第九章: 無線網路安全管控 - 雲林科技大學計算機網路研究室

Download Report

Transcript 第九章: 無線網路安全管控 - 雲林科技大學計算機網路研究室 

第九章 無線網路安全管控
國立雲林科技大學
自由軟體研發中心
第九章 無線網路安全管控
9-1 無線網路之現況及弱點
9.1.1 無線網路現況
9.1.2 無線網路弱點
9-2 無線網路安全標準的發展沿革
9.2.1 WEP
9.2.2 802.1X+WEP
9.2.3 WPA
9.2.4 WPA2
9-3 802.1X (Port-based 網路存取控制)
9.3.1 驗證與結合
9.3.2 IEEE 802.1x
9.3.3 Extensible Authentication Protocol (EAP)
前言




無線區域網路(WLAN)的機動性和便
利性是有線網路所不能及的,而
WLAN的建置也不同於傳統有線網路
需要大量的佈線,只需要分散地擺放
少數的存取點(Access Point)在使用者
的活動範圍內即可。
無線網路技術大部份是以電磁波做為
傳輸媒體,因此在通訊範圍內的所有
可接收裝置都能收到訊號,若這些訊
號沒有保密措施,並經由有心人士的
竊聽,往往造成意想不到的損害。
在眾多身份認證協定之中,無線網路
管理員該如何選擇才能讓使用者便利
地踏進無線網路的入口,並兼具高度
的安全等級呢?
本章首先簡述無線網路之現況及弱點,
接著介紹無線網路安全標準的發展沿
革,最後說明Port-based網路存取控
制的通訊標準 - 802.1X 協定。
國立雲林科技大學 自由軟體研發中心
2
第九章 無線網路安全管控
9.1.1 無線網路現況
無線網路可由傳輸距離分為三大類:
 無線廣域網路(WWAN):
WWAN (Wireless Wide Area Network)是指傳輸
範圍可跨國或是不同城市之間的無線網路,由
於其通訊範圍過大,通常是由服務提供者來架
設及維護基地台,使用者可藉由行動電話無線
上網。
WiFi

WLAN (Wireless Local Area Network)是指傳輸
範圍在一百公尺左右的無線網路,像是單一建
築物或是辦公室之內。通常會將WLAN和LAN
整合,不但增加原本有線網路的使用彈性,也
可擴大網路的使用範圍。本章的無線網路安全
管控將針對802.11無線網路作介紹。
Bluetooth
短程通訊
中程通訊

GPRS/3G/WiMAX
長程通訊
無線上網示意圖
無線區域網路(WLAN):
無線個人網路(WPAN):
WPAN (Wireless Personal Area Network)是指在
個人活動範圍內所使用的無線網路,主要的用
途是讓各項資訊設備(PDA、手機、筆記型電腦、
印表機…等等)能交換資料。例如:藍芽
(Bluetooth)技術就是用於WPAN其中之一的代表
作。
國立雲林科技大學 自由軟體研發中心
3
第九章 無線網路安全管控
傳輸標準
802.11a
802.11b
802.11g
最大傳輸速率
54Mbps
11Mbps
54Mbps
平均傳輸速率
27M
4~5Mbps
20~25Mbps
使用頻帶
5GHz
2.4GHz
2.4GHz
DSSS/CCK
OFDM
OFDM
實體層技術
9.1.1 無線網路現況

IEEE 802.11是現今無線區域網路通用的標準,
它是由IEEE所制定的通信工業標準,其中包含
IEEE 802.11a、802.11b、802.11g,以下將介紹
各個標準的特性與使用規範。

802.11a
於1999年,IEEE定義了一個在5GHz ISM頻段上
的數據傳輸速率可達54Mbit/s的實體層,稱為
「802.11a」,由於這個頻段較少被使用,因此
比較不會受到干擾或是遭到其它設備搶奪頻道
的問題。它擁有12條不相互重疊的傳輸頻道,8
條用於室內,總頻寬可達432Mbps,而其餘4條
用於點對點傳輸。

802.11b
於1999年,IEEE定義了一個在2.4GHz ISM頻段
上的數據傳輸速率可達11Mbit/s的實體層,稱為
「802.11b」,並提供了1、2、5.5、11Mbps的
多重傳輸速率。

802.11g
於2003年,IEEE定義了一個在2.4GHz ISM頻段
上的數據傳輸速率可達54Mbit/s的實體層,稱
為「802.11g」。
國立雲林科技大學 自由軟體研發中心
4
第九章 無線網路安全管控
9.1.1 無線網路現況
802.11 無線網路安全機制
根據IEEE所制定的標準,一個安全的無線網路至少
必須提供三項服務:身份認證、資料保密、資料完
整性確認。
STA
身份認證 (Authentication)
在無線網路環境中必須針對使用者進行身份的
識別。在無線網路的認證方式最主要有三種:
AP
(1) 認證需求
(2) 提出挑戰字串
STA利用SharedKey對挑戰字串 (3) 挑戰字串回應
進行WEP加密。
(4) 身份確認成功
分享密鑰認證流程
AP回應長度為
128位元且的隨
機字串至STA
若挑戰成功,則
傳回認證成功。
(1) 開放系統認證(Open System Authentication)
各存取點會廣播自身的SSID (Service Set ID)讓通訊
範圍內的裝置連入。例如,在Windows XP下,啟動
無線網路後,會出現可使用無線網路存取點 (Access
Point)的SSID列表。
(2) 封閉系統認證(Closed System Authentication)
各存取點不會廣播自身的SSID,使用者必須在其系
統內設定欲連入存取點的SSID,方可進行連線。簡
單來說,以SSID當成存取無線網路的密碼。
(3) 分享密鑰認證(Shared-Key Authentication)
Shared Key 驗 證 方 式 需 要 使 用 到 WEP (Wired
Equivalent Privacy)或其它安全標準,WEP加密用的
Key在AP與Client端必須相同。其驗證流程如左圖所
示。
國立雲林科技大學 自由軟體研發中心
5
第九章 無線網路安全管控
9.1.1 無線網路現況
資料保密 (Confidentiality)
由於無線網路是靠廣播的方式進行訊號的傳遞,較一般有線網路更容易遭受到竊聽,因此IEEE設
計了一個加解密的機制,稱為Wired Equivalent Privacy (WEP),讓無線網路使用者在傳遞資料時能保有
私密性,以防止第三者竊取通訊內容,提供無線上網基本的安全防護。但WEP存在諸多瑕玼,使得許多
改善WEP缺失的標準也因應而生,如WPA、WPA2。
資料完整性確認 (Integrity)
在傳送過程中用來保護資料的完整性,讓接收者得以驗證所收到的資料在傳送過程中未被更改。
802.11無線網路使用的完整性確認演算法與其它802家族相同,可使用CRC Checksum進行封包內容完整
性的確認。
Intruder
t
r
2
Server
Server
Server
Computer
RF in the AIR is uncontrolled…
國立雲林科技大學 自由軟體研發中心
Vs.
e
AIR
a k
6
第九章 無線網路安全管控
9.1.2 無線網路弱點

