东南大学信息安全研究中心移动终端安全2011年4月27日移动终端分类•按终端移动性/便携性–笔记本电脑,上网本–普通手机,智能手机•按接入方式–WLAN–GSM/3G移动终端的安全威胁•安全算法、网络协议存在的漏洞•终端用户的使用习惯和安全意识•终端操作系统和应用存在的漏洞主要内容1.WLAN安全2.GSM/3G安全3.终端自身安全主要内容1.WLAN安全2.GSM/3G安全3.终端自身安全1.WLAN安全1.WLAN安全1.WLAN的认证与加密算法2.WEP安全问题3.算法改进1.WLAN安全1.1WLAN的认证与加密身份认证加密WEP=OPENSHAREIEEE802.1X+RC4完整性+CRC3240bit104bit1.WLAN安全1.2WEP安全问题IV生成算法级联IV与密钥RC4算法Packet有效载荷CRC算法CRCCRCPacketRC4算法级联IV密钥无线站点无线接口24bitIVAP(接入点)IV每分组密钥密钥流明文输入密钥流密文明文输出共享密钥Key每分组密钥有效载荷与密钥流按比特异或共享密钥Key加密:RC4完整性:CRC321.WLAN安全1.2WEP安全问题1.IV空间较小,重复使用2.WEP中RC4弱密钥问题3.CRC-32(消息篡改)4.单向认证(中间人)5.无抗重放机制1.WLAN安全1.2WEP安全问题1.IV空间较小,重复使用114{,}224{,}1214{,}24{,}12CPRCIVKeyCPRCIVKeyCCPRCIVKeyPRCIVKeyPP•已知C1、C2和P1,则•如果我们仅仅知道C1、C2,我们就得到了P1、P2的异或值,使用字典攻击方式可以对P1、P2的值进行猜测。1212PCCP1.WLAN安全1.2WEP安全问题2.WEP中RC4弱密钥问题–弱密钥?DES,RC4,IDEA–IV明文传送,224=16777216,9000多个弱密钥–数据包开头字节固定–FMS攻击,IV={B+3,256-1,*},B+3为要破解密钥字节索引802.11HdrData0xAAScottR.Fluhrer,ItsikMantin,AdiShamir,WeaknessesintheKeySchedulingAlgorithmofRC4,RevisedPapersfromthe8thAnnualInternationalWorkshoponSelectedAreasinCryptography,p.1-24,August16-17,20011.WLAN安全1.2WEP安全问题3.CRC-32(消息篡改)–线性运算–C=RC4⊕{M,CRC(M)}–C’=RC4⊕{N,CRC(N)}=RC4⊕{N⊕M⊕M,CRC(N⊕M⊕M)}=RC4⊕{M,CRC(M)}⊕{N⊕M,CRC(N⊕M)}=C⊕{N⊕M,CRC(N⊕M)}=C⊕{Δ,CRC(Δ)}1.WLAN安全1.2WEP安全问题4.单向认证(伪基站)1.WLAN安全1.2WEP安全问题5.无抗重放机制–在WEP协议中,每帧中包含初始向量IV,但是帧中并没有规定序列号。帧的先后次序不能得到明确的区分,这使得攻击者通过被动攻击检测传输的信息流,重传合法用户曾经发布过的信息。1.WLAN安全1.3改进算法1.WPA(Wi-FiProtectedAccess)–TKIP(TemporalKeyIntegrityProtocol)–MIC(MessageIntegrityCode)抗重放1.WLAN安全1.3改进算法1.WPA(Wi-FiProtectedAccess)破解–MIC密钥恢复•日本研究员ErikTews•Chopchop攻击•ARP欺骗–Deauth攻击,暴力破解•字典•HashTable1.WLAN安全1.3改进算法2.WPA2–CCMP(CCMProtocol)–AES-CCM(CountermodewithCBC-MAC)–CTR模式加密–CBC-MAC完整性校验1.WLAN安全主要内容1.WLAN安全2.GSM/3G安全3.