《802.11無(wú)線網(wǎng)絡(luò)權(quán)威指南》第7 章 802.11iRSN、TKIP 與CCMP.pptx

,802.11WirelessNetworks系列教學(xué)PPT,日天,第7章802.11i：TKIP、CCMP與RSN,本章概述：,1.臨時(shí)密鑰完整性協(xié)議（TKIP）2.計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議（CCMP）3.固安網(wǎng)絡(luò)（RSN）的運(yùn)作方式,日天,第7章802.11i：TKIP、CCMP與RSN,本章概述：,1.臨時(shí)密鑰完整性協(xié)議（TKIP）2.計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議（CCMP）3.固安網(wǎng)絡(luò)（RSN）的運(yùn)作方式,日天,第7章802.11i：TKIP、CCMP與RSN,臨時(shí)密鑰完整性協(xié)議（TKIP）：,第一種廣為使用的新式鏈路層加密協(xié)議開發(fā)TKIP的主要?jiǎng)訖C(jī)，是為了升級(jí)舊式WEP硬件的安全性TKIP保留了WEP的基本架構(gòu)與過程方式，因?yàn)樗揪褪且粋€(gè)設(shè)計(jì)來(lái)升級(jí)WEP方案的軟件,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP與WEP的差異：,密鑰階層體系與自動(dòng)密鑰管理為個(gè)別幀配鑰序號(hào)計(jì)數(shù)器新的信息完整性檢驗(yàn)（簡(jiǎn)稱MIC)信息完整性檢驗(yàn)失敗的反制措施,日天,第7章802.11i：TKIP、CCMP與RSN,密鑰階層體系與自動(dòng)密鑰管理：,不同于WEP直接使用單一主鑰(masterkey)的做法，TKIP使用到了多把主鑰。最后用來(lái)加密幀的密鑰，是由這些主鑰衍生而來(lái)。另外，TKIP也提供密鑰管理過程，使得主鑰的更新可以在安全的情況下進(jìn)行。,日天,第7章802.11i：TKIP、CCMP與RSN,為個(gè)別幀配鑰（per-framekeying）：,雖然TKIP保留WEP所使用的RC4幀加密機(jī)制，不過為了防范針對(duì)弱點(diǎn)密鑰的攻擊，它會(huì)為個(gè)別幀（從主鑰）衍生出特有的RC4密鑰。為每個(gè)幀準(zhǔn)備獨(dú)特密鑰的程序，稱為配鑰。,日天,第7章802.11i：TKIP、CCMP與RSN,序號(hào)計(jì)數(shù)器（sequencecounter)：,為個(gè)別幀編列序號(hào)，即可辨識(shí)出次序錯(cuò)亂的幀，如此便能防范所謂的重放攻擊，亦即攻擊者先攔截有效封包，等候一段時(shí)間再予以重傳的攻擊。,日天,第7章802.11i：TKIP、CCMP與RSN,新的信息完整性檢驗(yàn)：,TKIP以一種比較牢靠，稱為Michael的完整性檢驗(yàn)雜湊算法，取代WEP所使用的線性雜湊算法。Michael較為牢靠，檢測(cè)偽造幀也更加容易。此外，來(lái)源地址受到完整性檢驗(yàn)的保護(hù)，就可以檢測(cè)出宣稱來(lái)自特定來(lái)源的偽造幀。,日天,第7章802.11i：TKIP、CCMP與RSN,信息完整性檢驗(yàn)失敗的反制措施：,設(shè)計(jì)上，TKIP是為了套用于現(xiàn)有的硬件，因此不免有所限制。Michael可能遭受主動(dòng)式攻擊而被攻陷，因此TKIP包含了一些反制措施，以控制主動(dòng)式攻擊可能造成的損害。,日天,第7章802.11i：TKIP、CCMP與RSN,WEP的主要破綻：,WEP的隨機(jī)種子（seed）系由初始向量（簡(jiǎn)稱IV）以及WEP密鑰串連而成，IV本身就泄露了大部分的密鑰結(jié)構(gòu)。如此一來(lái)，攻擊者就可以觀察IV的重復(fù)使用情形，進(jìn)一步挖掘出用以加密幀的相同密鑰串。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP初始向量的使用：,為了防范初始向量攻擊，TKIP將IV的長(zhǎng)度從24位元為48個(gè)位元初始向量空間即由一千六百萬(wàn)增加為二百八十一兆可以有效防止IV空間在密鑰的使用期限內(nèi)耗盡。