搜索
无线网络安全(第二章)2第二章无线局域网安全3中国密码学会组编目录WLAN安全威胁WLAN网络结构WLAN安全威胁WLAN的安全机制WEP加密机制WEP认证机制IEEE802.1X认证机制IEEE802.11i接入协议IEEE802.11iTKIP和CCMP协议WAPI协议SMS4密码算法4WLAN安全威胁WLAN网络结构基础结构无线局域网基础结构模式的无线局域网中,所有STA与AP通信,AP往往还充当网桥的作用,将数据转发到相应的有线或无线网络中,即STA通过AP实现与STA间的通信,或STA通过AP实现STA与有线网络的通信。一个AP和多个STA组成的通信区域称为一个基本服务集(BSS)。多个BSS相互连接并能够相互通信的架构称为分布系统,这种扩展的BSS称为扩展服务集。自组织无线局域网自组织无线局域网络,也称AdHoc无线局域网,其拓扑结构为IBSS,适用于不存在有线网络的少量主机组建临时性网络。在这种架构中,主机彼此之间直接通信,实际的应用包括野外作业时的资源共享、举办临时流动会议、抢险救灾临时网络等。5WLAN安全威胁WLAN安全威胁非授权访问入侵者访问未授权的资源或使用未授权的服务。入侵者可查看、删除或修改未授权访问的机密信息,造成信息泄漏、完整性破坏,以及非法访问和使用资源。窃听入侵者能够通过通信信道来获取信息。AP的无线电波难以精确地控制在某个范围之内,所以在AP覆盖区域内的几乎任何一个STA都能够窃听这些数据。伪装入侵者能够伪装成其他STA或授权用户,对机密信息进行访问;或者伪装成AP,接收合法用户的信息。6WLAN安全威胁WLAN安全威胁篡改信息当非授权用户访问系统资源时,会篡改信息,从而破坏信息的完整性。否认接受信息或服务的一方事后否认曾经发送过请求或接收过该信息或服务。这种安全威胁通常来自系统内的合法用户,而不是来自未知的攻击者。重放、重路由、错误路由、删除消息重放攻击是攻击者复制有效的消息事后重新发送或重用这些消息以访问某种资源;重路由攻击是指攻击者改变消息路由以便捕获有关信息;错误路由攻击能够将消息路由到错误的目的地;而删除消息是攻击者在消息到达目的地前将消息删除掉,使得接收者无法收到消息。网络泛洪入侵者发送大量伪造的或无关消息从而使得AP忙于处理这些消息而耗尽信道资源和系统资源,进而无法对合法用户提供服务。7WLAN的安全机制WEP加密机制WEP提供3个方面的安全保护:数据机密性、数据完整性、以及访问控制。其中使用了RC4序列密码算法,用密钥作为种子通过RC4算法产生伪随机密钥序列,然后和明文数据异或后得到密文序列。WEP协议加密流程如图2.1所示。8初始向量(IV,24bit)秘密密钥(SK,40bit)RC4算法密钥(RC4种子,K,64bit)伪随机密钥序列(PRKS)密文序列密文序列IVCRC32算法明文数据明文数据的ICVIVSK密文序列IV秘密密钥(SK,40bit)RC4算法密钥(RC4种子,K,64bit)CRC32算法明文数据明文数据ICVICV’是否相等?图2.1WEP的加密和解密框图9WLAN的安全机制WEP加密机制WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明,WEP机制存在较大安全漏洞。WEP加密是AP的可选功能,在大多数的实际产品中默认为关闭,因此用户数据还是暴露在攻击者面前。WEP对RC4的使用方式不正确,易受IV弱点攻击,从而秘密密钥被破解。RC4存在弱密钥,建议抛弃RC4输出的前256位。802.11协议没有规定WEP中秘密密钥应如何产生和分发。有2种方法产生密钥:一是直接由用户写入40bit的SK;二是用户输入一个密钥词组,再通过一个密钥生成器产生SK;第二种方法比较常用,缺点为:生成器设计存在缺陷,导致密钥位数过少,易受到字典攻击;SK被同一个BSS中的所有用户共享,易泄露。