密码算法与协议93g安全性.doc

密码算法与协议93g安全性 2018/10/181Chapter9.Cryptographic Protocolsin Practice2018/10/182Contents An Authentication Service for Open Network Systems?Kerberos Wireless LAN?802.11x,WPAI MobileCommunication?GSM,3G security2018/10/183What isKerberos?The nameKerberoses from?a mythologicalthree-headed dogthat guardedthe entranceto HadesDeveloped atMIT inthe mid1980s?Part ofproject Athena?AnAuthentication ServiceforOpenNetworkSystems?Kerberos is a trusted third-party authenticationservice basedon themodel presentedby Needhamand SchroederNetwork AuthenticationProtocol?this formof securityhas beenevolving inthe Unixworld forover adecade andis nowbeing astandard.Available asopen sourceor insupported mercialsoftware.2018/10/184Server Server ServerServer Kerberos DatabaseTicket GrantingServer AuthenticationServer WorkstationKerberos KeyDistribution Service2018/10/185Working:ReviewAppServ Kerberosclient Authentication Service(AS)Ticket GrantingService(TGS)3.Send TGTand requestfor ticket toAppServ4.Return ticket forAppServ5.Send sessiontickettoAppServ6.(Optional)Send confirmationof identityto clientAppServ Windows2000domain controller(KDC)1.Request aticketforTGS2.Return TGTto client2018/10/1862018/10/187How itWorks.Kerberos Names.Application ServerApplication Client1Application Client2Kerberos Server Kerberos clientsname.instancerealm Cse3.rootCSE.lk Cse3.user3CSE.lk Cse6.rootCSE.lk Cse5.rootCSE.lk2018/10/188How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer Kerberos Server K tgs K c K s tgs,c2018/10/189How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer Kerberos Server K tgs K c K s tgs,c2018/10/1810How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer K tgs K c K sT c,tgsK tgs K c,tgs,2018/10/1811How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer Ktgs K c KsT c,tgsKtgs Kc,tgs,2018/10/1812How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer Ktgs Kc KsS,T c,tgsKtgs,A cKc,tgs2018/10/1813How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer Ktgs Kc KsS,T c,tgsKtgs,A cKc,tgs2018/10/1814How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer Ktgs Kc KsT c,sKs,K csKc,tgs2018/10/1815How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServer KerberosServer KtgsKc KsA cK cs,T c,sKs2018/10/1816How itWorks.Kerberos ProtocolApplication ClientApplication serverTicket GrantingServerKerberosServerKtgsKc KsA cK cs,T c,sKs2018/10/1817Advantages ofKerberos Passwordsarent exposedto eavesdroppingSingle Sign-on?More convenient:only onepassword,entered onceStolen ticketshard toreuse?Need authenticatoras well,which cant bereused Widesupport invarious operatingsystems Preventstransmission ofpasswords overthe work.2018/10/1818Limitations ofKerberos Kerberosserver canimpersonate anyoneKDC isa singlepoint offailure?Can havereplicated KDCs KDCcould bea performancebottleneck?Everyone needsto municatewith itfrequently?Not apractical concernthese days?Having multipleKDCs alleviatesthe problemIf localworkstation ispromised,users