WLAN安全技术培训课件

WLAN安全技术培训日期：2008-08密级：内部公开杭州华三通信技术有限公司培训教师史扬00338WLAN安全技术培训日期：2008-08密级：内部公开杭州华引言

trServerServerServerComputerHackerHacker无线信号在air中传播，信号可接收范围内的人都可能构成潜在的安全威胁。所以无线安全是WLAN应用所面临的一个关键的课题。引言trServerServerServerCompute安全三要素安全IntegrityConfidentialityAuthenticity个体身份的认证，适用于用户、进程、系统等第三方服务器：确保你确实是我要通信的对方信息的完整性,数据不可篡改：不要篡改了我的数据，篡改了我知道信息的机密性:我的信息你看不了本培训围绕这三方面来讲解各技术标准所存在的问题和所要解决的问题安全三要素安全IntegrityConfidentialit培训内容导读Part1:802.11安全介绍首先介绍了802.11标准所存在的安全缺陷。通过对缺陷的分析，可以认识到哪些问题是802.11i和WAPI将关注和解决的。Part2:IEEE802.11i无线安全标准介绍802.11i是介绍的重点。802.11i其中一大特点是：重用了802.1x、EAP、Radius等既有标准，所以在介绍802.11i之前将首先介绍这些基础知识。Part3:中国WAPI无线安全标准介绍有了这个基础，WAPI就很容易理解，因为WAPI借鉴了802.11i思想。显然，本培训涉及了大量的协议和标准。本培训将重点关注协议所解决的问题和关键的概念，协议的细节请参考本胶片给出的文献列表（Part4)。培训内容导读Part1:802.11安全介绍Part1:802.11安全介绍802.11涉及的安全技术802.11认证方法RC4InitializationVector(IV)IntegrityCheckValue(ICV)802.11安全问题小结安全标准概述Part1:802.11安全介绍802.11协议对应的安全技术OpenSystemAuthenticationSharedKeyAuthenticationIntegrityCheckValue(ICV)RC4Authenticity接入控制IntegrityConfidentialityInitializationVector(IV)WEPWEP：WiredEquivalentPrivacy802.11协议对应的安全技术OpenSystemAut802.11认证方法最初的802.11协议定义了如下认证方法：OpenSystemAuthenticationStation和AP间只是发送认证请求和回应报文，没有真正的认证。ShareKeyAuthenticationAP向station发送明文的challengetext，station用本地的WEPkey加密challengetext并发给AP。AP解密该challengetext，如果和自己发送的challengetext一致，则用户认证通过。Hacker只要将明文challengetext和加密后的challengetext截获到，XOR就可以得到WEPkey。所以一般不使用SharekeyAuthentication802.11认证方法最初的802.11协议定义了如下认证方法RC4加密算法块(block)加密是将明文分割为多个block，再和KeystreamXOR802.11协议采用RC4进行加密：RC4是流(stream)加密，通过将Keystream和明文流XOR得到密文RC4加密算法块(block)加密是将明文分割为多802.1InitializationVector(IV)块加密和流加密统称为ElectronicCodeBook(ECB)方式，其特征是相同的明文将产生相同的加密结果。如果能够发现加密规律性，破解并不困难。为了破坏规律性，802.11引入了IV，IV和Key一起作为输入来生成keystream,所以相同密钥将产生不同加密结果。IV在报文中明文携带，这样接受方可以解密。IV虽然逐包变化，但是24bits的长度，使一个繁忙的AP在若干小时后就出现IV重用。所以IV无法真正破坏报文的规律性。InitializationVector(IV)块加密和IntegrityCheckValue(ICV)802.11使用(CRC-32)checksum算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。CRC-32本身很弱，可以通过bit-flippingattack篡改报文。IntegrityCheckValue(ICV)80802.11安全问题小结IV只有24bits,容易出现IV重用。弱integrityICV采用CRC-32，报文很容易被篡改而不被发现；不支持用户的身份认证；很容易通过AP来获知WEPkey配置。不支持用户密钥(sessionsecret)的动态协商和rekeyWEP只支持预配置key，没有提供Key分发机制，不适合企业等规模应用所以802.11的WEP等安全机制只适合家庭等用户。RC4本身并不是一个糟糕的加密算法，但是由于IV等问题导致了WEP机制不安全。802.11安全问题小结IV只有24bits,容易无线安全标准技术概述针对802.11标准存在的安全缺陷（数据报文的安全性），为了满足企业等应用，各标准组织对它进行了标准完善。802.11无线局域网目前的安全标准主要有两大发展主流：IEEE802.11i标准中国WAPI(WLANAuthenticationandPrivacyInfrastructure)标准两大技术标准综合使用了多种安全技术，实现了用户认证，数据完整性，用户数据加密保护，key管理，用户会话密钥的动态协商等功能。下面两个Part将对这两个标准进行分别介绍无线安全标准技术概述针对802.11标准存在的安全缺陷（数据Part２:IEEE802.11i标准介绍

802.11i概述

证书和PKI802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍802.11i协议标准为了解决802.11固有的WEP等协议安全缺陷，IEEE成立了802.11i工作组，于2004年完成了标准的制定。该标准标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。802.11i协议标准为了解决802.11固有的WEP等协议IEEE802.11i标准技术层次基于端口实现了对用户的身份认证，为802.11i过程准备了主key等key材料.通过EAP-TLS等认证方法对用户进行认证系统技术层次用户认证接入控制802.11i通过802.1x控制用户的接入802.11i基于4次握手实现了用户会话key的动态协商，基于TKIP、CCMP等算法实现数据的加密保护等。802.11i并没有重新定义认证方法等，而是主要依靠EAP-TLS,802.1x等现有技术标准实现用户接入认证等。IEEE802.11i标准技术层次基于端口实现了对用户的身IEEE802.11i主流程在Beacon,Association中携带802.11i相关IE基于802.1x进行用户身份认证802.11i4次握手协商数据加密密钥IEEE802.11i主流程在Beacon,Associ802.11i协议对应的安全技术EAP和TLS等认证方法AAA（Radius)MichaelTKIP(RC4)Authenticity接入控制IntegrityConfidentialityAES-CCM802.1x证书证书是身份认证的基础CBCCCMCounterModeTKIP(PerPacketMixing)802.11i协议对应的安全技术EAP和TLS等认证方法APart２:IEEE802.11i标准介绍802.11i标准概述

