东南大学,无线网络安全技术课件chap06资料

1、第6讲 无线局域网安全无线网络安全技术内容无线局域网概述无线局域网安全无线局域网攻击WPA标准802.1X协议Wide AreaNetwork3G/GPRS无线网络Local AreaNetwork802.11b/802.11g/802.11aWireless PersonalConnectivityBluetooth0 - 10m0 - 100m0 - 10 kmRange无线局域网无线局域网无线局域网是固定局域网的一种延伸。使用无线电波作为数据传送的媒介。传送距离一般为几十米。对用户来说是完全透明的，与有线局域网一样 。 HubServerSwitchInternetAccess Poin

2、tHub无线局域网终端无线接入点无线局域网相关标准IEEE 802.11HomeRF： DECT技术和WLAN技术的融合HiperLan：54Mbps/25Mbps，OFDMIrDA：115.2Kbps，SIR无线局域网802.11标准Alphabet Soup IEEE 802.11最初的WLAN标准(1997)。 IEEE 802.11a对的802.11的带有在5 GHz 54 Mbit/s增进(1999)。 IEEE 802.11b对802.11的增进来支持5.5 和 11 Mbit/s (1999)。 IEEE 802.11c网桥操作程序，包含在IEEE 802.1D（2001）标准

3、IEEE 802.11d国际（国家到国家）漫游增强(2001)。 IEEE 802.11e增进：QOS，包含数据包脉冲(2005)。 IEEE 802.11f内部访问点协议(2003) 。 IEEE 802.11g对802.11b 和 802.11a（与b后向兼容）(2003)IEEE 802.11h欧洲兼容的频谱管理的802.11a (5 GHz) (2004) IEEE 802.11i增强了安全性(2004)。IEEE 802.11j对日本增强(2004) IEEE 802.11-20072007年重新修订的完整版本IEEE 802.11k无线电资源度量增进 IEEE 802.11m这个标

4、准的维护；零碎事宜 IEEE 802.11n对802.11a,b,g的增进，使用MIMO IEEE 802.11p对车载环境（例如救护车和客车）的无线访问 IEEE 802.11r快速漫游 IEEE 802.11sESS增强服务集网状网络 IEEE 802.11t无线性能预测(WPP)测试方法和方式推荐 IEEE 802.11u与非802网络（例如，蜂窝）的交互网络 IEEE 802.11v无线网络管理 IEEE 802.11w受保护的管理帧 IEEE 802.11y在美国的3650-3700频段操作 IEEE 802.11z对直接链路设置(DLS)的增强 802.11标准的演变更快的速度更强

5、的性能更广的使用更好的管理物理层增强功能增强MAC层增强频谱管理增强物理层增强802.11b802.11a802.11g1999年发布，2.4Ghz， DSSS/CCK1999年发布，5.8Ghz，OFDM2003年发布，2.4Ghz，OFDM802.11n2.4Ghz+5.8Ghz，MIMO+OFDM物理层增强16112.412G2.4GHz2.4172.4222.4272.4322.4372.4422.4472.4522.4572.4622.4672.4722.4835GHz234125789101322MHz中国规定使用111信道。由上图可知，某信道的信号传送时会与相邻的多个信道产生重叠

6、，若在同一个空间建立多个BSS/IBSS时，要让它们所用的信道不会互相重叠而产生干扰。在同一个空间最多只能使用1、6、11这三个信道，若选用其他信道，最多只能有2个互不干扰的信道。互不重叠信道的选择物理层增强1.00ms / 0.72msDSSS / CCK (1-8 bits/seq)802.11bBPSKQPSK20 MHzOFDM (52 sub-carriers).802.11a/gBPSKQPSK16QAM64QAM1/2, 2/3, 3/4-rate convolutional code802.11nMAC层增强服务质量增强 802.11e， 2005年 安全性能增强 802.11

7、i ，2004年 WPA（2003年）/WPA2（2006年） 802.11w，制定中，提供控制帧的保护 切换性能增强802.11r，制定中，提高切换性能频谱管理增强802.11d802.11h802.11j802.11y 2004年推出 日本兼容频谱管理 支持4.9-5Ghz 2001年推出 国际漫游增强 2003年推出 欧洲兼容频谱管理 提供动态频率选择 发送功率控制 预计2008年推出 USA 3.65-3.7Ghz将802.11技术扩展到其他频段，以扩展802.11的使用范围更广的使用功能扩展802.11c802.11f802.11k802.11v802.11s802.11m标准的维护

