《计算机网络安全的理论与实践(第2版)》. 【美】王

Download Report

Transcript 《计算机网络安全的理论与实践(第2版)》. 【美】王 

第6章无线网安全性
Part II
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
第6章 内容概要






6.1 无线通信和802.11 无线局域网标准
6.2 有线等价隐私协议
6.3 Wi-Fi 访问保护协议
6.4 IEEE 802.11i/WPA2
6.5 蓝牙安全机制
6.6 无线网状网的安全性
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
WPA 2 概览

WPA:


为了解决WEP安全问题而仓促设计的安全协议
WPA2:

基于802.11i (官方版本)




加密并验证MSDUs: 使用AES-128加密算法及计数器模式
认证STAs: 802.1X
没有必要使用明文初始向量去产生子密钥序列
但大多数现有的 Wi-Fi WPA 卡不能在更新后支持 802.11i
标准
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
密钥生成

与WPA一样有分级密钥体系



256位的配对的主密钥 (PMK)
4把128位的临时配对密钥 (PTKs)
每个阶段为CCMP产生一个384位的临时密钥



根据SMAC, SNonce, AMAC, Anonce,由伪随机数发
生器产生出来
基于四次握手协议交换信息
密钥被分割为3个128位的临时密钥:


两个用于 STA和AP建立连接
另一个作为为会话密钥
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
CCMP 加密与MIC

加密:
Ctr = Ctr0
Ci = AES-128K (Ctr + 1)  Mi
i = 1, 2, …, k

身份认证与完整性检查:
Ci = 0128
Ci = AES-128K (Ci–1  Mi)
i = 1, 2, …, k
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
802.11i 安全强度和弱点


密码算法和安全机制均优越于 WPA 和 WEP
还是易于遭受DoS攻击:

反转攻击



RSN设备可以与没有RSN功能的设备进行通信
攻击者冒充合法身份宣传自己是一个WEP AP
让RSN APs 继续接受与WPA或WEP的通信?
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
802.11i 安全强度和弱点

RSN IE 投毒攻击



针对四次握手协议
攻击者可能会发起RSN IE投毒攻击,使得STA 和
AP的连接遭受中断连接攻击
脱网攻击

利用伪造的MAC子层管理网帧将STA和 AP之间已
建立的连接切断
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
第6章 内容概要






6.1 无线通信和802.11 无线局域网标准
6.2 有线等价隐私协议
6.3 Wi-Fi 访问保护协议
6.4 IEEE 802.11i/WPA2
6.5 蓝牙安全机制
6.6 无线网状网的安全性
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
概要




作为构造无线个人域网络标准,在 1998提出
小范围无线网通信技术,记为WPAN
IEEE 802.15 标准基于蓝牙技术
无线设备支持:



不同的通信设备在不同的操作平台上能够进行无线通信
能耗低,计算量小,适合小型应用
无线个人网络
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙: 个人网


自配置和自组织的动态无线网
允许新设备动态加入,网内设备动态离开







支持8台设备使用同一频道通信
Pico网内设备都是对等的
设备会动态选出一个设备作为主点
其余设备称为仆点
一个Pico网最多容纳255台设备
节点状态:停泊,活跃,待命
一个蓝牙设备在任何时刻只能加入一个pico网
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
散布网示意图: 重叠的 Pico网
Scatternet schematic
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
安全配对

在同一个pico网的节点分享相同的个人标识符PIN

节点产生并共享密钥,用于相互认证


蓝牙设备基于用户的PIN码产生128位初始密钥
蓝牙设备又产生一个128位链接密钥(也即组合密钥),用以认证设
备并产生加密算法密钥

使用一个称为 E0的加密算法为网包载荷加密

用一个 SAFER+分组加密算法 构造三个算法 E1, E21,和 E22去产
生子钥和认证设备
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
SAFER+分组加密算法




认证蓝牙设备
是之前 SAFER的增强版 (安全与快速加密程
序)
是分组大小为128位的一种 Fiestel密码体系
两个主要成分:


子密钥产生算法
加密解密算法


8轮相同运算(每轮运算两个子密钥)
一个输出转换(一个子密钥)
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
SAFER+ 子密钥


K = k0 k1 …k15, a 128位加密密钥.
k16 = k0  k1  …  k15
17 个128位的子密钥 K1, K2, …, K17:
K1  k0k2k3…k15
for j = 0,1,…,16 do
kj <- LS3 (kj)
K2  k1k2k3…k16 xor8 B2
for i = 3, 4, …, 17 do
for j = 0,1,…,16 do
kj  LS3 (kj)
Ki  ki-1 ki ki+1…k16 k0 k1…ki-3 xor8 Bi-3
Bi: 偏移向量
17i+j+i mode 257
45
Bi [j] = (45
)
mod 257) mod 256
j = 0,1,….,15,
Bi = Bi[0] Bi[1] … Bi[15]
i = 2,3,….17,
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
SAFER+ 子密钥产生序列图
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
SAFER+ 加密算法
加密算法轮运算

