ch 12 WLAN安全技术ppt课件

.,WLAN安全技术,中国科学技术大学软件学院,WLAN简介,WLAN=WirelessLocalAreaNetwork，1997年6月第一个WLAN标准由IEEE802.11正式颁布实施；把远程计算机用无线方式连入一个计算机网络中，作为网络的一个节点，使之能够获取网络上的所有服务；以无线方式入网的计算机具有一定程度的移动性，在一定的区域内移动但又随时和网络保持联系。,WLAN由无线网卡、无线接入点AP、计算机和有关设备组成；WLAN可以采取的类型包括：网桥连接型、访问节点连接型、Hub接入型和无中心型；,WLAN安全隐患,因为通讯频率相同，任何一台带无线网卡的PC机或者无线扫描器就可以进行窃听；任意攻击者可以通过无线网卡进入网络或伪装成合法用户，因此WLAN很容易受到DoS攻击，AP会因拥塞而无法接收正常信号；WarDriving：街头的笔记本电脑可以随意接入安全防护措施弱的WLAN接入点；约70的WLAN接入点都是没有任何安全措施的；带来的问题：黑客们的行为越来越难以被追踪；,提纲,WLAN安全机制基于IPSec的WLAN安全系统设计基于3GPPAKA的WLAN接入认证,WLAN安全机制,WLAN安全性：访问控制：确保敏感数据仅由获得授权的用户访问；保密性：确保传送的数据只被目标接收人接收和处理；为了弥补802.11标准的安全漏洞，802.11TGi(TaskGroupi)针对WLAN的安全开始制定新的标准802.11i；因为802.11i并不能满足这一需要，所以就出现向802.11i过渡的安全标准WPA，我国推出了自己的安全标准WAPI；,802.11标准安全机制-直接序列扩频技术,DSSS=DirectSequenceSpreadSpectrum直接序列扩频技术；将每一个位信息传送之后再附加另外一个位，以此提供容错功能和信息传递一致性；黑客还可以使用扩频分析仪去截取无线电波，也可用特定网卡去搜寻个频道内的数据；因此需要加密无线传输！,802.11标准安全机制-有线等价保密协议,WEPWiredEquivalentPrivacy；加密原理：解密原理：,采用RC4保证通信的安全性,采用CRC32作为完整性检验,其他802.11标准安全机制,扩展服务集标识符(ESSID)每一个AP内都会写入一个服务区域认证ID，每当端点要连上AP，AP会检查其ESSID是否与其相同，如不符就拒绝给予服务；开发系统认证开发系统认证是802.11缺省的认证协议，需鉴别请求和鉴别应答两帧来完成，但任何计算机都可通过开放系统认证接入WLAN；共享密钥认证使用一个标准的询问和响应帧格式，其中包含一个用于认证的共享密钥；访问控制列表可将WLAN只设定为给特定节点使用，因为每张无线网卡都有惟一的MAC地址，只要将其分别输入AP即可，相反也可禁止某些MAC地址；密钥管理802.11其实没有实现严格意义上的密钥管理，只有少数开发商在他们的高端产品中实现了某一形式的密钥管理或密钥管理，有些情况下由于使用厂商的解决方案反而降低了安全性。,WLAN安全机制改进,802.11标准中给的安全机制并不能真正保证WLAN安全；802.11的i工作组致力于制订被称为802.11i的新一代安全标准；802.11i安全标准为增强WLAN的数据加密和认证性能，定义了RSN(RobustSecurityNetwork)的概念；由于802.11i的进展并不能满足这一需要，Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准，这是一种向802.11i过渡的中间标准。,WPA,WPA标准采用IEEE802.11i的草案，保证了与未来出现的协议的前向兼容；WPA采用802.1x和TKIP(临时密钥集成协议)来实现WLAN访问控制、密钥管理和数据加密；802.1x是一种基于端口的访问控制标准，用户必须通过了认证并获得授权后才能通过端口使用网络资源；,TKIP也是基于RC4加密算法，但也引入了4个新算法：扩展的48位初始化向量IV和IV顺序规则；每包密钥构建机制(Per-packetKeyConstrction)；Michael消息完整性代码；密钥重新获取和分发机制；,802.1x认证协议,802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的WindowsXP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议）。在802.1x出现之前，企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-BasedAccessControl）而定义的一个标准。,802.1x用途,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。,802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）,802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。,802.1X认证体系的结构,PAE：认证机制中负责处理算法和协议的实体。EAP：ExtensibleAuthenticationProtocol,802.1X认证体系的结构,802.1X的认证体系分为三部分结构：,SupplicantSystem，客户端(PC/网络设备),AuthenticatorSystem，认证系统,AuthenticationServerSystem，认证服务器,802.1X认证体系的结构,SupplicantSystem，客户端(PC/网络设备),SupplicantSystemClient（客户端）是需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain，MicrosoftWindowsXP,802.1X认证体系的结构,在win98下提供的客户端：,在winXP下提供的客户端：,802.1X认证体系的结构,AuthenticatorSystem，认证系统,AuthenticatorSystemSwitch（边缘交换机或无线接入设备）是根据客户的认证状态控制物理接入的设备switch在客户和认证服务器间充当代理角色（proxy）。