无线通信安全1计算机学院李晖lihuill@bupt.edu.cn《通信网安全》第九讲WLAN安全标准与技术北京邮电大学无线通信安全2内容提纲WLAN简介WLAN安全标准和技术的发展802.11(WEP)802.1x(EAP&动态密钥管理)WPA(TKIP)802.11i(CCMP、WRAP)无线通信安全3WLAN简介(1)WLAN概念WLAN表示一种通信系统,它通过无线电技术建立连接,是现有LAN或有线LAN的扩展WLAN利用空中通信收发数据采用的几种物理层技术正交频分复用(OFDM)直接序列扩频(DSSS)补码键控调制(CCK)传输速率从802.11b的11Mb/s到802.11n的108Mb/s,其最高数据速率预计可达320Mb/s无线通信安全4WLAN简介(2)WLAN网络结构对等WLAN自组织网络(Adhocnetworks)采用接入点的结构基础网络(Infrastructurenetworks)无线通信安全5WLAN简介(3)对等WLAN一般是在几个小型机器之间需要通信时暂时采用的网络无线通信安全6WLAN简介(4)采用接入点的结构服务器接入点路由器Internet/Intranet用户用户无线通信安全7WLANComponentsDesktopwithPCI802.11LANcardLaptopwithPCMCIA802.11LANcard访问点有线网络无线通信安全8WLAN安全的范围DesktopwithPCI802.11LANcard访问点HubFileServerPrinter802.11安全其他计算机网安全有线网络无线通信安全9WLAN的安全目标1可认证性Internet/IntranetAP无线通信安全10WLAN的安全目标2机密性Internet/IntranetAP无线通信安全11WLAN的安全目标3完整性Internet/IntranetAP无线通信安全12WLAN安全标准发展现状802.11802.1x802.11iAESTKIPAAATrustRelationCMSRADIUSEAPWEPDynamicKeyWEPStaticKey802.11fSLPSecureRoaming:IEEEstandard:IETFstandardCMS:CryptographicMessageSyntaxTKIP:TemporalKeyIntegrityProtocolAAA:Authentication,Authorization,AccountSLP:ServiceLocationProtocolEAP:ExtensionAuthenticationProtocolRADIUS:RemoteAuthenticationDialInUserServiceTimeWPAWPAv.2无线通信安全13补充:IEEE802标准有线以太网令牌环WLANWiMAX蓝牙、ZigBee无线通信安全14802.11basic在数据传输之前要先进行关联关联过程存在三种状态DeAuthentication状态1:未授权、未关联状态2:已授权、未关联状态3:已授权、已关联Class1Class1,2Class1,2,3DisassociationDeAuthenticationReassociationAuthenticationSucc无线通信安全15802.11basic(cont.)关联过程1.找到AP,通过两种方式进行扫描1.被动扫描:AP会定期的发送有SSID的信标帧2.主动扫描:工作站发送包含该站希望加入的SSID信息的探询帧,然后等待响应2.认证1.开放系统认证或共享密钥认证2.MAC地址列表进行鉴权3.客户端发送关联请求和接收响应4.发送数据,无线通信安全16802.11中的安全技术WEP(WiredEquivalentPrivacy)认证开放系统认证空密钥MACAccessList共享密钥认证认证过程是验证用户是否有正确的.接入点采用“挑战-应答协议”来认证客户端.私密性WEP的核心RC4算法完整性无线通信安全17802.11(AccessList)AccessList00:02:03:04:05:06Officeintranet01:02:03:04:05:0701:02:03:04:05:6500:02:03:04:05:06Setupanaccesstablemanually02:02:03:04:05:07rejectaccept无线通信安全18802.11:共享密钥认证请求工作站响应工作站验证帧验证算法标识=“共享密钥”验证处理序列号=1验证帧验证算法标识=“共享密钥”验证处理序列号=2质询文本验证帧验证算法标识=“共享密钥”验证处理序列号=3质询文本加密验证帧验证算法标识=“共享密钥”验证处理序列号=4认证状态码=“成功/失败”无线通信安全19802.11:WEP(2)…LLCPHYMACMSDUMAC头CRCMPDU1MPDU1MPDUn无线通信安全20802.11:私密性(1)802.11:WEP(WiredEquivalentPrivacy)使用RC4的两种数据加密模式:64-bit:40bit密钥+24bit初始向量(IV)128-bit:104bit密钥+24bitIV由于IV的长度有限,在分析足够的帧后,算法很容易被破解.无线通信安全21802.11:私密性(2)无线通信安全22802.11:私密性(3)WEP的帧扩展802.11Hdr4BIVField4BData(MPDU)=1BICV4BRC4EncryptedIV3BKeyID1B无线通信安全23802.11:完整性CRC校验码可以检查出是否数据在传输过程中有误传等,或比较低级别的删除或篡改问题是不带密钥的公开算法无法防止高级别的攻击无线通信安全24802.11:WEP密钥管理无真正的密钥管理机制解决方法使用预先建立的共享密钥,称为BaseKey。