网络与内容安全-008.无线局域网安全-新

1、第八章无线局域网安全 马占宇 信通院模式识别实验室,无线局域网的基本概念 无线局域网的技术标准 无线局域网安全问题 无线局域网的安全策略 WAPI标准,第八章无线局域网安全,无线局域网络组成,网络组成 通信设备 用户终端 网络支持单元（软件）,无线局域网络组成,通信设备（功能划分） WLAN固定小区 WLAN移动小区无中断连接、越区切换 WLAN桥路器为分散小区提供中远距离点对点连接 通信保密装置用于链路数据保密，如Radius（Remote authentication dial in user service远程认证拨号用户服务）服务器等。,无线局域网络组成,用户终端 提供包括电子邮件、数

2、据传输、语音和图像信息 不同层次的纠错传输 网络支持单元 本地网络管理 外部接口设备,无线局域网络拓扑结构,三种主要形式 点对点型 Hub型 完全分布型,点对点型拓扑结构,网络互连 无线链路与有线局域网的连接：桥路器或中继器,Hub型拓扑结构,集中控制式,完全分布型拓扑结构,主要用于军事和无线传感器网络 局部拓扑知识的分享，完成分布路由算法,网络协议,评价：数据纠错、传输速率、吞吐率、时延特性 IEEE 802系列标准 载波侦听多路访问/冲突避免（CSMA/CA）协议 时分双工（TDD）复用技术 网关方式,网络设计问题,吞吐量 无线传输与有线传输的有效匹配 保密性 提高安全性的同时，不产生太多

3、的附加延迟或开销 “动中通”OTM On-The-Move 蜂窝或微蜂窝,无线局域网的基本概念 无线局域网的技术标准 无线局域网安全问题 无线局域网的安全策略 WAPI标准,第八章无线局域网安全,3个标准的比较,IEEE 802.11协议,IEEE802工作组建立的标准 802.11a 802.11b 与物理层有关 802.11g 802.11i 影响MAC层,家庭射频技术,家庭射频（HomeRF）技术是数字式增强型无绳电话DECT（Digital Enhanced Cordless Telephone）技术和WLAN技术相互融合的产物 无线局域网标准IEEE 802.11采用CSMA/CA（

4、载波监听多点接入/冲突避免）方式，特别适合于数据业务 DECT使用TDMA（时分多路复用）方式，特别适合于话音通信 将两者融合便构成了家庭射频使用的共享无线应用协议SWAP（Shared Wireless Access Protocol） SWAP使用TDMA+CSMA/CA方式，适合话音和数据业务，并且针对家庭小型网络进行了优化。 家庭射频系统设计的目的就是为了在家用电器设备之间传送话音和数据，并且能够与公众交换电话网（PSTN）和互联网进行交互式操作,蓝牙技术,蓝牙（Bluetooth）技术是实现语音和数据无线传输的开放性规范, 是一种低成本、短距离的无线连接技术 无线收发器是一块很小的芯

5、片，大约只有9mm9mm，可方便地嵌入到便携式设备中，从而增加设备的通信选择性 蓝牙技术实现了设备的无连接工作（无线链路替代电缆连接），提供了接入数据网功能，并且具有外围设备接口，可以组成一个特定的小网,无线局域网的基本概念 无线局域网的技术标准 无线局域网安全问题 无线局域网的安全策略 WAPI标准,第八章无线局域网安全,WLAN的安全,应用角度看，移动用户或无线上网用户，通过无线设备的网卡发信息给AP，信息在传输时可能遭受3种攻击 信息泄露。最典型的情形是信息在空中传输时被监听 信息被篡改。数据在传输过程中，内容被篡改 信息阻断。例如，用户发送信息给AP，虽然用户确认信息已经发送出去，但是