1.
2.
Network Attacks
Active
Attack
Passive
Attack
Eavesdropping
Traffic
Analysis
Masquerade
Replay
Message
Modification
DoS
3.
常見網路攻擊的類型

802.11無線網路安全問題大致可分為三大類:
無線通訊的特性
由於無線網路的訊號於空氣中傳播,使得網路
上的監聽問題特別嚴重。如果使用者傳遞資料
未進行加密,很容易讓攻擊者竊取所有的通訊
內容。
WEP設計的錯誤
IEEE制訂了WEP的安全標準,但因它設計與實
作上的缺陷,導致WEP無法有效保護資料內容
的私密性。例如,WEP的金鑰管理問題讓系統
管理員付出極高的管理成本,在本章9.2節將仔
細介紹WEP的金鑰管理問題。
設備安全管理措施不當
大部份的網路設備出廠時都有一些預設的設定
值,但許多的管理員並未修改任何的安全設定,
這讓攻擊者很容易地取得管理員權限。
左圖為常見的網路攻擊類型,下一頁將進一步
介紹相關的無線網路弱點。
國立雲林科技大學 自由軟體研發中心
7
第九章 無線網路安全管控
9.1.2 無線網路弱點

Telnet管理介面
許多無線網路存取點都有提供Telnet管理介面,
它的優點是方便管理者利用網路進入存取點
(Access Point),但Telnet通訊協定在資料傳輸的
過程中並未執行加密,因此攻擊者可以經由網
路竊聽,輕易取得管理者密碼。

TFTP管理介面
Trivial File Transfer Protocol (TFTP)是一個簡易
的檔案傳輸協定,它的優點是快速的傳輸檔案,
但它存在一嚴重缺點:只要知道檔案的路徑就可
以直接下載該檔案,不需經過任何的身份認證。
攻 擊 者 可 藉 此 弱 點 , 利 用 TFTP 下 載 儲 存 在
Access Point上的實體位址過濾列表、管理者密
碼或是WEP密鑰…等等。

WWW管理介面
WWW管理介面允許管理員透過瀏覽器管理網
路設備,由於圖文並茂的WWW介面,讓它成
為許多廠商的首選,但可能存在網路設備出廠
時預設密碼未被管理員更動,而輕易地遭到攻
擊者的入侵。
國立雲林科技大學 自由軟體研發中心
8
第九章 無線網路安全管控
9.1.2 無線網路弱點

SNMP管理介面
Simple Network Management Protocol (SNMP) 也
是方便網路管理者進行設備管理的通訊協定,
若要使用該協定,則需配合SNMP瀏覽管理軟
體。SNMP的認證方式是使用SNMP社群字串
(SNMP Community String),這個字串相當於使
用者輸入密碼一樣。通常網路設備有兩個預設
的字串(Public、Private),一個供讀取網路設備
資料使用,一個則是具備寫入資料的權限。若
設備所用的密碼是出廠值(Public、Private),攻
擊者可以藉此進行設備組態的變更與設定。

沒有健全的使用者身份認證機制
在開放式與封閉式認證系統中存取點 (Access
Point)僅靠簡易的SSID辨識使用者是否有網路使
用權,這樣的認證方式過於簡易且不安全;實
際的做法,應建立完整使用者身份認證機制來
確保無線網路的安全。

網路設備的預設管理密碼
存於網路設備的預設值,若有心人士得知該網
路設備的型號,藉由設備手冊上記載的管理密
碼,很容易入侵,並取得管理權。
國立雲林科技大學 自由軟體研發中心
9
第九章 無線網路安全管控
9.1.2 無線網路弱點

Rogue AP
用戶端密鑰儲存問題
WEP是一對稱式加密系統,通常用戶端的系統
會將WEP密鑰寫入韌體內或是作業系統專用的
註冊表內,一般系統對WEP密鑰只做簡單的加
密保護,目前已有工具可以讓人輕鬆破解存於
系統註冊表中的WEP密鑰。
APs With
Interference

以偽造存取點攻擊用戶端
當空氣中散播著兩個相同SSID的訊息,用戶端
的系統會選擇訊號較強的存取點建立連結。如
左圖所示,攻擊者若偽裝成合法的存取點(即設
定相同的SSID)欺瞞用戶,用戶端的系統無法辨
識,與非法的存取點建立連結之後,可能被有
心人士惡意地植入木馬程式,日後伺機進行破
壞行為。
Client With
WEP Disabled
以偽造存取點攻擊用戶端

緩衝區溢位攻擊
緩衝區溢位(Buffer overflow)是利用程式設計的
不當,造成攻擊者可達成遠端控制存取點
(Access Point)或是執行阻斷服務的攻擊。
國立雲林科技大學 自由軟體研發中心
10
第九章 無線網路安全管控
9.1.2 無線網路弱點

阻斷服務攻擊
Denial of Service (DoS)可以用很多方式來達成,
例如:用實際的無線電訊號干擾、偽造斷線的
封 包 ,如 送 出 Deauthentication 、 Disassociation 、
TCP RST之類的封包,切斷無線區網用戶端的
連線,或者是破壞無線網路存取點的天線等。

中間人(MITM)攻擊
Man-In-The-Middle (中間人)攻擊方式是攻擊者
位於用戶端與存取點之間,攔截雙方的通訊,
同時扮演用戶端和存取點的角色,讓受到攻擊
的用戶和存取點在不知情的情況下,把秘密資
訊洩露了。
Man-In-The-Middle攻擊示意圖
國立雲林科技大學 自由軟體研發中心
11
第九章 無線網路安全管控
9.2 無線網路安全標準的發展沿革
由於無線網路快速發展,至今已建立許多標準:
(1) WEP (Wired Equivalent Privacy)。
(2) 802.1x EAP。
(3) WPA (Wi-Fi Protected Access)。
(4) WPA2。
WEP
(1997)
802.1x EAP
(2001)
WPA
(2003)
802.11i/WPA2
(2004 to present)
 加密簡單。
動態金鑰管理。
動態金鑰管理。
動態金鑰管理。
 認證缺乏健全。
加強加密演算法的安全性。
加強加密演算法的安全性。
使用AES做為加密核心。
 使用靜態方式設定金鑰,容
提供簡易的使用者認證機制。
提供健全的認證機制。
提供健全的認證機制。
易被破解。
 擴充不易。
多種認證協定可供選擇。
不需強迫安裝AAA伺服器。
需要安裝AAA伺服器。
需要安裝AAA伺服器。
在本節,我們將探討這些標準的優缺點。
國立雲林科技大學 自由軟體研發中心
12
第九章 無線網路安全管控
9.2.1 WEP加解密流程

