Fi组织简介WLAN的802.1x协议系列标准19

4、97年，IEEE 802.11协议1999年，IEEE 802.11b协议2004年，IEEE 802.11i协议Draft Standard2007年，IEEE 802.11i协议Standard 网络吞吐速率,高速数字传输和稳定的连接CIS/SJTU372008-3-28标准标准最大数据传输速率最大数据传输速率工作频率工作频率公布时间公布时间802.112Mbps2.4GHz1997年年802.11b11Mbps2.4GHz1999年年802.11a54Mbps5GHz2001年年802.11g54Mbps2.4GHz2002年年HiperLAN254Mbps5GHz2003年年802.1

5、1无线安全技术演进802.11协议工作方式无线站无线接入点AP物理层三个物理层包括了两个扩频技术标准和一个红外传播标准传输速率是1Mbps和2Mbps，使用FHSS frequency hopping spread spectrum或DSSS direct sequence spread spectrum技术联合结构、蜂窝结构和漫游MAC子层负责解决客户端工作站和访问接入点之间的连接802.11的三种基本安全机制802.11标准规定无线局域网有三种基本的接入AP的安全措施效劳区别号SSIDMAC地址过滤等价有线协议WEP40802.11的三种基本安全机制效劳区别号SSID无线Station必须

6、出示正确的SSID才能访问AP，SSID可以被看作是一个简单的口令MAC地址过滤CIS/SJTU412008-3-28n可以手工维护一组允许或拒绝访问的MAC地址列表，用来进行物理地址过滤。物理地址过滤属于硬件认证，不属于用户认证。在MAC地址列表中手工增删用户的MAC地址，只适合小型网络。802.11的三种基本安全机制有线等价协议WEP802.11标准包含一个WEP协议Wired Equivalent Privacy protocol，它的安全目标是阻止窃听保护机密性阻止消息被篡改保护完整性控制对WLAN的访问访问控制实质上，WEP应提供与有线网络等同的安全性。WEP是一个保护链路层通信安全

7、的协议，而不提供端到端的安全解决方案。在ad hoc网络中不能使用WEP，因为该种网络没有AP。CIS/SJTU422008-3-28WEP协议的主要内容在Mobile Station与Access Point之间共享一个密钥，用来认证。使用CRC-32循环冗余校验码来保护消息完整性。使用RC4流密码算法对包载荷和CRC校验值进行加解密。接收者解密数据，计算包载荷的CRC校验值，假设正确则接受，否则丢弃该包。CIS/SJTU432008-3-28Mobile StationMobile StationMobile StationMobile StationAccess PointAccess

8、PointAccess PointAccess PointWEP协议的认证CIS/SJTU442008-3-28STAAPAPChallenge(Nonce)Response(Nonce RC4RC4 encrypted under shared key)Shared secret distributed out of bandDecrypted nonce OK?WEP协议的完整性校验PlaintextICVIntegrityAlgorithmICV？Accept PacketReject PacketYesNo Integrity Check ValueICVWEP协议的加、解密RC4是一

9、种流密码算法，它可利用一个密钥生成无限长的伪随机数序列称为密钥流。加密时，将密钥流与明文相异或，解密方法与加密相同。Pseudo-random number generatorEncryption Key KPlaintext data byte pRandom byte r Ciphertext data byte c=p rDecryption works the same way:p=c rCIS/SJTU482008-3-28WEP协议的加密|WEPPRNGIntegrityAlgorithm|IVCiphertext Integrity Check Value（ICV）SeedSec

10、ret KeyPlaintextIVCIS/SJTU492008-3-28WEP协议的解密IVCiphertextSecret Key|WEPPRNG PlaintextICVCIS/SJTU502008-3-28WEP的帧格式在使用流密码算法包括RC4时，加密两个消息时使用同一密钥流是十分危险的WEP中使用2424bitbit长的IVIV来增加密钥的个数 KeyKey=base_keybase_key|IVIV不同的IV将产生不同的密钥流,IV放在每包的开头，对IV不进行加密IVCRC-32PayloadKey ID byteRC4 encryptedWEP的密钥长度WEP采用RC4算法加密

11、数据包，密钥长度为40bit或104bit。由于存在24bit长的IV，WLAN厂商通常对外宣称密钥长度为64bit或128bit。CIS/SJTU512008-3-28Lab for Cryptography and Information Security,SJTU522008-3-28WPA,WPA-PSKWPA,WPA-PSK开放系统，共享系统开放系统，共享系统流密码算法RC4RC4 was designed by Ron Rivest of RSA Security in 1987RC4 was initially a trade secret,but in September 19

