计算机网络安全课件(沈鑫剡)第5章

1、 2006工程兵工程学院 计算机教研室第五章n无线局域网的开放性；无线局域网的开放性；nWEP加密认证机制；加密认证机制；nWEP的安全缺陷；的安全缺陷；n802.11i。无线局域网的开放性对移动通信带来了便利，但也无线局域网的开放性对移动通信带来了便利，但也产生了严重的安全问题，产生了严重的安全问题，WEP加密和认证机制就加密和认证机制就用于解决因为开放性带来的安全问题，但用于解决因为开放性带来的安全问题，但WEP技技术本身存在严重的安全缺陷，术本身存在严重的安全缺陷，802.11i是目前解决是目前解决无线局域网安全问题的理想技术。无线局域网安全问题的理想技术。n频段的开放性；频段的开放性；

2、n空间的开放性；空间的开放性；n开放带来的安全问题。开放带来的安全问题。允许自由使用开放频段为无线局域网产品允许自由使用开放频段为无线局域网产品提供了频段保证；空间的开放性一是免除提供了频段保证；空间的开放性一是免除了线缆铺设，二是方便了移动通信；但这了线缆铺设，二是方便了移动通信；但这两个开放性造成的后果是通信的不安全。两个开放性造成的后果是通信的不安全。n开放频段是无需国家无线电管理委员会批准就可开放频段是无需国家无线电管理委员会批准就可使用的频段，无线电频段是重要的国家资源，审使用的频段，无线电频段是重要的国家资源，审批过程非常复杂，开放频段为无线电产品生产厂批过程非常复杂，开放频段为无

3、线电产品生产厂家免除了频段审批的麻烦；家免除了频段审批的麻烦；n开放频段的信号能量必须受到限制，否则，可能开放频段的信号能量必须受到限制，否则，可能相互影响。相互影响。开放频段开放频段n空间开放性使得终端不需要通过线缆连接网络，但信号空间开放性使得终端不需要通过线缆连接网络，但信号传播范围内的任何终端都能接收其他终端之间的传输的传播范围内的任何终端都能接收其他终端之间的传输的数据，也能向其他终端发送数据；数据，也能向其他终端发送数据；n如果没有采取措施，通信的安全性无法保障。如果没有采取措施，通信的安全性无法保障。n由于开放频段是公共频段，允许自由使用，很容易发生信号由于开放频段是公共频段，允

4、许自由使用，很容易发生信号干扰问题；干扰问题；n信号传播范围内的终端都能接收其他终端之间传输的数据，信号传播范围内的终端都能接收其他终端之间传输的数据，也能向其他终端发送数据，因此，必须验证发送者身份，同也能向其他终端发送数据，因此，必须验证发送者身份，同时，需要加密经过自由空间传输的数据；时，需要加密经过自由空间传输的数据；nAP作为内部网络和无线局域网的连接点，需要对终端实施接作为内部网络和无线局域网的连接点，需要对终端实施接入控制。入控制。nWEP加密机制；加密机制；nWEP帧结构；帧结构；nWEP认证机制；认证机制；n基于基于MAC地址认证机制；地址认证机制；n关联的接入控制功能。关联

5、的接入控制功能。WEP主要提供加密和认证机制，可以加密终端主要提供加密和认证机制，可以加密终端间传输的数据，允许终端和间传输的数据，允许终端和AP交换数据前，由交换数据前，由AP完成对终端的身份认证，通过认证的终端的完成对终端的身份认证，通过认证的终端的MAC地址记录在关联表中，以后的数据交换过地址记录在关联表中，以后的数据交换过程中，程中，MAC地址作为发送端的标识符。地址作为发送端的标识符。n24位初始向量（位初始向量（IV）和）和40位（或位（或104位）密钥构成位）密钥构成64位伪随机数种子，产生数据长位伪随机数种子，产生数据长度度4（单位字节）的一次性密钥；（单位字节）的一次性密钥；