CRC-32
Algorithm
ShareKey
(40 or104 bits)
Plaintext
IV
Generator
IV (24bits)
ICV
||

||
Seed
Key
Stream
WEP 是 一 個 對 稱 式 加 解 密 系 統 (Symmetric
Cryptography System),亦即加密與解密是使用
同樣一把密鑰,密鑰長度為40-bits或是104-bits。
WEP使用RC4 PRNG(虛擬亂數產生器)的演算法
來產生加解密的串流金鑰(Key Stream),並使用
XOR進行加解密運算。
WEP加密流程
1.
RC4
Algorithm
2.
||
3.
Ciphertext || IV
Air
4.
Ciphertext || IV
5.
Key
Stream
IV
RC4
Algorithm
Seed
Plaintext || ICV

WEP解密流程
1.
||
2.
ShareKey
(40 or104 bits)
ICV = ICV’?
Plaintext
3.
ICV’
CRC-32
Algorithm
傳送端將封包的內容進行CRC-32演算法產生資料
完整性檢查碼,並附於該封包中。
傳 送 端 使 用 IV Generator 產 生 一 組 24-bits IV
(Initialization vector)。
傳送端將IV以及密鑰進行RC4演算法運算取得跟
封包同樣長度的串流金鑰。
將步驟1的封包與步驟3的串流金鑰進行XOR運
算(即加密)得到密文資料,將密文及24-bits長度
的IV附於封包中。
傳送端將封包透過空氣傳播給接收端。
4.
接收端取得封包中的IV值。
接收端將取得的IV與密鑰進行RC4演算法的運算
以取得對該封包內的密文進行解密所需的串流金
鑰。
接收端將該封包內的密文與步驟2獲得的串流金
鑰進行XOR運算(即解密),便可得原始的明文資
料。
接收端利用CRC-32演算法進行資料完整性的確認。
Plaintext
國立雲林科技大學 自由軟體研發中心
13
第九章 無線網路安全管控
K
K
虛擬亂數產生器
虛擬亂數產生器

在 1987年 , RSA Security的 Ron Rivest設 計 了
RC4 ,為一串流加密(Stream Cipher)演算法,常
常在一些網路安全通訊(如Secure Socket Layer),
見到它的踨影,WEP也將RC4納入作為加解密
的核心。

RC4結合了一虛擬亂數產生器(Pseudo random
number generator)與一XOR運算。其結構如左圖
所示。主金鑰(K)可以是0至255bytes的任意長度,
經由虛擬亂數產生器輸出的串流資料,在此被
稱為加解密所需要的次金鑰(key),即上頁的串
流金鑰(Key Stream)。次金鑰與明文(Plaintext)
執行XOR運算可得密文;反之亦然。

下頁將說明RC4演算法如何產生串流金鑰(Key
Stream)的執行過程。
key
key
Plaintext
9.2.1.1 RC4 Algorithm
Ciphertext
Plaintext
串流加密(Stream Cipher)示意圖
國立雲林科技大學 自由軟體研發中心
14
第九章 無線網路安全管控
/* 金鑰排程(右邊的Initialization & Permutation of S)*/
S[0]
S[1]
S[100]
S[101]
S[102]
S[103]
S[255]
0
1
100
101
102
103
255
K[0]
K[1]
K[7]
86
67
34
S[0]
S[1]
S[100]
S[101]
S[102]
S[103]
S[255]
0
1
100
101
102
103
255
S[0]
S[1]
S[100]
S[101]
S[102]
S[103]
S[255]
44
87
3
29
105
233
244
/* 虛擬亂數產生(Stream generation) */
S[0]
S[1]
S[100]
S[101]
S[102]
S[103]
S[255]
44
87
3
29
105
233
244
Key
9.2.1.1 RC4 Algorithm
Vector S[256]:
0~255的純量陣列
Variable keylen:
輸入金鑰長度(0<=keylen<=255)
Vector K[keylen]: 金鑰陣列
Variable key:
串流輸出金鑰(byte)
Variable i, j:
索引指標
/* Initialization */
1. for i=0 to 255 do
2. S[i] = i
/* Permutation of S */
1. j=0;
2. for i=0 to 255 do
3.
j= (j + S[i] + K[ i mod keylen]) mod 256;
4.
swap(S[i], S[j]);
/* Stream generation */
1. i, j=0;
2. while (true)
3. i= ( i + 1) mod 256;
4. j= ( j + S[i] ) mod 256;
5. swap( S[i], S[j] );
6. key= S[ S[i] + S[j] mod 256];
國立雲林科技大學 自由軟體研發中心
15
第九章 無線網路安全管控
9.2.1.2 WEP的缺點
1.
2.
3.
4.
以Airsnort破解WEP Key的範例,其存取點CNL_AP的WEP key為12345。
5.
初始向量(IV)太小: IV在WEP整個加解密運作
中,使用24bits的長度,IV值總數量共有2的24
次方。若IV值重覆使用,攻擊者很容易從收蒐
的封包集(<1500bytes*2^24)破解使用者的金鑰。
而在一些廠商的實作,IV值的產生採用計數累
計的方式,而不是標準制定的隨機方式產生IV
值,若硬體重置後,攻擊者就很容易因IV值相
同而破解金鑰了。
金鑰長度:若WEP可採用長度為40bits的金鑰,
這在安全專家的眼裡是極度不安全的,甚至使
用另一種104bits的金鑰,也不足以保護無線網
路安全。
金鑰管理:任何用WEP的成員離開公司,基於
安全上的考量,需重新發送金鑰至各個成員。
這樣一來,管理成本就增加了。
資料完整性脆弱:WEP資料完整性執行CRC-32
計算檢查碼,然後再以 WEP 加密其值。由於
CRC-32是線性函數,不像MD5、SHA1等單向
函數。即使經過加密,依然相當容易變更加密
裝載中的位元,然後適當地竄改加密的CRC-32
結果,以防止接收端偵測到封包內容已經變更。
無法抵制重送攻擊:攻擊者傳送先前擷取的一
系列封包,試圖存取或修改資料。
國立雲林科技大學 自由軟體研發中心
16
第九章 無線網路安全管控
9.2.2 WEP+802.1X

Supplicant

Authenticator
Authentication
Server
802.11 Associate-Request
802.11 Associate-Response
EAPOL-Start
EAP-Request/Identity
Radius-Access-Request
EAP-Response/Identity
EAP-Request/TLS Start
EAP-Response/TLS Client_Hello
EAP-Request/TLS Server_Hello,S_Cert.,
S_Key_Exchange,Cert_Req.S_Hello_Done
Radius-TLS-Start
Radius-Response/TLS Client_Hello
Radius-Request/TLS Server_Hello,S_Cert.,
S_Key_Exchange,Cert_Req.S_Hello_Done
EAP-Response/TLS C_Key_Exchange,C_Cert, Radius-Response/TLS C_Key_Exchange,C_Cert,
Cert_Verify,Change_Cihper_Spec.,Finished
Cert_Verify,Change_Cihper_Spec.,Finished
EAP-Request/TLS
Change_Cihper_Spec, Finished
EAP-Response/TLS
Radius-Request/TLS
Change_Cihper_Spec, Finished
Radius-Response/TLS
EAP-Success
Radius-Access Accept (Session Key)
EAPOL-Key (Session Key)
EAPOL-Key (Broadcast Key)
Distribute multicast/broadcast ("default") keys,
or unicast ("key mapping") keys.

