无线网络安全第2章资料

1、无线网络安全（第二章）共四十七页2第二章 无线局域网安全(nqun) 共四十七页3中国(zhn u)密码学会组编目录(ml)WLAN安全威胁WLAN网络结构WLAN安全威胁 WLAN的安全机制 WEP加密机制WEP认证机制IEEE 802.1X认证机制IEEE 802.11i接入协议IEEE 802.11i TKIP和CCMP协议WAPI协议SMS4密码算法 共四十七页4WLAN安全(nqun)威胁 WLAN网络结构 基础结构无线局域网基础结构模式的无线局域网中，所有STA与AP通信(tng xn)，AP往往还充当网桥的作用，将数据转发到相应的有线或无线网络中，即STA通过AP实现与STA间的

2、通信，或STA通过AP实现STA与有线网络的通信。 一个AP和多个STA组成的通信区域称为一个基本服务集（BSS）。多个BSS相互连接并能够相互通信的架构称为分布系统，这种扩展的BSS称为扩展服务集。自组织无线局域网自组织无线局域网络，也称Ad Hoc无线局域网，其拓扑结构为IBSS，适用于不存在有线网络的少量主机组建临时性网络。在这种架构中，主机彼此之间直接通信，实际的应用包括野外作业时的资源共享、举办临时流动会议、抢险救灾临时网络等。共四十七页5WLAN安全(nqun)威胁 WLAN安全威胁 非授权访问入侵者访问未授权的资源或使用未授权的服务。入侵者可查看、删除或修改未授权访问的机密信息，

3、造成信息泄漏、完整性破坏，以及非法访问和使用资源。窃听入侵者能够通过通信信道来获取信息。AP的无线电波难以精确地控制在某个范围之内，所以在AP覆盖区域内的几乎任何一个STA都能够窃听这些数据。伪装入侵者能够伪装成其他STA或授权用户(yngh)，对机密信息进行访问；或者伪装成AP，接收合法用户的信息。共四十七页6WLAN安全(nqun)威胁 WLAN安全威胁 篡改信息当非授权用户访问系统资源时，会篡改信息，从而(cng r)破坏信息的完整性。否认接受信息或服务的一方事后否认曾经发送过请求或接收过该信息或服务。这种安全威胁通常来自系统内的合法用户，而不是来自未知的攻击者。重放、重路由、错误路由、

4、删除消息重放攻击是攻击者复制有效的消息事后重新发送或重用这些消息以访问某种资源；重路由攻击是指攻击者改变消息路由以便捕获有关信息；错误路由攻击能够将消息路由到错误的目的地；而删除消息是攻击者在消息到达目的地前将消息删除掉，使得接收者无法收到消息。网络泛洪入侵者发送大量伪造的或无关消息从而使得AP忙于处理这些消息而耗尽信道资源和系统资源，进而无法对合法用户提供服务。 共四十七页7WLAN的安全(nqun)机制WEP加密机制 WEP提供3个方面的安全保护：数据机密性、数据完整性、以及访问控制。其中使用了RC4序列密码算法，用密钥作为种子通过RC4算法产生伪随机密钥序列，然后和明文(mngwn)数据

5、异或后得到密文序列。WEP协议加密流程如图2.1所示。共四十七页8图2.1 WEP的加密和解密(ji m)框图共四十七页9WLAN的安全(nqun)机制WEP加密机制 WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明，WEP机制存在较大安全漏洞。WEP加密是AP的可选功能，在大多数的实际产品中默认为关闭，因此(ync)用户数据还是暴露在攻击者面前。 WEP对RC4的使用方式不正确，易受IV弱点攻击，从而秘密密钥被破解。 RC4存在弱密钥，建议抛弃RC4输出的前256位。802.11协议没有规定WEP中秘密密钥应如何产生和分发。 有2种方法产生密钥:一是直接由用户写入40bi