证书和PKI802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍对称和非对称密钥对称密钥非对称密钥对称key是唯一的秘密，key的分发和安全性存在很大困难。只有私钥是秘密，而公钥是可以公开获得的,这简化了key的分发，提高了安全性对称和非对称密钥对称密钥非对称密钥对称key是唯一的秘密，k非对称密钥典型应用数据加密非对称密钥非常消耗计算资源，非对称密钥经常和对称密钥相结合。发送者接收者用对称密钥加密数据用接收者的公钥加密对称密钥，和加密数据一同发送给用户用自己的私钥解密获得对称密钥用对称密钥解密数据非对称密钥典型应用数据加密发送者接收者用对称密钥加密数据用接非对称密钥典型应用数字签名私钥被一个人唯一地拥有，签名后的数据和他身份绑定，不可抵赖。签名者接收者对待签名的数据进行hash将hash的数据用私钥进行加密保护，即签名将原始数据和签名后数据一同发送给用户用签名者的公钥对签名数据进行解密本地对原始数据计算hash比较本地hash后的数据和签名者的Hash值Hash是对任意非空长度的数据经过运算之后得到固定长度的hash值，结果反映原始数据的特征，即数据的指纹。Hash可以确认数据是否被篡改，保证数据的完整性。非对称密钥典型应用数字签名签名者接收者对待签名的数据进行ha非对称密钥典型应用Key协商单向对称key保护一方提供对称key，通过公钥加密后发送给接收者对称key协商双方参与key协商，协商过程通过公钥进行加密保护EAL-TLS就是用非对称密钥保护key协商非对称密钥典型应用Key协商EAL-TLS就是用非对称密钥为什么需要PKI架构？不对称密钥机制在实际应用时，要求：依赖中间机构来管理公钥等信息；提供信息的机构必须可信；信息本身是可信的信息易于访问和获得所以需要一个公钥管理架构：PKI在PKI（Public-KeyInfrastructure）架构下，通过证书（Certification）来存储公钥等信息，通过CA(CertificationAuthority)等服务来管理证书。证书是PKI的核心概念。为什么需要PKI架构？不对称密钥机制在实际应用时，要求：所以证书数字证书就是：把公钥和身份绑定在一起，由一个可信的第三方对绑定后的数据进行签名，以证明数据的可靠性。这个第三方称为CA(证书授权中心，也可称证书服务器）。证书的权威性取决于CA的权威性。签名证书和加密证书应该分开保存最常用的证书格式为X.509v3.X.509常用的加密算法是RSA,DSA,Diffie-Hellmanalgorithms。最常用的是RSA算法证书在EAP-TLS等认证方法中，最主要作用是帮助验证用户或AAA的身份证书X.509常用的加密算法是RSA,DSA,Diffi证书格式Version:X.509版本号(v1,v2,v3)Serialnumber:CA内标识证书(用户)的整数,不同证书(用户)的序列号不同(同一CA内)Signaturealgorithmidentifier:CA用来签署该证书的算法和参数,在后面也出现.Issuername:发行并签署该证书的CAPeriodofvalidity:有效期(起始日期和终止日期)Subjectname:证书持有者的姓名Subject’spublic-keyinfo:证书持有者的的公钥,算法类型及参数(可与CA的签名算法不同)Signature&algorithmidentifier:用CA私钥签名的hash值以及签名算法和参数证书格式Version:X.509版本号(v1,v2,v3PKI基本组成接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表CA(CertificationAuthority)RA(Registration