當企業採用WEP做為無線網路加密時,由於相
同的WEP Key所產生的密文都是不變的,日子
一久,遭到破解金鑰的機率就變大。就因為如
此,無線網路管理者需要每隔一段時間就通知
使用者的更改WEP Key,以降低風險。
為考量無線網路管理者的管理成本,因此IETF
制訂了802.1X與RADIUS Server之間的認證標準,
也進一步的提供無線網路使用者動態更換WEP
Key的能力,可以讓無線網路存取點可為每個
使用者設定不同的WEP Key。雖說這樣動態更
改WEP Key的機制,改善了以往需要手動設定
的麻煩,並且在短時間內動態更改多組 WEP
Key的方式,來增加破解WEP Key困難度。但
如果設定動態更新WEP Key的時間週期過長,
也不足以確保無線網路的安全性。
由於WEP與802.1X的組合可讓無線網路存取點
與無線網路使用者之間的WEP key動態地更換,
但更換的過程中缺乏交握協議,所有更換WEP
Key的動作都是由無線網路存取點單方面的通
知無線網路使用者,因此如果設定更新 WEP
Key的週期很短,在很多使用者加入使用無線
網路並且頻繁更新WEP Key的情形下,也很容
易發生使用者端無法正確接收金鑰更新訊息導
致WEP Key更新錯誤因而連線中斷的問題。
國立雲林科技大學 自由軟體研發中心
17
第九章 無線網路安全管控
9.2.3 WPA安全特性之介紹


圖片來源:WikiPedia
IEEE 802.11i(WPA2)針對無線網路原本WEP的
弱點加以補強,但由於IEEE 802.11i的標準尚未
制訂完成之前,在WIFI的推動下,定訂了WIFI
Protected Access (WPA)標準,以IEEE 802.11i
Draft為藍圖,是在IEEE 802.11i完備之前替代
WEP的過渡方案。
WPA與WPA2的特色與差異,以下就安全性的
三大要素加以分析說明:
認證


WPA
Enterprise mode
(need AAA)
Personal mode
WPA2
802.1X/EAP
802.1X/EAP
TKIP
AES
MIC
CCM
Presharekey
PreshareKey
TKIP
AES
MIC
CCM
提供企業模式,在這個模式下,需架設一認證伺
服器(RADIUS),以對企業內容多個使用者進行身
份驗證。
提供個人模式,因使用無線網路的人數不多,所
以不需要架設昂貴的認證伺服器,只需要在使用
者 端 與 Access Point 雙 方 設 定 一 組 預 先 金 鑰
(Presharekey)即可。
資料私密性


WPA採用TKIP (Temporal Key Integrity Protocol)相
較 於 原 本 的 WEP 加 密 使 用 24-bit 的 IV 值 , 多 了
24bits,共使用48-bit IV值。如此大幅減低IV值重
複的問題。
WPA2採用AES為加密核心。而AES的實作需硬體
化,加解密效能才能提升,故一些老舊的無線網
路卡因無內建AES,所以無法執行WPA2。
訊息完整性保護


WPA採用MIC (Message Integrity Code/Michael)讓
加密封包內容相同,也會產生不同的訊息摘要。
WPA2採用CCM (Counter with CBC-MAC, IETF
RFC 3610)。
國立雲林科技大學 自由軟體研發中心
18
第九章 無線網路安全管控
9.2.3.1 TKIP 加解密流程
TKIP Sequence Counter (48bit)
Transmitter Address (48 Bits)
Temporal Key (128 Bits)
32Bits
DA||SA||Payload
First
80Bits
MIC Key(64bits)
Phase 1
Key
Mixing
TTAK := Phase1(TSC, TA, TK)
Last
24Bits
16Bits
1.
Michael
MIC
80Bits
WEP Seed := Phase2(TTAK, TSC, TK)

Payload
Phase 2
Key
Mixing
2.
CRC
ICV
||
128Bits
WEP Key
48Bits
Keystream
Payload|| MIC || ICV
3.
RC4
IV
Ciphertext
TKIP Sequence Counter (48bit)
Transmitter Address (48 Bits)
Temporal Key (128 Bits)
32Bits
WPA相較於原本WEP加密機制,多了以下的能
力:
採用長度48bits為IV值。
在TKIP的加密機制下,會透過兩個階段產生與
WEP相同長度的128bits加密金鑰串流,不同的
是WEP是直接將WEP Key與IV值輸入至RC4內。
對於每個封包採用不同的加密金鑰。
使 用 TKIP Sequence Counter 、 Transmitter
Address與Temporal透過Phase1、Phase2的金鑰
混亂器可產生對每個封包採用不同的加密金鑰。
加入Michael,使用訊息完整性機制更為強大。
將封包中的資訊輸入至Michael演算生產生一
MIC,把這個MIC值加到封包的後面,來確認
彼此封包的訊息完整性。其加入MIC值的目的,
主要是讓CRC-32產生的ICV不容易被破解。
First
80Bits
TTAK := Phase1(TSC, TA, TK)
Phase 1
Key
Mixing
RC4
Last
24Bits
80Bits
Ciphertext
128Bits
WEP Key
Payload|| MIC || ICV
WEP Seed := Phase2(TTAK, TSC, TK)
16Bits
Phase 2
Key
Mixing
DA||SA||Payload
MIC Key
(64 bits)
Michael
MIC’= MIC?
Payload
CRC
ICV’= ICV?
國立雲林科技大學 自由軟體研發中心
19
第九章 無線網路安全管控
9.2.4 WPA2: CCMP安全特性之介紹

M0
M1
Counter Mode
1. 接收端需要知道Counter值。
2. 解密為MX=(CX)
⊕DK(Counter+X)。
K
3. 可以平行的運算。
4. 不能提供訊息認證的機制。
………………………
Counter
Counter+1
Counter Mode with Cipher Block Chaining MAC
Protocol (CCMP)是802.1i中的加密協定。它採用
採用128位元長度的CCM加密模式,核心採用
AES。



AES
K
XOR
AES
XOR



C0
Block1
IV
XOR
XOR
……………………
Enryption
……………………
C1

………………………
Block2
……………………
Encryption
C1
RFC 3610
單一加密金鑰讓架構最小化、效能最大化。
封包標頭與封包內容的完整性保護。
Computation of some cryptographic parameters prior
to the receipt of packets to enable fast comparisons
when they arrive, which reduces latency
可硬體化或是軟體實現簡單。
Small security-related packet overhead
沒有專利(美國加密出口)的問題。
CBC Mode
1.
BlockX=DK(CX) ⊕CX-1,
C0=IV
2.
不可以平行的運算。
3.
只要改變密文其中的1位
元將可影響接來的密文。
(可提供訊息認證的機制)
C2
國立雲林科技大學 自由軟體研發中心
20
第九章 無線網路安全管控
9.2.4.1 CCMP加解密流程
Plaintext MPDU
MAC header
KeyID
PN
(48 bits) (48 bits)
Data
A2
TK
Priority (128bits)