6、由于黑客可以在AP端“做手脚”，所以信息有可能传输到AP就被非法中断了 技术角度看，无线IP包中参数被篡改或侦测，可能产生以上攻击,WLAN的安全,一般地，WLAN的安全性有下面4级定义 扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据 设置严密的用户口令及认证措施，防止非法用户入侵 设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容 采取网络隔离及网络认证措施,IEEE 802.11b的安全,两种认证服务 开放系统认证（Open System Authentication） 共享密钥认证（Shared Key Authentication）,无线局域网的基本概念 无线局域

7、网的技术标准 无线局域网安全问题 无线局域网的安全策略 WAPI标准,第八章无线局域网安全,强化无线局域网常用的6种技术方案,（1）WEP。即有线等价协议（Wired Equivalency Protocol），它与现有的无线网络的兼容性非常好，设置方法简单 （2）IEEE 802.1x。它为用户提供认证。IEEE 802.1x可用于有线或无线环境，并包含每次WEP会话（session）的密钥。IEEE 802.1x的优点是可以在接入网络之前的链路层对用户进行认证 （3）IEEE 802.11i技术。这是IEEE的无线网络安全标准。（4）网站认证技术。它易于安装和使用。不过也容易被窃取和破解

8、（5）IPSec。它是一种安全性最高的模式，其结构与互联网的远程接入一样。然而，该技术需要安装客户端软件，因而不利于该技术的应用和升级 （6）IPSec Passthrough。它的优势是易于同现在的VPNs技术整合,WEP的运作方式,WEP提供一种为无线局域网数据流加密的安全方法，是一种对称加密方法 目标：接入控制和防止未授权的用户接入网络,TKIP,TKIP（Temporal Key Intergrity Protocal） 相对WEP的静态密码安全性更好 用户口令用于初始化或启动加密过程 实际密钥在加密过程中不断循环变换，每个数据包使用新密钥 同一个AP或LAN上的用户被相互隔离,无线局

9、域网的基本概念 无线局域网的技术标准 无线局域网安全问题 无线局域网的安全策略 WAPI标准,第八章无线局域网安全 5,WAPI概述,无线LAN认证和保密基础设施（WLAN Authentication and Privcy Infrastructure） 我过2003年发布，由ISO/IEC授权的IEEE Registration Authority审查获得认可无线Lan安全标准,WAPI基本术语,（1）接入点（Access Point，AP）。 （2）站点（STAtion，STA）。 （3）基本服务组（Basic Service Set，BSS）。 （4）系统和端口受控端口与非受控端口 （

10、5）鉴别服务单元ASU（Authentication Service Unit）。 （6）公钥证书。,WAPI的工作原理,WAPI的工作原理,（1）认证激活。 （2）接入认证请求。 （3）证书认证请求。 （4）证书认证响应。 （5）接入认证响应。,WAPI评述,中国无线局域网标准，是在国际上还没有一个有效、统一的安全措施的基础上推出的。因为中国的无线局域网技术正处在发展初期，如果这时能够解决无线局域网的安全问题，就能促进其在中国的长久发展。GB 15629.11的制定，正是顺应了这个需要。而其中关于无线局域网安全部分的规定，可以解决现有的无线局域网的安全问题，为无线局域网的发展保驾护航。和中国

11、的数字家庭闪联标准的推出一样，WAPI对于我国标准化工作的推进具有积极的意义。,WAPI评述,WAPI标准出台后，部分芯片生产厂商表示理解和支持，但也有一部分厂商表示反对。由于WAPI标准对Intel公司原有的迅驰移动技术中的无线网络功能不兼容，所以它反对强制实行WAPI标准。中国宽带无线标准组织也表示将与厂商和国际组织合作，进一步完善WAPI标准。从兼容性的角度来看，WAPI目前的应用前景还不是很乐观。,第六讲：无线局域网安全,本地无线连接 无线局域网WLAN 802.11x系列标准 中国标准WAPI 9798-3/ISO SC27,无线局域网技术,无线LAN和个人通信网（PCN）代表了19