passwordcould bestolen?Only usea desktopmachine or laptop thatyou trust?Use hardwaretoken pre-authentication2018/10/1819Conclusion toKerberos Kerberosis aneffort todevelops servicethat canbe usedin anopen workputing environment,where workstationscannot betrusted.This isexpected tobe?Securedattackers doesnot findthe mechanism?Reliable-Services shouldbe available?Transparentuser shouldnot beaware of the authenticationtaking place2018/10/1820Wireless LANsIEEE ratified802.11in1997.?Also knownas Wi-Fi.Wireless LANat1Mbps&2Mbps.WECA(Wireless EtherCompatibility Alliance)promoted Interoperability.?Now Wi-Fi Alliance802.11focuses onLayer1&Layer2of OSImodel.?Physical layer?Data linklayer2018/10/1821版本频率通信技术速率2018/10/1822802.11Components Twopieces ofequipment defined:?Wireless station?A desktoporlaptopPC orPDA witha wirelessNIC.?Aess point?A bridgebetween wirelessand wiredworks?Composed of?Radio?Wired workinterface(usually802.3)?Bridging software?Aggregates aessfor multiplewireless stationsto wiredwork.2018/10/1823WLAN:Ciscos solution2018/10/1824802.11modes Infrastructure mode?Basic Service Set?One aess point?Extended Service Set?Two ormore BSSsforming asingle sub.?Most corporateLANs inthis mode.Ad-hoc mode?Also calledpeer-to-peer.?Independent Basic ServiceSet?Set of802.11wireless stationsthat municatedirectly without an aess point.?Useful forquick&easy wirelessworks.2018/10/1825InfrastructuremodeBasicServiceSet(BSS)Single cellExtended ServiceSet(ESS)Multiple cellsAess PointStation2018/10/1826Ad-hoc modeIndependent BasicServiceSet(IBSS)2018/10/1827First Generationof WirelessLAN SecurityIEEE802.11b standarddefines twomechanisms forproviding aesscontrol andprivacy onWireless LANs?SSID:An SSIDisamon workname forthe devicesin awireless LANsystem.Note thatthe userof SSIDas ahandle topermit/deny aess is dangerous?WEP:WEP(Wired EquivalentPrivacy)is anoptional encryptionscheme.WEP userssymmetric schemeAnother mechanismof ensureprivacy thoughencryption isto usea VPNAuthentication?802.11b definestwo typesof authenticationmethod:open andshared key2018/10/1828WirelessLANSecurity Anadvanced wirelessLAN securityscheme shouldBase wirelessLAN authenticationon device-independent itemssuch asusernames andpasswords,which userspossess anduse regardless of theclients onwhich theyoperate Supportmutual authenticationbetween a client andan authentication(RADIUS)server UseWEP keys that aregenerated dynamicallyupon userauthentication,not statickeysthatare physicallyassociated withaclientSupport session-based WEP keys First-generation wirelessLAN security,which relieson staticWEP keysfor aesscontrol andprivacy,cannot addressthese requirements2018/10/1829Open SystemAuthenticationServiceSet Identifier(SSID)Station mustspecify SSIDto Aess Point whenrequesting association.Multiple APswith sameSSID formExtended ServiceSet.APs canbroadcast theirSSID.Some clientsallow*as SSID.?Associates withstrongest APregardlessofSSID.2018/10/1830802.11b SecurityServices Twosecurity