8、MESH网络网桥操作程序AP间通信无线网络管理安全性能增强存在严重安全漏洞提供802.1X接入控制，CCMP加密802.1x/EAP认证PSK模式认证提供无线局域网控制帧保护1999 WEP机制2004 802.11i协议2006 WPA标准802.11wWLAN 的连接方式Ad-hoc Mode:一群使用无线网卡的Station，直接相互连接，资源共享，无需通过接入点（Access Point），该种模式通常无法连接InternetInfrastructure Mode所有Station通过接入点连接成网络实现资源共享 STA (工作站）启动初始化、开始正式使用AP传送数据幀前，要经过三个阶

9、段才能接入:扫描(SCAN) 认证(Authentication) 关联(Association) 无线接入过程状态图状态1： 未认证、未关联状态2： 已认证、未关联状态3： 已认证、已关联无线接入过程第一阶段 : 扫描（ SCAN ) 阶段若无线站点 STA 设成 Ad-hoc 模式： STA先寻找是否已有 IBSS（与STA所属相同的SSID）存在，如有，则参加（join）；若无, 则会自己创建一个IBSS，等其他站来 join。 若无线站点 STA 设成 Infrastructure 模式： 1、主动扫描方式（特点：能迅速找到） STA 依次在11个信道发出 Probe Request

10、帧，寻找与STA所属有相同SSID的AP，若找不到有相同 SSID 的 AP，则一直扫描下去 2、被动扫描方式（特点：找到时间较长，但STA节电） STA被动等待AP 每隔一段时间定时送出的 Beacon 信标幀，该帧提供了AP及所在BSS相关信息： “我在这里”无线接入过程第二阶段 : 认证（Authentication）阶段 当 STA 找到与其有相同 SSID 的 AP，在 SSID 匹配的 AP 中，根据收到的 AP 信号强度，选择一个信号最强的 AP，然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。802.11提供几种认证方法，有简单有复杂，如采用802.1x/EAP认

11、证方法时大致为： STA向AP发送认证请求AP向认证服务器发送请求信息要求验证STA的身份认证服务器认证完毕后向AP返回相应信息如果STA身份不符，AP向STA返回错误信息 如果STA身份相符，AP向STA返回认证响应信息 第三阶段 : 关联（Association）阶段 当 AP 向 STA 返回认证响应信息、身份认证获得通过后， 进入关联阶段。STA 向 AP 发送关联请求AP 向 STA 返回关联响应 至此，接入过程才完成， STA 初始化完毕，可以开始向 AP 传送数据幀。Authentication ServerAPSTAProbe RequestProbe Response Pro

12、be RequestProbe ResponseSSID比较Authentication RequestAuthentication ResponseAssociation RequestAssociation Response扫描认证关联Y无线接入过程示意图帧的类型数据帧(传输数据)控制帧RTS,CTS,ACK 等管理帧(station之间/station和AP传输管理信息)Authentication and Response,De-AuthenticationAssociation/Re-Association and Response,DisassociationBeacon and

13、Probe frames(连接度量、电源管理)幀类型内容无线局域网概述无线局域网安全无线局域网攻击WPA标准802.1X协议WLAN涵盖的范围802.11局域安全性无线网络用户端Access Point有线网络Wireless LAN (WLAN) 是有线网络的延伸电磁泄漏监听距离监听设备100 metres定向天线自制定向天线筛子蚊香盘无线网络的安全特征无线信号是没有边界的无线电波可以穿透墙传播信息的传播是广播方式的定向天线可以接收到更远距离的信号容易窃听容易干扰容易伪装容易访问网络无线局域网安全业务认证访问控制保密数据完整性不可否认密钥管理无线局域网安全业务IEEE802.11认证：提供相

14、当于有线媒介物理连接的功能。链路层上的认证不提供端到端或用户到用户的认证。保密：提供相当于有线物理封闭媒介的保密802.11认证开放系统(Open System)认证共享密钥(Shared Key)认证共享密钥认证STAAP认证请求挑战码（PRNG）应答 C =PRNGPRKS(SK) 确认身份成功/失败产生挑战码128bits使用WEP进行RC4加密运算利用WEP及RC4进行解密后与挑战码进行比对共享密钥认证方式漏洞攻击者可以得到：PRNG（第2步）C（第3步），C=PPRKS(K)PC=？= PRKS(K)接下去：？WEP(Wired Equivalent Privacy)加密安全服务：数

15、据机密性访问控制数据完整性 类型：WEP-40WEP-104采用RC4流加密算法RC4算法RC4RC4KSAPRGAHeader Payload CRCPayload ICV输入数据帧 IV key number IV Secret keyHeader IV Keynumber1230RC4Search keyplaintextRC4 key Payload ICVWEP加密过程 CRCPayload ICV收到的数据帧 IV Secret keyHeader IV Keynumber1230RC4Search keyplaintextRC4 key Payload ICVWEP解密过程比较