Authority

)对于申请证书的个人和团体，CA可能会让RA来完成必要的身份认证以保证他们的真实身份与他们要声明的身份一致。CRL（CertificateRevocationList）作废证书列表，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。PKI基本组成接受用户的请求CA(CertificationPKI基本组成（续）公钥证书由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。证书存档(Repository)一个电子站点，存放证书和作废证书列表、CA在用证书和作废证书。用户（Subscriber）用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。PKI基本组成（续）公钥证书证书存档(Repository)证书申请和颁发过程PCA与PCB通过路由器连到因特网上，从而可以与网络中的某个认证机构建立连接。PCA要申请证书时，先登陆此PKI证书体系，向它发出自己的申请，并按照当地CA的策略填写相关信息。此申请信息会被注册机构RA转给CA服务器，CA负责对其验证,通过后会给PCA颁发相应级别的证书。与此同时PCA的用户信息和刚颁发的数字证书也会被置于LDAP（轻量级目录访问协议）服务器中，便于PCA登陆取回自己的证书，或者提供给其他用户进行访问。结合银行证书实例进行解释证书申请和颁发过程PCA与PCB通过路由器连到因特网上，从而证书验证过程证书验证即检查一个证书的有效性。一般对被验证证书需要作签发时间、签发者信息以及证书的有效性几方面的检查。证书验证的核心就是检查CA在证书上的签名，并确定证书仍在有效期内，而且未被废除。CA只负责证书的颁发，维护，并不负责证书校验。由证书使用者（如IE客户端，检查用户证书的AAA等），对证书执行如下检查：验证证书的签名，用签发该证书的CA的公钥进行验证CRL检查，证书是否撤销。有效期验证证书验证过程证书验证即检查一个证书的有效性。一般对被验证证书Part２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍802.1x认证参与实体Supplicant被认证的无线客户端。Authenticator一般是AP或AC，负责协助Authenticationserver通过EAP-TLS等认证方法对用户身份进行认证和执行授权控制。802.1x认证过程结束后，supplicant和authenticator间将基于802.11i本身定义的4次握手过程动态地协商用户会话密钥。AuthenticationServer支持EAP-TLS,EAP-PEAP等认证方法的AAAserver，对用户进行身份认证。802.1x认证参与实体Supplicant802.1x体系架构EAP协议框架作为认证协议框架，可以承载多种认证方法，而不限制具体的认证方法，具有很好的扩展性。EAP认证方法定义了实际的认证过程和方法，代表性认证方法包括了EAP-TLS、EAP-PEAP等。802.1x报文显然，EAP报文(EAP认证方法)在特定的链路层协议传递时，需要一定的报文封装格式。这就是EAPOL（EAPoverlink）报文的作用。EAP报文传输EAPOL报文主要在supplicant和authenticator之间传送。由于认证是通过authenticationserver完成的，所以在认证过程中，authenticator将把EAPOL报文中的认证报文封装到Radius报文中，通过Radius报文和authenticationserver进行交互。802.1x体系架构EAP协议框架1x受控和非受控端口受控端口认证前:非受控端口802.1X流量Non-802.1X流量(被阻塞)受控端口认证后:非受控端口802.1X流量Non-802.1X流量(非阻塞)1x受控和非受控端口受控端口认证前:非受控端口802.1XEAPOL报文格式（802.1x定义）PacketType定义了EAPO报文的类型：0：EAP-Packet，承载EAP认证报文1：EAPOL-Start，客户端触发认证过程3：EAPOL-key，承载协商的密钥888E标识了一个frame是EAPOL

为了在Supplicant，Authenticator和AS间传递认证报文，需要定义EAP报文的链路层封装格式EAPOL:EAPOL报文格式（802.1x定义）PacketType客户端和设备（Authenticator）之间为EAPOL报文；Authenticator和认证server间一般为EAPOverRadius报文。通过EAP-message属性，EAP报文将在Radius的Access-Request和Access-Challenge报文中携带。认证过程在客户端和认证server间进行，设备主要是作透传，EAPOL和EAPOR报文格式的转换工作等；EAPOL报文传递客户端和设备（Authenticator）之间为EAPOLPart２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍EAP协议802.1x利用了EAP（ExtensibleAuthenticationProtocol）协议来实现了对多种认证方法（如EAP-TLS）的支持。EAP设计的中心思想：可以支持多种认证方法和多种链路层协议。EAP协议802.1x利用了EAP（ExtensibleACodeIdentifierLengthTypeDataCode：EAP类型

1：Request(eap-request)2：Response(eap-response)3：Success(eap-success)4：Failure(eap-failure)字节数：

1211NEAP协议格式EAP数据包帧格式Type报文类型：Type＝1————IdentifierType＝2————NotificationType＝3————Nak（ResponseOnly）Type值大于等于4时，为EAP认证方法通常表示为EAP-Request/IdentityCodeIdentifierLengthTypeDataCEAP协议格式（续)作为认证方法的框架，EAP并没有定义具体的认证方法，而是通过EAP-Request和Response承载TLS这些认证方法的报文，用户可以根据业务需求灵活地选择具体认证方法。具体的认证方法（如EAP-TLS)负责实现：用户数据的加密保护双向认证密钥推演（动态key协商）EAP协议格式（续)作为认证方法的框架，EAP并没有定义具体EAP主要流程(EAP-ResponseIdentity)EAP-ResponseIdentityEAP-Success||

PMKEAP-SuccessServerNASPeerEAPOLEAP传输认证方法对应的EAPRequest认证方法对应的EAPResponse直到成功或失败(EAP-RequestIdentity)计算MasterSessionKey(MSK)计算MasterSessionKey(MSK)EAP主要流程(EAP-ResponseIdentity)EAP主要流程（续）EAP通过EAP-RequestResponse/Identity发起认证

客户端将通过EAPOL-Start来触发EAP认证开始。除了第一个和最后一个EAP消息，所有的EAP消息都以Request/Response方式由AAAServer驱动EAP是“stop-and-wait”协议EAPServer不主动发Requestmessage直到Peer回应了上次的request在Server给peer的第一个Request消息中指出认证方法如果不可接受（如不支持该认证方法），Peer将中止通讯认证方法通过多个Request/Response消息对在server和Peer间交互，直到认证成功或失败如果认证过程，Server发送EAP-Success消息Server根据MSK计算出PMK并通知给Authenticator。PMK为下阶段安全协商(802.11i的4次握手）提供了基础。参见上页图示EAP主要流程（续）EAP通过EAP-RequestRePart２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议

EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍EAP-TLS协议1994年Netscape开发了SSL(SecureSocketLayer)协议，专门用于保护Web通讯，SSL经过了多个版本演化。TLS(TransportLayerSecurity)基于SSL和基本类似于SSL3.0。主要特点如下：