10WLAN的安全机制WEP加密机制WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明,WEP机制存在较大安全漏洞。初始向量空间太小:序列加密中要求伪随机密钥序列不能重复出现。如果使用相同的IV||SK加密2个不同的明文信息P1和P2,得到2个不同的密文C1和C2。攻击如下:C1⊕C2={P1⊕RC4(IV||SK)}⊕{P2⊕RC4(IV||SK)}=P1⊕P2协议中IV每次传输一次变化一次,以获得不同的伪随机密钥序列PRKS。但IV只有24bit(大约17×106种不同的值)。一个WLAN设备每秒传送大约500个完整帧,只要几小时整个IV空间就会用完;另外,同一WLAN中多个设备在不同的IV下使用相同的密钥,使得IV空间消耗得更快。11WLAN的安全机制WEP加密机制WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明,WEP机制存在较大安全漏洞。WEP中的CRC32算法原本用于检查通信中的随机误码,不具有抗恶意攻击所需要的消息鉴别功能。(1)CRC32算法是一个线性函数,可以修改密文而不被发现;CRC关于XOR运算是线性的,也就是存在CRC(x⊕y)=CRC(x)⊕=CRC(y)(2)不需要密钥,可自行计算得到消息认证码ICV。12WLAN的安全机制WEP加密机制WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明,WEP机制存在较大安全漏洞。WEP中的CRC32算法原本用于检查通信中的随机误码,不具有抗恶意攻击所需要的消息鉴别功能。(3)不知道密钥PRKS,攻击者能修改或伪造消息:设明文M加密后的密文为CM=(M||CRC(M))⊕PRKS;攻击者窃听得到CM,选取消息的变化△M,计算得到伪造的密文CM⊕△M=((M⊕△M)||CRC(M⊕△M))⊕PRKS因为:((M||CRC(M))⊕PRKS)⊕(△M||CRC(△M))=((M⊕△M)||(CRC(M)⊕CRC(△M)))⊕PRKS=((M⊕△M)||(CRC(M⊕△M)))⊕PRKS13WLAN的安全机制WEP认证机制开放系统认证开放系统认证方式实际上没有认证,仅验证标识,是一种最简单的情况,也是默认方式,其认证过程如图所示。STAAP认证帧确认帧认证算法标识=“开放系统”认证处理序列号=1认证算法标识=“开放系统”认证处理序列号=2认证结果802.11WEP开放系统认证14WLAN的安全机制WEP认证机制共享密钥认证共享密钥认证方式基于密码学安全协议中基本的“挑战应答”模式,其基础是基于对称密码学的两方单向认证协议,假定AP和STA间通过一个独立于802.11的安全通道具有一个共享秘密。认证过程如下:(1)STA发送认证帧。(2)AP收到后,返回一个认证帧,其帧体包括:认证算法标识=“共享密钥”、认证处理序列号=2、认证状态码=“成功”、认证算法依赖信息=“挑战文本”,如果认证状态码是其他状态,则表明认证失败,而挑战文本也将不会发送,整个认证过程就此结束。(3)如果第(2)步中的状态码=“成功”,则STA将从该帧中获得挑战文本并用共享密钥将其加密,然后发送一个认证帧。其帧体包括:认证算法标识=“共享密钥”、认证处理序列号=3、认证算法依赖信息=“加密的挑战文本”。(4)AP在接收到第三个帧后,使用共享密钥对加密的挑战文本解密,若和自己发送的相同,则对STA的认证成功,否则认证失败。同时AP发送一个认证帧,其帧体包括:认证算法标识=“共享密钥”、认证处理序列号=4、认证状态码=“成功/失败”。15STAAP认证帧认证帧认证算法标识=“共享密钥”认证处理序列号=1认证算法标识=“共享密钥”认证处理序列号=2挑战文本认证帧认证算法标识=“共享密钥”认证处理序列号=3加密的挑战文本认证帧认证算法标识=“共享密钥”认证处理序列号=4认证状态码=“成功/失败”802.11WEP共享密钥认证16WLAN的安全机制WEP认证机制共享密钥认证WEP认证机制存在问题:身份认证是单向的,即AP对申请接入的STA进行身份认证,而STA不能对AP的身份进行认证。