无线网络安全课件

无线网络安全苏兆品http:/ o1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络ALOHAnet，可以算是相当早期的无线局域网络(WLAN)。无线网络可说是正式诞生了。71、无线网络的兴起无线网络的初步应用，可以追朔到第二次世界大2、无线网络分类 o从无线网络覆盖范围看o从无线网络的应用角度看82、无线网络分类从无线网络覆盖范围看82.1 从无线网络覆盖范围看n无线个域网n无线局域网n无线城域网/广域网92.1从无线网络覆盖范围看9无线个域网(Wireless Personal Area Network，WPAN)o覆盖范围相对较小的无线网络,用于实现同一地点终端与终端间的连接，如连接手机和蓝牙耳机等o蓝牙(Blue Tooth)：10m，1Mo红外无线传输技术：0-1m，16Mo家庭射频：家庭，庭院范围内，物联网o最新的Zigbee：蜜蜂的八字舞，近距离、低复杂度、自组织、低功耗、低数据速率、低成本，传感器网络，多点多跳o超宽带无线技术UWB：1G，能在10米左右的范围内实现数百Mbits至数Gbits的数据传输速率。UWB具有抗干扰性能强、传输速率高、带宽极宽、消耗电能小、发送功率小等诸多优势，主要应用于室内通信、高速无线LAN、家庭网络、无绳电话、安全检测、位置测定、雷达等领域。10无线个域网(WirelessPersonalArea无线个域网（无线个域网（WPAN）11无线个域网（WPAN）11无线局域网 o第一类是有固定基础设施的:802.11WLAN 无线接入点，移动设备，o第二类是无固定基础设施的:自组织网络/移动Ad hoc网络：无须接入点12无线局域网第一类是有固定基础设施的:802.11WLAN1802.11WLAN 13802.11WLAN13Ad hoc网络14Adhoc网络14应用大楼之间 餐饮及零售医疗企业仓储管理：监视系统：展示会场：15应用大楼之间15无线城域/广域网络 o无线城域网：以无线方式构成的城域网，提供面向互联网的高速连接o无线广域网：采用无线网络把物理距离极为分散的局域网（LAN）连接起来的通信方式。移动、联通16无线城域/广域网络无线城域网：以无线方式构成的城域网，提供无线城域网（无线城域网（WMAN）表示具有高质量的通话和数据传送界面数字用户线路，是以电话线为传输介质的传输技术组合17无线城域网（WMAN）表示具有高质量的通话和数据传送界面2.2从无线网络的应用角度看n无线传感器网络（WSN）n无线穿戴网络n无线Mesh网络n无线体域网注意：这些网络一般是基于已有的无线网络技术，针对具体的应用而构建的无线网络。182.2从无线网络的应用角度看18无线传感器网络 无线传感网络(WSN，wireless sensor networks)是当前在国际上备受关注的、涉及多学科高度交叉、知识高度集成的前沿热点研究领域。综合了传感器技术、嵌入式计算技术、现代网络及无线通信技术、分布式信息处理技术等，能够通过各类集成化的微型传感器协作地实时监测、感知和采集各种环境或监测对象的信息，这些信息通过无线方式被发送，并以自组多跳的网络方式传送到用户终端，从而实现物理世界、计算世界以及人类社会三元世界的连通。19无线传感器网络无线传感网络(WSN，wirel无线传感器网络典型应用场景环境监测环境监测信息收集节点传感器节点监测区域互联网和卫星任务管理节点传感器节点撒落在一个给定监测区域内用户20无线传感器网络典型应用场景环境监测信息收集节点传感器节点监测无线Mesh网络 无线Mesh网络(无线网状网络)是一种与传统无线网络完全不同的新型无线网络，是由移动Ad Hoc网络顺应人们无处不在的Internet接入需求演变而来，被形象称为无线版本的Internet。特点：任何无线设备节点都可以同时作为AP和路由器，网络中的每个节点都可以发送和接收信号，每个节点都可以与一个或者多个对等节点进行直接通信。这种结构的最大好处在于：如果最近的AP由于流量过大而导致拥塞的话，那么数据可以自动重新路由到一个通信流量较小的邻近节点进行传输。依此类推，数据包还可以根据网络的情况，继续路由到与之最近的下一个节点进行传输，直到到达最终目的地为止。21无线Mesh网络无线Mesh网络(无线网状网络)是一种与无线穿戴网络 无线穿戴网络是基于短距离无线通信技术(蓝牙和ZigBee技术等)与可穿戴式计算机(wearcomp)技术、穿戴在人体上、具有智能收集人体和周围环境信息的一种新型个域网(PAN)。22无线穿戴网络无线穿戴网络是基于短距离无线通信物联网oInternet of Things（IOT），也称为Web of Things。o通过射频识别、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络。o物联网被称为继计算机、互联网之后世界信息产业发展的第三次浪潮，它是互联网的应用拓展，与其说物联网是网络，不如说物联网是互联网基础上的业务和应用。23物联网InternetofThings（IOT），也称为车载网o车辆通信网络（Vehicular Ad hoc Network,VANET）o可以实现车辆与车辆之间（Vehicle to Vehicle,V2V），车辆与路边基础设施之间（Vehicle to Infrastructure,V2I）的多跳无线通信，为车辆提供多种安全应用（如事故预警，交通管理）和非安全应用（如路况指示，Internet接入及车辆间多媒体数据传输）。24车载网车辆通信网络（VehicularAdhocNet3 无线局域网（Wireless localarea network，WLAN）o无线局域网是计算机网络与无线通信技术相结合的产物。o无线局域网就是在不采用传统电缆线的同时，提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化。