基于证书，可以进行身份的双向认证（客户端和服务器）协商得到的共享密钥是动态协商的，中间人无法知道EAP-TLS协议1994年Netscape开发了SSL(SEAP-TLS协议流程AuthenticateServerSupplicantEAPRequest/TLSStartEAPResponse/TLSClientHello(Random)EAPRequest/TLSServerHello(Random)||Certificate[||ServerKeyExchange][||CertificateRequest]||ServerHelloDoneEAPResponse/TLSCertificate||ClientKeyExchange[||CertificateVerify]||ChangeCipherSpec||FinishedEAPResponse/IdentityEAPRequest/TLSChangeCipherSpec||FinishedEAPSuccessEAPResponseEAP-TLS协议流程AuthenticateServerEAP-TLS协议流程（续）客户端和服务器通过hello报文（TLSClientHello和TLSServerHello）来协商认证算法、密钥交换算法等客户端和服务器的双向身份认证是证书来实现的－通过TLSCertificate报文获得对方的证书－通过检查证书（CA的签名）来确认对方的证书是合法的。－甲方用私钥对报文进行签名，接收方（乙方）用甲方的公钥来确认签名是否合法。如果合法，就可以确认对方身份是否合法。TLSchange_cipher_spec等报文交换完成了身份的校验和密钥的协商。协议过程不直接传递所协商的密钥，而是在协议过程中交换随机数等密钥计算材料，由服务器和客户端各自在本地基于随机数等密钥材料来推演出会话密钥。会话密钥支持定期重新协商。EAP-TLS协议流程（续）客户端和服务器通过hello报文Part２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议

Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍RADIUS协议远程认证拨入用户服务（RemoteAuthenticationDial-InUserService）RADIUS是用于网络访问服务器（NAS）和AAA服务器间通信的一种协议,实现对用户的认证，计费和授权。Radius协议应用系统主要是由3个部分组成：用户Radius客户端（NAS)Radius服务器Radius客户端和服务器之间基于UDP协议（端口号1812)通讯。用户RADIUS客户端RADIUS服务器RADIUS协议远程认证拨入用户服务（RemoteAuthRADIUS协议报文Code:代码域，标识RADIUS数据包的类型,Access-Request(NAS

AS)Access-Challenge(NAS

AS)Access-Accept(NAS

AS)Access-Reject(NAS

AS)Accounting-Request(NAS

AS)Accounting-Response(NAS

AS)Attribute:携带属性，是Radius可扩展性的关键Authenticator）域:用于验证来自RADIUS服务器的回复RADIUS协议报文Code:代码域，标识RADIUS数据包RADIUS协议支持EAPAttribute包括如下的字段，Type标示属性的类别，Type由IETF统一分配。以Radius支持EAP为例：Radius扩展了EAP-Message属性，type为79,来承载EAPmessage和认证方法。使用Access-request来承载EAPmessage(fromNAStoAS);使用Access-Challenge

来承载EAPmessage(fromAStoNAS);RADIUS协议支持EAPAttribute包括如下的字段，Part２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议

802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍802.11i协议概述802.11i协议本身聚焦于用户密钥(sessionsecret)的动态协商、密钥的分发和使用会话密钥进行数据的加密保护。用户密钥(sessionsecret)的动态协商是通过4次握手报文交互来实现的。协议使用TKIP或AES-CCM进行加密。802.11i协议概述802.11i协议本身聚焦于用户密钥(802.11iKEY关系图PTK应用于用户单播数据的加密保护GTK应用于广播和组播数据的加密保护和WEP不同，802.11i是由多个key组成keyhierarchy。这些Key是在协议过程中动态协商产生的，而不是静态配置的。802.11iKEY关系图PTK应用于用户单播数据的加密保4次握手过程4次握手过程：1）通过Nonce交换，帮助双方完成PTK和GTK的协商。2）虽然PMK不再握手过程中交互，但通过MIC操作（MIC结果在握手报文中传递）实现了对双方的PMK确认。3）4次握手在客户端和设备间进行，不需要AS的参与

EAPOL-Key(ReplyRequired,Unicast,ANonce)PickRandomANonceEAPOL-Key(Unicast,SNonce,

MIC,STARSNIE)EAPOL-Key(ReplyRequired,InstallPTK,Unicast,ANonce,

MIC,APRSNIE,GTK)PickRandomSNonce,DerivePTK=802.11i-PRF(PMK,ANonce||SNonce||APMACAddr||STAMACAddr)DerivePTKEAPOL-Key(Unicast,

MIC)PMKPMKSTA4次握手过程4次握手过程：EAPOL-Key(ReplyRTKIPTKIP:TemporalKeyIntegrityProtocol使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加加密成本。使用Michael来实现MIC(MessageIntegrityCode

)。结合MIC，TKIP采用了countermeasures方式：一旦发现了攻击（MICFailure)，就中止该用户接入。将IVsize从24bits增加到48bits，减少了IV重用；使用了Per-PacketKeyMixing方式来增加key的安全性。TKIPTKIP:TemporalKeyIntegriTKIP（续）Phase2MixerPhase1MixerIntermediatekeyPer-packetkeyTransmitAddress:00-A0-C9-BA-4D-5FBasekeyPacketSequence#Per-PacketKeyMixingTKIP（续）Phase2Phase1IntermedAES-CCMAES-CCM为块加密，802.11i要求AES为128bit,每block128bits.对于块加密,需要将待加密的消息转化为block,这个过程称为modeofoperation.AES-CCM使用了CCM方式作为modeofoperation。为了破坏加密结果的规律性，CCM采用了countermode:首先计算得到一个counter(初始值随机，然后累加1),AES后得到加密值，和被加密的blockXOR。除了数据加密，AES-CCM还使用cipherblockchaining(CBC)来产生MIC,以实现数据的Integrity.AES-CCMAES-CCM为块加密，802.11i要求AEPart２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议

802.11i

技术小结/WPA802.11i配置应用Part２:IEEE802.11i标准介绍802.11i和WEP对比

WEP

TKIP

CCMPCipher RC4 RC4 AESKeySize

40or104bits 128bits 128bitsKeyLife

24-bitIV 48-bitIV 48-bitIVPacketKey

IV+key MixingFnc NotNeededIntegrity

Data

CRC-32

Michael

CBC

Header

None

Michael

CBCReplay

None

UseIV

48-bitpacketKeyMgmt None

802.11i4-Way

802.11i4-Way

Handshake

Handshakenumber(PN)802.11i和WEP对比 WEP TKIP Part２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议