12、90年代通信网络技术的发展方向。 相关技术的发展 天线设计技术的发展 高性能、高集成度的CMOS和GaAs半导体技术的发展，MCM技术 网络软硬件设计技术的进展 无线网络拓扑结构 点对点型，HUB型，完全分布型,ad hoc network,Infrastructure network,几种无线标准的比较,红外系统 射频系统 非专用频段，或称为工业、科研、医学（ISM）频段 专用频段：（18.82518.875）GHz，（19.16519.215）GHz 毫米波段（mmW）,无线局域网的安全标准,WEP(Wired Equivalent Privacy)协议 TKIP(Temporary Ke

13、y Integrity Protocol) 802.1X协议 Wi-Fi组织提出的WPA(Wi-Fi Protected Access)标准 802.11i标准(较新标准) WAPI(中国标准),Wi-Fi组织简介,Wi-Fi组织的前身是WECA（Wireless Ethernet Compatibility Alliance） 其官方网站为 该组织对厂家根据802.11标准生产的WLAN产品进行兼容性测试与认证，确保通过其认证的产品可以互联互通,WLAN的802.1x协议系列标准,1997年，IEEE 802.11协议 1999年，IEEE 802.11b协议 2

14、004年，IEEE 802.11i协议(Draft Standard) 2007年，IEEE 802.11i协议(Standard) 网络吞吐速率,高速数字传输和稳定的连接,CIS/SJTU,37,2008-3-28,802.11无线安全技术演进,802.11协议,工作方式 无线站 无线接入点(AP) 物理层 三个物理层包括了两个扩频 技术规范和一个红外传播规范 传输速率是1Mbps和2Mbps，使用FHSS (frequency hopping spread spectrum)或DSSS (direct sequence spread spectrum)技术 联合结构、蜂窝结构和漫游 MAC

15、子层负责解决客户端工作站和访问接入点之间的连接,802.11的三种基本安全机制,802.11标准规定无线局域网有三种基本的接入AP的安全措施 服务区别号(SSID) MAC地址过滤 等价有线协议(WEP),40,802.11的三种基本安全机制,服务区别号（SSID） 无线Station必须出示正确的SSID才能访问AP，SSID可以被看作是一个简单的口令 MAC地址过滤,CIS/SJTU,41,2008-3-28,可以手工维护一组允许或拒绝访问的MAC地址列表，用来进行物理地址过滤。物理地址过滤属于硬件认证，不属于用户认证。在MAC地址列表中手工增删用户的MAC地址，只适合小型网络。,802.

16、11的三种基本安全机制,有线等价协议（WEP） 802.11标准包含一个WEP协议(Wired Equivalent Privacy protocol)，它的安全目标是 阻止窃听（保护机密性） 阻止消息被篡改（保护完整性） 控制对WLAN的访问（访问控制） 实质上，WEP应提供与有线网络等同的安全性。 WEP是一个保护链路层通信安全的协议，而不提供端到端的安全解决方案。在ad hoc网络中不能使用WEP，因为该种网络没有AP。,CIS/SJTU,42,2008-3-28,WEP协议的主要内容,在Mobile Station与Access Point之间共享一个密钥，用来认证。 使用CRC-32

17、（循环冗余校验码）来保护消息完整性。 使用RC4流密码算法对包载荷和CRC校验值进行加解密。 接收者解密数据，计算包载荷的CRC校验值，若正确则接受，否则丢弃该包。,CIS/SJTU,43,2008-3-28,Mobile Station,Access Point,WEP协议的认证,CIS/SJTU,44,2008-3-28,STA,AP,WEP协议的完整性校验,Integrity Check Value（ICV）,WEP协议的加、解密,RC4是一种流密码算法，它可利用一个密钥生成无限长的伪随机数序列（称为密钥流）。加密时，将密钥流与明文相异或，解密方法与加密相同。,CIS/SJTU,48,2

18、008-3-28,WEP协议的加密,CIS/SJTU,49,2008-3-28,WEP协议的解密,CIS/SJTU,50,2008-3-28,WEP的帧格式,在使用流密码算法（包括RC4）时，加密两个消息时使用同一密钥流是十分危险的 WEP中使用24bit长的IV来增加密钥的个数 Key = base_key | IV 不同的IV将产生不同的密钥流, IV放在每包的开头，对IV不进行加密,IV,CRC-32,Payload,Key ID byte,RC4 encrypted,WEP的密钥长度,WEP采用RC4算法加密数据包，密钥长度为40bit或104bit。由于存在24bit长的IV，WLA