12、94 a description of it was anonymously posted to the Cypherpunks mailing list.It was soon posted on the sci.crypt newsgroup,and from there to many sites on the Internet.The current status seems to be that unofficial implementations are legal,but cannot use the RC4 name.RC4 is often referred to as AR

13、CFOUR,to avoid possible trademark problems.It has be e part of some monly used encryption protocols and standards,including WEP and WPA for wireless cards and SSL.CIS/SJTU532008-3-28RC4:pseudo-random generation algorithm PRGA考虑所有的字节8bit数组0,1,2,255 S需初始化:所有字节的置换S0,S1,S2,S255流密码算法：明文、密钥按字节对应数组XOR密钥流输出

14、算法 i:=0 j:=0 while GeneratingOutput:i:=i+1 mod 256 j:=j+Si mod 256 swapSi,Sj output SSi+Sj mod 256 RC4:key-scheduling algorithm置换S通过密钥初始化密钥长度字节数l通常51640128 bits 首先，设S为恒等置换 S 然后经过类似PRGA的256次迭代生成，即 for i from 0 to 255 Si:=i j:=0 for i from 0 to 255 j:=j+Si+keyi mod l mod 256 swapSi,Sj IV的碰撞问题不同的包使用相同I

15、V的现象称作IV的碰撞相同的IV意味着加密密钥流是同一个 C1 C2=P1 P2如果C1、C2、P1，则立即可以推算出P2。如果有三个或三个以上的包使用相同的IV，则解密更加容易。C1 C3=P1 P3 C2 C3=P2 P3 C1 C2=P1 P2WEP中的IV碰撞802.11没有规定如何选择IV，甚至没有要求对于不同的包采用不同的IV许多基于802.11的产品将IV的初始化值设为0，随后IV递增实际上，IV的取值总共有224 种可能，在几个小时以后就会出现IV碰撞的情况。当一个密钥的生命期比较长时，或多个用户使用同一个密钥时，IV碰撞发生的几率会急剧增大。在IV发生碰撞时，可根据C1 C2

16、=P1 P2推测明文P1、P2的值。明文攻击一旦我们得知一个数据包的明文内容，只需将明文与密文相异或，我们就可以推导出加密该包的密钥流。RC4k,IV=Plaintext Cipher用此密钥流可以解密所有具有相同IV值的其它被加密数据包。如果我们能够收集224个不同IV开头的数据包的明文内容，就可以得到加密224个包的密钥流，用它们组织成解密字典，可以实时地解密任何一个数据包。由于在一般的情况下，IV是从0开始计数的，所以IV值较小的包会经常出现，这些数据包将比IV值大的包更容易遭到破解。对WEP中CRC校验的攻击CRC-32是考虑检验传输错误，并非保护数据完整。基于线性纠错编码基于线性纠错

17、编码：k 位序列k+r 位序列，r 位冗余用于校验n bit长的明文可以表示成一个 n-1 次多项式的形式 p=pn-1xn-1+pn2xn2+p0 x0each pi=0 or 1 则明文与ICV可以被一起表示为 px32+ICVp =pn-1xn+31+pn2xn30+p0 x32+ICVp如果将n+32bit长的密钥流表示成 n+31 次的多项式 b，则密文可以表示为 px32+ICVp+bICV的运算是线性的，即对于任意两个多项式p 和 q，有以下的等式成立ICVp+q=ICVp+ICVq假设 q 是一个任意的 n 阶多项式，将它与密文相异或将得到以下等式成立：p+qp+qx x32

18、32+ICV+ICVp+qp+q+b b=pxpx32 32+qx+qx32 32+ICV+ICVp p+ICVICVq q+b b=pxpx32 32+ICV+ICVp p+b b +qxqx3232+ICVICVq q按照该规则修改密文将可以不被CRC-32校验检测到！对WEP中CRC校验的攻击原来的密文原来的密文原来的密文原来的密文q q及其及其及其及其CRCCRCCRCCRC校验值校验值校验值校验值WEP中的完整性很弱WEP中的完整性校验不能阻止对包内容的篡改可以利用这个弱点来篡改包内容,绕过访问控制例如：存在一种攻击认证的方法记录一个认证的“ChallengeResponse全过程根