WEP支持4个BaseKey,标识为KeyIDs0-3;加密中具体使用哪个密钥是由WEP帧中的KEYID决定密钥映射表每一个工作站都保存了一个密钥映射表记录了MAC地址和共享密钥之间的对应关系优点:比第一个方法安全缺点:随着工作站的增加,密钥管理困难无线通信安全25802.11:安全分析802.11的认证及其弱点开放系统认证本质上是空认证共享密钥认证IV使用不当,容易使攻击者通过窃听明文和密文应答得到密钥流,在不知道密钥的情况下,可以利用该密钥流产生AP挑战的应答(见右图)MAC地址控制由于用户可以重新配置无线网卡的MAC地址,非授权用户可以在监听到一个合法用户的MAC地址后,通过改变他的MAC地址来获得资源访问权限密文应答明文挑战攻击者明文挑战密文应答XOR密钥流客户机接入点(AP)无线通信安全26802.11:安全分析802.11的完整性分析引入综合检测值(ICV)来提供对数据完整性的保护完整性保护只应用于数据载荷,没有保护源、目的地址及防止重放等。ICV是一个32位的CRC32值,它的使用如下:(P||ICV)⊕K=CCRC32函数是设计用来检查消息中的随机错误的,并不是安全杂凑函数,它不具有身份认证的能力,无法抵御对明文的篡改;证明如下:CRC32函数对⊕运算是线性的,有:CRC32(a)⊕CRC32(b)=CRC32(a⊕b)设m是未知明文,c是m对应的密文,x为对m的篡改,m’=m⊕x,c’为m’对应的密文,则:c’=c⊕(x,CRC32(x))=K⊕(m,CRC32(m))⊕(x,CRC32(x))=K⊕(m⊕x,CRC32(m)⊕CRC32(x))=K⊕(m⊕x,CRC32(m⊕x))=K⊕(m’,CRC32(m’))无线通信安全27802.11:安全分析802.11的完整性分析(续)Bit-Flipping技术:攻击者可以在篡改密文c的同时正确地更改与明文P相对应的ICV;010110101100101XORWEPFrame(C1)000000111000001101001000000001110000001011001000101010110BittoFlip(F2)Frame(F3)Frame(F2+C3)XORICV过程如下:a)帧F1具有ICV值C1;b)新的帧F2和帧F1有不同的位,但是长度相同c)通过把帧F2和帧F1异或后得到帧F3d)计算F3的ICV值C2e)帧F2的ICV值是C3=C1⊕C2ICVCalculate(C2)NewICV(C3)无线通信安全28802.11:安全分析Vernam-stylestreamciphersaresusceptibletoattackswhensameIVandkeyarereused:Particularlyweaktoknownplaintextattack:IfP1isknown,thenP2iseasytofind(asisRC4).ThismightoccurwhencontextualinformationgivesP1(e.g.application-levelornetwork-levelinformationrevealsinformation)Evenso,therearetechniquestorecoverP1andP2whenjust(P1XORP2)isknown(frequencyanalysis,cribdragging)Example,lookfortwotextsthatXORtosamevalueEvenso,therearetechniquestorecoverP1andP2whenjust(P1XORP2)isknown(frequencyanalysis,cribdragging)Example,lookfortwotextsthatXORtosamevalue2121212211PP)K,v(4RCP)K,v(4RCPCC)K,v(4RCPC)K,v(4RCPCWEP(Vernam)KeyStreamReuse无线通信安全29802.11:安全分析WEP’sengineerswereaware(itseems??)ofthisweaknessandrequiredaper-packetIVstrategytovarykeystreamgenerationProblems:Keys,K,typicallystayfixedandsoeventualreuseofIVmeanseventualrepetitionofkeystream!!IVsaretransmittedintheclear,soitstrivialtodetectIVreuseManycardssetIVto0atstartupandincrementIVsequentiallyfromthereEvenso,theIVisonly24bits!Calculation:Supposeyousend1500bytepacketsat5Mbps,then224possibleIVswillbeusedupin11.2hours!Evenworse:weshouldexpecttoseeatleastonecollisionafter5000packetsaresent!Thus,wewillseethesameIVagain…andagain…WEP’sProposedFix无线通信安全30802.11:安全分析OnceaplaintextisknownforanIVcollision,theadversarycanobtainthekeystreamforthatspecificIV!TheadversarycangatherthekeystreamforeachI