servicesprovided:Authentication?Shared KeyAuthentication Encryption?Wired EquivalencePrivacy2018/10/1831Wired EquivalencePrivacy Shared key between?Stations.?An AessPoint.Extended ServiceSet?All AessPoints willhave sameshared key.No keymanagement?Shared keyentered manually into?Stations?Aess points?Key managementnightmare inlarge wirelessLANs2018/10/1832RC4Rons Codenumber4?Symmetric keyencryption?RSA SecurityInc.?Designed in1987.?Trade secretuntil leakin1994.RC4can usekey sizesfrom1bit to2048bits.RC4generates astream of pseudo random bits?XORed withplaintext tocreate ciphertext.2018/10/1833WEPSending ComputeIntegrity CheckVector(ICV).?Provides integrity?32bit CyclicRedundancy Check.?Appended tomessage tocreate plaintext.Plaintext encryptedvia RC4?Provides confidentiality.?Plaintext XORedwith longkey streamof pseudorandom bits.?Key streamis functionof?40-bit secret key?24bit initialisationvector Ciphertextis transmitted.2018/10/1834WEP EncryptionRC4PRNG32bit CRC?IV Ciphertext|Plaintext Secretkey InitialisationVector(IV)Key stream2018/10/1835WEPReceiving Ciphertextis received.Ciphertext decryptedvia RC4?Ciphertext XORedwith longkey streamofpseudorandombits.?Key streamis functionof?40-bit secret key?24bit initialisationvector(IV)Check ICV?Separate ICVfrom message.?Compute ICVfor message?Compare withreceived ICV2018/10/1836Shared KeyAuthentication Whenstation requestsassociation withAessPoint?AP sendsrandom number to station?Station encryptsrandom number?Uses RC4,40bit shared secretkey&24bit IV?Encrypted randomnumber sentto AP?AP decryptsreceived message?Uses RC4,40bit sharedsecretkey&24bit IV?AP paresdecrypted randomnumbertotransmitted randomnumber Ifnumbers match,station hassharedsecretkey.2018/10/1837Sharedkeybetween AP&Station MobileStation MobileStation MobileStation AessPoint Shared Key LAN2018/10/1838Authentication betweenAP&Station2018/10/1839Authentication Overview2018/10/1840WEP VulnerabilitiesUse ofsame WEP key amongclients Limitedkeyspace forIV(16,777,215)With enoughtraffic,IVs arere-used Possibleto collectpackets withsame IVand crackWEPkey-then opento datacapture andMITM attacksNo keymanagement-WEPkeymust bechanged manuallyon eachNIC2018/10/1841Improving SecurityImprove authentication?System widemon loginImprove integrity?Separate integritykey?Stronger integrityalgorithm Improveprivacy?Increase keyspacesize(make crackeranalyze moredata inorder torecover key)?Per-user keys?Key rollover?Stronger privacyalgorithm2018/10/1842802.11i andWPA IEEE802.11i-IEEE802.11task group“MAC enhancementfor wirelesssecurity”Wi-Fi AllianceWPA-subset of802.11i?Compatible withearlier draft?Defined forBSS only?Defined forcurrent hardwareWPA(Wireless ProtectedAess)has twomajor ponents?Authentication?TKIP encryption2018/10/1843WPA Authentication?802.1x(not802.11x)-defined forboth wiredand wirelesssession establishment?EAP(Extensible AuthenticationProtocol)-generic wrapperfor authenticationtraffic?EAP impact?Authentication isbetween laptopand server-AP