Documente Academic
Documente Profesional
Documente Cultură
Pascal Urien
I- Le contrle daccs
dans PPP
1 Point to Point Protocol (PPP - RFC 1661 Juillet 1994)
La trame PPP utilise en fait le format HDLC (ISO 3309). La structure de
la trame est la suivante :
Flag
7E
Addr
FF
Control
03
Protocol
2 octets
information
1500 octets max
CRC
2 octets
Flag
7E
Les diffrents PDUs LCP (identifies par le champ code) sont les suivantes
(1) Requte de configuration
(2) Accus (ACK) de configuration
(3) Non accus de configuration (NAK)
(4) Requte de terminaison
(6) Accus de terminaison
(7) Rejet de code
(8) Rejet de protocole
(9) Requte dcho
(10) Rponse dcho
(11) Requte dlimination
(12) Identification
(13) Temps Restant
1.2.1 Options de configurations de LCP
0
1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
|
Length
|
Data
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
(1) MRU Maximum Receive Unit
Scurit Wi-Fi Pascal Urien - page 6
2- Authenticate-Ack, 3- Authenticate-Nak
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
| Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Msg-Length
| Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type=3
|
Length=5
| Authentication-Protocol= c223 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Algorithm=5 MD5|
+-+-+-+-+-+-+-+-+
3- Success, 4- Failure
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
| Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type=3
|
Length=5
| Authentication-Protocol= c223 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Algorithm=0x80 |
+-+-+-+-+-+-+-+-+
Code
1- Challenge, 2- Response
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
| Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Value-Size
| Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Name ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Code
1- Challenge, 2- Response
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
| Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Value-Size
| Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Name ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
3- Success, 4- Failure
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
| Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
1 Introduction
Le succs du rseau Internet, vritable moteur de la nouvelle conomie
de la dernire dcennie, a impos le protocole IP comme un standard de
facto pour lchange des donnes numriques. Surfant sur cette vague les
entreprises ont adopte cette technologie pour le stockage et la diffusion de
leurs informations stratgiques ; intranet, courrier lectronique, bases de
donnes trois tiers, annuaires LDAP sont des services aujourdhui
indispensables la comptitivit et la survie de toute activit conomique.
Si la prdominance des rseaux IP est actuellement incontestable, il
convient galement de remarquer les technologies des rseaux locaux
tendent galement vers un standard de fait, le rseau Ethernet. Cette
technologie, initialement base sur le partage dun guide donde (un cble en
fait) a petit petit migr vers une infrastructure base sur des commutateurs
de trames (les switchs).
A la base les rseaux sans fil 802.11 ne sont que lextension naturelle des
rseaux Ethernet cbls. La croissance exponentielle de ce march sexplique
par un rel besoin des utilisateurs daccder au rseau de manire quasi
transparente, sans lobligation de connecter leur ordinateur personnel une
prise. Le rseau sans fil remplace le cble par un lien radio; cependant en
raison des lois de propagation des ondes lectromagntiques cette prise
virtuelle est utilisable dans un rayon de lordre de 100m, c'est--dire dans
2 IEEE 802.11
Un rseau 802.11 (voir figure 1) est un ensemble de cellules de base (BSS,
Basic Set Service), chacune dentre elles comportant un point daccs (Access
Point, AP) matrialis par un dispositif dmission rception analogue aux
stations de base du GSM. Lensemble de ces cellules (cest dire les APs) est
reli par une infrastructure de communication fixe (Distribution System DS),
qui incorpore en particulier un portail (Portal) assurant linterface avec un
rseau local (Ethernet) classique.
