wlan安全技术培训

1、WLANWLAN安全技术培训安全技术培训日期：2008-08密级：内部公开杭州华三通信技术有限公司培训教师史扬培训教师史扬1引言引言 trServerServerServerComputerHackerHacker无线信号在air中传播，信号可接收范围内的人都可能构成潜在的安全威胁。所以无线安全是WLAN应用所面临的一个关键的课题。2安全三要素安全三要素IntegrityConfidentialityAuthenticity个体身份的认证，适用于用户、进程、系统等第三方服务器： 确保你确实是我要通信的对方信息的完整性,数据不可篡改：不要篡改了我的数据，篡改了我知道信息的机密性: 我的信息你看不

2、了本培训围绕这三方面来讲解各技术标准所存在的问题和所要解决的问题3培训内容导读培训内容导读Part1: 802.11安全介绍首先介绍了802.11标准所存在的安全缺陷。通过对缺陷的分析，可以认识到哪些问题是802.11i和WAPI将关注和解决的。Part2: IEEE 802.11i无线安全标准介绍802.11i是介绍的重点。802.11i其中一大特点是：重用了802.1x、EAP、Radius等既有标准，所以在介绍802.11i之前将首先介绍这些基础知识。Part3:中国WAPI无线安全标准介绍有了这个基础，WAPI就很容易理解，因为WAPI借鉴了802.11i思想。显然，本培训涉及了大量的

3、协议和标准。本培训将重点关注协议所解决的问题和关键的概念，协议的细节请参考本胶片给出的文献列表（Part 4)。Part 1: Part 1: 802.11安全介绍安全介绍n 802.11802.11涉及的安全技术涉及的安全技术n 802.11802.11认证方法认证方法n RC4RC4n Initialization Vector (IV) Initialization Vector (IV)n Integrity Check Value (ICV) Integrity Check Value (ICV)n 802.11 802.11安全问题小结安全问题小结n 安全标准概述安全标准概述580

4、2.11802.11协议对应的安全技术协议对应的安全技术Open System AuthenticationShared Key AuthenticationIntegrity Check Value (ICV) RC4Authenticity接入控制IntegrityConfidentialityInitialization Vector (IV) WEPWEP：Wired Equivalent P6802.11802.11认证方法认证方法最初的802.11协议定义了如下认证方法： Open System AuthenticationStation和AP间只是发送认证请求和回应报文，没有真正

5、的认证。 Share Key AuthenticationAP向station发送明文的challenge text，station用本地的WEP key加密challenge text并发给AP。AP解密该challenge text，如果和自己发送的challenge text 一致，则用户认证通过。Hacker只要将明文challenge text和加密后的challenge text截获到，XOR就可以得到WEP key。所以一般不使用Share key A7RC4加密算法加密算法块(block)加密是将明文分割为多个block，再和Key stream XOR802.11协议采用RC

6、4进行加密：RC4是流(stream)加密，通过将Key stream和明文流XOR得到密文8Initialization Vector (IV)块加密和流加密统称为Electronic Code Book (ECB)方式，其特征是相同的明文将产生相同的加密结果。如果能够发现加密规律性，破解并不困难。 为了破坏规律性，802.11引入了IV，IV和Key一起作为输入来生成key stream,所以相同密钥将产生不同加密结果。 IV在报文中明文携带，这样接受方 可以解密。 IV虽然逐包变化，但是24 bits的长度，使一个繁忙的AP在若干小时后就出现IV重用。所以IV无法真正破坏报文的规律性。9

7、Integrity Check Value (ICV) 802.11使用(CRC-32) checksum算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。CRC-32本身很弱，可以通过bit-flipping attack篡改报文。10802.11802.11安全问题小结安全问题小结 IV只有24 bits, 容易出现IV重用。 弱integrity ICV采用CRC-32，报文很容易被篡改而不被发现； 不支持用户的身份认证； 很容易通过AP来获知WEP key配置。 不支持用户密钥(session secret)的动态协商和rekey WEP只支持预配置key，没有提

