无线网络认证协议吴汉炜无线局域网及IEEE802.11协议WWAN:WirelessWANWMAN:WirelessMANWLAN:WirelessLANWPAN:WirelessPANWLAN在无线网络中的位置WLANWLAN(WirelessLocalAreaNetwork)是指传输范围在100米左右的无线网络,它的推动联盟为Wi-FiAlliance(目前都以Wi-Fi产品的称呼来形容802.11的产品),可用于单一建筑物或办公室之内,需要使用WLAN的场合主要包括:(1)不方便架设有线网络的环境;(2)使用者时常需要移动位置;(3)临时性的网络。802.11WLAN主要面向两种应用类型:(1)接入:无线站点通过无线接入设备访问企业网络(2)中继:利用无线信道作为企业网的干线,用于大楼(LAN)与大楼(LAN)之间的数据传输无线局域网WLAN的组成两种类型的WLAN:1.Infrastructured网(有固定基础设施的网络)2.AdHoc网(特定网络,或称自组网络,无固定基础设施)BSS(基本服务集)Infrastructured网(基础设施网)有AP(AccessPoint,接入点),无线站点通信首先要经过APAdHoc网(无线自组网)IBSS(IndependentBSS,独立基本服务集),无AP,站点间直接通信)IBSSBSSESS(扩展服务集)属Infrastructured网(DS:分配系统,AP:接入点,SSID:ESS扩展服务集标识符。一个移动节点使用某ESS的SSID加入到该扩展服务集中,一旦加入ESS,移动节点便可实现从该ESS的一个BSS到另一个BSS的漫游)WLAN、LAN、Internet连接Portal:门桥(作用相当于网桥)DS:分配系统(可以是以太网、点对点链路或其它无线网)WLAN的安全威胁在无线局域网环境下,主要的可实现的威胁有:无授权访问窃听伪装篡改信息重放重路由错误路由删除消息网络泛洪等。WLAN的安全需求无线链路的安全缺陷物理信道的开放性网上涌现出相关的攻击软件除了信息的截取,还可以进行DoS攻击,对比有线网络,更易于攻击,甚至是物理层安全机制1.信息过滤措施2.访问认证机制3.数据加密2.IEEE802.11安全机制IEEE802.11标准规定的无线局域网连接过程有4个步骤:扫描、连接、链路验证和关联。通常,无线客户端会扫描整个周围环境寻找适合接入的无线接入点。实现数据传输时,无线局域网要求一定的安全机制作为保障。IEEE802.11标准规定的安全机制访问认证机制数据加密机制--有线等效加密WEPIEEE802.11的认证方式无线网络协议IEEE802.11制定的认证技术可用于IBSS(独立基本服务集)中的STA(站点)之间也可用于infrastructureBSS(基本服务集)中的STA和AP(无线局域网的接入设备)之间的认证。IEEE802.11共有两种认证方式:开放系统认证共享密钥认证开放系统认证开放系统认证这种方式实际上根本没有认证,是一种最简单的情况,也是缺省式;确认帧响应工作站请求工作站认证帧验证算法标识=“开放系统”验证处理序列号=1验证算法标识=“开放系统”验证处理序列号=2验证请求结果开放系统认证开放式验证是无线局域网设备的默认状态,使用该验证方法,一个无线客户端仅有一个正确的SSID就可以关联任何使用开放式系统验证的无线接入点AP,验证过程如下:无线局域网的无线客户端请求到要关联的无线接入点;无线接入点对于无线客户端的鉴别响应。共享密钥验证共享密钥认证方式以WEP为基础请求工作站认证帧验证算法标识=“共享密钥”验证处理序列号=1响应工作站验证帧验证算法标识=“共享密钥”验证处理序列号=2质询文本验证帧验证算法标识=“共享密钥”验证处理序列号=3质询文本加密验证帧验证算法标识=“共享密钥”验证处理序列号=4验证状态码=“成功/失败”共享密钥验证共享密钥验证要求双方必须有一个公共密钥,这个过程只能在使用WEP机制的工作站之间进行,避免明文传输。使用共享密钥验证的鉴别过程如下:无线客户端向无线接入点发送验证请求;无线接入点发布一个随机产生的无格式的文本,从无线接入点清晰地发送到无线客户端;无线客户端响应这个请求,并使用自身的密钥加密该请求,将其发回无线接入点;无线接入点解释明白无线客户端的加密响应,识别通过一个匹配的WEP的密钥加密请求文本。IEEE802.11的认证方式身份认证是单向的WEP协议使用的身份认证方式对于具有监听和截取数据能力的攻击来说几乎是形同虚设IEEE802.11加密机制加密算法WEP(WiredEquivalentPrivacy)即有线等价加密,是整个IEEE802.11协议中唯一的密码协议。WEP提供三个方面的安全保护:数据机密性、访问控制、数据完整性。其核心是RC4序列密码算法,用密钥作为种子通过伪随机数产生器(PRNG)产生伪随机密钥序列(PRKS),和明文相异或后得到密文序列。WEP的作用一个是生成共享密钥,一个是对帧数据进行加密。帧体明文综合算法+异或伪随机数生成器密钥帧体密文帧体明文+ICV密钥序列ICVWEP的工作过程(1)发送站利用综合算法对帧体明文进行加密,生成4字节的综合检测值(IntegratedCheckValue,ICV)。(2)发送站把共享密钥输入伪随机数生成器得到一个密钥序列(keysequence),密钥序列的长度等于明文和ICV长度之和。(3)发送站把帧体明文、ICV和密钥序列逐位进行异或运算后得到帧体的密文,发送给接收站。(4)接收站通过与发送站操作对称的操作进行解密,得到帧体明文和ICV。然后利用综合算法计算新的ICV。如果新ICV与接收的ICV相同,则接收该帧;否则拒绝该帧,并向MAC管理程序发失败声明。WEP安全漏洞WEP加密是可选功能,在大多数的实际产品中默认为关闭,因此将用户数据完全暴露于攻击者面前。WEP对RC4的使用方式不正确,易受IVWeakness攻击而被完全恢复秘密密钥SK。