加密流程
1.
Increment PN
2.
3.
Construct
CCMP Header
Construct
Nonce
4.
Construct
AAD
AAD
nonce
5.
CCM Encryption
AES
6.
Key=16 octer, MIC= 8 octer, Length=2 octer
MAC header
CCM header
Encrypted Data

MIC
解密流程
1.
Ciphertext MPDU
2.
Ciphertext MPDU
MAC header
CCM header
Encrypted Data
MIC
PN
(48 bits)
TK
(128bits)
3.
A2, Priority
PN(48bits)
4.
Construct
Nonce
5.
Construct
AAD
AAD
PN Check
遞增封包數量(PN, Packet Number)。
將PN和其它位址欄的部份製造一nonce值。
將Temporal Key(TK)的識別值或是KeyID,與PN
結合形成CCM標頭。
利 用 訊 框 建 構 出 Additional Authentication
Data(AAD),長度是22bytes或是28bytes的參數,
包含幾個位址、QoS控制欄位。
將AAD、nonce、明文資料輸入至CCM,並利用
Temporal Key(TK)執行加密。
連結訊框標頭、CCM標頭、密文傳遞給解密端。
剖析加密的訊框,重建AAD與nonce。
將 PN 加 上 A2(Transmit address) 和 Priority欄 做 出
nonce。
CCM利用Temporal Key(TK)、AAD、nonce、MIC
與密文,還原出明文並驗證MIC是否正確無被竄
改。
將明文與訊框標頭結合成原來的明文訊框。
解密端自身維護一PN值。若收的PN值沒超過自
身維護的PN值時,將把該訊框丟棄,以避免重送
攻擊。
nonce
CCM Encryption
MPDU
OK
AES
Key=16 octer, MIC= 8 octer, Length=2 octer
MAC header
Data
Plaintext MPDU
國立雲林科技大學 自由軟體研發中心
21
第九章 無線網路安全管控
9.2.4.2 金鑰管理階層

Supplicant
Authenticator
802.11 Probe-Request
Authentication
Server
802.11 Probe-Response
WPA在金鑰管理方面做了很大的改進。
包含


Pairwise Keys 階層
Group Keys 階層
802.11 Open System authentication-Request
802.11 Open System authentication-Respone
802.11 Associate-Request
802.11 Associate-Response
802.1X Autntication PASS
Master Key(MK)
Pairwise Master Key(PMK)
Master Key(MK)
Pairwise Master Key(PMK)
Pairwise Master Key(PMK)
4-Way Handshaking
PTK
PTK
2-Way Handshaking
GTK
GTK
國立雲林科技大學 自由軟體研發中心
22
第九章 無線網路安全管控
Supplicant
Policy
Decision
Point
1. 藉由認証成功推
得MK
Authentication
Server
9.2.4.2.1 Pairwise Key 階層


Policy
Decision
Point
2. 使用MK推導出PMK,
並將它從AS分配給
Authenticator
Policy Decision Point



Policy Enforcement Point

Policy
Enforcement
Point
3. 使用PMK推導
PTK,並利用
它執行安全政策
Policy
Enforcement
Point
Authenticator



PreShareKey

TLS-PRF(MK, “Client EAP encryption”||
STAHello.random || ASHello.random)

Pairwise Master Key(PMK)
PRF-X(PMK, “Pairwise Key expansion”||
Min(AP MAC Addr., STA MAC Addr.) ||
Max(AP MAC Addr., STA MAC Addr.) ||
Min(Anonce, Snonce) ||
Max(Anonce, Snonce)
Pairwise Transient Key(PTK)

它是Supplicant與AS的藉由認證成功後,共推得
的一把對稱式會議金鑰(Session key)。
PMK (Pairwise Master Key)

Personal
Mode Master Key (MK)
執行安全存取策略的角色。
Access Point (AP)得到Policy Decision Point給予的
「同意存取無線網路資源的策略」後,就與
Supplicant開始展開保護無線網路的安全。
MK (Master Key)

TLS-PRF(PreMasterKey, “master secret”||
STAHello.random ||ASHello.random)
決定安全存取策略的角色。
Supplicant與Authentication Server (AS)彼此認證成
功後,將「同意存取無線網路資源的策略」給
Policy Enforcement Point執行。
「同意存取無線網路資源的策略」只限一次使用。
它是Supplicant與AS雙方利用MK,推得的一把新
的對稱式會議金鑰,並將它從AS分配給AP。
它 並 不 同 於 MK , 否 則 AP 可 以 取 代 AS 授 權
Supplicant無線網路存取控制;但若選擇個人模式
時,則PMK=PreShareKey。
它代表著授權Supplicant與AP之間的802.11通道存
取,但只可用於這次Session。
PTK ( Pairwise Transient Key)

它是Supplicant與AP利用PMK推導出的一把祕密
通訊金鑰,其中包括KCK、KEK、TK。
國立雲林科技大學 自由軟體研發中心
23
第九章 無線網路安全管控
9.2.4.2.1 PTK的4-Way協議

Supplicant
Authenticator
802.11 Probe-Request
802.11 Probe-Response
1.
802.11 Open System authentication-Request
802.11 Open System authentication-Respone
2.
802.11 Associate-Request
802.11 Associate-Response
802.1X Autntication PASS
PMK
PMK
Pick Random ANonce
EAPOL-Key (Unicast, Anonce)
3.
PMK
4.
Check Replay Counter,
Pick Random SNonce,
Derive PTK= PRF-X(PMK, “Pairwise Key expansion”, ||
Min(AP MAC Addr., STA MAC Addr.) || Max(AP MAC Addr., STA
MAC Addr.) || Min(Anonce, Snonce)|| Max(Anonce, Snonce)
5.
EAPOL-Key (Unicast, Snonce, MIC, RSN IE)
Check Replay Counter,
Derive PTK,
Verify MIC
EAPOL-Key (Reply Required, Install PTK,
Unicast, Anonce, MIC, RSN IE)
Check Replay Counter,
Compare RSN IE,
Verify MIC
Install TK
Install TK
EAPOL-Key (Unicast, MIC)
Check Replay Counter,
Verify MIC
6.
7.
當Supplicant與AS認證成功後,共推得到一把
PMK,並將它導遞給Authenticator。而Pairwise
Transient Key的推導需要經過4-Way交握協議,
以確保更新暫時性的加密金鑰(TK)。以下解釋
這4-Way交握協議的過程:
Authenticator選擇一隨機值Anonce,並將它傳
遞給Supplicant。
Supplicant 檢 查 訊 息 的 Replay Counter( 類 似
Sequence number)欄位判別該EAPoL-Key訊框是
否重覆傳送,並選擇一隨機值Snonce和PMK、
Anonce、AP與自身的MAC位址推導 PTK 。
Supplicant傳遞Snonce、MIC(步驟2的訊息驗證
碼 ) 、 RSN IE( Robust Security Network
Information Element)給Authenticator。
Authenticator檢查步驟3訊息的Replay Counter
欄位判別該EAPoL-Key訊框是否重覆傳送。若
否,則利用這些資訊推導PTK。
Authenticator: 推導出 PTK後,利用PTK中的
KCK(下節說明)完整性金鑰驗證MIC,若訊息
正確無誤,則傳遞Replay Required、MIC、RSN
IE( Robust Security Network Information Element)
給Supplicant 。
Supplicant檢查步驟5訊息的Replay Counter欄位
判別該EAPoL-Key訊框是否重覆傳送。比較自
身 與 Authenticator的 RSN IE是 否 相同 並 驗 證
MIC。
Supplicant 檢 查 步 驟 6 全 都 正 確 , 並 通 知
Authenticator TK( Temporal Key)已經更新。
國立雲林科技大學 自由軟體研發中心
24
第九章 無線網路安全管控
9.2.4.2.1 分析PTK的4-Way協議

