《无线网络安全》PPT课件.ppt

网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 第20讲 无线网络安全二 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 一、无线安全威胁 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、无线电信干扰问题 发送和接收无线电信号的过程中，传输媒体是 空气，导致无线系统很容易受到其它系统的干 扰。而且，无线网络自身之间也存在各种干扰 ，所以研究无线局域网的电磁兼容和电磁干扰 问题很有必要。 针对各种干扰的解决办法无非有以下几方面， 一是了解各种电磁兼容规则，合理利用频率资 源，设计出满足ERC无线标准的设备。二是了 解各种无线设备系统的抗干扰方法，通过学习 现有无线系统的优点，从而找出无线局域网系 统设计的合理方法。三是采用更先进的技术或 协议，提高无线设备自身的抗干扰能力。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、共享密钥认证的安全缺陷 通过窃听一种被动攻击手法，能够很 容易蒙骗和利用目前的共享密钥认证协 议。协议固定的结构（不同认证消息间 的唯一差别就是随机询问）和先前提过 的WEP的缺陷，是导致攻击实现的关键 。因此，即使在激活了WEP后，攻击者 仍然可以利用网络实现WEP攻击。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、访问控制的安全缺陷（1） （1）封闭网络访问控制机制：实际上，如果 密钥在分配和使用时得到了很好的保护，那么 基于共享密钥的安全机制就是强健的。但是， 这并不是这个机制的问题所在。几个管理消息 中都包括网络名称或SSID，并且这些消息被接 入点和用户在网络中广播，并不受到任何阻碍 。真正包含SSID的消息由接入点的开发商来确 定。然而，最终结果是攻击者可以很容易地嗅 探到网络名称，获得共享密钥，从而连接到“ 受保护”的网络上。即使激活了WEP，这个缺 陷也存在，因为管理消息在网络里的广播是不 受任何阻碍的。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、访问控制的安全缺陷（2） （2）以太网MAC地址访问控制表：在理论上。 使用了强健的身份形式，访问控制表就能提供 一个合理的安全等级。然而，它并不能达到这 个目的。其中有两个原因：其一是MAC地址很 容易的就会被攻击者嗅探到，这是因为即使激 活了WEP，MAC地址也必须暴露在外，其二 是大多数的无线网卡可以用软件来改变MAC地 址，因此，攻击者可以窃听到有效的MAC地址 、然后进行编程将有效地址写到无线网卡中。 从而伪装一个有效地址，越过访问控制，连接 到“受保护”的网络上。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、硬件被窃（1） 静态地指定WEP密钥给一台客户机是很常 见的方法，密钥或存储在客户机的磁盘 存储器中，或存储在客户机的WLAN适配 器的内存中。当这些步骤完成后，客户 机处理器就拥有了客户机的MAC地址和 WEP密钥，并且可利用这些单元获得对 WLAN的访问权了。如果多个用户共用一 台客户机，这些用户将有效地共享MAC地 址和WEP密钥。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、硬件被窃（2） 当客户机丢失或被盗时，该客户机的正常用户 将不再拥有对MAC地址和WEP密钥的访问权 ，而非正常用户则有了这些权限。此时管理员 要想检测网络的安全性是否被破坏是不可能的 ；原有的机主应该及时通知网络管理员。当网 络管理员按到通知后，必须改变安全方案，使 MAC地址和WEP密钥在访问WLAN和对传送 的数据进行解密时变得无效。同时，网络管理 员还必须对与丢失或被盗的客户机密钥相同的 其它客户机的静态密钥全部进行重新编码。客 户机的数目越多，对WEP密钥进行重新编程的 工作员也就越大。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 5、虚假访问点 IEEE802.11b共享密钥验证使用单向，非 相互的身份验证方法。访问点可以验证 用户的身份，但用户并不能验证访问点 的身份。如果一个虚假访问点放置到 WLAN中，它可通过“劫持”合法用户 客户机来成为发动拒绝服务攻击的平台 。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 6、其它隐患（1） 标椎的WEP支持每个信息包加密功能， 但是并不支持对每个信息包的验证。黑 客可从对已知数据包的响应来重构信息 流，从而能够发送欺骗信息包。弥补这 个安全弱点的途径之一是定期更换WEP 密钥。