无线局域网的安全概述

《无线局域网的安全概述》由会员分享，可在线阅读，更多相关《无线局域网的安全概述（76页珍藏版）》请在金锄头文库上搜索。

1、2第8章 无线局域网安全1.1.黑客威胁黑客威胁 2.WLAN2.WLAN安全安全 3.3.有线等效加密有线等效加密 4.Wi-Fi4.Wi-Fi保护接入保护接入 5.IEEE 802.11i5.IEEE 802.11i和和WPA2 WPA2 6.WLAN 6.WLAN 安全措施安全措施 7.7.无线热点安全无线热点安全 8.VoWLAN8.VoWLAN和和VoIPVoIP安全安全 9.9.本章小结本章小结 31.黑客威胁 在有线网中，信号被有效地限制在连接电缆内，与此不在有线网中，信号被有效地限制在连接电缆内，与此不同，同，WLANWLAN的传输可以传播到网络的预期工作区域以外，进入的传输可

2、以传播到网络的预期工作区域以外，进入到相邻的公共空间或是附近的建筑里。只要有一个适当的接到相邻的公共空间或是附近的建筑里。只要有一个适当的接收机，通过收机，通过WLANWLAN传输的数据可以被发射机覆盖范围内的任何传输的数据可以被发射机覆盖范围内的任何人接受到。人接受到。 这些免费接入点对判定黑客（或解密高手）并不感兴趣，这些免费接入点对判定黑客（或解密高手）并不感兴趣，黑客是指那些喜欢挑战和入侵安全网络的人。黑客是指那些喜欢挑战和入侵安全网络的人。 在家里，不仅是蓄意的黑客可能将无安全措施的无线网在家里，不仅是蓄意的黑客可能将无安全措施的无线网络视为免费资源。如果没有基本的安全措施，任何在隔

3、壁房络视为免费资源。如果没有基本的安全措施，任何在隔壁房间或公寓有无线配置的电脑都可以连接到网络，并可以自由间或公寓有无线配置的电脑都可以连接到网络，并可以自由使用像因特网连接这样的资源。使用像因特网连接这样的资源。48.1.1 无线局域网安全威胁拒绝服务拒绝服务(Denial of service, DoS)攻击。攻击。攻击者使用过量的通信流量使网络设备溢出，从而阻止或严攻击者使用过量的通信流量使网络设备溢出，从而阻止或严重减慢正常的接入。该方法可以针对多个层次，例如，向重减慢正常的接入。该方法可以针对多个层次，例如，向Web服务器中大量发送页面请求或者向接入点发送大量的链服务器中大量发送页

4、面请求或者向接入点发送大量的链接或认证请求。接或认证请求。人为干扰人为干扰。是是DoS的一种形式，攻击者向的一种形式，攻击者向RF波段发送大量的干扰，致波段发送大量的干扰，致使使WLAN通信停止。在通信停止。在2.4 GHz 频段上，蓝牙设备、一些无频段上，蓝牙设备、一些无绳电话或微波炉都可以导致上述干扰。绳电话或微波炉都可以导致上述干扰。插入攻击。插入攻击。攻击者可以将一个未授权的客户端连接到接入点，这是由于攻击者可以将一个未授权的客户端连接到接入点，这是由于没有进行授权检查或者攻击者伪装成已授权用户。没有进行授权检查或者攻击者伪装成已授权用户。5重放攻击重放攻击。攻击者截取网络通信信息，例

5、如口令，稍后用这些信息可以攻击者截取网络通信信息，例如口令，稍后用这些信息可以未经授权地接入网络。未经授权地接入网络。广播监测。广播监测。在一个配置欠佳的网络中，如果接入点连接到集线器而不是在一个配置欠佳的网络中，如果接入点连接到集线器而不是交换机，那么集线器将会广播数据包到那些并不想接收这些交换机，那么集线器将会广播数据包到那些并不想接收这些数据包的无线站点，它们可能会被攻击者截取。数据包的无线站点，它们可能会被攻击者截取。ARP欺骗（或欺骗（或ARP缓存中毒）缓存中毒）。攻击者通过接入并破坏存有攻击者通过接入并破坏存有MAC和和IP地址映射的地址映射的ARP的高的高速缓冲，来欺骗网络使其引

6、导敏感数据到攻击者的无线站点。速缓冲，来欺骗网络使其引导敏感数据到攻击者的无线站点。会话劫持（或中间人攻击）。会话劫持（或中间人攻击）。是是ARP欺骗攻击的一种，攻击者伪装成站点并自动解决链接欺骗攻击的一种，攻击者伪装成站点并自动解决链接来断开站点和接入点的连接，然后再伪装成接入点使站点和来断开站点和接入点的连接，然后再伪装成接入点使站点和攻击者相连接。攻击者相连接。6流氓接入点（或恶魔双子截取）流氓接入点（或恶魔双子截取）。攻击者安装未经授权的带有正确攻击者安装未经授权的带有正确SSID的接入点。如果该接的接入点。如果该接入点的信号通过放大器或者高增益的天线增强，客户端将会入点的信号通过放大

7、器或者高增益的天线增强，客户端将会优先和流氓接入点建立连接，敏感数据就会受到威胁。优先和流氓接入点建立连接，敏感数据就会受到威胁。密码分析攻击。密码分析攻击。攻击者利用理论上的弱点来破译密码系统。例如，攻击者利用理论上的弱点来破译密码系统。例如，RC4密码密码的弱点会导致的弱点会导致WEP易受攻击（参见易受攻击（参见8.3节）。节）。旁信道攻击。旁信道攻击。攻击者利用功率消耗、定时信息或声音和电磁发射等物理信攻击者利用功率消耗、定时信息或声音和电磁发射等物理信息来获取密码系统的信息。分析上述信息，攻击者可能会直息来获取密码系统的信息。分析上述信息，攻击者可能会直接得到密钥，或者可以计算出密钥的