完成這個4-Way交握協議需有一點假設:

Supplicant

Authenticator
PMK
PMK
Pick Random ANonce
EAPOL-Key (Unicast, Anonce)
PMK
EAPOL-Key (Unicast, Snonce, MIC, RSN IE)
4-Way 協 議 中 的 第 二 個 訊 息 主 要 目 的 是
Supplicant告訴Authenticator:


Check Replay Counter,
Pick Random SNonce,
Derive PTK= PRF-X(PMK, “Pairwise Key expansion”, ||
Min(AP MAC Addr., STA MAC Addr.) || Max(AP MAC Addr., STA
MAC Addr.) || Min(Anonce, Snonce)|| Max(Anonce, Snonce)

PMK只能讓Supplicant與Authenticator知道。但在
802.1X的架構下,使得AS將會得知PMK,所以只
能假設Authentication Server是信任的。
沒有中間人攻擊。
Supplicant以推導PTK完成。
4-Way 協 議 中 的 第 三 個 訊 息 主 要 目 的 是
Authenticator告訴Supplicant:


沒有中間人攻擊。
Authenticator以推導PTK完成。
Check Replay Counter,
Derive PTK,
Verify MIC
EAPOL-Key (Reply Required, Install PTK,
Unicast, Anonce, MIC, RSN IE)
Check Replay Counter,
Compare RSN IE,
Verify MIC
Install TK
Install TK
EAPOL-Key (Unicast, MIC)
Check Replay Counter,
Verify MIC
國立雲林科技大學 自由軟體研發中心
25
第九章 無線網路安全管控
9.2.4.2.1 PTK ( Pairwise Transient Key)結構


Pairwise Transient Key (PTK)
TKIP

KCK
KEK
TKIP TK
TKIP
MIC Key
128 bits
128 bits
128 bits
128 bits
KCK
KEK
CCMP TK
128 bits
128 bits
KCK (Key Confirmation Key) – 128Bits
 它使用於IEEE 802.1X的4-Way交握與群組
金鑰交握中,目的為保護資料的完整性。
KEK (Key Encryption Key) – 128Bits
 它使用於EAPOL-Key(用於動態更新金鑰)
封包中 ,提供4-Way交握與群組金鑰交握
的私密性。
TK (Temporal Key) – 128Bits or 256Bits
 它主要保護Supplicant與AP之間的資料流。
它共有兩種長度可選擇:
 256Bits for TKIP (PTK bits 256~511)

CCMP

128 bits
在802.11i,PTK可以在兩種加密系統使用。

128 bits的TKIP TK用於Phase1與Phase2的
金鑰混合。
128 bits的TKIP MIC Key用於Michael演算
法的金鑰。
 Supplicant 與 Authenticator 各 半 (64
bits)使用。
128Bits for CCMP (PTK bits 256~383)

國立雲林科技大學 自由軟體研發中心
128 bits用於CCM。
26
第九章 無線網路安全管控
9.2.4.2.2 Group-Key協議

Supplicant
Authenticator
Authentication
Server
802.11 Probe-Request
802.11 Probe-Response
1.
802.11 Open System authentication-Request
802.11 Open System authentication-Respone
802.11 Associate-Request
2.
802.11 Associate-Response
802.1X Autntication PASS
3.
4.
4-Way Handshaking
當Supplicant與AS完成4-Way交握協議後,共推
得到一把PTK,而Group Key的推導只需要經過
2-Way 交 握 協 議 。 Group Key 包 含 Multicast 與
Broadcast通訊時需使用的金鑰。以下解釋這2Way交握協議的過程:
Authenticator選擇隨機值Gnonce 、 GTK,並將
GTK 使 用 PTK 中 的 KEK 加 密 後 , 傳 遞 {MIC 、
Gnonce 、 Key RSC( 最 後 訊 框 的 Sequence
Number)、被加密(GTK、Key ID)}給Supplicant。
Supplicant檢查訊息的Key RSC判別該EAPoLKey訊框是否重覆傳送,並驗證MIC是否合法,
接著,將GTK解開。
Supplicant傳遞MIC給Authenticator。
Authenticator 檢 查 Key Replay Counter 與 驗 證
MIC。
PTK := KCK | KEK | TK
PTK
PTK
Pick Random GNonce, GMK
GTK=PRF-X(GMK, “Group Key expansion”
|| AP MAC Addr. || Gnonce )
Encrypt GTK with KEK
EAPOL-Key (Group, Key RSC, GNonce, MIC, GTK[Key Id])
Check Replay Counter,
Verify MIC
Decrypt GTK
EAPOL-Key (Group, MIC)
Check Replay Counter,
Verify MIC
國立雲林科技大學 自由軟體研發中心
27
第九章 無線網路安全管控
9.2.4.2.2 GTK Key 結構

GTK (Group Transient Key) – 128Bits or 256Bits
 它主要保護Supplicant與AP之間Multicast與
Broadcast的資料流。它共有兩種長度可選
擇:
 256Bits for TKIP

Group Master Key (GMK)

PRF-X(GMK, “Group Key expansion”
|| AP MAC Addr|| Gnonce )
Group Transient Key (GTK)

TKIP
CCMP
TKIP TK
TKIP
MIC Key
128 bits
128 bits
128 bits的TKIP TK用於Phase1與Phase2的
金鑰混合。
128 bits的TKIP MIC Key用於Michael演算
法的金鑰。
 Supplicant 與 Authentication 各 半 (64
bits)使用。
128Bits for CCMP

128 bits用於CCM。
CCMP TK
128 bits
國立雲林科技大學 自由軟體研發中心
28
第九章 無線網路安全管控
Supplicant
Supplicant
PAE
Authenticator
Service Offered
By Authenticator
Controlled Port
Authentication
PAE

