第10讲 无线局域网的安全

引入问题：WLAN的安全性配置和有线网络一样吗？如果不一样，有什么区别？

认证、鉴权和加密的实现与发展进程WLAN的安全标准

WLAN的认证、鉴权和加密是如何实现的？企业级的WLAN和家用的安全性配置有何区别？第8章无线局域网安全黑客威胁WLAN安全有线等效加密Wi-Fi保护接入IEEE802.11i和WPA2WLAN安全措施无线热点安全VoWLAN和VoIP安全黑客威胁

在家里，不仅是蓄意的黑客可能将无安全措施的无线网络视为免费资源。如果没有基本的安全措施，任何在隔壁房间或公寓有无线配置的电脑都可以连接到网络，并可以自由使用像因特网连接这样的资源。第8章无线局域网安全黑客威胁WLAN安全有线等效加密Wi-Fi保护接入IEEE802.11i和WPA2WLAN安全措施无线热点安全VoWLAN和VoIP安全

WLAN面临的安全威胁拒绝服务(Denialofservice,DoS)攻击。攻击者使用过量的通信流量使网络设备溢出，从而阻止或严重减慢正常的接入。该方法可以针对多个层次，例如，向Web服务器中大量发送页面请求或者向接入点发送大量的链接或认证请求。人为干扰。是DoS的一种形式，攻击者向RF波段发送大量的干扰，致使WLAN通信停止。在2.4GHz频段上，蓝牙设备、一些无绳电话或微波炉都可以导致上述干扰。

WLAN面临的安全威胁插入攻击。攻击者可以将一个未授权的客户端连接到接入点。这是由于没有进行授权检查或者攻击者伪装成已授权用户。重放攻击。攻击者截取网络通信信息（例如口令），稍后用这些信息可以未经授权地接入网络。广播监测。在一个配置欠佳的网络中，如果接入点连接到集线器而不是交换机，那么集线器将会广播数据包到那些并不想接收这些数据包的无线站点，它们可能会被攻击者截取。ARP欺骗（或ARP缓存中毒）。攻击者通过接入并破坏存有MAC和IP地址映射的ARP的高速缓冲，来欺骗网络使其引导敏感数据到攻击者的无线站点。

WLAN面临的安全威胁会话劫持（或中间人攻击）。是ARP欺骗攻击的一种，攻击者伪装成站点并自动链接来断开站点和接入点的连接，然后再伪装成接入点使站点和攻击者相连接。流氓接入点（或恶魔双子截取）。攻击者安装未经授权的带有正确SSID的接入点。如果该接入点的信号通过放大器或者高增益的天线增强，客户端将会优先和流氓接入点建立连接，敏感数据就会受到威胁。

WLAN面临的安全威胁密码分析攻击。攻击者利用理论上的弱点来破译密码系统。例如，RC4密码的弱点会导致WEP易受攻击（参见8.3节）。旁信道攻击。攻击者利用功率消耗、定时信息或声音和电磁发射等物理信息来获取密码系统的信息。分析上述信息，攻击者可能会直接得到密钥，或者可以计算出密钥的明文信息。

WLAN面临的安全威胁WLAN的安全措施用户认证确认试图接入网络的用户与他们申明的身份一致。用户接入控制只允许那些被认证可以接入的用户接入网络。数据保密通过加密保证网络上传输的数据不被窃听或未授权接入。密钥管理建立、保护以及分配密钥来加密数据和其他消息。消息完整性检查消息在传输过程中是否没有被修改。802.11涉及的安全技术开放式认证系统共享密钥认证系统完整性校验(ICV)RC4加密认证技术接入控制完整性检验技术加密技术初始化向量(IV)WEP：有线等效保密算法WEP第8章无线局域网安全黑客威胁WLAN安全有线等效加密Wi-Fi保护接入IEEE802.11i和WPA2WLAN安全措施有线等效加密WEPWEP提供了有限的接入控制和采用密钥的数据加密：接入控制（认证）：Opensystemauthentication开放系统认证是802.11的缺省设置，不进行认证Sharedkeyauthentication共享密钥认证使用一个共享的密钥，完成AP对接入点的认证数据加密：采用RC4加密算法将Keystream和明文流进行XOR得到密文完整性检验：802.11的认证——共享密钥认证STAAP认证请求挑战码(128bytes随机数)挑战码回应确认成功/失败用RC4加密随机数解密收到的相应结果，并与原发送的随机数进行比较，如果相同则认为成功生成随机数发送到客户端缺点：Hacker只要将明文challengetext和加密后的challengetext截获到进行XOR就可以得到WEPkey。共享秘钥认证有线等效加密WEPWEP提供了有限的接入控制和采用密钥的数据加密：接入控制（认证）：Opensystemauthentication开放系统认证是802.11的缺省设置，不进行认证Sharedkeyauthentication共享密钥认证使用一个共享的密钥，完成AP对接入点的认证数据加密：采用RC4加密算法将Keystream和明文流进行XOR得到密文完整性检验：802.11加密——RC4STAAP加密报文＋IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文1208E802.11协议采用RC4进行加密：RC4是流(stream)加密，通过将Keystream和明文流XOR得到密文。为了破坏规律性，802.11引入了IV，IV和Key一起作为输入来生成keystream,所以相同密钥将产生不同加密结果。IV在报文中明文携带，这样接受方可以解密。IV虽然逐包变化，但是24bits的长度，使一个繁忙的AP在若干小时后就出现IV重用。所以IV无法真正破坏报文的规律性。流加密的特征是相同的明文将产生相同的加密结果。如果能够发现加密规律性，破解并不困难。有线等效加密WEPWEP提供了有限的接入控制和采用密钥的数据加密：接入控制（认证）：Opensystemauthentication开放系统认证是802.11的缺省设置，不进行认证Sharedkeyauthentication共享密钥认证使用一个共享的密钥，完成AP对接入点的认证数据加密：采用RC4加密算法将Keystream和明文流进行XOR得到密文完整性检验（ICV,IntegrityCheckValue）：采用CRC-32802.11的完整性检验(ICV)——CRC-32

