IEEE+802154安全机制研究.docx
《IEEE+802154安全机制研究.docx》由会员分享,可在线阅读,更多相关《IEEE+802154安全机制研究.docx(8页珍藏版)》请在冰豆网上搜索。
IEEE802.15.4安全机制研究
邱慧敏杨义先
(北京邮电大学信息安全中心北京100876)
摘要IEEE802.15.4定义了一系列安全集来保证通信的安全,但本文经过深入分析发现,其存在较大的安全漏洞,归纳起来主要有五类:
IV管理问题、密钥模型支持问题、完整4生保护问题、重放保护机制问题、通信模式支持问题,同时其在功能实现与逻辑上也存在一定的冗余。
最后本文对对这些主要安全缺陷提出了改进建议.
关键词安全机制;漏洞分析;改进建议
ResearchonsecuritymechanismofIEEE802.15.4
Qiuhui-min>Yangyi-xian
(InfonnationsecuritycenterofBeijinguniversityofpostsandtelecommunicationsBeijing100876)Abstract:
IEEE802.15.4specificationdefinesaseriesofsecuritysetstosecurecommunication,butafteradeepexplorationofthesesecuritysets,thispaperfindsseveralvulnerabilitiesinIEEE802.15.4whichfallintofivecategories:
IVmanagement,keymanagement,integrityprotection,replayprotectionmechanism,communicatonpatternsupportingability,andtherealsoexistsomefiinctionandlogicalredundanciesinitssecurityfeatures.Thensomerecommendationsareprovidedonhowtofixsomemainsecuritydefects.
KeyWords:
securitymechanism;vulnerabilitiesanalysis;improvementrecommendation
IEEE802.15.4囚致力于研究廉价的固定、便携或移动设备使用的极低复杂度、成本和功耗的低速率无线连接技术。
由于按照其标准研制的产品具有方便灵活、易于连接、实用可靠及可继承延续等多种优点,因而得到了市场的青睐,如无线传感器网络就是其主要市场对象[2]。
为了提高标准的适用范围,IEEE802.15.4同时还还定义了一系列安全集来保证通信的安全,但本文经过深入分析发现,其存在较大的安全漏洞,为此本文对其安全机制的进行了系统的分析,并对其主要安全缺陷提出了改进建议。
1.安全机制介绍
IEEE802.15.4规范可■以应用于多种场合应用,许多还具有安全需求,如作为报警系统测量建筑物内情况的传感器网络,如果这个网络没有考虑安全机制,攻击者就可以很容易修改或插入虚假信息,从而导致误报或不报警现象,另外,还有很多应用要求机密性和完整性保护。
为了提高规范的实用性,IEEE802.15.4提供了一种安全机制来为信息提供完整性、机密性、重放攻击保护。
IEEE802.15.4的安全机制是在媒体接入控制层实施的,应用通过在协议栈中设置恰当的参数指明采用了何种安全集,如果没有设置参数,那么默认没有采用安全措施。
规范没有考虑确认包的安全问题。
IEEE802.15.4定义了八种安全集,应用可以根据需要选择安全集中的任何一种,每个安全集提供不同类型的安全属性和安全保证,具体见表lo这些安全集可分为以下几类:
没有安全、加密(AECCTR)、认证(AESCBC-MAC)、加密及认证(ACE-CCM)o其中根据MAC的长度不同,认证、加密及认证这两种安全集又可进一步细分为不同的子安全集,MAC可以为4/8/16字节长。
MAC越长,攻击者成功伪造信息MAC的可能性就越小,如对于一个8字节的MAC,攻击者通过暴力攻击方式成功伪造MAC的概率为24。
规范并不要求设计者要实现所有的安全集,而只要求支持Null和AEC-CCM®两种安全集,其它类型的安全集是可选的。
表1IEEE802.15.4支持的安全集
名字
描述
Null
没有安全机制
AES-CTR
只加密,CTR模式
AES-CBC-MAC-128
128位的MAC
AES-CBC-MAC-64
64位的MAC
AES-CBC-MAC-32
32位的MAC
AES-CCM-128
加密、128位的MAC
AES-CCM-64
加密、64位的MAC
AES-CCM-32
加密、32位的MAC
应用通过源地址和目的地址来选择所需的安全集,IEEE802.15.4芯片中有一个访问控制列表(ACL),用于决定所采用的安全集和密钥信息。
