《无线网络安全》PPT课件.ppt
第20讲 无线网络安全二,一、无线安全威胁,1、无线电信干扰问题,发送和接收无线电信号的过程中,传输媒体是空气,导致无线系统很容易受到其它系统的干扰。而且,无线网络自身之间也存在各种干扰,所以研究无线局域网的电磁兼容和电磁干扰问题很有必要。针对各种干扰的解决办法无非有以下几方面,一是了解各种电磁兼容规则,合理利用频率资源,设计出满足ERC无线标准的设备。二是了解各种无线设备系统的抗干扰方法,通过学习现有无线系统的优点,从而找出无线局域网系统设计的合理方法。三是采用更先进的技术或协议,提高无线设备自身的抗干扰能力。,2、共享密钥认证的安全缺陷,通过窃听一种被动攻击手法,能够很容易蒙骗和利用目前的共享密钥认证协议。协议固定的结构(不同认证消息间的唯一差别就是随机询问)和先前提过的WEP的缺陷,是导致攻击实现的关键。因此,即使在激活了WEP后,攻击者仍然可以利用网络实现WEP攻击。,3、访问控制的安全缺陷(1),(1)封闭网络访问控制机制:实际上,如果密钥在分配和使用时得到了很好的保护,那么基于共享密钥的安全机制就是强健的。但是,这并不是这个机制的问题所在。几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。真正包含SSID的消息由接入点的开发商来确定。然而,最终结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。即使激活了WEP,这个缺陷也存在,因为管理消息在网络里的广播是不受任何阻碍的。,3、访问控制的安全缺陷(2),(2)以太网MAC地址访问控制表:在理论上。使用了强健的身份形式,访问控制表就能提供一个合理的安全等级。然而,它并不能达到这个目的。其中有两个原因:其一是MAC地址很容易的就会被攻击者嗅探到,这是因为即使激活了WEP,MAC地址也必须暴露在外,其二是大多数的无线网卡可以用软件来改变MAC地址,因此,攻击者可以窃听到有效的MAC地址、然后进行编程将有效地址写到无线网卡中。从而伪装一个有效地址,越过访问控制,连接到“受保护”的网络上。,4、硬件被窃(1),静态地指定WEP密钥给一台客户机是很常见的方法,密钥或存储在客户机的磁盘存储器中,或存储在客户机的WLAN适配器的内存中。当这些步骤完成后,客户机处理器就拥有了客户机的MAC地址和WEP密钥,并且可利用这些单元获得对WLAN的访问权了。如果多个用户共用一台客户机,这些用户将有效地共享MAC地址和WEP密钥。,4、硬件被窃(2),当客户机丢失或被盗时,该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权,而非正常用户则有了这些权限。此时管理员要想检测网络的安全性是否被破坏是不可能的;原有的机主应该及时通知网络管理员。当网络管理员按到通知后,必须改变安全方案,使MAC地址和WEP密钥在访问WLAN和对传送的数据进行解密时变得无效。同时,网络管理员还必须对与丢失或被盗的客户机密钥相同的其它客户机的静态密钥全部进行重新编码。客户机的数目越多,对WEP密钥进行重新编程的工作员也就越大。,5、虚假访问点,IEEE802.11b共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但用户并不能验证访问点的身份。如果一个虚假访问点放置到WLAN中,它可通过“劫持”合法用户客户机来成为发动拒绝服务攻击的平台。,6、其它隐患(1),标椎的WEP支持每个信息包加密功能,但是并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。,6、其它隐患(2),通过监视IEEE802.11b控制和数据通道,黑客可以得到如下信息:客户机和访问点MAC地址;内部主机的MAC地址;进行通信/断开通信的时间。黑客可能使用这些信息来进行长期的流量测量和分析,从而获悉用户和设备的详细信息。为预防此类黑客活动,站点应使用每次会话WEP密钥。,7、小结(1),无线网络的安全威胁比较多,它们的来源可归纳为非法窃听、非授权访问和服务拒绝等几类,不同的安全威胁会给网络带来不同程度的破坏。