802.11使用(CRC-32)校验和算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。CRC-32本身很弱，可以通过位交换攻击（bit-flippingattack）篡改报文。明文明文初始向量密钥密钥流密文802.11安全问题小结暴力以及字典攻击法猜出使用者所选取的密钥已知或者猜测原文攻击法利用已知的部分明文信息和WEP重复使用IV的弱点，很容易获取WEPkey，从而解出其他加密包。弱完整性检验。ICV采用CRC-32，它具有线性性质，可以轻易构造CRC：CRC(A+B)=CRC(A)+CRC(B).因此，报文很容易被篡改而不被发现。不支持用户密钥(sessionsecret)的动态协商WEP只支持预配置key，没有提供Key分发机制第8章无线局域网安全黑客威胁WLAN安全有线等效加密Wi-Fi保护接入IEEE802.11i和WPA2WLAN安全措施WPA（Wi-Fi保护接入）WPA：Wi-Fi®ProtectedAccess(Wi-Fi保护接入)，是无线网络的数据加密标准.该标准于2003年正式启用。认证：家庭模式：WPA-PSK（预共享密钥）企业模式：802.1X/EAP加密：临时密钥完整性协议（TKIP）完整性检验：采用消息完整性检查(MIC)WPA-PSK（Pre-SharedKey，预共享密钥）：当采用WPA加密的时候，家庭网络中采用的WPA的简化版，WPA-PSK。PSK码是无线网络的密钥，密钥长度为256位明显强于WEP标准中使用的64位和128位密钥。WPA（Wi-Fi保护接入）WPA：Wi-Fi®ProtectedAccess(Wi-Fi保护接入)，是无线网络的数据加密标准.该标准于2003年正式启用。认证：家庭模式：WPA-PSK（预共享密钥）企业模式：802.1X/EAP加密：临时密钥完整性协议（TKIP）完整性检验：采用消息完整性检查(MIC)IEEE802.1x认证架构IEEE802.1x：通过认证用户来为网络提供有保护的接入控制协议。802.1x协议是一种基于端口的网络接入控制协议:在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，接入点上会为网络接入打开一个虚端口,就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于物理连接被断开。IEEE802.1x认证架构IEEE802.1x认证定义了三个元素：请求者：无线站点上运行的寻求认证的软件；认证者：代表请求者要求认证的无线接入点；认证服务器：运行着RADIUS或Kerberos等认证协议的服务器，使用认证数据库来提供集中认证和接入控制。该标准定义了数据链路层如何使用可扩展认证协议(EAP)在请求者和认证服务器之间传送认证信息。实际的认证过程是根据具体使用的EAP类型来定义和处理的，作为认证者的接入点只是一个媒介，它使得请求者和认证服务器能够通信。RADIUS(RemoteAuthenticationDial-inUserService)，远程认证拨号用户服务协议，由兼容WPA的接入点支持，提供集中认证、授权和计费服务。RADIUS认证中EAP的消息格式请求者=客户无线LAN认证者=接入服务器内部互联LANRADIUS消息格式认证服务器EAP消息封装为RADIUS消息属性ＥＡＰＯＬ包携带的EAP请求和响应消息IEEE802.1x认证无线客户端通过接入点认证寻求网络接入：802.1x利用EAP(

ExtensibleAuthenticationProtocol，可扩展认证协议)链路层安全协议，在通过认证以前，只有EAPOL报文（ExtensibleAuthenticationProtocoloverLAN）可以在网络上通行。认证成功后，通常的数据流便可在网络上通行。接入点作为RADIUS服务器的客户端，向服务器发送一个含有用户证书和请求连接参数信息的RADIUS消息（参见图8.5）。服务器通过已存的姓名列表和授权用户的证书来认证用户。RADIUS服务器可以认证、授权或拒绝请求，任何一种情况都会送回一个响应消息。IEEE802.1x认证过程步骤EAP（可扩展认证协议）SupplicantAuthenticatorAuthenticationServerEAP认证方法(EAP-TLS，EAP-TEAP)EAP协议802.1XEAPOLEAP报文（封装在Radius报文）EAP(

