东南大学,无线网络安全技术课件chap06

1、第6讲 无线局域网安全无线网络安全技术内容无线局域网概述无线局域网概述无线局域网安全无线局域网安全无线局域网攻击无线局域网攻击WPA标准标准802.1X协议协议Wide AreaNetwork3G/GPRS无线网络Local AreaNetwork802.11b/802.11g/802.11aWireless PersonalConnectivityBluetooth0 - 10m0 - 100m0 - 10 kmRange无线局域网v 无线局域网 无线局域网是固定局域网的一种延伸。 使用无线电波作为数据传送的媒介。传送距离一般为几十米。 对用户来说是完全透明的，与有线局域网一样 。 HubS

2、erverSwitchInternetAccess PointHub无线局域网终端无线接入点无线局域网相关标准vIEEE 802.11vHomeRF： DECT技术和WLAN技术的融合vHiperLan：54Mbps/25Mbps，OFDMvIrDA：115.2Kbps，SIR无线局域网802.11标准Alphabet Soup IEEE 802.11最初的WLAN标准(1997)。 IEEE 802.11a对的802.11的带有在5 GHz 54 Mbit/s增进(1999)。 IEEE 802.11b对802.11的增进来支持5.5 和 11 Mbit/s (1999)。 IEEE 802

3、.11c网桥操作程序，包含在IEEE 802.1D（2001）标准 IEEE 802.11d国际（国家到国家）漫游增强(2001)。 IEEE 802.11e增进：QOS，包含数据包脉冲(2005)。 IEEE 802.11f内部访问点协议(2003) 。 IEEE 802.11g对802.11b 和 802.11a（与b后向兼容）(2003)IEEE 802.11h欧洲兼容的频谱管理的802.11a (5 GHz) (2004) IEEE 802.11i增强了安全性(2004)。IEEE 802.11j对日本增强(2004) IEEE 802.11-20072007年重新修订的完整版本IEE

4、E 802.11k无线电资源度量增进 IEEE 802.11m这个标准的维护；零碎事宜 IEEE 802.11n对802.11a,b,g的增进，使用MIMO IEEE 802.11p对车载环境（例如救护车和客车）的无线访问 IEEE 802.11r快速漫游 IEEE 802.11sESS增强服务集网状网络 IEEE 802.11t无线性能预测(WPP)测试方法和方式推荐 IEEE 802.11u与非802网络（例如，蜂窝）的交互网络 IEEE 802.11v无线网络管理 IEEE 802.11w受保护的管理帧 IEEE 802.11y在美国的3650-3700频段操作 IEEE 802.11z

5、对直接链路设置(DLS)的增强 802.11标准的演变更快的速度更强的性能更广的使用更好的管理物理层增强物理层增强功能增强功能增强MAC层增强层增强频谱管理增强频谱管理增强物理层增强802.11b802.11a802.11g1999年发布，年发布，2.4Ghz， DSSS/CCK1999年发布，年发布，5.8Ghz，OFDM2003年发布，年发布，2.4Ghz，OFDM802.11n2.4Ghz+5.8Ghz，MIMO+OFDM物理层增强1 16 611112.412G2.412G2.4GHz2.4GHz2.4172.4172.4222.4222.4272.4272.4322.4322.437

6、2.4372.4422.4422.4472.4472.4522.4522.4572.4572.4622.4622.4672.4672.4722.4722.4835GHz2.4835GHz2 23 34 412125 57 78 89 91010131322MHz22MHz中国规定使用中国规定使用1 11111信道。由上图可知，某信道的信号传送时会与相邻的多信道。由上图可知，某信道的信号传送时会与相邻的多个信道产生重叠，若在同一个空间建立多个个信道产生重叠，若在同一个空间建立多个BSS/IBSSBSS/IBSS时，要让它们所用的时，要让它们所用的信道不会互相重叠而产生干扰。在同一个空间最多只能使