19、N厂商通常对外宣称密钥长度为64bit或128bit。,CIS/SJTU,51,2008-3-28,Lab for Cryptography and Information Security, SJTU,52,2008-3-28,WPA, WPA-PSK,开放系统，共享系统,流密码算法RC4,RC4 was designed by Ron Rivest of RSA Security in 1987 RC4 was initially a trade secret, but in September 1994 a description of it was anonymously posted

20、 to the Cypherpunks mailing list. It was soon posted on the sci.crypt newsgroup, and from there to many sites on the Internet. The current status seems to be that unofficial implementations are legal, but cannot use the RC4 name. RC4 is often referred to as ARCFOUR, to avoid possible trademark probl

21、ems. It has become part of some commonly used encryption protocols and standards, including WEP and WPA for wireless cards and SSL.,CIS/SJTU,53,2008-3-28,RC4:pseudo-random generation algorithm (PRGA),考虑所有的字节（8bit数组） 0,1,2,255 S(需初始化):所有字节的置换S0,S1,S2,S255 流密码算法：明文、密钥按字节对应数组XOR 密钥流输出算法 i := 0 j := 0 w

22、hile GeneratingOutput: i := (i + 1) mod 256 j := (j + Si) mod 256 swap(Si,Sj) output S(Si + Sj) mod 256,RC4:key-scheduling algorithm,置换S通过密钥初始化 密钥长度（字节数）l通常516（40128 bits ） 首先，设S为恒等置换 S 然后经过类似PRGA的256次迭代生成，即 for i from 0 to 255 Si := i j: = 0 for i from 0 to 255 j := (j + Si + keyi mod l) mod 256 sw

23、ap(Si,Sj),IV的碰撞问题,不同的包使用相同IV的现象称作IV的碰撞 相同的IV意味着加密密钥流是同一个 C1 C2 = P1 P2 如果C1、C2、P1已知，则立即可以推算出P2。 如果有三个或三个以上的包使用相同的IV，则解密更加容易。 C1 C3 = P1 P3 C2 C3 = P2 P3 C1 C2 = P1 P2,WEP中的IV碰撞,802.11没有规定如何选择IV，甚至没有要求对于不同的包采用不同的IV 许多基于802.11的产品将IV的初始化值设为0，随后IV递增 实际上，IV的取值总共有224 种可能，在几个小时以后就会出现IV碰撞的情况。当一个密钥的生命期比较长时，或

24、多个用户使用同一个密钥时，IV碰撞发生的几率会急剧增大。 在IV发生碰撞时，可根据C1 C2 = P1 P2推测明文P1 、P2的值。,已知明文攻击,一旦我们得知一个数据包的明文内容，只需将明文与密文相异或，我们就可以推导出加密该包的密钥流。 RC4(k,IV) = Plaintext Cipher 用此密钥流可以解密所有具有相同IV值的其它被加密数据包。 如果我们能够收集224个不同IV开头的数据包的明文内容，就可以得到加密224个包的密钥流，用它们组织成解密字典，可以实时地解密任何一个数据包。 由于在一般的情况下，IV是从0开始计数的，所以IV值较小的包会经常出现，这些数据包将比IV值大的

25、包更容易遭到破解。,对WEP中CRC校验的攻击,CRC-32是考虑检验传输错误，并非保护数据完整。 基于线性纠错编码：k 位序列k+r 位序列，r 位冗余用于校验 n bit长的明文可以表示成一个 n-1 次多项式的形式 p = pn-1xn-1 + pn2xn2 + + p0 x0(each pi = 0 or 1) 则明文与ICV可以被一起表示为 px32 + ICV(p) = pn-1xn+31 + pn2xn30 + + p0 x32 + ICV(p) 如果将（n+32）bit长的密钥流表示成（ n+31 ）次的多项式 b ，则密文可以表示为 px32 + ICV(p) + b ICV