非法窃听是指入侵者通过对无线信道的监听来获取传输的信息,是对通信网络最常见的攻击方法。这种威胁源于无线链路的开放性,但是由于无线传输距离受到功率和信噪比的限制,窃听者必须与源结点距离较近。非法访问是指入侵者伪装成合法用户来访问网络资源,以期达到破坏目的;或者是违反安全策略,利用安全系统的缺陷非法占有系统资源或访问本应受保护的信息。必须对网络中的通信设备增加认证机制,以防止非授权用户使用网络资源。,7、小结(2),服务拒绝是指入侵者通过某些手段使合法用户无法获得其应有的网络服务,这种攻击方式在Internet中最为常见,也最为有效。这种威胁包括阻止合法用户建立连接,或通过向网络发送大量垃圾数据来破坏合法用户的正常通信。对于这种威胁,通常可采用认证机制和流量控制机制来防止。耗能攻击也称为能源消耗攻击,其目的是破坏节能机制,如不停地发送连接请求,使设备无法进入节能模式,最终达到消耗能量的目的。目前对这种攻击还没有行之有效的办法。,二、无线网络攻击分析,1、被动攻击解密业务流(1),在WEP攻击的研究中,被动攻击指不破坏信息完整性的攻击,又称其为初始化向量IV复用攻击,或称为密钥复用攻击。在本文的以后论述中经常使用密钥复用攻击。由于WEP的IV字节空间太小,因此,密钥复用攻击具有的特点为:缺乏重放保护,允许IV重复;WEP IV空间小,导致IV碰撞,密钥重复;攻击者可以拦截无线通信信号做统计学分析,从而对信号解密。,1、被动攻击解密业务流(2),在初始化变量发生碰撞时,一个被动的窃听者可以拦截窃听所有的天线业务流。只要将两个具有相同初始化变量的包进行异或相加,攻击者就可以得到两条消息明文的异或值,而这个结果可以用来推断这两条消息的具体内容。IP业务流通常是可以预测的,并且其中包含了许多冗余码,而这些冗余码就可以用来缩小可能的消息内容的范围,对内容的更进一步的推测则可以进一步缩小内容范围,在某些情况下甚至可能可以确定正确的消息内容。,2、主动攻击注入业务流(1),主动攻击的特点是破坏信息的完整性和有效性,向通信信号中插入字节。主动攻击主要利用了在WEP中采用CRC32保护数据的完整性这个缺陷。主动攻击的特点为:CRC32是线性运算,容易伪造密钥;造成拒绝服务攻击。CRC32并不能保证数据的完整性,那么对于数据的篡改就十分容易。只要攻击者得到一段明密文对,那么他就可以很容易地对这段明文修改并重放,从而造成主动攻击,2、主动攻击注入业务流(3),假如一个攻击者知道一条加密消息确切的明文,那么他可以利用这些来构建正确的加密包。其过程包括:构建一条新的消息,计算CRC-32,更改初始加密消息的比特数据从而变成新消息的明文,然后将这个包发送到接入点或移动终端,这个包会被当作一个正确的数据包而被接收。这样就将非法的业务流注入到网络中,从而增加了网络的负荷。如果非法业务流的数量很大,会使得网络负荷过重,出现严重的拥塞问题,甚至导致整个网络完全瘫痪。,3、针对IP地址发起的主动攻击(1),事实上,针对单个通信报文的攻击并不容易奏效,比如多个通信报文之间有关联,甚至无法做到重放。但针对IP地址发起的主动攻击对象不是消息的内容,而是数据报的头字节IP地址。比起破解消息的内容来,这显然要容易得多。在破解IP地址后,攻击者就可以对其进行修改,使IP地址指向被控制的机器(比如位于Internet的某个主机)。由于大多数无线局域网都可以同Internet互连,接入点成功地对移动端发来的数据解密后就会经由一系列的网关和路由器把明文发向受控制的主机。,3、针对IP地址发起的主动攻击(2),在这种情况下,攻击者可以不猜测消息的具体内容而是只猜测包头,尤其是目的IP地址,它是最有必要的,这个信息通常很容易获得。有了这些信息,攻击者就可以改变目的IP地址,用未经授权的移动终端将包发到他所控制的机器上。由于大多数无线设备都与Internet相连,这样,这个包就会成功的被接入点解密,然后通过网关和路由器向攻击者的机器转发未经加密的数据包,泄露了明文。如果包的TCP头被猜出来的话,那么甚至有可能将包的目的端口号改为80,如果这样的话,它就可以畅通无阻的越过大多数的防火墙。,4、基于字典的功击(1),由于初始化向量的数值空间比较小,这样攻击者就可以建一个解密表,即字典。