8、明文信息。接得到密钥，或者可以计算出密钥的明文信息。72.WLAN安全安全措施安全措施描述描述用用户认证确确认试图接入网接入网络的用的用户与他与他们申明的身份一致申明的身份一致用用户接入控制接入控制只允只允许那些被那些被认证可以接入的用可以接入的用户接入网接入网络数据保密数据保密通通过加密保加密保证网网络上上传输的数据不被窃听或未授的数据不被窃听或未授权接入接入密密钥管理管理建立、保建立、保护以及分配密以及分配密钥来加密数据和其他消息来加密数据和其他消息消息完整性消息完整性检查消息在消息在传输过程中是否没有被修改程中是否没有被修改无线局域网安全措施无线局域网安全措施 8802.11涉及的安全技

9、术涉及的安全技术开放式认证系统共享密钥认证系统完整性校验(ICV) RC4加密认证技术接入控制完整性检验技术加密技术初始化向量(IV) WEP：有线等效保密算法WEP93. 802.11的加密技术有线等效加密WEPWEP提供了有限的接入控制和采用密钥的数据加密：接入控制（认证）：接入控制（认证）：一般将密码短语输入到接入点，任何试图与接入点链接的站点都必须知道这个短语。如果不知道密码短语，站点可以感知数据流量但不能进行链接或解密数据。10802.11的认证基于WEPOpen system authentication开放系统认证是802.11的缺省设置，不进行认证 Shared key aut

10、hentication共享密钥认证使用一个共享的密钥，完成AP对接入点的认证STAAP认证请求挑战码(128bytes随机数)挑战码回应确认成功/失败1.工作站向工作站向AP发出认证请求发出认证请求2.AP收到初始认证帧之后，回应一个认收到初始认证帧之后，回应一个认证帧，其中包含证帧，其中包含128字节的挑战码字节的挑战码3.工作站将挑战码植入认证帧，并用共工作站将挑战码植入认证帧，并用共享密钥对其加密，然后发送给享密钥对其加密，然后发送给AP4.AP解密，并检查返回的挑战码是否相解密，并检查返回的挑战码是否相同，以次判断验证是否通过同，以次判断验证是否通过RC4RC4加加密随机密随机数数解密

11、收到的相应结果，并与原发送的随机数进行比较，如果相同则认为成功生成随机数发送到客户端缺点： Hacker只要将明文challenge text和加密后的challenge text截获到进行XOR就可以得到WEP key。113. 802.11的加密技术有线等效加密WEPWEP提供了有限的接入控制和采用密钥的数据加密：数据数据加密加密：采用：采用RC4加密算法加密算法将将数据数据转变为一个转变为一个40比特的密钥，加上比特的密钥，加上 24比特的初始向量比特的初始向量(Initialization Vector, IV)生成生成64比特的加密密钥。比特的加密密钥。为了临时性增强WEP加密，有些

12、向量将密钥长度增加到128比特（104比特 + 24比特 IV）。实际上这只是表面的增强，因为不论是使用40比特还是104比特的密钥，窃听者总能通过分析大约400万个发送帧提取出密钥。12WEPWEP通过通过RC4RC4算法生成密钥比特流算法生成密钥比特流：密钥比特流是从S序列中伪随机选择的字节，而S序列是所有256种可能的字节的排列组合。RC4RC4通过下列方法选择密钥流的下一个字节通过下列方法选择密钥流的下一个字节 : :13(1) 增加计数器增加计数器i的值的值(2) 将序列中第将序列中第i个字节的值个字节的值S(i)和和j的原值相加作为第二个计数器的原值相加作为第二个计数器j的值的值(

13、3) 查找两个计数器指示的两个字节的值查找两个计数器指示的两个字节的值S(i)和和S(j)，然后将其以模，然后将其以模256相加相加(4) 输出由输出由S(i)+S(j)指示的字节指示的字节K，如，如K = S(S(i) + S(j)在在回到步骤回到步骤(1)选择密钥流中的下一个字节前，要将字节选择密钥流中的下一个字节前，要将字节S(i)和和S(j)的值相的值相交换交换 输入计数器输出密匙字节14802.11加密加密-WEP加密加密STAAP加密报文IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文1208

14、E802.11协议采用RC4进行加密：RC4RC4是流是流(stream)(stream)加密，加密，通过将通过将Key streamKey stream和明文和明文流流XORXOR得到密文。得到密文。为了破坏规律性，为了破坏规律性，8 802.1102.11引入了引入了IVIV，IVIV和和KeyKey一起作为输入来生成一起作为输入来生成key stream,key stream,所以相同密所以相同密钥将产生不同加密结果。钥将产生不同加密结果。IVIV在报文中明文携带，在报文中明文携带，这样接受方可以解密。这样接受方可以解密。IVIV虽然逐包变化，但是虽然逐包变化，但是24 bits24 b

15、its的长度，使一个的长度，使一个繁忙的繁忙的APAP在若干小时后在若干小时后就出现就出现IVIV重用。重用。所以所以IVIV无法真正破坏报文的规无法真正破坏报文的规律性。律性。流加密的特征是相同的明文将产生相同的加密结果。如果能够发现加密规律性，破解并不困难。15802.11的完整性检验(ICV) 802.11使用(CRC-32) 校验和算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。CRC-32本身很弱，可以通过bit-flipping attack篡改报文。16WEPWEP加密过程加密过程: :步骤步骤(1) 计算帧中要发送的数据块的计算帧中要发送的数据块的ICV

16、(32比特的完整性校验值比特的完整性校验值 )步骤步骤(2) 将将ICV附加到数据块中附加到数据块中步骤步骤(3) 初始化向量和密钥结合生成完整的加密密钥初始化向量和密钥结合生成完整的加密密钥步骤步骤(4) 用用RC4算法将加密密钥转变为密钥流算法将加密密钥转变为密钥流步骤步骤(5) 将密钥流和步骤将密钥流和步骤(2)的输出作异或运算的输出作异或运算步骤步骤(6) 将初始化向量将初始化向量(IV)和密文结合和密文结合明文明文初始向量密钥密钥流密文17802.11安全问题小结暴力以及字典攻击法猜出使用者所选取的密钥猜出使用者所选取的密钥已知或者猜测原文攻击法利用已知的部分明文信息和利用已知的部分