26、的运算是线性的，即对于任意两个多项式p 和 q ，有以下的等式成立ICV(p+q) = ICV(p) + ICV(q),若 q 是一个任意的 n 阶多项式，将它与密文相异或将得到以下等式成立： (p+q)x32 + ICV(p+q) + b = px32 + qx32 + ICV(p) + ICV(q) + b = (px32 + ICV(p) + b) + (qx32 + ICV(q) 按照该规则修改密文将可以不被CRC-32校验检测到！,对WEP中CRC校验的攻击,WEP中的完整性很弱,WEP中的完整性校验不能阻止对包内容的篡改 可以利用这个弱点来 篡改包内容, 绕过访问控制 例如：存在一

27、种攻击认证的方法 记录一个认证的“ChallengeResponse”全过程 根据RC4(k,IV) = Plaintext Cipher， 使用截获的Challenge、Response包获取加密密钥流 在认证时使用算出的加密密钥流来加密AP发来的Response,CIS/SJTU,61,2008-3-28,Decrypted nonce OK?,从WEP设计的教训及补救措施,设计出的标准草案应该面向大众，在接受学术界的普遍分析和检验以后才能被确立为标准。 设计安全标准应该有密码学家的参与。WEP的设计者缺乏密码学常识，RC4本身是一个“安全”的加密算法，但是WEP的设计者没有正确地使用RC

28、4算法。 设计标准和协议需要汲取以前设计协议的经验教训，误用CRC的问题在以前的协议中出现过，但是WEP的设计者并没有注意到这一点。 补救措施 对于密钥管理做出了改进，采用多个密钥，在连接时才决定使用哪一个密钥 建议将WLAN视为不安全的网络，避免通过它来传输敏感数据 将WLAN置于公司内部网之外，两者之间要使用防火墙 对于要求高安全级别的应用，使用VPN,临时密钥完整性协议TKIP,针对WEP的不足，2002年10月提出新的安全协议 临时密钥完整性协议TKIP(Temporary Key Integrity Protocol)可以提供加密和消息认证功能 使用带密钥的消息完整性保护算法Mich

29、ael算法(Message Integrity Code, MIC) 使用IV序列计数器，其输出值参与会话密钥的生成，可以抗重放攻击 使用密钥混合函数，不会产生WEP中的弱密钥； 使用密钥自动更新机制，减少IV碰撞现象发生的机会,TKIP加密,64,2008-3-28,Kevin Benton, The Evolution of 802.11 Wireless Security, /pubs/benton_wireless.pdf, UNLV Informatics-Spring 2010,802.1X标准,2001年6月，IEEE公布了802.1X标准，用于

30、在用户终端和AP之间建立起经过认证的安全连接。 比起802.11有比较大的改变,它的核心是可扩展认证协议EAP，实质是对通信端口进行鉴权。 如果认证通过，AP为Station打开逻辑通信端口，否则拒绝Station的接入请求。,802.1X标准,三个重要部分： Station，Access Point，RADIUS 802.1X标准要求无线工作站Station安装802.1x客户端软件， AP要内嵌802.1x认证代理，将用户认证信息转发给RADIUS（Remote Authentication Dial-in Service，远程用户接入认证服务）服务器， 由RADIUS服务器来进行认证。,

31、Extensible Authentication Protocol (EAP),EAP 即PPP（Point-to-Point）扩展认证协议,是一个用于PPP认证的通用协议，可以支持多种认证方法。 EAP并不在联接建立阶段指定认证方法，而是把这个过程推迟到认证阶段。 这种机制还允许PPP认证方简单地把收到的认证报文传递给后方的认证服务器，由后方的认证服务器来真正实现各种认证方法。 EAP是建立在询问响应模型上的，共有四种类型的信息：EAP请求、EAP响应、EAP成功信息、EAP失败信息。 EAP工作在网络层上而不是工作在数据链路层上，可以将信息路由到中心服务器上而不是让每一个端口AP进行认证