19、据RC4k,IV=Plaintext Cipher，使用截获的Challenge、Response包获取加密密钥流在认证时使用算出的加密密钥流来加密AP发来的ResponseCIS/SJTU612008-3-28Challenge(Nonce)Response(Nonce RC4RC4 encrypted under shared key)Decrypted nonce OK?从WEP设计的教训及补救措施设计出的标准草案应该面向群众，在接受学术界的普遍分析和检验以后才能被确立为标准。设计安全标准应该有密码学家的参与。WEP的设计者缺乏密码学常识，RC4本身是一个“安全的加密算法，但是WEP的设

20、计者没有正确地使用RC4算法。设计标准和协议需要汲取以前设计协议的经验教训，误用CRC的问题在以前的协议中出现过，但是WEP的设计者并没有注意到这一点。补救措施对于密钥管理做出了改进，采用多个密钥，在连接时才决定使用哪一个密钥建议将WLAN视为不安全的网络，防止通过它来传输敏感数据将WLAN置于公司内部网之外，两者之间要使用防火墙对于要求高安全级别的应用，使用VPN临时密钥完整性协议TKIP针对WEP的缺乏，2002年10月提出新的安全协议临时密钥完整性协议TKIPTemporary Key Integrity Protocol可以提供加密和消息认证功能使用带密钥的消息完整性保护算法Micha

21、el算法Message Integrity Code,MIC使用IV序列计数器，其输出值参与会话密钥的生成，可以抗重放攻击使用密钥混合函数，不会产生WEP中的弱密钥；使用密钥自动更新机制，减少IV碰撞现象发生的时机TKIP加密642008-3-28Kevin Benton,The Evolution of 802.11 Wireless Security,:/itffroc.org/pubs/benton_wireless.pdf,UNLV Informatics-Spring 2010802.1X标准2001年6月，IEEE公布了802.1X标准，用于在用户终端和AP之间建立起经过认证的安全

22、连接。比起802.11有比较大的改变o它的核心是可扩展认证协议EAP，实质是对通信端口进行鉴权。o如果认证通过，AP为Station翻开逻辑通信端口，否则拒绝Station的接入请求。802.1X标准三个重要局部：Station，Access Point，RADIUSRADIUS802.1X标准要求无线工作站Station安装802.1x客户端软件，AP要内嵌802.1x认证代理，将用户认证信息转发给RADIUSRemote Authentication Dial-in Service，远程用户接入认证效劳效劳器，由RADIUS效劳器来进行认证。Extensible Authenticatio

23、n Protocol EAPEAP 即PPPPoint-to-Point扩展认证协议,是一个用于PPP认证的通用协议，可以支持多种认证方法。EAP并不在联接建立阶段指定认证方法，而是把这个过程推迟到认证阶段。这种机制还允许PPP认证方简单地把收到的认证报文传递给前方的认证效劳器，由前方的认证效劳器来真正实现各种认证方法。EAP是建立在询问响应模型上的，共有四种类型的信息：EAP请求、EAP响应、EAP成功信息、EAP失败信息。EAP工作在网络层上而不是工作在数据链路层上，可以将信息路由到中心效劳器上而不是让每一个端口AP进行认证，因此由更大的灵活性。802.1X标准的认证过程Authentic

24、ation trafficNormal DataPort Status:RADIUSRADIUSAssociateEAP Identity RequestEAP-SuccessAPAPEAP Auth ResponseEAP Auth ResponseEAP Auth RequestEAP Auth RequestEAP Identity ResponseEAP Identity ResponseEAP-SuccessSTASTA69WLAN中802.1X的认证过程5 5 5 5 1 1 1 1 1)1)User requests access;AP prevents wired networ

25、k accessUser requests access;AP prevents wired network access2)2)Encrypted credentials sent to authentication serverEncrypted credentials sent to authentication server3)3)Authentication server validates user,grants access rightsAuthentication server validates user,grants access rights4)4)AP Port ena

26、bled and Dynamic WEP keys are assigned to client(encrypted)AP Port enabled and Dynamic WEP keys are assigned to client(encrypted)5)5)Wireless client can now access general network services securelyWireless client can now access general network services securelyAccess Access PointPointOther Network S

27、ervers Other Network Servers and Servicesand Services2 2 2 2 4 4 4 4 EncryptedEncryptedLEAPLEAP3 3 3 3 WirelessWirelessClientClientRadiusRadiusAuthentication ServerAuthentication ServerDynamicDynamicWEPWEP802.1X标准的特点在802.1X标准中没有指定采用哪种认证协议，EAP只是一种封装协议，可以选用不同的认证协议，如Kerberos、EAP-TLS等。802.1x是为了在Station和