17、明文信息和WEPWEP重复使用重复使用IVIV的弱点的弱点，很容易，很容易获取获取WEP keyWEP key，从而，从而解出其他加密包解出其他加密包弱完整性检验。ICVICV采用采用CRC-32CRC-32，所用的所用的CRCCRC功能不可靠，它具有线性性质，功能不可靠，它具有线性性质，可以轻易构造可以轻易构造CRCCRC：CRC(A+B)=CRC(A)+CRC(B)CRC(A+B)=CRC(A)+CRC(B). .因此，因此，报文很报文很容易被篡改而不被发现；容易被篡改而不被发现；不支持用户密钥(session secret)的动态协商WEP只支持预配置key，没有提供Key分发机制18针

18、对802.11标准存在的安全缺陷（数据报文的安全性）。为了满足企业等应用，各标准组织对它进行了标准完善。802.11无线局域网目前的安全标准主要有两大发展主流：中国中国WAPI(WLAN Authentication and Privacy WAPI(WLAN Authentication and Privacy Infrastructure) Infrastructure) 标准标准IEEE 802.11i IEEE 802.11i 标准标准 两大技术标准综合使用了多种安全技术，实现了用户认证，数据完整性，用户数据加密保护，key管理，用户会话密钥的动态协商等功能。194. WPA（Wi-F

19、i保护接入）（1）暂时密匙完整性协议(TKIP,T Temporal emporal K Key ey I Integrity ntegrity P Protocolrotocol) )（2）IEEE802.1x认证架构 a.认证服务器（3）可扩展认证协议(EAP,E Extensible xtensible A Authentication uthentication P Protocolrotocol) a.LAN中的可扩展认证协议 b.EAP类型 c.公共密匙体系20在WPA（Wi-Fi Protected Access，无线保护接入）中的两个新的MAC层特性解决了WEP加密弱点：一个是

20、一个是密钥生成和管理协议密钥生成和管理协议:被称为暂时密钥完整性协被称为暂时密钥完整性协议议(TKIP)另一个是另一个是消息完整性校验消息完整性校验(Message Integrity Check, MIC)功能。功能。 （1）WPA中暂时密匙完整性协议21安全特性安全特性WEPTKIP暂时密密钥/密密码短短语40比特比特, 104比特比特128比特比特初始化向量初始化向量(IV)24比特比特48比特比特密密钥静静态动态加密密加密密码RC4RC4WEPWEP和和WPAWPA的密钥管理和加密比较的密钥管理和加密比较 22某站点被认证后，通过认证服务器或是从手动输入产生一个128比特的暂时密钥用于

21、会话。TKIP：用来给站点和接入点分配密钥并为会话建立密用来给站点和接入点分配密钥并为会话建立密钥管理机制。钥管理机制。TKIP：将暂时密钥和每个站点的将暂时密钥和每个站点的MAC地址相结合，加地址相结合，加上上TKIP顺序计数器，再与顺序计数器，再与48比特初始化向量比特初始化向量(IV)相加相加来产生数据加密的初始密钥。来产生数据加密的初始密钥。23用这种方法每个站点使用不同的密钥来加密发送的数据。然后然后TKIP在一段设置的密钥生存时间后，管理这些密钥在在一段设置的密钥生存时间后，管理这些密钥在所有站点的升级和分配，根据安全要求不同，可以从每个包所有站点的升级和分配，根据安全要求不同，可

22、以从每个包一次到每一次到每10 000个包一次不等。个包一次不等。尽管使用相同的RC4密码来产生密钥流，但是用TKIP的密钥混合和分配方法来代替WEP中的只有一个静态密钥显著地改善了WLAN的安全性。该方法能从该方法能从280 000 000 000个可能的密钥中动态变化选择。个可能的密钥中动态变化选择。24TKIP密钥混合和加密过程密钥混合和加密过程临时密钥发射机的MAC地址短语1密钥混合WEP IV每包密钥PC4密钥TKIP序列计数器WEP封装 加密MPDUMIC密钥源地址源地址目的地址MSDU明文MIC分段25（2）WPA中IEEE802.1x认证架构IEEE 802.1xIEEE 80

23、2.1x是通过是通过认证用户认证用户来为网络提供有保护的接入来为网络提供有保护的接入控制协议。控制协议。IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制基于端口的网络接入控制”是指是指: :在局域网接入设备的端口在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。这一

24、级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能连接在端口上的用户设备如果能通过认证通过认证，接入点上会为接入点上会为网络接入打开一个虚端口网络接入打开一个虚端口, ,就可以就可以访问局域网中的资源访问局域网中的资源；如果如果不能通过认证不能通过认证，则无法访问局域网中的资源，则无法访问局域网中的资源相当相当于物理连接被断开。于物理连接被断开。26（2）WPA中IEEE802.1x认证架构IEEE 802.1xIEEE 802.1x认证定义了三个元素：认证定义了三个元素： 请求者：无线站点上运行的寻求认证的软件 认证者：代表请求者要求认证的无线接入点 认证服务器：运行着RADI

25、US或Kerberos等认证协议的服务器，使用认证数据库来提供集中认证和接入控制。该标准定义了数据链路层如何使用可扩展认证协议该标准定义了数据链路层如何使用可扩展认证协议(EAP)(EAP)在请求者和认证服务器之间传送认证信息。在请求者和认证服务器之间传送认证信息。实际的认证过程是根据具体使用的EAP类型来定义和处理的，作为认证者的接入点只是一个媒介，它使得请求者和认证服务器能够通信。27IEEE 802.1x认证：在企业WLAN中的应用需要网络中有认证服务器。服务器服务器：可以通过已存的姓名列表和授权用户的证书可以通过已存的姓名列表和授权用户的证书来认证用户来认证用户；最常用的认证协议最常用