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 6、其它隐患（2） 通过监视IEEE802.11b控制和数据通道，黑客 可以得到如下信息： 客户机和访问点MAC地址； 内部主机的MAC地址； 进行通信/断开通信的时间。 黑客可能使用这些信息来进行长期的流量测量 和分析，从而获悉用户和设备的详细信息。为 预防此类黑客活动，站点应使用每次会话WEP 密钥。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、小结（1） 无线网络的安全威胁比较多，它们的来源可归 纳为非法窃听、非授权访问和服务拒绝等几类 ，不同的安全威胁会给网络带来不同程度的破 坏。 非法窃听是指入侵者通过对无线信道的监听来获取 传输的信息，是对通信网络最常见的攻击方法。这 种威胁源于无线链路的开放性，但是由于无线传输 距离受到功率和信噪比的限制，窃听者必须与源结 点距离较近。 非法访问是指入侵者伪装成合法用户来访问网络资 源，以期达到破坏目的；或者是违反安全策略，利 用安全系统的缺陷非法占有系统资源或访问本应受 保护的信息。必须对网络中的通信设备增加认证机 制，以防止非授权用户使用网络资源。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、小结（2） 服务拒绝是指入侵者通过某些手段使合法用户无法 获得其应有的网络服务，这种攻击方式在Internet 中最为常见，也最为有效。这种威胁包括阻止合法 用户建立连接，或通过向网络发送大量垃圾数据来 破坏合法用户的正常通信。对于这种威胁，通常可 采用认证机制和流量控制机制来防止。 耗能攻击也称为能源消耗攻击，其目的是破坏节能 机制，如不停地发送连接请求，使设备无法进入节 能模式，最终达到消耗能量的目的。目前对这种攻 击还没有行之有效的办法。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 二、无线网络攻击分析 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、被动攻击解密业务流（1 ） 在WEP攻击的研究中，被动攻击指不破坏信息 完整性的攻击，又称其为初始化向量IV复用攻 击，或称为密钥复用攻击。在本文的以后论述 中经常使用密钥复用攻击。 由于WEP的IV字节空间太小，因此，密钥复用 攻击具有的特点为：缺乏重放保护，允许IV 重复；WEP IV空间小，导致IV碰撞，密钥重 复；攻击者可以拦截无线通信信号做统计学 分析，从而对信号解密。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、被动攻击解密业务流（2 ） 在初始化变量发生碰撞时，一个被动的窃听者 可以拦截窃听所有的天线业务流。只要将两个 具有相同初始化变量的包进行异或相加，攻击 者就可以得到两条消息明文的异或值，而这个 结果可以用来推断这两条消息的具体内容。IP 业务流通常是可以预测的，并且其中包含了许 多冗余码，而这些冗余码就可以用来缩小可能 的消息内容的范围，对内容的更进一步的推测 则可以进一步缩小内容范围，在某些情况下甚 至可能可以确定正确的消息内容。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、主动攻击注入业务流（1 ） 主动攻击的特点是破坏信息的完整性和有效性 ，向通信信号中插入字节。主动攻击主要利用 了在WEP中采用CRC32保护数据的完整性这个缺 陷。主动攻击的特点为：CRC32是线性运算 ，容易伪造密钥；造成拒绝服务攻击。 CRC32并不能保证数据的完整性，那么对于数 据的篡改就十分容易。只要攻击者得到一段明 密文对，那么他就可以很容易地对这段明文修 改并重放，从而造成主动攻击 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、主动攻击注入业务流（3 ） 假如一个攻击者知道一条加密消息确切的明文 ，那么他可以利用这些来构建正确的加密包。 其过程包括：构建一条新的消息，计算CRC-32 ，更改初始加密消息的比特数据从而变成新消 息的明文，然后将这个包发送到接入点或移动 终端，这个包会被当作一个正确的数据包而被 接收。这样就将非法的业务流注入到网络中， 从而增加了网络的负荷。如果非法业务流的数 量很大，会使得网络负荷过重，出现严重的拥 塞问题，甚至导致整个网络完全瘫痪。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、针对IP地址发起的主动攻 击（1） 事实上，针对单个通信报文的攻击并不容易奏 效,比如多个通信报文之间有关联，甚至无法 做到重放。但针对IP地址发起的主动攻击对象 不是消息的内容，而是数据报的头字节IP地 址。比起破解消息的内容来，这显然要容易得 多。