8、供Key分发机制，不适合企业等规模应用所以802.11的WEP等安全机制只适合家庭等用户。RC4本身并不是一个糟糕的加密算法，但是由于IV等问题导致了WEP机制不安全。11无线安全标准技术概述无线安全标准技术概述针对802.11标准存在的安全缺陷（数据报文的安全性），为了满足企业等应用，各标准组织对它进行了标准完善。802.11无线局域网目前的安全标准主要有两大发展主流： IEEE 802.11i 标准标准 中国中国WAPI(WLAN Authentication and Privacy Infrastructure) 标准标准两大技术标准综合使用了多种安全技术，实现了用户认证，数据完整性，用

9、户数据加密保护，key管理，用户会话密钥的动态协商等功能。下面两个Part将对这两个标准进行分别介绍Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i概述概述n 证书和证书和PKIPKIn 802.1x 802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结n 802.11i802.11i配置应用配置应用13802.11i802.11i协议标准协议标准为了解决802.11固有的WEP等协议安全缺陷，IEEE成立了802.11i工作组

10、，于2004年完成了标准的制定。该标准标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进 。14IEEE 802.11iIEEE 802.11i标准技术层次标准技术层次基于端口实现了对用户的身份认证，为802.11i过程准备了主key等key材料.通过EAP-TLS等认证方法对用户进行认证系系统统技技术层术层次次用户认证接入控制802.11i通过802.1x控制用户的接入802.11i基于4次握手实现了用户会话key的动态协商，基于TKIP、CCMP等算法实现数据的加密保护等。802.

11、11i并没有重新定义认证方法等，而是主要依靠EAP-TLS,802.1x等现有技术标准实现用户接入认证等。15IEEE 802.11iIEEE 802.11i主流程主流程在Beacon, Association中携带802.11i相关IE基于802.1x进行用户身份认证802.11i 4次握手协商数据加密密钥16802.11i802.11i协议对应的安全技术协议对应的安全技术EAP 和TLS等认证方法AAA（Radius)MichaelTKIP (RC4)Authenticity接入控制IntegrityConfidentialityAES-CCM802.1x证书证书证书是身是身份认证份认证的

12、基的基础础CBCCCM Counter Mode TKIP (Per Packet Mixing)Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x 802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结n 802.11i802.11i配置应用配置应用18对称和非对称密钥对称和非对称密钥对称密钥对称密钥非对称密钥非对称密钥对称key是唯一的秘密，key的分发和安全性存在很大

13、困难。只有私钥是秘密，而公钥是可以公开获得的,这简化了key的分发，提高了安全性19非对称密钥典型应用非对称密钥典型应用数据加密数据加密非对称密钥非常消耗计算资源，非对称密钥经常和对称密钥相结合。发送者接收者用对称密钥加密数据用接收者的公钥加密对称密钥，和加密数据一同发送给用户用自己的私钥解密获得对称密钥用对称密钥解密数据20非对称密钥典型应用非对称密钥典型应用数字签名数字签名私钥被一个人唯一地拥有，签名后的数据和他身份绑定，不可抵赖。签名者接收者对待签名的数据进行hash将hash的数据用私钥进行加密保护，即签名将原始数据和签名后数据一同发送给用户用签名者的公钥对签名数据进行解密本地对原始数

14、据计算hash比较本地hash后的数据和签名者的Hash值Hash是对任意非空长度的数据经过运算之后得到固定长度的是对任意非空长度的数据经过运算之后得到固定长度的hash值，值，结果反映原始数据的特征，即数据的指纹。结果反映原始数据的特征，即数据的指纹。Hash可以确认数据是否被篡改，保证数据的完整性。可以确认数据是否被篡改，保证数据的完整性。21非对称密钥典型应用非对称密钥典型应用Key协商协商单向对称单向对称key保护保护 一方提供对称key，通过公钥加密后发送给接收者对称对称key协商协商双方参与key协商，协商过程通过公钥进行加密保护EAL-TLSEAL-TLS就是用非就是用非对称对称