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP配鑰(keymixing）的使用：,在TKIP中，各個(gè)幀均會(huì)被特有的RC4密鑰所加密只要各個(gè)幀使用不同密鑰，TKIP就能夠防止攻擊者搜集足夠的數(shù)據(jù)，針對(duì)這些密鑰發(fā)動(dòng)攻擊。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP序號(hào)計(jì)數(shù)器：,TKIP初始向量本身扮演序號(hào)計(jì)數(shù)器（sequencecounter）的角色。每次安裝新的主鑰，初始向量/序號(hào)計(jì)數(shù)器就會(huì)被重設(shè)為1。每傳一個(gè)幀，序號(hào)計(jì)數(shù)器就會(huì)隨之累加。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP重演攻擊防護(hù)：,為了防范重演攻擊，TKIP會(huì)保留來(lái)自各工作站的最近序號(hào)。一旦成功接收到某個(gè)幀，就會(huì)以之與最近接收到的幀序號(hào)進(jìn)行比對(duì)。如果大于前值就予以接受，否則就加以拒絕。,日天,第7章802.11i：TKIP、CCMP與RSN,Michael完整性檢驗(yàn)：,TKIP設(shè)計(jì)當(dāng)時(shí)，處理器功能都不夠強(qiáng)，數(shù)學(xué)運(yùn)算不夠快，無(wú)法及時(shí)進(jìn)行完整性檢驗(yàn)。Michael的實(shí)現(xiàn)方式完全是采用swap、shift之類的逐位元（bitwise）運(yùn)算，或甚至是通過丟棄特定位元的方式。,日天,第7章802.11i：TKIP、CCMP與RSN,Michael反制措施：,從Micheal的設(shè)計(jì)，可以看出它無(wú)法提供多少安全性TKIP整合了一些反制措施，以關(guān)閉網(wǎng)絡(luò)與更新密鑰來(lái)檢測(cè)與應(yīng)對(duì)主動(dòng)攻擊。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)處理與過程：,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的配鑰程序：,TKIP會(huì)為所傳送的每個(gè)幀配制一把獨(dú)特的密鑰。此密鑰衍生自初始向量/序號(hào)計(jì)數(shù)器、幀的傳送端地址（未必是幀來(lái)源）以及臨時(shí)密鑰。,日天,第7章802.11i：TKIP、CCMP與RSN,密鑰的配制：,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)傳輸：,1.將802.11幀置于佇列待傳(queuedfortransmission）。其中包含幀標(biāo)頭以及承載數(shù)據(jù)（payload）。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)傳輸：,2.計(jì)算信息完整性檢驗(yàn)值（簡(jiǎn)稱MIC）。它以秘鑰（secretkey）作為驗(yàn)證程序的一部分，而且不止保護(hù)802.11幀所承載的數(shù)據(jù)。除了幀數(shù)據(jù)，MIC還納入了來(lái)源與目的地址，以及未來(lái)802.11e標(biāo)準(zhǔn)將會(huì)用到的優(yōu)先性位元（prioritybits）。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)傳輸：,3.賦予各個(gè)幀片段序號(hào)。與WEP初始向量不同，TKIP的序號(hào)計(jì)數(shù)器會(huì)隨每個(gè)幀片段累加。如果幀毋須切割，那么只要編列一個(gè)序號(hào)即可。如果幀被切割為數(shù)個(gè)片段，計(jì)數(shù)器則會(huì)依片段數(shù)量累加。