在破解IP地址后，攻击者就可以对其进行 修改，使IP地址指向被控制的机器（比如位于 Internet的某个主机）。由于大多数无线局域 网都可以同Internet互连，接入点成功地对移 动端发来的数据解密后就会经由一系列的网关 和路由器把明文发向受控制的主机。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、针对IP地址发起的主动攻 击（2） 在这种情况下，攻击者可以不猜测消息的具体 内容而是只猜测包头，尤其是目的IP地址，它 是最有必要的，这个信息通常很容易获得。有 了这些信息，攻击者就可以改变目的IP地址， 用未经授权的移动终端将包发到他所控制的机 器上。由于大多数无线设备都与Internet相连， 这样，这个包就会成功的被接入点解密，然后 通过网关和路由器向攻击者的机器转发未经加 密的数据包，泄露了明文。如果包的TCP头被 猜出来的话，那么甚至有可能将包的目的端口 号改为80，如果这样的话，它就可以畅通无阻 的越过大多数的防火墙。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、基于字典的功击（1） 由于初始化向量的数值空间比较小，这样攻击 者就可以建一个解密表，即字典。一旦知道了 某个包的明文，它能够计算出由所使用的初始 化变量产生的RC4密钥流。这个密钥流可以将 所有使用同一个初始化变量的包解密。很可能 经过一段时间以后，通过使用上述技术，攻击 者能够建立一个初始化变量与密钥流的对照表 。这个表只需很小的存储空间（大约15GB） ，字典一旦建立，攻击者可以通过无线链路把 所有的数据包解密。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、基于字典的功击（3） 字典攻击分为两种情况：已知全部明文攻击 。它具有的特点为：a.IP数据流中包含许多的 已知明文，例如：ICMP, ARP, TCP ACK等；b. 可以在Internet上通过接入点AP向有意的攻击 者发送ping指令；c.对给定的IV，可以恢复全 部密钥；d.可以引起统计攻击。已知部分明 文攻击。它具有的特点：a.仅掌握部分明文信 息，例如：IP头和SNAP；b.可以恢复出部分密 钥；c.对已知部分的明文和IV进行统计分析， 可以得出密钥偏差；d. 对已知部分的明文和 IV进行统计分析，可以恢复出密钥；e.通过多 次探测分析，最终可以逐步扩展得出全部密钥 。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 5、工具攻击 工具攻击是指针对无线局域网的攻击工 具。这些工具，特别是来自无线局域网 内部的攻击将是很大的威胁。目前，无 线局域网对此类攻击还没有很好的对付 方法。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 6、广播监听 如果接入点与HUB相连，而不是与交换 机相连，那么任意通过HUB的网络业务 流将会在整个的无线网络里广播。由于 以太网HUB向所有与之连接的装置包括 无线接入点广播所有数据包，这样，攻 击者就可以监听到网络中的敏感数据。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、拒绝服务（DOS）攻击（1） 在无线网络里也很容易发生拒绝服务DOS（ Denial of Service）攻击，如果非法业务流覆盖 了所有的频段，合法业务流就不能到达用户或 接入点，这样，如果有适当的设备和工具的话 ，攻击者很容易对2.4GHz的频段实施泛供（ flooding），破坏信号特性，直至导致无线网 络完全停止工作。另外，无绳电话、婴儿监视 器和其它工作在2.4GHz频段上的设备都会扰乱 使用这个频率的无线网络。这些拒绝服务可能 来自工作区域之外，也可能来自安装在其它工 作区域的会使所有信号发生衰落的IEEE802.11 设备。总之，不管是故意的还是偶然的，DOS 攻击都会使网络彻底崩溃。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、拒绝服务（DOS）攻击（2） 由于WEP的设计缺陷，可能的攻击有很多 。而IEEE802.11 WEP中最具缺陷的设计 是初始化向量IV，导致WEP密钥复用的缺 陷。本文以下部分着重研究针对WEP IV 空间小，引起密钥复用进行的攻击。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 三、第二代移动通信系统的安 全机制 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（1） GSM无线接入中最主要的安全措施包括对 用户身份的识别(认证)和对用户接口数 据传输的加密，另外还包括对用户身份 的保密和对设备的识别。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（2） （1）认证认证 ：GSM系统采用了单钥体制认证方 案。