安全协议-第7章-下

1、安全协议分析与设计安全协议分析与设计第二章（下）第二章（下）卫剑钒2PPP认证与认证与RADIUS nPPP（Point to Point Protocol）是IETF推出的点到点线路的数据链路层协协议。它替代了非标准的SLIP（Serial Line Internet Protocol），成为正式的Internet标准，标准可见RFC 1661、RFC 1662和RFC 1663。nPPP支持在各种物理类型的点到点串行线路上传输网络层协议数据，有丰富的可选特性，如支持多种压缩方式、支持动态地址协商、支持多链路捆绑、提供多种身份认证服务等。nPAP和CHAP是PPP最初规定的两种认证方法，但这

2、两种认证方法都不安全，故IETF把EAP作为一个可选项加入到了PPP的认证方法之中。nRADIUS是一种AAA（Authentication，Authorization，Accounting）协议，它采用客户端/服务器模型，提供了一种较为通用的框架，使得PAP、CHAP、EAP以及其他认证方法都可作为RADIUS所承载的上层认证机制。3RADIUS nRADIUS（Remote Authentication Dial In User Service）即远程用户拨号认证系统，它是一种在网络接入服务器（Network Access Server）和共享认证服务器间传输认证、授权和配置信息的协议。此

3、外，RADIUS 也负责传送网络接入服务器和共享计费服务器间的计费信息。 nRADIUS由RFC 2865、RFC 2866定义，是一种应用最广泛的AAA协议。协议最初的目的是为拨号用户进行认证和计费，后来经过多次改进，形成了一项通用的AAA协议，可用于电话拨号、ADSL拨号、小区宽带、IP电话等。IEEE提出的802.1x标准，是一种基于端口的访问控制标准，也将RADIUS协议作为首选的后台认证协议。4RADIUS的客户端和服务器的客户端和服务器nRADIUS是一种客户端/服务器结构的协议，在拨号系统中，RADIUS客户端是NAS（Net Access Server），RADIUS服务器是A

4、S（Authentication Server）。NAS同时又是一个服务器，NAS对应的客户端是拨号用户的终端。事实上，任何运行RADIUS软件的终端都可以是RADIUS客户端或服务器。 5RADIUS数据包数据包nNAS和AS通过UDP进行通信，AS的1812端口负责认证。采用UDP的基本考虑是因为NAS和AS大多在同一个局域网中，使用UDP更加快捷方便。6RADIUS数据包解释数据包解释n代码（CODE）域用来标识RADIUS包的类型，常用的关于认证的包类型有：接入请求（Access-Request），值为1；接入接受（Access-Accept），值为2；接入拒绝（Access-Reje

5、ct），值为3；接入质询（Access-Chanllenge），值为4。n标识符（ID）域用来辅助匹配请求和回复；n长度（Length）指明了整个包的长度（包括属性部分）。n认证码（Authenticator）域用来做完整性验证，对于Access-Request包，认证码里的内容是一个随机数RequestAuth，对于其他3种RADIUS服务器发送的Access包，其内容为一个MD5值，是对要发送包的内容（其中认证码域初始为RequestAuth）和一个秘密值Secret（在RADIUS客户端和服务器间共享）进行MD5杂凑而得：ResponseAuth = MD5( Code, ID, Len

6、gth, RequestAuth, Attributes, Secret)7RADIUS数据包中的属性域数据包中的属性域n属性（Attributes）部分用于传送详细的认证信息以及配置信息，一个包中可以有多个属性，每个属性都由3部分组成，分别是类型（type）、长度（length）及值（value）。n属性充分体现了RADIUS的可扩展性，不同的认证方法就是通过不同的属性值体现的，如PAP认证使用类型2，CHAP认证使用类型3，而后来加入的EAP认证使用类型79。8RADIUS认证过程认证过程n当客户登录网络时，NAS如果采用PAP认证，会要求客户输入用户名和口令，然后，NAS向AS服务器发送

