《802.11无线网络权威指南》第7 章 802.11iRSN、TKIP 与CCMP.pptx

,802.11WirelessNetworks系列教学PPT,日天,第7章802.11i：TKIP、CCMP与RSN,本章概述：,1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式,日天,第7章802.11i：TKIP、CCMP与RSN,本章概述：,1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式,日天,第7章802.11i：TKIP、CCMP与RSN,临时密钥完整性协议（TKIP）：,第一种广为使用的新式链路层加密协议开发TKIP的主要动机，是为了升级旧式WEP硬件的安全性TKIP保留了WEP的基本架构与过程方式，因为它原本就是一个设计来升级WEP方案的软件,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP与WEP的差异：,密钥阶层体系与自动密钥管理为个别帧配钥序号计数器新的信息完整性检验（简称MIC)信息完整性检验失败的反制措施,日天,第7章802.11i：TKIP、CCMP与RSN,密钥阶层体系与自动密钥管理：,不同于WEP直接使用单一主钥(masterkey)的做法，TKIP使用到了多把主钥。最后用来加密帧的密钥，是由这些主钥衍生而来。另外，TKIP也提供密钥管理过程，使得主钥的更新可以在安全的情况下进行。,日天,第7章802.11i：TKIP、CCMP与RSN,为个别帧配钥（per-framekeying）：,虽然TKIP保留WEP所使用的RC4帧加密机制，不过为了防范针对弱点密钥的攻击，它会为个别帧（从主钥）衍生出特有的RC4密钥。为每个帧准备独特密钥的程序，称为配钥。,日天,第7章802.11i：TKIP、CCMP与RSN,序号计数器（sequencecounter)：,为个别帧编列序号，即可辨识出次序错乱的帧，如此便能防范所谓的重放攻击，亦即攻击者先拦截有效封包，等候一段时间再予以重传的攻击。,日天,第7章802.11i：TKIP、CCMP与RSN,新的信息完整性检验：,TKIP以一种比较牢靠，称为Michael的完整性检验杂凑算法，取代WEP所使用的线性杂凑算法。Michael较为牢靠，检测伪造帧也更加容易。此外，来源地址受到完整性检验的保护，就可以检测出宣称来自特定来源的伪造帧。,日天,第7章802.11i：TKIP、CCMP与RSN,信息完整性检验失败的反制措施：,设计上，TKIP是为了套用于现有的硬件，因此不免有所限制。Michael可能遭受主动式攻击而被攻陷，因此TKIP包含了一些反制措施，以控制主动式攻击可能造成的损害。,日天,第7章802.11i：TKIP、CCMP与RSN,WEP的主要破绽：,WEP的随机种子（seed）系由初始向量（简称IV）以及WEP密钥串连而成，IV本身就泄露了大部分的密钥结构。如此一来，攻击者就可以观察IV的重复使用情形，进一步挖掘出用以加密帧的相同密钥串。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP初始向量的使用：,为了防范初始向量攻击，TKIP将IV的长度从24位元为48个位元初始向量空间即由一千六百万增加为二百八十一兆可以有效防止IV空间在密钥的使用期限内耗尽。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP配钥(keymixing）的使用：,在TKIP中，各个帧均会被特有的RC4密钥所加密只要各个帧使用不同密钥，TKIP就能够防止攻击者搜集足够的数据，针对这些密钥发动攻击。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP序号计数器：,TKIP初始向量本身扮演序号计数器（sequencecounter）的角色。每次安装新的主钥，初始向量/序号计数器就会被重设为1。每传一个帧，序号计数器就会随之累加。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP重演攻击防护：,为了防范重演攻击，TKIP会保留来自各工作站的最近序号。一旦成功接收到某个帧，就会以之与最近接收到的帧序号进行比对。如果大于前值就予以接受，否则就加以拒绝。,日天,第7章802.11i：TKIP、CCMP与RSN,Michael完整性检验：,TKIP设计当时，处理器功能都不够强，数学运算不够快，无法及时进行完整性检验。Michael的实现方式完全是采用swap、shift之类的逐位元（bitwise）运算，或甚至是通过丢弃特定位元的方式。,日天,第7章802.11i：TKIP、CCMP与RSN,Michael反制措施：,从Micheal的设计，可以看出它无法提供多少安全性TKIP整合了一些反制措施，以关闭网络与更新密钥来检测与应对主动攻击。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据处理与过程：,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的配钥程序：,TKIP会为所传送的每个帧配制一把独特的密钥。此密钥衍生自初始向量/序号计数器、帧的传送端地址（未必是帧来源）以及临时密钥。