在GSM系统中，MS(移动台)由ME(移动设备 )和SIM(用户识别模块)卡组成，ME负责与BTS( 基站收发信台)在无线接口Um上进行通信，流 加密算法A5也在ME中实现；SIM卡在用户入网 的时候由运营商提供，用于实现用户认证和密 钥分配，存储了移动用户的身份号IMSI(国际 移动用户标识)和密钥Ki，身份认证算法A3和 密钥分配算法A8。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（3） 当MS首次进入某个VLR(visit location register)的服务区域时，需要进行位置更新 ，此时认证方案开始运行，MS将其IMSI发送给 VLR，VLR随后向MS归属的HLR(home location register)发出用户数据请求，HLR经确认，返 回若干个认证三元组(RAND，SRES，Kc)。三元 组中，RAND为128 bit的随机数，SRES为32 bit带符号的响应，Kc为64 bit的会话密钥。 为了认证用户的身份，VLR将RAND作为“提问 ”发送给用户；用户利用A3算法并以秘密密钥 Ki和RAND为参数计算签字响应SRES，然后返 回给VLR；若接收到的SRES与三元组中的 SRES匹配，则VLR确信该MS为合法用户，并发 送一个临时移动用户识别号码TMSI(temporary mobile subscriber iden2tity)给MS，用A5算 法和Kc加密；MS收到后解密得到TMSI，并发送 确认信号ACK。认证方案如下图所示： 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（4） MSVLRHLR IMSIIMSI RANDIMSI、RAND、SRES、Ki SRES A5 ACK GSM认证方案（IMSI） 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（5） 以上认证方案非常简单，采用“提问-回答” 机制、TMSI和会话加密来实现欺骗控制、用户 身份保密和消息的保密。然而，在TMSI 同步 之前，以及当频繁的无线信号干扰或其它可能 的系统错误使得TMSI的同步丢失时，MS不得不 将IMSI以明文形式发送给VLR，这就暴露了用 户的真实身份。另一个安全问题是一旦会话密 钥泄漏，只要重放相应的RAND，攻击者就可以 伪装成合法的VLR与MS建立一个虚假的连接， 并通过这个连接收集用户的数据。另外，在 VLR内保存多个认证三元组虽然可以加速认证 的过程(不需要HLR的参与)，但是这增加了认 证信息泄漏的可能性。例如，内部人员可以盗 用这些信息非法使用网络服务或者泄漏用户的 会话内容。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（6） （2）对用户接口数据传输的加密：GSM移动通 信系统中的无线数据传输采用A5加密算法，对 114 bit有用长度的普通突发脉冲进行加密， 加密对象的内容主要有以下3种： 用户信息，包括语音和数据等信息 用户信令，例如用户被叫号码等 系统信令，例如用于切换的无线测量结果等 A5加密算法由GSM MOU组织规定，受版权保 护。A5算法按加密强度又可分为以下3种： A5/1算法：强加密算法，适用于欧洲 A5/2算法：弱加密算法，适用于非欧洲 A5/0算法：不加密 从以上3种A5算法的划分可以看出，GSM系统中 的无线接口数据传输可以采用加密方式，也可 以采用不加密方式，即加密与非加密可以相互 转换，由无线资源管理机构制定具体方案。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、GSM系统安全（7） （3）用户身份保密：在用户完成接入过程的 认证以后，用户呼叫过程中不再使用其真实身 份IMSI，而是使用新分配的TMSI 来发起呼叫 请求。这样可以隐藏用户身份，防止无线跟踪 ，并且在每次认证中，VLR都重新分配一个 TMSI给MS。 （4）设备识别：GSM系统中采用唯一的国际 移动设备识别符(IMEI)对MS进行设备识别。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、GPRS系统安全（1） GPRS提供的安全特征与GSM非常类似，包 括: 认证与密钥分配：防止未授权的GPRS服务的 使用及提供会话密钥 用户身份保密 信令与用户数据加密 利用硬件存储用户的私钥 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、GPRS系统安全（2） 由于GPRS核心网是IP网，因此它还可以利用GSM标准之外的安全机 制。 (1)认证与密钥分配认证过程在GPRS网络中是通过SGSN完成 的。它主要完成用户认证或加密算法的选择和加密的起始同步， 或者两者皆有。