無線網(wǎng)絡(luò)安全技術(shù)研討課

無線網(wǎng)絡(luò)安全技術(shù)研討課第1頁/共101頁內(nèi)容無線局域網(wǎng)概述無線局域網(wǎng)安全無線局域網(wǎng)攻擊WPA標準802.1X協(xié)議第2頁/共101頁WideAreaNetwork3G/GPRS無線網(wǎng)絡(luò)LocalAreaNetwork802.11b/802.11g/802.11aWirelessPersonalConnectivityBluetooth0-10m0-100m0-10kmRange第3頁/共101頁無線局域網(wǎng)無線局域網(wǎng)無線局域網(wǎng)是固定局域網(wǎng)的一種延伸。使用無線電波作為數(shù)據(jù)傳送的媒介。傳送距離一般為幾十米。對用戶來說是完全透明的，與有線局域網(wǎng)一樣。HubServerSwitchInternetAccessPointHub第4頁/共101頁無線局域網(wǎng)終端第5頁/共101頁無線接入點第6頁/共101頁無線局域網(wǎng)相關(guān)標準IEEE802.11HomeRF：DECT技術(shù)和WLAN技術(shù)的融合HiperLan：54Mbps/25Mbps，OFDMIrDA：115.2Kbps，SIR第7頁/共101頁第8頁/共101頁無線局域網(wǎng)802.11標準－AlphabetSoup

IEEE802.11 －最初的WLAN標準(1997)。

IEEE802.11a －對的802.11的帶有在5GHz54Mbit/s增進(1999)。

IEEE802.11b －對802.11的增進來支持5.5和11Mbit/s

(1999)。

IEEE802.11c －網(wǎng)橋操作程序，包含在IEEE802.1D（2001）標準

IEEE802.11d －國際（國家到國家）漫游增強(2001)。

IEEE802.11e －增進：QOS，包含數(shù)據(jù)包脈沖(2005)。

IEEE802.11f －內(nèi)部訪問點協(xié)議(2003)。

IEEE802.11g －對802.11b和802.11a（與b后向兼容）(2003)

IEEE802.11h －歐洲兼容的頻譜管理的802.11a(5GHz)(2004)

IEEE802.11i －增強了安全性(2004)。

IEEE802.11j －對日本增強(2004)

IEEE802.11-2007 －2007年重新修訂的完整版本

IEEE802.11k －無線電資源度量增進

IEEE802.11m －這個標準的維護；零碎事宜

IEEE802.11n －對802.11a,b,g的增進，使用MIMO

IEEE802.11p －對車載環(huán)境（例如救護車和客車）的無線訪問

IEEE802.11r －快速漫游

IEEE802.11s －ESS增強服務(wù)集網(wǎng)狀網(wǎng)絡(luò)

IEEE802.11t －無線性能預(yù)測(WPP)－測試方法和方式推薦

IEEE802.11u －與非802網(wǎng)絡(luò)（例如，蜂窩）的交互網(wǎng)絡(luò)

IEEE802.11v －無線網(wǎng)絡(luò)管理

IEEE802.11w －受保護的管理幀

IEEE802.11y －在美國的3650-3700頻段操作

IEEE802.11z －對直接鏈路設(shè)置(DLS)的增強第9頁/共101頁802.11標準的演變更快的速度更強的性能更廣的使用更好的管理物理層增強功能增強MAC層增強頻譜管理增強第10頁/共101頁物理層增強802.11b802.11a802.11g1999年發(fā)布，2.4Ghz，DSSS/CCK1999年發(fā)布，5.8Ghz，OFDM2003年發(fā)布，2.4Ghz，OFDM802.11n2.4Ghz+5.8Ghz，MIMO+OFDM第11頁/共101頁物理層增強16112.412G2.4GHz2.4172.4222.4272.4322.4372.4422.4472.4522.4572.4622.4672.4722.4835GHz234125789101322MHz中國規(guī)定使用1－11信道。由上圖可知，某信道的信號傳送時會與相鄰的多個信道產(chǎn)生重疊，若在同一個空間建立多個BSS/IBSS時，要讓它們所用的信道不會互相重疊而產(chǎn)生干擾。在同一個空間最多只能使用1、6、11這三個信道，若選用其他信道，最多只能有2個互不干擾的信道?；ゲ恢丿B信道的選擇第12頁/共101頁物理層增強1.00ms/0.72msDSSS/CCK(1-8bits/seq)802.11bBPSKQPSK20MHzOFDM(52sub-carriers)...802.11a/gBPSKQPSK16QAM64QAM1/2,2/3,3/4-rateconvolutionalcode802.11n第13頁/共101頁MAC層增強服務(wù)質(zhì)量增強802.11e，2005年