终端自身安全2.GSM/3G安全2.GSM/3G安全1.GSM的安全体系2.GSM安全问题3.3G系统中的改进2.GSM/3G安全2.1GSM安全体系2.GSM/3G安全2.1GSM安全体系•算法–鉴权算法A3(产生的鉴权响应)–密钥生成算法A8(产生密钥Kc)–加密算法A5(加密算法)•密钥–Ki,用户主密钥–Kc,会话密钥•识别号–IMSI:国际移动用户标识号–TMSI:临时移动用户标识号–IMEI:国际移动设备身份码•协议–鉴权/认证–匿名保护2.GSM/3G安全2.1GSM安全体系认证、会话密钥产生、加密MohsenToorani,AliAsgharBeheshtiShirazi,SolutionstotheGSMSecurityWeaknesses,ngmast,pp.576-581,2008TheSecondInternationalConferenceonNextGenerationMobileApplications,Services,andTechnologies,20082.GSM/3G安全2.2GSM安全问题1.A3/A8算法缺陷(COMP128结构)2.SIM卡克隆(Ki,IMSI)3.A5加密算法缺陷4.非端到端加密5.没有完整性检验6.匿名性保护缺陷7.单向认证(伪基站,中间人)2.GSM/3G安全2.2GSM安全问题1.A3/A8算法缺陷(COMP128-1结构)2.SIM卡克隆(Ki,IMSI)–碰撞–旁路分析(电源分析等)邱志聪.GSM网络上的身份认证技术研究[D].2004.2.GSM/3G安全KarstenNohl2.2GSM安全问题3.A5加密算法(流加密算法)–A5/1–较强的版本•有出口限制–A5/2–较弱的版本•没有出口限制–A5/3–基于Kasumi•用于3G–算法未公开A5/1:2009年12月,德国工程师KarstenNohl,NVIDIAGPU集群,2个月,2TB彩虹表,:2010年1月,以色列Weizmann科学院,AdiShamir等人,“related-keysandwichattack”,2个小时2.GSM/3G安全2.2GSM安全问题4.非端到端加密–只在手机和基站间加密,核心网中明文传送5.没有完整性检验–不能防篡改6.匿名保护缺陷(TMSI)–移动台第一次注册和漫游时,仍需要明文发送IMSI–网络端可以要求用户发送IMSI以获得用户真实身份2.GSM/3G安全2.2GSM安全问题7.单向认证(伪基站,中间人)商用移动通信移动台的安全风险和防护.=3412.GSM/3G安全2.33G中的安全改进1.使用更高强度的加密算法–增加密钥长度至128位2.消息完整性保护–在消息上增加一个戳,这个戳只有知道预分配密钥K的那个节点才能够产生。3.双向认证–采用和GSM系统相同的认证-响应协议,对用户进行认证。–对网络的认证采用了基于序列号的方法,防止重传攻击。4.增强的用户身份认证(匿名保护)–不以明文传输IMSI/TMSI,防止了用户IMSI/TMSI在无线信道上传输时被窃听。2.GSM/3G安全主要内容1.WLAN安全2.GSM/3G安全3.终端自身安全3.移动终端自身安全3.移动终端自身安全1.终端物理安全2.用户隐私的安全3.操作系统及应用程序的安全–黑客攻击–手机病毒,木马…3.移动终端自身安全3.1终端物理安全•问题–遗失或被盗–SIM卡克隆•解决–PIN码/PUK码–IMEI(*#06#)–使用追踪定位软件–手机送修,把卡取下3.移动终端自身安全3.2用户隐私安全•隐私–电话号码簿–通话记录,短消息,上网记录–个人文档,照片,视频等•保护–键盘锁–做好备份–使用加密软件–网站最好不要设置自动登录–远程删除3.移动终端自身安全3.3移动操作系统与应用CharlieMillerPwn2OwniPhone420seconds!!3.移动终端自身安全移动操作系统智能手机市场移动终端自身安全手机病毒•与PC病毒不同–操作系统类型较多–各种型号手机所支持的功能各不相同•手机病毒行为–破坏–跟踪–窃听–获取用户信息3.移动终端自身安全手机病毒传播途径3.移动终端自身安全第一个手机病毒Worm.SymbOS.CabirJune20,2004SymbianOSSpreadvector–BluetoothInfectedfile–caribe.sis3.移动终端自身安全最近的一个病毒Android愚人节病毒IMEI、手机号、地理位置信息等用户隐私数据,并上传到向所有联系人发送下面这条愚人节短信3.移动终端自身安全Walk&Text操作系统安全的解决方法•不要随意访问网页和安装软件(官网)•安装手机杀毒软件•可信计算–软件+硬件3.移动终端自身安全总结•移动终端安全–依赖于算法的选择和协议的设计(5个安全服务)–算法要公开–算法要与时俱进–需要软硬件共同保障–终端用户的安全意识东南大学信息安全研究中心2011年4月27日谢谢!