26、的认证协议：是远程认证拨号用户服务是远程认证拨号用户服务(Remote Authentication Dial-in User Service, RADIUS)，由兼容，由兼容WPA的接入点支持，提供的接入点支持，提供集中认证、集中认证、授权和计费授权和计费服务。服务。28无线客户端通过接入点认证寻求网络接入：此此时，接入点作为时，接入点作为RADIUS服务器的客户端，向服务器服务器的客户端，向服务器发送一个含有用户证书和请求连接参数信息的发送一个含有用户证书和请求连接参数信息的RADIUS消息（参见图消息（参见图8.5）。）。RADIUS服务器可以认证、授权或拒绝请求，任何一种服务器可以认证

27、、授权或拒绝请求，任何一种情况都会送回一个响应消息。情况都会送回一个响应消息。29802.1X认证协议1.1.802.1x802.1x（Port-Based Network Access ControlPort-Based Network Access Control）是一个基于端口）是一个基于端口的网络访问控制标准。的网络访问控制标准。2.2.802.1x802.1x 利用利用EAP(EAP( Extensible Authentication Protocol )Extensible Authentication Protocol )链路链路层安全协议，在通过认证以前，层安全协议，在通过认

28、证以前，只有只有EAPOLEAPOL报文（报文（Extensible Extensible Authentication Protocol over LANAuthentication Protocol over LAN）可以在网络上通行。认证）可以在网络上通行。认证成功后，成功后， 通常的数据流便可在网络上通行。通常的数据流便可在网络上通行。30802.1X协议架构SupplicantSupplicantAuthenticatorAuthenticatorAuthentication ServerAuthentication ServerEAP认证方法方法 (EAP-TLS，EAP-TEAP

29、) EAP协议802.1X EAPOLEAP报文（封装在文（封装在Radius 报文）文）1.1.EAP(EAP( Extensible Authentication Protocol )Extensible Authentication Protocol )是认证协议框架，是认证协议框架，不提供具体认证方法，可以实现多种认证方法不提供具体认证方法，可以实现多种认证方法2.2.802802. .1X1X报文报文(EAP(EAP认证方法认证方法) )在特定的链路层协议传递时，需要一定在特定的链路层协议传递时，需要一定的报文封装格式。的报文封装格式。3.3.EAPEAP报文传输报文传输. auth

30、enticator. authenticator将把将把EAPOLEAPOL报文中的认证报文报文中的认证报文EAPEAP4.4. 封装到封装到RadiusRadius报文中，通过报文中，通过RadiusRadius报文和报文和authenticationauthentication5.5. serverserver进行交互。进行交互。6.6. 注意：注意：802.1X802.1X提供了控制接入框架，依赖提供了控制接入框架，依赖EAPEAP协议完成认协议完成认证，证，EAPEAP协议给诸多认证协议提供了框架，协议给诸多认证协议提供了框架，EAPEAP协议前端依赖协议前端依赖EAPOLEAPOL后

31、端依赖后端依赖Raduis Raduis 完成协议交换完成协议交换31RADIUS认证中EAP的消息格式请求者=客户无线LAN认证者=接入服务器内部互联LANRADIUS消息格式认证服务器EAP消息封装为RADIUS消息属性包携带的EAP请求和响应消息32（3）WPA中可扩展认证协议EAP可扩展认证协议(EAP)：是建立在远程接入架构上的，而远程接入最初是在点对点协议(Point-to-point Protocol, PPP)组中为拨号连接而建立的。PPP拨号序列提供了拨号序列提供了链路协商和网络控制协议链路协商和网络控制协议，以及，以及基于要求安全等级的基于要求安全等级的认证协议认证协议。例

32、如。例如：密码认证协议(Password Authentication Protocol, PAP)挑战握手认证协议(Challenge Handshake Authentication Protocol, CHAP)等认证协议在建立连接后，在客户端和远程接入服务器之间协商，然后用所选择的协议认证连接。33（3）WPA中可扩展认证协议EAP通过允许使用被称为EAP类型的任意认证机制延伸了这个结构，EAP类型为交换认证消息定义了多种多样的结构。当建立了一个当建立了一个WLAN连接，客户和接入点同意使用连接，客户和接入点同意使用EAP来认证，那么在开始连接认证阶段就会选定一个来认证，那么在开始连接

33、认证阶段就会选定一个特定的特定的EAP类型。类型。认证过程认证过程：包括客户端和认证服务器之间的一系列消包括客户端和认证服务器之间的一系列消息的交换息的交换。交换长度和细节取决于请求连接的参数和交换长度和细节取决于请求连接的参数和选择的选择的EAP类型。类型。 34EAP协议Extensible Authentication ProtocolAKA/SIMTLSToken CardPPP802.3802.11EAP设计的中心思想：可以支持多种认证方法和多种链路层协议。35（3）WPA中可扩展认证协议EAPa.LAN中的可扩展认证协议b.EAP类型c.公共密匙体系36a.LAN中的可扩展认证协议

34、在LAN或WLAN而不是拨号连接中应用EAP，LAN中的可扩展认证协议(EAP over LAN, EAPoL)在IEEE 802.1x标准中被定义为传送认证消息的传输协议。EAP over LAN:是一种封装技术，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。EAPoL定义了一套携带认证消息的包的类型，最常见的如下：EAPoL开始开始：由认证者发送来开始认证消息交换由认证者发送来开始认证消息交换EAP包包：携带每个携带每个EAP消息消息EAPoL密钥密钥：携带有关生成密钥的信息携带有关生成密钥的信息EAPoL注销注销：通知认证者客户正在注销通知认证者客户正在注销37b.E