802.1x認證交換程序定義了三個元件。(1)申請
者(Supplicant)是尋求存取網路資源的使用者機
器。(2)認證者(Authenticator)掌控網路資源的存
取,它就像傳統的撥接網路中存取伺服器一樣
的角色。申請者與認證者被稱為連接埠認證實
體(Port Authentication Entities, PAE)。(3)認證伺
服器進行實際的認證處理。

若支援802.1x的網路設備上,各個實體連接埠
若處於未授權的狀態下,所有的資料將不會被
傳至目的端;直到申請者認證成功後,被授權
的連接埠將傳送資料到目的端。

本節將介紹:
Authentication
Server
Authentication
Server
Uncontrolled Port
MAC Enable
LAN
9.3 802.1x Port-based網路存取控制



無線網路的驗證與結合
IEEE 802.1x
Extensible Authentication Protocol (EAP)





國立雲林科技大學 自由軟體研發中心
EAP-MD5
EAP-TLS
EAP-TTLS
PEAP
LEAP
29
第九章 無線網路安全管控
9.3.1 無線網路的驗證與結合

無線區域網路的連接可分為兩個步驟 ,一是
「驗證」,二是「結合」。若Supplicant與AP完
成了連線,也代表著它們完成了驗證與結合的
二階段程序。

什麼是驗證?
State 1:
802.11 Unauthenticated, Unassociated
Successful
Authentication
Deauthentication
Notification

State 2:
802.11 Authenticated, Unassociated
Successful
Authentication
Or
Reassociation
Deauthentication
Notification
Disassociation
Notification
State 3:
802.11 Authenticated, Associated
Successful
802.1X
Authentication

驗證是與無線區域無線連接的第一個動作。其流
程為Supplicant送出一個驗證請求給AP,回覆驗
證請求的主角可以是AP或是AP將驗證請求傳送
到上游的驗證主機(RADIUS)。
什麼是結合?

當Supplicant驗證成功後, Supplicant則開始與AP
做結合。若結合成功,則Supplicant可以與AP進
行傳送及接收資料。

當Supplicant與AP結合成功後,若採取802.1x存
取控制的策略時,則開始進行與Authentication
Server的認證。

左圖可以說明以上的狀態。
EAPoL-Logoff
State 4:
802.11 Authenticated, Associated
802.1X Authenticated
802.11 / 802.1X State Machine
資料來源:IEEE 802.11i
國立雲林科技大學 自由軟體研發中心
30
第九章 無線網路安全管控
9.3.2 IEEE 802.1x


為什麼無線網路使用到802.1X呢? 其主要有四
個優點:
成熟性與互通性
802.1X與RADIUS均屬業界公開的標準,發展
自然成熟,故互通性很高。

以使用者為基礎的身份認證
802.1X/EAP是針對使用者作認證,甚至可以驗
證其它的網路設備及其它的RADIUS伺服器,
只要透過RADIUS集中式的管理 。

動態金鑰管理
802.1X/EAP支援Per-User(每個使用者連線時使
用不同的金鑰)、 Per-Session(每隔一段時間需
更新金鑰)的功能。

彈性的驗證方法
802.1X/EAP支援許多的認證方式,若更換這些
認證方式是不需要更換網路卡或存取點的設備。
圖片來源: Wikipedia
國立雲林科技大學 自由軟體研發中心
31
第九章 無線網路安全管控
EAP-MD5
PEAP
LEAP
.
.
EAP-TTLS
EAP-TLS
9.3.3 Extensible Authentication Protocol
(EAP)

約於1998年,802.1X的觀念起因於大學與政府
機構表達想要控制網路的存取,因此,802.1X
的研究就此展開。IEEE於1999年1月通過成立
802.1x工作小組,並於2001年6月成為標準。

EAP(Extended Authentication Protocol) 起 源 於
PPP(Point-to-Point Protocol),PPP在早期時代是
使用於電話上網的使用者認證,搭配著後方的
RADIIUS,儲存Username與Password以供認證。
在RFC2284中有定義EAP,其中並定義了認證
方式須具備的特性。

若一網路設備有支援802.1x,即代表它需支援
兩種的網路協定:一是EAP、二是RADIUS。

EAP支援的認證協定眾多,無法在本節一一介
紹,我們只提到幾個常用的認證協定,並討論
它們的優缺點:
EAP-MD5
PEAP
LEAP
.
.
EAP-TTLS
EAP-TLS
EAP
RADIUS
RADIUS
UDP
UDP
EAPOL
EAPOL
IP
IP
MAC
MAC
MAC
MAC



PHY
PHY
PHY
PHY


EAP-MD5
EAP-TLS
EAP-TTLS
EAP-PEAP
EAP-LEAP
國立雲林科技大學 自由軟體研發中心
32
第九章 無線網路安全管控
9.3.3.1 EAP-MD5


MD5(RFC-2284)為第一種的驗證法,也是最簡
單的驗證法。
EAP-MD5(訊息摘要)提供了認證伺服端對用戶
端的單向認證。


Supplicant
Authenticator
Authentication
Server
Port Unauthorized

EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity
EAP-Request/MD5-Challenge
EAP-Response
(challenged password)
EAP-Success/Failure

缺點

Radius-Access-Request
Radius-Access-MD5-Challenge

Radius-Access-Request
(ID & Challenged password)
Radius-Access-Accept
Or
Radius-Access-Reject
首先,認證伺服端傳送一隨機的挑戰字串給使用
者。
接著,使用者將自身的保管的密碼使用MD5演算
法對該挑戰字串執行雜湊運算,並回應運算結果
至認證伺服端。
最後,伺服端收到使用者的運算結果與ID之後,
使用MD5運算,用以判斷使用者是否合法。

只 提 供 單 向 驗 證 , 即 Authenticator 可 驗 證
Supplicant,但Supplicant並無法驗證Authenticator。
若有一攻擊者在認證雙方之間,看到了所有挑戰
與回應挑戰認息,攻擊者可使用字典攻擊法破解
使用者密碼。
此認證協定不適用於無線區域網路環境,因為它
無法推導出動態金鑰。
Port Authorized
EAP-Logoff

資料來源:RFC 1994、RFC 2284
Port Unauthorized
國立雲林科技大學 自由軟體研發中心
33
第九章 無線網路安全管控
Supplicant
Authenticator
9.3.3.2 EAP-TLS

EAP-TLS(傳輸層安全性)擁有EAP眾多認證協定
中,提供很好安全保證,但佈署也卻因難。它
使用了TLS協定來提供客戶端與認證伺服端的
相互認證。認證伺服端與客戶端皆擁有一張屬
於自己的數位憑證,用此憑證來証明自己的身
份,並以憑證上的公開金鑰對所有的認證訊息
進行加密。

EAP-TLS最後可推導出資料加密(AES、TKIP、
WEP)時所需要的金鑰。

EAP-TLS已在MAC OS 10.3(包括10.3以上),
Windows 2000 SP4, Windows XP, Windows
Mobile 2003(包括2003以上), 和Windows CE
4.2中被支援。