15、密密钥钥保保护护keykey协协商商22为什么需要为什么需要PKIPKI架构？架构？不对称密钥机制在实际应用时，要求：不对称密钥机制在实际应用时，要求： 依赖中间机构来管理公钥等信息；提供信息的机构必须可信；信息本身是可信的信息易于访问和获得所以需要一个公钥管理架构：PKI在PKI（Public-Key Infrastructure）架构下，通过证书（Certification）来存储公钥等信息，通过CA(Certification Authority)等服务来管理证书。证书是PKI的核心概念。23证书证书数字证书就是：把公钥和身份绑定在一起，由一个可信的第三方对绑定后的数据进行签名，以证明数

16、据的可靠性。这个第三方称为CA(证书授权中心，也可称证书服务器）。证书的权威性取决于CA的权威性。签名证书和加密证书应该分开保存最常用的证书格式为X.509 v3.X.509常用的加密算法是RSA, DSA, Diffie-Hellman algorithms。 最常用的是RSA算法 证书证书在在EAP-TLSEAP-TLS等等认证认证方法中，方法中，最主要作用是最主要作用是帮帮助助验证验证用用户户或或AAAAAA的身的身份份24证书格式证书格式Version: X.509版本号(v1,v2,v3)Serial number: CA内标识证书(用户)的整数,不同证书 (用户)的序列号不同(同一

17、CA内)Signature algorithm identifier: CA用来签署该证书的算法和参数,在后面也出现.Issuer name: 发行并签署该证书的CAPeriod of validity: 有效期(起始日期和终止日期)Subject name: 证书持有者的姓名Subjects public-key info:证书持有者的的公钥,算法类型及参数(可与CA的签名算法不同)Signature & algorithm identifier: 用CA私钥签名的hash值以及签名算法和参数25PKIPKI基本组成基本组成接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发

18、证书提供证书查询接受证书注销请求提供证书注销表CA(Certification Authority)RA (Registration Authority )对于申请证书的个人和团体，CA可能会让RA来完成必要的身份认证以保证他们的真实身份与他们要声明的身份一致。 CRL（Certificate Revocation List） 作废证书列表，通常由同一个发证实体签名。当公钥的所有者丢失私钥， 或者改换姓名时，需要将原有证书作废。26PKIPKI基本组成（续）基本组成（续）公钥证书公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的 身份捆绑在一起。公钥证书是PKI的基本部件

19、。证书存档证书存档(Repository) 一个电子站点，存放证书和作废证书列表、CA在用证书 和作废证书。 用户（用户（Subscriber） 用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。27证书申请和颁发过程证书申请和颁发过程PCA与PCB通过路由器连到因特网上，从而可以与网络中的某个认证机构建立连接。PCA要申请证书时，先登陆此PKI证书体系，向它发出自己的申请，并按照当地CA的策略填写相关信息。此申请信息会被注册机构RA转给CA服务器，CA负责对其验证,通过后会给PCA颁发相应级别的证书。与此同时PCA的用户信息和刚颁发的数字证书也会被置于LDAP（轻量级目录访问协议）服

20、务器中，便于PCA登陆取回自己的证书，或者提供给其他用户进行访问。结结合合银银行行证书实证书实例例进进行解行解释释28证书验证过程证书验证过程证书验证即检查一个证书的有效性。一般对被验证证书需要作签发时间、证书验证即检查一个证书的有效性。一般对被验证证书需要作签发时间、签发者信息以及证书的有效性几方面的检查。签发者信息以及证书的有效性几方面的检查。证书验证的核心就是检查证书验证的核心就是检查CACA在证书上的签名，并确定证书仍在有效期内，而且未被废除。在证书上的签名，并确定证书仍在有效期内，而且未被废除。CACA只负责证书的颁发，维护，并不负责证书校验。只负责证书的颁发，维护，并不负责证书校验