6、n数据的循环冗余检验码（数据的循环冗余检验码（4个字节）作为数据的完整性检验值（个字节）作为数据的完整性检验值（ICV）用于检测数）用于检测数据的完整性；据的完整性；n一次性密钥和数据及一次性密钥和数据及ICV进行异或运算，其结果作为密文；进行异或运算，其结果作为密文；n为了在发送端和接收端同步伪随机数种子，以明文方式传输为了在发送端和接收端同步伪随机数种子，以明文方式传输IV，由于伪随机数种，由于伪随机数种子由密钥和子由密钥和IV组成，截获组成，截获IV并不能获得伪随机数种子。并不能获得伪随机数种子。WEP加密过程加密过程n用发送端以明文传输的用发送端以明文传输的IV和接收端保留的密钥构成伪

7、随机数种子，产生一和接收端保留的密钥构成伪随机数种子，产生一次性密钥，如果接收端保留的密钥和发送端相同，则接收端产生和发送端次性密钥，如果接收端保留的密钥和发送端相同，则接收端产生和发送端相同的一次性密钥；相同的一次性密钥；n用和密文相同长度的一次性密钥异或密文，得到数据和用和密文相同长度的一次性密钥异或密文，得到数据和4字节的字节的ICV；n根据数据计算出循环冗余检验码，并与根据数据计算出循环冗余检验码，并与ICV比较，如果相同，表明数据传比较，如果相同，表明数据传输过程未被篡改。输过程未被篡改。WEP解密过程解密过程n控制字段中的控制字段中的WEP标志位置标志位置1；n净荷字段中包含密文（

8、数据和净荷字段中包含密文（数据和ICV与一次性密钥与一次性密钥异或运算后的结果）、异或运算后的结果）、IV、密钥标识符，、密钥标识符，2位密位密钥标识符允许发送端和接收端在钥标识符允许发送端和接收端在4个密钥中选择个密钥中选择一个密钥作为伪随机数种子的组成部分。一个密钥作为伪随机数种子的组成部分。n确定终端是否是授权终端的唯一依据就是终端是否拥有和确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥；的密钥；n终端一旦通过认证，终端一旦通过认证，AP记录下终端的记录下终端的MAC地址，以后，终端地址，以后，终端MAC地地址就是授权终端发送的址就是授权终端发送的MAC帧的标识符。帧的标识

9、符。challenge是是128字字节长度的随机数。节长度的随机数。密文（密文（challengeICV） K；K是一次性密钥，以是一次性密钥，以IV和密钥为伪和密钥为伪随机数种子生成的伪随机数，其长随机数种子生成的伪随机数，其长度度1284（单位字节）。（单位字节）。nAP首先建立授权终端首先建立授权终端MAC地址列表；地址列表；n终端是否是授权终端的依据是该终端的终端是否是授权终端的依据是该终端的MAC地址是否包地址是否包含在含在AP的的MAC地址列表中。地址列表中。n建立关联过程中，终端和建立关联过程中，终端和AP完成物理层协议、信道、传输速率的同步过程；完成物理层协议、信道、传输速率的

10、同步过程；n建立关联过程中，建立关联过程中，AP完成对终端的认证；完成对终端的认证；n建立关联后，终端的建立关联后，终端的MAC地址将记录在关联表中，地址将记录在关联表中，AP只接收、发送源或只接收、发送源或目的目的MAC地址在关联表中的地址在关联表中的MAC帧。帧。这些意味着一旦终端和这些意味着一旦终端和AP建立关联，建立关联，AP已经完成对终端的接入控制过程。已经完成对终端的接入控制过程。建立关联过程建立关联过程n共享密钥认证机制的安全缺陷；共享密钥认证机制的安全缺陷；n一次性密钥字典；一次性密钥字典；n完整性检测缺陷。完整性检测缺陷。WEP安全缺陷起因于以下几点：一是一次性密安全缺陷起因