253无线局域网（Wirelesslocalareane优点o灵活性o移动性o安装便捷o易于进行网络规划和调整o故障定位容易o易于扩展 26优点灵活性26适用范围：p在不能使用传统走线方式的地方、传统布线方式困难、布线破坏性很大或因历史等原因不能布线的地方；p有水域或不易跨过的区域阻隔的地方；p重复地临时建立设置和安排通讯的地方；p无权铺设线路或线路铺设环境可能导致线路损坏；p时间紧急，需要迅速建立通讯，而使用有线不便、成本高或耗时长；p局域网的用户需要更大范围进行移动计算的地方；27适用范围：27无线局域网标准的演进表中所有标准都包含共同的安全性能设计，即有线等价协议WEP（Wired Equivalent Privacy），希望能提供与有线网络同等的安全性能。802.11802.11b802.11a802.11g网络拓扑网络拓扑Infrastructure制定时间制定时间97年6月99年9月99年9月01年11月工作频段工作频段2.4GHz2.4GHz5GHz2.4GHz带宽带宽2Mbps11Mbps可达54Mbps可达54Mbps传输距离传输距离100米50150米1030米50150米业务业务数据数据、图像语音、数据、图像语音、数据、图像Wi-Fi28无线局域网标准的演进表中所有标准都包含共同的安全性能设计，即1.802.11网络的两个基本构件o无线局域网网络有两个基本构件站和无线接入点。o（1）站（Station，STA）站是无线网的端头设备，例如笔记本、掌上电脑等。通常是通过计算机加一块无线网卡构成的。o（2）无线接入点（Access Point，AP）o无线 AP 也称无线 Hub，AP将STA与DS（有线网络）相连，用于在无线STA和有线网络之间接收、缓存和转发数据。无线AP通常能够覆盖多个甚至几十用户，覆盖半径达上百米。oAP也可在不访问DS情况下将多个STA相连。291.802.11网络的两个基本构件无线局域网网络有两个基本2.802.11网络的两种组网模式oAd-Hoc（点对点）模式 oInfrastructure模式 302.802.11网络的两种组网模式Ad-Hoc（点对点）模Ad-Hoc（点对点）模式对等网o带有无线设备的计算机之间直接进行通讯（类似有线网络的双机互联）。o该网络无法接入有线网络中，只能独立使用。这是最简单的无线局域网结构。o一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同的工作组名、SSID和密码。o对等网络组网灵活，任何时间，只要两个或更多的无线接口互相都在彼此的范围之内，它们就可以建立一个独立的网络。这些根据要求建立起来的典型网络在管理和预先调协方面没有任何要求。31Ad-Hoc（点对点）模式对等网31Infrastructure模式基础模式o基础模式是一种最常用的无线网络配置模式，所有的STA与AP联系，AP在STA之间、STA与DS之间转发数据帧。o工作原理32Infrastructure模式基础模式基础模式是一种最常基础模式工作原理STA连接到AP并开始发送数据的过程：o先假设AP已经开机且正在运行。AP以固定的时间间隔（通常为每秒钟10次）发送无线短消息通告它的存在。这些短消息称为信标使无线设备发现AP的标识。o现在假设有人打开了一台装有无线网卡的笔记本电脑（STA），初始化后，STA开始寻找AP，它也许配置为寻找一个特定的AP，也可能准备连接到任一AP。STA扫描所有频段，收听信标，STA可能会发现若干个AP，通常它根据信号的强度来决定要与哪个AP连接。当STA准备连接到AP时，它首先发送一条认证请求消息给AP（假定不使用安全措施），AP马上发送一条表示接受的认证响应来回复认证请求。o现在STA被允许连接到AP，在IEEE 802.11中，概念“连接”被称为“关联”。当STA与AP关联在一起时，它才能发送和接收数据。STA发送关联请求消息，AP以关联响应回复表明连接成功。此后，STA发送的数据就由AP转发到有线局域网，同样，从有线局域网发给STA的数据也由AP转发。33基础模式工作原理STA连接到AP并开始发送数据的过程：333.802.11体系结构oIEEE802.11标准提出一个体系结构，如下图所示，主要有两个部分：数据链路层的MAC子层和物理层。MAC子层MAC子层管理实体站点管理实体PLCP子层PHY子层管理实体PMD子层802.11体系结构PLCPPLCP功能（功能（Physical Layer Convergence ProcedurePhysical Layer Convergence Procedure物理层会聚协议）：）：将将MACMAC帧增加同步头、起始定界符等，形成物理层帧增加同步头、起始定界符等，形成物理层PDU,PDU,以适合信道的传输以适合信道的传输PMDPMD功能（功能（Physical Medium DependentPhysical Medium Dependent物理介质依赖）：物理介质依赖）：信号信号的调制、解调，信道状态检测，从信道上接收、发送数据的调制、解调，信道状态检测，从信道上接收、发送数据343.802.11体系结构IEEE802.11标准提出一个体o工作原理：在PLCP子层，将来自MAC子层的数据作为PLCP的服务数据单元（PSDU），加上PLCP的前导码（同步信号或帧起始信号）和PLCP帧头组成PLCP的协议数据单元（PPDU），送交给PMD子层。oPMD子层将PLCP的数据调制后经天线发射出去。o注意：PLCP的帧数据单元与PMD子层采用的媒体传送方式有关。