21、。由证书使用者（如由证书使用者（如IEIE客户端，检查用户证书的客户端，检查用户证书的AAAAAA等），对证书执行如等），对证书执行如下检查：下检查：验证证书的签名，用签发该证书的验证证书的签名，用签发该证书的CACA的公钥进行验证的公钥进行验证CRLCRL检查，证书是否撤销。检查，证书是否撤销。有效期验证有效期验证Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802

22、.11i 802.11i n 技术小结技术小结n 802.11i802.11i配置应用配置应用30802.1x802.1x认证参与实体认证参与实体 Supplicant被认证的无线客户端。 Authenticator一般是AP或AC，负责协助Authentication server通过EAP-TLS等认证方法对用户身份进行认证和执行授权控制。802.1x认证过程结束后，supplicant和authenticator间将基于802.11i本身定义的4次握手过程动态地协商用户会话密钥。 Authentication Server支持EAP-TLS, EAP-PEAP等认证方法的AAA serv

23、er，对用户进行身份认证。31802.1x802.1x体系架构体系架构EAP协议框架协议框架作为认证协议框架，可以承载多种认证方法，而不限制具体的认证方法，具有很好的扩展性。EAP认证方法认证方法定义了实际的认证过程和方法，代表性认证方法包括了EAP-TLS、EAP-PEAP等。802.1x报文报文显然，EAP报文(EAP认证方法)在特定的链路层协议传递时，需要一定的报文封装格式。这就是EAPOL（EAP over link）报文的作用。EAP报文传输报文传输EAPOL报文主要在supplicant和authenticator之间传送。由于认证是通过authentication server完

24、成的，所以在认证过程中，authenticator将把EAPOL报文中的认证报文封装到Radius报文中，通过Radius报文和authentication server进行交互。321x1x受控和非受控端口受控和非受控端口受控端口受控端口认证前认证前:非受控端口非受控端口802.1X 流量流量Non-802.1X 流量流量 (被阻塞被阻塞)受控端口受控端口认证后认证后:非受控端口非受控端口802.1X流量流量Non-802.1X流量流量(非阻塞非阻塞)33EAPOLEAPOL报文格式（报文格式（802.1x802.1x定义）定义）Packet Type定义了EAPO报文的类型：0：EAP-P

25、acket，承载EAP认证报文1：EAPOL-Start，客户端触发认证过程3：EAPOL-key，承载协商的密钥888E888E标识标识了一了一个个frameframe是是EAPOLEAPOL 为了在Supplicant，Authenticator和AS间传递认证报文，需要定义EAP报文的链路层封装格式EAPOL:34EAPOLRADIUS协议承载的EAP/PAP/CHAP 交换客户端客户端PAE设备端设备端PAE认证服务器认证服务器 客户端和设备（客户端和设备（AuthenticatorAuthenticator）之间为）之间为EAPOLEAPOL报文；报文； AuthenticatorA

26、uthenticator和认证和认证serverserver间一般为间一般为EAP Over RadiusEAP Over Radius报文。通过报文。通过EAP-messageEAP-message属性，属性，EAPEAP报文将在报文将在RadiusRadius的的Access-RequestAccess-Request和和Access-ChallengeAccess-Challenge报文中携带。报文中携带。 认证过程在客户端和认证认证过程在客户端和认证serverserver间进行，设备主要是作透传，间进行，设备主要是作透传，EAPOLEAPOL和和EAPOREAPOR报文格式的转换工作

27、等；报文格式的转换工作等；EAPOLEAPOL报文传递报文传递Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结n 802.11i802.11i配置应用配置应用36EAPEAP协议协议802.1x利用了EAP（Extensible Authentication Protocol ）协议来实现了对多种认证方法（如EAP-T