认证的三参数(RAND，SRES，Kc)被保存在SGSN中 ，其使用方式与GSM完全相同，认证算法也完全一样(A3算法)。此 时MSC/VLR不再对MS鉴权，除非在电路交换连接建立时才对MS进行 鉴权。1）如果SGSN预先未保存鉴权三参数，它将给HLR发送鉴权 参数申请消息。HLR响应该消息向SGSN发送相应鉴权参数。2） SGSN发送鉴权和加密请求信息给MS。MS收到后发送响应SRES信息 。当发送完SRES后MS即启动加密流程。SGSN收到MS发来的有效的 SRES后也启动加密流程。3）MS位置更新时，如位置更新前MS处于 加密状态，SGSN将使用相同的算法转换为加密状态并向MS发一加 密的位置更新接受（Routing Area Update Accept）消息。当MS 收到SGSN加密的位置更新接受消息后保持加密状态。具体过程如 下图所示： 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、GPRS系统安全（3） MSSGSNHLR/AuC 1 接入请求 2 认证数据请求 4 认证请求 3 认证数据响应 5 认证响应 6加密的数据通信 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、GPRS系统安全（4） （2）信令与用户数据加密： GPRS中加 密范围是从MS到SGSN，加密功能是在LLC 层实现。在加密算法使用方面，GPRS不 作具体要求，可选择多种算法，也可设 计新的算法。GPRS规范中定义了GEA1和 GEA2两个加密算法，但都是保密的。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、GSM/GPRS安全分析（1） （1）认证问题：通过SGSN或MSC/VLR对MS的认 证，可以保证GSM/GPRS网络资源不被非授权用 户使用，保护了运营商的利益。但认证过程是 单向的即只是网络对MS的认证，用户对 SGSN/VLR不做认证，因而可能存在攻击者利用 假的SGSN或基站对用户进行欺骗，让用户以为 连接到了真正的GSM/GPRS网络上，这样可能使 用户的敏感信息被窃取或无法正常地访问网络 资源。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、GSM/GPRS安全分析（2） （2）信令及数据加密问题：GSM/GPRS系统中 的加密范围分别是从MS到基站与MS到SGSN，不 提供端到端的加密。对于需要端到端安全的应 用来说，必须考虑到这个因素，不能仅依赖 GSM/GPRS系统的安全性，而应该在系统设计时 增加端到端（应用层）的安全功能。GSM/GPRS 的安全算法也存在问题。加密算法A5与GEA的 密钥长度太短，只有64bits无法抵抗穷举攻击 。在通信安全领域，开放性对于加密算法的完 善来说是至关重要的。然而GSM MOU组织与 GPRS设计委员会却将所有安全规范保密，使别 的专家无法对算法进行分析评估，以及时发现 其缺陷并进行修正。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、GSM/GPRS安全分析（3） （3）SIM卡问题：GSM及GPRS系统的安全 性都是基于私钥密码，存储在SIM卡中的 IMSI-Ki对是系统安全的根本。如果SIM 卡中的数据可以被复制，则非授权用户 可以授权用户的身份使用网络资源，而 费用却算在该授权用户的账户上，这将 使系统的安全性受到严重破坏。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 四、3G安全体系结构 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、用户身份保密（1） 3G系统中的用户身份保密有3方面的含义 ： 在无线链路上窃听用户身份IMSI是不可能的 确保不能够通过窃听无线链路来获取当前用 户的位置 窃听者不能够在无线链路上获知用户正在使 用的不同的业务 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、用户身份保密（2） 为了达到上述要求，3G系统使用了2种机制来 识别用户身份：一是使用临时身份TMSI；二是 使用加密的永久身份IMSI。而且要求在通信中 不能长期使用同一个身份。另外为了达到这些 要求，那些可能会泄露用户身份的信令信息以 及用户数据也应该在接入链路上进行加密传送 。在3G中为了保持与第二代系统兼容，也允许 使用非加密的IMSI。尽管这种方法是不安全的 。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、用户身份保密（3） 在使用临时身份机制中，网络给每个移动用户 分配了一个临时身份TMSI。该临时身份与IMUI 由网络临时相关联，用于当移动用户发出位置 更新请求、服务请求、脱离网络请求，或连接 再建立请求时，在无线链路上识别用户身份。 