令 X = x1x2…x2k-1x2k, xi 为字节

Pseudo Hadamard Transform (PHT):
PHT(X) = PHT(x1,x2)||…||PHT(x2k-1, x2k)
PHT(x,y) = (2x+y) mod 28 || (x+y) mod 28

Armenian Shuffles (ArS):
ArS (X) = x8x11x12x15x2x1x6x5x10x9x14x13x0x7x4x3
X 是16字节字符串

替换算法使用两个S-匣子 e和 l:
e(x) = (45x mod (28 + 1)) mod 28
l is e-1: l(y) = x if e(x) = y

 和8 运算有两个子密钥

SAFER+加密的第 i轮运算 :
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年

输出转换:

经过8轮运算后,输出转换运算不用到S- 匣子,并
且就像用密钥K2i-1作用于Yi一样,用密钥K17经转换
运算将Y9并产生密文
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙算法 E1

E1 将以下参数作为输入:



K: 128-位密钥
: 128-位 随机字符串
: 48-位地址
产生128-位字符串:




Ar 是初始 SAFER+加密算法
是修改后的SAFER+加密算法,它将第一轮的输入和第三
轮的输入做运算,得到不可逆的算法
由密钥K,通过 和8 运算产生
E() =  ||  || [0:3]
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙算法 E21

E21 将  和 作为输入:
E21 (ρ, α) = A’r (ρ’, E(α))
ρ’= ρ[0:14]|| (ρ[15]  00000110)
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙算法E22
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙认证

初始密钥:
Kinit = E22 (PIN, In_RANDA, BD_ADDRB)

DA 和 DB 产生链接密钥:
DA sends (LK_RANDA  Kinit ) to DB
DB sends (LK_RANDB  Kinit ) to DA
KAB = E21(LK_RANDA , BD_ADDRA)  E21(LK_RANDB , BD_ADDRB)

DA 认证DB:
DA sends AU_RANDA to DB
DB sends SRESA to DA where
SRESA = E(KAB , AU_RANDA, BD_ADDRB) [0:3]
DA verifies SRESA
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙设备认证示意图
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
PIN 码破译攻击

攻击者窃听设备DA 和DB之间所有的配对和认证通信
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
PIN 码破译攻击
攻击者采用蛮力攻击方法破译PIN码:

穷举所有248 种可能的PIN码

获取第一条信息中的IN_RANDA 及设备DB的地址 BD_ADDRB ,计算
初始密钥的候选者:
K’init= E22 (PIN’, In_RANDA, BD_ADDRB)
用得到的K’init 分别与第二条和第三条信息做异或运算,得到
LK_RAND’A 和LK_RAND’B. 然后计算
K’AB = E21(LK_RAND’A , BD_ADDRA)  E21 (LK_RAND’B , BD_ADDRB)
 用第四条信息的AU_RANDA, K’AB, 和BD_ADDRB 计算
SRES’A = E1(AU_RANDA, K’AB, BD_ADDRB) [0:3]
 验证是否有 SRES’A = SRESA ( SRESA 来自第五条信息)
 然后用第六条和第七条信息对此PIN码进行确认

《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
蓝牙安全简单配对协议


为了提高安全性能的新的配对协议
安全简单配对协议 (SSP) :

用椭圆曲线Diffie-Hellman (ECDH) 交换算法取代
PIN码


抵御 PIN码破译攻击
用公钥证书认证公钥拥有者的身份.

防范中间人攻击.
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
第六章 内容概要






6.1 无线通信和802.11 无线局域网标准
6.2 有线等价隐私协议
6.3 Wi-Fi 访问保护协议
6.4 IEEE 802.11i/WPA2
6.5 蓝牙安全机制
6.6 无线网状网的安全性
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
无线网状网(WMN)



无线网状网中的AP 可与有线网相
连
每一个 STA 均与一个 AP相连
WMNs、 WLANs比较:



WLANs: 星型网
WMNs: 多跳网络
区:



一个AP 和所有与其相连的STAs
可视为一个 WLAN
使用802.11i/WPA2 标准
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年
WMNs安全漏洞

黑洞攻击



虫道攻击


假冒合肥路由器,清除而不中转网包
引诱合法用户使用他的路由器
将网包改道传输
抢占攻击

根据按需路由协议:



每个路由器必须将第一次收到的路由请求包传播出去,但对之后收到的来自
同一设备的路由请求不予理睬,以减少拥堵
抢在合理路由请求包发送之前,发出伪造路由请求,破坏通信
路径错误注入攻击

向网络中注入伪造的路径错误包,从而切断通信路径
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年