11、于以下几点：一是一次性密钥和初始向量一一对应，发送端通过明文传输初钥和初始向量一一对应，发送端通过明文传输初始向量，且密文和明文的异或操作结果即是一次始向量，且密文和明文的异或操作结果即是一次性密钥；二是一次性密钥的空间只有性密钥；二是一次性密钥的空间只有224，且伪，且伪随机数生成器根据伪随机数种子生成一次性密钥随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性；三是机制使得各个一次性密钥之间存在相关性；三是用循环冗余检验码作为完整性检测码，容易实现用循环冗余检验码作为完整性检测码，容易实现同时篡改密文和加密后的同时篡改密文和加密后的ICV。n两端一次性密钥两端一

12、次性密钥K K取决于明文取决于明文IVIV。nY=PKY=PK，很容易根据，很容易根据Y Y和和P P推出推出K= PY= P PK=KK= PY= P PK=K。nIVIV不变，不变，APAP根据根据IVIV推出的一次性密钥推出的一次性密钥K K不变，如果不变，如果Y=P KY=P K，APAP认定黑客终端拥有共享密钥。认定黑客终端拥有共享密钥。认证响应（认证响应（P P）认证请求（认证请求（Y,IVY,IV）认证请求认证请求认证响应（认证响应（P）认证响应（认证响应（Y,IV）认证响应（成功）认证响应（成功）n一次性密钥和初始向量一一对应，初始向量又以明文方式出现在一次性密钥和初始向量一一

13、对应，初始向量又以明文方式出现在WEP帧中，在知道明文帧中，在知道明文P和密文和密文Y的情况下，又很容易得出一次性密的情况下，又很容易得出一次性密钥钥K=P Y；n图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度、固图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度、固定内容的数据，入侵终端通过接收发送给授权终端的密文和对应的定内容的数据，入侵终端通过接收发送给授权终端的密文和对应的IV，及已知的数据明文得出不同及已知的数据明文得出不同IV和一次性密钥的对应关系，这就是固定和一次性密钥的对应关系，这就是固定长度的一次性密钥字典。长度的一次性密钥字典。黑客建立固定长度的一次性密钥字

14、典的过程黑客建立固定长度的一次性密钥字典的过程n入侵终端发送正确加密的入侵终端发送正确加密的ICMP ECHO请求报文给请求报文给AP，AP将回送将回送ICMP ECHO响响应报文；应报文；n根据固定长度根据固定长度L的一次性密钥字典，试探性得出的一次性密钥字典，试探性得出L+8长度的一次性密钥；长度的一次性密钥；n试探过程采用穷举法，一次性密钥的高试探过程采用穷举法，一次性密钥的高L位保持不变，底位保持不变，底8位从位从0开始，每次增开始，每次增1。n数据数据M1(X)，ICV=(Xr M1(X)/G(X)的余数，即的余数，即R1(X);n密文密文(Xr M1(X) R1(X) K；n篡改密

15、文数据篡改密文数据 (Xr M2(X) R2(X)，其中，其中R2(X)= (Xr M2(X) )/G(X)的余数；的余数；n如果篡改后密文如果篡改后密文 (Xr M1(X) R1(X) K (Xr M2(X) R2(X)，由于，由于(Xr (M1(X) M2(X) )/G(X)的余数的余数R1(X) R2(X)，用一次性密钥异或篡改后，用一次性密钥异或篡改后密文的到的明文，其完整性检测结果是未被篡改。密文的到的明文，其完整性检测结果是未被篡改。n802.11i加密机制；加密机制；n802.1X认证机制；认证机制；n动态密钥分配机制。动态密钥分配机制。WEP是对所有是对所有BSS内的终端分配内

16、的终端分配SSID和密钥，和密钥，SSID和密钥是和密钥是BSS合法终端的标识。合法终端的标识。802.11i基基于用户进行认证，即必须给授权用户分配用户名于用户进行认证，即必须给授权用户分配用户名和口令，只有拥有合法用户名和口令的用户才能和口令，只有拥有合法用户名和口令的用户才能和和AP建立安全关联。基于用户成对分配密钥，建立安全关联。基于用户成对分配密钥，即密钥基于终端和即密钥基于终端和AP，而不是，而不是BSS。密钥只在。密钥只在安全关联存在期间有效，一旦安全关联结束或建安全关联存在期间有效，一旦安全关联结束或建立新的安全关联，重新生成密钥。立新的安全关联，重新生成密钥。802.11i加

