无线局域网中使用的加密技术PPT课件.pptx

01引言 什么是WLAN 无线局域网络英文全名 WirelessLocalAreaNetworks 简写为 WLAN WLAN利用射频技术 使用电磁波 取代双绞线 所构成的局域网络 Wi Fi是WLAN的重要组成部分 属于采用WLAN协议中的一项新技术 Wi Fi的覆盖范围则可达90米左右 而WLAN最大可以到5KM WLAN在为人们提供便利的同时 安全问题也日渐突出 WLAN与Wi Fi的区别 什么是802 11 802 11协议簇是国际电工电子工程学会 IEEE 为无线局域网络制定的标准 802 11采用2 4GHz和5GHz这两个ISM频段 目前主流的Wi Fi实用的是802 11n协议 最新的无线AP厂商开始改用802 11ac协议 802 11是Wi Fi使用的协议 02WEP协议 WEP协议概述 相对于有线网络来说 通过无线局域网发送和接收数据更容易遭到窃听 无线局域网中应用加密和认证技术的最根本目的就是使无线业务能够达到与有线业务同样的安全等级 针对这个目标 IEEE802 11标准中采用了WEP协议来设置专门的安全机制 进行业务流的加密和节点的认证 协议的制定 WEP是建立在RC4序列密码机制上的协议 并使用CRC 32算法进行数据检验和校正从而确保数据在无线网络中的传输完整性 RC4算法 RC4加密算法是RSA三人组中的RonaldRivest在1987年设计的密钥长度可变的序列密码算法簇 在WEP协议中密钥长度可选择64bit和128bit 由伪随机数产生算法 PRGA 和密钥调度算法 KSA 两部分构成 算法概述 罗纳德 李维斯特 RC4算法 1 KSA算法 线性填充 将S数组按从0至255的顺序填充 即令S0 0 S1 1 S255 255 记为Si 密钥填充 用密钥重复填充另一个256字节的数组 不断重复密钥直到填充到整个数组 得到 K0 K1 K255 记为Ki S盒交换 对于i 0到255 计算j j Si Ki mod256 交换Si与Ki KSA算法最终得到一个八进八出的S盒 S0 S1 S255 S0 S1 S2 S3 S254 S255 K0 K1 K2 K3 K254 K255 设k0 3 i 0时 j j S1 K1 mod256 0 k0 3 交换S0和K3 0 k3 RC4算法 2 PRGA算法 算法用到两个计数器i j 设其初值为0 每加密一个字节 将 i 1mod256 赋值给i 将 j Simod256 赋值给j 交换Si Sj 中间变量t Si Sj mod256 密钥K St 最后利用得到的密钥K与明文进行按位模2加 S0 S1 S2 S3 S254 S255 0 0 i j t 1 3 K 254 RC4算法 2 PRGA算法 算法用到两个计数器i j 设其初值为0 每加密一个字节 将 i 1mod256 赋值给i 将 j Simod256 赋值给j 交换Si Sj 中间变量t Si Sj mod256 密钥K St 最后利用得到的密钥K与明文进行按位模2加 S0 S1 S2 S3 S254 S255 0 0 i j t 1 3 K 21 K M C RC4算法 RC4算法的实现 RC4的算法比较简单 软件容易实现 只需把算法中的i j和S盒作为其内部状态 基于这种观点 编写程序时把内部状态封装在一个结构体中 KSA算法和PRGA算法则直接对这一结构体进行操作即可实现 RC4算法 RC4算法安全性分析 在RC4算法流程中 对S盒进行的唯一操作是交换 S盒始终保存256bit初始信息的某个转置状态 而且转置随着时间而更新 这也是算法的强度所在 算法的内部状态一共用256 个 此状态大约保存了1700bit的信息 RC4算法 RC4算法安全性分析 S盒的初始化状态仅仅依靠于加密密钥K 因此 若已知加密密钥就可完全破解RC4算法 加密密钥完全且唯一确定了RC4输出的伪随机数序列 相同的密钥总是产生相同的序列 另外 RC4算法本身并不提供数据完整性校验功能 此功能的实现必须由其他方法实现 RC4算法 RC4算法安全性分析 RC4算法属于序列密码 相同的密钥总是产生相同的输出 为解决密钥重用的问题 WEP协议中引入了初始化向量IV 初始化向量为一随机数 