安全性能增強802.11i，2004年

WPA（2003年）/WPA2（2006年）

802.11w，制定中，提供控制幀的保護

切換性能增強802.11r，制定中，提高切換性能第14頁/共101頁頻譜管理增強802.11d802.11h802.11j802.11y2004年推出日本兼容頻譜管理支持4.9-5Ghz2001年推出國際漫游增強2003年推出歐洲兼容頻譜管理提供動態(tài)頻率選擇發(fā)送功率控制

預(yù)計2008年推出

USA3.65-3.7Ghz將802.11技術(shù)擴展到其他頻段，以擴展802.11的使用范圍更廣的使用第15頁/共101頁功能擴展802.11c802.11f802.11k802.11v802.11s802.11m標準的維護MESH網(wǎng)絡(luò)網(wǎng)橋操作程序AP間通信無線網(wǎng)絡(luò)管理第16頁/共101頁安全性能增強存在嚴重安全漏洞提供802.1X接入控制，CCMP加密802.1x/EAP認證PSK模式認證提供無線局域網(wǎng)控制幀保護1999WEP機制2004802.11i協(xié)議2006WPA標準802.11w第17頁/共101頁WLAN的連接方式Ad-hocMode:一群使用無線網(wǎng)卡的Station，直接相互連接，資源共享，無需通過接入點（AccessPoint），該種模式通常無法連接InternetInfrastructureMode所有Station通過接入點連接成網(wǎng)絡(luò)實現(xiàn)資源共享第18頁/共101頁STA(工作站）啟動初始化、開始正式使用AP傳送數(shù)據(jù)幀前，要經(jīng)過三個階段才能接入:掃描(SCAN)認證(Authentication)關(guān)聯(lián)(Association)

無線接入過程第19頁/共101頁狀態(tài)圖狀態(tài)1：未認證、未關(guān)聯(lián)狀態(tài)2：已認證、未關(guān)聯(lián)狀態(tài)3：已認證、已關(guān)聯(lián)第20頁/共101頁無線接入過程第一階段:掃描（SCAN)階段若無線站點STA設(shè)成Ad-hoc模式：

STA先尋找是否已有IBSS（與STA所屬相同的SSID）存在，如有，則參加（join）；若無,則會自己創(chuàng)建一個IBSS，等其他站來join。若無線站點STA設(shè)成Infrastructure模式：

1、主動掃描方式（特點：能迅速找到）

STA依次在11個信道發(fā)出ProbeRequest幀，尋找與STA所屬有相同SSID的AP，若找不到有相同SSID的AP，則一直掃描下去…2、被動掃描方式（特點：找到時間較長，但STA節(jié)電）

STA被動等待AP每隔一段時間定時送出的Beacon信標幀，該幀提供了AP及所在BSS相關(guān)信息：“我在這里”…第21頁/共101頁無線接入過程第二階段:認證（Authentication）階段

當STA找到與其有相同SSID的AP，在SSID匹配的AP中，根據(jù)收到的AP信號強度，選擇一個信號最強的AP，然后進入認證階段。只有身份認證通過的站點才能進行無線接入訪問。802.11提供幾種認證方法，有簡單有復(fù)雜，如采用802.1x/EAP認證方法時大致為：

STA向AP發(fā)送認證請求AP向認證服務(wù)器發(fā)送請求信息要求驗證STA的身份認證服務(wù)器認證完畢后向AP返回相應(yīng)信息如果STA身份不符，AP向STA返回錯誤信息如果STA身份相符，AP向STA返回認證響應(yīng)信息