35、AP类型由Wi-Fi联盟互用性认证计划支持的EAP类型包括：1. EAP-TLS(EAP with Transport Layer Security(EAP with Transport Layer Security，传输层安全，传输层安全) )pRFC 2716 - based on SSL(安全套接字)p基于证书的安全环境中使用的 EAP 类型。p提供客户端和验证程序之间的双向身份验证、加密方法的协商和加密密钥（动态生成）的确定。p要求站点和认证服务器RADIUS通过公钥和交换数字证书来证明其身份。过程见：p130p客户站确认认证服务器的证书，并发送含有自己证书的EAP响应消息p接下来开始

36、协商加密参数（加密的密码类型）p一旦认证服务器确认客户的证书有效，则用会话中的加密密钥响应p提供了最强大的身份验证和密钥确定方法。38b.EAP类型由Wi-Fi联盟互用性认证计划支持的EAP类型包括：2.2. EAPEAP- -PEAPPEAP（Protected EAP,Protected EAP,受保护的可扩展认证协议）受保护的可扩展认证协议）p利用利用TLSTLS创建加密通道创建加密通道p在通道内部，验证的方法可以基于在通道内部，验证的方法可以基于EAP-MSCHAPv2EAP-TLSEAP-GTC由微软、思科、由微软、思科、 RSA RSA 发起发起3.3.EAP-TTLSEAP-TT

37、LS(Tunnelled TLS,(Tunnelled TLS,管道传输层安全管道传输层安全) )p类似于类似于PEAPPEAP，可以使用任何第三方，可以使用任何第三方EAPEAP认证方法认证方法pRequires 3rd party supplicant on WindowsRequires 3rd party supplicant on WindowspDeveloped by Funk SoftwareDeveloped by Funk S39c.公共密匙体系公共密钥体系(PKI,Public Key Infrastructure)：可以使用数字证书来电子识别个人或组织。PKI要求具有：

38、认证机构认证机构(Certificate Authority, CA)：CA发行和核实发行和核实数字数字证书证书；注册机构注册机构(Registration Authority, RA)：当发行新的数字证当发行新的数字证书时，书时，RA作为作为CA的核实者的核实者；证书管理系统证书管理系统：证书管理系统包括一个或多个目录服务，目证书管理系统包括一个或多个目录服务，目录服务中存储着录服务中存储着证书证书和它们的和它们的公共密钥公共密钥。40c.公共密匙体系当请求证书时，CA会利用某种算法，如RSA（Rivest-Shamir-Adleman算法），同时产生一个公共的和私有的密钥。公共密钥公共密钥

39、寄存在可用的寄存在可用的公共目录公共目录服务中服务中，发送消息方发送消息方只能只能从公共从公共目录中获取目录中获取公钥；公钥；私有密钥私有密钥是给请求方的，是给请求方的，它它被请求方安全的所有，不会共享被请求方安全的所有，不会共享也不会通过因特网发送。它用来解密已经使用相关的公共密也不会通过因特网发送。它用来解密已经使用相关的公共密钥加密的消息钥加密的消息。PKI 使得用户使用私有密钥加密来对消息进行数字签名，并允许接受者通过找回发送者的公共密钥来检查签名及解密消息。用这种方法用这种方法，各方可以各方可以不需要交换共享秘密不需要交换共享秘密就建立用户认证就建立用户认证、消息保密和完整性。消息保

40、密和完整性。415. IEEE802.11i和WPA2IEEE 802.11i标准：为IEEE 802.11WLAN定义了安全加强，提供更强大的加密、认证和密钥管理策略，以建立一个鲁棒的安全网络(Robust Security Network, RSN)为目的。WPA2和IEEE 802.11i的关系：WPA2（Wi-Fi Protected Access2，无线保护接入2）是WiFi联盟对IEEE802.11i标准终稿的实现。42IEEE802.11i的框架结构通过EAP-TLS等认证方法对用户进行认证用户认证接入控制802.11i802.11i密钥管理及加密密钥管理及加密通过802.1x控

41、制用户的接入802.11i实现用户会话key的动态协商实现TKIP、CCMP算法实现数据的加密 为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进 。435. IEEE802.11i和WPA2IEEE 802.11i解决了以下问题：密钥密钥协商协商：使在设备链接期间每个选择的通信类型都有合适使在设备链接期间每个选择的通信类型都有合适的机密性协议的机密性协议；密钥密钥分发和管理分发和管理：可以可以生成和管理生成和管理两个层次的密钥。两个层次的密钥。在设备链接和认证时，通过EAP握手建立和认证

42、单播的密钥对和多播消息的群密钥。更安全的加密更安全的加密：使用：使用两个提高数据机密性的协议（即两个提高数据机密性的协议（即TKIP和和AES-CCMP）。）。44企业模式个人模式PA认证：IEEE802.1x/EAP加密：TKIP完整性：MIC认证：PSK（Pre-SharedKey，预共享密钥）加密：TKIP完整性：MICWPA2认证：IEEE802.1x/EAP加密：AES-计数器模式完整性：CBC-MAC(CCMP)认证：PSK加密：AES-计数器模式完整性：CBC-MAC(CCMP)WPA和WPA2的比较PSK码是无线网络的密钥，当采用WPA加密的时候，家庭网络中采用的是WPA的简化

43、版，WPAPSK（预共享密钥）。455. IEEE802.11i和WPA2（1）RSN(鲁棒安全网络,Robust Securiyt Network)安全参数协商（2）RSN密匙管理 a.密匙对层次和四次握手协议 b.群密匙层次和群密匙握手协议（3）高级加密标准（AES）（4）AES-CCMP：在AES中引入以下两种加密和认证功能技术，用于提供站点和AP之间额外的安全性： a.分组密码的计数模式 b.密码分组链接消息认证代码（CBC-MAC）46（1）IEEE802.11i的密钥协商RSN安全参数协商RSN设备间的安全参数协商通过RSN IE（Information Element,信息元素）