7、用信道不会互相重叠而产生干扰。在同一个空间最多只能使用1 1、6 6、1111这三这三个信道，若选用其他信道，最多只能有个信道，若选用其他信道，最多只能有2 2个互不干扰的信道。个互不干扰的信道。互不重叠信道的选择互不重叠信道的选择物理层增强1.00m ms / 0.72m msDSSS / CCK (1-8 bits/seq)802.11bBPSKQPSK20 MHzOFDM (52 sub-carriers).802.11a/gBPSKQPSK16QAM64QAM1/2, 2/3, 3/4-rate convolutional code802.11nMAC层增强服务质量增强服务质量增强 8

8、02.11e， 2005年年安全性能增强安全性能增强 802.11i ，2004年年 WPA（2003年）年）/WPA2（2006年）年） 802.11w，制定中，提供控制帧的保护，制定中，提供控制帧的保护 切换性能增强切换性能增强802.11r，制定中，提高切换性能，制定中，提高切换性能频谱管理增强802.11d802.11h802.11j802.11y-2004年推出-日本兼容频谱管理-支持4.9-5Ghz-2001年推出-国际漫游增强-2003年推出-欧洲兼容频谱管理-提供动态频率选择-发送功率控制-预计2008年推出-USA3.65-3.7Ghz将802.11技术扩展到其他频段，以扩展

9、802.11的使用范围更广的使用更广的使用功能扩展802.11c802.11f802.11k802.11v802.11s802.11m标准的维护MESH网络网桥操作程序AP间通信无线网络管理安全性能增强存在严重安全漏洞提供802.1X接入控制，CCMP加密802.1x/EAP认证PSK模式认证提供无线局域网控制帧保护1999 WEP机制机制2004 802.11i协议协议 2006 WPA标准标准802.11wWLAN 的连接方式vAd-hoc Mode: 一群使用无线网卡的Station，直接相互连接，资源共享，无需通过接入点（Access Point），该种模式通常无法连接Internet

10、vInfrastructure Mode 所有Station通过接入点连接成网络实现资源共享v STA (工作站）启动初始化、开始正式使用AP传送数据幀前，要经过三个阶段才能接入:1.扫描(SCAN) 2.认证(Authentication) 3.关联(Association) 无线接入过程状态图v状态1： 未认证、未关联v状态2： 已认证、未关联v状态3： 已认证、已关联无线接入过程第一阶段第一阶段 : : 扫描（扫描（ SCAN ) SCAN ) 阶段阶段v 若无线站点若无线站点 STA STA 设成设成 Ad-hoc Ad-hoc 模式：模式： STASTA先寻找是否已有先寻找是否已有

11、IBSSIBSS（与（与STASTA所属相同的所属相同的SSIDSSID）存）存在，如有，则参加（在，如有，则参加（joinjoin）；若无）；若无, , 则会自己创建一个则会自己创建一个IBSSIBSS，等其他站来等其他站来 joinjoin。 v 若无线站点若无线站点 STA STA 设成设成 Infrastructure Infrastructure 模式：模式： 1 1、主动扫描方式（特点：能迅速找到）、主动扫描方式（特点：能迅速找到） STA STA 依次在依次在1111个信道发出个信道发出 Probe Request Probe Request 帧，寻找与帧，寻找与STASTA所属

12、有相同所属有相同SSIDSSID的的APAP，若找不到有相同，若找不到有相同 SSID SSID 的的 APAP，则一，则一直扫描下去直扫描下去 2 2、被动扫描方式（特点：找到时间较长，但、被动扫描方式（特点：找到时间较长，但STASTA节电）节电） STASTA被动等待被动等待AP AP 每隔一段时间定时送出的每隔一段时间定时送出的 Beacon Beacon 信标幀，该帧提供了信标幀，该帧提供了APAP及所在及所在BSSBSS相关信息：相关信息： “我在这里我在这里”无线接入过程第二阶段第二阶段 : : 认证（认证（AuthenticationAuthentication）阶段）阶段 当

13、当 STA STA 找到与其有相同找到与其有相同 SSID SSID 的的 APAP，在，在 SSID SSID 匹配的匹配的 AP AP 中，根据收到的中，根据收到的 AP AP 信号强度，选择一信号强度，选择一个信号最强的个信号最强的 APAP，然后进入认证阶段。只有身份认证通，然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。过的站点才能进行无线接入访问。802.11802.11提供几种认证方提供几种认证方法，有简单有复杂，如采用法，有简单有复杂，如采用802.1x/EAP802.1x/EAP认证方法时大致为：认证方法时大致为：1.1. STASTA向向APAP发送认证请求发