Distribution
System
WLAN
802.11 a/b/g
Access
Point
Basic
Set
Service
AP
Wireless
Plug
802.11
STAtion
PORTAL
Parking
Lot attack
RJ45
Plug
Mail Server
Internet
Firewall
DHCP
Server
Radius
Server
En Tte MAC
30 octets
IV
3 octets
IV
3 octets
KEY ID
1 octet
1
2
3
Secret Partag
4
40,104 bits
CRC
4 octets
OU Exclusif
Cl 64/128 bits
RC4
PRNG
KEYSTREAM
Suite pseudo alatoire doctets
RC4 ralise le chiffrement des donnes en mode flux octets (stream cipher),
partir dune cl de longueur comprise entre 8 et 2048 bits il gnre ( laide
dun pseudo random generator PRNG) une suite doctets pseudo alatoire
nomme KeyStream. Cette srie doctets (Ksi) est utilise pour chiffrer un
message en clair (Mi) laide dun classique protocole de Vernam, ralisant
un ou exclusif (xor) entre Ksi et Mi (Ci = Ksi xor Mi).
Le WEP prsente de nombreuses failles de scurit [Borisov et al. 2001],
en voici un bref rsum,
- Le nombre de KeyStream est limit 16 millions (224). Un pirate peut
facilement gnrer des trames, enregistrer leur forme chiffre puis dduire et
stocker les KeyStream identifis par leur index IV.
- Lintgrit des trames est assure par le chiffrement du CRC. Cette fonction
tant linaire par rapport lopration ou exclusif4 il est possible de modifier
un bit dans une trame chiffre tout en recalculant une valeur correcte du
CRC, cest la technique dattaque dite bit flipping.
- Lattaque dmontre par Fluhrer [Fluhrer et al.,2001] permet de recouvrer
un secret partag de 104 bits aprs lmission dapproximativement quatre
millions de trames chiffres. Elle utilise des valeurs IV dites rsolvantes, de la
forme (3+B,255,N) avec B un octet du secret partag et N une valeur
quelconque comprise entre 0 et 255. Environ 60 valeurs rsolvantes suffisent
retrouver un octet du secret partag. Un rapide calcul montre que lon
obtient une valeur rsolvante toutes les 216 trames, soit 60 occurrences aprs
environ 4 millions (222) de paquets.
- De manire optionnelle lauthentification est ralise par une mthode de
dfi (nomme Shared Authentication), le point daccs dlivre un nombre
4 Soit T1 et T2 deux trames de mme longueur, CRC(T1 exor T2) = CRC(T1)
exor CRC(T2).
alatoire, la station chiffre cette valeur. Cette mthode est inefficace car rejouable, lattaquant enregistre le couple (ala, ala chiffr) do il dduit la
valeur du KeyStream associ un index IV. Il peut utiliser ces paramtres
pour chiffrer correctement un nouveau dfi.
En raison des problmes voqus prcdemment, il est fortement
conseill de changer la cl WEP frquemment, par exemple tous les 10,000
trames. Cependant cette technique ne garantit pas lintgrit de
linformation et les attaques bit flipping restent possibles.
Une particularit du protocole 802.11 est que lauthentification est
obligatoire avant toute association avec un point daccs. Une station sans fil
se trouve en consquence dans lun des trois tats suivants,
- Non-Authentifi et Non-Associ
- Authentifi et Non-Associ
- Authentifi et Associ.
Lorsque la station ne souhaite pas utiliser une mthode (Shared
Authentication) base sur WEP, elle dispose dune procdure volontaire sans
aucun lment de scurit, baptise Open Authentication.
Une difficult de dploiement dune architecture base sur WEP est la
ncessit de partager un mme secret entre station et point daccs. Cette
contrainte freine considrablement le passage lchelle; elle souligne
limportance de la disponibilit dune infrastructure de distribution des cls
telle que par exemple dfinie par la norme 802.1X [IEEE Std 802.1X, 2001] .