7、Access-Request，提交用户信息，包括用户名和口令信息（经过MD5处理过的口令）。nAS对用户名和密码的合法性进行检验。如果采用其他认证方式（如CHAP），当NAS向AS发送完Access-Request后（只包含用户信息），AS返回一个Access-Challenge，并通过NAS中转，来进一步对客户进行认证（这个认证过程也可不由AS发起，而由NAS发起，以提高效率）。n如果认证通过，AS给NAS返回Access-Accept数据包，允许用户进行下一步的访问，否则返回Access-Reject数据包，拒绝用户访问。如果认证通过，NAS开始提出计费请求（Accounting- Req

8、uest），开始计费过程。9 PAP和和CHAP nPPP最初提供了两种可选的身份认证方法：口令验证协议（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。nPAP使用明文的用户名和密码完成认证，密码在NAS传送给AS时，实际上是做了MD5的加密处理，具体方法见RFC 2865，这里记作f (MD5, Secret, RequestAuth, password)。图7.26所示为PAP-RADIUS协议示意。nPAP中最不安全的地方在于Msg1，name和

9、password都是明文传输的，如果被窃听或者重放，都会给用户带来损失。但在PPP的威胁模型中，电信线路是被假设为足够安全的，这种情况下，明文传输密码并不影响安全性。10PAP-RADIUS协议协议nMsg1和Msg4属于PAP，Msg2和Msg3属于RADIUS协议。nC表示拨号用户，用户拨入后，NAS告诉用户它支持PAP认证，然后用户系统向NAS发送用户名name和口令password。nNAS向AS发送Access-Request消息，其中name和经过处理后的password是放在属性域里传送的（属性类型分别是1和2）。RequestAuth和ResponseAuth见上节的解释，为简

10、洁起见，并未在Msg2和Msg3中列出RADIUS包中所有的域（如ID,Length等）。 11CHAPnCHAP使用挑战-响应机制，认证者发起挑战（实现上就是发送一个随机数）对客户进行认证（在RADIUS结构中，认证者是AS）。nCHAP的主要两条消息是Challenge和Response，Challenge的值为认证者生成的一个随机数；Response的值是一个单向函数（如MD5）的输出，单向函数的输入为ID、secret和Challenge，其中secret是认证者和客户之间共享的秘密。12CHAP-RADIUS协议示意协议示意 13扩展认证协议扩展认证协议 n1998年，EAP协议（P

11、PP Extensible Authentication Protocol）加入了PPP的可选认证方法中，即RFC 2284，从本质上讲，EAP是提供了一种封装框架，在这个框架下，可以承载多种认证方法，添加新的认证方式时并不影响现有协议的使用，故被称为“可扩展的认证协议”。nEAP是一种简单封装协议，可以运行在任何链路层上，可承载多种高层认证方法，如TLS、IKE、GSS-API等。 14EAP数据包格式数据包格式 nEAP规定了4种可供传送的消息：Request、Response、Success和Failure消息。消息的识别体现在代码段，分别为1、2、3和4；标识符用来匹配消息的发送和应答

12、；长度域用来表示整个EAP消息中的所有字节个数；数据域中含有实际发送的Request和Response数据（Success和Failure消息没有数据）。n数据域又分为两个部分：类型（type）和类型数据（type data），type域表明了认证方法，type data域则包含了具体的认证数据。15EAP的数据域的数据域nEAP的扩展性就体现在数据域，如RFC 2284中定义了如下6种类型。（1）Identity。（2）Notification。（3）Nak（仅用于（仅用于Response消息）。消息）。（4）MD5-Challenge。（5）One-Time Password（OTP）（）

13、（RFC 1938）。）。（6）Generic Token Card。n类型（1）是一种非常简单的认证方法，通过两条消息就可以完成认证，客户发送一个Identity消息，认证者如果认可，就回一个Success消息，如Identity数据可以由智能卡实时生成，并和认证服务器保持同步。类型（2）用来传递一些需要在用户设备上显示的信息，如“请输入密码”等。类型3用来拒绝所不支持的认证算法。nRFC中只列出了6种类型，但新的认证方法可以加入，这需要IANA（Internet Assigned Numbers Authority，Internet号码分配机构）分配一个新的类型号，如TLS认证的类型号为1