14、送认证请求2.2.APAP向认证服务器发送请求信息要求验证向认证服务器发送请求信息要求验证STASTA的身份的身份3.3.认证服务器认证完毕后向认证服务器认证完毕后向APAP返回相应信息返回相应信息4.4.如果如果STASTA身份不符，身份不符，APAP向向STASTA返回错误信息返回错误信息 如果如果STASTA身份相符，身份相符，APAP向向STASTA返回认证响应信息返回认证响应信息 第三阶段第三阶段 : : 关联（关联（AssociationAssociation）阶段）阶段 当当 AP AP 向向 STA STA 返回认证响应信息、返回认证响应信息、身份认证获得通过后，身份认证获得通

15、过后， 进入关联阶段。进入关联阶段。1.1. STA STA 向向 AP AP 发送关联请求发送关联请求2.2. AP AP 向向 STA STA 返回关联响应返回关联响应 至此，接入过程才完成，至此，接入过程才完成， STA STA 初始化初始化完毕，可以开始向完毕，可以开始向 AP AP 传送数据幀。传送数据幀。AuthenticationServerAPSTAProbeRequestProbeResponseProbeRequestProbeResponseSSID比较AuthenticationRequestAuthenticationResponseAssociationReques

16、tAssociationResponse扫描扫描认证认证关联关联Y无线接入过程示意图v帧的类型帧的类型 数据帧数据帧( (传输数据传输数据) ) 控制帧控制帧 RTS,CTS,ACK RTS,CTS,ACK 等等 管理帧管理帧(station(station之间之间/station/station和和APAP传输管传输管理信息理信息) ) Authentication and Authentication and Response,DeResponse,De- -AuthenticationAuthentication Association/Re-Association and Associ

17、ation/Re-Association and Response,DisassociationResponse,Disassociation Beacon and Probe frames(Beacon and Probe frames(连接度量、电源管连接度量、电源管理理) )幀类型幀类型内容无线局域网概述无线局域网概述无线局域网安全无线局域网安全无线局域网攻击无线局域网攻击WPA标准标准802.1X协议协议WLANWLAN涵盖的范围涵盖的范围Wireless LAN (WLAN) 是有线网络的延伸是有线网络的延伸电磁泄漏电磁泄漏监听距离监听距离监听监听设备设备100 metres定向天线

18、定向天线v自制定向天线筛子筛子蚊香盘蚊香盘无线网络的安全特征无线网络的安全特征v无线信号是没有边界的v无线电波可以穿透墙传播v信息的传播是广播方式的v定向天线可以接收到更远距离的信号v容易窃听v容易干扰v容易伪装v容易访问网络无线局域网安全业务v认证v访问控制v保密v数据完整性v不可否认v密钥管理无线局域网安全业务无线局域网安全业务vIEEE802.11 认证：提供相当于有线媒介物理连接的功能。 链路层上的认证 不提供端到端或用户到用户的认证。 保密：提供相当于有线物理封闭媒介的保密802.11认证v开放系统(Open System)认证v共享密钥(Shared Key)认证共享密钥认证共享密

19、钥认证C =PRNGPRKS(SK) 共享密钥认证方式漏洞v攻击者可以得到： PRNG（第2步） C（第3步），C=PPRKS(K)vPC=？ = PRKS(K)v接下去：？WEP(Wired Equivalent Privacy)加密v安全服务： 数据机密性 访问控制 数据完整性 v类型： WEP-40 WEP-104v采用RC4流加密算法RC4RC4算法算法RC4RC4RC4RC43|3: : 256lSKIVlKkeylengthlNKSAKSAPRGAPRGAHeader Payload CRCPayload ICV输入数据帧输入数据帧 IV key number IV Secret