switch与client间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达AuthenticationServer(EAPRelay)；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同；switch根据认证结果控制端口是否可用；,802.1X认证体系的结构,AuthenticationSeverSystem，认证服务器,Authenticationserver（认证服务器）对客户进行实际认证，认证服务器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的服务AuthenticationSever接受Authenticator传递的认证需求，认证完成后将认证结果下发给Authenticator，完成对端口的管理。由于EAP协议较为灵活，除了IEEE802.1x定义的端口状态外，AuthenticationServer实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。,802.1X的认证过程,802.1X的认证过程,认证前后端口的状态,802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。,802.1X的认证过程,认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；,认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；,认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。,基本的认证过程：,802.1X的认证过程,认证通过之后的保持：,认证端Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。,下线方式：物理端口Down；重新认证不通过或者超时；客户端发起EAP_Logoff帧；网管控制导致下线；,802.1X的认证过程,现在的设备（switch）端口有三种认证方式：ForceAuthorized：端口一直维持授权状态，switch的Authenticator不主动发起认证；ForceUnauthorized：端口一直维持非授权状态，忽略所有客户端发起的认证请求；Auto：激活802.1X，设置端口为非授权状态，同时通知设备管理模块要求进行端口认证控制，使端口仅允许EAPOL报文收发，当发生UP事件或接收到EAPOL-start报文，开始认证流程，请求客户端Identify，并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态，在退出前可以进行重认证。,802.1x/EPA,IEEE802.1X并不能算是个标准,而是个架构(framework)；架构或许很好理解,但是该以什么方式来实作?要选择那一种EAPmethod?有两种EAPmethod在目前业界有很多实作的案例,分别是EAP-TLS以及EAP-MD5-Challenge：,EAP-TLS（传输层安全协议）：EAP-TLS使用在基于证书的安全环境中，是一种安全信道的认证和加密协议，采用公钥证书加密体系在两端点之间提供双向认证、加密协商、密钥交换等服务；EAP-MD5（消息摘要5）：EAP-MD5使用的挑战-握手协议，挑战和应答均以EAP消息形式发送，主要用于软件原型的构建和测试。,802.11i,使用802.1x认证和密钥管理方式；数据加密方面：TKIP(TemporalKeyIntergrityProtocol)采用WEP机制里的RC4作为核心加密算法，可通过在现有设备上升级固件和驱动程序的方法达到提高WLAN安全的目的；CCMP(Counter-Mode/CBC-MACProtocol)基于AES加密算法和CCM(Counter-Mode/CBC-MAC)认证方式；WRAP(WirelessRobustAuthenticatedProtocol)基于AES加密算法和OCB(OffsetCodeBook)，是一种可选的加密机制；,WAPI,WAPI无线网络安全机制包括：WAI及WPI两部分。其中：WAI：身份鉴别及密钥管理；WPI：数据加/解密；该安全机制，先通过WAI进行一系列鉴别过程后，利用鉴别后产生的密钥，结合具体加/解密算法进行WPI数据加/解密过程；,WLAN安全机制的缺陷,DSSS安全缺陷可以使用扩频分析仪或特定的网卡搜索解析并破解；WEP安全缺陷对截获信号做统计学分析，从而解密信号造成被动攻击；基于已破解明文，从非授权移动端发起主动攻击，向信号中插入信息；通过对接入点欺诈，发起主动攻击，对通信信号解密；通过长时间信号分析发起字典攻击，对所有信号做到实时自动解密；ESSID安全缺陷由于访问点和网卡之间的管理消息中都包含ESSID，很容易被截获；开放系统认证任何计算机都可通过开放系统认证接入WLAN，本质上就是空认证；共享密钥认证的安全缺陷通过窃听这种被动攻击手法，很容易蒙骗利用目前的共享密钥认证协议，协议固定的结构和WEP的缺陷，是导致攻击实现的关键；访问控制列表安全缺陷MAC地址易被探测，且无线网卡可以利用软件更改MAC，可被欺骗；密钥管理安全缺陷无严格意义的密钥管理，如果网卡丢失，整个WLAN都不再受到保护；,WLAN安全策略多层保护,以人工方式定期更换WEP加密密钥；在无线接入点内部创建和维护无线客户机设备的MAC地址表，并且在替换或增加设备时人工方式改变MAC地址表；设置认证服务器，利用SSID(ServiceSetIdentifier)技术将一个局域网分为几个需要不同身份验证的子网络；为了增加无线安全的层次，企业级使用“基于用户”而不是“基于设备MAC地址”的验证机制；企业级还可以采用由无线接入点执行管理的动态密钥管理功能。