3 IEEE 802.1X
Supplicant
System
Supplicant
Entity
Authenticator System
Network
Resources
EAP over
RADIUS
Authenticator
Internet
Unauthorized
Port
Authentication
System
Authentication
Server
Le protocole IEEE 802.1X (ou Port Based Network Access Control) tait
initialement conu pour la gestion scurise des accs des rseaux (cbls)
base de commutateurs de paquets (switchs). Lide centrale est de bloquer le
flux de donnes dun utilisateur non authentifi. Ce modle sappuie sur
trois entits fonctionnelles (voir figure 3),
- Le Supplicant, un terminal informatique dsirant utiliser les ressources
offertes par un rseau de communication.
- LAuthenticator, le systme qui contrle un port daccs au rseau. Le flux
de donnes du supplicant est divis en deux classes, la premire comprend
les trames utilises par le protocole dauthentification EAP 5, la deuxime
regroupe les autres paquets, qui sont bloqus lorsque le port se trouve dans
ltat non autoris. En cas de succs du processus dauthentification, le port
passe ltat authentifi et offre un libre passage toutes les trames.
- Le serveur dauthentification (RADIUS6), il ralise la procdure
dauthentification avec le supplicant. Durant cette phase lAuthenticator
ninterprte pas le dialogue entre ces deux entits, il agit comme un simple
relais passif.
Le protocole EAP est la cl de vote de cette approche. Il est tour tour
encapsul dans des trames MAC 802 (EAPoL7) ou par le protocole RADIUS
qui est routable (puisque transport par IP et UDP).
Schmatiquement linsertion dun terminal sans
environnement 802.1X se droule de la manire suivante,
fil
dans
un
5
6
7
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Version=1
| Packet Type=3 |Packet Body Length=44+KeyLength|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type=1(RC4) |
Key Length ( WEP=4 ou 13 ) |Replay Counter..
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Replay Counter...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Replay Counter
|
Key IV...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key IV...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key IV...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key IV...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key IV...
|F| Key Index
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key Signature...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key Signature...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key Signature...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key Signature...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Key.Value..
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
18
Calcul
De la cl
Unicast
EAP-Response.Identity
Access-Request/EAP
EAP-Request.Type
Access-Challenge/EAP
EAP-Response.Type
Access-Request/EAP
EAP-Sucess
EAPoL-Key
Access-Accept/EAP +
Unicast Key
Calcul
De la cl
Unicast
Cl Globale
^PrivateKey
Digest
MD5+SHA-1
36 octets
EAP-Response/EAP-Type=EAP-TLS
TLS certificate,
TLS client_key_exchange,
[TLS certificate_verify,]
TLS change_cipher_spec,
TLS finished)----------------------->
<-
% modulus
EAP-Request/
EAP-Type=EAP-TLS
(TLS change_cipher_spec,
TLS finished)
EAP-Response/EAP-Type=EAP-TLS ------>
<- EAP-Success
La carte puce EAP est un projet dcrit par un draft IETF21, auquel
participe les principaux industriels de ce secteur, qui propose de traiter
directement le protocole EAP dans la puce scuris. Bien que cette liste ne
soit pas exhaustive les principales applications vises sont EAP-SIM et EAPTLS.
Schmatiquement une carte EAP [Urien2 et al, 2003] assure quatre
services de base (voir figure 8),
- La gestion de multiples identits. Le porteur de la carte peut utiliser
plusieurs rseaux sans fil. Chacun dentre eux ncessite un triplet
dauthentification, EAP-ID (la valeur dlivre dans le message EAPResponse.Identity), EAP-Type (le type de protocole dauthentification
support par le rseau), et les crdits cryptographiques c'est--dire
lensemble des cls ou paramtres utiliss par un protocole particulier (EAPSIM, EAP-TLS, MSCHAPv2). Chaque triplet est identifi par un nom
(lidentit) dont linterprtation peut tre multiple (SSID, nom dun compte
utilisateur, mnmonique, )
- Laffectation dune identit la carte, en fonction du rseau visit.
- Le traitement des messages EAP.
- Le calcul de la cl unicast en fin de session dauthentification et sa mise a
disposition pour le terminal dsirant accder aux ressources du rseau sans
fil.