一旦知道了某个包的明文,它能够计算出由所使用的初始化变量产生的RC4密钥流。这个密钥流可以将所有使用同一个初始化变量的包解密。很可能经过一段时间以后,通过使用上述技术,攻击者能够建立一个初始化变量与密钥流的对照表。这个表只需很小的存储空间(大约15GB),字典一旦建立,攻击者可以通过无线链路把所有的数据包解密。,4、基于字典的功击(3),字典攻击分为两种情况:已知全部明文攻击。它具有的特点为:a.IP数据流中包含许多的已知明文,例如:ICMP,ARP,TCP ACK等;b.可以在Internet上通过接入点AP向有意的攻击者发送ping指令;c.对给定的IV,可以恢复全部密钥;d.可以引起统计攻击。已知部分明文攻击。它具有的特点:a.仅掌握部分明文信息,例如:IP头和SNAP;b.可以恢复出部分密钥;c.对已知部分的明文和IV进行统计分析,可以得出密钥偏差;d.对已知部分的明文和IV进行统计分析,可以恢复出密钥;e.通过多次探测分析,最终可以逐步扩展得出全部密钥。,5、工具攻击,工具攻击是指针对无线局域网的攻击工具。这些工具,特别是来自无线局域网内部的攻击将是很大的威胁。目前,无线局域网对此类攻击还没有很好的对付方法。,6、广播监听,如果接入点与HUB相连,而不是与交换机相连,那么任意通过HUB的网络业务流将会在整个的无线网络里广播。由于以太网HUB向所有与之连接的装置包括无线接入点广播所有数据包,这样,攻击者就可以监听到网络中的敏感数据。,7、拒绝服务(DOS)攻击(1),在无线网络里也很容易发生拒绝服务DOS(Denial of Service)攻击,如果非法业务流覆盖了所有的频段,合法业务流就不能到达用户或接入点,这样,如果有适当的设备和工具的话,攻击者很容易对2.4GHz的频段实施泛供(flooding),破坏信号特性,直至导致无线网络完全停止工作。另外,无绳电话、婴儿监视器和其它工作在2.4GHz频段上的设备都会扰乱使用这个频率的无线网络。这些拒绝服务可能来自工作区域之外,也可能来自安装在其它工作区域的会使所有信号发生衰落的IEEE802.11设备。总之,不管是故意的还是偶然的,DOS攻击都会使网络彻底崩溃。,7、拒绝服务(DOS)攻击(2),由于WEP的设计缺陷,可能的攻击有很多。而IEEE802.11 WEP中最具缺陷的设计是初始化向量IV,导致WEP密钥复用的缺陷。本文以下部分着重研究针对WEP IV空间小,引起密钥复用进行的攻击。,三、第二代移动通信系统的安全机制,1、GSM系统安全(1),GSM无线接入中最主要的安全措施包括对用户身份的识别(认证)和对用户接口数据传输的加密,另外还包括对用户身份的保密和对设备的识别。,1、GSM系统安全(2),(1)认证:GSM系统采用了单钥体制认证方案。在GSM系统中,MS(移动台)由ME(移动设备)和SIM(用户识别模块)卡组成,ME负责与BTS(基站收发信台)在无线接口Um上进行通信,流加密算法A5也在ME中实现;SIM卡在用户入网的时候由运营商提供,用于实现用户认证和密钥分配,存储了移动用户的身份号IMSI(国际移动用户标识)和密钥Ki,身份认证算法A3和密钥分配算法A8。,1、GSM系统安全(3),当MS首次进入某个VLR(visit location register)的服务区域时,需要进行位置更新,此时认证方案开始运行,MS将其IMSI发送给VLR,VLR随后向MS归属的HLR(home location register)发出用户数据请求,HLR经确认,返回若干个认证三元组(RAND,SRES,Kc)。三元组中,RAND为128 bit的随机数,SRES为32 bit带符号的响应,Kc为64 bit的会话密钥。为了认证用户的身份,VLR将RAND作为“提问”发送给用户;用户利用A3算法并以秘密密钥Ki和RAND为参数计算签字响应SRES,然后返回给VLR;若接收到的SRES与三元组中的SRES匹配,则VLR确信该MS为合法用户,并发送一个临时移动用户识别号码TMSI(temporary mobile subscriber iden2tity)给MS,用A5算法和Kc加密;MS收到后解密得到TMSI,并发送确认信号ACK。