14、3（PPP-EAP-TLS认证协议由RFC 2716定义），LEAP认证的类型号为17。16无线局域网的认证与密钥管理无线局域网的认证与密钥管理 n无线局域网（Wireless Local Area Network，WLAN）主要由计算机终端（STA）、无线网卡、无线接入点（AP）组成，其安全性主要体现在访问控制和保密性上，由于802.11的1999年标准中，WEP设计上存在很多安全问题，IEEE 802.11工作组成立了任务组TGi，TGi负责制定IEEE802.11i标准，以增强改善无线局域网的安全性。nIEEE802.11是IEEE制定的无线局域网媒体访问控制层（MAC）和物理层（PHY

15、）规范，在其1999年标准中，作为MAC协议部分的安全技术，有线等效保密（Wired Equivalent Privacy，WEP）协议被设计用来防止非法用户窃听或侵入无线网络。17WEP的加密过程的加密过程 18WEP的加密过程的加密过程nIV是初始向量，长度为24位，对每个数据包加密时，IV都变化一次，并且IV本身作为输出的一部分传递给接收方。nSK为密钥，最初标准中规定长度为40位，但在很多实现中都扩展到了104位。n|表示连接符，IV和SK连接后，输入RC4序列加密算法中，产生伪随机序列PRKS；n对明文M采用CRC算法，计算出消息认证码ICV，长度为32位，将ICV附在M之后，然后将

16、其与PRKS进行模二加运算，获得密文数据C。19WEP的的SKn密钥SK有两种。一种是AP和所有用户共享的对称密钥，被称为默认密钥（Default keys），WEP允许有4个默认密钥，并用密文中相应的位KeyID来表示；n与默认密钥相对应的是映射密钥（Key mapping key），每个STA和AP之间都有不同的映射密钥。AP每收到一帧或者要发送一帧时，会在密钥表里查找STA对应的映射密钥（通过STA的MAC地址做索引），如果没有找到，就使用默认密钥。由于在管理上的困难，映射密钥并没有得到广泛的应用。 20WEP加密的主要问题加密的主要问题 （1）WEP本身没有防重放的能力，攻击者可能会重

17、放以前捕获的帧，来完成一个会话，达到特定的目的。（2）使用CRC作为认证码并不能起到很好的防篡改能力，因为CRC是一个线性的计算，如果改变明文中的某个位，就可以计算出其CRC会在哪些位发生改变（0变为1或者1变为0），并且，由于加密过程是一个异或运算，攻击者也只需反转密文相应的位就可以完成篡改而不被发觉。（3）初始向量IV的作用是确保两个相同的明文不会产生相同的密文，理想情况下，要求对每个数据帧，IV都不相同。但IV在WEP的设计中，长度为24位，并且IV通常是通过计数器实现的，那么在传输224个帧以后，IV就会重复（在网络较为繁忙的情况下，每过几个小时就会重复一次）。21802.11的两种认

18、证的两种认证 n802.11提供两种认证，一种是开放认证，另一种是WEP认证。n开放认证事实上相当于没有认证 ，如果AP处于开放模式，它就总会接受认证请求，返回认证成功的消息。nWEP认证则基于挑战-响应机制：22协议特点协议特点n如果AP处于WEP认证模式，收到认证请求后，会返回一个挑战N，STA对其进行序列加密后返回响应，使用的是双方共享的密钥SK，AP验证其响应无误后，则通过认证。n这是一个单向认证，故而不能够防止假冒的AP。n如果攻击者将截获的Msg2和Msg3中的数值进行异或，可得N N RC4(SK) = RC4(SK)，这相当于直接得到了序列密码，然后用此序列密码完成对自身的认证

19、。23802.11in为了使WLAN技术从WEP这种被动局面中解脱出来，IEEE 802.11的TGi任务组致力于制定被称为IEEE 802.11i的安全标准，该标准为了增强WLAN的数据加密和认证性能，定义了健壮安全网络（Robust Security Network，RSN）的概念，并针对WEP加密机制的各种缺陷做了多方面的改进。n在数据加密方面，RSN定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol

20、）密码协议。前者是基于WEP的，后两者是基于AES算法不同模式的，分别为AES-CCM（AES-Counter with CBC-MAC）模式和AES-OCB（AES-Offset CodeBook）模式。24802.1xnIEEE 802.11i选择了802.1x作为接入控制协议，802.1x是基于端口的访问控制协议（Port Based Network Access Control Protocol），是IEEE于2001年6月提出的，主要目的是解决无线局域网用户的接入认证问题，它可以限制未经授权的设备或用户通过接入端口访问LAN/WLAN。n802.1x对连接到交换机端口或AP上的设备或

21、用户进行认证。在认证通过之前，802.1x只允许基于局域网传输的EAP协议（EAP over LAN，EAPoL）或基于无线局域网传输的EAP协议（EAP over Wireless，EAPoW）数据通过端口；n认证通过以后，正常的数据可以顺利地通过端口。也即802.1x通过EAP协议完成认证，而EAP本身可以使用多种认证方法，如EAP-MD5、EAP-OTP、EAP-TLS等。25Wifi和和WPAnWi-Fi是一个联盟，它的产生动机是为了提高各厂商产品之间的互操作性。为获得Wi-Fi认证，制造商必须提交产品接受Wi-Fi的测试。n在一个RSN网络内，仅允许具备RSN性能的移动终端接入，而大

22、多数现存Wi-Fi设备的硬件不支持RSN所要求的加密操作，消费者也不愿意为转入RSN网络而放弃已有的Wi-Fi设备。n出于这种状况，Wi-Fi联盟采取了一个新的方案WPA（Wi-Fi Protected Access）作为临时性的解决方案，该方案拥有RSN性能的一个子集，主要区别是WPA不支持AES算法，只支持TKIP加密算法。这种方案使得仅通过软件升级，就可以将现有的Wi-Fi设备升级为具有WPA性能的设备。26TKIPnTKIP保留了WEP的硬件模块，但在软件上做了很多改动，以试图改掉WEP的缺陷。WEP中IV长度太短，只有24位，在TKIP中，IV被扩展到了48位，并被称为TSC（TKI

23、P Sequence Counter），TSC还被用来防止重放；nWEP使用CRC校验码作为认证码，该计算过程在TKIP中仍然被保留，但不再作为校验码。TKIP使用Michael算法作为完整性校验算法，该算法在较小的运算量下，提供较好的数据完整性保护，故而被TGi工作组采纳为TKIP的MIC（Message Integrity Code）算法。Michael 算法使用MICKey，将明文作为输入，产生 64 位的MIC值，然后将其附在明文后送往WEP硬件模块加密。27WPA的密钥管理的密钥管理 nWPA系统在工作时，AP会向外公布自身对WPA的支持，STA根据收到的信息选择相应的安全配置。n与

24、AP建立关联之后，如果网络中有RADIUS服务器作为认证服务器AS，STA就使用802.1x方式进行认证；如果网络中没有RADIUS，STA与AP则会采用预共享密钥（Pre-Shared Key，PSK）方式进行密钥管理。n如果需要通过802.1x方式进行认证，申请者STA和认证服务器AS通常会使用EAP over RADIUS协议，EAP可以封装多种上层认证方法，在认证完成后，上层认证产生的密钥材料可以生成STA和AS之间共享的主密钥（PMK）。如果使用PSK，则直接使用PSK作为PMK。28WPA的密钥管理的密钥管理n802.1x认证完成后，端口就会被打开以允许业务数据流动。在端口打开前，

25、还需要做的工作是产生加密和完整性保护所需要的密钥，这需要通过握手协议（见文献IEEE802.11i04）来完成。握手协议一方面验证STA和AP是否拥有一致的PMK，另一方面用来生成临时密钥PTK和组临时密钥GTK。n握手协议分为两个：一个是4次握手协议，由4条消息组成的，目的是生成PTK；另一个是由两条消息组成的，目的是生成GTK。握手消息均使用EAPoL-key消息来传送，该消息是一种类型的EAPoL消息，主要用于传送密钥信息。29GSM安全措施安全措施 nGSM（Global System for Mobile Communications）即全球移动通信系统，也即第二代移动通信系统。nG