第22頁/共101頁第三階段:關(guān)聯(lián)（Association）階段

當AP向STA返回認證響應(yīng)信息、身份認證獲得通過后，進入關(guān)聯(lián)階段。STA向AP發(fā)送關(guān)聯(lián)請求AP向STA返回關(guān)聯(lián)響應(yīng)至此，接入過程才完成，STA初始化完畢，可以開始向AP傳送數(shù)據(jù)幀。第23頁/共101頁AuthenticationServerAPSTAProbeRequestProbeResponse●●●ProbeRequestProbeResponseSSID比較AuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse掃描認證關(guān)聯(lián)Y無線接入過程示意圖第24頁/共101頁幀的類型數(shù)據(jù)幀(傳輸數(shù)據(jù))控制幀RTS,CTS,ACK等管理幀(station之間/station和AP傳輸管理信息)AuthenticationandResponse,De-AuthenticationAssociation/Re-AssociationandResponse,DisassociationBeaconandProbeframes(連接度量、電源管理)幀類型第25頁/共101頁內(nèi)容無線局域網(wǎng)概述無線局域網(wǎng)安全無線局域網(wǎng)攻擊WPA標準802.1X協(xié)議第26頁/共101頁WLAN涵蓋的范圍802.11局域安全性無線網(wǎng)絡(luò)用戶端AccessPoint有線網(wǎng)絡(luò)WirelessLAN(WLAN)是有線網(wǎng)絡(luò)的延伸第27頁/共101頁電磁泄漏第28頁/共101頁監(jiān)聽距離監(jiān)聽設(shè)備100metres第29頁/共101頁定向天線自制定向天線篩子蚊香盤第30頁/共101頁無線網(wǎng)絡(luò)的安全特征無線信號是沒有邊界的無線電波可以穿透墻傳播信息的傳播是廣播方式的定向天線可以接收到更遠距離的信號容易竊聽容易干擾容易偽裝容易訪問網(wǎng)絡(luò)第31頁/共101頁無線局域網(wǎng)安全業(yè)務(wù)認證訪問控制保密數(shù)據(jù)完整性不可否認密鑰管理第32頁/共101頁無線局域網(wǎng)安全業(yè)務(wù)IEEE802.11認證：提供相當于有線媒介物理連接的功能。鏈路層上的認證不提供端到端或用戶到用戶的認證。保密：提供相當于有線物理封閉媒介的保密第33頁/共101頁802.11認證開放系統(tǒng)(OpenSystem)認證共享密鑰(SharedKey)認證第34頁/共101頁共享密鑰認證STAAP認證請求挑戰(zhàn)碼（PRNG）應(yīng)答C=PRNG⊕PRKS(SK)

確認身份成功/失敗產(chǎn)生挑戰(zhàn)碼128bits使用WEP進行RC4加密運算利用WEP及RC4進行解密后與挑戰(zhàn)碼進行比對第35頁/共101頁共享密鑰認證方式漏洞攻擊者可以得到：PRNG（第2步）C（第3步），C=P⊕PRKS(K)P⊕C=？=PRKS(K)接下去：？第36頁/共101頁WEP(WiredEquivalentPrivacy)加密安全服務(wù)：數(shù)據(jù)機密性訪問控制數(shù)據(jù)完整性類型：WEP-40WEP-104采用RC4流加密算法第37頁/共101頁RC4算法第38頁/共101頁RC4第39頁/共101頁RC4第40頁/共101頁KSA第41頁/共101頁PRGA第42頁/共101頁HeaderPayload