28、LS）的支持。EAP设计的中心思想：可以支持多种认证方法和多种链路层协议。37CodeIdentifierLengthTypeData Code Code：EAPEAP类型类型 (eap-failure)字节数： 1 2 1 1 NEAPEAP协议格式协议格式EAP数据包帧格式Type报文类型：Type1IdentifierType2NotificationType3Nak（Response Only）Type 值大于等于4时，为EAP认证方法通常表示通常表示为为EAP-Request/Identity 38EAPEAP协议格式（续协议格式（续) )作为认证方法的框架，EAP并没有定义具体的认

29、证方法，而是通过EAP-Request和Response承载TLS这些认证方法的报文，用户可以根据业务需求灵活地选择具体认证方法。具体的认证方法（如EAP-TLS)负责实现： 用户数据的加密保护 双向认证 密钥推演（动态key协商）39EAPEAP主要流程主要流程(EAP-Response Identity)EAP-Response IdentityEAP-Success | PMKEAP-SuccessServerNASPeerEAPOLEAP 传输认证方法对应的认证方法对应的 EAP Request认证方法对应的认证方法对应的 EAP Response直到成功直到成功或失败或失败(EAP-

30、Request Identity)计算计算Master Session Key (MSK)计算计算Master Session Key (MSK)40EAPEAP主要流程（续）主要流程（续）EAP EAP 通过通过EAP-Request Response/Identity EAP-Request Response/Identity 发起认证发起认证 客户端将通过EAPOL-Start来触发EAP认证开始。除了第一个和最后一个除了第一个和最后一个EAPEAP消息，所有的消息，所有的EAPEAP消息都以消息都以Request/Response Request/Response 方式由方式由AAA

31、ServerAAA Server驱动驱动EAP 是 “stop-and-wait” 协议EAP Server 不主动发 Request message 直到 Peer 回应了上次的request在在ServerServer给给peerpeer的第一个的第一个Request Request 消息中指出认证方法消息中指出认证方法如果不可接受（如不支持该认证方法），Peer 将中止通讯认证方法通过多个认证方法通过多个 Request/Response Request/Response 消息对在消息对在serverserver和和PeerPeer间交间交互，直到认证成功或失败互，直到认证成功或失败如果

32、认证过程，如果认证过程，Server Server 发送发送EAP-Success EAP-Success 消息消息 ServerServer根据根据MSKMSK计算出计算出PMKPMK并通知给并通知给AuthenticatorAuthenticator。 PMKPMK为下阶段为下阶段安全协商安全协商(802.11i(802.11i的的4 4次握手）提供了基础。次握手）提供了基础。参见上页图示Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EA

33、P-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结n 802.11i802.11i配置应用配置应用42EAP-TLSEAP-TLS协议协议1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯，SSL经过了多个版本演化。 TLS (Transport Layer Security)基于SSL和基本类似于SSL 3.0。主要特点如下： 基于证书，可以进行身份的双向认证（客户端和服务器） 协商得到的共享密钥是动态协商的，中间人无法知道43EAP-TLSEAP-TLS协议流

34、程协议流程Authenticate ServerSupplicantEAP Request/TLS StartEAP Response/TLS ClientHello(Random)EAP Request/TLS ServerHello(Random) | Certificate | ServerKeyExchange | CertificateRequest | ServerHelloDoneEAP Response/TLS Certificate | ClientKeyExchange | CertificateVerify | ChangeCipherSpec | FinishedEAP

35、 Response/IdentityEAP Request/TLS ChangeCipherSpec | FinishedEAP SuccessEAP R44EAP-TLSEAP-TLS协议流程（续）协议流程（续）客户端和服务器通过hello报文（TLS Client Hello和TLS Server Hello） 来协商认证算法、密钥交换算法等客户端和服务器的双向身份认证是证书来实现的 通过TLS Certificate报文获得对方的证书 通过检查证书（CA的签名）来确认对方的证书是合法的。 甲方用私钥对报文进行签名，接收方（乙方）用甲方的公钥来确认签名 是否合法。如果合法，就可以确认对方身

