沈鑫剡编著（网络安全）教材配套课件第8章

网络安全第八章第8章无线局域网安全技术本章主要内容无线局域网的开放性和安全问题；WEP；802.11i；WPA2。8.1无线局域网的开放性和安全问题本讲主要内容频段的开放性；空间的开放性；开放带来的安全问题和解决思路。一、频段的开放性开放频段是无需国家无线电管理委员会批准就可使用的频段，无线电频段是重要的国家资源，审批过程非常复杂，开放频段为无线电产品生产厂家免除了频段审批的麻烦；开放频段的信号能量必须受到限制，否则，可能相互影响。开放频段二、空间的开放性空间开放性使得终端不需要通过线缆连接网络，但信号传播范围内的任何终端都能接收其他终端之间的传输的数据，也能向其他终端发送数据；如果没有采取措施，通信的安全性无法保障。三、开放带来的安全问题和解决思路1．安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰；嗅探和流量分析；重放攻击；数据篡改；伪造AP。三、开放带来的安全问题和解决思路2．解决思路（1）接入控制对无线终端实施接入控制，保证只有授权终端才能与AP进行通信，并通过AP访问内部网络。三、开放带来的安全问题和解决思路2．解决思路（2）加密加密授权终端和AP之间交换的数据，保证只有拥有密钥的授权终端和AP才能还原出明文，以此保证授权终端与AP之间交换的数据的保密性。三、开放带来的安全问题和解决思路2．解决思路（3）完整性检测对授权终端和AP之间交换的数据进行完整性检测，通过完整性检测机制保证授权终端与AP之间交换的数据的完整性。8.2WEP本讲主要内容WEP加密和完整性检测过程；WEP帧结构；WEP鉴别机制；基于MAC地址鉴别机制；关联的接入控制功能；WEP的安全缺陷。一、WEP加密和完整性检测过程24位初始向量（IV）和40位（或104位）密钥构成64位伪随机数种子，产生数据长度＋4（单位字节）的一次性密钥；数据的循环冗余检验码（4个字节）作为数据的完整性检验值（ICV）用于检测数据的完整性；一次性密钥和数据及ICV进行异或运算，其结果作为密文；为了在发送端和接收端同步伪随机数种子，以明文方式传输IV，由于伪随机数种子由密钥和IV组成，截获IV并不能获得伪随机数种子。WEP加密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子，产生一次性密钥，如果接收端保留的密钥和发送端相同，则接收端产生和发送端相同的一次性密钥；用和密文相同长度的一次性密钥异或密文，得到数据和4字节的ICV；根据数据计算出循环冗余检验码，并与ICV比较，如果相同，表明数据传输过程未被篡改。一、WEP加密和完整性检测过程WEP解密过程二、WEP帧结构控制字段中的WEP标志位置1；净荷字段中包含密文（数据和ICV与一次性密钥异或运算后的结果）、IV、密钥标识符，2位密钥标识符允许发送端和接收端在4个密钥中选择一个密钥作为伪随机数种子的组成部分。三、WEP鉴别机制确定终端是否是授权终端的唯一依据就是终端是否拥有和AP的密钥；终端一旦通过认证，AP记录下终端的MAC地址，以后，终端MAC地址就是授权终端发送的MAC帧的标识符。challenge是128字节长度的随机数。密文＝（challenge‖ICV）⊕K；K是一次性密钥，以IV和密钥为伪随机数种子生成的伪随机数，其长度＝128＋4（单位字节）。四、基于MAC地址鉴别机制AP首先建立授权终端MAC地址列表；终端是否是授权终端的依据是该终端的MAC地址是否包含在AP的MAC地址列表中。五、关联的接入控制功能建立关联过程中，终端和AP完成物理层协议、信道、传输速率的同步过程；建立关联过程中，AP完成对终端的认证；建立关联后，终端的MAC地址将记录在关联表中，AP只接收、发送源或目的MAC地址在关联表中的MAC帧。　这些意味着一旦终端和AP建立关联，AP已经完成对终端的接入控制过程。建立关联过程六、WEP的安全缺陷共享密钥认证机制的安全缺陷；一次性密钥字典；完整性检测缺陷。WEP安全缺陷起因于以下几点：一是一次性密钥和初始向量一一对应，发送端通过明文传输初始向量，且密文和明文的异或操作结果即是一次性密钥；二是一次性密钥的空间只有224，且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性；三是用循环冗余检验码作为完整性检测码，容易实现同时篡改密文和加密后的ICV。