EAP Software
Entity
Supplicant
Operating
System
802.11
Interface
IN/OUT
EAP
Packets
Unicast Key
EAP
Packets
Identity
Management
RADIUS
Server
6 RADIUS
Outre Atlantique les fournisseurs de services internet (ISP) utilisent
frquemment des pools de modem installs dans les centraux tlphoniques
urbains. Cette infrastructure, permettant des accs bon marchs est baptise
point de prsence ou POP (point of presence). Plutt que de dupliquer et de
mettre jour dans chaque POP la base donne des comptes clients, les ISPs
ont dploy une architecture centralise, assurant la gestion distance de
leurs clients (roaming) et sappuyant sur trois niveaux fonctionnels
- Lutilisateur muni dun login et dun mot de passe (un supplicant en fait)
- Le Network Access Server (NAS). Cette entit contrle lensemble des
modems et assure linterface avec le serveur dauthentification, elle est
analogue un authenticator 802.1X.
- Le serveur RADIUS, jouant le rle dun serveur dauthentification 802.1X.
Ce dernier systme assure linterface avec la base de donnes grant les
comptes utilisateurs. Le dialogue dauthentification usuellement bas sur les
protocoles PAP ou CHAP et relay par le NAS entre utilisateur et serveur
dauthentification.
Le NAS ralise un pont applicatif entre les protocoles PAP ou CHAP
(transports par PPP) et le serveur RADIUS. Par exemple, dans le cas de
PAP il transmet au serveur RADIUS, des fins de vrification, lidentit de
lutilisateur et son mot de passe. Le serveur RADIUS indique au NAS le
succs ou lchec de cette opration. Le NAS mesure galement le temps
dutilisation du service par le client et transmet une requte de facturation
lorsque ce dernier quitte le POP.
Supplicant
EAP
Authenticator
Access Point
RADIUS
Authentication
Server
Base de donnes
Comptes Clients
Packets
Filtering
EAP / LAN
EAP / RADIUS
NAS
802.1x
RADIUS
LDAP/ODBC/MAP
22
23
24
Ce transport est dcrit dans la RFC 2869, RADIUS extensions, June 2000
Keyed-Hashing for Message Authentication, RFC 2104, February 1997
Simple Authentication and Security Layer (SASL), RFC 2222, October 1997
Scurit Wi-Fi Pascal Urien - page 30
KCK
EAPOL-Key
Confirmation Key
128 bits
KEK
EAPOL-Key
Encryption Key
128 bits
TK
Temporal Key
TKIP: 256 bits
CCMP:128 bits
TK
Temporal Key
TKIP 256 bits
CCMP: 128 bits
25
26
802.1X
Calcul
de
PMK
EAP-Sucess
PMK
802.11i
EAPoL-Key/ANonce
Calcul
de
PTK
EAPoL-Key/SNonce
EAPoL-Key/Install
EAPoL-Key/l
Protocole de scurit RADIO
WEP-TKIPCCMP
VPN
Roaming
Filtrage des Paquets
Scurit Radio
Infrastructure d'Authentification
AAA
Authentification
difficile cloner, ralise aprs renseignement d'un code PIN, les calculs
d'authentification.
L infrastructure d'authentification. La norme 802.1x recommande
l'usage de serveur RADIUS. L'authentification peut tre conduite par un
serveur situ dans le domaine visit ou l'extrieur de ce dernier. De
manire analogue PGP, cette architecture tablit un cercle de confiance,
grce auquel un message d'authentification est relay par plusieurs serveurs,
lis les uns aux autres par des associations de scurit.
La scurit radio. Elle assure la confidentialit, l'intgrit et la signature
des paquets. Ces services sont dlivrs par des protocoles tels que WEP ou
TKIP ou CCMP normaliss par le comit IEEE 802. Ils utilisent des cls
(chiffrement, signature trames), dduites d'une cl matre, au terme de la
procdure d'authentification.
