安全协议与标准10-wlan和gsm3g安全.ppt

安全协议与标准,linfb@ 2009, 11,ToC,WLAN GSM  3G ,IEEE802,,管理和安全,802.1 概述，体系结构，参照模型，标准和高层协议交互互连问题，网络管理， MAC和LLC之上的问题，鉴别各种不同的协议 802.1X LAN访问控制和接入认证 802.1AE 加密以太帧 802.1AR-2009 Secure Device Identity (DevID) 802.11i,802.1x Port Based Network Access Control,IEEE 802.1X是IEEE制定关于用户接入网络的认证标准，在用户接入网络（以太网、802.3或WLAN）之前运行 运行EAP over LAN，支持RADIUS协议，是C/S模式的访问控制和认证协议 它限制未经授权的用户/设备通过接入端口(access port)访问 在认证通过之前，802.1x只允许EAPoL数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口RADIUS,Remote Authentication Dial In User Service RADIUS协议 由Livingston公司提出的 起先的目的是为拨号用户进行认证和计费 后经过多次改进成为了通用的认证计费协议,RADIUS,RADIUS是基于挑战/应答(Challenge/ Response)的C/S结构的协议。

RADIUS是一种可扩展的协议，它进行的全部工作都是基于ALV(Attribute-Length-Value)的向量进行的 RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式RADIUS UDP/Port,RADIUS服务器使用UDP协议进行通信 采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加方便快捷 RADIUS服务器的1645(1812)端口负责认证，1646(1813)端口负责计费工作RADIUS in Windows Server,Windows中的”Internet验证服务”器(IAS)，主要实现和支持RADIUS协议扩展认证协议（EAP）,一个普遍使用的认证机制，常被用于无线网络或点到点的连接以及有线局域网 EAP是一个认证框架，不是一个特殊的认证机制 EAP提供一些公共的功能，并且允许协商所希望的认证机制这些机制被叫做EAP方法，现在大约有40种不同的方法 WPA和WPA2标准已经正式采纳了5类EAP作为正式的认证机制802.1X,,802.1X工作过程 (概念),用户打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。

请求认证的报文给交换机，开始一次认证过程 交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来 客户端程序将用户名信息送给交换机交换机送给认证服务器进行处理 认证服务器收到交换机转发上来的用户名信息后，查询数据库，用随机生成的一个加密字对口令进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序 客户端程序使用由交换机传来的加密字对口令部分进行加密处理（不可逆的），并通过交换机传给认证服务器 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，并向交换机发出打开端口的指令EAPOL: EAP over LAN,EAPOL operates at the network layer on top of the data link layer, and in Ethernet II framing protocol has an EtherType value of 0x888E.,802.1X认证模式,端口认证模式 在模式下只要连接到端口的某个设备通过认证，其他设备则不需要认证，就可以访问网络资源。

MAC认证模式 该模式下连接到同一端口的每个设备都需要单独进行认证802.1X常用的EAP认证方式,Radius: CHAP,当用户请求上网时，NAS产生一个16字节的随机码给用户 用户端得到这个包后使用MD5生成一个response传给NAS（还有ID/username等信息） NAS把传回来的username和ID/Response作为用户名和口令，并把原来的16字节随机码传给RADIUS服务器 RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败 另外如果验证成功，RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问（Challenge）802.1X认证的优势,简洁高效 容易实现 安全可靠 行业标准 应用灵活 易于运营,802.1x应用,Windows XP, Windows Vista, and Windows 7 support 802.1X for all network connections by default.,802.1ae,802.1AE是一种二层封装技术，通过封装所有以太网针，从而实现加密的安全效果。