36、份是否合法。TLS change_cipher_spec等报文交换完成了身份的校验和密钥的协商。 协议过程不直接传递所协商的密钥，而是在协议过程中交换随机数等密钥 计算材料，由服务器和客户端各自在本地基于随机数等密钥材料来推演出 会话密钥。会话密钥支持定期重新协商。Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结n 8

37、02.11i802.11i配置应用配置应用46RADIUSRADIUS协议协议远程认证拨入用户服务远程认证拨入用户服务（Remote Authentication Dial-In User ServiceRemote Authentication Dial-In User Service）RADIUSRADIUS是用于网络访问服务器（是用于网络访问服务器（NASNAS）和）和AAAAAA服务器间通信的一种协议服务器间通信的一种协议, ,实现对用户的认证，计费和授权。实现对用户的认证，计费和授权。RadiusRadius协议应用系统主要是由协议应用系统主要是由3 3个部分组成：个部分组成：用户用

38、户RadiusRadius客户端客户端 （NAS)NAS)RadiusRadius服务器服务器RadiusRadius客户端和服务器之间基于客户端和服务器之间基于UDPUDP协议（端口号协议（端口号1812)1812)通讯。通讯。用户RADIUS客户端RADIUS服务器47RADIUSRADIUS协议报文协议报文Code:Code:代码域，标识代码域，标识RADIUS数据包的类型数据包的类型, ,Access-Request (NAS AS)Access-Challenge (NAS AS)Access-Accept (NAS AS)Access-Reject (NAS AS)Accounti

39、ng-Request (NAS AS)Accounting-Response (NAS AS)Attribute: 携带属性，是携带属性，是Radius可扩展性的关键可扩展性的关键Authenticator）域）域: 用于验证来自用于验证来自RADIUS服务器的回复服务器的回复48RADIUSRADIUS协议支持协议支持EAPEAPAttribute包括如下的字段，包括如下的字段，Type标示属性的类别，标示属性的类别，Type由由IETF统一分配。统一分配。以以Radius支持支持EAP为例：为例： Radius扩展了扩展了EAP-Message属性，属性，type 为为79, 来承载来承载

40、EAP message 和认证方法。和认证方法。 使用使用Access-request 来承载来承载EAP message (from NAS to AS); 使用使用Access-Challenge 来承载来承载EAP message (from AS to NAS);Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结

41、n 802.11i802.11i配置应用配置应用50802.11i802.11i协议概述协议概述 802.11i协议本身聚焦于用户密钥(session secret) 的动态协商、密钥的分发和使用会话密钥 进行数据的加密保护。 用户密钥(session secret)的动态协商是通过 4次握手报文交互来实现的。 协议使用TKIP或AES-CCM进行加密。51802.11i KEY802.11i KEY关系图关系图PTK应用于用户单播数据的加密保护GTK应用于广播和组播数据的加密保护和WEP不同，802.11i是由多个key组成key hierarchy。这些Key是在协议过程中动态协商产生的，

42、而不是静态配置的。 524 4次握手过程次握手过程4次握手过程：1）通过Nonce交换 ，帮助双方完成PTK和GTK的协商。 2）虽然PMK不再握手过程中交互，但通过MIC操作（MIC结果在握手报文中传递）实现了对双方的PMK确认。 3）4次握手在客户端和设备间进行，不需要AS的参与 EAPOL-Key(Reply Required, Unicast, ANonce)Pick Random ANonceEAPOL-Key(Unicast, SNonce, MIC, STA RSN IE)EAPOL-Key(Reply Required, Install PTK, Unicast, ANonce