Le filtrage des paquets. La fiabilit de cette opration repose sur la
signature des paquets ( l'aide de cls dduites de l'authentification). Grce
ce mcanisme, les trames qui pntrent dans le systme de distribution sont
sures (pas de risque de spoofing), les systmes de filtrages (point d'accs ou
portail) grent les privilges des paquets IP (destruction des paquets illicites)
et par exemple peuvent raliser et facturer des services de QoS.
Laccs des services distants (roaming) que nous dsignons
gnriquement sous l'appellation services VPN (Virtual Private Network).
Par exemple, on mettra en oeuvre des liens scuriss (inter domaine) laide
des protocoles IPSEC ou SSL.
9 Conclusion
Dans ce chapitre nous avons prsent les architectures de scurit qui
sont en cours de dploiement ou de dfinition pour les rseaux 802.11.
Compte tenu de lengouement du march sur lIP sans fil, il est trs probable
que ces technologies deviennent des standards incontournables et jouent un
rle prpondrant dans linformatique enfouie, qui ne pourra se dvelopper
sans normes de scurit prouves.
10 Bibliographie
Arbaugh, W., Shankar, N. and Wan J.Y.C., "Your 802.11 Wireless Network has No
Clothes", Department of Computer Science, University of Maryland, College Park,
March 2001, http://www.cs.umd.edu/~waa/wireless.pdf.
Borisov N, GoldBerg I, Wagner D, Intercepting Mobile Communications: The
Insecurity of 802.11, Proceeding of the Eleventh Annual International Conference on
Mobile Computing And Network, p180, July 16-21, 2001.
Fluhrer S, Mantin I, Shamir A, Weakness in the key scheduling algorithm of
RC4, 8th Annual Workshop on Selected Areas in Cryptography, August 2001.
IEEE Std 802.11, Wireless LAN Medium Access Control (MAC) and Physical
Layer (PHY) specifications, 1999.
IEEE Std 802.1X, Standards for Local and Metropolitan Area Networks: Port
Based Access Control, June 14, 2001
IEEE Std 802.11i/D5.0, Draft Supplement to standard for Telecommunications
and Information Exchange, Between Systems LAN/MAN Specific Requirements Part
11: Wireless Medium Access Control (MAC) and physical layer (PHY) specifications:
Specification for Enhanced Security, August 2003
Mishra A, Arbaugh W, An Initial Security Analysis of the IEEE 802.1X
standard. February. 2002
Urien P, Pujolle G, Architecture scurise par cartes puces, pour des rseaux
sans fil sures et conomiquement viables, GRES2003, fvrier 2003 Fortaleza Brsil.
Urien P, Loutrel M, The EAP Smartcard, a tamper resistant device dedicated to
802.11 wireless networks, ASWN 2003, Third workshop on Applications and
Services in Wireless Networks, Berne Suisse Juillet 2003
Trame
MAC HEADER
IV
KeyID
Ciphered Block
2 bits
24 bits
Body
40 bits
IV
RC4
PRNG
Shared
Secret
CRC
XOR
KeyStream
IV- EAP
Extensible Authentication
Protocol
1 Introduction
EAP ralise une enveloppe pour de multiples mthodes
dauthentification. Il est transport par des trames 802 ou par le protocole
RADIUS.
Il est dfinit par les RFC 2284 et 3748 .
2 EAPoL
Les trames EAPoL (EAP over LAN) transportent les messages EAP et
dlivrent des services additionnels.
Lidentifiant de protocole Ethernet EAP (PID) est 888E. Ladresse de
groupe MAC est gale 01-80-C2-00-00-03.
2.1 Format dune trame EAPoL
- PID (888E), 2 octet.
- Version, 1 octet (1 est la version courante)
- Type du paquet, 1 octet
- Longueur de la charge du paquet 2 octet, une valeur 0 indique une
charge nulle.