CRCPayloadICV輸入數(shù)據(jù)幀

IVkeynumber

IVSecretkeyHeaderIV

Keynumber1230RC4SearchkeyplaintextRC4key

PayloadICVWEP加密過程第43頁/共101頁

CRCPayload

ICV收到的數(shù)據(jù)幀

IVSecretkeyHeaderIV

Keynumber1230RC4SearchkeyplaintextRC4key

PayloadICVWEP解密過程比較

ICV’plaintext第44頁/共101頁WEP數(shù)據(jù)幀格式，第45頁/共101頁內(nèi)容無線局域網(wǎng)概述無線局域網(wǎng)安全無線局域網(wǎng)攻擊WPA標準802.1X協(xié)議第46頁/共101頁WEP安全分析WEP加密是可選功能，在大多數(shù)的實際產(chǎn)品中默認為關(guān)閉，因此將用戶數(shù)據(jù)完全暴露于攻擊者面前。第47頁/共101頁WEP安全分析密鑰產(chǎn)生問題：直接由用戶寫入40或108比特的密鑰；由用戶輸入一個口令，根據(jù)該口令通過某個密鑰生成函數(shù)產(chǎn)生密鑰。第48頁/共101頁WEP安全分析密鑰分發(fā)問題：密鑰為無線局域網(wǎng)所有用戶共享，且很少變動，因而容易泄漏。第49頁/共101頁WEP安全分析初始向量（Initializationvector，IV）空間太小。

iv空間:24bits，

IV的生成方法：用計數(shù)器遞增實現(xiàn)第50頁/共101頁WEP安全分析5.數(shù)據(jù)篡改攻擊：RC4,CRC32算法:線性校驗算法線性算法特征：攻擊方法已知：初始向量iv,密文C。未知：明文M，密鑰KC=RC4(iv,K)⊕{M,crc32(M)}隨意偽造新明文M’，令M’=M+ΔC’=C⊕<Δ,crc32(Δ)>

第51頁/共101頁WEP安全分析6.IP重定向攻擊者可以將目標地址改為自己的地址需確保校驗正確。x’=x+D’H+D’L

–DH

–DL第52頁/共101頁數(shù)據(jù)包正常的操作終端接入點接收者數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包互聯(lián)網(wǎng)第53頁/共101頁重定向攻擊終端接入點接收者攻擊者1數(shù)據(jù)包’數(shù)據(jù)包’數(shù)據(jù)包’Internet攻擊者2第54頁/共101頁WEP安全分析7.WEP沒有重放保護機制

第55頁/共101頁WEP密鑰破解2001-Theinsecurityof802.11,Mobicom,July2001N.Borisov,I.GoldbergandD.Wagner.2001-WeaknessesinthekeyschedulingalgorithmofRC4.S.Fluhrer,I.Mantin,A.Shamir.Aug2001.2002-UsingtheFluhrer,Mantin,andShamirAttacktoBreakWEPA.Stubblefield,J.Ioannidis,A.Rubin.2004–KoreK,改進了上述攻擊方法并簡化了WEP攻擊的復(fù)雜度，現(xiàn)在我們只需要大約500,000個數(shù)據(jù)包就可以恢復(fù)WEP的密鑰。2005–AdreasKlein發(fā)現(xiàn)了RC4密鑰流和密鑰之間的更多相關(guān)性。