ExtensibleAuthenticationProtocol)是认证协议框架，不提供具体认证方法，可以实现多种认证方法802.1X报文(EAP认证方法)在特定的链路层协议传递时，需要一定的报文封装格式。EAP报文传输.authenticator将把EAPOL报文中的认证报文EAP封装到Radius报文中，通过Radius报文和authentication

server进行交互。注意：802.1X提供了控制接入框架，依赖EAP协议完成认证，EAP协议给诸多认证协议提供了框架，EAP协议前端依赖EAPOL，后端依赖Raduis完成协议交换。WPA（Wi-Fi保护接入）WPA：Wi-Fi®ProtectedAccess(Wi-Fi保护接入)，是无线网络的数据加密标准.该标准于2003年正式启用。认证：家庭模式：WPA-PSK（预共享密钥）企业模式：802.1X/EAP加密：临时密钥完整性协议（TKIP）完整性检验：采用消息完整性检查(MIC)WEP和WPA的密钥管理和加密比较

TKIP(暂时密匙完整性协议)某站点被认证后，通过认证服务器或是从手动输入产生一个128比特的暂时密钥用于会话。TKIP（TemporalKeyIntegrityProtocol)：用来给站点和接入点分配密钥并为会话建立密钥管理机制。TKIP：将暂时密钥和每个站点的MAC地址相结合，加上TKIP顺序计数器，再与48比特初始化向量(IV)相加来产生数据加密的初始密钥。TKIP(暂时密匙完整性协议)TKIP密钥混合和加密过程临时密钥发射机的MAC地址短语1密钥混合WEPIV每包密钥PC4密钥TKIP序列计数器WEP封装加密MPDUMIC密钥源地址目的地址MSDU明文MIC分段尽管使用相同的RC4密码来产生密钥流，但是用TKIP的密钥混合和分配方法来代替WEP中的只有一个静态密钥，使得每个站点使用不同的密钥来加密发送的数据，这显著地改善了WLAN的安全性。该方法能从280000000000个可能的密钥中动态变化选择。TKIP(暂时密匙完整性协议)第8章无线局域网安全黑客威胁WLAN安全有线等效加密Wi-Fi保护接入IEEE802.11i和WPA2WLAN安全措施

IEEE802.11i和WPA2TKIP是WPA的核心组件，设计初衷是为对现有WEP设备进行固件升级。因此，WPA必须重复利用WEP系统中的某些元素，最终也被黑客利用。WPA2（Wi-FiProtectedAccess2，无线保护接入2）于2006年正式取代WPA。WPA2：强制使用AES算法和引入CCMP（计数器模式密码块链消息完整码协议）替代TKIP。WPA2和IEEE802.11i的关系：WPA2是WiFi联盟对IEEE802.11i标准终稿的实现。IEEE802.11i的框架结构通过EAP-TLS等认证方法对用户进行认证用户认证接入控制802.11i密钥管理及加密通过802.1x控制用户的接入802.11i实现用户会话key的动态协商用AES、CCMP算法实现数据的加密为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i和WPA2IEEE802.11i解决了以下问题：密钥协商：在设备链接期间每个选择的通信类型都有通过密钥协商拥有合适的机密性协议；安全参数协商后，在客户站和AP之间需利用IEEE802.1x或PSK进行相互认证。密钥分发和管理：在设备链接和认证时，通过EAP握手可以生成和管理两个层次的密钥。密钥对：用来保护客户站和AP之间的单播消息。群密钥：用来保护从接入点AP到它的BSS中的所有站点的多播或广播消息。更安全的加密：AES-CCMP。AES-CCMPAES-CCMP（AdvancedEncryptionStandard-CounterwithCipherlockchainingMessageAuthenticationCode,高级加密标准—带有密码块链消息认证代码协议的计数器模式），融合了以下三种加密技术：AES计数模式MIC与能加密任意长度消息的流密码RC4不同的是，AES是块密码，使用大小为128比特的固定消息块，加密密钥长度为128比特、192比特或256比特。这是Daemen和Rijmen的原创密码的一个具体实例，又称为Rijndael密码，它使用128～256比特大小的块和密钥，步进为32比特。AES-CCMP之高级加密标准（AES）AES-CCMP之：分组密码的计数模式AES-CCMP（AdvancedEncryptionStandard-CounterwithCipherlockchainingMessageAuthenticationCode,高级加密标准—带有密码块链消息认证代码协议的计数器模式）为块加密，802.11i要求AES为128bit,每block128bits.在分组密码的计数模式中，加密算法不是直接应用到数据块而是应用于任意的计数器。首先计算得到一个counter(初始值随机，然后累加1),AES后得到加密值。因此：CCM采用计数模式（