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)傳輸：,4.每個(gè)幀均會(huì)以其獨(dú)有的WEP密鑰進(jìn)行加密。通過配鑰程序，TKIP為每個(gè)幀產(chǎn)生WEP密鑰。個(gè)別幀所擁有的密鑰將會(huì)傳給WEP，以作為IV與密鑰之用；對(duì)個(gè)別幀而言，此二者均會(huì)隨之變動(dòng)。,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的數(shù)據(jù)傳輸：,5.幀本身加上步驟二所得到的Michael信息完整性檢驗(yàn)值，以及步驟四所得到的RC4密鑰，一并交付WEP，由WEP進(jìn)行幀分封過程，如第五章所述。值得注意的是，這意味著，受到TKIP保護(hù)的幀，將會(huì)同時(shí)包含WEP的成份。,日天,第7章802.11i：TKIP、CCMP與RSN,幀封包格式：,日天,第7章802.11i：TKIP、CCMP與RSN,TKIP的接收：,日天,1.一旦無(wú)線界面接收到幀，如果通過幀檢查程序確認(rèn)不曾損毀，就會(huì)交付TKIP做進(jìn)一步的驗(yàn)證。,第7章802.11i：TKIP、CCMP與RSN,TKIP的接收：,日天,2.TKIP采取的第一個(gè)步驟是檢查序號(hào)，以防范重演攻擊。,第7章802.11i：TKIP、CCMP與RSN,TKIP的接收：,日天,3.還原用來(lái)加密封包的WEP隨機(jī)種子。,第7章802.11i：TKIP、CCMP與RSN,TKIP的接收：,日天,4.WEP隨機(jī)種子到手后，就可以除去幀外圍所包覆的WEP層，然后還原內(nèi)容,第7章802.11i：TKIP、CCMP與RSN,TKIP的接收：,日天,6.幀重組之后，將會(huì)依幀內(nèi)容計(jì)算其Michael值。,第7章802.11i：TKIP、CCMP與RSN,Michael完整性檢驗(yàn)：,從架構(gòu)的觀點(diǎn)來(lái)看，Michael被安插在MAC服務(wù)層中。Michael并不算是特別安全的加密協(xié)議。它的設(shè)計(jì)，主要是為了那些設(shè)備不少的用戶，在升級(jí)既有網(wǎng)絡(luò)安全性的過渡時(shí)期，可以有點(diǎn)喘息的空間。,日天,第7章802.11i：TKIP、CCMP與RSN,Michael的數(shù)據(jù)處理：,日天,第7章802.11i：TKIP、CCMP與RSN,Michael反制措施：,1.標(biāo)記并登錄該MIC錯(cuò)誤。在驗(yàn)證MIC之前，此幀必須通過重放攻擊防護(hù)以及WEP完整性檢驗(yàn)。幀如果已送Michael驗(yàn)證，事情就沒那么單純。因此，只要MIC驗(yàn)證失敗，就可能發(fā)生安全相關(guān)問題，系統(tǒng)管理員必須加以探究。,日天,第7章802.11i：TKIP、CCMP與RSN,Michael反制措施：,2.如果在60秒通訊之內(nèi)發(fā)生兩次以上MIC錯(cuò)誤，反制措施會(huì)立即停止所有的TKIP通訊60秒。暫停通訊的做法，可以讓攻擊者無(wú)法立即再次發(fā)動(dòng)持續(xù)性的攻擊。,日天,第7章802.11i：TKIP、CCMP與RSN,Michael反制措施：,3.更新密鑰。工作站刪除自己所持有的主鑰副本，然后向認(rèn)證者要求配發(fā)新的密鑰，認(rèn)證者負(fù)責(zé)產(chǎn)生與傳遞新的密鑰。,日天,第7章802.11i：TKIP、CCMP與RSN,本章概述：,1.臨時(shí)密鑰完整性協(xié)議（TKIP）2.計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議（CCMP）3.固安網(wǎng)絡(luò)（RSN）的運(yùn)作方式,日天,第7章802.11i：TKIP、CCMP與RSN,計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議（CCMP）：,一種以先進(jìn)加密標(biāo)準(zhǔn)（簡(jiǎn)稱AES）的區(qū)塊密碼鎖為基礎(chǔ)的安全協(xié)議。