6、t的SK；二是用户输入一个密钥词组，再通过一个密钥生成器产生SK；第二种方法比较常用，缺点为：生成器设计存在缺陷，导致密钥位数过少，易受到字典攻击；SK被同一个BSS中的所有用户共享，易泄露。共四十七页10WLAN的安全(nqun)机制WEP加密机制 WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明，WEP机制存在较大安全漏洞。初始向量(xingling)空间太小： 序列加密中要求伪随机密钥序列不能重复出现。如果使用相同的IV|SK加密2个不同的明文信息P1和P2，得到2个不同的密文C1和C2。攻击如下： C1 C2=P1 RC4（ IV|SK ） P2 RC4（ IV|S

7、K ） = P1 P2协议中IV每次传输一次变化一次，以获得不同的伪随机密钥序列PRKS。但IV只有24bit（大约17 106种不同的值）。一个WLAN设备每秒传送大约500个完整帧，只要几小时整个IV空间就会用完；另外，同一WLAN中多个设备在不同的IV下使用相同的密钥，使得IV空间消耗得更快。共四十七页11WLAN的安全(nqun)机制WEP加密机制 WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明，WEP机制存在较大安全漏洞。WEP中的CRC32算法原本用于检查通信中的随机(su j)误码，不具有抗恶意攻击所需要的消息鉴别功能。 （1）CRC32算法是一个线性函数，

8、可以修改密文而不被发现； CRC关于XOR运算是线性的，也就是存在 CRC（x y）= CRC（x ） = CRC（y ） （2）不需要密钥，可自行计算得到消息认证码ICV。共四十七页12WLAN的安全(nqun)机制WEP加密机制 WEP协议希望能提供给用户与有线网络相等价的安全性。然而研究分析表明，WEP机制存在较大安全漏洞。WEP中的CRC32算法原本用于检查通信中的随机误码，不具有抗恶意攻击(gngj)所需要的消息鉴别功能。 （3）不知道密钥PRKS，攻击者能修改或伪造消息：设明文M加密后的密文为CM=(M|CRC(M) PRKS；攻击者窃听得到CM，选取消息的变化M，计算得到伪造的密

9、文CM M=(M M) |CRC(M M) PRKS因为：（(M|CRC(M) PRKS） （ M |CRC(M)）=（(M M)|(CRC(M) CRC( M)） PRKS= （(M M)|(CRC(M M)） PRKS共四十七页13WLAN的安全(nqun)机制WEP认证机制 开放系统认证开放系统认证方式实际上没有认证，仅验证标识，是一种最简单的情况，也是默认(mrn)方式，其认证过程如图所示。802.11 WEP开放系统认证共四十七页14WLAN的安全(nqun)机制WEP认证机制 共享密钥认证 共享密钥认证方式基于密码学安全协议中基本的 “挑战应答”模式，其基础是基于对称密码学的两方单

10、向认证协议，假定AP和STA间通过一个独立于802.11的安全通道具有一个共享秘密。认证过程如下：（1）STA发送认证帧。（2）AP收到后，返回一个认证帧，其帧体包括：认证算法标识=“共享密钥”、认证处理(chl)序列号=2、认证状态码=“成功”、认证算法依赖信息=“挑战文本”，如果认证状态码是其他状态，则表明认证失败，而挑战文本也将不会发送，整个认证过程就此结束。（3）如果第（2）步中的状态码=“成功”，则STA将从该帧中获得挑战文本并用共享密钥将其加密，然后发送一个认证帧。其帧体包括：认证算法标识=“共享密钥”、认证处理序列号=3、认证算法依赖信息=“加密的挑战文本”。 （4）AP在接收到

11、第三个帧后，使用共享密钥对加密的挑战文本解密，若和自己发送的相同，则对STA的认证成功，否则认证失败。同时AP发送一个认证帧，其帧体包括：认证算法标识=“共享密钥”、认证处理序列号=4、认证状态码=“成功/失败”。共四十七页15802.11 WEP共享密钥认证(rnzhng)共四十七页16WLAN的安全(nqun)机制WEP认证机制 共享密钥认证 WEP认证机制存在问题 ：身份认证是单向的，即AP对申请接入的STA进行身份认证，而STA不能对AP的身份进行认证。因此，这种单向认证方式导致有可能存在假冒的AP。从WEP协议身份认证过程可以发现，由于AP会以明文的形式把挑战(tio zhn)文本发