认证方案如下图所示:,1、GSM系统安全(4),GSM认证方案(IMSI),1、GSM系统安全(5),以上认证方案非常简单,采用“提问-回答”机制、TMSI和会话加密来实现欺骗控制、用户身份保密和消息的保密。然而,在TMSI 同步之前,以及当频繁的无线信号干扰或其它可能的系统错误使得TMSI的同步丢失时,MS不得不将IMSI以明文形式发送给VLR,这就暴露了用户的真实身份。另一个安全问题是一旦会话密钥泄漏,只要重放相应的RAND,攻击者就可以伪装成合法的VLR与MS建立一个虚假的连接,并通过这个连接收集用户的数据。另外,在VLR内保存多个认证三元组虽然可以加速认证的过程(不需要HLR的参与),但是这增加了认证信息泄漏的可能性。例如,内部人员可以盗用这些信息非法使用网络服务或者泄漏用户的会话内容。,1、GSM系统安全(6),(2)对用户接口数据传输的加密:GSM移动通信系统中的无线数据传输采用A5加密算法,对114 bit有用长度的普通突发脉冲进行加密,加密对象的内容主要有以下3种:用户信息,包括语音和数据等信息用户信令,例如用户被叫号码等系统信令,例如用于切换的无线测量结果等A5加密算法由GSM MOU组织规定,受版权保护。A5算法按加密强度又可分为以下3种:A5/1算法:强加密算法,适用于欧洲A5/2算法:弱加密算法,适用于非欧洲A5/0算法:不加密从以上3种A5算法的划分可以看出,GSM系统中的无线接口数据传输可以采用加密方式,也可以采用不加密方式,即加密与非加密可以相互转换,由无线资源管理机构制定具体方案。,1、GSM系统安全(7),(3)用户身份保密:在用户完成接入过程的认证以后,用户呼叫过程中不再使用其真实身份IMSI,而是使用新分配的TMSI 来发起呼叫请求。这样可以隐藏用户身份,防止无线跟踪,并且在每次认证中,VLR都重新分配一个TMSI给MS。(4)设备识别:GSM系统中采用唯一的国际移动设备识别符(IMEI)对MS进行设备识别。,2、GPRS系统安全(1),GPRS提供的安全特征与GSM非常类似,包括:认证与密钥分配:防止未授权的GPRS服务的使用及提供会话密钥用户身份保密信令与用户数据加密利用硬件存储用户的私钥,2、GPRS系统安全(2),由于GPRS核心网是IP网,因此它还可以利用GSM标准之外的安全机制。(1)认证与密钥分配认证过程在GPRS网络中是通过SGSN完成的。它主要完成用户认证或加密算法的选择和加密的起始同步,或者两者皆有。认证的三参数(RAND,SRES,Kc)被保存在SGSN中,其使用方式与GSM完全相同,认证算法也完全一样(A3算法)。此时MSC/VLR不再对MS鉴权,除非在电路交换连接建立时才对MS进行鉴权。1)如果SGSN预先未保存鉴权三参数,它将给HLR发送鉴权参数申请消息。HLR响应该消息向SGSN发送相应鉴权参数。2)SGSN发送鉴权和加密请求信息给MS。MS收到后发送响应SRES信息。当发送完SRES后MS即启动加密流程。SGSN收到MS发来的有效的SRES后也启动加密流程。3)MS位置更新时,如位置更新前MS处于加密状态,SGSN将使用相同的算法转换为加密状态并向MS发一加密的位置更新接受(Routing Area Update Accept)消息。当MS收到SGSN加密的位置更新接受消息后保持加密状态。具体过程如下图所示:,2、GPRS系统安全(3),2、GPRS系统安全(4),(2)信令与用户数据加密:GPRS中加密范围是从MS到SGSN,加密功能是在LLC层实现。在加密算法使用方面,GPRS不作具体要求,可选择多种算法,也可设计新的算法。GPRS规范中定义了GEA1和GEA2两个加密算法,但都是保密的。,3、GSM/GPRS安全分析(1),(1)认证问题:通过SGSN或MSC/VLR对MS的认证,可以保证GSM/GPRS网络资源不被非授权用户使用,保护了运营商的利益。但认证过程是单向的即只是网络对MS的认证,用户对SGSN/VLR不做认证,因而可能存在攻击者利用假的SGSN或基站对用户进行欺骗,让用户以为连接到了真正的GSM/GPRS网络上,这样可能使用户的敏感信息被窃取或无法正常地访问网络资源。,3、GSM/GPRS安全分析(2),(2)信令及数据加密问题:GSM/GPRS系统中的加密范围分别是从MS到基站与MS到SGSN,不提供端到端的加密。