802.11i

技术小结/WPA802.11i配置应用Part２:IEEE802.11i标准介绍WPA认证802.11i虽然美好，但是安全急迫性使厂商开始及不可待地支持草案状态的802.11i。为了保证厂家的互通，WIFI联盟参考802.11i草案的子集，制定了WPA（Wi-FiProtectedAccess）规范。协议核心内容包括了：基于802.1x进行身份认证基于PSK（Pre-SharedKey）进行身份认证基于TKIP实现数据加密；基于4次握手实现用户会话密钥的动态协商。由于TKIP和WEP都是基于RC4算法的，所以可以通过固件升级来实现现网设备支持WPA。而完整的802.11i支持则称为WPA2，主要增加了AES-CCM支持等，需要新的硬件支持。WPA认证802.11i虽然美好，但是安全急迫性使厂商开始及802.11i实施计划802.11i实施计划Part２:IEEE802.11i标准介绍802.11i和WPA标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议

802.11i

技术小结/WPA

802.11i配置应用Part２:IEEE802.11i标准介绍802.11i＋EAP-TLS配置应用客户端要求支持WPA/WPA2的无线网卡；完成证书的安装和EAP-TLS等配置AP或AC配置802.11i的相关配置，主要基于某个SSID配置，包括认证方法（即1x还是PSK）、密钥加密算法（即TKIP,AES-CCM）等参数配置；2)Radius服务器配置，主要配置IP地址、认证端口等内容；3)802.1x配置，主要包括使能802.1x、EAP认证。802.11i＋EAP-TLS配置应用客户端要求AP或AC802.11i＋EAP-TLS配置应用(续）Radius配置配置配置接入设备主要配置authenticator设备(AP或AC)的IP地址、认证端口(缺省是1812)等信息。2)获得服务器证书，如通过Windows的证书服务；3)服务器证书导入；4)配置服务策略即配置认证方法，选择是EAP-TLS,EAP-PEAP或其它认证方法。5)认证用户的账号配置，要求用户名和证书中的用户申请名称一致；802.11i＋EAP-TLS配置应用(续）Radius配置Part3:中国WAPI标准介绍WAPI概述WAPI认证实体

WAPI和802.11i的相似点

WAPI和802.11i差异WAPI协议过程

WAPI配置应用Part3:中国WAPI标准介绍WAPI标准概述基于端口实现了对用户的身份认证，为802.11i过程准备了主key等key材料.WLANauthenticationinfrastructure完成身份鉴别和密钥管理，系统技术层次WAIWPIWLANprivacyinfrastructure完成数据的加密保护等。中国自己的WLAN安全标准：WAPI标准概述基于端口实现了对用户的身份认证，WLANWAPI认证实体鉴别请求者系统/鉴别器系统/鉴别服务器未鉴别受控端口/非受控端口在该架构下，如下的概念是关键WAPI认证实体鉴别请求者系统/鉴别器系统/鉴别服务器在该WAPI和802.11i相似点认证包括三实体：鉴别请求者系统/鉴别器系统/鉴别服务器未鉴别受控端口/非受控端口WAI协议承载认证报文WAPI4次握手协商密钥支持单播和组播Keyhierarchy

认证包括三实体：Supplicant/Authenticator/AuthenticationServer受控端口/非受控端口EAPOL协议承载认证报文802.11i4次握手协商密钥支持单播和组播KeyhierarchyWAPI802.11i基于Basekey计算单播和组播key在802.11beacon,associate等报文中携带WAPI相关IE基于PMK计算单播和组播key在802.11beacon,associate等报文中携带802.11i相关IEWAPI和802.11i相似点认证包括三实体：鉴别请求者系统WAPI和802.11i差别采用SMS进行加密；强制使用证书进行认证，认证方法固定；证书签名的检查由专门的鉴别服务器负责；支持对设备的认证；不支持AAA,认证Server必须遵循WAPI标准；没有重用802.1x,Radius等现有标准；证书必须是X.509v3和GBW证书。X.509v3必须采用的是椭圆曲线

采用AES-CCM或TKIP加密；可以支持EAP-TLS等多种认证方法；无线客户端和服务器自己检查证书签名不支持对设备认证；支持Radius；重用了802.1x,Radius等现有标准；不必须使用证书，如果用，X.509V3就可。WAPI802.11i最关键差别WAPI和802.11i差别采用SMS进行加密；采用AES-WAPI协议过程ASE(认证服务器）只对ASUE（APorAC)和AE(client)做身份认证，并不参与BK(basekey)，会话密钥等协商过程WAPI协议过程ASE(认证服务器）只对ASUE（APorWAPI协议过程(续）最关键的步骤是：由认证服务器通过证书鉴别无线客户端和WLAN接入设备身份1)无线客户端在发起接入鉴别后，WLAN接入设备会向远端的ASE发起证书鉴别，鉴别请求消息中同时包含有无线客户端和WLAN接入设备的证书信息。这些信息通过UDP套接口传输，ASE的端口号为3810。2)ASE对WLAN接入设备和客户端的身份进行认证，并首先把他们的身份验证结果通过认证响应报文发给WLAN接入设备，再由WLAN接入设备发给客户端。3)为了防止携带认证结果的报文被中途非法篡改，ASE将对该响应报文进行数字签名。4)当WLAN接入设备收到响应报文后，如果发现报文被篡改（通过检查数字签名合法性）或无线客户端身份非法(ASE已经在响应报文中指出了无线客户端身份是否合法)，将中断该无线客户端的无线连接。5)如果上述检查均通过，WLAN接入设备将把认证响应报文发给客户端。客户端收到响应报文后，如果发现报文被篡改或WLAN接入设备为非法的(ASE已经在报文中指出了WLAN接入设备是否合法)，将中止无线连接。如果上述检查均通过，将进入密钥协商过程。对于FATAP,该WLAN接入设备指FATAP。对于FITAP,该WLAN接入设备指AC设备。H3C进行了私有扩展，可以将WAPI承载在Radius报文WAPI协议过程(续）最关键的步骤是：由认证服务器通过证书鉴WAPI配置应用客户端要求无线网卡必须通过WAPI认证，如西电捷通公司的无线网卡。安装了网卡的驱动后，系统一般就自动使能对该无线网卡采用WAPI认证.2)完成证书的安装;AP或AC配置802.11i的相关配置，主要基于某个SSID配置WAPI;2)通过命令行把设备（AP或AC）的证书和CA的根证书导入到该设备中；鉴别服务器配置配置配置接入设备主要配置authenticator设备(AP或AC)的IP地址、认证端口等信息。2)获得服务器证书；3)服务器证书导入；4)配置服务策略即配置认证方法，选择是EAP-TLS,WAPI或其它认证方法。5)认证用户的账号配置；WAPI配置应用客户端要求AP或AC配置鉴别服务器配置Part4:安全应用和标准无线安全应用场景WIDS（无线IDS)管理报文安全标准参考文献Part4:安全应用和标准安全标准应用场景NoWEP和