12、给STA，所以如果能够监听一个成功的STA与AP之间身份验证的全过程，截获它们之间双方互相发送的数据包，就可以计算出用于加密挑战文本的密钥序列。拥有了该密钥序列，攻击者可以向AP提出访问请求，并利用该密钥序列加密挑战文本通过认证。共四十七页17WLAN的安全(nqun)机制IEEE 802.1X认证机制 IEEE 802.1X认证的体系结构 IEEE 802.1X协议起初是针对以太网提出的基于端口进行网络(wnglu)访问控制的安全标准。基于端口的网络访问控制指的是利用物理层特性对连接到局域网端口的设备进行身份认证。如果认证成功，则允许该设备访问局域网资源，否则禁止。虽然802.1X标准最初是

13、为局域网设计的，后来发现它也适用于符合802.11标准的WLAN，于是被视为是无线局域网增强网络安全的一种解决方案。802.1X认证的体系结构如下图所示。共四十七页18802.1X认证(rnzhng)体系结构共四十七页19中国(zhn u)密码学会组编WLAN的安全(nqun)机制IEEE 802.1X认证机制 IEEE 802.1X认证的体系结构 IEEE 802.1X认证的体系结构包括3个实体 请求者系统：一般为一个用户终端系统，安装有一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1X协议的认证过程。 认证者系统：在无线局域网中就是无线接入点AP，是支持IEEE 802.

14、1X协议的网络设备。认证服务器系统：为认证者提供认证服务的实体，多采用远程身份验证拨入用户服务。共四十七页20中国密码(m m)学会组编WLAN的安全(nqun)机制IEEE 802.1X认证机制 IEEE 802.1X协议的认证过程 IEEE 802.1X协议实际上一个可扩展的认证框架，并没有规定具体的认证协议，具体采用什么认证协议可由用户自行配置，因此具有较好的灵活性。IEEE 802.1X认证过程如下图所示。共四十七页21中国(zhn u)密码学会组编IEEE 802.1X认证(rnzhng)过程共四十七页22中国(zhn u)密码学会组编WLAN的安全(nqun)机制IEEE 802.

15、1X认证机制 IEEE 802.1X协议的认证过程 （1）请求者向认证者发送EAP-Start帧，启动认证流程。（2）认证者发出请求，要求请求者提供相关身份信息。（3）请求者回应认证者的请求，将自己的相关身份信息发送给认证者。（4）认证者将请求者的身份信息封装至Radius-Access-Request帧中，发送至AS。（5）RADIUS服务器验证请求者身份的合法性，在此期间可能需要多次通过认证者与请求者进行信息交互。（6）RADIUS服务器告知认证者认证结果。（7）认证者向请求者发送认证结果，如果认证通过，那么认证者将为请求者打开一个受控端口，允许请求者访问认证者所提供的服务，反之，则拒绝请

16、求者的访问。共四十七页23中国(zhn u)密码学会组编WLAN的安全(nqun)机制IEEE 802.1X认证机制 IEEE 802.1X认证的特点 IEEE 802.1X协议具有以下优点：协议实现简单。业务灵活。安全可靠。具体表现在如下几个方面： 用户身份识别取决于用户名或口令，而不是MAC地址，从而可实现基于用户的认证、授权和计费。 支持可扩展的认证、非口令认证，如公钥证书和智能卡、互联网密钥交换协议、生物测定学、信用卡等，同时也支持口令认证，如一次性口令认证、通用安全服务应用编程接口方法。协议的后续版本支持双向认证，可有效防止了中间人攻击和假冒接入点AP，还可防范地址欺骗攻击、目标识别

17、和拒绝服务攻击等，并支持针对每个数据包的认证。并可以在不改变网络接口卡的情况下，插入新的认证方法。共四十七页24中国密码(m m)学会组编WLAN的安全(nqun)机制IEEE 802.11i接入协议 接入流程 具体流程如下：发现阶段。STA启动后，通过被动侦听AP发送的信标帧，或主动发出探寻请求来检测周围是否有可以接入的AP并获取相关安全参数。若检测到多个可选的AP，就选其中一个，与该AP进行认证和关联。该阶段的认证方式包括两种，开放认证和共享密钥认证，共享密钥认证为可选认证方法。该阶段的认证不可靠，需要在后续过程中强化。认证阶段。IEEE 802.11i协议引入IEEE 802.1X协议进