+----------+
+----------+
+----------+
+----------+
|
|
|
|
|
|
|
|
| client |<---->| access |<---->| TTLS AAA |<---->| AAA/H
|
|
|
| point
|
| server |
| server |
|
|
|
|
|
|
|
|
+----------+
+----------+
+----------+
+----------+
<---- secure password authentication tunnel --->
<---- secure data tunnel ---->
AP
EAP_Identity.request
2
SK
RS
EAP_Identity.response
PR=LEAP_MS_CHAP_Peer_Response
4
PC = LEAP_MS_CHAP_Peer_Challenge
3
SK
EAP_Success
5
APC LEAP_Access_Point_Challenge
6
APR=LEAP_Access_Point_Response
7
Encrypted SK = mppe_encrypt(SS,
AUTH, MD5Digest ( MPPEHASH
+ APC + APR + PC + PR))
8
SK
*MPPEHASH: 16 octets
NtPasswordHash(NtPasswordHash(Unicode(PW))))
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code 0x01 | Identifier
|
Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type 0x11 | Version 0x01 | Unused 0x00
| Count 0x08
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Peer Challenge
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Peer Challenge
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
User Name .....
+-+-+-+-+-+-+-+-+-+-+-+-+-+-
4.2 EAP-FAST
Le protocole LEAP bas sur la cl NT, par nature sensible des attaques
par dictionnaire ; plusieurs outils de cassage sont disponibles sur le WEB.
Pour cette raison la socit CISCO a introduit une nouvelle mthode
dauthentification EAP-FAST (Extensible Authentication Protocol-Flexible
Authentication via Secure Tunneling), intgre dans lensemble des produits
Aironet ainsi que dans son serveur VPN Cisco Secure ACS.
EAP-FAST chiffre une transaction EAP au moyen dun tunnel TLS. Cette
solution est assez semblable PEAP, la diffrence que le tunnel EAP-FAST
est tabli laide dun secret appel PAC (Protected Access Credentials). Ce
dernier est gnr par le serveur Cisco Secure ACS laide dune cl matre
connue uniquement du serveur.
EAP-FAST sexcute en deux phases :
- En phase 1, le serveur et le terminal tablissent un tunnel TLS (grce au
PAC). Le client indique son identit grce une extension du protocole
TLS, insr dans le message client-hello.
- En phase 2, une deuxime session EAP, scurise par le tunnel TLS,
ralise lauthentification de lutilisateur.
4.3 EAP-SIM
Client
Radius
Authentication
|
Server
Server AuC
|
|
|
|
EAP-Request/Identity
|
|
|<--------------------------------------------------|
|
|
|
|
| EAP-Response/Identity
|
|
| (Includes user's IMSI)
|
|
|-------------------------------------------------->|
|
|
|-------GetAuthInfo--->|
|
EAP-Request/SIM/Start
|<-----GSM_Triplet-----|
|<--------------------------------------------------|
(RANDi,SRESi,KCi)
|
|
| EAP-Response/SIM/Start
|
| (AT_NONCE_MT)
|
|-------------------------------------------------->|
|
|
|
EAP-Request/SIM/Challenge
|
|
(AT_RAND, AT_MAC)
|
|<--------------------------------------------------|
|
|
+-------------------------------------+
|
| Client runs GSM algorithms on SIM, |
|
| verifies AT_MAC,
|
|
| and computes session keys
|
|
+-------------------------------------+
|
|
|
| EAP-Response/SIM/Challenge
|
| (AT_MAC)
|
|-------------------------------------------------->|
|
|
|
EAP-Success |
|<--------------------------------------------------|
|
|
dauthentification
produit
le
message
EAP-
<- EAP-Request/Identity
EAP-Response/Identity (MyID)------>
<- EAP-Request/EAP-Type=EAP-TLS/
TLS Start
EAP-Response/EAP-Type=EAP-TLS
(TLS client_hello)---------------->
<- EAP-Request/EAP-Type=EAP-TLS
TLS server_hello,
TLS certificate,
[TLS server_key_exchange,]
[TLS certificate_request,]
TLS server_hello_done)
EAP-Response/EAP-Type=EAP-TLS
TLS certificate,
TLS client_key_exchange,
[TLS certificate_verify,]
TLS change_cipher_spec,
TLS finished)----------------------->
<-
EAP-Request/
EAP-Type=EAP-TLS
(TLS change_cipher_spec,
TLS finished)
EAP-Response/EAP-Type=EAP-TLS ------>
<- EAP-Success
RasEapInvokeConfigUI
5
2
4
RasEapMakeMessage
RasEapGetIdentity
*RAS
1
RasEapGetInfo
EAP Provider
Initialization
V- Le protocole
RADIUS
1 Introduction
ISP
INTERNET
POP
USER
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Code
Identifier
Length
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Authenticator
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
2.1 Code
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
2.2 Identifier
Identifiant dune requte et de la rponse associe.