,日天,第7章802.11i：TKIP、CCMP与RSN,密钥的配制：,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据传输：,1.将802.11帧置于伫列待传(queuedfortransmission）。其中包含帧标头以及承载数据（payload）。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据传输：,2.计算信息完整性检验值（简称MIC）。它以秘钥（secretkey）作为验证程序的一部分，而且不止保护802.11帧所承载的数据。除了帧数据，MIC还纳入了来源与目的地址，以及未来802.11e标准将会用到的优先性位元（prioritybits）。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据传输：,3.赋予各个帧片段序号。与WEP初始向量不同，TKIP的序号计数器会随每个帧片段累加。如果帧毋须切割，那么只要编列一个序号即可。如果帧被切割为数个片段，计数器则会依片段数量累加。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据传输：,4.每个帧均会以其独有的WEP密钥进行加密。通过配钥程序，TKIP为每个帧产生WEP密钥。个别帧所拥有的密钥将会传给WEP，以作为IV与密钥之用；对个别帧而言，此二者均会随之变动。,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的数据传输：,5.帧本身加上步骤二所得到的Michael信息完整性检验值，以及步骤四所得到的RC4密钥，一并交付WEP，由WEP进行帧分封过程，如第五章所述。值得注意的是，这意味着，受到TKIP保护的帧，将会同时包含WEP的成份。,日天,第7章802.11i：TKIP、CCMP与RSN,帧封包格式：,日天,第7章802.11i：TKIP、CCMP与RSN,TKIP的接收：,日天,1.一旦无线界面接收到帧，如果通过帧检查程序确认不曾损毁，就会交付TKIP做进一步的验证。,第7章802.11i：TKIP、CCMP与RSN,TKIP的接收：,日天,2.TKIP采取的第一个步骤是检查序号，以防范重演攻击。,第7章802.11i：TKIP、CCMP与RSN,TKIP的接收：,日天,3.还原用来加密封包的WEP随机种子。,第7章802.11i：TKIP、CCMP与RSN,TKIP的接收：,日天,4.WEP随机种子到手后，就可以除去帧外围所包覆的WEP层，然后还原内容,第7章802.11i：TKIP、CCMP与RSN,TKIP的接收：,日天,6.帧重组之后，将会依帧内容计算其Michael值。,第7章802.11i：TKIP、CCMP与RSN,Michael完整性检验：,从架构的观点来看，Michael被安插在MAC服务层中。Michael并不算是特别安全的加密协议。它的设计，主要是为了那些设备不少的用户，在升级既有网络安全性的过渡时期，可以有点喘息的空间。,日天,第7章802.11i：TKIP、CCMP与RSN,Michael的数据处理：,日天,第7章802.11i：TKIP、CCMP与RSN,Michael反制措施：,1.标记并登录该MIC错误。在验证MIC之前，此帧必须通过重放攻击防护以及WEP完整性检验。帧如果已送Michael验证，事情就没那么单纯。因此，只要MIC验证失败，就可能发生安全相关问题，系统管理员必须加以探究。,日天,第7章802.11i：TKIP、CCMP与RSN,Michael反制措施：,2.如果在60秒通讯之内发生两次以上MIC错误，反制措施会立即停止所有的TKIP通讯60秒。暂停通讯的做法，可以让攻击者无法立即再次发动持续性的攻击。,日天,第7章802.11i：TKIP、CCMP与RSN,Michael反制措施：,3.更新密钥。工作站删除自己所持有的主钥副本，然后向认证者要求配发新的密钥，认证者负责产生与传递新的密钥。,日天,第7章802.11i：TKIP、CCMP与RSN,本章概述：,1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式,日天,第7章802.11i：TKIP、CCMP与RSN,计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）：,一种以先进加密标准（简称AES）的区块密码锁为基础的安全协议。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据处理：,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,1.将802.11帧置于伫列待传。其中包含帧标头以及承载数据。和WEP一样，TKIP只保护802.11MAC的承载数据，至于802.11帧标头以及下层协议的标头则原封不动。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,2.赋予一个48位元的封包号码（简称PN）。和TKIP序号一样，同一把临时密钥不会重复使用PN。每次传送后PN就会累加，它同时也用来检测重演攻击。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,3.建立额外认证数据（简称AAD）。