802.11协议没有规定WEP中秘密密钥SK如何产生和分发。WEP安全漏洞SK可以由用户手工输入,也可以自动生成,无论怎样都容易遭受穷举攻击。而且SK为用户共享,很少变动,因而容易泄露。初始向量(Initializationvector,IV)空间太小。WEP中的CRC32算法原本是通信中用于检查随机误码的,是一个线性的校验,并不具有抗恶意攻击所需的消息认证功能。WEP没有重放保护机制IEEE802.11的安全增强使用128-bitWEP密钥.这个已经被广泛应用,40bit的密钥安全性很差标准的密钥交换(exchange)和分发(distribution).802.11的共享密钥机制很不安全,可以用一系列协议来完成,例如RADIUS,Kerberos,SSL/TLS和IPsec.使用带有密钥的MAC进行数据完整性校验.双向认证.抵抗中间人窃取数据或者会话劫持采用其他安全协议IEEE802.1x协议端口访问技术802.1x协议是一种局域网接入控制协议。主要解决无线局域网用户的接入验证问题。它是WLAN的一种增强性网络安全解决方案。当无线客户端与无线接入点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。802.1x要求无线客户端安装802.1x客户端软件,无线接入点要内嵌802.1x认证代理,同时它还作为远程接入拨号用户Radius客户端,将用户的认证信息转发给Radius服务器。802.1x认证实体LANAuthenticatorPAEServicesOfferedbyAuthenticator(e.gBridgeRelay)Authenticator’sSystemAuthenticationServer’sSystemAuthenticationServerSupplicantPAESupplicant’sSystem未受控端口受控端口MACEnablePortAuthorizePAE:PortAccessEntity端口接入实体IEEE802.1x协议的体系结构:•客户端SupplicantSystem•认证系统AuthenticatorSystem•认证服务器AuthenticationServerSystemIEEE802.1x认证实体客户端(服务请求者)。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。认证系统(验证者)。一般是无线接入点AP,也是网络节点,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。认证服务器(验证服务者)。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。IEEE802.1x协议工作过程要求验证验证结果提供验证资料根据检验结果决定是否提供服务可扩展验证协议EAP802.1x融合EAP,即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行;认证AP与远端认证服务器同样运行EAP协议,EAP帧中封装认证数据再将该协议承载在其他高层协议中,如RADIUS,以利于穿越多种网络到达认证服务器,成为EAPoverRADIUS。可扩展验证协议EAPEthernetEAPOL-StartEAP-Response/IdentityRadius-Access-ChallengeEAP-Response(credentials)AccessblockedRadius-Access-AcceptEAP-Request/IdentityEAP-Request/ChallengeEAP-SuccessRadius-Access-RequestRadius-Access-RequestRADIUSEAPOL802.11Association802.11AccessallowedAP802.11主机RADIUS服务器EAPoverRADIUSEAP:ExtensibleAccessProtocolEAP认证的优点EAP认证对IEEE802.11标准起到三方面改进。双向认证机制,希望能消除中间人攻击(MITM),如假冒的AP和远端认证服务器。集中化认证管理和动态分配加密密钥机制。解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐,每一次无线设备丢失,网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。能够定义集中策略控制,当会话超时时将触发重新认证和生成新的密钥。IEEE802.1x协议的优点802.1x认证的突出优点:(1)协议实现简单(2)业务灵活、(3)认证效率高、(4)成本低、(5)安全可靠。无需多业务网管设备,就能保证IP网络的无缝相连。同时消除了网络认证计费瓶颈和单点故障。解决了采用多业务网关,不便于视频业务开展的难题。在二层网络上实现用户认证,大大降低了整个网络的建网成本。IEEE802.1x协议的缺点该协议用于无线环境也有其不足之处,美国Maryland大学的学者提出了两种针对该协议的攻击方法:(1)中间人攻击APLAN认证服务器(AuthenticationServer)攻击者(Attacker)申请者(Supplicant)IEEE802.1x协议的缺点(2)会话劫持用户已被认证NetworkTraffic802.11MACDisassociateEap-SuccessEap-ResponseEap-RequestEap-StartAttackerSupplicantAP…IEEE802.11i安全标准该标准增强了WLAN的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面