不不同的同的PMD子层，所对应的子层，所对应的PLCP也不同也不同35工作原理：在PLCP子层，将来自MAC子层的数据作为PLCPoMAC子层提供服务：o访问控制访问控制 标准定义了两种访问方式：标准定义了两种访问方式：n1、分布式协调功能分布式协调功能 DCF,站点之间通信基于竞争协议站点之间通信基于竞争协议CSMA/CA（载波侦听多路访问（载波侦听多路访问冲突避免冲突避免）n2、点协调功能、点协调功能 PCF，是一种集中控制方式，站点之间，是一种集中控制方式，站点之间的通信基于的通信基于轮询轮询的方式，一种无竞争的方式的方式，一种无竞争的方式o关联关联o认证与加密认证与加密o帧的分段与重装帧的分段与重装n无线信道易受干扰，小帧长有利于提供传输的成功率无线信道易受干扰，小帧长有利于提供传输的成功率n分段功能是分段功能是802.11的一个可选项的一个可选项为什么不是CSMA/CD？36MAC子层提供服务：为什么不是36IEEE 802.11中的3种MAC帧o（1）控制帧。告诉设备何时开始、停止发送以及通信是否失败的帧。如：RTS、CTS、ACK帧等。o（2）协商和管理STA和AP之间关系的帧。如：认证帧、关联请求帧。o（3）数据帧。一旦STA和AP已经同意建立连接，数据就以这种消息类型发送。37IEEE802.11中的3种MAC帧（1）控制帧。告诉设备管理帧o（1）信标帧 发送信标是接入点对外通告它已经准备就绪和在网络中维持定时的方法。信标是AP定期发送的管理帧。信标包含诸如网络名称和AP性能等有用信息。例如，信标可以告诉STA，AP是否支持IEEE 802.11标准中的新规范。o（2）探测帧 为了加速找到一个AP，STA可以选择发送探测帧。相当于大喊“喂，有人在吗？”任何接入点收到探测请求，立刻以探测响应来进行回答，STA就可以迅速找到AP。o（3）连接到AP 连接到AP的过程称为关联。当你相连接时，先发送关联请求，接入点以关联响应回答。如果响应是肯定的，那么现在你就与接入点关联上了。o（4）漫游 如果同一网络中有几个接入点，你的STA可能选择将其关联从当前AP移动到新的AP。首先，它必须使用解除关联，与原来的AP断开连接，然后使用重新关联，连接到新的AP。重新关联包含一些与原来的AP有关的信息，能够移交更顺利，这些信息让新的AP与原来的AP对话，确定已经发生了漫游。38管理帧（1）信标帧38o（5）发送数据 一旦你通过了认证，并且被关联上了，就可以发送数据。数据在STA和AP之间交换。通常，数据先到达AP，然后被转发到有线局域网或其他的STA。o每个发到或者来自AP的802.11数据帧都有3个地址：o2个是源地址和目的地址，第3个是“中间”地址消息路过的接入点的地址。o当你从STA发送数据到AP时，一个源STA地址，2个目的地址，一个目的端的AP地址，另一个目的STA地址o从AP到STA的数据有一个目的地址（STA）和2个源地址AP地址和STA地址。39（5）发送数据39o思考：无线网络的安全问题与有线网络有何不同？40思考：无线网络的安全问题与有线网络有何不同？40o传统的有线网络，访问控制往往以物理端口接入方式进行监控，只有在物理链路遭到破坏的情况下，数据才有可能被泄漏。而无线网络的数据传输则是利用微波在空气中进行辐射传播，在一个无线局域网接入点AP的服务区域中，所有的无线终端都可以接收到无线信号，非授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。o当然，无线局域网相对于有线局域网而言，所增加的安全问题主要是由于其采用了公共的电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。41传统的有线网络，访问控制往往以物理端口接入方式进行监控，只有二、无线网络安全2.1、早期的无线网络安全2.2、802.11标准WEP协议2.3、802.11i42二、无线网络安全2.1、早期的无线网络安全422.1早期的无线网络安全o安全问题对早期的无线局域网来说不是大问题。那时设备是私有的，互相不兼容。许多无线局域网使用服务区标识符（SSID）和MAC地址过滤作为安全的基本形式。432.1早期的无线网络安全安全问题对早期的无线局域网来说不是大o1、无线网卡物理地址（MAC）过滤：o其工作原理：限制接入终端的MAC地址，以确保只有经过注册的设备才可以接入无线网络。o由于每一块无线网卡拥有唯一的MAC地址，该物理地址编码方式类似于以太网物理地址，是48位的。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的“MAC地址控制表”（Access Control），只有在表中列出的MAC才是合法可以连接的无线网卡，否则将会被拒绝连接。441、无线网卡物理地址（MAC）过滤：44oMAC地址控制可以有效地防止未经过授权的用户侵入无线网络。媒体访问控制只适合于小型网络规模。-为什么？o不安全的。原因：nMAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。n部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。n媒体访问控制属于硬件认证，而不是用户认证。45MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。媒o2、服务区标识符(SSID)匹配o在每个AP内都会设置唯一的网络SSID，每当无线终端设备要连接AP时，AP会检查其SSID是否与自己的服务区域认证ID一致。只有当AP和无线终端的SSID相匹配时，AP才接受无线终端的访问并提供网络服务；如果不匹配，访问点就拒绝给予服务。oSSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。o不安全：SSID是一个简单的口令，并不提供任何数据机密功能，也不提供终端到无线接入点的认证。o使用网络分析工具（如Sniffer）很容易就可以获得SSID。462、服务区标识符(SSID)匹配46实现以下三个方面的目标：网络访问控制（Access Control），防止他人在没有被授权的情况下访问网络。