20、keyHeader IV Keynumber1230RC4Search keyplaintextRC4 key Payload ICVWEP加密过程加密过程 CRCPayload ICV收到的数据帧收到的数据帧 IV Secret keyHeader IV Keynumber1230RC4Search keyplaintextRC4 key Payload ICVWEP解密过程解密过程比较比较 ICVplaintextWEP数据帧格式 IV 6 bits 1 octet IV 4Data (PDU) 1ICV 4Sizes in Octets Encrypted (Note) Init. Ve

21、ctor 3Key ID 2 bits ，内容无线局域网概述无线局域网概述无线局域网安全无线局域网安全无线局域网攻击无线局域网攻击WPA标准标准802.1X协议协议WEPWEP安全分析安全分析1. WEP加密是可选功能，在大多数的实际产品中默认为关闭，因此将用户数据完全暴露于攻击者面前。WEPWEP安全分析安全分析2. 密钥产生问题：1. 直接由用户写入40或108比特的密钥；2. 由用户输入一个口令，根据该口令通过某个密钥生成函数产生密钥。WEPWEP安全分析安全分析3. 密钥分发问题：1. 密钥为无线局域网所有用户共享，且很少变动，因而容易泄漏。WEPWEP安全分析安全分析4.初始向量（I

22、nitialization vector，IV）空间太小。iv空间: 24bits，IV的生成方法：用计数器递增实现21 14(|) 24(|)12CCPRCivSKPRCivSKPPWEPWEP安全分析安全分析5.数据篡改攻击：v RC4,CRC32算法:线性校验算法线性算法特征：v 攻击方法已知：初始向量iv,密文C。未知：明文M，密钥KC=RC4(iv,K)M,crc32(M)随意伪造新明文M，令M=M+C= C WEPWEP安全分析安全分析6. IP重定向 攻击者可以将目标地址改为自己的地址 需确保校验正确。 x = x + DH + DL DH DL数据包正常的操作数据包正常的操作终

23、端终端接入点接入点接收者接收者数据包数据包数据包数据包数据包数据包互联网互联网重定向攻击重定向攻击终端终端接入点接入点接收者接收者攻击者攻击者1数据包数据包数据包数据包数据包数据包Internet攻击者攻击者2WEPWEP安全分析安全分析7. WEP没有重放保护机制WEP WEP 密钥破解密钥破解2001 - The insecurity of 802.11, Mobicom, July 2001 2001 - The insecurity of 802.11, Mobicom, July 2001 N. Borisov, I. Goldberg and D. Wagner.N. Boriso

24、v, I. Goldberg and D. Wagner.2001 - Weaknesses in the key scheduling algorithm of RC4.2001 - Weaknesses in the key scheduling algorithm of RC4.S. Fluhrer, I. Mantin, A. Shamir. Aug 2001.S. Fluhrer, I. Mantin, A. Shamir. Aug 2001.2002 - Using the Fluhrer, Mantin, and Shamir Attack to Break WEP2002 -

25、Using the Fluhrer, Mantin, and Shamir Attack to Break WEPA. Stubblefield, J. Ioannidis, A. Rubin.A. Stubblefield, J. Ioannidis, A. Rubin.2004 2004 KoreK, KoreK, 改进了上述攻击方法并简化了改进了上述攻击方法并简化了WEPWEP攻击的复杂攻击的复杂度，现在我们只需要大约度，现在我们只需要大约500,000 500,000 个数据包就可以恢复个数据包就可以恢复WEPWEP的的密钥。密钥。2005 2005 Adreas Klein Adre

26、as Klein 发现了发现了RC4RC4密钥流和密钥之间的更多相密钥流和密钥之间的更多相关性。关性。2007 2007 一种称为一种称为PTWPTW算法采用了算法采用了AndreasAndreas的方法进一步简化了的方法进一步简化了WEPWEP的攻击。我们现在只需要大约的攻击。我们现在只需要大约 60,000 60,000 90,000 90,000个数据包个数据包就可以恢复就可以恢复WEPWEP密钥。密钥。IEEEIEEE组织承认组织承认WEPWEP无法提无法提供任何安全保护，推荐供任何安全保护，推荐用户升级到用户升级到WPA, WPA2WPA, WPA2WEPWEP算法的缺陷算法的缺陷I

