计算机网络安全课件第5章.ppt

计算机网络安全 第五章 第五章无线局域网安全技术 无线局域网的开放性 WEP加密认证机制 WEP的安全缺陷 802 11i 无线局域网的开放性对移动通信带来了便利 但也产生了严重的安全问题 WEP加密和认证机制就用于解决因为开放性带来的安全问题 但WEP技术本身存在严重的安全缺陷 802 11i是目前解决无线局域网安全问题的理想技术 5 1无线局域网的开放性 频段的开放性 空间的开放性 开放带来的安全问题 允许自由使用开放频段为无线局域网产品提供了频段保证 空间的开放性一是免除了线缆铺设 二是方便了移动通信 但这两个开放性造成的后果是通信的不安全 频段的开放性 开放频段是无需国家无线电管理委员会批准就可使用的频段 无线电频段是重要的国家资源 审批过程非常复杂 开放频段为无线电产品生产厂家免除了频段审批的麻烦 开放频段的信号能量必须受到限制 否则 可能相互影响 开放频段 空间的开放性 空间开放性使得终端不需要通过线缆连接网络 但信号传播范围内的任何终端都能接收其他终端之间的传输的数据 也能向其他终端发送数据 如果没有采取措施 通信的安全性无法保障 开放带来的安全问题 由于开放频段是公共频段 允许自由使用 很容易发生信号干扰问题 信号传播范围内的终端都能接收其他终端之间传输的数据 也能向其他终端发送数据 因此 必须验证发送者身份 同时 需要加密经过自由空间传输的数据 AP作为内部网络和无线局域网的连接点 需要对终端实施接入控制 5 2WEP加密和认证机制 WEP加密机制 WEP帧结构 WEP认证机制 基于MAC地址认证机制 关联的接入控制功能 WEP主要提供加密和认证机制 可以加密终端间传输的数据 允许终端和AP交换数据前 由AP完成对终端的身份认证 通过认证的终端的MAC地址记录在关联表中 以后的数据交换过程中 MAC地址作为发送端的标识符 WEP加密机制 24位初始向量 IV 和40位 或104位 密钥构成64位伪随机数种子 产生数据长度 4 单位字节 的一次性密钥 数据的循环冗余检验码 4个字节 作为数据的完整性检验值 ICV 用于检测数据的完整性 一次性密钥和数据及ICV进行异或运算 其结果作为密文 为了在发送端和接收端同步伪随机数种子 以明文方式传输IV 由于伪随机数种子由密钥和IV组成 截获IV并不能获得伪随机数种子 WEP加密过程 用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子 产生一次性密钥 如果接收端保留的密钥和发送端相同 则接收端产生和发送端相同的一次性密钥 用和密文相同长度的一次性密钥异或密文 得到数据和4字节的ICV 根据数据计算出循环冗余检验码 并与ICV比较 如果相同 表明数据传输过程未被篡改 WEP加密机制 WEP解密过程 WEP帧结构 控制字段中的WEP标志位置1 净荷字段中包含密文 数据和ICV与一次性密钥异或运算后的结果 IV 密钥标识符 2位密钥标识符允许发送端和接收端在4个密钥中选择一个密钥作为伪随机数种子的组成部分 WEP认证机制 确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥 终端一旦通过认证 AP记录下终端的MAC地址 以后 终端MAC地址就是授权终端发送的MAC帧的标识符 challenge是128字节长度的随机数 密文 challenge ICV K K是一次性密钥 以IV和密钥为伪随机数种子生成的伪随机数 其长度 128 4 单位字节 基于MAC地址认证机制 AP首先建立授权终端MAC地址列表 终端是否是授权终端的依据是该终端的MAC地址是否包含在AP的MAC地址列表中 关联的接入控制功能 建立关联过程中 终端和AP完成物理层协议 信道 传输速率的同步过程 建立关联过程中 AP完成对终端的认证 建立关联后 终端的MAC地址将记录在关联表中 AP只接收 发送源或目的MAC地址在关联表中的MAC帧 这些意味着一旦终端和AP建立关联 AP已经完成对终端的接入控制过程 建立关联过程 5 3WEP的安全缺陷 共享密钥认证机制的安全缺陷 一次性密钥字典 完整性检测缺陷 WEP安全缺陷起因于以下几点 一是一次性密钥和初始向量一一对应 发送端通过明文传输初始向量 且密文和明文的异或操作结果即是一次性密钥 二是一次性密钥的空间只有224 且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性 