32、，因此由更大的灵活性。,802.1X标准的认证过程,Port Status:,RADIUS,69,WLAN中802.1X的认证过程,802.1X标准的特点,在802.1X标准中没有指定采用哪种认证协议，EAP只是一种封装协议，可以选用不同的认证协议，如Kerberos、EAP-TLS等。 802.1x是为了在Station和AP之间进行认证和分发加密密钥设计的，可以动态生成加密密钥。 802.1X除提供端口访问控制能力以外，还提供基于用户的认证系统和计费功能，特别适用于公共场合（如宾馆、候机室）的无线接入解决方案。,Wi-Fi Protected Access (WPA),2003年提出，集合

33、了现有的802.1x认证机制(EAP)、临时密钥完整性协议(TKIP)和消息完整性检查机制(MIC)，这些技术的结合可以保证数据包的安全性。 Uses Temporal Key Integrity Protocol (TKIP) for data encryption and confidentiality Still uses RC4, 128 bits for encryption Provisions for changing base keys Avoids weak keys Includes Michael a Message Integrity Code (MIC) 64 bit

34、s Replaces the CRC Observer cannot create new MIC to mask changes to data Increases IV from 24 bits to 48 Mixes the IV and the base key,2008-3-28,WPA2,Uses AES, specifically Counter-Mode/CBC-MAC Protocol (CCMP) Too computationally intensive in SW for wireless hardware deployed at the time of WEP Use

35、s 128 bit key Provides data confidentiality by using AES in counter mode,Provides message authentication using Cipher Block Chaining Message Authentication Code (CBC-MAC) The MAC also covers the packet source and destination,802.11i标准,802.11i是专门为改善WLAN安全而制定的标准，2004年月获得IEEE标准委员会通过。 该标准将使用TKIP协议作为过渡的加

36、密算法，最终转向使用AES加密算法。 使用AES算法的何种工作模式目前尚未确定，AES-OCB、AES-CCM是比较被看好的候选方案。 该标准中的认证方案将支持WLAN用户的漫游。 IEEE 802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。 802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。 完成的802.11i标准包括两项主要发展：Wi-Fi保护接入(WPA)和强健的安全网络(RSN)。,802.11i协议增强无线安全,有线等效加密协议(WEP)由于缺少足够的安全性，从而延缓了无线局域网在许多企业中的广泛采用。尽管多

37、数网络管理人员和最终用户都知道切断以太网连线所带来的生产力好处，但大多数人担心这样做的风险。 从安全角度看，人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时，人们假定他们已经是可信赖的用户。因此，用户可以使用也可以不使用像802.1x或RADIUS这样额外增加的认证功能的协议。,Wi-Fi保护接入,第一个任务是堵住遗留设备中的安全漏洞，一般是通过固件或驱动器升级。Wi-Fi联盟已经采纳了802.11i草案标准的一个子集合，将它称为WPA，并且现在开始认证设备是否满足WPA要求。 WPA利用临时密钥完整协议(TKIP)作为改进WEP所使用密钥的

38、安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。还增加了消息完整性检查功能来防止数据包伪造。 虽然WPA对弥补WEP的缺点有很大帮助，但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备和操作系统。 此外，并不是所有的用户都可以共享同样的安全基础设施，一些用户将使用PDA并缺少PC的处理资源。 此外，除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件，否则TKIP/WPA将降低网络性能。,强健的安全网络(RSN),RSN是接入点与移动设备之间的动态协商认证和加密算法。 802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(

39、EAP)的，加密算法为高级加密标准(AES)。 动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。 由于采用动态协商、802.1x、EAP和AES, RSN比WEP和WPA可靠得多。但是，RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件，提供今天的无线局域网产品所期望的性能。 WPA将把遗留设备的安全性提高到最低限度的可接受水平，而RSN才是802.11无线传输安全性的未来。,Architectural Components,Key hierarchy