每次加密时随机产生 初始化向量以某种形式与原密钥相结合 作为此次加密的密钥 由于并不属于密钥的一部分 所以无须保密 多以明文传输 循环冗余检查 循环冗余检查 WEP协议中使用循环冗余算法 CRC 32 进行数据的完整性检查 CRC校验码的编码方法 1 用待发送的二进制数据t x 乘上Xr r为生成多项式的阶数 2 将结果除以生成多项式g x 完成的 最后的余数即为CRC校验码 WEP协议采用CRC 32的方式对数据进行编码 其生成的多项式为 x32 x26 x23 x22 x16 x12 x11 x10 x8 x7 x5 x4 x2 x 1 例如 对M x 1100 用G x 1011 求CRC码 a 将待编码的k 4位有效信息位组写成表达式 M x Ck 1Xk 1 Ck 2Xk 2 C1X C0 X3 X2 1100 b 将信息位组左移r 3位 M x Xr M X X3 1100000 c 用M x Xr除以G x 所得余数作为校验位 d 有效的CRC码 此处为 7 4 码 为 M x Xr R x 1100000 010 1100010 循环冗余检查 CRC 32算法的缺陷 1 检验和是有效数据的线性函数 恶意攻击者可以随意篡改原文的内容 2 由于CRC 32检验和不是加密函数 只负责检验原文是否完整 恶意攻击者还可以自己生成数据进行发送 由于这些缺陷的存在 攻击者开发了多种方法来破解WEP 例如chopchop攻击 分段攻击 FMS攻击和PTW攻击等 WEP协议 WEP协议 WEP加密过程 1 计算校验和对输入数据进行完整性校验和计算 把输入数据和计算得到的校验和组合起来得到新的加密数据 也称之为明文 明文作为下一步加密过程的输入 CRC 32 输入 校验码 输入 明文M WEP协议 WEP加密过程 2 加密将24位的初始化向量和40位的密钥连接进行校验和计算 得到64位的加密密钥 将这个64位的数据输入到PRGA算法中 产生加密时所用的乱数 乱数与明文按位异或 生成密文 IV 密钥 PRGA 乱数 密文C WEP协议 WEP加密过程 3 传输将初始化向量和密文串接起来 得到要传输的加密数据顿 在无线链路上传输 IV 密钥 PRGA 乱数 密文C WEP协议的不安全因素 RC4算法问题 RC4算法存在弱密钥性 研究发现 存在特殊格式的初始化向量IV 用它构造的密钥 弱密钥 生成的伪随机数的初始字节与此密钥的少数几个字节存在很强的相关性 大大地减少了搜索密钥空间所需的工作量 WEP协议的不安全因素 WEP本身的缺陷 使用了静态的WEP密钥 WEP协议中不提供密钥管理 所以对于许多无线连接网络中的用户而言 同样的密钥可能需要使用很长时间 WEP协议的共享密钥为40位 用来加密数据显得过短 不能抵抗某些具有强大计算能力的组织或个人的穷举攻击或字典攻击 WEP协议的不安全因素 WEP本身的缺陷 WEP没有对加密的完整性提供保护 协议中使用了未加密的循环冗余码校验CRC检验数据包的完整性 并利用正确的检查和来确认数据包 未加密的检查和加上密钥数据流一起使用会带来安全隐患 并常常会降低安全性 WEP协议的不安全因素 WEP本身的缺陷 由于WEP中存在这些缺陷 当在多个数据包上使用相同WEP静态密钥 相同的IV进行加密时 就产生了大量的弱密钥 攻击者收集到足够多的使用弱密钥进行加密的数据包后 经过统计分析 只需要相对较少的计算量就可以逐个字节地破解出静态密钥 WEP破解方法举例 被动无线网络窃听 由于WEP中存在这些缺陷 当在多个数据包上使用相同WEP静态密钥 相同的IV进行加密时 就产生了大量的弱密钥 攻击者收集到足够多的使用弱密钥进行加密的数据包后 经过统计分析 只需要相对较少的计算量就可以逐个字节地破解出静态密钥 WEP破解方法举例 ARP请求攻击模式 ARP 地址解析协议 是根据IP地址获取物理地址的一个TCP IP协议 攻击者抓取合法无线局域网客户端的数据请求包 如果截获到合法客户端发给无线访问接入点的是ARP请求包 攻击者便会向无线访问接入点重发ARP包 无线访问接入点接到这样的ARP请求后就会自动回复到攻击者的客户端 这样攻击者就能搜集到更多的初始向量IV WEP破解方法举例 ARP请求攻击模式 