802.11i4-步握手安全性分析.docVIP

802.11i4-步握手安全性分析 许国祥 李天昀 吴中超 清华大学网络与信息安全实验室 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 摘????要： 本文简要分析了4步握手协议的漏洞, 指出4步握手协议在面对Do S攻击时是脆弱的, 提出了消息1认证机制和STA主动保护机制这两种握手方法。前者将明文的消息1进行了单独认证, 使得入侵者无法伪造消息1进行Do S攻击;后者会在收到合法消息1之后主动关闭端口, 并开启计时器验证认证过程完整性。用这两种方法与已知的两种方法 (Nonce重利用和增强的2-步握手协议) 进行比较, 比较结果表明了这两种方法在应对Do S攻击和Do S溢出攻击时表现稳定, 并对硬件部分和软件部分改动较少。 关键词： IEEE802.11i; 4-步握手; 认证; DoS攻击; 1 802.11i 4-步握手简介和安全性分析 2004年IEEE发布了必威体育精装版版本的WLAN安全协议802.11i, 这种协议是建立强健安全网络 (robust security network RSN) 的基础, 被称为WPA2协议。在数据加密方面, 802.11i协议采用AES加密算法, 相对于RC4算法具有更高的安全性。在接入认证方面, 802.11i采用802.1x基于端口的扩展认证 (EAP) 协议, 该协议包括三个认证实体, 认证服务器 (authentication server AS) 、站点 (station STA) 和接入点 (access point AP) , 在认证过程中AP起到传递认证数据包的作用, 具体的认证工作在AS和STA间完成, 也可以近似认为是AP和STA之间的认证过程。 1.1 4-步握手协议简介 四步握手协议是密钥管理机制中最主要的组成部分, 主要目的是确定STA和AP得到的PMK是相同且必威体育精装版的, 以保证可以产生必威体育精装版的PTK, 其中PMK在认证结束时由STA和AP协商生成。密钥协商过程均用EAPOL-KEY帧格式封装。过程如图1所示。 图1 4-步握手过程 ??下载原图 消息1:AP生成ANonce, 采用局域网扩展认证 (EAPOL-key) 帧发送消息1, 消息1包含随机数ANonce, 序列号sn等, 消息1明文传输。STA收到消息1后, 检验消息1是否为重放消息。检测通过后产生SNonce, 由ANonce, SNonce, PMK, AP_mac和STA_mac等用PRF函数生成PTK, 公式为: P max (SNonce, ANonce) ) , 进而生成MIC, 构造消息2, 消息2用EAPOL-key帧发送, 包含网络安全元素 (RSN IE) 相关信息, MIC用于消息2完整性保护, sn用于防止重放攻击。 消息2:AP收到消息2后检查序列号sn是否大于消息1的序列号sn, 如果成立则检测通过, 否侧丢弃。由ANonce, SNonce, PMK, STA_mac, AP_mac等相关信息生成PTK, 用于消息2的完整性MIC值检测, MIC不同则丢弃。检测通过后, 提取并核对网络安全信息相关元素, 进而构建并发送消息3, 消息3同样用EAPOL-key帧发送用MIC值进行保护。 消息3:STA收到消息3后, 首先检测消息3的sn值是否比消息2的sn值大, 检测通过后核对ANonce是否和消息1的ANonce值一致, 如有不成立、则丢弃该帧, 检测通过后进行后续操作。核对网络安全元素和检测MIC值是否与用EAPOL-key帧发送的一致, 如有不成立则丢弃, 检测通过后进行后续操作。提取RSNIE, 安装PTK至STA_mac, 激活数据加密机制, 序列号sn加1, 构建并发送消息4。 消息4:AP收到消息4后, 检测序列号sn和MIC值, 检测不通过则丢弃、检测通过后, 继续后续步骤。安装PTK至AP_mac, 激活数据加密机制, 同时更新序列号sn。 1.2 四步握手漏洞和缺陷分析 (1) 消息1明文传输漏洞分析 STA在进行4步握手时必须同时保持几个握手实例, 以便顺利完成握手过程。理由如下:AP向STA发送消息1后启动定时装置, 等待STA回复消息2, 假设消息2在传输过程中丢失AP没有收到消息2, 定时器到期后AP将重新发送消息1, 如果仅保持一个握手实例, 这时STA希望收到消息3, 信息1无法通过检测将被丢弃, 所以握手过程到此结束不能顺利完成, 因此为了顺利完成握手实例STA必须允许多个握手实例同时进行, 随时能接收消息1。 STA采用多个握手实例以便于顺利完成4步握手的同时也引入了安全隐患。分析如下:AP向STA发送第一个消息1, STA收