EAP-TLS雖然安全,但卻需要在無線工作站上
安裝用戶端憑證。PKI基礎架構的維護,除了維
護無線區域網路以外,還必需付出額外的管理
成本。
Authentication
Server
Port Unauthorized
EAPOL-Start
EAP-Request/Identity
Radius-Access-Request
EAP-Response/Identity
EAP-Request/TLS Start
EAP-Response/TLS Client_Hello
EAP-Request/TLS Server_Hello,S_Cert.,
S_Key_Exchange,Cert_Req.S_Hello_Done
Radius-TLS-Start
Radius-Response/TLS Client_Hello
Radius-Request/TLS Server_Hello,S_Cert.,
S_Key_Exchange,Cert_Req.S_Hello_Done
EAP-Response/TLS C_Key_Exchange,C_Cert, Radius-Response/TLS C_Key_Exchange,C_Cert,
Cert_Verify,Change_Cihper_Spec.,Finished
Cert_Verify,Change_Cihper_Spec.,Finished
EAP-Request/TLS
Change_Cihper_Spec, Finished
EAP-Response/TLS
Radius-Request/TLS
Change_Cihper_Spec, Finished
Radius-Response/TLS
EAP-Success
EAPOL-Key (Session Key)
EAPOL-Key (Broadcast Key)
Radius-Access Accept (Session Key)
Port Authorized
EAP-Logoff
Port Unauthorized
國立雲林科技大學 自由軟體研發中心
34
第九章 無線網路安全管控
Supplicant
Authenticator
9.3.3.3 EAP-TTLS

EAP-TTLS( 隧 道 式 傳 輸 層 安 全 性 ) 是 由 Funk
Software與Certicom開發的類型,作為EAP-TLS
的一項延伸,它改善了EAP-TLS需在客戶端安
裝憑證麻煩,只需要在認證伺服端安裝憑證,
並透過一個加密通道來保障認證時的安全。而
在這通道內可使用各種的認證協定,像是PAP,
CHAP, MSCHAP, MSCHAPV2等等方式。

EAP-TTLS可在一開始傳送ID至認證伺服端時,
使用匿名ID,避免使用者ID在網路上傳送,真
正的使用者ID則在隧道建立後才傳送。

當完成認證後,它可推導最後通訊加密金鑰,
以確保資料私密性。

draft-ietf-pppext-eap-ttls-05
Authentication
Server
Port Unauthorized
EAPOL-Start
EAP-Request/Identity
Radius-Access-Request
EAP-Response/Identity
EAP-Request/TTLS Start
EAP-Response/TTLS Client_Hello
Radius-TTLS-Start
Radius-Response/TTLS Client_Hello
EAP-Request/TTLS Server_Hello,S_Cert., Radius-Request/TTLS Server_Hello,S_Cert.,
S_Key_Exchange,S_Hello_Done
S_Key_Exchange, S_Hello_Done
EAP-Response/TLS C_Key_Exchange,
Change_Cihper_Spec.,Finished
EAP-Request/TTLS
Change_Cihper_Spec, Finished
EAP-Response/TTLS {User-name, CHAPChallenge, CHAP-Password}
EAP-Success
Radius-Response/TTLS
C_Key_Exchange, ,Change_Cihper_Spec. ,Finished
Radius-Request/TTLS
Change_Cihper_Spec, Finished
Radius-Response/TTLS
Radius-Access Accept (Session Key)
EAPOL-Key (Session Key)
EAPOL-Key (Broadcast Key)
Port Authorized
EAP-Logoff
Port Unauthorized
國立雲林科技大學 自由軟體研發中心
35
第九章 無線網路安全管控
9.3.3.4 PEAP

在EAP標準定案數月後,各界發現了許多的缺
點。



在認證時(Request/Response),使用者的資訊並沒
有被加密,存在著安全風險。
認證費時,當USER漫遊到鄰近的存取點,所需
要的EAP快速重建並不支援。
不支援的切割(Fragmentation) 與重組(Reassembly)。
為解決這些問題,各種以EAP-TLS為基礎的認
證協定開始出現,如PEAP。

PEAP (Protected EAP)是由Cisco與Microsoft開發
的,大致可分為兩個階段:第一階段是用伺服
端憑證建立TLS Tunnel,第二階段使用另一種
認證方式認證。與EAP-TTLS相同的是只需在伺
服端安裝憑證。

draft-josefsson-pppext-eap-tls-eap-03
國立雲林科技大學 自由軟體研發中心
36
第九章 無線網路安全管控
9.3.3.5 LEAP

Lightweight EAP(輕量型可伸認證通訊協定)是
主要用於Cisco Aironet WLAN的一種EAP驗證
類型。它使用動態產生的WEP金鑰將資料加密
與傳輸,並且支援雙向認證。LEAP以前屬於專
利 技 術 , 但 已 透 過 其 Cisco 相 容 擴 充 (Cisco
Compatible Extensions, CCX)方案授權給許多的
製造廠商,亦即具有CCX技術的無線網卡均能
與Cisco的無線網卡相同,能與Cisco AP以LEAP
互通。

缺點


802.1x
EAP類型
MD5
TLS
TTLS
PEAP
LEAP
Client_Cert.?
否
是
否
否
否
Server_Cert.?
否
是
是
是
否
雙向認證?
否
是
是
是
是
容易
困難
適中
適中
適中
差
極高
高
高
中上
部署難度
無線安全性
LEAP為Cisco私有技術。
容易使用字典攻擊破解金鑰。
國立雲林科技大學 自由軟體研發中心
37
第九章 無線網路安全管控

結論
企業在導入無線網路前應仔細評估傳輸資料的機密等級,並考慮如何在安全性與方便性之間
取得一平衡點。在本章我們提到了許多無線網路的弱點,並說明這些弱點的改善方法。一
般無線網路建設成功後,管理者應該要求合法使用者在使用無線網路之前 ,必須透過
802.1X的認證,認證成功後才允許使用無線網路。此外,為求保護資料在無線網路傳輸的
安全,IPSec也是可以納入無線網路安全管控的方案之一。
國立雲林科技大學 自由軟體研發中心
38
第九章 無線網路安全管控









參考資料
「無線網路安全白皮書」林秉忠, 陳彥銘
「IEEE 802.11i Overview v0.1」, Nancy Cam-Winget, Tim Moore, Dorothy Stanley, Jesse Walker
「 無線網路WPA安全機制剖析」,HungLin Chou
「802.11 完全剖析無線網路技術」,作者:鄭同伯
「802.11無線網路技術通論」,作者:Matthew S. Gast, 譯者:黃裕彰、蔣大偉
「802.11無線區域網路通訊協定及應用」,作者:唐政
「IEEE 802.11i Standard」,2004
「draft-josefsson-pppext-eap-tls-eap-03.txt」
「Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i」, Sheila Frankel, Bernard Eydt
Les Owens, Karen Scarfone
國立雲林科技大學 自由軟體研發中心
39