28、AP之间进行认证和分发加密密钥设计的，可以动态生成加密密钥。802.1X除提供端口访问控制能力以外，还提供基于用户的认证系统和计费功能，特别适用于公共场合如宾馆、候机室的无线接入解决方案。Wi-Fi Protected Access WPA2003年提出，集合了现有的802.1x认证机制EAP、临时密钥完整性协议TKIP和消息完整性检查机制MIC，这些技术的结合可以保证数据包的安全性。Uses Temporal Key Integrity Protocol TKIP for data encryption and confidentialityStill uses RC4,128 bits f

29、or encryption Provisions for changing base keysAvoids weak keysIncludes Michael a Message Integrity Code MIC64 bitsReplaces the CRCObserver cannot create new MIC to mask changes to dataIncreases IV from 24 bits to 48Mixes the IV and the base key2008-3-28WPA2Uses AESAES,specifically Counter-Mode/CBC-

30、MAC Protocol CCMPToo putationally intensive in SW for wireless hardware deployed at the time of WEPUses 128 bit keyProvides data confidentiality by using AES in counter modeoProvides message authentication using Cipher Block Chaining Message Authentication Code CBC-MACnThe MAC also covers the packet

31、 source and destination802.11i标准802.11i是专门为改善WLAN安全而制定的标准，2004年月获得IEEE标准 会通过。该标准将使用TKIP协议作为过渡的加密算法，最终转向使用AES加密算法。使用AES算法的何种工作模式目前尚未确定，AES-OCB、AES-CCM是比较被看好的候选方案。该标准中的认证方案将支持WLAN用户的漫游。IEEE 802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。完成的完成的完成的完成的802.11802.118

32、02.11802.11i i标准包括两项主要开展：标准包括两项主要开展：标准包括两项主要开展：标准包括两项主要开展：Wi-FiWi-Fi保护接入保护接入保护接入保护接入WPAWPA和强健和强健和强健和强健的安全网络的安全网络的安全网络的安全网络RSNRSN。802.11i协议增强无线安全有线等效加密协议WEP由于缺少足够的安全性，从而延缓了无线局域网在许多企业中的广泛采用。尽管多数网络管理人员和最终用户都知道切断以太网连线所带来的生产力好处，但大多数人担忧这样做的风险。从安全角度看，人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时，人们假定他

33、们已经是可信赖的用户。因此，用户可以使用也可以不使用像802.1x或RADIUS这样额外增加的认证功能的协议。Wi-Fi保护接入第一个任务是堵住遗留设备中的安全漏洞，一般是通过固件或驱动器升级。Wi-Fi联盟已经采纳了802.11i草案标准的一个子集合，将它称为WPA，并且现在开始认证设备是否满足WPA要求。WPA利用临时密钥完整协议TKIP作为改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。还增加了消息完整性检查功能来防止数据包伪造。虽然WPA对弥补WEP的缺点有很大帮助，但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备

34、和操作系统。此外，并不是所有的用户都可以共享同样的安全基础设施，一些用户将使用PDA并缺少PC的处理资源。此外，除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件，否则TKIP/WPA将降低网络性能。强健的安全网络RSNRSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议EAP的，加密算法为高级加密标准AES。动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。由于采用动态协商、802.1x、EAP和AES,RSN比WEP和W

35、PA可靠得多。但是，RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件，提供今天的无线局域网产品所期望的性能。WPA将把遗留设备的安全性提高到最低限度的可接受水平，而RSN才是802.11无线传输安全性的未来。Architectural ponentsKey hierarchyPairwise Keys,Group KeysEAP/802.1X/RADIUSOperational PhasesDiscovery,Authentication,Key Management,Data transferPairwise Key HierarchyMas

36、ter Key(MK)Master Key(MK)Pairwise Master Key(PMK)=TLS-PRF(MasterKey,“client EAP Pairwise Master Key(PMK)=TLS-PRF(MasterKey,“client EAP encryption”|clientHello.random|serverHello.random)encryption”|clientHello.random|serverHello.random)Pairwise Transient Key(PTK)=EAPoL-PRF(PMK,AP Nonce|STA Pairwise T