六、WEP的安全缺陷两端一次性密钥K取决于明文IV。Y=P⊕K，很容易根据Y和P推出K=P⊕Y=P⊕P⊕K=K。IV不变，AP根据IV推出的一次性密钥K不变，如果Y′=P′⊕K，AP认定黑客终端拥有共享密钥。认证响应（P）认证请求（Y,IV）认证请求认证响应（P′）认证响应（Y′,IV）认证响应（成功）六、WEP的安全缺陷一次性密钥和初始向量一一对应，初始向量又以明文方式出现在WEP帧中，在知道明文P和密文Y的情况下，又很容易得出一次性密钥K=P⊕Y；图中入侵者同伴持续向无线局域网中某个授权终端发送固定长度、固定内容的数据，入侵终端通过接收发送给授权终端的密文和对应的IV，及已知的数据明文得出不同IV和一次性密钥的对应关系，这就是固定长度的一次性密钥字典。黑客建立固定长度的一次性密钥字典的过程六、WEP的安全缺陷入侵终端发送正确加密的ICMPECHO请求报文给AP，AP将回送ICMPECHO响应报文；根据固定长度L的一次性密钥字典，试探性得出L+8长度的一次性密钥；试探过程采用穷举法，一次性密钥的高L位保持不变，底8位从0开始，每次增1。六、WEP的安全缺陷数据＝M1(X)，ICV=(Xr×M1(X))/G(X)的余数，即R1(X);密文＝(Xr×M1(X)＋R1(X))⊕K；篡改密文数据＝(Xr×M2(X)＋R2(X))，其中R2(X)=(Xr×M2(X))/G(X)的余数；如果篡改后密文＝(Xr×M1(X)＋R1(X))⊕K⊕(Xr×M2(X)＋R2(X))，由于(Xr×(M1(X)⊕M2(X))/G(X)的余数＝R1(X)⊕R2(X)，用一次性密钥异或篡改后密文的到的明文，其完整性检测结果是未被篡改。六、WEP的安全缺陷由于一次性密钥只与IV和密钥相关，因此，属于同一BSS的所有终端，在密钥保持不变的情况下，只能共享224个一次性密钥，导致重复使用一次性密钥的几率大增，严重影响数据传输安全。如果某台设置了密钥的笔记本计算机失窃，或者某个知道密钥的人员离开原来的岗位，需要对属于同一BSS的所有终端重新配置新的密钥。8.3802.11i本讲主要内容802.11i增强的安全功能；802.11i加密和完整性检测机制；802.1X鉴别机制；动态密钥分配机制。一、802.11i增强的安全功能１．加密机制一是基于用户配置密钥，且密钥采用动态配置机制，因此，不同用户使用不同的密钥，同一用户每一次接入无线局域网使用不同的密钥。这也是802.11i将终端与AP之间的共享密钥称为临时密钥（TK）的原因。二是将一次性密钥集中的一次性密钥数量增加到248个，且BSS中的每一个终端拥有独立的248个一次性密钥，以此避免出现重复使用一次性密钥的情况。一、802.11i增强的安全功能２．完整性检测机制一是802.11i用于实现数据完整性检测的完整性检验值具有报文摘要的特性，即802.11i计算完整性检验值的算法具有报文摘要算法的抗碰撞性。二是数据传输过程中将完整性检验值加密运算后的密文作为消息鉴别码（MAC），而且黑客无法获取用于加密完整性检验值时使用的密钥。一、802.11i增强的安全功能３．鉴别身份机制802.11i一是采用基于扩展鉴别协议（EAP）的802.1X作为鉴别协议，允许采用多种不同的鉴别机制，二是802.11i采用的多种鉴别机制是针对用户的，因此，可以对用户接入BSS进行控制；三是采用双向鉴别机制，既可以对接入用户身份进行鉴别，又可以对AP身份进行鉴别，防止黑客通过伪造AP套取用户的机密信息。二、802.11i加密和完整性检测机制802.11i加密机制主要有：临时密钥完整性协议（TKIP）；CCMP。　TKIP是尽量和WEP兼容，但又比WEP有着更安全的加密和完整性检测机制的一种加密认证机制。　CCMP和WEP没有相关性，采用较复杂的加密和完整性检测算法。二、802.11i加密和完整性检测机制48位TSC、终端MAC地址、和TK一起作为伪随机数种子，在TSC高32位不变的情况下，TTAK维持不变；第2级密钥混合函数输出的128位伪随机数，作为WEP加密机制的伪随机数种子，用于产生数据长度+4的一次性密钥；完整性检测含源和目的MAC地址。