数据传输的私密性（Confidentiality），防止他人截获密文之后破译出明文。数据传输的完整性（Data Integrity），防止他人更改网络上传输的数据而不被发现。2.2 802.11标准47实现以下三个方面的目标：2.2802.11标准47安全方案o认证：用来对无线终端或设备进行认证，不对用户进行认证；定义了两种认证方式：开放系统认证和共享密钥认证。o加密：有线等价保密协议WEPo完整性检验：CRC32o密钥管理48安全方案认证：用来对无线终端或设备进行认证，不对用户进行认证开放系统认证（Open System Anthentication）开放系统认证是802.11的一种默认协议，正如其名，无论谁请求认证都会被对方通过，实质上，它是一个空认证过程。开放认证对于确定一个客户是否合法没有提供任何帮助。开放认证系统分为2步：STA发送认证请求帧给认证STA（通常是AP），帧内通常包含STA的MAC地址和SSID号。如果认证STA的认证方式设为开放系统认证，要向请求者发送认证成功帧。当然，在开放系统认证中，认证STA并没有被认证。49开放系统认证（OpenSystemAnthenticat共享密钥认证（Shared Key Authentication）o共享密钥认证支持拥有密钥的 STA进行身份认证，密钥不会在网络上明文传送，但它需要使用WEP协议（RC4算法），因此只能在已实现WEP协议的节点运行。o共享密钥认证假设密钥已分配并已正确装入MAC层内，它回避了密钥分配问题，共享密钥认证分为4步，请求者为STA，认证者为AP。50共享密钥认证（SharedKeyAuthenticati安全的51安全的51o发起认证的STA同样首先发送一个管理帧表明自己身份并提出认证请求，该管理帧的认证处理序列号字段值为“1”。oAP作出响应，响应帧的认证处理序列号字段值为“2”，同时该帧中还包含一个由WEP算法产生的随机挑战信息（challenge text）oSTA对随机挑战信息用共享密钥进行加密后 发回给AP，这一步中，认证处理序列号字段值为“3”。oAP对STA的加密结果进行解密，并返回认证结果，认证处理序列号字段值为“4”。o在这一步中，如果解密后的challenge text与第二步发送的原challenge text相匹配，则返回正的认证结果，即STA可以通过认证加入无线网络；反之，认证结果为负，STA不能加入该无线网。52发起认证的STA同样首先发送一个管理帧表明自己身份并提出认证 oWEP采用对称加密原理（RC4加密算法），数据的加密和解密采用相同的密钥和加密算法。o主要用于保障无线局域网中链路层信息数据的保密oWEP只对数据帧实体内容加密，加密后的数据帧替换原数据帧，然后发送出去。有线等效保密协议（WEP）53有线等效保密协议（WEP）53FCSFrame BodyAddress4Sequence ControlAddress3Address2Address1Duration/IDFrame Control2 bytesOrderWepMore DataPwr MgtretryMore FragFrom DSTo DSSub-typeTypeProtocol Version42121111111通用帧格式控制域格式802.11 协议族 MAC 帧结构控制域格式54FCSFrameBodyAddress4SequenceFCSFrame BodyAddress4Sequence ControlAddress3Address2Address1Duration/IDFrame Control2 bytes802.11 协议族 MAC 帧结构55FCSFrameBodyAddress4SequenceFCSFrame BodyAddress4Sequence ControlAddress3Address2Address1Duration/IDFrame Control2 bytesOrderWepMore DataPwr MgtPetryMore FragFrom DSTo DSSub-typeTypeProtocol Version42121111111通用帧格式控制域格式假如使用WEP加密算法对帧实体进行加密，那么该标记被置为1，只有数据类型和管理类帧中的认证子类型为WEP，标记位才能设为1，所有其他帧的WEP标记位被置为0.当WEP标记位为1时，帧实体将按下图所述被扩展。802.11 协议族 MAC 帧结构控制域格式56FCSFrameBodyAddress4Sequence4字节的扩展域，不加密PDU使用CRC-32生成的帧校验序列，将同PDU一同被加密完整性校验和ICV4Data=1IV41 OctetPad Key ID6bits 2bitsIV3加密WEP帧扩展格式初始化向量域，加密使用密钥ID域指示使用4个可能密钥中的某个密钥填充内容为0加密574字节的扩展域，不加密PDU使用CRC-32生成的帧校验序列RC4加密算法oWEP使用RC4加密算法，RC4是一种对称流密码，每次加密一个字节明文。oRC4算法产生密钥字节流，密钥流与明文异或，形成密文。oRC4主要包括2个阶段：o1.KSA阶段（The KeyScheduling Algorithm，初始化算法）o2.PRGA阶段（The Pseudo-Random Algorithm，伪随机子密码生成算法）58RC4加密算法WEP使用RC4加密算法，RC4是一种对称流密wep的保密原理59wep的保密原理59说明：为了保证数据传输的完整性，每个数据报文后面都附加了一个CRC校验结果，组成加密前的明文数据。RC4算法中的密钥由两部分组成：24位的初始向量IV和40位共享密钥KC，两者首尾相接，构成64位的密钥K。60说明：为了保证数据传输的完整性，每个数据报文后面都附加了一个伪随机比特流与明文数据做异或（XOR）操作来产生密文6161接收端：接收者使用相同的密钥值产生相同的伪随机比特流。并与接收到的密文做异或（XOR）操作之后得到原始明文。