,WLAN安全策略扩展有线安全性,使用VPN技术用户认证确保只有授权用户才能进行无线网络连接、发送和数据传输；加密确保即使攻击者拦截窃听到传输信号，没有充足的时间和精力也不能将这些信息解密；数据认证确保在无线网络上传输的数据的完整性，保证所有业务流都是来自已经得到认证的设备；利用防火墙技术与入侵监测系统的安全互动实时监测进出网络数据包，对网络异常行为发出报警；利用防火墙的互动，实时阻断网络入侵。,WLAN安全策略使用802.11TGi提出的无线安全认证协议,针对WLAN中安全认证的不足，IEEE802.11TGi任务组提出安全增强型网络ESN:EnhancedSecureNetwork架构；认证套件：标识0：开发认证系统（不支持ESN）；标识1：共享密钥认证（不支持ESN）；标识2：IEEE802.1x的Kerberos认证；标识3：IEEE802.1x的未说明认证方案；标识4：IEEE802.1x使用EPA协议；标识5255：保留标识号；,IEEE802.1x的Kerberos认证,工作站,接入点,认证服务器,票据许可服务器,认证服务器,Kerberos服务器,Kerberos服务器,数据库,无线认证协议,802.1x使用EPA协议,无线用户,EAPOL,接入点,EAP-TLS,EAP-MD5,RadiusEAP-TLS服务器,RadiusEAP-2ndPhase服务器,阶段1无线用户申请接入接入点接入点通过端口接入实体控制无线用户对认证服务器的认证，采用EAP-TLS协议,阶段2无线用户和接入点协商阶段2所采用的对用户身份认证的认证协议，并连接到相应的阶段2认证服务器可选用的认证协议包括：EAP-MD5、EAP-OTP或EAP-GenericToken,提纲,WLAN安全机制基于IPSec的WLAN安全系统设计基于3GPPAKA的WLAN接入认证,WLAN与3G的互补性,移动通信和互联网技术是当今信息技术发展最迅速的两个重要分支；移动互联网是未来移动通信发展方向，3G主要设计目标就是为用户提供移动的宽带数据服务；无线局域网是实现移动互联网的关键技术，为移动互联网提供必要的物理网接口；从3G与无线局域网的不同技术特性和支持的不同功能来看，WLAN和3G本质上是互补的；无线局域网与3G的互通，是用户在热点区域可以通过无线局域网实现高速接入，在没有WLAN覆盖的地区则转入3G网络；弥补了WLAN服务范围过小的缺陷，同时也满足了移动用户在热点地区的高速接入需求；统一的认证和计费是WLAN和3G集成的第一步，也是最为关键的一步；,WLAN与3G互通模型,统一计费和用户管理这是最简单的互连方案，WLAN与3G之间的连接是单一的客户关系。对于3G和WLAN接入服务，用户只需从移动运营商那里收到一张话单。WLAN和3G系统的安全级别相互独立，对3GPP规范不会有任何新的要求。基于3G系统的接入控制和计费这种方案由3G系统提供认证、鉴权和计费(AAA)，确保用户在接入时感觉不到较大的差别。WLAN接入3G网络分组域业务该方案允许通过WLAN接入方式接入到3GPP系统的分组交换(PS)业务，例如IP多媒体子系统(IMS)业务、基于位置服务(LABS)业务、即时消息、多媒体广播/多播业务(MBMS)以及以上几种业务的组合业务。但是，对于3G系统和WLAN之间的业务连续性不做要求。业务一致性和连续性在处理WLAN与3G两种接入技术切换时，能够保持3G分组交换域所支持的业务。该方案不仅提供WLAN与3G之间的切换，而且提供WLAN子网之间切换时的业务连续性。无缝的分组域业务切换在两种接入技术之间提供无缝连续业务，即在不同接入技术之间切换时，使数据丢失和中断时长最小。WLAN接入3G网络电路域业务通过电路交换(CS)型WLAN接入方式，允许接入到3G电路交换业务，同时提供无缝的电路交换移动性管理。,基于3G的WLAN认证,WLAN-UE,WLAN接入网,3GProxyAAA,3GAAA,HSS,3G访问网,3G核心网,IEEE802.1x帧,EPA包封装在Radius协议包中,Internet,基于3G的WLAN认证,IETF和3GPP根据GSM和3G特点制订了两种认证方式：EAPAKA认证方式基于3GUSIM卡EAPSIM认证方式构建在GSM机制之上,3GPP-AKA简介,RAND|AUTN,RequestAuthenticationVectorsAV,RAND|XRES|CK|IK|AUTN,=,Yes/No,VLR/SGSN,AVi,HE/HLR,IMSI,IMSI,3GPP-AKA简介,相对于GSM(2G)认证机制的增强实现了用户和网络的双向认证，GSM中只能网络认证用户。所使用的密匙(CK)长度增至128比特，增加了用于会话完整性保护的密匙(IK)。3GPP2提供了基于SHA-1算法的AKA参考实现S.S0055-A。