无线通信安全-12第十二讲WLAN安全标准与技术

无线通信安全1计算机学院李晖lihuill@bupt.edu.cn《通信网安全》第九讲WLAN安全标准与技术北京邮电大学无线通信安全2内容提纲WLAN简介WLAN安全标准和技术的发展802.11（WEP）802.1x（EAP&动态密钥管理）WPA（TKIP）802.11i（CCMP、WRAP）无线通信安全3WLAN简介（1）WLAN概念WLAN表示一种通信系统，它通过无线电技术建立连接，是现有LAN或有线LAN的扩展WLAN利用空中通信收发数据采用的几种物理层技术正交频分复用(OFDM)直接序列扩频(DSSS)补码键控调制（CCK）传输速率从802.11b的11Mb/s到802.11n的108Mb/s，其最高数据速率预计可达320Mb/s无线通信安全4WLAN简介（2）WLAN网络结构对等WLAN自组织网络（Adhocnetworks）采用接入点的结构基础网络（Infrastructurenetworks）无线通信安全5WLAN简介（3）对等WLAN一般是在几个小型机器之间需要通信时暂时采用的网络无线通信安全6WLAN简介（4）采用接入点的结构服务器接入点路由器Internet/Intranet用户用户无线通信安全7WLANComponentsDesktopwithPCI802.11LANcardLaptopwithPCMCIA802.11LANcard访问点有线网络无线通信安全8WLAN安全的范围DesktopwithPCI802.11LANcard访问点HubFileServerPrinter802.11安全其他计算机网安全有线网络无线通信安全9WLAN的安全目标1可认证性Internet/IntranetAP无线通信安全10WLAN的安全目标2机密性Internet/IntranetAP无线通信安全11WLAN的安全目标3完整性Internet/IntranetAP无线通信安全12WLAN安全标准发展现状802.11802.1x802.11iAESTKIPAAATrustRelationCMSRADIUSEAPWEPDynamicKeyWEPStaticKey802.11fSLPSecureRoaming:IEEEstandard:IETFstandardCMS:CryptographicMessageSyntaxTKIP:TemporalKeyIntegrityProtocolAAA:Authentication,Authorization,AccountSLP:ServiceLocationProtocolEAP:ExtensionAuthenticationProtocolRADIUS:RemoteAuthenticationDialInUserServiceTimeWPAWPAv.2无线通信安全13补充：IEEE802标准有线以太网令牌环WLANWiMAX蓝牙、ZigBee无线通信安全14802.11basic在数据传输之前要先进行关联关联过程存在三种状态DeAuthentication状态1：未授权、未关联状态2：已授权、未关联状态3：已授权、已关联Class1Class1,2Class1,2,3DisassociationDeAuthenticationReassociationAuthenticationSucc无线通信安全15802.11basic(cont.)关联过程1.找到AP，通过两种方式进行扫描1.被动扫描：AP会定期的发送有SSID的信标帧2.主动扫描：工作站发送包含该站希望加入的SSID信息的探询帧，然后等待响应2.认证1.开放系统认证或共享密钥认证2.MAC地址列表进行鉴权3.客户端发送关联请求和接收响应4.发送数据，无线通信安全16802.11中的安全技术WEP(WiredEquivalentPrivacy)认证开放系统认证空密钥MACAccessList共享密钥认证认证过程是验证用户是否有正确的.接入点采用“挑战-应答协议”来认证客户端.私密性WEP的核心RC4算法完整性无线通信安全17802.11(AccessList)AccessList00:02:03:04:05:06Officeintranet01:02:03:04:05:0701:02:03:04:05:6500:02:03:04:05:06Setupanaccesstablemanually02:02:03:04:05:07rejectaccept无线通信安全18802.11:共享密钥认证请求工作站响应工作站验证帧验证算法标识＝“共享密钥”验证处理序列号＝1验证帧验证算法标识＝“共享密钥”验证处理序列号＝2质询文本验证帧验证算法标识＝“共享密钥”验证处理序列号＝3质询文本加密验证帧验证算法标识＝“共享密钥”验证处理序列号＝4认证状态码＝“成功/失败”无线通信安全19802.11:WEP（2）…LLCPHYMACMSDUMAC头CRCMPDU1MPDU1MPDUn无线通信安全20802.11:私密性（1）802.11:WEP(WiredEquivalentPrivacy)使用RC4的两种数据加密模式:64-bit:40bit密钥+24bit初始向量(IV)128-bit:104bit密钥+24bitIV由于IV的长度有限，在分析足够的帧后，算法很容易被破解.无线通信安全21802.11:私密性（2）无线通信安全22802.11:私密性（3）WEP的帧扩展802.11Hdr4BIVField4BData(MPDU)=1BICV4BRC4EncryptedIV3BKeyID1B无线通信安全23802.11:完整性CRC校验码可以检查出是否数据在传输过程中有误传等，或比较低级别的删除或篡改问题是不带密钥的公开算法无法防止高级别的攻击无线通信安全24802.11:WEP密钥管理无真正的密钥管理机制解决方法使用预先建立的共享密钥，称为BaseKey。