BroadcastModePublicAccess开放接入40-bit和128-bit

静态WEPkeyPSKSOHO基本安全WPA/WPA2/WAPIMid-MarketandEnterprise增强安全安全标准应用场景NoWEP和

BroadcastMWIDSMonitorAPAccessPointsWirelessStationsHackerRogueAccessPointMonitorAPHacker

802.11i/WAPI实现的是数据安全，但不能主动发现安全隐患，无法抵抗非法设备发起的干扰攻击等。无线IDS(WIDS)通过扫描信道，收集空中传播的信息，可以及时发现安全隐患，如禁止使用的AP如某个厂家AP),安全策略不符合企业要求(比如使用了WEP加密）等。

除了监视功能，WIDS还可以对非法AP或station进行攻击。WIDSMonitorAPAccessPointsWir其它安全标准802.11w标准802.11i只是保护数据报文；802.11有大量管理报文需要安全保护，如802.11e协商报文、Disassociation,deauthenticate帧等。802.11w目的就是要解决管理报文的安全性；802.11s标准针对Mesh网络数据安全，包括meshlink链路安全保护，meshlink密钥协商等内容，在802.11s中定义。管理报文安全＋数据报文安全＋WIDS构成了一个比较完整的无线安全solution其它安全标准802.11w标准管理报文安全＋数据报文安全＋W参考文献IEEE802.1xIEEE802.11iIEEE802.11IEEE802.11s中国WAPI标准RFC2865RemoteAuthenticationDial-InUserService(RADIUS)RFC2869:RADIUSExtensionsRFC2548:MicrosoftVendor-SpecificRADIUSAttributesRFC2869RadiusExtensionsRFC

2284Point-to-PointProtocol(PPP)EAPRFC

2716PPPEAP-TLSAuthenticationProtocolRFC

2246TLSProtocol

RFC2560

InternetX.509PublicKeyInfrastructureCertificateManagementProtocols参考文献IEEE802.1xWLAN安全技术培训演讲完毕，谢谢观看！演讲完毕，谢谢观看！WLAN安全技术培训日期：2008-08密级：内部公开杭州华三通信技术有限公司培训教师史扬00338WLAN安全技术培训日期：2008-08密级：内部公开杭州华引言

trServerServerServerComputerHackerHacker无线信号在air中传播，信号可接收范围内的人都可能构成潜在的安全威胁。所以无线安全是WLAN应用所面临的一个关键的课题。引言trServerServerServerCompute安全三要素安全IntegrityConfidentialityAuthenticity个体身份的认证，适用于用户、进程、系统等第三方服务器：确保你确实是我要通信的对方信息的完整性,数据不可篡改：不要篡改了我的数据，篡改了我知道信息的机密性:我的信息你看不了本培训围绕这三方面来讲解各技术标准所存在的问题和所要解决的问题安全三要素安全IntegrityConfidentialit培训内容导读Part1:802.11安全介绍首先介绍了802.11标准所存在的安全缺陷。通过对缺陷的分析，可以认识到哪些问题是802.11i和WAPI将关注和解决的。Part2:IEEE802.11i无线安全标准介绍802.11i是介绍的重点。802.11i其中一大特点是：重用了802.1x、EAP、Radius等既有标准，所以在介绍802.11i之前将首先介绍这些基础知识。Part3:中国WAPI无线安全标准介绍有了这个基础，WAPI就很容易理解，因为WAPI借鉴了802.11i思想。显然，本培训涉及了大量的协议和标准。本培训将重点关注协议所解决的问题和关键的概念，协议的细节请参考本胶片给出的文献列表（Part4)。培训内容导读Part1:802.11安全介绍Part1:802.11安全介绍802.11涉及的安全技术802.11认证方法RC4InitializationVector(IV)IntegrityCheckValue(ICV)802.11安全问题小结安全标准概述Part1:802.11安全介绍802.11协议对应的安全技术OpenSystemAuthenticationSharedKeyAuthenticationIntegrityCheckValue(ICV)RC4Authenticity接入控制IntegrityConfidentialityInitializationVector(IV)WEPWEP：WiredEquivalentPrivacy802.11协议对应的安全技术OpenSystemAut802.11认证方法最初的802.11协议定义了如下认证方法：OpenSystemAuthenticationStation和AP间只是发送认证请求和回应报文，没有真正的认证。ShareKeyAuthenticationAP向station发送明文的challengetext，station用本地的WEPkey加密challengetext并发给AP。AP解密该challengetext，如果和自己发送的challengetext一致，则用户认证通过。Hacker只要将明文challengetext和加密后的challengetext截获到，XOR就可以得到WEPkey。所以一般不使用SharekeyAuthentication802.11认证方法最初的802.11协议定义了如下认证方法RC4加密算法块(block)加密是将明文分割为多个block，再和KeystreamXOR802.11协议采用RC4进行加密：RC4是流(stream)加密，通过将Keystream和明文流XOR得到密文RC4加密算法块(block)加密是将明文分割为多802.1InitializationVector(IV)块加密和流加密统称为ElectronicCodeBook(ECB)方式，其特征是相同的明文将产生相同的加密结果。如果能够发现加密规律性，破解并不困难。为了破坏规律性，802.11引入了IV，IV和Key一起作为输入来生成keystream,所以相同密钥将产生不同加密结果。IV在报文中明文携带，这样接受方可以解密。IV虽然逐包变化，但是24bits的长度，使一个繁忙的AP在若干小时后就出现IV重用。所以IV无法真正破坏报文的规律性。InitializationVector(IV)块加密和IntegrityCheckValue(ICV)802.11使用(CRC-32)checksum算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。CRC-32本身很弱，可以通过bit-flippingattack篡改报文。IntegrityCheckValue(ICV)80802.11安全问题小结IV只有24bits,容易出现IV重用。弱integrityICV采用CRC-32，报文很容易被篡改而不被发现；不支持用户的身份认证；很容易通过AP来获知WEPkey配置。不支持用户密钥(sessionsecret)的动态协商和rekeyWEP只支持预配置key，没有提供Key分发机制，不适合企业等规模应用所以802.11的WEP等安全机制只适合家庭等用户。RC4本身并不是一个糟糕的加密算法，但是由于IV等问题导致了WEP机制不安全。802.11安全问题小结IV只有24bits,容易无线安全标准技术概述针对802.11标准存在的安全缺陷（数据报文的安全性），为了满足企业等应用，各标准组织对它进行了标准完善。802.11无线局域网目前的安全标准主要有两大发展主流：IEEE802.11i标准中国WAPI(WLANAuthenticationandPrivacyInfrastructure)标准两大技术标准综合使用了多种安全技术，实现了用户认证，数据完整性，用户数据加密保护，key管理，用户会话密钥的动态协商等功能。下面两个Part将对这两个标准进行分别介绍无线安全标准技术概述针对802.11标准存在的安全缺陷（数据Part２:IEEE802.11i标准介绍