27、VIV是明文。是明文。被加密的数据的第一个字节的明文是固定的。被加密的数据的第一个字节的明文是固定的。0 xAA0 xAAFMSFMS攻击攻击v通过收集特定IV格式(weak IV)的数据包来反向推导密钥。 Weak IV (B+3,N-1,X)(B+3,N-1,X)形式的形式的IVIV，称称Weak IVWeak IVB : B : 欲破解的欲破解的secret key bytesecret key byteN : 256N : 256X : X : 为任意值为任意值 Fluhrer, Mantin, Shamir Attack802.11802.11网络攻击网络攻击1. 监听攻击：截取空中

28、信号，进行分析，获取相关信息。2. 插入攻击：通过监听获取的相关信息，假冒合法用户，通过无线信道接入信息系统，获取系统控制权。3. 未授权信息服务：用户在未经授权的情况下享用系统信息资源。4. 拒绝服务攻击：发送大量的无用数据报坏正常的无线通信。5. 伪造AP(Fake AP)：伪装成合法AP，诱使用户登录攻击实例Wardriving相关工具WEPWEP教训教训 ：需要公开讨论：需要公开讨论vIEEE使用 “公开设计” 任何人都可以参加会议 相关标准资料可以免费获得v不足； 只有大公司才有时间和精力参加会议 没有来自密码界的讨论v许多缺陷早已存在 例如：CRC攻击，重定向攻击 如果设计正确，F

29、MS等攻击都可以抵御WEPWEP教训：数据完整性保护的重要性教训：数据完整性保护的重要性v在无线局域网设计中，数据完整性保护只是次要目标。v但是简陋的完整性保护会破坏消息安全保护： IP重定向攻击 TCP回应攻击 数据包注入攻击v需要基于密码学的消息认证算法 “Encryption without integrity checking is all but useless” Bellovin96内容无线局域网概述无线局域网概述无线局域网安全无线局域网安全无线局域网攻击无线局域网攻击WPA/WPA2.0标准标准802.1X协议协议15.4 WPA/WPA2.015.4 WPA/WPA2.0标准标

30、准v加密算法的改进 TKIP加密机制 CCMP加密机制 v认证机制的改进 WPA-PSK认证 802.1X认证IEEE802.11IEEE802.11WiFiWiFi联盟联盟20022002年年20042004年年IEEE802.11iIEEE802.11iDraft 3.0Draft 3.0WPAWPAIEEE802.11iIEEE802.11iWPA2.0WPA2.0如何改进如何改进WEPWEPv在现有的WEP基础上进行修改 TKIP加密机制v重新设计新的安全机制 CCMP加密机制15.4.1 TKIP15.4.1 TKIP加密机制加密机制v设计者面临的限制 限制1：只能通过软件升级的方式

31、进行改进 限制2：计算资源有限 限制3：为了减少资源消耗，WEP算法固化在硬件模块中，无法修改WEP加密WEP解密IVIVRC4RC4密钥密钥明文明文密文密文WEP SeedWEP Seed明文明文密文密文vTKIP：Temporal Key Integrity Protocol 被设计为WEP算法外的一个壳(Wrapper) 可以以软件方式实现 重用现有的WEP算法 将WEP作为新机制的一个组件WEPWEP的安全问题的安全问题1 1 无法检测消息是否被篡改无法检测消息是否被篡改2 2 没有提供重放攻击保护没有提供重放攻击保护3 3 IVIV长度太短，容易造成重复使用长度太短，容易造成重复使用

32、4 4 存在存在Weak IV,Weak IV,容易遭受容易遭受FMSFMS攻击攻击5 5 直接使用主密钥，没有提供密钥更新机制直接使用主密钥，没有提供密钥更新机制TKIPTKIP针对针对WEPWEP的该进的该进目的目的改进改进针对的安针对的安全问题全问题数据完整数据完整性保护性保护添加基于密码学的消息完整性添加基于密码学的消息完整性校验码校验码(MIC)(MIC)， MichaelMichael函数函数(1)(1)IVIV选择和选择和使用使用添加添加IVIV序列计号序列计号(48(48位位) )，TSCTSC计计数器，改变数器，改变IVIV生成方式和功能生成方式和功能 (2)(2)，(3)(