44、完成，IE可以识别广播设备在RSN信标、探测、链接和重链接方面的能力。详见p131表8.4通过下面的交换产生安全参数的选择：步骤步骤(1) ：客户站广播探测请求客户站广播探测请求步骤步骤(2) ：接入点广播包括接入点广播包括RSN IE的探测响应的探测响应步骤步骤(3) ：客户站向接入点发送开放系统认证请求客户站向接入点发送开放系统认证请求步骤步骤(4) ：接入点向客户站提供开放系统认证响应接入点向客户站提供开放系统认证响应步骤步骤(5) ：客户站台票发送含有客户站台票发送含有RSN IE 的的关联关联请求，请求，RSN IE表明客户站对表明客户站对RSN能力的选择能力的选择步骤步骤(6) ：

45、如果接入点支持客户站所选的安全参数，接入点如果接入点支持客户站所选的安全参数，接入点发送链接响应表明成功发送链接响应表明成功47（2）IEEE802.11i的密钥协商RSN密匙管理安全参数协商后，在客户站和AP之间需利用IEEE802.1x或PSK进行相互认证。在认证的最后在认证的最后 ，认证服务器生成主密钥对，在个人模式中，认证服务器生成主密钥对，在个人模式中，密钥来自用户键入的密码。密钥来自用户键入的密码。密钥对：用来保护客户站和AP之间的单播消息 。群密钥：用来保护从接入点AP到它的BSS中的所有站点的多播或广播消息。a.密匙对层次和四次握手协议b.群密匙层次和群密匙握手协议48a.密匙

46、对层次密钥对描述主密对(PairwiseMasterKey,PMK)密钥对层次的开始点，由认证服务器生成，若未使用IEEE802.1x，认证就从用户键入的密码中提取临时密钥对(PairwiseTemporalKeys,PTK)PTK从PMK、客户站和AP的MAC地址及四次握手过程中双方提供的随机数中提取EAPoL密钥确认密钥（KCK，EAPoL的Key Confirmation Key）KCK用来在四次握手中确认认证消息EAPoL密钥加密密钥（KEK，EAPoL的Key Encryption Key）KEK通过在四次握手和群密钥握手中加密消息来确保机密性临时密钥一旦通信链路建立后在AES加密中

47、需使用临时密钥49a.四次握手协议四次握手的目的四次握手的目的：是在客户站（请求者）和接入点（认证是在客户站（请求者）和接入点（认证者）中安全地安装密钥层次。者）中安全地安装密钥层次。传送传送EAPoL密钥交换消息的四个步骤如下：密钥交换消息的四个步骤如下：步骤步骤(1)：接入点（认证者）生成伪随机数接入点（认证者）生成伪随机数(ANonce)，然后发送给，然后发送给请求者。请求者。步骤步骤(2)：客户站（请求者）生成伪随机数客户站（请求者）生成伪随机数(SNonce)，然后计算，然后计算PTK，提取，提取KCK和和KEK。请求者发送它的SNonce和安全参数给认证者。KCK用来计算MIC，M

48、IC确认消息的开始。步骤步骤(3)：认证者回应认证者回应GTK（Group Temporal Keys，群临时密钥），群临时密钥）和一个序列数，以及它的安全参数和安装临时密钥的说明。和一个序列数，以及它的安全参数和安装临时密钥的说明。序列数：确认下一个多播或者广播帧的号码，允许请求者用来防范重放攻击。该消息也受到MIC 的保护，MIC 是通过KCK计算得到。步骤步骤(4)：请求者响应，确认临时密钥已经安装。请求者响应，确认临时密钥已经安装。50四次握手协议中EAPoL密钥交换客户站（客户站（STA）（请求者）（请求者）接入点（接入点（AP）（认证者）（认证者）STA计算计算PTKAP计算计算P

49、TK51b.群密匙层次和群密匙握手协议群密钥描述主群密钥(GroupMasterKey,GMK)由认证者（接入点）生成，作为生成群临时密钥的开始点。群临时密钥(GroupTemporalKeys,GTK)GTK是周期变化的临时密钥，例如，当一个站点离开网络后，GTK就需要被更新来阻止再从该站点接受任何广播或多播消息群密钥层次52目前的GTK在四次握手协议的第三次 EAPoL交换中为链接的客户站共享，但GTK需要更新时就需要使用群密钥握手协议。接入点通过使用GMK的伪随机函数和它的MAC地址及随机字符串(GNonce)提取出一个新的GTK。然后，这个新的GTK通过群密钥握手协议分配，如下所示：步

50、骤步骤(1) ：接入点将加密的单播消息中的新接入点将加密的单播消息中的新GTK发送给发送给BSS中的每个站点。该新中的每个站点。该新GTK通过每个节站点特有的通过每个节站点特有的KEK加密，加密，防止数据通过防止数据通过MIC被篡改。被篡改。步骤步骤(2) ：每个站点响应来通知接入点新的每个站点响应来通知接入点新的GTK已安装。已安装。然后然后：所有的站点都使用新的所有的站点都使用新的GTK来加密后续的广播或多播来加密后续的广播或多播消息。消息。53（3）IEEE802.11i的加密1TKIPTKIP: TKIP: T Temporal emporal K Key ey I Integrity

51、 ntegrity P Protocolrotocol 使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加加密成本。使用Michael来实现MIC (Message Integrity Code )。结合MIC，TKIP采用了countermeasures 方式：一旦发现了攻击（MIC Failure)，就中止该用户接入。 将IV size 从 24 bits 增加到 48 bits，减少了IV重用； 使用了Per-Packet Key Mixing 方式来增加key的安全性。54（3）IEEE802.11i的加密2AES-CCMAES-CCMP PAES-CCMAES-CCMP P

52、（Advanced Encryption Standard - Counter Advanced Encryption Standard - Counter with Cipher lock chaining Message Authentication with Cipher lock chaining Message Authentication Code,Code,高级加密标准高级加密标准带有密码块链消息认证代码协议的带有密码块链消息认证代码协议的计数器模式），融合了以下三种加密技术：计数器模式），融合了以下三种加密技术：AES计数模式MIC55AES-CCMAES-CCMP P之之高级