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)處理：,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,1.將802.11幀置于佇列待傳。其中包含幀標(biāo)頭以及承載數(shù)據(jù)。和WEP一樣，TKIP只保護(hù)802.11MAC的承載數(shù)據(jù)，至于802.11幀標(biāo)頭以及下層協(xié)議的標(biāo)頭則原封不動(dòng)。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,2.賦予一個(gè)48位元的封包號(hào)碼（簡(jiǎn)稱PN）。和TKIP序號(hào)一樣，同一把臨時(shí)密鑰不會(huì)重復(fù)使用PN。每次傳送后PN就會(huì)累加，它同時(shí)也用來(lái)檢測(cè)重演攻擊。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,3.建立額外認(rèn)證數(shù)據(jù)（簡(jiǎn)稱AAD）。其中包含幀標(biāo)頭的一些字段，這些字段必須通過真實(shí)性的檢驗(yàn)，但又不能經(jīng)過加密，否則802.11協(xié)議便無(wú)法進(jìn)行過程。接收端同樣會(huì)使用AAD字段，以確認(rèn)這些字段在傳輸過程中未受更改。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,4.其次，建立CCMPnonce。所謂nonce，是指少數(shù)的數(shù)據(jù)位元，用以確保加密程序確實(shí)現(xiàn)用于某些獨(dú)特的數(shù)據(jù)。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,5.其次，建立CCMP標(biāo)頭。它會(huì)將構(gòu)成PN（封包號(hào)碼）的六個(gè)位元組拆開，然后將KeyID（密鑰識(shí)別碼）置于其中。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,6.至此CCM加密引擎所需要的輸入項(xiàng)均已備齊它以128位元的臨時(shí)密鑰、步驟四所產(chǎn)生的nonce、步驟三所產(chǎn)生的額外認(rèn)證數(shù)據(jù)（AAD）以及幀本體作為輸入項(xiàng)。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的數(shù)據(jù)傳輸：,7.以原始的MAC標(biāo)頭、CCMP標(biāo)頭與步驟六所產(chǎn)生的加密數(shù)據(jù)來(lái)組成待傳的加密幀。幀產(chǎn)生之后，就會(huì)交付無(wú)線界面?zhèn)魉停鐖D：,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,1.一旦無(wú)線界面接收到幀，如果通過幀檢驗(yàn)程序確定未曾受損，就會(huì)交付CCMP進(jìn)行驗(yàn)證。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,2.從所接收到的幀還原出AAD（額外認(rèn)證數(shù)據(jù)）。其中只包含幀標(biāo)頭，而且并未經(jīng)過加密。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,3.從幀還原出CCMPnonce。其中包含封包編號(hào)、傳送端地址以及QOS字段的內(nèi)容，這三者均可自未加密的幀標(biāo)頭中取得。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,4.接收端解讀密文。此時(shí)需要臨時(shí)密鑰、步驟3所還原的nonce、步驟2所得到的認(rèn)證數(shù)據(jù)，當(dāng)然還有加密過的幀本體。