2007–

一種稱為PTW算法采用了Andreas的方法進一步簡化了WEP的攻擊。我們現(xiàn)在只需要大約60,000–90,000個數(shù)據(jù)包就可以恢復(fù)WEP密鑰。IEEE組織承認WEP無法提供任何安全保護，推薦用戶升級到WPA,WPA2第56頁/共101頁WEP算法的缺陷IV是明文。被加密的數(shù)據(jù)的第一個字節(jié)的明文是固定的。 0xAA第57頁/共101頁FMS攻擊通過收集特定IV格式(weakIV)的數(shù)據(jù)包來反向推導密鑰。WeakIV(B+3,N-1,X)形式的IV，稱WeakIVB:欲破解的secretkeybyteN:256X:為任意值Fluhrer,Mantin,ShamirAttack第58頁/共101頁802.11網(wǎng)絡(luò)攻擊監(jiān)聽攻擊：截取空中信號，進行分析，獲取相關(guān)信息。插入攻擊：通過監(jiān)聽獲取的相關(guān)信息，假冒合法用戶，通過無線信道接入信息系統(tǒng)，獲取系統(tǒng)控制權(quán)。未授權(quán)信息服務(wù)：用戶在未經(jīng)授權(quán)的情況下享用系統(tǒng)信息資源。拒絕服務(wù)攻擊：發(fā)送大量的無用數(shù)據(jù)報壞正常的無線通信。偽造AP(FakeAP)：偽裝成合法AP，誘使用戶登錄第59頁/共101頁攻擊實例—Wardriving第60頁/共101頁第61頁/共101頁第62頁/共101頁相關(guān)工具第63頁/共101頁第64頁/共101頁WEP教訓：需要公開討論IEEE使用“公開設(shè)計”任何人都可以參加會議相關(guān)標準資料可以免費獲得不足；只有大公司才有時間和精力參加會議沒有來自密碼界的討論許多缺陷早已存在例如：CRC攻擊，重定向攻擊如果設(shè)計正確，F(xiàn)MS等攻擊都可以抵御第65頁/共101頁WEP教訓：數(shù)據(jù)完整性保護的重要性在無線局域網(wǎng)設(shè)計中，數(shù)據(jù)完整性保護只是次要目標。但是簡陋的完整性保護會破壞消息安全保護：IP重定向攻擊TCP回應(yīng)攻擊數(shù)據(jù)包注入攻擊需要基于密碼學的消息認證算法“Encryptionwithoutintegritycheckingisallbutuseless”[Bellovin’96]第66頁/共101頁內(nèi)容無線局域網(wǎng)概述無線局域網(wǎng)安全無線局域網(wǎng)攻擊WPA/WPA2.0標準802.1X協(xié)議第67頁/共101頁15.4WPA/WPA2.0標準加密算法的改進TKIP加密機制CCMP加密機制認證機制的改進WPA-PSK認證802.1X認證IEEE802.11WiFi聯(lián)盟2002年2004年IEEE802.11iDraft3.0WPAIEEE802.11iWPA2.0第68頁/共101頁如何改進WEP在現(xiàn)有的WEP基礎(chǔ)上進行修改TKIP加密機制重新設(shè)計新的安全機制CCMP加密機制第69頁/共101頁15.4.1TKIP加密機制設(shè)計者面臨的限制限制1：只能通過軟件升級的方式進行改進限制2：計算資源有限限制3：為了減少資源消耗，WEP算法固化在硬件模塊中，無法修改WEP加密WEP解密IVRC4密鑰明文密文WEPSeed明文密文第70頁/共101頁TKIP：TemporalKeyIntegrityProtocol被設(shè)計為WEP算法外的一個殼(Wrapper)可以以軟件方式實現(xiàn)重用現(xiàn)有的WEP算法將WEP作為新機制的一個組件第71頁/共101頁WEP的安全問題1無法檢測消息是否被篡改2沒有提供重放攻擊保護3IV長度太短，容易造成重復(fù)使用4存在WeakIV,容易遭受FMS攻擊5直接使用主密鑰，沒有提供密鑰更新機制第72頁/共101頁TKIP針對WEP的該進目的改進針對的安全問題數(shù)據(jù)完整性保護添加基于密碼學的消息完整性校驗碼(MIC)，Michael函數(shù)(1)IV選擇和使用添加IV序列計號(48位)，TSC計數(shù)器，改變IV生成方式和功能(2)，(3)密鑰混合添加分組密鑰混合函數(shù)，使得每次加密使用的密鑰都不同(4)密鑰管理添加Re-keying機制，進行密鑰分發(fā)、更新和生成臨時密鑰(5)第73頁/共101頁Michael函數(shù)(L,R)←(K0,K1)doifrom1ton L←L⊕Mi (L,R)←b(L,R) return(L,R)Michael密鑰為64位第74頁/共101頁第75頁/共101頁IV序列號IV大小:24bit->48bitIV作為數(shù)據(jù)包序列號：TSC防止重發(fā)攻擊重新構(gòu)造避免出現(xiàn)WeakIV第76頁/共101頁TS0TS1(TS1|0x20)&0x7f第77頁/共101頁密鑰混合函數(shù)密鑰混合函數(shù)；彌補WEP缺陷用臨時密鑰替代原有的WEP密鑰和IV。臨時密鑰周期短，經(jīng)常更換。結(jié)構(gòu)：階段1：解決每個鏈路都使用相同密鑰的問題階段2：去除分組密鑰和IV之間的相關(guān)性第78頁/共101頁UpperIVLowerIV32bits16bitsIV0dIV3PerPacketKey24bits104bitsPhase1KeyMixingPhase2KeyMixingMACAddressSessionKey(IV3|0x20)&0x7f(L,R)→(R,L⊕f(R))第79頁/共101頁TKIP加密過程第80頁/共101頁TKIP解密過程第81頁/共101頁CCMP加密機制設(shè)計要求：被正確加密密鑰不能重復(fù)使用Nonce和IV不能重復(fù)使用防止數(shù)據(jù)被篡改防止發(fā)送地址和接收地址被篡改抗重發(fā)攻擊降低成本盡可能減少加密函數(shù)使用數(shù)量盡可能減少軟件開銷盡量借鑒已有的安全機制第82頁/共101頁AES-CCMHeaderPayloadMICAuthenticatedEncryptedCBC-MAC模式用于計算MIC碼CTR模式用于進行加密第83頁/共101頁CCMP數(shù)據(jù)幀DataMAChdrMAChdrCCMPhdrDataMAChdrCCMPhdrDataMICMAChdrCCMPhdrCiphertextEncryptionMAChdrCCMPhdrCiphertext12345第84頁/共101頁WPA認證機制面向個人用戶：WPA-PSK面向企業(yè)用戶802.1X協(xié)議第85頁/共101頁15.4.3.1WPA-PSK認證WPA-PSK是一種無需認證服務(wù)器的簡化認證模式，用于中小型企業(yè)網(wǎng)絡(luò)或家庭網(wǎng)絡(luò)中。要求在每個WLAN節(jié)點預(yù)先輸入一個密鑰即可實現(xiàn)認證過程。無線終端只要輸入相符的密鑰即可獲得WLAN的接入控制。第86頁/共101頁WPA-PSK認證第87頁/共101頁WPA-PSK認證過程協(xié)商認證方法：STA通過被動監(jiān)聽Beacon幀或主動探詢獲得AP的安全策略，向AP發(fā)起連接并協(xié)商安全策略。密鑰協(xié)商：將PSK設(shè)置為PMK，使用EAPOL-Key幀進行4步握手交換生成臨時會話密鑰PTK。終端接入點1:接入點

