WAPI技术标准_培训资料幻灯片.ppt

WLAN安全技术及其安全漏洞 SSID：极易暴露和伪造，没有安全性可言。 MAC地址限制：MAC地址容易伪造，扩展性差。 IEEE802.11定义的WEP保密机制：在很短的时间内 WEP密钥即可被破解；且该安全漏洞是由WEP机制本 身引起的，与密钥的长度没有关系，目前各种基于 WEP的改进措施（WPA）并不能使其安全性能得到根 本改善 。 WEP安全性分析（1） WEP（Wired Equivalent Protocol）协议是802.11协议中保障数据传 输安全的核心部分。它是基于链路层的安全协议，设计目标是为无线 网络提供与有线网络相同级别的安全性，保护无线网络中传输数据的 机密性，并提供对无线网络的接入控制和对接入用户的身份认证。 其设计的思想是通过使用RC4流密码算法加密来保护数据的机密性， 通过问-答机制实现对用户的身份认证和接入控制，通过CRC32循环 冗余校验码来保护数据的完整性。 WEP帧的封装过程如下图所示： WEP安全性分析（2） WEP协议为了保障无线数据在传输中的完整性，防止数据遭到窜改， 使用了CRC校验的办法。在传输数据前，发送方先计算明文的CRC 校验码，然后将明文与校验码串联后加密发送。接收方收到WEP加密 数据后，根据初始向量v和密钥k来产生RC4密钥流，用以实现解密。 该协议的在数据传输时，用于生成密钥流的初始向量v是明文的方 式。这样，侦听者就可以知道v的取值，而该向量只有24位，这就使 得在224个数据包后至少出现一次重复v值，并且在实际中v值重复的概 率远远大于1/224；例如在随机选择v值的情况下，v的取值空间为 224，那么根据生日悖论，大约212个数据包后出现相同的v值的概率将 大于0.5。假设处于繁忙工作状态下的访问点AP每秒钟可以发送出 1000个数据包，则五秒钟后相同v值出现的概率就大于0.5。即使初始 向量采用累加的取值方式，隔几小时也会出现相同v值。重复出现v值 的现象称为初始向量碰撞，这种现象对于数据机密性有极大的危害。 WEP安全性分析（3） WEP协议中基本上是没有密钥管理协议的，在通常的应用中，无线局 域网中的用户设备使用和接入点相同的密钥。此时初始向量碰撞就相 当于告诉侦听者出现了重复的密钥流。 假设我们知道发生初始向量碰撞的两段密文值C1、C2，由于明文是 有统计规律的语言，结合字典攻击，就能够以极大概率猜测到明文 P1、P2的值，并可以使用明文的CRC校验值来判断得到的猜测值是 否正确。 在攻击者获得明文后，就可以得到某个初始向量对应的密钥流，长期 积累就可以获得解密字典或者利用RC4的弱点推出密钥，从而获得相 当于没有加密的侦听效果。另外，短的初始向量和固定的密钥连接使 得密钥在40比特和104比特的情况下具有相同的风险，这一点可以在 Scott Fluhrer，Itsik Mantin和Adi Shamir所发表的论文中找到证明。 WEP安全性分析（4） WEP协议的失败集中在CRC校验、短的初 始向量和固定密钥连接。这些缺陷造成被 动攻击有效，主动攻击有效，并可以衍生 出IP重定向攻击，重放攻击，字典攻击等多 种行之有效的攻击方法。 WEP的问题是协议问题（协议对密钥的不 正确使用），其安全缺陷与密钥长度无 关。 WPA安全性分析（1） WPA是对WEP各种弱点的改进，WPA的核心部分称为TKIP（Temporary Key Integrity Protocol） ，该协议是WEP的外围协议，即在不改变WEP的情 况下，增强算法的安全性。 TKIP协议针对CRC误用，增加了消息完整性码MIC（Message Integrity Code）模块。该模块实质上是一个带有密钥的杂凑函数，称为Michael函 数。 TKIP的加密过程如下图所示： Temporal Key Phase 1 key mixing TA WEP seed(s) (represented as TSC TTAK Key Phase 2 key mixing WEP IV + RC4 key) MIC Key WEP SA + DA + Plaintext MSDU MIC Plaintext MSDU + MIC Fragment(s) Plaintext MPDU(s) Encapsulation Ciphertext MPDU(s) Data WPA安全性分析（2） TKIP采用Michael算法来检测伪造企图，然而遗憾的是该 Michael算法只能提供220的安全等级，并不能达到目前的 安全需求等级。 为此TKIP引入一种策略来试图弥补该漏洞，即如果在一分 钟内检测到两个或两个以上的无效帧，即MIC校验出错 帧，即认为是主动攻击的证据，则整个网络将