26、SM采取了一些安全措施，如鉴权、加密和临时身份标识TMSI的使用。n鉴权用来防止未授权的用户接入，保证用户的身份不被假冒；加密指的是空中接口传输加密，防止信息被窃听； TMSI主要用于在空中接口上替代用户永久身份，防止用户在无线信道上被跟踪。 30GSM简介简介nGSM系统的主要组成部分可分为移动台（MS）、基站系统（BSS）和网络交换系统（NSS）。 nMS是指手机或车载台等移动通信终端；nBSS为MS提供无线连接，由基站收发台（BTS）和基站控制器（BSC）组成；nNSS主要由移动业务交换中心（MSC）、操作维护中心（OMC）以及一些寄存器（Register，可理解为登记中心）组成，以完成

27、电话交换及提供GSM系统与公共交换电话网络（Public Switched Telephone Network，PSTN）的连接等功能。31GSM系统结构简图系统结构简图 32MSnMS（Mobile Station）包括两部分：移动设备ME和SIM卡。n每个移动设备都有一个唯一的对应于它的永久性识别号，即国际移动设备识别号（International Mobile Equipment Identity，IMEI）。nSIM卡是一张插到移动设备中的智能卡，用来识别移动用户的身份，SIM卡中包含的信息有：国际移动用户身份识别号（International Mobile Subscriber Id

28、entity，IMSI）、临时移动用户身份识别号（Temporary Mobile Subscriber Identity，TMSI）、用户身份认证密钥（Subscriber Authentication Key，Ki）以及用于认证和加密的算法等信息。nIMSI用来识别移动用户，仅在初始化时才在空中发送；TMSI用来临时性地识别移动用户，该号码会在一定条件下改变，防止有人从空中链路跟踪用户。33BSS/NSSnBSS（Base Station Subsystem）是指系统中的基站设备，包括射频设备和控制设备，用来提供MS与MSC之间的连接。 nNSS（Network Switching Sub

29、system）完成GSM网络主要的交换功能和用户数据管理、移动性管理、安全性管理所需的数据库功能。 nNSS主要由移动业务交换中心（MSC）、归属位置寄存器（HLR）、访问位置寄存器（VLR）、设备识别寄存器（EIR）和鉴权中心（AuC）构成。 34MSC/HLRnMSC（Mobile Service Switching Center）的主要作用是呼叫处理、数据库管理、网络互通（如GSM网与PSTN的互通）、计费管理等。GSM网中通常有多个MSC，每个MSC给一定地理范围内的移动用户提供服务，一般一个中等规模城市需要一个MSC。nHLR（Home Location Register）用来存储移

30、动用户数据，包括各种识别号、当前用户所在位置、访问能力、用户类别、补充业务等信息，一个移动用户只在一个HLR中存有数据。HLR中的用户数据通过IMSI来查询。35VLR/EIR/AuCnVLR（Visitor Location Register）有多个，每个MSC 都有一个VLR。VLR中存储着进入其控制区域内已登记的移动用户的相关信息，它从移动用户的归属用户位置寄存（HLR）处获取并存储必要的数据，为移动用户建立呼叫接续。移动用户离开该VLR的控制区域进入另一个区域时，则会在另一个VLR 登记。VLR还负责分配TMSI，并将新分配的TMSI告知HLR。nEIR（Equipment Ident

31、ity Register）是一个用来存储IMEI的数据库。EIR主要完成对移动设备的识别、监视、闭锁等功能，以防止MS的非法使用。nAuC（Authentication Center）主要完成认证（或称鉴权）功能，因为AuC需要经常性地访问HLR中的移动用户数据，AuC一般与HLR做在一起。HLR/AuC可能与MSC在一起，也可能不在一起。36GSM用户认证及密钥建立用户认证及密钥建立 n像AuC和HLR一样，MSC通常总是和VLR做在一起，为清晰起见，在认证过程中，我们只考虑GSM的3个主要实体，即MS、VLR和AuC，并且只使用IMSI作为用户标识。n当MS接入网络时或者进入一个新的VLR

32、区域时，VLR首先确定该MS的归属AuC，然后向其请求认证3元组：RAND、SRES和Kc。uRAND是一个是一个AuC产生的随机数；产生的随机数；uSRES是对是对RAND的加密，即的加密，即RANDKi，密钥为，密钥为AuC和和MS共享的共享的Ki，加密算法使用的是，加密算法使用的是A3算法，对于算法，对于MS，Ki及及A3算法都存储在算法都存储在SIM卡中，对于卡中，对于AuC，Ki存放在存放在HLR中，以中，以IMSI为索引；为索引；uKc是将是将RAND和和Ki输入输入A8算法后所得的结果，用来在认证完成后，算法后所得的结果，用来在认证完成后，加密空中接口上的数据。加密空中接口上的数