因此,这种单向认证方式导致有可能存在假冒的AP。从WEP协议身份认证过程可以发现,由于AP会以明文的形式把挑战文本发给STA,所以如果能够监听一个成功的STA与AP之间身份验证的全过程,截获它们之间双方互相发送的数据包,就可以计算出用于加密挑战文本的密钥序列。拥有了该密钥序列,攻击者可以向AP提出访问请求,并利用该密钥序列加密挑战文本通过认证。17WLAN的安全机制IEEE802.1X认证机制IEEE802.1X认证的体系结构IEEE802.1X协议起初是针对以太网提出的基于端口进行网络访问控制的安全标准。基于端口的网络访问控制指的是利用物理层特性对连接到局域网端口的设备进行身份认证。如果认证成功,则允许该设备访问局域网资源,否则禁止。虽然802.1X标准最初是为局域网设计的,后来发现它也适用于符合802.11标准的WLAN,于是被视为是无线局域网增强网络安全的一种解决方案。802.1X认证的体系结构如下图所示。18请求者PAE请求者系统EAPoWLAN认证系统提供的服务认证PAE认证者系统认证服务器认证服务器系统WLAN受控端口EAPoR非受控端口802.1X认证体系结构19中国密码学会组编WLAN的安全机制IEEE802.1X认证机制IEEE802.1X认证的体系结构IEEE802.1X认证的体系结构包括3个实体请求者系统:一般为一个用户终端系统,安装有一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1X协议的认证过程。认证者系统:在无线局域网中就是无线接入点AP,是支持IEEE802.1X协议的网络设备。认证服务器系统:为认证者提供认证服务的实体,多采用远程身份验证拨入用户服务。20中国密码学会组编WLAN的安全机制IEEE802.1X认证机制IEEE802.1X协议的认证过程IEEE802.1X协议实际上一个可扩展的认证框架,并没有规定具体的认证协议,具体采用什么认证协议可由用户自行配置,因此具有较好的灵活性。IEEE802.1X认证过程如下图所示。21中国密码学会组编认证服务器RADIUS(AuthenticationServer)EAPoWLAN-Start申请者(Spplicant)EAP-RequestRadius-Access-RequestEAPAuthenticationProtocolExchange认证者(Authenticator)EAP-ResponseRadius-Access-AcceptEAP-SuccessIEEE802.1X认证过程22中国密码学会组编WLAN的安全机制IEEE802.1X认证机制IEEE802.1X协议的认证过程(1)请求者向认证者发送EAP-Start帧,启动认证流程。(2)认证者发出请求,要求请求者提供相关身份信息。(3)请求者回应认证者的请求,将自己的相关身份信息发送给认证者。(4)认证者将请求者的身份信息封装至Radius-Access-Request帧中,发送至AS。(5)RADIUS服务器验证请求者身份的合法性,在此期间可能需要多次通过认证者与请求者进行信息交互。(6)RADIUS服务器告知认证者认证结果。(7)认证者向请求者发送认证结果,如果认证通过,那么认证者将为请求者打开一个受控端口,允许请求者访问认证者所提供的服务,反之,则拒绝请求者的访问。23中国密码学会组编WLAN的安全机制IEEE802.1X认证机制IEEE802.1X认证的特点IEEE802.1X协议具有以下优点:协议实现简单。业务灵活。安全可靠。具体表现在如下几个方面:用户身份识别取决于用户名或口令,而不是MAC地址,从而可实现基于用户的认证、授权和计费。支持可扩展的认证、非口令认证,如公钥证书和智能卡、互联网密钥交换协议、生物测定学、信用卡等,同时也支持口令认证,如一次性口令