18、行认证，目的是在发现阶段构建的关联和不可靠认证的基础上，利用IEEE 802.1X协议强化身份认证，确保对网络资源的访问是合法的。同时在该阶段，在STA和AS间生成成对主密钥，PMK为IEEE 802.11i协议密钥建立体系的基础，PMK从AS安全传递至AP。密钥协商阶段。密钥协商阶段包括进行单播密钥协商的4步握手协议和进行组播密钥握手协议。该阶段的目的是，在生成PMK的基础上，导出单播密钥和组播密钥保护后续数据的安全传输。共四十七页25中国密码(m m)学会组编IEEE 802.11i接入流程(lichng)（接入认证、密钥传递、密钥协商）共四十七页26中国(zhn u)密码学会组编WLAN

19、的安全(nqun)机制IEEE 802.11i接入协议 密钥协商协议与密钥管理 STA和AP交换各自随机数使用的协议称为4路握手协议。此协议向对方证明自己拥有PMK，并生成PTK。4路握手协议的描述如下：AP发送其随机数ANonce给STA。当STA收到ANonce后，可计算出PTK。STA发送其随机数SNonce给AP。此消息携带一个消息完整码MIC，由STA使用刚刚计算的PTK中的密钥完整性密钥计算而来。接收该随机数后，AP可计算出PTK。因此，AP可利用计算出的PTK中的密钥完整性密钥验证MIC。如果认证成功，则AP相信STA拥有PMK。AP发送一个包含MIC的消息给STA。MIC由PT

20、K的密钥完整性密钥计算得来。如果STA验证MIC通过，则其相信AP也拥有PMK。该消息包含序列号以检测重放攻击。此消息告知STA，AP已经准备好加密所有数据包的密钥。STA确认接收到第三个消息。该确认也意味着STA准备好加密所有数据包。共四十七页27中国(zhn u)密码学会组编WLAN的安全(nqun)机制IEEE 802.11i TKIP和CCMP协议 TKIP加密机制 TKIP与WEP一样都是基于RC4加密算法，但是为了增强安全性，初始化向量IV的长度由24位增加到48位，并称之为TSC，同时对WEP协议进行了改进，新引入了4种机制来提升安全性：防止出现弱密钥的单包密钥生成算法。使用Mi

21、chael算法防止数据遭非法篡改的消息完整性校验码。防止重放攻击的具有48位序列号功能的IV。可生成新鲜的加密和完整性密钥，防止IV重用的再密钥机制。共四十七页28中国密码(m m)学会组编WLAN的安全(nqun)机制IEEE 802.11i TKIP和CCMP协议 TKIP加密机制 TKIP的加密过程包括以下几个步骤：MAC协议数据单元的生成：首先发送方根据源地址、目的地址、优先级和MAC服务数据单元，利用MIC密钥通过Michael算法计算出消息完整性校验码，并将MIC添加到MSDU后面，一起作为WEP算法的加密对象，如果MSDU加上MIC的长度超出MAC帧的最大长度，可以对MPDU进行

22、分片。WEP种子的生成：TKIP将临时密钥、发方地址及TKIP序列计数器经过两级密钥混合函数后，得到用于WEP加密的WEP种子。对于每个MPDU，TKIP都将计算出相应的WEP种子。WEP封装：TKIP计算得出的WEP种子分解成WEP IV和RC4密钥的形式，然后把它和对应的MPDU一起送入WEP封装器进行加密，得到密文MPDU并按规定格式封装后发送。共四十七页29中国(zhn u)密码学会组编 TKIP加密(ji m)过程共四十七页30中国(zhn u)密码学会组编WLAN的安全(nqun)机制IEEE 802.11i TKIP和CCMP协议 CCMP加密机制 CCMP是基于AES的CCM模