当捕捉到足够多的初始向量IV后就可以进行被动无线网络窃听并进行密码破解 但当攻击者没办法获取ARP请求时 其通常采用的模式即使用ARP数据包欺骗 让合法的客户端和无线访问接入点断线 然后在其重新连接的过程中截获ARP请求包 从而完成WEP密码的破解 03WPA WPA2协议 WPA协议 WPA协议概述 由于WEP协议自身存在的不足导致以此为安全机制的变得脆弱而易于被攻击破解 所以需要一种新的协议对其进行改进 WPA协议应运而生 对WPA的检验在2003年4月开始 完整的WPA标准是在2004年6月通过的 WPA采用的加密算法是临时密钥完整协议 TKIP RC4加密算法 该算法继承了WEP协议的加密原理 但是在WEP的加密原理上做出了巨大改进 弥补了WEP的缺陷 极大的提高了数据加密的安全性 WPA协议 WPA加密过程 阶段一密钥混合 阶段二密钥混合 MIC 分段 WEP封装 WPA协议 WPA加密过程图 WPA协议 1 阶段一密钥混合 输入 临时密钥TA128比特发送方的MAC地址48比特初始化向量IV的高32比特输出 一个中间密钥TTAK80比特 阶段一密钥混合 TK MAC IV TTAK AES中的S盒非线性较好 算法的操作 加法 异或 逻辑与 查表 操作速度较快 WPA协议 2 阶段二密钥混合 输入 中间变量TTAK80比特临时密钥TA128比特初始向量IV位的低16比特输出 WEP加密密钥SEED128比特 阶段二密钥混合 TA TTAK IV SEED 实现上 加法 异或 与或 右移 实现简单 运算速度较快 安全性 输入与输出间不存在明显的线性或差分关系 输出较好地掩盖了输入的数据 WPA协议 3 MIC 目的 保证名文块MSDU数据单元的完整性输入 MSDU的源地址 SA 目的地址 DA 优先级和MSDU明文数据 MIC密钥输出 MIC值算法 Michael算法 WPA协议 Michael算法 认证密钥Kmic64bitsMichael连接函数将消息M按32bits分割成M0 M1 Mn 最后生成64bits的MIC值 接收方用共享的Kmic和接收到的消息计算出MIC 与接收到的MIC进行校验 XSWAP是一个交换函数 XSWAP ABCD BADC 思想 代替 移位 WPA协议 4 分段 WEP封装 分段主要是将明文信息分段 有利于网络传输WEP封装是将第三步MIC数据完整性算法产生的MPDU单元利用第二步阶段二密钥混合算法生成的密钥进行WEP封装 WPA协议 4 分段 WEP封装 优点 之前使用WEP协议加密的设备只需要软件升级就可以支持WPA协议 兼容性好 缺点 仍然采用RC4算法 效率较低 限制了安全性的进一步提升 TKIP是一种过渡算法 WPA2协议 WPA2协议 WPA2协议概述 为了提高安全性 IEEE在21世纪初期一直致力于制定 IEEE802 11i安全标准 方式 2004年06月IEEE802 11i安全标准制定完毕 Wi Fi联盟经过修订后推出了具有与IEEE802 11i标准相同功能的WPA2协议 目前 WPA2已经成为一种强制性的标准 WPA2需要采用AES的芯片组来支持 WPA2协议 与WPA协议的区别 WPA2协议 CCMP算法 CCMP数据加密算法是基于高级加密标准AES的新一代加密算法 由于AES具有应用范围广 等待时间短 相对容易隐藏 吞吐量高等优点 能提供比RC4算法更高的加密强度 CTR CBC MAC 保密性 完整性 WPA2协议 CTR加密过程 对输入的计数器Ctri用密钥进行AES算法加密 生成密钥流SK i SK i AES Ctri K 将明文分组Pi与该密钥流进行异或 得到密文分组Ci Ci Pi SK i CTR模式保证安全性的关键在于正确的分配各计数器的值 不能用值相同的计数器分组加密多个明文分组 WPA2协议 CBC MAC算法 CCMP模式中使用的消息完整性认证码MIC是根据CBC MAC算法得出的 1 将该初始向量IV与要加密的数据分组Pi进行异或 2 经AES算法加密异或得到的数据分组 生成密文Ci WPA2协议 CBC MAC算法 处理下一个明文分组Pi 1时 初始向量IV由上一次加密生成的密文分组Ci充当 最后得到的认证码MIC为最后一个密文分组Cm的前n位 n可以取4 6 8等值 记IV为C0 