802.11i概述

证书和PKI802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍802.11i协议标准为了解决802.11固有的WEP等协议安全缺陷，IEEE成立了802.11i工作组，于2004年完成了标准的制定。该标准标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。802.11i协议标准为了解决802.11固有的WEP等协议IEEE802.11i标准技术层次基于端口实现了对用户的身份认证，为802.11i过程准备了主key等key材料.通过EAP-TLS等认证方法对用户进行认证系统技术层次用户认证接入控制802.11i通过802.1x控制用户的接入802.11i基于4次握手实现了用户会话key的动态协商，基于TKIP、CCMP等算法实现数据的加密保护等。802.11i并没有重新定义认证方法等，而是主要依靠EAP-TLS,802.1x等现有技术标准实现用户接入认证等。IEEE802.11i标准技术层次基于端口实现了对用户的身IEEE802.11i主流程在Beacon,Association中携带802.11i相关IE基于802.1x进行用户身份认证802.11i4次握手协商数据加密密钥IEEE802.11i主流程在Beacon,Associ802.11i协议对应的安全技术EAP和TLS等认证方法AAA（Radius)MichaelTKIP(RC4)Authenticity接入控制IntegrityConfidentialityAES-CCM802.1x证书证书是身份认证的基础CBCCCMCounterModeTKIP(PerPacketMixing)802.11i协议对应的安全技术EAP和TLS等认证方法APart２:IEEE802.11i标准介绍802.11i标准概述

证书和PKI802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍对称和非对称密钥对称密钥非对称密钥对称key是唯一的秘密，key的分发和安全性存在很大困难。只有私钥是秘密，而公钥是可以公开获得的,这简化了key的分发，提高了安全性对称和非对称密钥对称密钥非对称密钥对称key是唯一的秘密，k非对称密钥典型应用数据加密非对称密钥非常消耗计算资源，非对称密钥经常和对称密钥相结合。发送者接收者用对称密钥加密数据用接收者的公钥加密对称密钥，和加密数据一同发送给用户用自己的私钥解密获得对称密钥用对称密钥解密数据非对称密钥典型应用数据加密发送者接收者用对称密钥加密数据用接非对称密钥典型应用数字签名私钥被一个人唯一地拥有，签名后的数据和他身份绑定，不可抵赖。签名者接收者对待签名的数据进行hash将hash的数据用私钥进行加密保护，即签名将原始数据和签名后数据一同发送给用户用签名者的公钥对签名数据进行解密本地对原始数据计算hash比较本地hash后的数据和签名者的Hash值Hash是对任意非空长度的数据经过运算之后得到固定长度的hash值，结果反映原始数据的特征，即数据的指纹。Hash可以确认数据是否被篡改，保证数据的完整性。非对称密钥典型应用数字签名签名者接收者对待签名的数据进行ha非对称密钥典型应用Key协商单向对称key保护一方提供对称key，通过公钥加密后发送给接收者对称key协商双方参与key协商，协商过程通过公钥进行加密保护EAL-TLS就是用非对称密钥保护key协商非对称密钥典型应用Key协商EAL-TLS就是用非对称密钥为什么需要PKI架构？不对称密钥机制在实际应用时，要求：依赖中间机构来管理公钥等信息；提供信息的机构必须可信；信息本身是可信的信息易于访问和获得所以需要一个公钥管理架构：PKI在PKI（Public-KeyInfrastructure）架构下，通过证书（Certification）来存储公钥等信息，通过CA(CertificationAuthority)等服务来管理证书。证书是PKI的核心概念。为什么需要PKI架构？不对称密钥机制在实际应用时，要求：所以证书数字证书就是：把公钥和身份绑定在一起，由一个可信的第三方对绑定后的数据进行签名，以证明数据的可靠性。这个第三方称为CA(证书授权中心，也可称证书服务器）。证书的权威性取决于CA的权威性。签名证书和加密证书应该分开保存最常用的证书格式为X.509v3.X.509常用的加密算法是RSA,DSA,Diffie-Hellmanalgorithms。最常用的是RSA算法证书在EAP-TLS等认证方法中，最主要作用是帮助验证用户或AAA的身份证书X.509常用的加密算法是RSA,DSA,Diffi证书格式Version:X.509版本号(v1,v2,v3)Serialnumber:CA内标识证书(用户)的整数,不同证书(用户)的序列号不同(同一CA内)Signaturealgorithmidentifier:CA用来签署该证书的算法和参数,在后面也出现.Issuername:发行并签署该证书的CAPeriodofvalidity:有效期(起始日期和终止日期)Subjectname:证书持有者的姓名Subject’spublic-keyinfo:证书持有者的的公钥,算法类型及参数(可与CA的签名算法不同)Signature&algorithmidentifier:用CA私钥签名的hash值以及签名算法和参数证书格式Version:X.509版本号(v1,v2,v3PKI基本组成接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表CA(CertificationAuthority)RA(Registration