通信双方通信的条件：由于初始向量IV会在数据帧中以明文的形式出现，只需拥有相同的用户部分密钥KC就可以正确地通信。6262完整性检验o这种安全服务用来拒绝任何被主动攻击者在传输过程中篡改过的消息。o校验和方法：CRC校验o发送方在发出数据包前先要计算明文的CRC32校验和ICV，并将明文P与ICV一起加密后发送。如何计算？63完整性检验这种安全服务用来拒绝任何被主动攻击者在传输过程中篡o接收方收到加密数据以后，先对数据进行解密，然后计算解密出的明文的CRC32校验和，并将计算结果与解密出的ICV进行比较：n若二者相同，则认为数据在传输过程中没有被篡改；n否则，认为数据已被篡改过，丢弃该数据包。64接收方收到加密数据以后，先对数据进行解密，然后计算解密出的明密钥管理o802.11中采用的是静态WEP密钥n一个静态WEP密钥由40比特会话密钥+24比特的初始向量n扩展：104比特的会话密钥+24比特的初始向量，即128比特组成，n取决于网络管理员对AP和所有与AP通信的客户的设置。oWEP没有具体规定共享密钥是如何生成，如何在带外分发，如何在密钥泄漏之后更改密钥，以及如何来定期的实现密钥的更新、密钥备份和密钥恢复。o具体实现中，用户可能并没有意识到密钥管理的重要性，有相当多的密钥是通过用户口令生成的，甚至直接使用用户口令。65密钥管理802.11中采用的是静态WEP密钥65802.11标准中的安全隐患RC4算法本身的缺陷 密钥流重复使用密钥管理带来的安全隐患对身份认证的欺骗 循环冗余校验码CRC32的使用66802.11标准中的安全隐患RC4算法本身的缺陷66RC4算法本身的缺陷o在RC4中，人们发现了弱密钥。o在24位的IV值中，有9000多个弱密钥。o攻击者收集到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。o利用认证与加密的安全漏洞，在很短的时间内，WEP密钥即可被破解。67RC4算法本身的缺陷在RC4中，人们发现了弱密钥。67密钥流重复使用o重复的原因：n在WEP帧中初始向量IV是以明文形式出现的，可以被任何人读取，原始密钥K是始终不变的。n相同的种子密钥IV，K生成的密钥流就是相同的68密钥流重复使用重复的原因：68o如果用相同的IV和Key加密两个不同的消息密钥流被抵消了，此时两组密文的异或值等于两组明文的异或值。69如果用相同的IV和Key加密两个不同的消息密钥流被抵消了，此（1）如果明文P1已知，且已知密文C1和C2，则下面列出几种可能的情况：70（1）如果明文P1已知，且已知密文C1和C2，下面列出几种可o（2）已知密文C1和C2，假设不知道明文P1和P2的情况。o因为已知了密文C1和C2，也就等于知道了明文P1和P2的异或值，可以采取猜测的方法，由于明文很可能是具有一定语义的字符的ASCII码的组合，我们有可能猜测到明文P1和P2的值。71（2）已知密文C1和C2，假设不知道明文P1和P2的情况。7o（3）如果我们知道多段密文值，例如知道密文C1、C2和C3，此时我们可能更容易得到明文P1、P2、P3的值。随着已知密文数的增多，同时由于一些帧具有特定的格式和含义，如接入请求和响应之类的身份认证帧，它们的内容比较容易被猜测出来。采用统计分析的方法，解密将会越来越容易。只要能积累到足够数量的密文，则解密是迟早的事。72（3）如果我们知道多段密文值，例如知道密文C1、C2和C3，密钥管理带来的安全隐患o虽然在WEP协议中强烈推荐不同的数据包使用不同的IV值，但是并没有规定不同的数据包不能使用相同的IV值。o也就是说，即使在所有的数据包使用相同的IV值这种最差的情况下，接收方为了维持协议的兼容性，也不能拒绝发来的数据包。这样无疑加大了IV碰撞的概率。73密钥管理带来的安全隐患虽然在WEP协议中强烈推荐不同的数据包o在WEP中没有具体规定何时使用不同的密钥。WEP协议将所有这些实际应用中的重要问题留给设备制造商去自行解决，导致对于信息安全知识的匮乏的设备制造商生产出大批在密钥管理中留有隐患的产品。o在具体实现中，大多数用户不能意识密钥管理的重要性，有相当多的密钥是通过用户口令生成的，甚至直接使用用户口令。74在WEP中没有具体规定何时使用不同的密钥。WEP协议将所有这o静态密钥的缺陷：n当使用了静态WEP密钥，管理员必须耗费大量的时间在WLAN的每一个设备上输入同样的WEP密钥。n然而一旦带有密钥的设备丢失或者被盗时，攻击者就有可能利用该设备接入WLAN。7575对身份认证的欺骗o认证的过程：o在WEP协议中，规定的身份认证是单向的，即AP对申请接入的移动客户端进行身份认证，而移动客户端并不对AP的身份进行认证。o这种单向的导致了假冒的AP的存在。76对身份认证的欺骗认证的过程：76o此外，获得密钥n即监听一个成功的认证过程，将challenge包与response包进行异或运算得到密钥流。n拥有了该加密密钥流的任何人都可以向接入点AP提出接入申请，在收到AP发来的随机序列以后，将其与密钥流相异或，再发送给AP，由于使用的是正确的加密密钥流，所以可以成功的通过认证。o所以，WEP使用的认证方式对于具有截获数据能力的攻击者来说根本没有任何安全性77此外，获得密钥77循环冗余校验码CRC32的使用 在WEP安全机制中，通过CRC实现消息完整性保护，但是CRC的设计初衷是检验传输中的随机错误，并非用于保护数据完整性。CRC32容易导致信息篡改78循环冗余校验码CRC32的使用在WEP安全机制中，通过Co信息篡改是指主动攻击者将窃听到的信息进行修改(如删除和/或替代部份或全部信息)之后再将信息传给原本的接收者。o这种攻击的目的有两种:n攻击者恶意破坏合法用户的通信内容，阻止合法用户建立通信连接;n攻击者将修改的消息传给接收者，企图欺骗接收者相信该修改的消息是由一个合法用户传给的。