对于需要端到端安全的应用来说,必须考虑到这个因素,不能仅依赖GSM/GPRS系统的安全性,而应该在系统设计时增加端到端(应用层)的安全功能。GSM/GPRS的安全算法也存在问题。加密算法A5与GEA的密钥长度太短,只有64bits无法抵抗穷举攻击。在通信安全领域,开放性对于加密算法的完善来说是至关重要的。然而GSM MOU组织与GPRS设计委员会却将所有安全规范保密,使别的专家无法对算法进行分析评估,以及时发现其缺陷并进行修正。,3、GSM/GPRS安全分析(3),(3)SIM卡问题:GSM及GPRS系统的安全性都是基于私钥密码,存储在SIM卡中的IMSI-Ki对是系统安全的根本。如果SIM卡中的数据可以被复制,则非授权用户可以授权用户的身份使用网络资源,而费用却算在该授权用户的账户上,这将使系统的安全性受到严重破坏。,四、3G安全体系结构,1、用户身份保密(1),3G系统中的用户身份保密有3方面的含义:在无线链路上窃听用户身份IMSI是不可能的确保不能够通过窃听无线链路来获取当前用户的位置窃听者不能够在无线链路上获知用户正在使用的不同的业务,1、用户身份保密(2),为了达到上述要求,3G系统使用了2种机制来识别用户身份:一是使用临时身份TMSI;二是使用加密的永久身份IMSI。而且要求在通信中不能长期使用同一个身份。另外为了达到这些要求,那些可能会泄露用户身份的信令信息以及用户数据也应该在接入链路上进行加密传送。在3G中为了保持与第二代系统兼容,也允许使用非加密的IMSI。尽管这种方法是不安全的。,1、用户身份保密(3),在使用临时身份机制中,网络给每个移动用户分配了一个临时身份TMSI。该临时身份与IMUI由网络临时相关联,用于当移动用户发出位置更新请求、服务请求、脱离网络请求,或连接再建立请求时,在无线链路上识别用户身份。当系统不能通过TMUI识别用户身份时,3G系统可以使用IMSI来识别用户。该机制由拜访的SN/VLR发起向用户请求IMSI。用户可选择两种方法来响应:一是与GSM一样使用IMSI明文;二是使用扩展加密移动用户身份XEMSI。由于使用IMSI的明文传送,可能导致IMSI被窃听。在3G中应该使用加密的用户身份。,1、用户身份保密(4),在收到SN/VLR的身份请求后,MS/USIM把IMSI加密后嵌入HE-message中,并且用HE-id来向SN/VLR指明可以解密该HE-message的HE/UIC的地址。SN/VLR收到HE-message后,根据HE-id再把该消息传送到相应的HE/UIC,HE/UIC解密后把用户的IMSI传递给SN/VLR。在收到用户的IMSI后,就可以启动TMSI分配过程,此后将使用TMSI来识别移动用户身份。这种增强型身份加密机制把原来由无线接入部分传送明文IMSI变成在网络内传送明文IMSI,在一定程度上加强了用户身份的机密性。,2、认证和密钥协商(1),3G系统中沿用了GSM中的认证方法,并作了改进。在3G系统中使用了5参数的认证向量AV(RANDXRESCKIKAUTN)。3G中的认证,执行AKA(Authentication and Key Agreement)认证和密钥协商协议,具体流程如下图所示:,2、认证和密钥协商(2),认证和密钥协商AKA,2、认证和密钥协商(3),上图中,HE/HLR表示用户归属区的用户归属寄存器,AV表示认证向量,AUTN表示认证令牌,RES和XRES分别表示用户域的应答信息和服务网的应答信息,RAND表示生成的随机数,CK和IK分别表示数据保密密钥和数据完整性密钥。,2、认证和密钥协商(4),AKA协议可分为2部分。(1)用户归属域HE到服务网SN认证向量的发送过程。SN(由VLR/SGSN实体执行)向HE(由HLR实体执行)申请认证向量,HE生成一组认证向量AV(1,.,n)发送给SN,SN存储收到的认证向量;(2)认证和密钥建立的过程。SN从收到的一组认证向量中选择一个AV(i),将AV(i)中的RAND(i)和AUTN(i)发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC,并与AUTN中包含的MAC相比较,如果二者不同,USIM将向VLR/SGSN发送拒绝认证消息。