其中包含帧标头的一些字段，这些字段必须通过真实性的检验，但又不能经过加密，否则802.11协议便无法进行过程。接收端同样会使用AAD字段，以确认这些字段在传输过程中未受更改。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,4.其次，建立CCMPnonce。所谓nonce，是指少数的数据位元，用以确保加密程序确实现用于某些独特的数据。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,5.其次，建立CCMP标头。它会将构成PN（封包号码）的六个位元组拆开，然后将KeyID（密钥识别码）置于其中。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,6.至此CCM加密引擎所需要的输入项均已备齐它以128位元的临时密钥、步骤四所产生的nonce、步骤三所产生的额外认证数据（AAD）以及帧本体作为输入项。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的数据传输：,7.以原始的MAC标头、CCMP标头与步骤六所产生的加密数据来组成待传的加密帧。帧产生之后，就会交付无线界面传送，如图：,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,1.一旦无线界面接收到帧，如果通过帧检验程序确定未曾受损，就会交付CCMP进行验证。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,2.从所接收到的帧还原出AAD（额外认证数据）。其中只包含帧标头，而且并未经过加密。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,3.从帧还原出CCMPnonce。其中包含封包编号、传送端地址以及QOS字段的内容，这三者均可自未加密的帧标头中取得。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,4.接收端解读密文。此时需要临时密钥、步骤3所还原的nonce、步骤2所得到的认证数据，当然还有加密过的帧本体。此一程序完成后，接收端就会得到一份经解密之帧的副本，以及经解密的完整性检查码。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,5.完整性检验是针对明文数据与额外认证数据进行计算。如果计算出的完整性检验值与步骤4所得到的完整性检验值相符，就继续进行。否则就终止程序。,日天,第7章802.11i：TKIP、CCMP与RSN,CCMP的接收：,6.从MAC标头与步骤4所还原的数据组成明文帧。要能通过重放攻击检测检验，其封包号码必须大于或等于最近接收到之通过完整性检验程序的封包号码。,日天,第7章802.11i：TKIP、CCMP与RSN,本章概述：,1.临时密钥完整性协议（TKIP）2.计数器模式搭配区块密码锁链信息真实性检查码协议（CCMP）3.固安网络（RSN）的运作方式,日天,第7章802.11i：TKIP、CCMP与RSN,固安网络（RSN）的运作方式：,这组程序主要在定义密钥的产生与传递方式,日天,第7章802.11i：TKIP、CCMP与RSN,802.11i密钥阶层体系：,链路层加密协议使用了两种密钥。成对密钥（pairwisekeys）用来保护工作站与AP之间往来的数据。群组密钥（groupkeys）用来保护AP至所连接工作站之间的广播或组播数据。,日天,第7章802.11i：TKIP、CCMP与RSN,成对密钥阶层体系：,TKIP与CCMP均使用单一主钥来产生帧保护过程所需要的其他密钥。利用衍生密钥，工作站得以更新加密密钥，毋须重新执行整个认证程序。主钥本身扮演着秘密根源的角色，必须小心保护，因为所有配钥素材均衍生于此。,日天,第7章802.11i：TKIP、CCMP与RSN,成对密钥阶层体系：,配钥是从主钥开始。在成对密钥体系中，主钥称为成对主钥（简称PMK），长度为256个位元,日天,第7章802.11i：TKIP、CCMP与RSN,成对密钥阶层体系：,为了得到本章之前所提到的临时密钥，必须使用预先定义好的准随机函式来展开PMK。为了使数据更为随机，此一展开过程是根据预设主钥、申请者与认证者的MAC地址以及两个作为四道密钥交换磋商的随机nonce值。,日天,第7章802.11i：TKIP、CCMP与RSN,成对密钥阶层体系：,TKIP与CCMP均会使用准随机函式将256位元的PMK展开为成对临时密钥(简称PTK）。在TKIP与CCMP体系中，临时密钥的两组128位元区块，在传递过程中被用来保护临时密钥。,日天,第7章802.11i：TKIP、CCMP与RSN,群组密钥阶层体系：,链路层安全协议为广播与组播使用了另一组不同的密钥。已连接的各工作站均拥有不同的预设主钥，因此无法从认证过程中推衍出组播所需要的密钥。事实上，认证者拥有群组主钥（简称GMK），以作为临时密钥的基础。,日天,第7章802.11i：TKIP、CCMP与RSN,群组密钥阶层体系：,通过准随机函式，群组主钥会被展开成群组密钥体系：,日天,第7章802.11i：TKIP、CCMP与RSN,802.11i密钥的产生与传递：,日天,第7章802.11i：TKIP、CCMP与RSN,更新成对密钥：四道磋商：,