79信息篡改是指主动攻击者将窃听到的信息进行修改(如删除和/或替异或80异或80 要发起这样的攻击，入侵者完全不需要知道密码流和共享密钥key，他只需要监听原始密文信息C并设定任意值，将C和进行异或运算，并将异或结果C代替原始信息C发往AP接入点（Access Point）即可。81要发起这样的攻击，入侵者完全不需要知道密码流和共享密钥k针对WLAN安全隐患的几种攻击方法o被动窃听及流量分析被动窃听及流量分析o拒绝服务攻击拒绝服务攻击o会话劫持会话劫持o拦截攻击或中间人攻击拦截攻击或中间人攻击o流氓流氓AP oIP重定向攻击重定向攻击o重放攻击重放攻击82针对WLAN安全隐患的几种攻击方法被动窃听及流量分析82被动窃听及流量分析被动窃听及流量分析o在WLAN网络环境中，由于其开放的传输介质，使得敌手可以非常容易地实施被动窃听攻击，这使得网络中的传输信息对于攻击者是“透明”的，从来带来巨大的安全隐患。o攻击者使用Airsnort、WEPcrack等无线包嗅探工具，在无线传输范围内很容易就能监听到网络中传输的数据，获知网络中工作的AP的信息：包括工作信道、SSID、MAC地址、功率、WEP状况等；同时也能监听到所有传播的数据信息。o被动窃听往往是实施其他攻击的基础83被动窃听及流量分析在WLAN网络环境中，由于其开放的传输介质o在窃听的基础上，攻击者很容易监听和存储WLAN的所有流量。o即使消息被加密，但当消息中的(部分)信息是可预知的或冗余的，则攻击者也可能从特定消息中得到部分或全部信息。这种方式称为“流量分析”，o攻击者可以通过对流量的分析试图去揭示加密密钥、解密完整包，或收集其他有用信息，如识别网络活动、识别并定位AP或者对高层协议(如TCP/IP)进行分析。84在窃听的基础上，攻击者很容易监听和存储WLAN的所有流量。8拒绝服务攻击拒绝服务攻击(Denial of Service)o攻击者通过在物理上或协议上干扰用户数据、信令数据和控制数据在无线链路上的正确传输，来实现无线链路上的拒绝服务攻击。主要分为两种情况：n一是在物理上制造噪声源，通过干扰信道传输达到拒绝服务；n二是利用IEEE 802.11协议的漏洞，伪造AP的MAC地址，连续向广播地址发送解关联帧使得合法用户无法关联到AP上。85拒绝服务攻击(DenialofService)攻击者通过会话劫持会话劫持(Session Hijacking)o会话劫持本质上是一种ARP欺骗，它在有线网络中同样存在。主要原理如下：n一方面，对于AP，攻击者通过ARP欺骗将自己伪装成受害主机；n另一方面，对于受害者，攻击者又将自己伪装成AP。o这样，受害主机与网络间所有通信都需经由攻击者，攻击者就可以为所欲为，修改、删除或者插入数据。86会话劫持(SessionHijacking)会话劫持本质上8787拦截攻击或中间人攻击88拦截攻击或中间人攻击88流氓流氓AP o流氓AP是无线环境中特有的攻击行为，攻击者在无线局域网中安装未经授权的AP以提供对网络的无限制访问。89流氓AP流氓AP是无线环境中特有的攻击行为，攻击者在无线局IP重定向攻击o在WLAN中，AP通常充当网关和代理服务器，STA一般是装有无线网卡的笔记本电脑，它可以通过接入点AP来访问因特网。o由于密钥是由STA与AP共享的，所以我们可以利用AP为我们解密截获的密文。o具体的攻击方法：假定攻击者可以猜测到数据包的目的IP地址把一个IP地址重定向到另外一个IP地址90IP重定向攻击在WLAN中，AP通常充当网关和代理服务器，So首先攻击者冒充为合法用户接入WLAN，将截获的数据包目的lP地址进行修改，使其指向因特网上一台由攻击者控制的主机oAP在转发数据包的时候首先会对数据包进行解密，然后将明文发送到攻击者手中。91首先攻击者冒充为合法用户接入WLAN，将截获的数据包目的lPo注意：n从计算方面讲，更改IP地址并不难。如果原始IP地址的高16位字和低16位字是Dh和Dl，那么我们要把它们更改成Dh和Dl。如果X是原始IP校验和，那么在补码数学中X =X+Dh+Dl-Dh-Dl。n这种攻击方法的难点在于需要攻击者对于TCP协议由一定的了解，使被篡改过目的IP地址的数据包能通过TCP协议的帧校验。n这充分证明了校验和不是保证消息认证的好方法这一主张的真实性。消息可以被更改，并且在系统不知情的情况下插入一个伪造的新校验和 92注意：92重放攻击o重放攻击：旨在不破坏消息帧完整性的前提下，实施得一种非实时攻击。o在WEP协议中，虽然定义了数据帧的格式，每帧中包含初始向量IV，但是帧中并没有规定序列号。帧的先后次序不能得到明确的区分，给重放攻击提供了条件。93重放攻击重放攻击：旨在不破坏消息帧完整性的前提下，实施得一种o过程：n首先攻击者通过消息窃听或劫持会话捕获消息帧n然后再重放该消息帧94过程：942.3 新无线局域网安全标准802.11i（WPA2）oWEP协议的缺陷引起了IEEE的重视，它委托802.11i任务组制定新的标准，加强无线局域网的安全性。oIEEE标准委员会已于2004年6月批准802.11i标准。IEEE 802.11i标准提出了一个新概念RSN（健壮安全网络），定义了新的认证、密钥管理、数据加密方法。o在一个真正的RSN网中，仅允许符合RSN要求的设备连入接入点。952.3新无线局域网安全标准802.11i（WPA2）WEPo为了强化无线网络安全性，解决目前无线网络安全方面的漏洞，IEEE成立的802.11i工作小组开发了新的无线网络机制，其中新增了几项新技术：o首先，802.11i使用了以EAP(Extensible Authentication可扩展认证协议）为核心的802.1x，强迫使用者必须进行验证以及交互验证；o第二，使用了MIC(Message Integrit Code，信息完整性编码）检测传送的字节是否有被修改的情况；o第三，使用TKIP（Temporal Key Integrity通信协议），使加密的过程由原来的静态变为动态，让攻击者更难以破解。