17、密机制主要有：加密机制主要有：n临时密钥完整性协议（临时密钥完整性协议（TKIP）；）；nCCMP。TKIP是尽量和是尽量和WEP兼容，但又比兼容，但又比WEP有有着更安全的加密和完整性检测机制的一种着更安全的加密和完整性检测机制的一种加密认证机制。加密认证机制。CCMP和和WEP没有相关性，采用较复杂的没有相关性，采用较复杂的加密和完整性检测算法。加密和完整性检测算法。n48位位TSC、终端、终端MAC地址、和地址、和TK一起作为伪随机数种子，在一起作为伪随机数种子，在TSC高高32位不变的情位不变的情况下，况下，TTAK维持不变；维持不变；n第第2级密钥混合函数输出的级密钥混合函数输出的1

18、28位伪随机数，作为位伪随机数，作为WEP加密机制的伪随机数种子，加密机制的伪随机数种子，用于产生数据长度用于产生数据长度+4的一次性密钥；的一次性密钥；n完整性检测含源和目的完整性检测含源和目的MAC地址。地址。n密钥混合函数是伪密钥混合函数是伪随机数生成器，随机数生成器，Michael是简化的报是简化的报文摘要算法，但完文摘要算法，但完整性检测能力远远整性检测能力远远超过循环冗余检验超过循环冗余检验码；码；nTK是临时密钥，只是临时密钥，只在安全关联存在期在安全关联存在期间有效；间有效；n源和目的源和目的MAC地址地址 优先级优先级净荷净荷MIC构成用于加密的数据；构成用于加密的数据；n为

19、了和接收端同步，为了和接收端同步，TKIP MPDU必须携带必须携带48位的位的TSC，因此，因此，TKIP增增加了加了4字节的扩展字节的扩展IV，1字节字节WEP种子用于检测种子用于检测TSC；n密钥标识符允许发送端和接收端在密钥标识符允许发送端和接收端在4个临时密钥中选择；个临时密钥中选择；nWEP帧和帧和TKIP MPDU的区别是的区别是IV中的扩展中的扩展IV位。位。MAC帧格式和帧格式和TKIP MPDU封装过程封装过程n从从MAC帧中取出以明文传输的帧中取出以明文传输的TSC和发送端地址和发送端地址TA，根据，根据TA确定临时密钥确定临时密钥TK，以此生成以此生成128位伪随机数种

20、子，根据位伪随机数种子，根据128位伪随机数种子，生成一次性密钥，一次位伪随机数种子，生成一次性密钥，一次性密钥和密文异或操作，还原出明文；性密钥和密文异或操作，还原出明文；n明文由源和目的明文由源和目的MAC地址、优先级、净荷和地址、优先级、净荷和MIC组成（如果明文是这些内容分段组成（如果明文是这些内容分段后的某个段，需要将所有段重新拼装成原始格式），然后根据源和目的后的某个段，需要将所有段重新拼装成原始格式），然后根据源和目的MAC地址、地址、优先级、净荷与优先级、净荷与MIC密钥计算密钥计算MIC，将计算结果和，将计算结果和MAC帧携带的帧携带的MIC比较，如果相比较，如果相同，表示源

21、和目的同，表示源和目的MAC地址、优先级、净荷在传输过程中未被篡改；地址、优先级、净荷在传输过程中未被篡改；n由于每一段数据封装成由于每一段数据封装成TKIP帧格式时，帧格式时，WEP加密机制用循环冗余检验码作为加密机制用循环冗余检验码作为ICV，用于检测密文传输过程中是否被篡改，因此，每一段数据对应的用于检测密文传输过程中是否被篡改，因此，每一段数据对应的TKIP帧需用帧需用ICV检检测传输过程中是否被篡改。测传输过程中是否被篡改。TKIP解密过程解密过程nMIC主要对数据和主要对数据和MAC帧首部中的关键字段值进行完整性检测，因此，输入内容帧首部中的关键字段值进行完整性检测，因此，输入内容