nonce2:終端nonce安全參數(shù)（用于認證）3:響應(yīng)消息

2

發(fā)送GTK4:響應(yīng)消息計算PTK計算PTK第88頁/共101頁字典攻擊所謂的字典攻擊方法，就是使用常見的單詞、詞組、數(shù)字、人名和相關(guān)的變形。由于用戶在設(shè)置密碼時為了方便記憶，會選擇短的、有意義的英文字和數(shù)字作為密碼。因此攻擊者可以快速的進行反復(fù)猜測與比對，從而在短時間內(nèi)獲得密碼。

通過截獲4步握手的數(shù)據(jù)包進行字典攻擊。成功與否與所使用的字典有關(guān)?；ㄙM的時間與密碼在字典中的位置有關(guān)。第89頁/共101頁內(nèi)容無線局域網(wǎng)概述無線局域網(wǎng)安全無線局域網(wǎng)攻擊WPA標準802.1X協(xié)議第90頁/共101頁802.1X認證背景介紹：有線網(wǎng)絡(luò)：物理位置固定，空間封閉。可以實現(xiàn)基于網(wǎng)絡(luò)設(shè)備端口的控制管理。無線網(wǎng)絡(luò)：空間開放，終端可移動。如何實現(xiàn)端口認證來實現(xiàn)用戶級的接入認證。802.1X認證：局域網(wǎng)接入控制協(xié)議基于端口的訪問控制協(xié)議(PortBasedNetworkAccessControlProtocol)目的：解決無線局域網(wǎng)用戶的接入認證問題第91頁/共101頁15.5.1802.1X體系結(jié)構(gòu)三方認證協(xié)議申請者(Supplicant)：用戶終端，發(fā)起802.1X認證過程。認證者(Authen