为了能提供更高级别的加密保护，802.11i采用新的WLAN架构，支持新的AES（Advanced Encryption Standard）标准。96为了强化无线网络安全性，解决目前无线网络安全方面的漏洞，IE注意：oRSN重点处理了WEP协议中的缺陷，并对无线链路提供数据完整性、机密性保护。oRSN安全机制只工作在数据链路层，为STA与AP之间或STA与STA之间的通信提供保护，并不提供端到端的应用层通信保护。oRSN只工作在整个网络的无线部分，在基础模式中，不为有线网络部分提供保护。97注意：RSN重点处理了WEP协议中的缺陷，并对无线链路提供数 802.11i标准体系结构IEEE 802.11i SecurityRSN之前RSNWEP加密开放认证共享密钥认证IEEE 802.11X基于端口的访问控制EAP认证和密钥分配TKIPCCMP802.11安全机制分类图98802.11i标准体系结构IEEE802.11iSec认证服务器802.1x体系结构(三个实体)申请者认证者EAPOL帧帧申请者(Supplicant)：申请者请求接入无线网络，通常为装有802.1x客户端软件且支持EAP的终端STA。认证者(Authentieator)：一般为接入点AP。认证服务器(Authentieation Server)：通常为远程拨入用户鉴权RADIUS(Remote Authentieation Dial In User Serviee)服务器。99认证服务器802.1x体系结构(三个实体)申请者认证者EAPRSN工作流程STAAP服务器服务器STA阶段1：发现阶段2：认证阶段3：密钥生成与分配阶段4：加密的数据传输阶段5：连接终止密钥管理密钥分配AP不参与认证，只转发STA与AS间通信STA中的加密与认证机制必须能满足AP提出的要求RSN只保护STA与AP间的数据链路层的安全，不包括端到端的安全100RSN工作流程STAAP服务器STA阶段1：发现阶段2：认证2.3.1 802.1x认证o802.11i标准使用802.1x协议，为STA与AS之间提供双向认证。o核心为EAP协议o通过端口认证端口认证来防止非授权用户接入无线网络逻辑端口1012.3.1802.1x认证802.11i标准使用802.认证者有两个逻辑端口:受控端口(Controlled Port)：控制端口受控于802.1X PAE（Port Access Entity，端口访问实体），用来允许（授权状态）或阻止（非授权状态）网络通信进入或离开受控端口，控制端口只在通过认证后才打开，用于传递网络资源和服务，对应不同应用环境，可配置为双向受控和输入受控非受控端口(Uncontrolled Port)：非控制端口始终处于连通状态，无论是否授权都允许申请者和网络中的其他用户通信，主要用来传递EAPOL(EAP over LAN)协议帧；802.1x端口102认证者有两个逻辑端口:802.1x端口102控制端口非认证状态非控制端口LAN控制端口认证状态非控制端口LAN基于端口的访问控制基于端口的访问控制802.IX协议规定：在认证时用户通过非受控端口和接入点AP交互数据，若用户通过认证，则AP为用户打开一个受控端口，用户可通过受控端口传输各种数据帧。103控制端口非认证状态非控制端口LAN控制端口认证状态非控制端口申请者、认证者、认证服务器间基于端口的访问控制STA网络服务非认证状态LANPAEAPAuthentication ServerPAEPAE封装在高层协议内的EAP消息o申请者（STA）中的PAE负责相应认证；o认证者（AP）中的PAE负责与申请者通信，并将认证信息传递给认证服务器；o认证者（AP）中的PAE根据认证结果，决定控制端口处于认证或非认证状态。104申请者、认证者、认证服务器间基于端口的访问控制STA网络服务IEEE 802.1x认证过程123456105IEEE802.1x认证过程123456105o1)用户通过AP的非受控端口向AP发送一个EAP-Start帧。o2)AP发送回应帧，要求STA提供身份信息。o3)STA将用户信息发送给AP。o4)AP将用户信息转交给RADIUS服务器。o5)RADIUS认证服务器通过查询用户身份信息数据库或者使用其他认证算法验证用户身份合法性，在此期间认证服务器可能需要通过AP多次与STA交互信息。o6)认证服务器向AP发送接受或者拒绝用户访问的消息。AP接收到该消息后向用户发送允许或者拒绝访问网络的EAP帧。如果认证服务器发送的是允许访问的消息，则AP同时为该用户打开一个受控端口，用户将通过该端口进行通信。1061)用户通过AP的非受控端口向AP发送一个EAP-StartEAP协议oEAP（Extension Authentication Protocol，可扩展认证协议）本身具有良好的可扩展性，可以支持多种认证机制，允许通信双方使用它们希望采用的认证算法。o认证算法的具体内容在EAP中并没有定义。是一个认证框架，而不是一种特定的认证机制 oEAP是基于认证方的，定义了两个术语是认证方和申请者。107EAP协议EAP（ExtensionAuthenticatEAP消息oEAP规定了4种消息可供传送：（1）Request用来发送由认证方向申请者请求包含身份信息的消息（2）Response用来发送由申请者向认证方返回包含身份信息的消息。（3）Success由认证方发送，指明申请者允许接入网络（4）Failure由认证方发送，指明申请者被禁止接入网络108EAP消息EAP规定了4种消息可供传送：（1）RequestEAP 消息格式oCode：代码域，占用一个字节，用来指示消息的类型：Request（01）、Response（02）、Success（03）、Failure（04）。