22、由数据、由数据、MAC帧帧MAC帧首部中的关键字段值构成的附加认证数据和用于防止重放帧首部中的关键字段值构成的附加认证数据和用于防止重放攻击的随机数及用于确定随机数和附加认证数据长度的标志字节组成；攻击的随机数及用于确定随机数和附加认证数据长度的标志字节组成；n计算计算MIC的过程是首先将输入内容分成的过程是首先将输入内容分成128B的数据段，除第一段外，前一段的数据段，除第一段外，前一段AES加密结构和当前段数据的异或结果作为加密结构和当前段数据的异或结果作为AES的输入，临时密钥作为加密密钥，最的输入，临时密钥作为加密密钥，最后一段数据加密结果的前后一段数据加密结果的前8B作为计算作为计算

23、MIC的一个参数。的一个参数。CCMP计算计算MIC过程过程一次性密钥产生过程是由多段标志字节、随机数和计数器构成的一次性密钥产生过程是由多段标志字节、随机数和计数器构成的16B数据经数据经AES加密运算后生成多段加密运算后生成多段16B密文，这些密文串接在一密文，这些密文串接在一起，构成和数据同样长度的一次性密钥，不同的计数器值保证每一起，构成和数据同样长度的一次性密钥，不同的计数器值保证每一段密文是不同的。段密文是不同的。CCMP加密数据过程加密数据过程n附加认证数据由附加认证数据由MAC首部中首部中传输过程中不变的字段组成，传输过程中不变的字段组成，需要对这些字段的完整性进需要对这些字段

24、的完整性进行检测；行检测；n随机数由报文序号、发送端随机数由报文序号、发送端地址和优先级组成，使得不地址和优先级组成，使得不同发送端、不同同发送端、不同MAC帧的随帧的随机数均不相同；机数均不相同；nCCMP根据随机数和附加认根据随机数和附加认证数据计算证数据计算MIC和数据相同和数据相同长度的一次性密钥，用一次长度的一次性密钥，用一次性密钥和数据的异或操作产性密钥和数据的异或操作产生密文。生密文。CCMP加密加密MAC帧的过程帧的过程CCMP首部中以明文方式传输了报文编号，首部中以明文方式传输了报文编号，报文编号的作用一是防止重放攻击（也称中报文编号的作用一是防止重放攻击（也称中继攻击），二

25、是同步随机数，随机数是计算继攻击），二是同步随机数，随机数是计算MIC和一次性密钥的参数。和一次性密钥的参数。CCMP帧格式帧格式n解密和完整性检测的关键解密和完整性检测的关键是重新计算一次性密钥和是重新计算一次性密钥和MIC，计算一次性密钥所，计算一次性密钥所需要的参数主要有临时密需要的参数主要有临时密钥钥TK、报文编号和发送端、报文编号和发送端地址及全地址及全0的优先级字段，的优先级字段，因此，产生相同的一次性因此，产生相同的一次性密钥的前提是同步计算一密钥的前提是同步计算一次性密钥所需要的参数；次性密钥所需要的参数；n同样，重新计算同样，重新计算MIC，需，需要同步附加认证数据、随要同步

26、附加认证数据、随机数和临时密钥机数和临时密钥TK。CCMP解密和完整性检测过程解密和完整性检测过程802.11i的安全性基于以下特点：的安全性基于以下特点：n基于用户身份认证，不是基于终端，因此，同一基于用户身份认证，不是基于终端，因此，同一用户可在不同的用户可在不同的BSS和和AP建立安全关联；建立安全关联；n和和AP建立安全关联，并在建立安全关联时分配临建立安全关联，并在建立安全关联时分配临时密钥时密钥TK，TK只在安全关联存在期间有效；只在安全关联存在期间有效；n802.11X完成双向的、基于用户的身份认证，并分完成双向的、基于用户的身份认证，并分配临时密钥配临时密钥TK；n安全关联指在