33、据。 37GSM认证过程示意认证过程示意 VLR得到认证3元组后，将RAND发给MS，MS计算并返回RANDKi，VLR将这个值与SRES相比较，如果一致，则认为认证通过，否则认证失败，终止通信。 如果认证通过，VLR将Kc传递给BTS，MS则用A8算法生成会话密钥Kc，即Kc=A8(Ki, RAND)。 38协议特点协议特点nGSM系统的主要问题有以下几点。n（1）协议是一个单向身份认证协议，用户无法认证服务方，会出现假基站冒充现象而无法被用户察觉。n（2）协议中使用的算法都是不公开的，这使得算法的安全性难以得到评价。n（3）数据只有加密保护，没有完整性保护机制。n（4）加密过程只存在于空中

34、接口部分，用户信息在地面网络中是明文传输的。n（5）GSM认证是简单的单向认证，这使得攻击者可以向SIM卡发送大量的RAND值，并分析SIM卡返回RANDKi，以分析求解Ki。393G基础知识基础知识 nWCDMA和cdma2000是两种主要的第三代移动通信空中接口标准，其标准的制定分别由国际标准化组织3GPP和3GPP2负责。nWCDMA是一种使用码分多址复用（CDMA）技术的宽带移动通信空中接口，其中的W 代表宽带，有别于源于北美的窄带CDMA标准（带宽为1.25MHz）。WCDMA使用的部分协议与GSM标准一致，是UMTS的首选空中接口标准，并为欧洲、亚洲和美洲的3G运营商所广泛选用。n

35、UMTS（Universal Mobile Telecommunications System）即通用移动通信系统，它是一个完整的3G移动通信技术标准，是3GPP制定的全球3G标准之一，UMTS有时也叫3GSM，表明它是结合了3G特性的对GSM标准的继承和发展。403G基础知识基础知识ncdma2000是另一种第三代移动通信空中接口标准，是第二代CDMA技术标准（IS-95窄带CDMA标准）的演进，IS-2000是采用cdma2000技术的正式标准的总称。cdma2000与WCDMA互不兼容。ncdma2000有多个不同的类型。cdma2000 1x是指cdma2000的第一阶段，cdma20

36、00 1xEV是在cdma2000 1x基础上进一步提高速率的增强体制，能在和cdma2000 1x相同的带宽内提供2Mbit/s以上的数据业务，它分两个阶段：cdma2000 1xEV-DO（Data Only）和cdma2000 1xEV-DV（Date and Voice），前者采用与语音相分离的信道传输数据，后者则是将数据信道与语音信道合一。41WCDMA接入安全接入安全 nWCDMA基本上沿用了GSM系统的认证结构，但为了实现更高级别的安全特性，WCDMA系统做了一些改进，主要是把原先的单向认证改为双向认证，增加了手机对网络的认证；增加了对信令信息的完整性保护；加密防护延伸到地面网络

37、，不像GSM系统在地面网络传输时是明文的。n类似GSM系统中的认证3元组，WCDMA系统的AuC为用户产生认证5元组（AUTN，RAND，CK，IK，XRES），CK用于语音和数据的加密，类似于GSM中的Kc；IK用于信令数据的完整性保护；RAND是AuC产生的随机数；XRES和AUTN则用于双向认证。42五元组生成方法五元组生成方法n这5个向量由RAND、SQN、AMF及K生成，SQN是AuC产生的序列号，起防重放的作用；AMF是认证管理域，存放一些与认证相关的信息；K是AuC和MS共享的密钥，类似于GSM中的Ki。n向量的生成算法有f1、f2、f3、f4和f5，f1和f2为消息认证算法，f3、f4和f5为密钥生成算法。MAC = f1( K, SQN, RAND, AMF )XRES = f2（K，RAND）CK = f3（K，RAND）IK = f4（K，RAND）AK = f5（K，RAND）A