oIdentifier 域为一个字节，辅助进行request 和response 的匹配oLength 域为两个字节，表明了EAP 数据包的长度oData 域为0 个或者多个字节，Data 域的格式由Code 的值来决定109EAP消息格式Code：代码域，占用一个字节，用来指示消息o当Code 域为1 或者2 的时候，这个时候为EAP 的request 和response 报文，报文的格式为：Type域为一个字节,该域表明了Request或Response的类型，代表不同的认证算法110当Code域为1或者2的时候，这个时候为EAP的re常用的EAP协议o1)Cisco Light EAP(LEAP)o2)Protected EAP(PEAP)o3)EAP-Transport Layer Security(EAP-TLS)o4)EAP-Tunneled TLS(EAP-TTLS)在WLAN中应用802.1X认证协议时，推荐使用EAP-TLS认证协议。111常用的EAP协议1)CiscoLightEAP(LEAPEAP-TLSEAP-TLS是引入（Transport Layer Security），使用数字证书进行双向认证的认证方式。oTLS现已被业界广泛认可，在OSI分层结构中位于TCP和应用层协议之间，n它既可以为客户机认证服务器，也可以为服务器认证客户机，二者都是基于公钥机制的。nTLS协议分为两部分：握手协议和记录协议。o握手协议在客户机和服务器双方进行保密通信前要确定密钥、加密认证算法等安全参数；o记录协议则定义了传输的格式。112EAP-TLSEAP-TLS是引入（TransportLaoEAP-TLS既提供认证又提供动态会话密钥分发，不但在申请者和认证服务器之间提供互相认证，还提供数据完整性保护。o所有申请者和认证服务器需要事先申请并安装标准的x.509证书，认证时申请者和认证服务器要互相交换证书，交换证书的同时，申请者和认证服务器要协商一个基于会话的密钥，一旦通过认证，认证服务器就会将会话密钥传给AP，并通知AP允许该认证接入网络。113113EAPOLoEAP最初是为拨号系统设计的，根本不是一个局域网协议，要在局域网中传送EAP消息，就需要对EAP消息进行封装，IEEE802.1x制定了在局域网上EAP消息封装格式EAPOL（EAP Over LAN），在申请者和认证方之间传送EAP消息。o并非所有的EAPOL帧都用来承载EAP消息，其中有些是用来执行管理任务的。114EAPOLEAP最初是为拨号系统设计的，根本不是一个局域网协EAP-TLS认证过程STAAPAS1、请求认证2、请求帧，要求客户输入用户名3、用户名信息4、信息被封装成RADIUS5、服务器证书5、服务器证书7、用户证书7、用户证书10、随机会话密钥生成（认证过程中）11、RADIUS-Accept11、EAP-Success115EAP-TLS认证过程STAAPAS1、请求认证2、请求帧，2.3.2 802.11i密钥分配oRSN的工作流程可分为5个阶段，在完成认证之后，STA与AP要执行一系列操作来配置密钥，这一阶段称密钥生成与分配阶段KGD（Key Generation and Distribution）。oRSN使用分层密钥。oAP和STA之间的单播所用的密钥称为成对密钥，其分层使用称为成对密钥层次结构；oAP和STA之间的组播所用的密钥称为组密钥，其分层使用称为组密钥层次结构。1162.3.2802.11i密钥分配RSN的工作流程可分为5创建和交付PMKRSN成对密钥层次结构117创建和交付PMKRSN成对密钥层次结构117创建和交付PMKo创建：作为认证过程的副产物，认证方法必须生成能用于密钥层次结构的密钥材料，例如TLS和Kerberos都能产生密钥，认证过程中产生的密钥就是PMK。o交付：认证发生在申请者和服务器之间，结果是申请者STA和服务器生成了匹配的PMK，但是使用PMK的是STA和AP，需要把PMK提供给AP。118创建和交付PMK创建：作为认证过程的副产物，认证方法必须生成计算PTKPTK:从成对主密钥产生的密钥，其中包括加密与完整性协议所使用的密钥传递动态密钥所需要的密钥。119计算PTKPTK:从成对主密钥产生的密钥，其中包括119计算PTKPRF函数基于散列消息鉴别码（HMAC）算法和哈希算法（SHA1）产生的消息摘要对于TKIP，X=512，对于CCMP，X=384AA，SPA分别是认证者和申请者的MAC地址SNonce和ANonce分别是申请者和认证者发出的现时当前值120计算PTK120密钥信息完整性验证密钥，截取0-127加密密钥的密钥,截取128-255位TKIP；CCMPL(I,F,L)是指从比特序列I得到起始位置为F，长度为L的比特序列。121密钥信息完整性验证密钥，截取0-127加密密钥的密钥,截取12.3.3 802.11i数据加密o在这一阶段之前，STA和AP已经协商好了安全策略，完成了相互认证，会话密钥的分配，控制端口的打开。oSTA和AP开始保密的通信，包括机密性和数据完整性，所用的算法是在发现阶段协商的。oIEEE802.11i中定义了两种加密和完整性协议，n临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP），n计数器模式+密码块链认证码协议（Counter Mode with Cipher Block Chaining MAC Protocol，CCMP）。1222.3.3802.11i数据加密在这一阶段之前，STA和TKIP（WPA）oWEP的主要缺陷：（1）IV值太短，不能防止重用。（2）由IV生成密钥的方法使其易受攻击。（3）无法检测消息是否被篡改。oTKIP改进WEP的设计缺陷，增加了四个新的部分，其加密过程为：123TKIP（WPA）WEP的主要缺陷：123TKIP加密过程示意图 MIC密钥主密钥加密密钥密钥混合添加MIC头IV生成加密传输MPDU添加IV/ICV计算MICMSDU添加MIC分帧MPDUMichael部分RC4部分完成数据校验的MIC算法。一个MIC就是一段密文摘要124TKIP加密过程示意图1.MIC的产