16、ICVplaintextWEP数据帧格式，内容无线局域网概述无线局域网安全无线局域网攻击WPA标准802.1X协议WEP安全分析WEP加密是可选功能，在大多数的实际产品中默认为关闭，因此将用户数据完全暴露于攻击者面前。WEP安全分析密钥产生问题：直接由用户写入40或108比特的密钥；由用户输入一个口令，根据该口令通过某个密钥生成函数产生密钥。WEP安全分析密钥分发问题：密钥为无线局域网所有用户共享，且很少变动，因而容易泄漏。WEP安全分析初始向量（Initialization vector，IV）空间太小。iv空间: 24bits，IV的生成方法：用计数器递增实现WEP安全分析5.数据篡改攻击

17、：RC4,CRC32算法:线性校验算法线性算法特征：攻击方法已知：初始向量iv,密文C。未知：明文M，密钥KC=RC4(iv,K)M,crc32(M)随意伪造新明文M，令M=M+C= C WEP安全分析6. IP重定向攻击者可以将目标地址改为自己的地址需确保校验正确。x = x + DH + DL DH DL数据包正常的操作终端接入点接收者数据包数据包数据包互联网重定向攻击终端接入点接收者攻击者1数据包数据包数据包Internet攻击者2WEP安全分析7. WEP没有重放保护机制WEP 密钥破解2001 - The insecurity of 802.11, Mobicom, July 200

18、1 N. Borisov, I. Goldberg and D. Wagner.2001 - Weaknesses in the key scheduling algorithm of RC4.S. Fluhrer, I. Mantin, A. Shamir. Aug 2001.2002 - Using the Fluhrer, Mantin, and Shamir Attack to Break WEPA. Stubblefield, J. Ioannidis, A. Rubin.2004 KoreK, 改进了上述攻击方法并简化了WEP攻击的复杂度，现在我们只需要大约500,000 个数据包

19、就可以恢复WEP的密钥。2005 Adreas Klein 发现了RC4密钥流和密钥之间的更多相关性。2007 一种称为PTW算法采用了Andreas的方法进一步简化了WEP的攻击。我们现在只需要大约 60,000 90,000个数据包就可以恢复WEP密钥。IEEE组织承认WEP无法提供任何安全保护，推荐用户升级到WPA, WPA2WEP算法的缺陷IV是明文。被加密的数据的第一个字节的明文是固定的。0 xAAFMS攻击通过收集特定IV格式(weak IV)的数据包来反向推导密钥。Weak IV(B+3,N-1,X)形式的IV，称Weak IVB : 欲破解的secret key byteN :

20、 256X : 为任意值 Fluhrer, Mantin, Shamir Attack802.11网络攻击监听攻击：截取空中信号，进行分析，获取相关信息。插入攻击：通过监听获取的相关信息，假冒合法用户，通过无线信道接入信息系统，获取系统控制权。未授权信息服务：用户在未经授权的情况下享用系统信息资源。拒绝服务攻击：发送大量的无用数据报坏正常的无线通信。伪造AP(Fake AP)：伪装成合法AP，诱使用户登录攻击实例Wardriving相关工具WEP教训 ：需要公开讨论IEEE使用 “公开设计”任何人都可以参加会议相关标准资料可以免费获得不足；只有大公司才有时间和精力参加会议没有来自密码界的讨论许

21、多缺陷早已存在例如：CRC攻击，重定向攻击如果设计正确，FMS等攻击都可以抵御WEP教训：数据完整性保护的重要性在无线局域网设计中，数据完整性保护只是次要目标。但是简陋的完整性保护会破坏消息安全保护：IP重定向攻击TCP回应攻击数据包注入攻击需要基于密码学的消息认证算法“Encryption without integrity checking is all but useless” Bellovin96内容无线局域网概述无线局域网安全无线局域网攻击WPA/WPA2.0标准802.1X协议15.4 WPA/WPA2.0标准加密算法的改进TKIP加密机制CCMP加密机制 认证机制的改进WPA-P

22、SK认证802.1X认证IEEE802.11WiFi联盟2002年2004年IEEE802.11iDraft 3.0WPAIEEE802.11iWPA2.0如何改进WEP在现有的WEP基础上进行修改TKIP加密机制重新设计新的安全机制CCMP加密机制15.4.1 TKIP加密机制设计者面临的限制限制1：只能通过软件升级的方式进行改进限制2：计算资源有限限制3：为了减少资源消耗，WEP算法固化在硬件模块中，无法修改WEP加密WEP解密IVRC4密钥明文密文WEP Seed明文密文TKIP：Temporal Key Integrity Protocol被设计为WEP算法外的一个壳(Wrapper)