如果二者相同,USIM计算应答信息XRES(i),发送给SN。SN在收到应答信息后,比较XRES(i)和RES(i)的值。如果相等则通过认证,否则不建立连接。最后在认证通过的基础上,MS/USIM根据RAND(i)和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK(i)。SN根据发送的AV选择对应的CK和IK。,3、本地认证,AKA是基于认证向量的在USIM和HE之间的认证,适用于用户第一次登录网络时的情况。在线用户发出服务请求、位置更新或剥离网络请求时常使用另一种认证:本地认证。它使用了AKA中产生的CK与IK,认证只发生在USIM和VLR之间,可为用户数据提供完整性保护。这样做的好处是即使HE/AuC的链路不稳定,VLR/SGSN也可为用户提供安全服务。,4、加密和完整性保护,认证成功后,3G系统允许对空中接口的数据进行加密和完整性保护。加密和完整性算法分别采用了KASUMI算法中的f8和f9算法。通过f8算法产生密码流分组对原始数据进行加密。若构成无线承载的RLC层采用非透明模式,则加密由RLC层实施;若RLC层采用透明模式,则加密由MAC层实施。f9算法的输入参数包括:IK、完整性序列号COUNT-I、随机数FRESH、方向比特DIRECTION和信令消息MESSAGE。发送方利用f9算法计算出MAC-1,随消息一起发送出去,接收方计算XMAC-1并与收到的MAC-1相比较以验证消息的完整性。,5、安全分析,总的来说,3GPP的安全体系结构经过了精心的设计以弥补GSM的弱点。GSM的主要漏洞在于两点:认证是单向的(MS不能认证网络),加密是可选的。在3GPP中,认证是双向的,同时加密是强制的。另外,完整性保护防止了信令消息的重放,认证向量的序号防止了网络伪装者对认证向量的重用;采用完整性保护功能能够实现快速的本地认证。在算法方面,由于认证算法可随运营商不同而不同,3G系统中的AKA算法可采用非标准化的算法,而机密性算法f8和完整性算法f9算法已进行了标准化。,五、蓝牙技术的安全机制,1、安全模式,在蓝牙技术标准中定义了三种安全模式:安全模式1为无安全机制的模式,在这种模式下蓝牙设备屏蔽链路级的安全功能,适于非敏感信息的数据库的访问。这方面的典型的例子有自动交换名片和日历(即vCard和vCalendar)。安全模式2提供业务级的安全机制,允许更多灵活的访问过程,例如,并行运行一些有不同安全要求的应用程序。在这种模式中,蓝牙设备在信道建立后启动安全性过程,也就是说它的安全过程在较高层协议进行。安全模式3提供链路级的安全机制,链路管理器对所有建立连接的应用程序,以一种公共的等级强制执行安全标准。在这种模式中,蓝牙设备在信道建立以前启动安全性过程,也就是说它的安全过程在较低层协议进行。,2、链路级安全参数,蓝牙技术在应用层和链路层上提供了安全措施。链路层采用四种不同实体来保证安全。所有链路级的安全功能都是基于链路密钥的概念实现的,链路密钥是对应每一对设备单独存储的一些128位的随机数。,3、密钥管理(1),蓝牙系统用于确保安全传输的密钥有几种,其中最重要的密钥是用于两个蓝牙设备之间鉴权的链路密钥。加密密钥可以由链路密钥推算出来,这将确保数据包的安全,而且每次传输都会重新生成。最后还有PIN码,用于设备之间互相识别。链路密钥:一共有四种可能存在的链路密钥,所有链路密钥都是128位的随机数,它们或者是临时的或者是半永久性的。,3、密钥管理(2),加密密钥由当前的链路密钥推算而来。每次需要加密密钥时它会自动更换。之所以将加密密钥与鉴权密钥分离开,是因为可以使用较短的加密密钥而不减弱鉴权过程的安全性。蓝牙安全码通常称为PIN(个人识别号码),是一个由用户选择或固定的数字,长度可以为16个字节,通常采用四位十进制数。用户在需要时可以改变它,这样就增加了系统的安全性。另外,同时在两个设备输入PIN比其中一个使用固定的PIN要安全得多。事实上它是唯一的可信的用于生成密钥的数据,典型情况是四位十进制PIN码与其他变量结合生成链路密钥和加密密钥。,4、加密算法(1),蓝牙系统加密算法为数据包中的净荷(即数据部分)加密,其核心部分是数据流密码机E0,它包括净荷密钥生成器,密钥流生成器,和加/解密模块。