当系统不能通过TMUI识别用户身份时，3G系统 可以使用IMSI来识别用户。该机制由拜访的 SN/VLR发起向用户请求IMSI。用户可选择两种 方法来响应：一是与GSM一样使用IMSI明文； 二是使用扩展加密移动用户身份XEMSI。由于 使用IMSI的明文传送，可能导致IMSI被窃听。 在3G中应该使用加密的用户身份。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、用户身份保密（4） 在收到SN/VLR的身份请求后，MS/USIM把IMSI 加密后嵌入HE-message中，并且用HE-id来向 SN/VLR指明可以解密该HE-message的HE/UIC的 地址。SN/VLR收到HE-message后，根据HE-id 再把该消息传送到相应的HE/UIC，HE/UIC解密 后把用户的IMSI传递给SN/VLR。在收到用户的 IMSI后，就可以启动TMSI分配过程，此后将使 用TMSI来识别移动用户身份。 这种增强型身份加密机制把原来由无线接入部 分传送明文IMSI变成在网络内传送明文IMSI， 在一定程度上加强了用户身份的机密性。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证和密钥协商（1） 3G系统中沿用了GSM中的认证方法，并作 了改进。在3G系统中使用了5参数的认证 向量AV(RANDXRESCKIKAUTN)。 3G中的认证，执行AKA (Authentication and Key Agreement)认证和密钥协商协 议，具体流程如下图所示： 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证和密钥协商（2） 认证和密钥协商AKA 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证和密钥协商（3） 上图中，HE/HLR表示用户归属区的用户 归属寄存器，AV表示认证向量，AUTN表 示认证令牌，RES和XRES分别表示用户域 的应答信息和服务网的应答信息，RAND 表示生成的随机数，CK和IK分别表示数 据保密密钥和数据完整性密钥。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证和密钥协商（4） AKA协议可分为2部分。（1）用户归属域HE到 服务网SN认证向量的发送过程。SN(由 VLR/SGSN实体执行)向HE(由HLR实体执行)申请 认证向量，HE生成一组认证向量AV(1，.， n)发送给SN，SN存储收到的认证向量；（2） 认证和密钥建立的过程。SN从收到的一组认证 向量中选择一个AV(i)，将AV(i)中的RAND(i) 和AUTN(i)发送给用户的USIM进行认证。用户 收到RAND和AUTN后计算出消息认证码XMAC，并 与AUTN中包含的MAC相比较，如果二者不同， USIM将向VLR/SGSN发送拒绝认证消息。如果二 者相同，USIM计算应答信息XRES(i)，发送给 SN。SN在收到应答信息后，比较XRES(i)和 RES(i)的值。如果相等则通过认证，否则不建 立连接。最后在认证通过的基础上，MS/USIM 根据RAND(i)和它在入网时的共享密钥Ki来计 算数据保密密钥CKi和数据完整性密钥IK(i)。 SN根据发送的AV选择对应的CK和IK。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、本地认证 AKA是基于认证向量的在USIM和HE之间的认 证，适用于用户第一次登录网络时的情况。在 线用户发出服务请求、位置更新或剥离网络请 求时常使用另一种认证：本地认证。它使用了 AKA中产生的CK与IK，认证只发生在USIM和 VLR之间，可为用户数据提供完整性保护。这 样做的好处是即使HE/AuC的链路不稳定， VLR/SGSN也可为用户提供安全服务。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、加密和完整性保护 认证成功后，3G系统允许对空中接口的数据进 行加密和完整性保护。加密和完整性算法分别 采用了KASUMI算法中的f8和f9算法。通过f8 算法产生密码流分组对原始数据进行加密。若 构成无线承载的RLC层采用非透明模式，则加 密由RLC层实施；若RLC层采用透明模式，则 加密由MAC层实施。f9算法的输入参数包括： IK、完整性序列号COUNT-I、随机数FRESH、 方向比特DIRECTION和信令消息MESSAGE。 发送方利用f9算法计算出MAC-1，随消息一起 发送出去，接收方计算XMAC-1并与收到的 MAC-1相比较以验证消息的完整性。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 5、安全分析 总的来说，3GPP的安全体系结构经过了精心的 设计以弥补GSM的弱点。