三是用循环冗余检验码作为完整性检测码 容易实现同时篡改密文和加密后的ICV 共享密钥认证机制的安全缺陷 两端一次性密钥K取决于明文IV Y P K 很容易根据Y和P推出K P Y P P K K IV不变 AP根据IV推出的一次性密钥K不变 如果Y P K AP认定黑客终端拥有共享密钥 一次性密钥字典 一次性密钥和初始向量一一对应 初始向量又以明文方式出现在WEP帧中 在知道明文P和密文Y的情况下 又很容易得出一次性密钥K P Y 图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度 固定内容的数据 入侵终端通过接收发送给授权终端的密文和对应的IV 及已知的数据明文得出不同IV和一次性密钥的对应关系 这就是固定长度的一次性密钥字典 黑客建立固定长度的一次性密钥字典的过程 一次性密钥字典 入侵终端发送正确加密的ICMPECHO请求报文给AP AP将回送ICMPECHO响应报文 根据固定长度L的一次性密钥字典 试探性得出L 8长度的一次性密钥 试探过程采用穷举法 一次性密钥的高L位保持不变 底8位从0开始 每次增1 完整性检测缺陷 数据 M1 X ICV Xr M1 X G X 的余数 即R1 X 密文 Xr M1 X R1 X K 篡改密文数据 Xr M2 X R2 X 其中R2 X Xr M2 X G X 的余数 如果篡改后密文 Xr M1 X R1 X K Xr M2 X R2 X 由于 Xr M1 X M2 X G X 的余数 R1 X R2 X 用一次性密钥异或篡改后密文的到的明文 其完整性检测结果是未被篡改 5 4802 11i 802 11i加密机制 802 1X认证机制 动态密钥分配机制 WEP是对所有BSS内的终端分配SSID和密钥 SSID和密钥是BSS合法终端的标识 802 11i基于用户进行认证 即必须给授权用户分配用户名和口令 只有拥有合法用户名和口令的用户才能和AP建立安全关联 基于用户成对分配密钥 即密钥基于终端和AP 而不是BSS 密钥只在安全关联存在期间有效 一旦安全关联结束或建立新的安全关联 重新生成密钥 802 11i加密机制 802 11i加密机制主要有 临时密钥完整性协议 TKIP CCMP TKIP是尽量和WEP兼容 但又比WEP有着更安全的加密和完整性检测机制的一种加密认证机制 CCMP和WEP没有相关性 采用较复杂的加密和完整性检测算法 802 11i加密机制 48位TSC 终端MAC地址 和TK一起作为伪随机数种子 在TSC高32位不变的情况下 TTAK维持不变 第2级密钥混合函数输出的128位伪随机数 作为WEP加密机制的伪随机数种子 用于产生数据长度 4的一次性密钥 完整性检测含源和目的MAC地址 密钥混合函数是伪随机数生成器 Michael是简化的报文摘要算法 但完整性检测能力远远超过循环冗余检验码 TK是临时密钥 只在安全关联存在期间有效 源和目的MAC地址 优先级 净荷 MIC构成用于加密的数据 为了和接收端同步 TKIPMPDU必须携带48位的TSC 因此 TKIP增加了4字节的扩展IV 1字节WEP种子用于检测TSC 密钥标识符允许发送端和接收端在4个临时密钥中选择 WEP帧和TKIPMPDU的区别是IV中的扩展IV位 802 11i加密机制 MAC帧格式和TKIPMPDU封装过程 从MAC帧中取出以明文传输的TSC和发送端地址TA 根据TA确定临时密钥TK 以此生成128位伪随机数种子 根据128位伪随机数种子 生成一次性密钥 一次性密钥和密文异或操作 还原出明文 明文由源和目的MAC地址 优先级 净荷和MIC组成 如果明文是这些内容分段后的某个段 需要将所有段重新拼装成原始格式 然后根据源和目的MAC地址 优先级 净荷与MIC密钥计算MIC 将计算结果和MAC帧携带的MIC比较 如果相同 表示源和目的MAC地址 优先级 净荷在传输过程中未被篡改 由于每一段数据封装成TKIP帧格式时 WEP加密机制用循环冗余检验码作为ICV 用于检测密文传输过程中是否被篡改 因此 每一段数据对应的TKIP帧需用ICV检测传输过程中是否被篡改 802 11i加密机制 TKIP解密过程 MIC主要对数据和MAC帧首部中的关键字段值进行完整性检测 因此 输入内容由数据 MAC帧MAC帧首部中的关键字段值构成的附加认证数据和用于防止重放攻击的随机数及用于确定随机数和附加认证数据长度的标志字节组成 计算MIC的过程是首先将输入内容分成128B的数据段 除第一段外 