由于密钥长度从8比特到128比特不等,信息交互双方必须通过协商确定密钥长度。有几种加密模式可供使用,如果使用了单元密钥或者联合密钥,广播的数据流将不进行加密。点对点的数据流可以加密也可以不加密。如果使用了主密钥,则有三种可能的模式:加密模式1:不对任何进行加密;加密模式2:广播数据流不加密,点对点数据流用临时密钥Kmaste进行加密;加密模式3:所有数据流均用临时密钥Kmaste进行加密。,4、加密算法(2),每个应用程序对密钥长度有严格的限制,当应用程序发现协商后得到的密钥长度与程序要求不符,就会废弃协商的密钥长度。这主要是为了防止恶意用户通过协商过程减小应用程序密钥长度,以便对系统造成破坏。,5、认证机制(1),两个设备第一次通信时,初始化过程生成一个共用的链路密钥,结对过程要求用户输入16字节(或128位)PIN到两个设备,根据蓝牙技术标准,结对过程如下:根据用户输入的PIN生成一个共用随机数作为初始化密钥,此密钥只用一次,然后即被丢弃。在整个鉴权过程中,始终检查PIN是否与结对设备相符。生成一个普通的128位随机数链路密钥,暂时储存在结对的设备中。只要该链路密钥储存在双方设备中,就不再需要重复结对过程,只需实现鉴权过程。基带连接加密不需要用户的输入,当成功鉴权并检索到当前链路密钥后,链路密钥会为每个通信会话生成一个新的加密密钥,加密密钥长度依据对安全等级而定,一般在8128比特之间,最大的加密长度受硬件能力的限制。,5、认证机制(2),为防止非授权用户的攻击,蓝牙标准规定,如果认证失败,蓝牙设备会推迟一段时间重新请求认证,每增加一次认证请求,推迟时间就会增加一倍,直到推迟时间达到最大值。同样认证请求成功后,推迟时间也相应地成倍递减,直到达到最小值。,6、蓝牙安全架构(1),蓝牙安全架构可以实现对业务的选择性访问,蓝牙安全架构建立在L2CAP层之上,特别是RFCOMM层。其它协议层对蓝牙架构没有什么特别的处理,它们可能有其自身的安全特征。蓝牙安全架构允许协议栈中的协议强化其安全策略,例如,L2CAP在无绳电话方面强化了蓝牙安全策略,RFCOMM则是在拨号网络方面强化了蓝牙安全策略,OBEX在文件传输和同步应用方面使用自己的安全策略。蓝牙安全架构提供了一个灵活的安全框架,此框架指出了何时涉及用户的操作,下层协议层需要哪些动作来支持所需的安全检查等。,6、蓝牙安全架构(2),安全管理器是蓝牙安全架构中最重要的部分,负责存储与业务和设备安全有关的信息,响应来自协议或应用程序的访问要求,连接到应用程序前加强鉴权和加密,初始化或处理来自用户或者外部安全控制实体的输入,在设备级建立信任连接等。,7、蓝牙安全技术存在的问题(1),(1)用户隐私。由于蓝牙设备内的蓝牙地址具有全球唯一性,一旦这个地址与某用户相关联,他的行动都可以被记录,所以隐私就得不到保障。(2)PIN问题。为了初始化一个安全连接,两个蓝牙设备必须输入相同的PIN码。PIN是唯一的可信的用于生成密钥的数据,链路密钥和加密密钥都与它有关。用户有可能将其存在设备上,或者输入过于简单,所以PIN易受到攻击,解决的方法是使用较长的PIN,或者使用密钥变更系统。(3)链路密钥。鉴权和加密都是基于双方共享的链路密钥,这样,某一设备很可能利用早就得到链路密钥以及一个伪蓝牙地址计算出加密密钥,从而监听数据流。虽然这种攻击需要花一些功夫,但贝尔实验室已证实了其可能性。,7、蓝牙安全技术存在的问题(2),蓝牙技术把众多的移动设备连接成网络,有着广阔的应用前景。它的底层协议栈是其技术的核心,一个个诱人的产品技术标准就建筑在这些底层标准上,而这些都需要安全机制的保证。随着蓝牙技术的逐步成功,它将扩展为更高的无线通信标准,使蓝牙技术具有蓬勃的生命力。,六、IEEE802.11的安全机制,1、WEP2、认证过程3、加解密过程4、安全性能,1、WEP,有线等价协议WEP(Wired Equivalent Privacy)是在IEEE 802.11标准中采用的信息保密机制,它主要用于保障无线局域网络中链路层信息数据的保密。WEP采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。WEP的目标就是为无线局域网数据提供与有线网络相同级别的安全保护。