GSM的主要漏洞在于 两点：认证是单向的（MS不能认证网络）， 加密是可选的。在3GPP中，认证是双向的，同 时加密是强制的。 另外，完整性保护防止了信令消息的重放，认 证向量的序号防止了网络伪装者对认证向量的 重用；采用完整性保护功能能够实现快速的本 地认证。 在算法方面，由于认证算法可随运营商不同而 不同，3G系统中的AKA算法可采用非标准化 的算法，而机密性算法f8和完整性算法f9算法 已进行了标准化。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 五、蓝牙技术的安全 机制 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、安全模式 在蓝牙技术标准中定义了三种安全模式： 安全模式1为无安全机制的模式，在这种模式下蓝 牙设备屏蔽链路级的安全功能，适于非敏感信息的 数据库的访问。这方面的典型的例子有自动交换名 片和日历(即vCard和vCalendar)。 安全模式2提供业务级的安全机制，允许更多灵活 的访问过程，例如，并行运行一些有不同安全要求 的应用程序。在这种模式中，蓝牙设备在信道建立 后启动安全性过程，也就是说它的安全过程在较高 层协议进行。 安全模式3提供链路级的安全机制，链路管理器对 所有建立连接的应用程序，以一种公共的等级强制 执行安全标准。在这种模式中，蓝牙设备在信道建 立以前启动安全性过程，也就是说它的安全过程在 较低层协议进行。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、链路级安全参数 蓝牙技术在应用层和链路层上提供了安 全措施。链路层采用四种不同实体来保 证安全。所有链路级的安全功能都是基 于链路密钥的概念实现的，链路密钥是 对应每一对设备单独存储的一些128位的 随机数。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、密钥管理（1） 蓝牙系统用于确保安全传输的密钥有几种，其 中最重要的密钥是用于两个蓝牙设备之间鉴权 的链路密钥。加密密钥可以由链路密钥推算出 来，这将确保数据包的安全，而且每次传输都 会重新生成。最后还有PIN码，用于设备之间 互相识别。 链路密钥：一共有四种可能存在的链路密钥， 所有链路密钥都是128位的随机数，它们或者 是临时的或者是半永久性的。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 3、密钥管理（2） 加密密钥由当前的链路密钥推算而来。每次需 要加密密钥时它会自动更换。之所以将加密密 钥与鉴权密钥分离开，是因为可以使用较短的 加密密钥而不减弱鉴权过程的安全性。 蓝牙安全码通常称为PIN(个人识别号码)，是 一个由用户选择或固定的数字，长度可以为16 个字节，通常采用四位十进制数。用户在需要 时可以改变它，这样就增加了系统的安全性。 另外，同时在两个设备输入PIN比其中一个使 用固定的PIN要安全得多。事实上它是唯一的 可信的用于生成密钥的数据，典型情况是四位 十进制PIN码与其他变量结合生成链路密钥和 加密密钥。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、加密算法（1） 蓝牙系统加密算法为数据包中的净荷(即数据 部分)加密，其核心部分是数据流密码机E0， 它包括净荷密钥生成器，密钥流生成器，和加 /解密模块。由于密钥长度从8比特到128比特 不等，信息交互双方必须通过协商确定密钥长 度。 有几种加密模式可供使用，如果使用了单元密 钥或者联合密钥，广播的数据流将不进行加密 。点对点的数据流可以加密也可以不加密。如 果使用了主密钥，则有三种可能的模式： 加密模式1：不对任何进行加密； 加密模式2：广播数据流不加密，点对点数据流用 临时密钥Kmaste进行加密； 加密模式3：所有数据流均用临时密钥Kmaste进行 加密。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 4、加密算法（2） 每个应用程序对密钥长度有严格的限制 ，当应用程序发现协商后得到的密钥长 度与程序要求不符，就会废弃协商的密 钥长度。这主要是为了防止恶意用户通 过协商过程减小应用程序密钥长度，以 便对系统造成破坏。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 5、认证机制（1） 两个设备第一次通信时，初始化过程生成一个 共用的链路密钥，结对过程要求用户输入16字 节(或128位)PIN到两个设备，根据蓝牙技术标 准，结对过程如下： 根据用户输入的PIN生成一个共用随机数作为初始 化密钥，此密钥只用一次，然后即被丢弃。 在整个鉴权过程中，始终检查PIN是否与结对设备 相符。 