53、加密标准（AES）高级加密标准高级加密标准：是由比利时密码专家是由比利时密码专家Joan Daemen 和和Vincent Rijmen开发的一种密码，经过四年的筛选，在开发的一种密码，经过四年的筛选，在2001年年11月被美国国家标准和技术协会月被美国国家标准和技术协会(National Institute of Standards and Technology, NIST)采用为加采用为加密标准。密标准。在在2003年年6月，美国政府授权月，美国政府授权AES用来保护包括最高机密用来保护包括最高机密信息在内的保密信息，前提是使用长度为信息在内的保密信息，前提是使用长度为192或或256比特

54、比特的的密钥密钥。56与能加密任意长度消息的流密码RC4不同的是，AES是块密码，使用大小为128比特的固定消息块，加密密钥长度为128比特、192比特或256比特。这是Daemen和Rijmen的原创密码的一个具体实例，又称为Rijndael密码，它使用128256比特大小的块和密钥，步进为32比特。AES-CCMAES-CCMP P之之高级加密标准（AES）57密码操作在44字节的阵列上（如128比特），每一轮加密包括四个步骤：步骤步骤(1)：S盒变换盒变换：阵列中的每个字节用阵列中的每个字节用S盒中的字节替代，盒中的字节替代，S盒是一个固定的盒是一个固定的8比特的查找表。比特的查找表。步

55、骤步骤(2)：行变换行变换：44阵列的每一行移位一个偏移量，数组阵列的每一行移位一个偏移量，数组中每行移位的偏移量的大小不同中每行移位的偏移量的大小不同；步骤步骤(3)：列变换列变换：利用线性变换将阵列中每列的四个字节利用线性变换将阵列中每列的四个字节混合，从而产生新的四列的输出字节。该步骤在加密的最后混合，从而产生新的四列的输出字节。该步骤在加密的最后一轮省略。一轮省略。步骤步骤(4)：与扩展密钥异或与扩展密钥异或：通过密钥安排表从加密密钥中通过密钥安排表从加密密钥中提取出第二个提取出第二个44阵列，该阵列被称为子密钥，两个阵列，该阵列被称为子密钥，两个44阵阵列异或一起产生下一轮的开始阵列

56、。列异或一起产生下一轮的开始阵列。加密每个数据块的轮数根据密钥的大小确定：128比特10轮，192比特12轮，256比特14轮。AES-CCMAES-CCMP P之之高级加密标准（AES）58AES-CCMAES-CCMP P之之：分组密码的计数模式AES-CCMAES-CCMP P（Advanced Encryption Standard - Counter with Cipher Advanced Encryption Standard - Counter with Cipher lock chaining Message Authentication Code,lock chaining

57、 Message Authentication Code,高级加密标准高级加密标准带有带有密码块链消息认证代码协议的计数器模式）密码块链消息认证代码协议的计数器模式）为为块加密块加密，802.11i802.11i要求要求AESAES为为128128 bit, bit, 每每block 128 bits.block 128 bits.在分组密码的在分组密码的计数模式计数模式中，加密算法不是直接应用到数据块而是应用中，加密算法不是直接应用到数据块而是应用于任意的计数器。于任意的计数器。首先计算得到一个首先计算得到一个counter (counter (初始值随机，然后累加初始值随机，然后累加1),

58、AES1),AES后得到后得到加密值。加密值。因此：因此：CCMCCM采用采用计数模式计数模式（counter modecounter mode）的目的是）的目的是: : 为了为了破坏加密结果的规律性。破坏加密结果的规律性。然后每个数据块与加密计数器然后每个数据块与加密计数器异或异或，完成，完成加密加密，得到加密数据块。，得到加密数据块。得到如下图所示。59消息消息计数器计数器加密加密数据块数据块数据块数据块数据块数据块数据块加密数据块加密数据块加密数据块加密数据块加密数据块加密数据块加密数据块加密文本加密文本分组加密工作模式的计数模式（AES）60在分组密码的计数模式中，每个消息，它的计数器

59、都从任意的数值开始，并根据收发双方协商好的已知方式增加。克服了电子密码本（克服了电子密码本（ECB，Electronic Code Book）方式）方式下，明文消息和密文一对一的对应关系，密钥容易被发现的下，明文消息和密文一对一的对应关系，密钥容易被发现的危险。危险。61AES-CCMAES-CCMP P之之：MIC（CBC-MAC的简写）除了采用计数模式进行数据加密，除了采用计数模式进行数据加密，AES-CCMAES-CCM还使用还使用密码分组密码分组链链- -消息认证代码消息认证代码（cipher block chainingcipher block chaining-message -m

60、essage authentication codeauthentication code，CBCCBC-MAC-MAC) )来产生来产生MIC, MIC, 以实现数据的以实现数据的完整性校验完整性校验. . CBC-MACCBC-MAC消息认证代码的生成步骤：详细见消息认证代码的生成步骤：详细见p135-136p135-62802.11i和WEP对比636.WLAN安全措施（1）管理安全措施（2）技术安全措施 a.改变SSID和禁用广播 b.修改默认共享密匙 c.MAC地址过滤（3）操作安全措施 a.a.强用户认证强用户认证 b.b.入侵检测入侵检测64（1）管理安全措施管理安全措施描述为使

61、用无线技术的组织开发的安全策略安全策略为可靠的WLAN提供了基础，应该详细说明组织的要求，包括接入控制、密码使用、加密、设备安装控制和管理为了解受保护组织的资产值而执行的风险评估了解组织的资产值和未授权接入的潜在后果，为建立要求的安全等级提供基础对所有的接入点和无线设备列出完全目录已安装的设备的物理目录必须和WLAN的日志交叉校验，并进行周期RF扫描来识别未知设备（流氓接入点）将接入点安放在建筑物内部而不是靠外部的墙和窗户内部位置会限制RF传输在所需操作区域外围的泄漏，消除可能发生窃听的区域在安全区域安放接入点物理安全可以阻止未授权接入和硬件操控65（2）技术安全措施a.改变SSID和禁用广播