这项标准通过提供逐跳的安全性，保护网络基础设施的可信赖部件之间的通信 这是它与在端到端的基础上保护应用的ipSec之间的不同之处无线局域网（Wireless LAN）,WLAN是不使用任何导线或传输电缆连接的局域网，而使用无线电波作为数据传送媒介的网络 无线局域网用户通过一个或多个无线接取器（Wireless Access Points, WAP）接入，传送距离一般只有几十米 其主干网路通常使用有线电缆 已经广泛的应用在商务区、大学、机场及其他公共区域WLAN,无线局域网最通用的标准是IEEE定义的802.11系列标准 HomeRF Bluetooth,WLAN接入设备,,,,,,迅驰（Centrino）,迅驰（Centrino）是英特尔公司旗下的结合Pentium M或酷睿处理器、Intel的芯片组和Intel无线网卡的移动计算解决方案的品牌 每新一代技术有不同的英文开发代号 Carmel平台、Sonoma平台、Napa平台、Santa Rosa平台 从2008年发布的Montevina平台开始，英特尔开始使用“迅驰2”的品牌 Montevina平台、Calpella平台、Huron River platform (2011)、Chief River platform (2012)、Shark Bay platform (2013),,WLAN,Hidden node problem,Peer-to-Peer or ad-hoc 模式,allows wireless devices to directly communicate with each other,The 802.11 Protocol Stack,,IEEE802.11,802.11-1997 (802.11 legacy) 1/2M 802.11a 1999 OFDM 54Mbps 5Ghz 802.11b 1999 HR-DSSS 11Mbps 2.4Ghz 802.11g 2001 newOFDM 54M 2.4Ghz 802.11-2007 802.11n 2009 MIMO 300/600Mbps 802.11-2012 802.11ac,2.4Ghz,the 2.4 GHz ISM band. 802.11工作组划分了两个独立的频段，2.4 GHz和4.9/5.8 GHz。

每个频段又划分为若干信道，且每个国家自己制定使用这些频段的政策 虽然频道1，6和11互不重迭的说法是不正确的，但是至少说明：频道1、6和11之间虽然会对彼此造成干扰，而却不至于太大地影响到通讯的传输速率802.11i,The 802.11i architecture contains the following components: 802.1X for authentication (entailing the use of EAP and an authentication server), RSN for keeping track of associations, and AES-based CCMP to provide confidentiality, integrity, and origin authentication. Another important element of the authentication process is the four-way handshake.,The Four-Way Handshake,,,WEP: Wired Equivalent Privacy WPA: 802.11i / Wi-Fi Protected Access WPA implemented a subset of 802.11i WPA2: 802.11i-2004/WPA2 WAPI: WLAN Authentication and Privacy Infrastructure,,,WEP,WEP 是1999年9月通过的 IEEE 802.11 标准的一部分。

WEP 的设计是要提供和传统有线的局域网路相当的机密性 无线局域网中的WEP加密机制并不能够为无线用户提供足够的安全保护，密码分析已经找出 WEP 好几个弱点 2003年被Wi-Fi Protected Access (WPA) 淘汰 2004年由WPA2 所取代WEP,使用 RC4（Rivest Cipher）串流加密技术达到机密性，并使用 CRC-32 验和达到资料正确性 标准的64比特WEP使用40比特的钥匙接上24比特的初向量（initialization vector，IV）成为 RC4 用的钥匙 钥匙长度不是 WEP 安全性的主要因素，破解较长的钥匙需要拦截较多的封包，但是有某些主动式的攻击可以激发所需的流量 WEP 还有其他的弱点，包括 IV 雷同的可能性和变造的封包，这些用长一点的钥匙根本没有用WEP：基于共享秘密的认证,0. 客户端需要设置与接入点预存密钥匹配的密钥 1.客户端向接入点发送认证请求 2.接入点发回一个明文挑战值 3.客户端利用预存的密钥对明文加密，再次向接入点发出认证请求 4.接入点对数据包进行解密，比较明文，并决定是否接受请求Reading materials,RC4 in WEP,WEP破解,2001年8月，Fluhrer et al. 利用 RC4 加解密和 IV 的使用方式的特性，在网络上偷听几个小时之后，把 RC4 的钥匙破解出来。

这个攻击方式自动化的工具也有了，只要用个人电脑和免费可得的软件就能进行这种攻击 Cam-Winget et al. (2003) 审查了 WEP 的各种短处， “只要有合适的仪器，就可以在一英里之外或更远的地方偷听由 WEP 保护的网络 2005年，美国联邦调查局的一组人展示了用公开可得的工具，可以在三分钟内破解一个用 WEP 保护的网络WEP之后,对 WEP 安全问题的解法是换到 WPA 或 WPA2，不论哪个都比 WEP 安全 有些古老的 WiFi access point可能需要汰换或是把它们内存中的操作系统升级才行，不过替换费用相对而言并不贵 另一种方案是用某种穿隧协定，如IPsecWPA: Wi-Fi Protected Access,WPA 和 WPA2是WEP的升级协议，实现了 IEEE 802.11i 标准的大部分，是在 802.11i 完备之前替代 WEP 的过渡方案 WPA 的设计可以用在所有的无线网卡上，但未必能用在第一代的无线取用点上 WPA2 实作了完整的标准，但不能用在某些古老的网卡上。