23、式，完全取代了原有WEP加密，能够解决WEP加密中的不足，可以为WLAN提供更好的加密、认证、完整性和抗重放攻击的能力，是IEEE 802.11i中强制要求实现的加密方式，同时也是IEEE针对WLAN安全的长远解决方案。CCMP加密过程如下图所示。 为保证每个MPDU都具有新鲜的包号码，增加PN值，使得每个MPDU对应一个新的PN，这样即使对于同样的临时密钥，也不会出现相同的PN。用MPDU帧头的各字段为CCM生成附加鉴别数据，CCM为AAD的字段提供完整性保护。用PN、A2和MPDU的优先级字段计算出CCM的使用一次的随机数。其中A2表示地址2，优先级字段作为保留值设为0。用PN和Key I

24、d构建8字节的CCMP头。由TK、AAD、Nonce和MPDU数据生成密文，并计算MIC值。最终的消息由MAC头、CCMP头、加密数据以及MIC连接而成。共四十七页31中国密码(m m)学会组编 CCMP加密(ji m)过程共四十七页32中国密码(m m)学会组编WLAN的安全(nqun)机制IEEE 802.11i TKIP和CCMP协议 WEP、TKIP和AES-CCMP的比较 TKIP修复WEP中的缺陷包括如下：完整性：TKIP引进了一种新的完整性保护机制，使用Michael算法。Michael运行在服务数据单元层，可在设备驱动程序中实现。检测重放攻击：TKIP使用新IV机制作为序列号。

25、TSC初始化后，每发送一个消息后自增。接收者记录最近接收消息的TSC。如果最新接收消息的TSC值小于存储的最小TSC值，则接收者扔掉此消息；如果TSC大于存储的最大TSC值，则保留此消息，并且更新其存储的TSC值，如果刚收到消息的TSC值介于最大值和最小值之间，则接收者检查TSC是否已经存储；如果有记录，则扔掉此消息；否则，保留此消息，并且存储新的TSC。保密性：WEP加密的主要问题为IV空间太小，并且没有考虑RC4中存在的弱密钥。为了克服第一个问题，在TKIP中，IV从24位增加至48位。由于WEP硬件仍然期望一个128位的WEP种子。因此48位IV与128位TK混合完后出必须用某种方式压缩

26、为128位。对弱密钥问题，在TKIP中单包加密密钥都不相同。因此，攻击者不能观察到具有使用相同密钥的足够数量的消息。共四十七页33中国密码(m m)学会组编WLAN的安全(nqun)机制IEEE 802.11i TKIP和CCMP协议 WEP、TKIP和AES-CCMP的比较 TKIP的新IV机制及单包加密密钥的生成如下图所示。48位IV分为高32位和低16位。IV的高32位与128位临时密钥和STA的MAC地址相混合然后，将此计算结果与IV的低16位相混合，得到104位RC4密钥。TKIP的WEP种子由RC4密钥、IV的低16位及一个虚假填充字节d拼接而来。共四十七页34中国(zhn u)密

27、码学会组编TKIP中生成(shn chn)WEP种子（WEP IV+RC4密钥）共四十七页35中国密码(m m)学会组编WLAN的安全(nqun)机制WAPI协议 WAPI是我国首个在无线网络通信领域自主创新并拥有知识产权的安全接入技术标准，是我国首个无线通信网络安全领域的国际标准。在WAPI中，一个重要的部分就是认证基础结构，用来实现用户的身份认证。WAI认证结构其实类似于IEEE 802.1X结构，也是基于端口的认证模型。整个系统由移动终端、接入点和认证服务单元组成，其中ASU是可信第三方，用于管理消息交换中所需要的数字证书。AP提供STA连接到ASU的端口，确保只有通过认证的STA才能使

28、用AP提供的数据端口访问网络。当STA关联AP时，AP和STA之间必须进行双向认证。只有认证成功后，AP才允许STA接入，同时STA也才允许通过该AP收发数据。整个认证过程由证书鉴别、单播密钥协商和组播密钥通告3部分组成，如图下图所示。共四十七页36中国(zhn u)密码学会组编WAPI的接入认证(rnzhng)与密钥协商过程共四十七页37中国(zhn u)密码学会组编WLAN的安全(nqun)机制WAPI协议 证书认证过程认证激活。当STA关联至AP时，由AP向STA发送认证激活以启动整个认证过程。接入认证请求。STA向AP发出接入认证请求，将STA证书与当前接入认证请求一同发送给AP。证书