节点最大可以支持255个ACL,每个ACL包括一个802.15.4地址、安全集标识符、与安全协议相关信息等,如图5-5。
安全协议相关信息包括密钥、IV等。
应用在发送信息的时候,必须指明是否应用安全机制,如果激活了安全功能,媒体接入控制层就会在ACL表中查询目标地址,如果有匹配的ACL条目,就用条目规定的安全算法、密钥、nonce等对发送信息进行相应的运算。
如果目标地址不在ACL列表中,就使用默认的ACL条目。
如果条目是空的,并且应用启用了安全功能,那么MAC层就会返回一个错误代码。
当节点接收到信息后,MAC层就会查询帧标志以判断接收帧是否采用了安全机制,如果没有采用,则将包传送到上层应用。
否则,MAC层就会根据发送者的地址查询ACL表,并利用匹配ACL条目中的参数验证接收包的安全性。
如过没有匹配的ACL条目,那么就向上层报告一个错误信息。
当使用可提供机密性保护的安全集时,接收者可有选择的使能重放保护,并把帧计数器和密钥计数器作为重放计数器。
接收者比较接收包数据域中最高的5个字节和重放计数器,如果接收包中的帧计数器和密钥计数器值均大于或等于ACL中所存储的值,那么就认为是合法数据包,并用其替换所存储的值。
如果小于ACL中所存储的值,那么就拒绝接收,并向上层应用进行报告,重放计数器的值对于应用来说是不可见的。
2.全漏洞分析
虽然802.15.4标准非常适合于低速率、低复杂性、低成本环境的应用,但是其安全机制还是有许多漏洞与不足,归纳起来主要由以下五类:
IV管理问题、密钥管理问题、完整性保护问题、重放保护机制、通信模式支持问题。
虽然有些问题对一些应用场合影响可能不大,但对一些安全需求高的环境,则需要对规范的安全机制作较大的修改。
2.1IV管理问题
802.15.4标准规定节点最大可存储255个ACL列表来存储不同的密钥和相关的nonce,发送者根据目的地址选择合适的ACL项。
然而当两个不同的ACL项使用相同的密钥时,就会存在漏洞。
比如,假定发送者利用AEJCCM6安全集,使用相同的密钥、nonce分别向接收者n和m发送信息OxAAOO和OxOOBB,由于AESCCM、AESCTR使用CTR模式的加密算法,攻击者很容易通过计算这两个密文的异或而得到两个明文信息的异或OxAABB,从而破坏了信息的机密性原则,导致这个漏洞的原因是nonce与通信的状态信息,如源地址、目的地址等,没有任何关联。
2.2密钥模型支持问题
第二类问题是ACL列表对常用的密钥管理模型支持不够充分。
由于ACL本身的特点一包含单个地址,决定了它不能较好的支持网络密钥、组密钥(两者只是规模上有所不同),一个解决办法就是在每个节点中为所有的目的节点都创建一个ACL项,这就需要ACL表足够大,能容纳下所有的ACL项,更为严重的是,这种方法会导致不可接受的安全威胁:
每个ACL项的non8不可避免的会发生重用,从而导致上节所阐述的信息泄露,故这种方法是不可采纳的。
另外一种可能的方法是每个节点对所有目的节点只创建一个ACL项。
但此时接收节点只建立了一个重放计数器,因而也就无法防止重放攻击。
同时,使能了重放保护后,规范中定义的IV更新机制也无法正常的工作。
2.3完整性保护问题
1.未认证的加密模式:
虽然标准并不强制要求支持AESCTR,但一旦采用了该模式,将会为协议引入极大的安全风险。
众多研究者已发现只通过CRC保护的加密方案是非常脆弱的[3],攻击者很容易实现修改信息并且能通过CRC检验。
没有MAC保护的加密方法严重违反了安全性原则,因此AES-CTR模式不应纳入被802.15.4规范所支持的安全方案。
2.针对AES-CTR的拒绝服务攻击:
AESCTR安全集除了不提供完整性保护外,还易遭受重放攻击。
假定发送者S和接收者用AES-CIK安全集进行通信,密钥为上,并且使能了重放攻击保护。
攻击者伪造一个源地址为S,密钥计数器为OxFF,帧计数器为OxFFFFFFFF的任何信息,并发送给接收者,接收者收到信息后,用密钥%对其进行解密,就会得到一个乱码信息,但由于接收者无法验证信息的可靠性,因而就会把结果直接传给上层应用,然而在把结果传送给应用之前,接收者还会把重放计数器更新为OxFFFFFFFF,那么下次合法的发送者发送信息时,就不能通过接收者的验证,就会导致拒绝服务,因为发送者信息中包含的重放计数器小于接收者本地存储的计数器值。
这也表明,如果采用了AESCTR安全集,攻击者就很容易破坏一个802.15.4链路。
3.没有完整性保护的确认:
802.15.4规范并没有提出对确认包的完整性保护。
当发送一个包时,发送者通过设置标志域确定请求确认,如果设置了确认位,接收者就必须返回一个包含发送包序列号的确认包,如果发送者在规定时间内未收到确认包,那么就会重发上次发送的信息。
然而如果不对确认包进行MAC保护,那么攻击者就可以很容易的伪造任何包的确认包,这会造成系统的混乱。