,EAP-AKA认证流程,Peer,Authenticator,EAP-Request/Identity,EAP-Response/Identity(IncludesusersNAI),ServerrunsAKAalgorithms,GeneratesRANDandAUTN,EAP-Request/AKA-Challenge(AT_RAND,AT_AUTN,AT_MAC),PeerrunsAKAalgorithms,verifiesAUTNandMAC,derivesRESandsessionkey,EAP-Response/AKA-Challenge(AT_RES,AT_MAC),ServerchecksthegivenRES,andMACandfindsthemcorrect.,EAP-Success,EAP-AKAFullauthenticationprocedure,EAP-AKA认证流程,AT_MAC(MessageAuthenticationCode)用来保护EAP数据包的完整性。EAP-AKA支持利用已得到的KEY进行快速重新认证。支持用户身份的保密。,EAP-AKA实施,逻辑结构图,Supplicant,Smartcardreader,USIM,NAS/Radiusclient,RadiusServer,Radius/AAAprotocol,SmartcardReaderbuilt-inAKA,AKAmodule,3GHE/HLR,EAP-SIMIntroduction(简介),buildsonunderlyingGSMmechanisms构建在GSM认证机制之上。,EAP-SIMIntroduction(简介),Providesmutualauthentication支持相互认证。severalRANDchallengesareusedforgeneratingseveral64-bitKckeys,whicharecombinedtoconstitutestrongerkeyingmaterial.多次挑战生成多个Kc,组合起来生成更强的相关密匙。,EAP-SIMIntroduction(简介),EAP-SIMspecifiesoptionalsupportforprotectingtheprivacyofsubscriberidentityusingthesameconceptasGSM,whichisusingpseudonyms/temporaryidentifiers.EAP-SIM支持用户身份保密(可选)。Italsospecifiesanoptionalfastre-authenticationprocedure.支持快速重复认证(可选),EAP-SIMFullAuthenticationProcedure(完全认证过程),PeerAuthenticator|EAP-Request/Identity|EAP-Request/SIM/Start(AT_VERSION_LIST)|EAP-Request/SIM/Challenge(AT_RAND,AT_MAC)|EAP-Success|-|,KeyGeneration,MK=SHA1(Identity|n*Kc|NONCE_MT|VersionList|SelectedVersion)K_aut,K_encr,MSKandEMSKarederivedfromMKusingPseudo-RandomnumberFunction(PRF)RequestAT_MAC=HMAC-SHA1-128(K_aut,EAPpacket|NONCE_MT)ResponseAT_MAC=HMAC-SHA1-128(K_aut,EAPpacket|n*SRES)Intheformulaabove,the|characterdenotesconcatenation.NonceAvaluethatisusedatmostonceorthatisneverrepeatedwithinthesamecryptographiccontext.MACMessageAuthenticationCode,Indicationofvulnerabilities(弱点),ThesecurityoftheA3andA8algorithmsisimportanttothesecurityofEAP-SIM.SomeA3/A8algorithmshavebeencompromised;seeforexampleGSMCloningfordiscussionaboutthesecurityofCOMP-128version1.NotethatseveralrevisedversionsoftheCOMP-128A3/A8algorithmhavebeendevisedafterthepublicationoftheseweaknessesandthatthepubliclyspecifiedGSM-MILENAGE3GPPTS55.205algorithmisnotvulnerabletoanyknownattacks.A3/A8算法的安全性对EAP-SIM是至关重要的。COMP128-v1已经被破解(当前市面上大部分SIM卡用的是COMP128-v1),修订过的COMP128v2,v3以及公开标准的GSM-MILENAGE,当前还没有方法攻破。,Indicationofvulnerabilities(弱点),MutualAuthenticationandTripletExposureEAP-SIMprovidesmutualauthentication.ThepeerbelievesthatthenetworkisauthenticbecausethenetworkcancalculateacorrectAT_MACvalueintheEAP-Request/SIM/Challengepacket.TocalculatetheAT_MACitissufficienttoknowtheRANDandKcvaluesfromtheGSMtriplets(RAND,SRES,Kc)usedintheauthentication.BecausethenetworkselectstheRANDchallen