ispretty clueless?Different authmethods,updating authmethods donot requireupgrades onAP?Pre-SharedKey(PSK)-for SOHOworks2018/10/1844WPA TemporalKey IntegrityProtocol(TKIP)?Stronger privacy?Still usesRC-4encryption?Key rollover(temporal key)?Stronger integrity?Message IntegrityCode(MIC)-puted withown integrityalgorithm(MICHAEL)?Separate integritykey?Integrity countermeasures2018/10/1845802.11i RobustSecurity Networkextends WPAAdditions overWPA?IBSS(ad-hoc mode)authentication-what doesa securitycontext meanwithoutatrustedthirdparty?Is PSKenough?Counter-Mode/CBC-MAC Protocol(CCMP)?Privacy:AES-CCM(128bit key)?Integrity:CBC-MAC Doesnot secure802.11management controland actionframes?Disassociate,output power,etc.Does requirenew hardware802.11i standardapproved onJune25,xx2018/10/1846802.11i SummaryNew802.11i dataprotocols provideconfidentiality,data originauthenticity,replay protectionThese protocolsrequire freshkey onevery sessionKey managementdelivers keysused asauthorization tokens,proving channelaessisauthorized Architectureties keysto authentication2018/10/1847WAPI:Chinese standard由于目前无线局域网国际标准(802.112)中的安全解决方案(WEP)，已被广泛证实不安全。 在xx年5月12日，中国信息产业部报送国家标准化管理委员会正式颁布了无线局域网两项国家标准，针对无线局域网的安全问题，给出了技术解决方案和规范要求。 无线局域网鉴别与保密基础结构（Wireless localarea workAuthentication andPrivacy Infrastructure，WAPI）是在中国无线局域网国家标准GB15629.11中提出的用来实现无线局域网中的鉴别和加密的机制，是针对IEEE802.11中WEP协议的安全问题提出的WLAN安全解决方案。 它已由ISO/IEC授权的IEEE RegistrationAuthority审查获得认可，是我国目前在该领域惟一获得批准的协议。 2018/10/1848Infrastructure ofWAPI WAPI由无线局域网鉴别基础结构WAI（WLAN AuthenticationInfrastructure）和无线局域网保密基础结构WPI（WLAN Privacyinfrastructure）组成。 其中WAI是采用公钥密码技术，用于STA（station）与AP（aesspoint）之间的身份认证。 而WPI是采用国家密码管理委员会办公室批准的用于WLAN的对称密码算法实现数据保护，对MAC子层的MAC数据服务单元进行加密、解密处理。 整个系统由STA、AP和ASU组成。 ?STA（station，站（点）包含符合本部分的与无线媒体的MAC和PHY接口的任何设备。 ?AP（aesspoint，接入点）具备站点功能，通过无线媒体为关联的站点提供访问分布式服务的能力的实体。 ?ASU（AuthenticationServiceUnit鉴别服务单元）主要功能是负责证书的发放、验证与吊销等，是实现电子信息交换的核心。 2018/10/1849Wi-Fi VSGB15629.11-xxIEEE-Wi-Fi:802.11s?802.11i中国宽带无线IP标准工作组:GB15629.11-xx六月一号狮蛇之争谁得利？Who movedmy cheese?2018/10/1850WAPI?技术层面-GB15629.11-xxMAC ApplicationNetwork PHYArichtecture WAIWPI WAPIWhat wehave changed?2018/10/1851WAPI SystemStructure?WAPI systemstructure isposed ofthree entities?Supplicant?Wishes toaess theservices offeredby theAuthenticators system?Authenticator?Wishes toenforce authenticationbefore allowingaess toservices?ASU(Authentication SeverUnit)?Certificate management(issue,cancel andauthenticate)Authenticator SupplicantASU2018/10/1852WAPI SystemStructure Controlled port WirelessLAN Uncontrolled port Authenticatorsystem?Port?Uncontrolledport?Authentication information?Controlledport?To services2018/10/1853WAPI Authenticating&Encrypting processAP ASUInter RouterProbe/Association?Auth_Start?Auth_Request?Cert_Auth_Request Cert_Auth_Response Auth_Response?Non encryptedData trafficover LANto RouterEncrypted Datatraffic(,MAIL,FTP)?Key_Request?Key_Response?STA2018/10/1854GSM SecurityThe objectiveof GSMSecurity isto Makethe systemas secureas thePublic SwitchedTelephone NetworkAt thesame timea judgementmust bemade ofthe costand effectivenessofthesecurity measures2018/10/1855GSM网络结构2018/10/1856GSM的安全体系结构GSM网络中用户身份的保密IMSI，这样很容易被人为截取。 