27、正常建立的关联的基础上由安全关联指在正常建立的关联的基础上由802.11X完成双向的、基于用户的身份认证，并分配临时完成双向的、基于用户的身份认证，并分配临时密钥密钥TK的关联。的关联。n建立安全关联的第一步是建立正常关联，建立正常关联需要终端和建立安全关联的第一步是建立正常关联，建立正常关联需要终端和AP之间完之间完成信道、物理层协议及传输速率同步、终端认证和关联建立过程，由于需要用成信道、物理层协议及传输速率同步、终端认证和关联建立过程，由于需要用802.1X进行双向身份认证，因此，关联建立过程常使用开放系统认证方式；进行双向身份认证，因此，关联建立过程常使用开放系统认证方式；n如果安全机

28、制采用如果安全机制采用802.11i，在没有用，在没有用802.1X完成双向身份认证和临时密钥分完成双向身份认证和临时密钥分配前，关联是非授权关联，终端不能通过该关联向配前，关联是非授权关联，终端不能通过该关联向AP发送数据。发送数据。这种网络结构可以使用户接入相同这种网络结构可以使用户接入相同SSID的不同无线局域的不同无线局域网，而且通过用户名和口令对每一个用户进行身份认证，网，而且通过用户名和口令对每一个用户进行身份认证，不同用户和不同用户和AP分配不同的临时密钥分配不同的临时密钥TK，因此，因此，TK只是只是安全关联存在期间，特定终端和安全关联存在期间，特定终端和AP的共享密钥。的共享

29、密钥。双向双向CHAP网络结构网络结构challenge1MD5(标识标识符符challenge1PASSA）challenge2n一旦注册，认证服务器的认证数据库中有用户名和口令，同时，注册用户也被告一旦注册，认证服务器的认证数据库中有用户名和口令，同时，注册用户也被告知用户名和口令，因此，用户名和口令只有认证服务器和用户知道；知用户名和口令，因此，用户名和口令只有认证服务器和用户知道；nAP和认证服务器之间通信需要通过共享密钥和认证服务器之间通信需要通过共享密钥K认证发送端身份，因此，只有拥有认证发送端身份，因此，只有拥有和认证服务器之间共享密钥的和认证服务器之间共享密钥的AP才是授权才是

30、授权AP；n一旦证明某个用户拥有注册用户名和口令，该用户就是注册用户，同样，用户一一旦证明某个用户拥有注册用户名和口令，该用户就是注册用户，同样，用户一旦通过旦通过AP证明认证服务器知道用户名和口令，也证明证明认证服务器知道用户名和口令，也证明AP是授权是授权AP。MD5(标识标识符符challenge2PASSA）nTLS的功能一是约定安全参数，如加密算法、报文摘要算法、压缩的功能一是约定安全参数，如加密算法、报文摘要算法、压缩算法及主密钥等，二是认证双方身份；算法及主密钥等，二是认证双方身份；n认证双方身份的过程是首先用证书证明用户名和认证双方身份的过程是首先用证书证明用户名和SSID与公钥的绑定，与公钥的绑定，然后证明自己拥有公钥对应的私钥；然后证明自己拥有公钥对应的私钥；n由于由于AP和认证服务器之间通信时，用共享密钥认证对方身份，因此，和认证服务器之间通信时，用共享密钥认证对方身份，因此，一旦证实认证服务器的身份，也证实了一旦证实认证服务器的身份，也证实了AP的身份。的身份。TLS网络结构网络结构nEAP认证协议认证协议和和TLS认证机认证机制；制；n用户用户A和和AP之之间无线局域网间无线局域网连接；连接；nEAP的操作过的操作过程是不断重复程是不断重复请求和