33、3)密钥混合密钥混合添加分组密钥混合函数，使得添加分组密钥混合函数，使得每次加密使用的密钥都不同每次加密使用的密钥都不同(4)(4)密钥管理密钥管理添加添加Re-keyingRe-keying机制，进行密钥机制，进行密钥分发、更新和生成临时密钥分发、更新和生成临时密钥(5)(5)Michael函数函数 (L,R) (K0,K1) (L,R) (K0,K1) do i from 1 to n do i from 1 to n L LL L Mi Mi (L,R) b(L,R) (L,R) b(L,R) return (L,R)return (L,R)Michael密钥为密钥为64位位IV序列号序

34、列号 vIV大小: 24bit-48bitvIV作为数据包序列号：TSC 防止重发攻击v重新构造避免出现WeakIVTS0TS1(TS1|0 x20)&0 x7f密钥混合函数密钥混合函数v密钥混合函数；弥补WEP缺陷 用临时密钥替代原有的WEP密钥和IV。 临时密钥周期短，经常更换。v结构： 阶段1：解决每个链路都使用相同密钥的问题 阶段2：去除分组密钥和IV之间的相关性Upper IVLower IV32 bits16 bitsIV0 d IV3Per Packet Key24 bits104 bitsPhase 1 Key MixingPhase 2 Key MixingMAC A

35、ddressSession Key(IV3|0 x20)&0 x7f(L, R) (R, L (L, R) (R, L f(R) f(R)TKIP加密过程加密过程TKIP解密过程解密过程CCMP加密机制加密机制v 设计要求：1. 被正确加密a) 密钥不能重复使用b) Nonce和IV不能重复使用2. 防止数据被篡改a) 防止发送地址和接收地址被篡改3. 抗重发攻击4. 降低成本a) 尽可能减少加密函数使用数量b) 尽可能减少软件开销c) 尽量借鉴已有的安全机制AES-CCMAES-CCMHeaderPayloadMICAuthenticatedEncryptedvCBC-MAC模式用于

36、计算MIC码vCTR模式用于进行加密CCMP CCMP 数据帧数据帧DataMAC hdrMAC hdrCCMP hdrDataMAC hdrCCMP hdrDataMICMAC hdrCCMP hdrCiphertextEncryptionMAC hdrCCMP hdrCiphertext12345WPA认证机制认证机制v面向个人用户： WPA-PSKv面向企业用户 802.1X协议15.4.3.1 WPA-PSK认证vWPA-PSK是一种无需认证服务器的简化认证模式，用于中小型企业网络或家庭网络中。要求在每个WLAN节点预先输入一个密钥即可实现认证过程。无线终端只要输入相符的密钥即可获得W

37、LAN的接入控制。WPA-PSK认证WPA-PSK认证过程v协商认证方法：STA通过被动监听Beacon帧或主动探询获得AP的安全策略，向AP发起连接并协商安全策略。v密钥协商：将PSK设置为PMK，使用EAPOL-Key帧进行4步握手交换生成临时会话密钥PTK。终端终端接入点接入点1: 接入点接入点 nonce2: 终端终端nonce安全参数（用于认证）安全参数（用于认证）3: 响应消息响应消息 2 发送发送GTK4: 响应消息响应消息计算计算PTK计算计算PTK字典攻击字典攻击v所谓的字典攻击方法，就是使用常见的单词、词组、数字、人名和相关的变形。由于用户在设置密码时为了方便记忆，会选择短

38、的、有意义的英文字和数字作为密码。因此攻击者可以快速的进行反复猜测与比对，从而在短时间内获得密码。 v通过截获4步握手的数据包进行字典攻击。v成功与否与所使用的字典有关。v花费的时间与密码在字典中的位置有关。内容无线局域网概述无线局域网概述无线局域网安全无线局域网安全无线局域网攻击无线局域网攻击WPA标准标准802.1X协议协议802.1X认证v背景介绍： 有线网络：物理位置固定，空间封闭。可以实现基于网络设备端口的控制管理。 无线网络：空间开放，终端可移动。如何实现端口认证来实现用户级的接入认证。v802.1X认证：局域网接入控制协议 基于端口的访问控制协议(Port Based Network Access Control Protocol