为了减少IMSI在无线信道上的传输，GSM系统采用临时用户身份TMSI。 在VLR处存储TMSI和IMSI之间的对应关系。 这样一般来说，只有在用户开机或者VLR数据丢失的时候IMSI才被发送，平时仅在无线信道上发送移动用户相应的TMSI。 GSM系统中的用户鉴权在GSM系统中，AuC（Authentication Center，用户鉴权中心）为每个用户准备了“鉴权三元组”（RAND，XRES，Kc），存储在HLR中。 当MSC/VLR需要鉴权三元组的时候，就向HLR提出要求并发出一个消息“MAP-SEND-AUTHENTICATION-INFO”给HLR（该消息包括用户的IMSI），HLR的回答一般包括五个鉴权三元组。 任何一个鉴权三元组在使用以后，将被破坏，不会重复使用。 当移动台第一次到达一个新的MSC（Moblie-Service SwitchingCenter,移动业务交换中心）时，MSC会向移动台发出一个随机号码RAND，发起一个鉴权认证过程（MS移动到一个新的MSC时，发起的是TMSI而不是IMSI）2018/10/1857GSM用户鉴别（）认证的目的?认证SIM卡的合法性?保护网络免受非授权使用?建立会话密钥认证方案?通过IMSI或TMSI识别用户?通过挑战应答方式由网络认证2018/10/1858GSM用户鉴别（二）终端SIM卡和HLR共享K i和认证算法A32018/10/1859GSM加密密钥生成Kc不会在无线信道中传输2018/10/1860A 3、A8实现2018/10/1861GSM空中接口加密（一）2018/10/1862GSM空中接口加密（二）2018/10/1863用户身份保护IMSI?TMSI2018/10/1864GSM的安全体系结构GSM中安全要素的分布GSM系统中，安全要素分布在不同的网络实体平台上。 阴影单元随网络政策变化是时间的函数，白色单元不随时间变化MS SIMBTS VLRHLR/AUCKcA5Kc TMSIKcRANDXRESIMSIKiA3A8IMSIA8A3KiKcTMSIA5IMSIRAND2018/10/1865针对GSM攻击SIM卡攻击?1998年04月，SIM卡上P128算法被攻破?xx年05月，IBM研究人员发现新的快速获取密钥K i的方法空中接口攻击?1999年12月，一定条件下A5/1算法能被攻破?IMSI明文传输时候的截取?xx年8月，A5/2算法被非常实用的方法攻破运营商网络攻击?假冒基站攻击?在移动网络中明文传输2018/10/1866GSM的安全问题 一、GSM系统中的认证是单向的，只有网络对用户的认证，而没有用户对网络的认证。 因此存在安全漏洞，非法的设备（如基站）可以伪装成的合法的网络成员，从而欺骗用户，窃取用户的信息。 二、GSM系统中的加密不是端到端的，只是在无线信道部分即MS和BTS之间进行加密。 在固定网中没有加密，采用明文传输，这给攻击者提供了机会。 三、在移动台第一次注册和漫游时，IMSI可能以明文方式发送到VLR/MSC，如果攻击者窃听到IMSI，则会出现手机“克隆”。 四、在移动通信中，移动台和网络间的大多数信令信息是非常敏感的，需要得到完整性保护。 而在GSM网络中，没有考虑数据完整性保护的问题，如果数据在传输的过程中被篡改也难以发现。 五、随着计算机硬件技术进步带来的计算速度的不断提高，解密技术也不断发展。 GSM中使用的加密密钥长度是64bit，在现在的解密技术下，已经可以在较短时间内被破解。 六、在GSM系统中，加密算法是不公开的，这些密码算法的安全性不能得到客观的评价，在实际中，也受到了很多攻击。 七、在GSM系统中，加密算法是固定不变的，没有更多的密钥算法可供选择，缺乏算法协商和加密密钥协商的过程。 2018/10/18673G的安全体系结构GSM和3G的安全比较2018/10/18683G的安全模型2018/10/18693G的安全功能结构2018/10/1870安全措施分为5类 一、增强用户身份保密（EUIC）通过HE/AuC（本地环境/认证中心）对USIM（用户业务识别模:块）身份信息进行认证； 二、用户与服务网间身份认证（UIC）； 三、认证与密钥分配（AKA）用于USIM、VLR/SGSN（访问位置寄存器/服务GPRS支持节点）、HLR（归属位置寄存器）间的双向认证及密钥分配； 四、数据加密（DC）UE（用户终端）与RNC（无线网络控制器）间信息的加密； 五、数据完整性（DI）用于对交互消息的完整性、时效性及源与目的地进行认证。 系统定义了11个安全算法f 0、f1*、f1f9，以实现其安全功能。 f 8、f9分别实现DC和DI标准算法。 f 6、f7用于实现EUIC。 AKA由f0f5实现。 3G的安全措施2018/10/18713G认证及密钥协商（AKA）（一）目的及设置?目的-完成网络与用户间的双向认证-生成加密密钥（CK）和完整性密钥（IK）-确保ck/IK的新鲜性?AKA设置-认证中心（AuC）和USIM卡共享用户唯一秘密认证密钥K消息认证函数f1,f1*,f2密钥产生函数f3,f4,f5,f5*-AuC有随机数产生器-AuC能够产生新的序列号-USIM能够验证收到的序列号的新鲜性2018/10/18723G认证及密钥协商（AKA）（二）变量及函数2018/10/18733G认证及密钥协商（AKA）（三）认证、密钥协商过程2018/10/1874AuC端认证向量产生USIM卡中用户认证功能?序列号使得用户可以避免受到重传攻击?AK是用来在AUTN中隐藏序列号，因为序列号可能会暴露用户的身份和位置信息?为了保证通信的同步，同时防止重传攻击，SQN应该是目前使用的最大的一个序列号，由于可能发生延迟等情况，定义了一个较小的“窗口”，只要SQN收到的在该范围内，就认为是同步的2018/10/18753G认证及密钥协商（AKA）（四）安全性分析?双向认证，提供加密和完整性密钥?密钥不要无线信道上传输?新的随机数保证密钥的新鲜性，防止重放攻击?SQN利用AK进行了隐藏，防止用户位置和身份信息的泄漏?MAC由于RAND和SQN的变化从而具备了新鲜性，可以防止重放攻击2018/10/18763G空中接口加密f8?适用于所有用户业务信息和关键信令信息的加密?序列密码（流密码），可以灵活选择不同算法?在终端和RNC中实现0000-UEA0,不加密；0001-UEA1,基于Kasumi算法COUNT-C计数器，32bit BEARER链路身份指示，5bit DIRECTORY上下行链路指示，1bit，消息从移动台到RNC，取值为0；反之为1。 LENGTH密码流长度指示，16bit CK