WEP支持4个BaseKey，标识为KeyIDs0-3；加密中具体使用哪个密钥是由WEP帧中的KEYID决定密钥映射表每一个工作站都保存了一个密钥映射表记录了MAC地址和共享密钥之间的对应关系优点：比第一个方法安全缺点：随着工作站的增加，密钥管理困难无线通信安全25802.11:安全分析802.11的认证及其弱点开放系统认证本质上是空认证共享密钥认证IV使用不当，容易使攻击者通过窃听明文和密文应答得到密钥流，在不知道密钥的情况下，可以利用该密钥流产生AP挑战的应答（见右图）MAC地址控制由于用户可以重新配置无线网卡的MAC地址，非授权用户可以在监听到一个合法用户的MAC地址后，通过改变他的MAC地址来获得资源访问权限密文应答明文挑战攻击者明文挑战密文应答XOR密钥流客户机接入点（AP）无线通信安全26802.11:安全分析802.11的完整性分析引入综合检测值（ICV）来提供对数据完整性的保护完整性保护只应用于数据载荷，没有保护源、目的地址及防止重放等。ICV是一个32位的CRC32值，它的使用如下：（P||ICV）⊕K=CCRC32函数是设计用来检查消息中的随机错误的，并不是安全杂凑函数，它不具有身份认证的能力，无法抵御对明文的篡改；证明如下：CRC32函数对⊕运算是线性的，有：CRC32(a)⊕CRC32(b)=CRC32(a⊕b)设m是未知明文，c是m对应的密文，x为对m的篡改，m’=m⊕x，c’为m’对应的密文，则：c’=c⊕(x,CRC32(x))=K⊕(m,CRC32(m))⊕(x,CRC32(x))=K⊕(m⊕x,CRC32(m)⊕CRC32(x))=K⊕(m⊕x,CRC32(m⊕x))=K⊕(m’,CRC32(m’))无线通信安全27802.11:安全分析802.11的完整性分析（续）Bit-Flipping技术：攻击者可以在篡改密文c的同时正确地更改与明文P相对应的ICV；010110101100101XORWEPFrame(C1)000000111000001101001000000001110000001011001000101010110BittoFlip(F2)Frame(F3)Frame(F2+C3)XORICV过程如下：a)帧F1具有ICV值C1;b)新的帧F2和帧F1有不同的位，但是长度相同c)通过把帧F2和帧F1异或后得到帧F3d)计算F3的ICV值C2e)帧F2的ICV值是C3=C1⊕C2ICVCalculate(C2)NewICV(C3)无线通信安全28802.11:安全分析Vernam-stylestreamciphersaresusceptibletoattackswhensameIVandkeyarereused:Particularlyweaktoknownplaintextattack:IfP1isknown,thenP2iseasytofind(asisRC4).ThismightoccurwhencontextualinformationgivesP1(e.g.application-levelornetwork-levelinformationrevealsinformation)Evenso,therearetechniquestorecoverP1andP2whenjust(P1XORP2)isknown(frequencyanalysis,cribdragging)Example,lookfortwotextsthatXORtosamevalueEvenso,therearetechniquestorecoverP1andP2whenjust(P1XORP2)isknown(frequencyanalysis,cribdragging)Example,lookfortwotextsthatXORtosamevalue2121212211PP)K,v(4RCP)K,v(4RCPCC)K,v(4RCPC)K,v(4RCPCWEP(Vernam)KeyStreamReuse无线通信安全29802.11:安全分析WEP’sengineerswereaware(itseems??)ofthisweaknessandrequiredaper-packetIVstrategytovarykeystreamgenerationProblems:Keys,K,typicallystayfixedandsoeventualreuseofIVmeanseventualrepetitionofkeystream!!IVsaretransmittedintheclear,soitstrivialtodetectIVreuseManycardssetIVto0atstartupandincrementIVsequentiallyfromthereEvenso,theIVisonly24bits!Calculation:Supposeyousend1500bytepacketsat5Mbps,then224possibleIVswillbeusedupin11.2hours!Evenworse:weshouldexpecttoseeatleastonecollisionafter5000packetsaresent!Thus,wewillseethesameIVagain…andagain…WEP’sProposedFix无线通信安全30802.11:安全分析OnceaplaintextisknownforanIVcollision,theadversarycanobtainthekeystreamforthatspecificIV!TheadversarycangatherthekeystreamforeachI