密钥混合函数是伪随机数生成器，Michael是简化的报文摘要算法，但完整性检测能力远远超过循环冗余检验码；TK是临时密钥，只在安全关联存在期间有效；源和目的MAC地址‖优先级‖净荷‖MIC构成用于加密的数据；为了和接收端同步，TKIPMPDU必须携带48位的TSC，因此，TKIP增加了4字节的扩展IV，1字节WEP种子用于检测TSC；密钥标识符允许发送端和接收端在4个临时密钥中选择；WEP帧和TKIPMPDU的区别是IV中的扩展IV位。二、802.11i加密和完整性检测机制MAC帧格式和TKIPMPDU封装过程从MAC帧中取出以明文传输的TSC和发送端地址TA，根据TA确定临时密钥TK，以此生成128位伪随机数种子，根据128位伪随机数种子，生成一次性密钥，一次性密钥和密文异或操作，还原出明文；明文由源和目的MAC地址、优先级、净荷和MIC组成（如果明文是这些内容分段后的某个段，需要将所有段重新拼装成原始格式），然后根据源和目的MAC地址、优先级、净荷与MIC密钥计算MIC，将计算结果和MAC帧携带的MIC比较，如果相同，表示源和目的MAC地址、优先级、净荷在传输过程中未被篡改；由于每一段数据封装成TKIP帧格式时，WEP加密机制用循环冗余检验码作为ICV，用于检测密文传输过程中是否被篡改，因此，每一段数据对应的TKIP帧需用ICV检测传输过程中是否被篡改。二、802.11i加密和完整性检测机制TKIP解密过程MIC主要对数据和MAC帧首部中的关键字段值进行完整性检测，因此，输入内容由数据、MAC帧MAC帧首部中的关键字段值构成的附加认证数据和用于防止重放攻击的随机数及用于确定随机数和附加认证数据长度的标志字节组成；计算MIC的过程是首先将输入内容分成128B的数据段，除第一段外，前一段AES加密结构和当前段数据的异或结果作为AES的输入，临时密钥作为加密密钥，最后一段数据加密结果的前8B作为计算MIC的一个参数。二、802.11i加密和完整性检测机制CCMP计算MIC过程　一次性密钥产生过程是由多段标志字节、随机数和计数器构成的16B数据经AES加密运算后生成多段16B密文，这些密文串接在一起，构成和数据同样长度的一次性密钥，不同的计数器值保证每一段密文是不同的。二、802.11i加密和完整性检测机制CCMP加密数据过程附加认证数据由MAC首部中传输过程中不变的字段组成，需要对这些字段的完整性进行检测；随机数由报文序号、发送端地址和优先级组成，使得不同发送端、不同MAC帧的随机数均不相同；CCMP根据随机数和附加认证数据计算MIC和数据相同长度的一次性密钥，用一次性密钥和数据的异或操作产生密文。二、802.11i加密和完整性检测机制CCMP加密MAC帧的过程　CCMP首部中以明文方式传输了报文编号，报文编号的作用一是防止重放攻击（也称中继攻击），二是同步随机数，随机数是计算MIC和一次性密钥的参数。二、802.11i加密和完整性检测机制CCMP帧格式解密和完整性检测的关键是重新计算一次性密钥和MIC，计算一次性密钥所需要的参数主要有临时密钥TK、报文编号和发送端地址及全0的优先级字段，因此，产生相同的一次性密钥的前提是同步计算一次性密钥所需要的参数；同样，重新计算MIC，需要同步附加认证数据、随机数和临时密钥TK。二、802.11i加密和完整性检测机制CCMP解密和完整性检测过程三、802.1X鉴别机制802.11i的安全性基于以下特点：基于用户身份认证，不是基于终端，因此，同一用户可在不同的BSS和AP建立安全关联；和AP建立安全关联，并在建立安全关联时分配临时密钥TK，TK只在安全关联存在期间有效；802.11X完成双向的、基于用户的身份认证，并分配临时密钥TK；安全关联指在正常建立的关联的基础上由802.11X完成双向的、基于用户的身份认证，并分配临时密钥TK的关联。建立安全关联的第一步是建立正常关联，建立正常关联需要终端和AP之间完成信道、物理层协议及传输速率同步、终端认证和关联建立过程，由于需要用802.1X进行双向身份认证，因此，关联建立过程常使用开放系统认证方式；如果安全机制采用802.11i，在没有用802.1X完成双向身份认证和临时密钥分配前，关联是非授权关联，终端不能通过该关联向AP发送数据。