中间人攻击 强健安全网络中的中间人攻击研究

　　文章编号:1001-9081(2012)01-0042-03 doi:10.3724/SP.J.1087.2012.00042 　　 　　�摘 要:中间人(MitM)攻击是强健安全网络(RSN)面临的一类严重安全威胁。参照802.1X�2004认证者和申请者状态机模型，从RSN关联建立过程的整体视角，对RSN中MitM攻击进行系统性分析。指出现有关于RSN中MitM攻击问题研究方面存在片面性，提出RSN中一个MitM攻击的框架和有效攻击条件，并给出该框架下一个有效攻击实例。分析结果表明，RSN采用强双向认证方法时可抗MitM攻击，未采用强双向认证方法时易遭MitM攻击。
　　
　　�关键词:中间人攻击；强健安全网络；状态机；攻击框架；可扩展认证协议
　　�中图分类号:TP393.08 文献标志码:A
　　 �
　　Abstract: Man�in�the�Middle (MitM) attacks pose severe threats to the Robust Security Network (RSN). Based on the state machine model of the authenticator and supplicant in 802.1X�2004, MitM attacks were analyzed systematically from the respect of the whole establishment of RSN associations. With the unilateral cognition of the MitM attacks in RSN clarified, a framework for the MitM attacks in RSN and its conditions of the effective launch of the attacks were brought forward, which were fully verified by an effective attack instance. The analytical results reveal that RSN can withstand MitM attacks if strong mutual authentication methods are adopted; otherwise it is vulnerable to this threat.
　　
　　 Key words: Man�in�the�Middle (MitM) attack; Robust Security Network (RSN); state machine; attack framework; Extensible Authentication Protocol (EAP)
　　�
　　
　　0 引言�
　　为应对不断突出的无线局域网(Wireless Local Area Network, WLAN)安全问题，2004年6月，IEEE 802.11 TGi工作组正式发布了新一代WLAN安全标准――IEEE �802.11i�［1］，提出了强健安全网络(Robust Security Network, RSN）的概念，主要从认证与加密两个方面来增强WLAN的安全性。在认证方面，RSN使用了基于端口的访问控制技术IEEE 802.1X［2］、扩展认证协议(Extensible Authentication Protocol, EAP)［3］和动态密钥管理机制；在加密方面，802.11i采用了TKIP(Temporal Key Integrity Protocol)、CCMP(CTR with CBC�MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)等加密机制。802.11i安全标准的推出很大程度上增强了WLAN的安全性能，但研究表明RSN仍存在众多安全缺陷，易遭DoS攻击、中间人(Man�in�the�Middle, MitM）攻击、会话劫持、安全级回滚攻击等［4-6］。�
　　MitM攻击是RSN中常见且危害较大的一类攻击，但现有关于RSN中MitM攻击的系统性研究成果较少。由于未参照802.1X�2004［2］状态机模型，而是参照不适用于WLAN的802.1X�2001［7］状态机模型，缺乏从强健安全网络关联(RSN Association, RSNA)建立过程的整体视角进行分析，甚至一些文献中的研究结论出现完全相悖的情况，比如文献［8-9］中“802.11i抗MitM攻击”的结论与文献［4-5］截然相悖，文献［10-11］中关于EAP�TLS是否抗MitM攻击的观点也相反。就作者所知，目前尚没有相关文献从RSNA建立过程的整体视角对RSN中MitM攻击进行系统性的分析。�
　　本文在参照802.1X�2004认证者和申请者状态机模型的基础上，从RSNA建立过程的整体视角，对RSN中MitM攻击进行系统性分析，指出当前RSN中MitM攻击问题研究方面的片面性，提出RSN中一个MitM攻击框架和有效攻击条件，最后给出该框架下一个完整的有效攻击实例证明。�
　　
　　1 IEEE 802.1X分析�
　　
　　1.1 IEEE 802.1X�2004端口控制机制�
　　IEEE 802.1X最初是IEEE于2001年6月通过的基于端口的访问控制标准，用于对IEEE 802局域网用户的接入认证。802.1X协议体系结构由申请者(Supplicant)、认证者(Authenticator)和认证服务器(Authentication Server, AS)构成。2004年6月，IEEE将802.1X技术引入802.11i标准中，称为802.1X�2004［2］，并且结合EAP在802.1X中增加了动态密钥管理机制。802.1X�2004相较802.1X�2001［7］在两个方面增强了基于端口的控制：1）在申请者中也引入802.1X端口控制机制,而802.1X�2001中只有认证者有802.1X端口控制机制；2)增强了802.1X受控端口的开放条件，在802.1X认证通过且成功安装对等临时密钥后才打开802.1X受控端口，而802.1X�2001中受控端口在认证通过之后就打开。图1显示了802.1X�2004中认证者状态机从Authenticating状态到Authenticated状态的迁移过程。只有802.1X状态机处于Authenticated状态时受控端口才开放，802.11信道才可用。�
　　
　　1.2 IEEE 802.1X�2004密钥管理机制�
　　在802.1X认证过程中，客户端(Station, STA)和AS之间通过EAP�Message产生密钥材料，在认证通过之后双方成功共享一个相同的主密钥(Master Key, MK)，MK通过伪随机函数(Pseudo�Random Function, PRF)产生对等主密钥(Pairwise Master Key, PMK)。PMK是从MK派生出来,并由AS传递给无线接入点(Access Point, AP)。之后AP和STA进入4步握手阶段，期间双方互相验证是否拥有相同的PMK，若不同则断开关联若否则断开关联此句不通顺，若什么，则断开关联。请补充说明。。4步握手过程中AP和STA派生出对等临时密钥(Pairwise Transient Key, PTK)，该密钥被分成三部分：密钥确认密钥(Key Confirmation Key, KCK)、密钥加密密钥(Key Encryption Key, KEK)和临时加密密钥(Temporary Key, TK)。其中KCK负责4次握手过程中数据完整性校验码(Message Integrity Code, MIC)的计算和验证，KEK负责随后组密钥分发过程中密钥数据的加密，而此后会话数据帧的加密和完整性校验由TK完成。�
　　
　　2 RSNA建立过程�
　　RSN利用RSNA过程来完成STA和网络之间的双向认证，并产生动态会话密钥以提供通信数据的机密性和完整性保护。一个完整的RSNA建立过程包含如下4个阶段。�
　　阶段1 网络安全能力发现和关联。STA首先发现可用网络及相应AP安全能力参数，然后选择一个网络并与相应AP进行开放系统认证和关联，整个过程以明文方式进行。�
　　阶段2 802.1X认证。STA和AS之间运行一个双向认证协议，AP作为转发通道，认证通过之后STA和AS之间共享PMK，AS并且将PMK传送给AP。�
　　阶段3 802.1X密钥管理。STA和AP运用4步握手协议来确认双方拥有相同的PMK，并协商密码套件和产生PTK。此阶段完成之后，STA和AP之间拥有相同的PTK并装载，802.1X受控端口打开。然后AP和STA之间协商组临时密钥(Group Transient Key, GTK)用以组播通信，此阶段可选。�
　　阶段4 安全数据通信。利用此前协商的PTK、密码套件，STA和AP间的数据通信采用RSN数据加密机制。�
　　
　　3 RSN中的MitM攻击�
　　802.1X协议的重大缺陷是客户端和认证者状态机不平等，导致执行的只是客户端到认证者的单向认证，而无论具体采用何种EAP认证方法。虽然802.1X存在本质上执行的是客户端到认证者单向认证的缺陷，但文献［13］中所提出的利用该缺陷针对802.1X�EAP的MitM攻击并不总是有效，更不能以此得出如文献［11］所示的“EAP�TLS也遭受MitM攻击”的结论。下面详细分析这些结论存在局限性和片面性的原因，给出RSN中MitM攻击框架、有效攻击的条件和一个攻击实例。�
　　
　　3.1 RSN中的MitM攻击框架�
　　802.1X以EAP为认证框架，现今已有近50种EAP认证方法被授权了方法号。RFC 4017明确规定了应用于WLAN环境下EAP认证方法的7个强制性、2个推荐和2个可选安全性能参数［14］。EAP�MD5不符合RFC 4017所有强制性要求，这种认证方法不应在WLAN中应用，而且WLAN中实际应用的很少。因此，如文献［13］仅以EAP�MD5例证明�802.1X�在WLAN中易受MitM攻击是不恰当的。�
　　根据802.1X�2004中申请者状态机，申请者完成802.1X认证后suppSuccess变量被置为TRUE，PTK成功安装后portValid变量被置为TRUE，此时状态机进入Authenticated状态，802.1X受控端口才开放，才会向AP发送数据帧；�802.1X�2004�中认证者状态机也类似。802.1X�2001中客户端状态机在收到EAP�Success消息后suppSuccess变量被置为TRUE，立即进入Authenticated状态，客户端网卡便会开始传输数据帧，认证者在802.1X认证通过即收到Radius�accept消息便开放受控端口。文献［15］中参考的客户端状态机模型正是来自于802.1X�2001，基于该状态机模型的EAP�Success消息攻击方案在基于802.1X�2004标准的802.11i环境中是不可行的，因为客户端在收到EAP�Success消息（无论是真实的还是伪造的）后不会立即进行数据帧的传输，而是进入RSNA第三阶段。在RSNA第3阶段中，如果攻击者未获得PMK或者无法破解MIC校验，合法AP和STA将检测到异常的存在，会断开与攻击者的关联，返回RSNA原点，这种攻击实质上是一种低级的DoS攻击。�
　　
　　文献［15］还给出了一个针对WLAN中802.1X单向认证缺陷的MitM攻击框架，如图2所示。该框架中，攻击者与STA和AP通信使用的是802.11信道，这在RSN中是不正确的。802.11i的端口授权机制明确要求只有安装PTK后STA和AP才被授权使用802.11信道，因而此时802.11信道已是受PTK保护的加密信道，即802.11 RSN信道，修正的攻击框架如图3所示。�
　　
　　利用修正后的攻击框架实施中间人攻击的流程如下：�
　　1)攻击者通过侦听AP与合法STA之间的网络通信,获得相应通信信道信息；�
　　2)攻击者根据侦听到的信息设置自己的MAC、SSID及通信信道等信息；�
　　3)攻击者切断合法STA与AP网络通信；�
　　4)合法STA重新扫描可用的AP，并且连接到攻击者设置的假冒AP上；�
　　5)攻击者假装对合法STA进行认证并向其发送认证成功的认证响应帧，同时攻击者假冒合法STA向AP认证；�
　　6)攻击者与合法STA、AP之间分别协商会话密钥，此后开始保密通信。�
　　通过上述步骤，攻击者完成MitM攻击，实现对合法STA与AP间通信的控制。其中步骤1)至步骤4)，构成常见的非法AP攻击，这对攻击者不是一个难事；在步骤5)中攻击者需要完成RSNA的第2阶段，由于此时通信链路尚未加密，攻击者只需要做简单的信息中转，实际上攻击者也可以主动发起一个认证过程；在步骤6)中，攻击者要想完成RSNA的第3阶段，需要获得PMK，而EAP认证方法的安全强度又决定了获取PMK的难度。因此，在修正的框架下实施MitM攻击的难易主要取决于EAP认证方法的强弱。�
　　在802.11i和802.1X�2004标准颁布多年后，文献［11］基于“802.1X认证通过则受控端口打开”的认知和文献［15］所提出的MitM攻击框架，认为“802.1X的MitM攻击缺陷是协议自身的漏洞，与具体认证方法无关”，得出了“EAP�TLS不抗MitM攻击”的结论。由前面的分析可知，这种认知的基础在RSN环境中是完全错误的，得出的“EAP�TLS不抗MitM攻击”的结论也是不正确的。�
　　
　　3.2 有效攻击条件�
　　802.1X�2004相较802.1X�2001主要是增加了密钥管理功能，802.11i中EAP在提供认证服务的同时也完成STA和AS间主密钥MK的协商功能，然后STA和AS由MK派生出PMK，AS并将PMK传送给AP，之后开始RSNA第3阶段。这样，802.11i通过PMK将RSNA的阶段2与阶段3关联起来。在4步握手阶段，通过消息2和消息3，STA和AP互相验证双方是否拥有相同的PMK，若通不过验证则双方断开关联，实质上RSNA第3阶段也是一个AP和STA双向认证的过程。由于消息2和3受MIC保护，攻击者要通过该阶段必须具备两个条件之一：1）获得PMK；2）破解MIC。文献［10］证明了当802.1X采用强双向认证方法如EAP�TLS时攻击者获得PMK的概率可忽略；破解计算MIC采用的算法，典型的如128�160�bit�的HMAC�SHA�1，当前公认是计算上不可行的。因此，这两个必须条件进一步降低了RSNA中MitM攻击的成功实施的可能性，4步握手协议隐含的双向认证过程一定程度上弥补了802.1X单向认证的缺陷，成为对来自802.1X认证阶段潜在MitM攻击行为的一个有效阻断机制。�
　　
　　3.3 一个攻击实例�
　　2002年Asokan等［16］指出，通道型EAP认证方法由于TLS通道内部认证方法对其外部是否存在TLS通道一无所知，可遭MitM攻击，并给出了一个针对PEAP v0的攻击实例。由于当时802.11i和802.1X�2004标准尚未颁布，该实例只证明了攻击在802.1X�2001下有效，在RSN环境下是否依然能够成功尚不得知。本文给出了一个RSN环境下针对EAP�TTLS v0的MitM攻击完整实例，攻击流程如图4所示。�
　　
　　具体过程如下：�
　　1)MitM分别与AP、STA完成RSNA的阶段1（MitM与STA间的这个过程也可能在随后某个时间进行）；�
　　2)MitM发起同AS的通道型EAP方法802.1X认证；�
　　3)在MitM同AS的通道型认证第1阶段完成后，MitM发起同STA的认证；�
　　4)MitM从EAP�TTLSv0第1阶段外部TLS会话中得到MK，生成PMK；�
　　5)MitM与AP进行4步握手过程，成功生成PTK；�
　　6)MitM取得本应属于STA的无线信道。�
　　
　　在EAP�TTLS v0中，对等主密钥PMK=TLS_PRF�128(SecurityParameters.master_secret,"ttlsKeyingmaterial",SecurityParameters.client_random,SecurityParameters.server_random)。�
　　可以看出，PMK的生成参数完全来自EAP�TTLSv0第1阶段外部TLS会话过程，而该会话过程完全由MitM控制。因而MitM能够获得PMK，满足3.2节中有效攻击的条件1，攻击能够成功通过RSNA的4步握手阶段，进而取得802.11 RSN信道，攻击成功。�
　　
　　4 结语�
　　本文从RSNA建立过程的整体视角，系统分析了RSN中MitM攻击的攻击框架和有效攻击的条件，给出了一个基于EAP�TTLS v0的完整攻击实例，并得出以下结论：EAP�TLS是抗MitM攻击的，EAP�TTLS和PEAP是否抗MitM攻击与具体实现版本相关，RSN未采用强双向认证方法时易遭MitM攻击。随着WLAN移动应用的推广，RSN在漫游环境中的MitM攻击问题是下一步的研究内容。
　　
　　�参考文献:�
　　[1]
　　�IEEE�SA.� IEEE �Std 802.11i,� Wireless Medium Access Control (MAC) and Physical Layer (PHY) specifications: Medium Access Control (MAC) security enhancements ［S］. Washington, DC: IEEE Computer Society, 2004.