43、, MIC, AP RSN IE, GTK)Pick Random SNonce, Derive PTK = 802.11i-PRF(PMK, ANonce | SNonce | AP MAC Addr | STA MAC Addr)Derive PTKEAPOL-Key(Unicast, MIC)PMKPMKSTA53TKIPTKIP: Temporal Key Integrity Protocol 使用使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加来实现数据加密，这样可以重用用户原有的硬件而不增加加密成本。加密成本。 使用使用Michael来实现来实现MIC (Message

44、 Integrity Code )。结合。结合MIC，TKIP采用了采用了countermeasures 方式：一旦发现了攻击（MIC Failure)，就中止该用户接入。 将将IV size 从从 24 bits 增加到增加到 48 bits，减少了，减少了IV重用；重用； 使用了使用了Per-Packet Key Mixing 方式来增加方式来增加key的安全性。的安全性。54TKIP （续）（续）Phase 2MixerPhase 1MixerIntermediate keyPer-packet keyTransmit Address: 00-A0-C9-BA-4D-5FBase key

45、Packet Sequence #Per-Packet Key M55AES-CCMAES-CCM为块加密，为块加密，802.11i要求要求AES为为128 bit, 每每block 128 bits.对于对于块加密块加密, 需要将待加密的消息转化为需要将待加密的消息转化为block, 这个过程称为这个过程称为mode of operation.AES-CCM使用了使用了CCM方式作为方式作为mode of operation。为了破坏加密结果的规律性，。为了破坏加密结果的规律性，CCM采用了采用了counter mode: 首先计算得到一个首先计算得到一个counter (初始值随机，然后累

46、加初始值随机，然后累加1),AES后得到加密值，和被加密的后得到加密值，和被加密的block XOR。除了数据加密，除了数据加密，AES-CCM还使用还使用cipher block chaining (CBC)来产生来产生MIC, 以实现以实现数据的数据的Integrity. Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技

47、术小结/WPA/WPAn 802.11i 802.11i配置应用配置应用57802.11i802.11i和和WEPWEP对比对比WEPWEPTKIPTKIP CCMPCCMPCipherCipherRC4RC4AESKey SizeKey Size 40 or 104 bits128 bits128 bitsKey LifeKey Life24-bit IV 48-bit IV 48-bit IVPacket KeyPacket KeyIV+keyMixing FncNot NeededIntegrityIntegrityDataDataCRC-32MichaelCBCHeaderHeader

48、NoneMichaelCBCReplayReplayNoneUse IV48-bit packetKey MgmtKey MgmtNone802.11i 4-Way 802.11i 4-WayHandshake Handshakenumber (PN)Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结/WPA/WPAn

49、802.11i 802.11i配置应用配置应用59WPAWPA认证认证802.11i虽然美好，但是安全急迫性使厂商开始及不可待地支持草案状态的802.11i。为了保证厂家的互通，WIFI联盟参考802.11i草案的子集，制定了WPA（Wi-Fi Protected Access）规范。协议核心内容包括了：基于802.1x进行身份认证 基于PSK（Pre-Shared Key）进行身份认证 基于TKIP实现数据加密； 基于4次握手实现用户会话密钥的动态协商。由于TKIP和WEP都是基于RC4算法的，所以可以通过固件升级来实现现网设备支持WPA。而完整的802.11i支持则称为WPA2，主要增加了

50、AES-CCM支持等，需要新的硬件支持。60802.11i802.11i实施计划实施计划Part Part : : IEEE 802.11i标准介绍n 802.11i802.11i和和WPAWPA标准概述标准概述n 证书和证书和PKIPKIn 802.1x802.1x协议协议n EAPEAP协议协议n EAP-TLSEAP-TLS协议协议n RadiusRadius协议协议n 802.11i 802.11i n 技术小结技术小结/WPA/WPAn 802.11i802.11i配置应用配置应用62802.11i802.11iEAP-TLSEAP-TLS配置应用配置应用客户端要求客户端要求支持WP