40、Pairwise Keys, Group Keys EAP/802.1X/RADIUS Operational Phases Discovery, Authentication, Key Management, Data transfer,Pairwise Key Hierarchy,Pairwise Keys,Master Key represents positive access decision Pairwise Master Key represents authorization to access 802.11 medium Pairwise Transient Key Coll

41、ection of operational keys: Key Confirmation Key (KCK) used to bind PTK to the AP, STA; used to prove possession of the PMK Key Encryption Key (KEK) used to distribute Group Transient Key (GTK) Temporal Key (TK) used to secure data traffic,Group Keys,Group Transient Key (GTK) An operational keys: Te

42、mporal Key used to “secure” multicast/broadcast data traffic 802.11i specification defines a “Group key hierarchy” Entirely gratuitous: impossible to distinguish GTK from a randomly generated key,More Terminology,802.1X or EAPoL EAP TLS EAP-TLS RADIUS,Authentication and Key Management Architecture (

43、1),802.1X (EAPoL),Authentication Server,Access Point,802.11,Wireless Station,Out of scope of 802.11i standard,Authentication and Key Management Architecture (2),EAP is end-to-end transport for authentication between STA, AS 802.1X is transport for EAP over 802 LANs AP proxies EAP between 802.1X and

44、backend protocol between AP and AS Backend protocol outside 802.11 scope But RADIUS is the de facto transport for EAP over IP networks Concrete EAP authentication method outside 802.11 scope But EAP-TLS is the de facto authentication protocol, because the others dont work,802.11 Operational Phases,A

45、uthentication Server,Access Point,Station,Purpose of each phase (1),Discovery Determine promising parties with whom to communicate AP advertises network security capabilities to STAs 802.1X authentication Centralize network admission policy decisions at the AS STA determines whether it does indeed w

46、ant to communicate Mutually authenticate STA and AS Generate Master Key as a side effect of authentication Generate PMK as an access authorization token,Purpose of each phase (2),RADIUS-based key distribution AS moves (not copies) PMK to STAs AP 802.1X key management Bind PMK to STA and AP Confirm b

47、oth AP and STA possess PMK Generate fresh PTK Prove each peer is live Synchronize PTK use Distribute GTK,Authentication Overview,Authentication Summary,At the end of authentication The AS and STA have established a session if concrete EAP method does The AS and STA possess a mutually authenticated M

48、aster Key if concrete EAP method does Master Key represents decision to grant access based on authentication STA and AS have derived PMK PMK is an authorization token to enforce access control decision AS has distributed PMK to an AP (hopefully, the STAs AP),上次到这里,Data Transfer Overview,802.11i defi

49、nes 3 protocols to protect data transfer CCMP WRAP TKIP to communicate with legacy gear only Three protocols instead of one due to politics More on Filtering,CCMP,Mandatory to implement Based on AES in CCM mode CCM = Counter Mode Encryption with CBC-MAC Data Origin Authenticity AES overhead requires

50、 new AP hardware AES overhead may require new STA hardware for hand-held devices, but not mobile PCs An all new protocol with few concessions to WEP Protects MPDUs = fragments of 802.2 frames,CCM Block Diagram,B0,CCM Mode Description (1),Given an input (N, H, M), the CCM encryption operation proceed

51、s as follows CBC-MAC computation: Form a CBC-MAC sequence B = (B0, B1 , . , Br ) of blocks from (N, H, M) in a prescribed manner; we assume that the nonce N is uniquely determined by the first block B0 (N, H, M) B is prefix-free two different inputs cannot result in two sequences B and B with B a pr

52、efix of B Example: B0 = flags | N | |M| (|M| = length of M) B = B0 | |H| | H | padding | M | padding Compute the kt-bit CBC-MAC tag T of B with IV 0: Y0 = EK (B0); Yi = EK (Yi1 Bi); T = first kt bits in Yr,CCM Description (2),CTR encryption Form CTR blocks Ai including A and i; i 0 Encrypt T with (t