　　�[2]
　　IEEE�SA. IEEE Std 802.1X�2004, port�based network access control ［S］. Washington, DC: IEEE Computer Society, 2004.
　　�[3]
　　ABOBA B, BLUNK L, VOLLBRECHT J, et al. IETF RFC 3748, Extensible Authentication Protocol (EAP) ［S］. Reston: IETF, 2004.
　　�[4]
　　郭渊博,杨奎武,张畅,等.无线局域网安全:设计及实现［M］.北京:国防工业出版社,2010:11-39.
　　�[5]
　　WANG L, SRINIVASAN B, BHATTACHARJEE N. Security analysis and improvements on WLANs ［J］. Journal of Networks, 2011, 6(3): 470-481.
　　[6]
　　周超,周城,郭亮. IEEE 802.1X的安全性分析及改进［J］.计算机应用,2011,31(5):1165-1270.
　　�[7]
　　IEEE�SA. IEEE Std 802.1X�2001, port�based network access control ［S］. Washington, DC: IEEE Computer Society, 2001.
　　�[8]
　　TURAB N, MOLDOVE F. A comparison between wireless LAN security protocols ［J］. Electrical Engineering and Computer Science, 2009, 71(1): 61-80.
　　�[9]
　　LEI J, FU X M, HOGREF D, et al. Comparative studies on authentication and key exchange methods for 802.11 wireless LAN ［J］. Computers and Security, 2007, 26(5): 401-409.
　　�[10]
　　DANTU R, CLOTHIER G, ATRI A. EAP methods for wireless networks ［J］. Computer Standards and Interfaces, 2007, 29(3): 289-301.
　　�[11]
　　宋宇波,胡爱群,姚冰心. 802.11i认证协议可验安全性形式化分析［J］.中国工程科学,2010,12(1):67-73.
　　�[12]
　　FUNK P, WILSON S B. IETF RFC5281, extensible authentication protocol tunneled transport layer security authenticated protocol version 0 (EAP�TTLSv0) ［S］. Reston: IETF, 2008.
　　�[13]
　　李永强,汪海航.针对802.1x�EAP安全认证协议的中间人攻击［J］.计算机工程,2008,34(22):192-197.
　　�[14]
　　STANLEY D, WALKER J, ABOBA B. IETF RFC4017, Extensible Authentication Protocol (EAP) method requirements for wireless LANs ［S］. Reston: IETF, 2005.
　　�[15]
　　MISHRA A, ARBAUGH W A. An initial security analysis of the IEEE 802.1x standard, CS2TR2 4328 ［R］. Maryland: Maryland University, Department of Computer Science, 2002.
　　�[16]
　　ASOKAN N, NIEMI V, NYBERG K. Man�in�the�middle in tunneled authentication protocols ［C］// Proceedings of 2003 Security Protocols Workshop, LNCS 3364. Berlin: Springer�Verlag, 2005: 28-41.
　　
　　
　　 收稿日期:2011-08-01; 修回日期:2011-09-05
　　基金项目:国家自然科学基金资助项目(61073042)；黑龙江科研启动资金资助项目(LBH�Q10141)；黑龙江省教育厅科学技术研究项目（12513049）；北京邮电大学网络与交换技术国家重点实验室开放课题(SKLNST�2009�1�10)
　　 作者简介:汪定(1985-)，男，湖北十堰人，硕士研究生，主要研究方向：密码学、无线网络安全； 马春光(1974-)，男，黑龙江双鸭山人，教授，博士，主要研究方向：密码学、信息安全； 翁臣(1986-)，男，湖北恩施人，硕士研究生，主要研究方向：网络信息安全； 贾春福(1967-)，男，河北文安人，教授，博士,主要研究方向：信息安全、可信计算。

推荐访问:中间人 强健 攻击 强健安全网络中的中间人攻击研究 网络安全攻击方法 网络安全攻击方式