62、b.修改默认共享密匙c.MAC地址过滤66技术安全措施描述修改默认SSID及禁用SSID广播防止无意接入WLAN，当试图链接时要求客户站与SSID值匹配在接入点禁用所有不必要的管理协议每个管理协议都提供了一个可能的攻击路径，因此禁用未用的协议可以最小化攻击者可能会攻击的潜在路径保证默认共享密钥由至少128比特周期性变化的密钥代替如果没有安装TKIP（参见8.4.1节），则需要手动密钥管理。最好的方法是使用支持的密钥长度的最大值配置MAC接入控制列表如“MAC地址过滤”一节所描述，尽管基于MAC过滤的接入控制提供了附加的安全性，但它并不能防止故意的技术攻击者启用用户认证，为接入点管理接口设置强管

63、理口令即使不能获得比网络通信更好的保护，接入点的管理控制功能也同样需要保护。安全策略应该详细说明用户认证和强口令的要求VLAN技术安全措施67禁用SSID广播68禁用SSID广播的原因：嗅探软件可以分析出来SSID69MAC Address Filtering in AP70（3）操作安全措施a.强用户认证b.入侵检测71操作安全措施描述在接入点配置时使用加密协议，如SNMPv3SNMPv3提供接入点管理消息的加密，而SNMPv1和SNMPv2没有提供相同等级的安全考虑其他形式的无线网络用户认证，如RADIUS和Kerberos如果风险评估将未授权接入作为主要风险，认证服务或协议，如RADIU

64、S和Kerberos，可以提供高级别的接入安全性来保护机密数据在WLAN上部署入侵检测来探测非授权接入或活动流氓接入点或其他非授权活动可以被入侵检测软件探测到。这种无线交换标准的特点在3.3.3节中有过描述当硬件升级，在处理旧设备前要确认复位配置设置如果接入点在丢弃时保留了安全设置，那么敏感信息就可能被用来攻击网络启用并定期检查接入点日志接入节点日志为定期审查网络流量，授权的和未授权的提供了基础。许多入侵检测工具可以配置为自动而有效地进行这项工作VLAN操作安全措施72b.入侵检测（参数）安全参数描述已授权的RF物理层的详细说明识别WLAN上使用的是哪个物理层标准（如IEEE802.11a、I

65、EEE802.11b/g）已授权的RF信道使用说明个人接入点被配置为使用哪个RF信道已授权的设备MAC地址类似于接入点层次的MAC接入控制，但是扩展到整个WLANSSID策略列出已授权的SSID设备制造商说明WLAN中使用的已授权设备的制造商。提供部分MAC过滤，因为MAC地址的第一部分说明了设备制造商737.无线热点安全（措施）热点安全措施描述只和首选的接入点建立无线网络连接限制自动连接到可识别的首选接入点列表可以减少连接到未知接入点的危险。然而，由于SSID很容易被欺骗，所以这并不能消除来自流氓接入点的危险连接到企业网络时使用VPNVPN使用了附加的加密级来在不安全连接中提供受保护的“管道

66、”，如因特网或无线热点连接在使用热点的移动PC上安装个人防火墙防火墙是阻止通过热点非授权接入移动计算机的屏障。从接入点收到的信息会根据防火墙的设置被允许或阻止。当使用公共接入点时，无线网络通信需要标识成“不被信任的”状态在移动设备中通过密码和加密保护文件和文件夹。禁止文件共享。在PC的操作系统中使用可用的保密机制，即使有攻击者成功地未授权连接到移动设备，它也能够保证文件和数据受到保护747.无线热点安全（措施）热点安全措施描述保护传输到接入点的数据包括电子邮件在内的机密数据在发送之前应当加密，或者使用安全套接层电子邮件服务。不用时关闭无线NIC没有使用时，关闭无线NIC可以消除潜在攻击路径，并

67、能为无线设备节约电池能量。小心公共场所的监视危险在公共场所键入PINs或密码时要警惕，确保机密信息不被监视保持操作系统和安全软件的更新定期下载安全补丁保证所有安全软件，包括操作系统、防火墙和杀毒软件等的更新来对抗所有已知威胁758.VoWLAN和VoIP安全VoWLAN/VoIP的安全措施描述使用VLAN将VoWLAN电话和其他LAN设备分离将VoWLAN电话放置在单独的虚拟LAN(VirtualLAN,VLAN)中，使用私有的不可达的IP地址阻止VoWLAN系统受到因特网接入或攻击。IP电话需要支持IEEE802.1p/qVLAN标准加密电话和公共电话网(PubicSwitchedTelep

68、honeNetwork,PSTN)网关之间的语音通信加密可以消除语音通信在电话网络中被窃听的弱点使用防火墙来保护语音和数据WLAN之间的连接如果要求语音和数据WLAN之间的连接，例如，允许桌面软件管理VoWLAN电话信息，使用合理配置的防火墙可以消除不必要的接入路径（端口、协议等）使用VPN保护因特网上远程用户的VoIP通信单独的用户登陆到VoWLAN的VLAN上，可以用来保证将接入限制在必要的端口和协议保持VoWLAN电话软件的更新确保有管理系统来保持电话软件和安全补丁的更新76第八章 小结从基于WEP的相对简单的IEEE 802.11安全的开始，以及很快被发现的密钥安排算法的潜在加密缺陷，WLAN安全的发展速度及当前的复杂水平与致力于提高速度、网络容量和其他功能的技术并驾齐驱。随着2004年IEEE 802.11i安全增强的发布，以及Wi-Fi联盟发起的WPA2的应用，在固有的开放无线媒体上传送真正的等效有线加密的未来WLAN设备的基础已经奠定。然而，这些强大的技术能力只有得到本章所阐述的实际安全措施的正确实施时，安全性才能够得到保障。