此一程序完成后，接收端就會(huì)得到一份經(jīng)解密之幀的副本，以及經(jīng)解密的完整性檢查碼。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,5.完整性檢驗(yàn)是針對(duì)明文數(shù)據(jù)與額外認(rèn)證數(shù)據(jù)進(jìn)行計(jì)算。如果計(jì)算出的完整性檢驗(yàn)值與步驟4所得到的完整性檢驗(yàn)值相符，就繼續(xù)進(jìn)行。否則就終止程序。,日天,第7章802.11i：TKIP、CCMP與RSN,CCMP的接收：,6.從MAC標(biāo)頭與步驟4所還原的數(shù)據(jù)組成明文幀。要能通過重放攻擊檢測(cè)檢驗(yàn)，其封包號(hào)碼必須大于或等于最近接收到之通過完整性檢驗(yàn)程序的封包號(hào)碼。,日天,第7章802.11i：TKIP、CCMP與RSN,本章概述：,1.臨時(shí)密鑰完整性協(xié)議（TKIP）2.計(jì)數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實(shí)性檢查碼協(xié)議（CCMP）3.固安網(wǎng)絡(luò)（RSN）的運(yùn)作方式,日天,第7章802.11i：TKIP、CCMP與RSN,固安網(wǎng)絡(luò)（RSN）的運(yùn)作方式：,這組程序主要在定義密鑰的產(chǎn)生與傳遞方式,日天,第7章802.11i：TKIP、CCMP與RSN,802.11i密鑰階層體系：,鏈路層加密協(xié)議使用了兩種密鑰。成對(duì)密鑰（pairwisekeys）用來(lái)保護(hù)工作站與AP之間往來(lái)的數(shù)據(jù)。群組密鑰（groupkeys）用來(lái)保護(hù)AP至所連接工作站之間的廣播或組播數(shù)據(jù)。,日天,第7章802.11i：TKIP、CCMP與RSN,成對(duì)密鑰階層體系：,TKIP與CCMP均使用單一主鑰來(lái)產(chǎn)生幀保護(hù)過程所需要的其他密鑰。利用衍生密鑰，工作站得以更新加密密鑰，毋須重新執(zhí)行整個(gè)認(rèn)證程序。主鑰本身扮演著秘密根源的角色，必須小心保護(hù)，因?yàn)樗信滂€素材均衍生于此。,日天,第7章802.11i：TKIP、CCMP與RSN,成對(duì)密鑰階層體系：,配鑰是從主鑰開始。在成對(duì)密鑰體系中，主鑰稱為成對(duì)主鑰（簡(jiǎn)稱PMK），長(zhǎng)度為256個(gè)位元,日天,第7章802.11i：TKIP、CCMP與RSN,成對(duì)密鑰階層體系：,為了得到本章之前所提到的臨時(shí)密鑰，必須使用預(yù)先定義好的準(zhǔn)隨機(jī)函式來(lái)展開PMK。為了使數(shù)據(jù)更為隨機(jī)，此一展開過程是根據(jù)預(yù)設(shè)主鑰、申請(qǐng)者與認(rèn)證者的MAC地址以及兩個(gè)作為四道密鑰交換磋商的隨機(jī)nonce值。,日天,第7章802.11i：TKIP、CCMP與RSN,成對(duì)密鑰階層體系：,TKIP與CCMP均會(huì)使用準(zhǔn)隨機(jī)函式將256位元的PMK展開為成對(duì)臨時(shí)密鑰(簡(jiǎn)稱PTK）。在TKIP與CCMP體系中，臨時(shí)密鑰的兩組128位元區(qū)塊，在傳遞過程中被用來(lái)保護(hù)臨時(shí)密鑰。,日天,第7章802.11i：TKIP、CCMP與RSN,群組密鑰階層體系：,鏈路層安全協(xié)議為廣播與組播使用了另一組不同的密鑰。已連接的各工作站均擁有不同的預(yù)設(shè)主鑰，因此無(wú)法從認(rèn)證過程中推衍出組播所需要的密鑰。事實(shí)上，認(rèn)證者擁有群組主鑰（簡(jiǎn)稱GMK），以作為臨時(shí)密鑰的基礎(chǔ)。,日天,第7章802.11i：TKIP、CCMP與RSN,群組密鑰階層體系：,通過準(zhǔn)隨機(jī)函式，群組主鑰會(huì)被展開成群組密鑰體系：,日天,第7章802.11i：TKIP、CCMP與RSN,802.11i密鑰的產(chǎn)生與傳遞：,日天,第7章802.11i：TKIP、CCMP與RSN,更新成對(duì)密鑰：四道磋商：,