29、认证请求。AP收到STA接入认证请求后，首先记录认证请求时间，然后向ASU发出证书认证请求，即将STA证书、接入认证请求、AP的私钥对它们的签名以及AP证书，组成证书认证请求发送给ASU。证书认证响应。ASU收到AP的证书认证请求后，验证AP的签名和AP证书有效性，若不正确，则认证失败，否则进一步验证STA证书，验证完毕后，ASU将STA证书认证结果信息、AP证书认证结果信息和ASU对它们的签名，组成证书认证响应发回给AP。接入认证响应。AP对ASU返回的证书认证响应进行签名验证，得到STA证书的认证结果，根据此结果对STA进行接入控制，从而完成了对STA的认证。AP将收到的证书认证响应回送至

30、STA。STA验证ASU的签名后，得到AP证书的认证结果，根据该认证结果决定是否接入该AP，从而完成对AP的认证。共四十七页38中国(zhn u)密码学会组编WLAN的安全(nqun)机制WAPI协议 单播密钥协商过程 密钥协商请求AP采用伪随机数生成算法生成伪随机数R1，利用STA的公钥将其进行加密。AP将密钥协商标识、单播密钥索引、加密信息和安全参数索引等用私钥生成签名发送给STA。密钥协商响应STA检查当前状态、安全参数索引和AP签名的有效性。然后查看分组是证书认证成功后的首次密钥协商还是密钥更新协商请求，并且相应地对密钥协商标识字段值进行比较。然后用私钥解密得到R1，STA产生R2，将

31、R1R2进行扩展得到单播会话密钥。AP将单播密钥索引、下次密钥协商标识、消息鉴别码、用AP公钥加密的R2等发送给AP。共四十七页39中国(zhn u)密码学会组编WLAN的安全(nqun)机制SMS4密码算法 基本参数与运算 SMS4分组长度为128bits，密钥长度为128bits，加密和密钥扩展算法都采用32轮迭代结构。它以字节和字（32bits）为单位进行数据处理。SMS4中的基本运算为模2加和左循环移位。分别用和表示。共四十七页40中国(zhn u)密码学会组编WLAN的安全(nqun)机制SMS4密码算法 SMS4中的基本加密元素 S盒。S盒的输入和输出都为一个字节，其本质是8位非线

32、性置换，起混淆的作用。S盒的设计是公开的。假设输入为字节x，输出为字节y，S盒的运算可表示为y=S(x)。例如S(00)=D6，S(01)=90等，S盒的设计可参阅标准文档。非线性变换t。以字为单位，有4个S盒构成，实质上是S盒的并行计算。例如：设输入字为X=(x0,x1,x2,x3)，输出字为Y=(y0,y1,y2,y3)，则Y=t(X)=(S(x1),S(x2),S(x3),S(x4)。线性变换L。以字为单位，主要起扩散作用。设L的输入为字X，输出为字Y，则Y=L(X)=X(X2)(X10)(X18)(X24)合成变换T。以字为单位。由非线性变换t和线性变换L复合而成。设输入为X，输出为Y

33、，则有Y=T(X)=L(t(X)。容易看到，合成变换同时起到混淆和扩散的作用。共四十七页41中国密码(m m)学会组编WLAN的安全(nqun)机制SMS4密码算法 轮函数的设计 SMS4的轮函数（Round Function）以字为处理单位。设轮函数F的输入为(X0,X1,X2,X3)，共4个字，128位，轮密钥K为32位（1个字）。如下图所示。即F(X0,X1,X2,X3,K)=X0T(X1X2X3X4K)=X0L(t(X1X2X3X4K)若令B=X1X2X3X4K，则F(X0,X1,X2,X3,K)=X0S(B)(S(B)2)(S(B)10)(S(B)18)(S(B)24)。共四十七页42中国(zhn u)密码学会组编 SMS4的轮函数(h