51、A/WPA2的无线网卡；1) 完成证书的安装和EAP-TLS等配置 AP 或或AC配置配置802.11i的相关配置，主要基于某个SSID配置，包括认证方法（即1x还是PSK）、密钥加密算法（即TKIP, AES-CCM）等参数配置；2) Radius服务器配置，主要配置IP地址、认证端口等内容；3) 802.1x配置，主要包括使能802.1x、EAP认证。63802.11i802.11iEAP-TLSEAP-TLS配置应用配置应用( (续）续）Radius配置配置配置配置接入设备主要配置authenticator设备(AP或AC)的IP地址、认证端口(缺省是1812)等信息。2)获得服务器证书

52、，如通过Windows的证书服务；3) 服务器证书导入 ；4)配置服务策略即配置认证方法，选择是EAP-TLS, EAP-PEAP或其它认证方法。5)认证用户的账号配置，要求用户名和证书中的用户申请名称一致；Part 3: Part 3: 中国WAPI标准介绍n WAPIWAPI概述概述n WAPIWAPI认证实体认证实体n WAPIWAPI和和802.11i802.11i的相似点的相似点n WAPIWAPI和和802.11i802.11i差异差异n WAPIWAPI协议过程协议过程n WAPIWAPI配置应用配置应用65WAPIWAPI标准概述标准概述基于端口实现了对用户的身份认证，为802

53、.11i过程准备了主key等key材料. WLAN authentication infrastructure完成身份鉴别和密钥管理，系系统统技技术层术层次次WAIWPIWLAN privacy infrastructure完成数据的加密保护等。中国自己的中国自己的WLAN安全标准：安全标准：66WAPIWAPI认证实体认证实体 鉴别请求者系统/鉴别器系统/鉴别服务器 未鉴别受控端口/非受控端口在该架构下，如下的概念是关键67WAPIWAPI和和802.11i802.11i相似点相似点认证包括三实体：鉴别请求者系统/鉴别器系统/鉴别服务器未鉴别受控端口/非受控端口WAI协议承载认证报文WAPI

54、4次握手协商密钥 支持单播和组播Key hierarchy 认证包括三实体： Supplicant/Authenticator/Authentication Server受控端口/非受控端口EAPOL协议承载认证报文 802.11i 4次握手协商密钥支持单播和组播Key hierarchyWAPI802.11i基于Base key计算单播和组播key在802.11 beacon, associate等报文中携带WAPI相关IE基于PMK计算单播和组播key在802.11 beacon, associate等报文中携带802.11i相关IE68WAPIWAPI和和802.11i802.11i差别

55、差别采用SMS进行加密；强制使用证书进行认证，认证方法固定；证书签名的检查由专门的鉴别服务器负责；支持对设备的认证；不支持AAA, 认证Server必须遵循WAPI标准；没有重用802.1x, Radius等现有标准；证书必须是X.509 v3 和GBW 证书。 X.509 v3 必须采用的是椭圆曲线 采用AES-CCM或TKIP加密；可以支持EAP-TLS等多种认证方法；无线客户端和服务器自己检查证书签名不支持对设备认证；支持Radius；重用了802.1x, Radius等现有标准；不必须使用证书，如果用，X.509 V3就可。WAPI802.11i最最关键关键差差别别69WAPIWAPI

56、协议过程协议过程ASE(认证服务器）只对ASUE（AP or AC)和AE (client)做身份认证，并不参与BK (base key)，会话密钥等协商过程70WAPIWAPI协议过程协议过程( (续）续）最关键的步骤是：由认证服务器通过证书鉴别无线客户端和WLAN接入设备身份1) 无线客户端在发起接入鉴别后，WLAN接入设备会向远端的ASE发起证书鉴别，鉴别请求消息中同时包含有无线客户端和WLAN接入设备的证书信息。这些信息通过UDP 套接口传输，ASE的端口号为3810。2) ASE对WLAN接入设备和客户端的身份进行认证，并首先把他们的身份验证结果通过认证响应报文发给WLAN接入设备，再由WLAN接入设备发给客