23、可以以软件方式实现重用现有的WEP算法将WEP作为新机制的一个组件WEP的安全问题1无法检测消息是否被篡改2没有提供重放攻击保护3IV长度太短，容易造成重复使用4存在Weak IV,容易遭受FMS攻击5直接使用主密钥，没有提供密钥更新机制TKIP针对WEP的该进目的改进针对的安全问题数据完整性保护添加基于密码学的消息完整性校验码(MIC)， Michael函数(1)IV选择和使用添加IV序列计号(48位)，TSC计数器，改变IV生成方式和功能 (2)，(3)密钥混合添加分组密钥混合函数，使得每次加密使用的密钥都不同(4)密钥管理添加Re-keying机制，进行密钥分发、更新和生成临时密钥(5)

24、Michael函数 (L,R) (K0,K1) do i from 1 to n L LMi (L,R) b(L,R) return (L,R)Michael密钥为64位IV序列号 IV大小:24bit -48bitIV作为数据包序列号：TSC防止重发攻击重新构造避免出现Weak IVTS0TS1(TS1|0 x20)&0 x7f密钥混合函数密钥混合函数；弥补WEP缺陷用临时密钥替代原有的WEP密钥和IV。临时密钥周期短，经常更换。结构：阶段1：解决每个链路都使用相同密钥的问题阶段2：去除分组密钥和IV之间的相关性Upper IVLower IV32 bits16 bitsIV0dIV3Per

25、 Packet Key24 bits104 bitsPhase 1 Key MixingPhase 2 Key MixingMAC AddressSession Key(IV3|0 x20)&0 x7f(L, R) (R, L f(R)TKIP加密过程TKIP解密过程CCMP加密机制设计要求：被正确加密密钥不能重复使用 Nonce和IV不能重复使用防止数据被篡改防止发送地址和接收地址被篡改抗重发攻击降低成本尽可能减少加密函数使用数量 尽可能减少软件开销 尽量借鉴已有的安全机制AES-CCMHeaderPayloadMICAuthenticatedEncryptedCBC-MAC模式用于计算MI

26、C码CTR模式用于进行加密CCMP 数据帧DataMAC hdrMAC hdrCCMP hdrDataMAC hdrCCMP hdrDataMICMAC hdrCCMP hdrCiphertextEncryptionMAC hdrCCMP hdrCiphertext12345WPA认证机制面向个人用户：WPA-PSK面向企业用户802.1X协议15.4.3.1 WPA-PSK认证WPA-PSK是一种无需认证服务器的简化认证模式，用于中小型企业网络或家庭网络中。要求在每个WLAN节点预先输入一个密钥即可实现认证过程。无线终端只要输入相符的密钥即可获得WLAN的接入控制。WPA-PSK认证WPA-

27、PSK认证过程协商认证方法：STA通过被动监听Beacon帧或主动探询获得AP的安全策略，向AP发起连接并协商安全策略。密钥协商：将PSK设置为PMK，使用EAPOL-Key帧进行4步握手交换生成临时会话密钥PTK。终端接入点1: 接入点 nonce2: 终端nonce安全参数（用于认证）3: 响应消息 2 发送GTK4: 响应消息计算PTK计算PTK字典攻击所谓的字典攻击方法，就是使用常见的单词、词组、数字、人名和相关的变形。由于用户在设置密码时为了方便记忆，会选择短的、有意义的英文字和数字作为密码。因此攻击者可以快速的进行反复猜测与比对，从而在短时间内获得密码。 通过截获4步握手的数据包进

28、行字典攻击。成功与否与所使用的字典有关。花费的时间与密码在字典中的位置有关。内容无线局域网概述无线局域网安全无线局域网攻击WPA标准802.1X协议802.1X认证背景介绍：有线网络：物理位置固定，空间封闭。可以实现基于网络设备端口的控制管理。无线网络：空间开放，终端可移动。如何实现端口认证来实现用户级的接入认证。802.1X认证：局域网接入控制协议基于端口的访问控制协议(Port Based Network Access Control Protocol)目的：解决无线局域网用户的接入认证问题15.5.1 802.1X体系结构三方认证协议申请者(Supplicant)：用户终端，发起802.1X认证过程。认证者(Authenticator):接入点，透传认证数据。认证服务器(Authentication Server):实现用户认证15.5.1 80