37、ransient Key(PTK)=EAPoL-PRF(PMK,AP Nonce|STA Nonce|AP MAC Addr|STA MAC Addr)Nonce|AP MAC Addr|STA MAC Addr)Key Key Confirmation Confirmation Key(KCK)Key(KCK)PTK bits 0127PTK bits 0127Key Encryption Key Encryption Key(KEK)Key(KEK)PTK bits 128PTK bits 128255255Temporal Key PTK bits 256Temporal Key PTK

38、 bits 256n can have cipher suite specific can have cipher suite specific structurestructurePairwise KeysMaster Key represents positive access decisionPairwise Master Key represents authorization to access 802.11 mediumPairwise Transient Key Collection of operational keys:Key Confirmation Key KCK use

39、d to bind PTK to the AP,STA;used to prove possession of the PMKKey Encryption Key KEK used to distribute Group Transient Key GTKTemporal Key TK used to secure data trafficGroup KeysGroup Transient Key GTK An operational keys:Temporal Key used to“secure multicast/broadcast data traffic802.11i specifi

40、cation defines a“Group key hierarchyEntirely gratuitous:impossible to distinguish GTK from a randomly generated keyMore Terminology802.1X or EAPoLEAPTLSEAP-TLSRADIUSAuthentication and Key Management Architecture 1802.1802.1X X EAPoLEAPoLAuthentication ServerAccess Point802.11802.11Wireless StationEA

41、P-TLSEAP-TLSEAPEAPRADIUSRADIUSUDP/IPUDP/IPOut of scope of 802.11i standardAuthentication and Key Management Architecture 2EAP is end-to-end transport for authentication between STA,AS802.1X is transport for EAP over 802 LANsAP proxies EAP between 802.1X and backend protocol between AP and ASBackend

42、protocol outside 802.11 scopeBut RADIUS is the de facto transport for EAP over IP networksConcrete EAP authentication method outside 802.11 scopeBut EAP-TLS is the de facto authentication protocol,because the others dont work802.11 Operational PhasesCCMP data protectionCCMP data protection802.1802.1

43、X authenticationX authentication802.1802.1X key managementX key managementRADIUS-based key distributionRADIUS-based key distributionSecurity capabilities discoverySecurity capabilities discoveryAuthentication ServerAccess PointStationPurpose of each phase 1DiscoveryDetermine promising parties with w

44、hom to municateAP advertises network security capabilities to STAs802.1X authenticationCentralize network admission policy decisions at the ASSTA determines whether it does indeed want to municateMutually authenticate STA and ASGenerate Master Key as a side effect of authenticationGenerate PMK as an

45、 access authorization tokenPurpose of each phase 2RADIUS-based key distributionAS moves not copies PMK to STAs AP802.1X key managementBind PMK to STA and APConfirm both AP and STA possess PMKGenerate fresh PTKProve each peer is liveSynchronize PTK useDistribute GTKAuthentication Overview802.1802.1X/

46、EAP-Request IdentityX/EAP-Request Identity802.1802.1X/EAP-Response Identity X/EAP-Response Identity(EAP type specific)(EAP type specific)RADIUS Access Request/IdentityRADIUS Access Request/IdentityEAP type specific mutual authenticationEAP type specific mutual authenticationRADIUS Accept(with PMK)RA

47、DIUS Accept(with PMK)802.1802.1X/EAP-SUCCESSX/EAP-SUCCESSDerive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)Derive Pairwise Master Key(PMK)ASAPSTA802.1XRADIUSAP 802.1X blocks port for data trafficAP 802.1X blocks port for data trafficSTA 802.1X blocks port f

48、or data trafficSTA 802.1X blocks port for data trafficAuthentication SummaryAt the end of authenticationThe AS and STA have established a session if concrete EAP method doesThe AS and STA possess a mutually authenticated Master Key if concrete EAP method doesMaster Key represents decision to grant a

49、ccess based on authenticationSTA and AS have derived PMKPMK is an authorization token to enforce access control decisionAS has distributed PMK to an AP hopefully,the STAs AP上次到这里Data Transfer Overview802.11i defines 3 protocols to protect data transferCCMPWRAPTKIP to municate with legacy gear onlyTh

50、ree protocols instead of one due to politicsMore on FilteringCCMPMandatory to implementBased on AES in CCM modeCCM=Counter Mode Encryption with CBC-MAC Data Origin AuthenticityAES overhead requires new AP hardwareAES overhead may require new STA hardware for hand-held devices,but not mobile PCsAn al