Authority

)对于申请证书的个人和团体，CA可能会让RA来完成必要的身份认证以保证他们的真实身份与他们要声明的身份一致。CRL（CertificateRevocationList）作废证书列表，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。PKI基本组成接受用户的请求CA(CertificationPKI基本组成（续）公钥证书由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。证书存档(Repository)一个电子站点，存放证书和作废证书列表、CA在用证书和作废证书。用户（Subscriber）用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。PKI基本组成（续）公钥证书证书存档(Repository)证书申请和颁发过程PCA与PCB通过路由器连到因特网上，从而可以与网络中的某个认证机构建立连接。PCA要申请证书时，先登陆此PKI证书体系，向它发出自己的申请，并按照当地CA的策略填写相关信息。此申请信息会被注册机构RA转给CA服务器，CA负责对其验证,通过后会给PCA颁发相应级别的证书。与此同时PCA的用户信息和刚颁发的数字证书也会被置于LDAP（轻量级目录访问协议）服务器中，便于PCA登陆取回自己的证书，或者提供给其他用户进行访问。结合银行证书实例进行解释证书申请和颁发过程PCA与PCB通过路由器连到因特网上，从而证书验证过程证书验证即检查一个证书的有效性。一般对被验证证书需要作签发时间、签发者信息以及证书的有效性几方面的检查。证书验证的核心就是检查CA在证书上的签名，并确定证书仍在有效期内，而且未被废除。CA只负责证书的颁发，维护，并不负责证书校验。由证书使用者（如IE客户端，检查用户证书的AAA等），对证书执行如下检查：验证证书的签名，用签发该证书的CA的公钥进行验证CRL检查，证书是否撤销。有效期验证证书验证过程证书验证即检查一个证书的有效性。一般对被验证证书Part２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议EAP协议EAP-TLS协议Radius协议802.11i技术小结802.11i配置应用Part２:IEEE802.11i标准介绍802.1x认证参与实体Supplicant被认证的无线客户端。Authenticator一般是AP或AC，负责协助Authenticationserver通过EAP-TLS等认证方法对用户身份进行认证和执行授权控制。802.1x认证过程结束后，supplicant和authenticator间将基于802.11i本身定义的4次握手过程动态地协商用户会话密钥。AuthenticationServer支持EAP-TLS,EAP-PEAP等认证方法的AAAserver，对用户进行身份认证。802.1x认证参与实体Supplicant802.1x体系架构EAP协议框架作为认证协议框架，可以承载多种认证方法，而不限制具体的认证方法，具有很好的扩展性。EAP认证方法定义了实际的认证过程和方法，代表性认证方法包括了EAP-TLS、EAP-PEAP等。802.1x报文显然，EAP报文(EAP认证方法)在特定的链路层协议传递时，需要一定的报文封装格式。这就是EAPOL（EAPoverlink）报文的作用。EAP报文传输EAPOL报文主要在supplicant和authenticator之间传送。由于认证是通过authenticationserver完成的，所以在认证过程中，authenticator将把EAPOL报文中的认证报文封装到Radius报文中，通过Radius报文和authenticationserver进行交互。802.1x体系架构EAP协议框架1x受控和非受控端口受控端口认证前:非受控端口802.1X流量Non-802.1X流量(被阻塞)受控端口认证后:非受控端口802.1X流量Non-802.1X流量(非阻塞)1x受控和非受控端口受控端口认证前:非受控端口802.1XEAPOL报文格式（802.1x定义）PacketType定义了EAPO报文的类型：0：EAP-Packet，承载EAP认证报文1：EAPOL-Start，客户端触发认证过程3：EAPOL-key，承载协商的密钥888E标识了一个frame是EAPOL

为了在Supplicant，Authenticator和AS间传递认证报文，需要定义EAP报文的链路层封装格式EAPOL:EAPOL报文格式（802.1x定义）PacketType客户端和设备（Authenticator）之间为EAPOL报文；Authenticator和认证server间一般为EAPOverRadius报文。通过EAP-message属性，EAP报文将在Radius的Access-Request和Access-Challenge报文中携带。认证过程在客户端和认证server间进行，设备主要是作透传，EAPOL和EAPOR报文格式的转换工作等；EAPOL报文传递客户端和设备（Authenticator）之间为EAPOLPart２:IEEE802.11i标准介绍802.11i标准概述证书和PKI

802.1x协议

EAP协议EAP-TLS协议Radius协议802.11i技术小结802