WEP设计目标中包括:(1)为无线局域网提供与有线网络相同级别的安全保护,保证无线通信信号的安全性(保密性和完整性);(2)防止对无线网络的非授权访问(通过对密钥的保护,使没有密钥的非授权者无法访问网络)。,2、认证过程(1),认证是对网络发送端和接收端能力的限制。在IEEE802.11中采用了两种认证模式:开放系统认证和共享密钥认证。无论哪一种认证方式都是设备接入IEEE802.11无线局域网的第一步。认证的方法必须设置在每一个客户端上,并且必须与客户端进行联系的接入点相匹配。,2、认证过程(2),(1)开放系统认证模式:是IEEE802.11 WEP中默认的认证协议。正像它的名称一样,开放系统认证协议对任何提出认证的用户提供认证。整个认证过程是透明、开放的,即使提交的WEP密钥是错误的,任何标准的兼容客户端也可以直接连接到无线局域网络接入点。因此,IEEE802.11 WEP的开放系统认证模式提供了无效(NULL)的认证过程。当一个客户端想接入一个网络的时候,大量的实验已经揭示了采用开放系统认证模式的互动认证过程,结果表明,即使WEP认证功能开启的时候,在互动认证过程中传送的认证管理帧的数据始终是清晰可见的。是一种最为简单有用的认证算法,即为口令接入控制方式,分为两个认证步骤:第一步,欲接入网的站发送认证帧,请求认证身份;第二步是返回认证结果。,2、认证过程(3),(2)共享密钥认证模式:共享密钥(Shared Key)认证系统采用标准的挑战-应答机制,加上一个共享密钥进行认证。当一个站点想要取得认证,挑战者发起一个挑战,发送一个认证请求管理帧,表明他想使用“共享密钥”认证。应答者接收到这个认证请求后,进行应答。应答者发送一个包含128个字节的挑战文本的认证管理帧给挑战者。这个挑战文本的产生是采用WEP的伪随机码产生器PRNG和共享密钥,以及一个随机初始化向量IV。挑战者一旦收到来自应答者发来的认证管理帧,就将挑战文本的内容拷贝到一个新的管理帧中。然后,这个新的管理帧采用WEP进行加密,使用共享密钥和挑战者重新选择的一个新的初始化向量IV。新的管理帧被加密之后又被发送到应答者。应答者接收到这个帧之后进行解密,并校验32位CRC完整性检验值ICV是否有效,验证接收到的挑战文本是否与发送先前信息中的匹配。如果这些均通过验证,则认证成功。认证成功后,挑战者和应答者进行角色交换,并重新完成上述认证过程,以保证互动认证成功。,2、认证过程(4),基于共享密钥的认证要求无线站向接入点AP(Access Point)证明它知道一个与AP共享的密钥,而且认证过程需要WEP算法的参与。基于共享密钥的认证过程可以描述如下:1)无线站向访问节点AP发出一个共享密钥认证的请求;2)AP产生一个128字节长的随机数作为“提问”传给无线站;3)无线站利用WEP算法和共享的密钥将“提问”加密后传回给AP;4)AP利用同样的密钥和WEP算法来检验数据的完整性和消息的有效性。如果通过所有的检验,AP将通知无线站可以开始相关过程,否则,AP将终止与该无线站的通信。,2、认证过程(5),无线站与AP的相关联过程描述如下:无线站传其SSID或扩展服务建立识别ESSID(Extend Service Setup Identifer)给AP,AP检验其ESSID。如果无线站的ESSID与AP的匹配,AP就将该无线站列入已认证过的无线站表中,并返回一个肯定的答复给无线站。然后,无线站就可以与网络连接。,3、加解密过程,WEP加密过程:WEP是依赖通信双方共享的密钥来保护传输的加密帧数据。WEP解密过程:解密过程只是加密过程的简单取反。,4、安全性能,在WEP的设计中期望达到三个主要目标:机密性(Confidentiality)。WEP基本的目标是为了防止偶尔窃取无线局域网中的数据行为访问控制(Access control)。WEP的第二个目标是对无线网络设备访问的控制。在IEEE802.11中设计了一个可选的功能,它可以使无线网络设备丢弃没有采用WEP正确加密的所有数据包。数据完整性(Data integrity)。第三个目标是阻止对传输数据的篡改。在WEP数据帧结构中完整性校验和段的设置就是为了保证这个目的。,七、我国的WLAN标准,