如攻击者对发送者发送的信息进行干扰,使得该信息不能通过接收者的校验,从而导致接收者丢弃该信息,但另一方面,攻击者又向发送者伪造一个确认包,使得发送者相信接收者已正确接受到信息。
没有完整性保护的确认是不可信的,发送者无法确认信息是否安全、可靠的到达目的地。
2.4重放保护机制问题
规范虽然规定可通过接收帧中数据域所包含的帧计数器、密钥计数器和节点中所存储的重放计数器来防止重放攻击,但并不使所有的安全集都有此功能,另外该机制本身也存在较大的缺陷,主要有以下几点:
1.只有提供了机密性服务的安全集才有重放保护功能。
规范是利用nonce中的帧计数器和密钥计数器来实施重放保护,并把这些值作为有效载荷的一部分进行传输,由于AESCBC-MAC安全集在计算MAC时不需要nonce,因此其数据域中不包含以上计数器,因此也就无法进行重放保护;
2.系统防重放攻击的机制粒度太粗。
节点只是通过简单的比较大小来判断数据包是否合法,这样当攻击者截获到数据包后,就可很方便的预测和设置帧计数器字段的下一个值,再进行重传,对那些没有提供完整性保护的安全集来说,这种攻击可很轻易的通过接收节点的合法性验证;
3.重放保护机制本身也存在安全漏洞。
系统认为当数据包中的帧计数器、密钥计数器的值和本地所存储的重放计数器值相等时,也认为是合法帧,但同时又规定用这些计数器的值,更新本地重放计数器。
那么在合法节点发送下一个帧之前,攻击者不需要对截获的数据包进行任何修改,就可以进行成功的重传,而对那些没有提供完整性保护的安全集来说,攻击者可任意的修改有效载荷部分的内容,也不会被接收节点所发现。
2.5通信模式支持问题
IEEE802.15.4中定义的安全集只能较好的实现单播通信的安全,对于广播通信却没有给出解决方案,而事实上,广播通信一般是传输整个系统的控制命令,如时隙分配、参数更新等,如果不能保证广播通信的完整性及可靠性,一旦发生攻击,整个系统将处于无序状态。
3.改进建议
从上可知,802.15.4规范中的安全机制存在较大的缺陷,但基本上可以通过安全协议的仔细设计与完善而得到克服。
另外,802.15.4的安全机制在功能实现与逻辑上还存在一定的冗余与烦琐性。
为了提升安全机制的安全及性能,结合以上的缺陷性分析,本文给出了以下几点改进建议:
1,把nonce和通信状态信息、甚至是帧结构的头部信息关联起来。
如当nonce取为目的地址、源地址、序列号等的组合时,即使不同的ACL项使用相同的密钥,也不会出现nonce相同的情况;
2.去除对AESCIR安全集的支持。
由于AESCIR是一个未包含认证措施的安全集,因此存在很多的缺陷,虽然该安全集是可选项,但还是不应在规范中予以描述。
3.对AESCBC-MAC帧结构进行改进,因为该安全集没有重放保护机制。
另外AESCCM安全集虽然支持可靠性认证,但在nonce相同的情况下,也会违反机密性原则,故也不建议采用;
4.应提供细粒度的重放保护机制。
数据包中的帧计数器值、密钥计数器值应大于或等于接收节点本身所存储的值,但两者的差应限定于一个范围之内,同时本地的帧计数器值应更新为数据包中帧计数器的值加一,密钥计数器则直接用数据包中的密钥计数器更新,因为其在帧计数器溢出前是恒定不变的;
5.应支持认证的确认。
规范中的确认是不可信的,从而导致一系列的安全攻击,如重放攻击等,故规范必须支持对确认包的安全认证;
6.去除密钥计数器和帧计数器间的区分。
维持一个单独的计数器不但与维持密钥和帧两个计数器作用是一样的,而且可以简化规范的逻辑,不需要周期性的对密钥计数器进行更新操作。
参考文献
[1]IEEE802.15.4WrelessMediumAccessControl(MAC)andPhysicalLayer(PHY)SpecificationsforLow-RateMrelessPersonalAreaNetworks(LR-WI^Ns),LAN/MANStandardsCommitteeoftheIEEECorr^uterSociety2003.
[2]EdCallaway,PaulGordy,et,HomeNetworidngwithIEEE802.15.4:
ADevelopingStandardforLow-RateWirelessPersonalAreaNetworks»IEEECommunicationsMagazine>August2002,pp.70-76.
[3]D.Whiting,R.Housley,andN.Ferguson,Counterwithcbc-mac(ccm),RFC3610#September2003.
[4]杨明,胥光辉等译,WilliamStallings著,密码编码学与网络安全:
原理与实践(第二版),电子工业出版社,北京,2001.
作者简介
邱慧敏,1975年生,研究方向为网络安全,移动终端安全。
升级会员 