生成一个普通的128位随机数链路密钥，暂时储存 在结对的设备中。只要该链路密钥储存在双方设备 中，就不再需要重复结对过程，只需实现鉴权过程 。 基带连接加密不需要用户的输入，当成功鉴权并检 索到当前链路密钥后，链路密钥会为每个通信会话 生成一个新的加密密钥，加密密钥长度依据对安全 等级而定，一般在8128比特之间，最大的加密长 度受硬件能力的限制。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 5、认证机制（2） 为防止非授权用户的攻击，蓝牙标准规 定，如果认证失败，蓝牙设备会推迟一 段时间重新请求认证，每增加一次认证 请求，推迟时间就会增加一倍，直到推 迟时间达到最大值。同样认证请求成功 后，推迟时间也相应地成倍递减，直到 达到最小值。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 6、蓝牙安全架构（1 ） 蓝牙安全架构可以实现对业务的选择性访问， 蓝牙安全架构建立在L2CAP层之上，特别是 RFCOMM层。其它协议层对蓝牙架构没有什么特 别的处理，它们可能有其自身的安全特征。蓝 牙安全架构允许协议栈中的协议强化其安全策 略，例如，L2CAP在无绳电话方面强化了蓝牙 安全策略，RFCOMM则是在拨号网络方面强化了 蓝牙安全策略，OBEX在文件传输和同步应用方 面使用自己的安全策略。蓝牙安全架构提供了 一个灵活的安全框架，此框架指出了何时涉及 用户的操作，下层协议层需要哪些动作来支持 所需的安全检查等。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 6、蓝牙安全架构（2 ） 安全管理器是蓝牙安全架构中最重要的 部分，负责存储与业务和设备安全有关 的信息，响应来自协议或应用程序的访 问要求，连接到应用程序前加强鉴权和 加密，初始化或处理来自用户或者外部 安全控制实体的输入，在设备级建立信 任连接等。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、蓝牙安全技术存在 的问题（1） （1）用户隐私。由于蓝牙设备内的蓝牙地址具有 全球唯一性，一旦这个地址与某用户相关联，他的 行动都可以被记录，所以隐私就得不到保障。 （2）PIN问题。为了初始化一个安全连接，两个蓝 牙设备必须输入相同的PIN码。PIN是唯一的可信的 用于生成密钥的数据，链路密钥和加密密钥都与它 有关。用户有可能将其存在设备上，或者输入过于 简单，所以PIN易受到攻击，解决的方法是使用较 长的PIN，或者使用密钥变更系统。 （3）链路密钥。鉴权和加密都是基于双方共享的 链路密钥，这样，某一设备很可能利用早就得到链 路密钥以及一个伪蓝牙地址计算出加密密钥，从而 监听数据流。虽然这种攻击需要花一些功夫，但贝 尔实验室已证实了其可能性。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 7、蓝牙安全技术存在 的问题（2） 蓝牙技术把众多的移动设备连接成网络 ，有着广阔的应用前景。它的底层协议 栈是其技术的核心，一个个诱人的产品 技术标准就建筑在这些底层标准上，而 这些都需要安全机制的保证。随着蓝牙 技术的逐步成功，它将扩展为更高的无 线通信标准，使蓝牙技术具有蓬勃的生 命力。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 六、IEEE802.11的安 全机制 1、WEP 2、认证过程 3、加解密过程 4、安全性能 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 1、 WEP 有线等价协议WEP（Wired Equivalent Privacy）是在IEEE 802.11标准中采用的信息 保密机制，它主要用于保障无线局域网络中链 路层信息数据的保密。WEP采用对称加密机理 ，数据的加密和解密采用相同的密钥和加密算 法。 WEP的目标就是为无线局域网数据提供与有线网 络相同级别的安全保护。WEP设计目标中包括 ： （1）为无线局域网提供与有线网络相同级别的安全 保护，保证无线通信信号的安全性（保密性和完整 性）； （2）防止对无线网络的非授权访问（通过对密钥的 保护，使没有密钥的非授权者无法访问网络）。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证过程（1） 认证是对网络发送端和接收端能力的限 制。在IEEE802.11中采用了两种认证模 式：开放系统认证和共享密钥认证。无 论哪一种认证方式都是设备接入 IEEE802.11无线局域网的第一步。认证 的方法必须设置在每一个客户端上，并 且必须与客户端进行联系的接入点相匹 配。 网络安全 第20讲 无线网络安全二 北京邮电大学 研究生 03-04第二学期课程 2、认证过程（2） （1）开放系统认证模式： 是IEEE802.11