53、he first kt bits of) S0 = EK (A0): D = T S0 Encrypt M in CTR mode with (the first |M| bits of) S1 = EK (A1), S2 = EK (A2), .: C = M S1 | S2 | S3 | . Output the resulting ciphertext (C, D),CCM Properties,CTR + CBC-MAC (CCM) is based on a block cipher such as the AES CCM provides authenticity and priv

54、acy A CBC-MAC of the plaintext is appended to the plaintext to form an encoded plaintext The encoded plaintext is encrypted in CTR mode If desired, CCM can leave any number of initial blocks of the plaintext unencrypted CCM has a security level as good as any of the NIST proposals, including OCB In

55、particular, CCM is provably secure,NIST,美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）直属美国商务部，从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，提供标准、标准参考数 据及有关服务，在国际上享有很高的声誉。 NIST有四位研究者因其物理学上的成就获得了诺贝尔奖：威廉丹尼尔菲利普斯（1997年），埃里克康奈尔（2001年），约翰霍尔（2005年）和大卫维因兰德(2012年)，是美国政府实验室里获奖者最多的。,CCMP加密/解密,Other 8

56、02.11i Features,Pre-authentication and roaming PEAP and legacy authentication support Pre-shared key without authentication Ad hoc networks Password-to-Key mapping Random number generation,Ad hoc network,临时网络是一个没有有线基础设施或中央控制器支持的移动网络。在临时网络中，所有的节点都是由移动主机构成的。该类型的网络最初是应用于军事领域，为了在战场环境下分组无线网络数据的通信。 网络拓扑结构

57、的动态性是临时网络的重要特点。临时网络通信的核心问题在网络通信效率和节点能量消耗之间的合理平衡。 由于网络中的节点没有当前网络拓扑结构的先验知识，通常在需要通信时才开始发现路由。常见的临时网络的路由方式有主动构建路由表、按需构建路由，面向流的路由和适应性路由等。典型的按需构建路由协议有无线自组网按需平面距离矢量路由协议。 临时网络的英文叫做ad hoc network。Ad Hoc是一个拉丁词汇，在拉丁语中的意思是“即兴，临时”。,802.11i是否安全？,IEEE 802.11i作为安全接入标准，包含三种安全机制 WEP、WPA和WPA2，其中，早期是使用WEP/WPA作为安全机制，但已被证

58、明存在严重安全漏洞，目前网上到处流传着破解上述Wi-Fi安全机制的方法。 WPA2是WPA的升级版本，Wi-Fi联盟宣布：将全面摒弃WEP/WPA，推进WPA2这一新的安全机制 WPA2本身有两种版本，个人版和企业版。个人版整个网络的所有用户均共享一个密码(称为预共享密钥或简称为PSK)，相较企业版每个用户会有一个数字证书而言，个人版比企业版的安全系数要更低。 据悉，国外黑客组织已经建立了高达500G的详尽的WPA/WPA2攻击Table库 甚至一些基本完善的WPA-PSK Hash Tables已经在黑客网站上开始公开出售， 只需要支付120美金，就可买到8张包含WPA-PSK Hash T

59、ables 的DVD光盘。,WAPI出现背景,WLAN的安全技术处在不断发展中，像移动通信安全技术的发展过程一样，WLAN安全问题将得到比较满意的解决。 安全标准的不兼容不会影响到WLAN的发展。 开发出我国具有自主知识产权的WLAN标准（包括安全方面）将为国家产生重大的经济效益和社会价值，已成为我们面对的当务之急。 由于当时无线局域网国际标准(802.11)中的安全解决方案(WEP)，已被广泛证实不安全。 国际标准为此采用了WPA、802.11x、802.11i、VPN等方式试图保证WLAN安全。但这些方式要么只是将有线网络安全机制通过技术转接到WLAN上，要么在技术上很容易被破译。 在2003年5月12日，中国信息产业部报送国家标准化管理委员会正式颁布了无线局域网两项国家标准，在考虑和兼顾无线局域网产品互联互通的基础上，针对无线局域网的安全问题，给出了技术解决方案和