前一段AES加密结构和当前段数据的异或结果作为AES的输入 临时密钥作为加密密钥 最后一段数据加密结果的前8B作为计算MIC的一个参数 802 11i加密机制 CCMP计算MIC过程 一次性密钥产生过程是由多段标志字节 随机数和计数器构成的16B数据经AES加密运算后生成多段16B密文 这些密文串接在一起 构成和数据同样长度的一次性密钥 不同的计数器值保证每一段密文是不同的 802 11i加密机制 CCMP加密数据过程 附加认证数据由MAC首部中传输过程中不变的字段组成 需要对这些字段的完整性进行检测 随机数由报文序号 发送端地址和优先级组成 使得不同发送端 不同MAC帧的随机数均不相同 CCMP根据随机数和附加认证数据计算MIC和数据相同长度的一次性密钥 用一次性密钥和数据的异或操作产生密文 802 11i加密机制 CCMP加密MAC帧的过程 CCMP首部中以明文方式传输了报文编号 报文编号的作用一是防止重放攻击 也称中继攻击 二是同步随机数 随机数是计算MIC和一次性密钥的参数 802 11i加密机制 CCMP帧格式 解密和完整性检测的关键是重新计算一次性密钥和MIC 计算一次性密钥所需要的参数主要有临时密钥TK 报文编号和发送端地址及全0的优先级字段 因此 产生相同的一次性密钥的前提是同步计算一次性密钥所需要的参数 同样 重新计算MIC 需要同步附加认证数据 随机数和临时密钥TK 802 11i加密机制 CCMP解密和完整性检测过程 802 1X认证机制 802 11i的安全性基于以下特点 基于用户身份认证 不是基于终端 因此 同一用户可在不同的BSS和AP建立安全关联 和AP建立安全关联 并在建立安全关联时分配临时密钥TK TK只在安全关联存在期间有效 802 11X完成双向的 基于用户的身份认证 并分配临时密钥TK 安全关联指在正常建立的关联的基础上由802 11X完成双向的 基于用户的身份认证 并分配临时密钥TK的关联 建立安全关联的第一步是建立正常关联 建立正常关联需要终端和AP之间完成信道 物理层协议及传输速率同步 终端认证和关联建立过程 由于需要用802 1X进行双向身份认证 因此 关联建立过程常使用开放系统认证方式 如果安全机制采用802 11i 在没有用802 1X完成双向身份认证和临时密钥分配前 关联是非授权关联 终端不能通过该关联向AP发送数据 802 1X认证机制 这种网络结构可以使用户接入相同SSID的不同无线局域网 而且通过用户名和口令对每一个用户进行身份认证 不同用户和AP分配不同的临时密钥TK 因此 TK只是安全关联存在期间 特定终端和AP的共享密钥 802 1X认证机制 双向CHAP网络结构 challenge1 MD5 标识符 challenge1 PASSA challenge2 一旦注册 认证服务器的认证数据库中有用户名和口令 同时 注册用户也被告知用户名和口令 因此 用户名和口令只有认证服务器和用户知道 AP和认证服务器之间通信需要通过共享密钥K认证发送端身份 因此 只有拥有和认证服务器之间共享密钥的AP才是授权AP 一旦证明某个用户拥有注册用户名和口令 该用户就是注册用户 同样 用户一旦通过AP证明认证服务器知道用户名和口令 也证明AP是授权AP 802 1X认证机制 MD5 标识符 challenge2 PASSA TLS的功能一是约定安全参数 如加密算法 报文摘要算法 压缩算法及主密钥等 二是认证双方身份 认证双方身份的过程是首先用证书证明用户名和SSID与公钥的绑定 然后证明自己拥有公钥对应的私钥 由于AP和认证服务器之间通信时 用共享密钥认证对方身份 因此 一旦证实认证服务器的身份 也证实了AP的身份 802 1X认证机制 TLS网络结构 EAP认证协议和TLS认证机制 用户A和AP之间无线局域网连接 EAP的操作过程是不断重复请求和响应报文 每一个EAP报文可以包含多个TLS消息 802 1X认证机制 动态密钥分配机制 802 1X分两步 先是完成双向身份认证 如果采用双向CHAP认证机制 认证服务器和终端通过口令推出主密钥 如果采用TLS认证机制 由认证服务器和终端通过认证过程约定主密钥 完成双向身份认证后 由认证服务器向AP发送一个主密钥 AP然后和终端通过密钥分配过程生成成对临时密钥TK 成对临时密钥的含义是该密钥只是终端和AP之间的共享密钥 而且只是在安全关联存在期间有效 以终端和AP具有的主密钥 双方交换的随机数AN和SN 终端和AP的MAC地址为伪随机数种子生成过度密钥 为了求证终端和AP生成相同