MIC MSBn Cm 即课堂上讲的分组链接加密模式 WPA2协议 CCMP数据的封装 MPDU格式如图所示 可以看出 CCMP加密封装将原MPDU格式扩充了16个字节 其中8个字节为CCMPHeader 8个字节为MIC CCMPHeader由PN PacketNumber包号 ExtIV和KeyID组成 PN为6字节的数据包序列号 相当于WEP中的IV ExtIV比特位设置为1 用以标志CCMP 附加在DATA后面的MIC是通过前面所述的CBC MAC模式计算出来的 它和DATA一起要经过加密 具体封装过程如下 1 PN加1 保证对每个MPDU有一个不同的PN 这样在同一临时密钥TK中不会重复使用PN 2 用MAC帧头构造CCMP的附加认证数据AAD CCMP算法为AAD提供完整性保护 3 用PN MPDU的发送地址TA及其优先级值构造CCMNonce 4 把PN和KeyID放入CCMPheader 5 根据MPDU和nonce一起构造生成MIC IV 6 用MIC IV CCMPheader和明文MPDU 在TK作用下进行CBC MAC计算得到MIC 7 用PN和TA构造计数器counter 8 在TK控制下 对明文MPDU和MIC进行CTR加密 9 最后 由原MAC帧头 CCMPheader 和密文组合形成CCMPMPDU WPA2协议 CCMP安全性分析 CCMP是以高级加密标准AES为核心的加密算法 比WEP和TKIP中的RC4算法具有更高的安全性 CCMP使用同一个密钥进行CTR模式加密和CBC MAC模式认证 CTR模式和CBC MAC模式分别构造不同的IV 所以不会出现安全问题 WPA2协议 CCMP安全性分析 使用同一密钥的好处在于可以简化CCMP的设计 降低对密钥管理的要求 从而减少了因用户误用或密钥管理不健全而造成的安全漏洞 CTRwithCBC MAC模式已有20多年的历史 但其强大的安全性却得到了长期实践的证明 04WPA WPA2 PSK协议 WAP WPA2 PSK 企业级WPA WPA2的认证 企业级的WPA认证需要一台RADIUS服务器 该服务器存储了用户的相关信息 如用户名 密码 用户访问控制列表等 企业级WPA WPA2认证过程 请求连接 要求设备发送ID 企业级WPA WPA2认证过程 设备发送ID 将设备的ID发给服务器 从授权目录中获取设备的公钥Ea 用Ea加密的请求1 1 转发用Ea加密的请求1 1 企业级WPA WPA2认证过程 转发结果 2 用Da脱密得到并完成请求1 1 2 发送结果 2 处理结果正确 企业级WPA WPA2认证过程 转发利用公钥加密的MSK 告知AP允许设备连接 利用AP和设备的公钥提供主密钥MSK 利用私钥脱密得到主密钥 利用私钥脱密得到MSK 企业级WPA WPA2认证过程 利用MSK生成密钥加密密钥PMK利用PMK生成会话密钥PTK WAP WPA2 PSK WAP WPA2 PSK原理 企业级WPA WPA2具有很高的安全性 但这种认证模式需要架设一台专用的RADIUS服务器 对于小型企业和个人用户来说 代价过于昂贵 维护也很复杂 针对小型企业和个人用户 WPA WPA2提供了一种不需要RADIUS服务器的预共享 Pre SharedKey PSK 模式 WAP WPA2 PSK WAP WPA2 PSK原理 在PSK模式下 申请者和认证者预先输人一个passphrase 然后根据PSK函数生成PSK PSK f passphrase ssid kLength ssid是认证者的服务集标识 计算得到的PSK用于替代密钥加密密钥PMK WAP WPA2 PSK WAP WPA2 PSK原理 生成会话密钥PTK 需要5个必要元素 密钥加密密钥PMKAP随机产生的Anonce设备随机产生的SnonceAP 设备的MAC地址AMAC SMAC WPA WPA2 PSK认证过程 请求连接 发送随机信息ANonce WPA WPA2 PSK认证过程 此时设备已经具有生成临时密钥PTK的所有条件 产生SNonce 产生PTK WPA WPA2 PSK认证过程 SNonceSMACMIC 计算PTK验证完整性 Anonce 用PTK加密的组临时密钥GTK MIC WPA WPA