三、802.1X鉴别机制　这种网络结构可以使用户接入相同SSID的不同无线局域网，而且通过用户名和口令对每一个用户进行身份认证，不同用户和AP分配不同的临时密钥TK，因此，TK只是安全关联存在期间，特定终端和AP的共享密钥。三、802.1X鉴别机制双向CHAP网络结构challenge1MD5(标识符‖challenge1‖PASSA）challenge2一旦注册，认证服务器的认证数据库中有用户名和口令，同时，注册用户也被告知用户名和口令，因此，用户名和口令只有认证服务器和用户知道；AP和认证服务器之间通信需要通过共享密钥K认证发送端身份，因此，只有拥有和认证服务器之间共享密钥的AP才是授权AP；一旦证明某个用户拥有注册用户名和口令，该用户就是注册用户，同样，用户一旦通过AP证明认证服务器知道用户名和口令，也证明AP是授权AP。三、802.1X鉴别机制MD5(标识符‖challenge2‖PASSA）TLS的功能一是约定安全参数，如加密算法、报文摘要算法、压缩算法及主密钥等，二是认证双方身份；认证双方身份的过程是首先用证书证明用户名和SSID与公钥的绑定，然后证明自己拥有公钥对应的私钥；由于AP和认证服务器之间通信时，用共享密钥认证对方身份，因此，一旦证实认证服务器的身份，也证实了AP的身份。三、802.1X鉴别机制TLS网络结构EAP认证协议和TLS认证机制；用户A和AP之间无线局域网连接；EAP的操作过程是不断重复请求和响应报文，每一个EAP报文可以包含多个TLS消息。三、802.1X鉴别机制四、动态密钥分配机制802.1X分两步，先是完成双向身份认证，如果采用双向CHAP认证机制，认证服务器和终端通过口令推出主密钥，如果采用TLS认证机制，由认证服务器和终端通过认证过程约定主密钥，完成双向身份认证后，由认证服务器向AP发送一个主密钥；AP然后和终端通过密钥分配过程生成成对临时密钥TK，成对临时密钥的含义是该密钥只是终端和AP之间的共享密钥，而且只是在安全关联存在期间有效。以终端和AP具有的主密钥、双方交换的随机数AN和SN、终端和AP的MAC地址为伪随机数种子生成过度密钥；为了求证终端和AP生成相同的过度密钥，双方用过度密钥导出的证实密钥加密传输的EAPOL-KEY帧的报文摘要，如果对方用证实密钥解密后得出的报文摘要和对接收到的EAPOL-KEY帧计算所得的报文摘要相同，表明双方具有相同的证实密钥，因而确定双方具有相同的过度密钥及通过过度密钥导出的临时密钥。四、动态密钥分配机制802.1X密钥分配过程主密钥（PMK）或由口令导出，或由TLS认证过程产生，AN和SN密钥分配过程中相互交换；针对不同的加密机制（TKIP或CCMP）伪随机数生成器生成不同长度的随机数，该随机数作为过度密钥；其他密钥通过分解过度密钥产生，证实密钥KCK用于证实终端和AP产生相同的过度密钥。四、动态密钥分配机制本讲主要内容WPA2企业模式；WPA2个人模式。8.4WPA2WPA2企业模式应用环境如图所示，需要配置专用的鉴别服务器，由鉴别服务器统一完成对用户的身份鉴别过程。采用基于用户身份的鉴别机制，可以用用户名和口令，或者是证书和私钥唯一标识用户身份。WPA2企业模式下的加密、完整性检测机制和身份鉴别机制与802.11i相同。一、WPA2企业模式1．密钥导出PMK过程属于相同BSS的终端配置8～63个字符长度的字符串作为密钥，终端和AP可以通过密钥导出256b长度的预共享密钥PSK。2．由PSK导出PTK的过程WPA2个人模式下，终端和AP直接将256b长度的PSK作为PMK，采用和802.11i相同的PTK生成过程。二、WPA2个人模式MICA=HMACKCK（DA）MICB=HMACKCK′（DB）MICC=HMACKCK（ACK）二、WPA2个人模式终端和AP鉴别对方身份过程就是确定对方是否拥有与自己相同的KCK和KEK的过程。WPA2个人模式下，所有配置相同密钥的终端有着相同的PMK，因此，当终端Y嗅探到终端X与AP之间为生成PTK相互交换的信息，终端Y获得终端X生成PTK所需的PMK、AP的MAC地址、终端X的MAC地址、AP产生的随机数AN、终端X产生的随机数SN，因此，终端Y也可以生成终端X与AP之间的PTK，从而能够解密嗅探到的终端X与AP之间传输的密文。二、WPA2个人模式