2.3 Length
Longueur totale du paquet en tte incluse ( partir du champ code).
2.4 Authenticator
Un champ de 16 octets. Cest un nombre alatoire dans de la cas dun
message access-request.
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|
Type
Length
Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
Length
String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
c(1) = p1 xor b1
b2 = MD5(S + c(1))
c(2) = p2 xor b2
bi = MD5(S + c(i-1))
c(i) = pi xor bi
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Type
Length
Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont)
String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Vendor-Type
| Vendor-Length |
Salt
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor Type : 16
Vendor Length : typiquement 52 octets
Salt, un nombre de deux octets, qui doit tre unique dans un paquet
RADIUS. Le bit de poids fort doit tre mis un.
String : le premier octet indique la longueur de la cl (typiquement 32),
les octets suivant sont la valeur de la cl. Ce champ est complt par une
suite de zro (15 typiquement) pour que la longueur soit un multiple de 16.
Ce paramtre est chiffr de la manire suivante :
S le secret RADIUS, R le champ Authenticator du message accessrequest, A la valeur du champ salt, p la valeur en clair de STRING et c sa
valeur chiffre.
b(1) = MD5(S + R + A)
C = c(1)
C = C + c(2)
C = C + c(i)
7.2 Server
DWORD WINAPI Server_Daemon(LPVOID lpArg)
{ SOCKADDR_IN sin
;
SOCKADDR_IN csin
;
int err,len,lenrad ;
static char buf[2048];
char *resp;
server = socket (AF_INET,SOCK_DGRAM,0);
sin.sin_family = AF_INET
;
sin.sin_port = htons(port) ;
sin.sin_addr.s_addr = 0
;
err = bind ( server,(LPSOCKADDR) &sin, sizeof (sin));
for(;;)
// Waiting for a connection
{
len = sizeof(csin) ;
err =recvfrom(server, buf, sizeof(buf), 0, (LPSOCKADDR)&csin,&len)<0;
if (len <0) break ; // Sortie du serveur
resp= ProcessRadius(buf); // Analyse RADIUS
if (resp != NULL)
{
lenrad =
resp[3] & 0xFF
;
lenrad |= ((resp[2] << 8) & 0xFF00 );
len=sizeof(SOCKADDR);
err= sendto(server,resp,lenrad,0,(SOCKADDR *)&csin,len);
}
}
ExitThread(0xBEBED0D0) ;
return(0);
}
1. Introduction
EAP
RADIUS
TCP/UDP
IP
EAPOL
MAC 802
EAP over
RADIUS
EAPOL,
EAP pour les
LAN 802
ACQUIRED,
4.2 Constantes.
a) authPeriod. Valeur initiale de lhorloge authWhile, soit 30s par dfaut.
b) heldPeriod. Valeur initiale de lhorloge heldWhile soit 60s par dfaut.
c) startPeriod. Valeur initiale de lhorloge startWhen soit 30 s par dfaut.
d) maxStart. Nombre maximum de messages EAPOL-Start infructueux,
soit 3s par dfaut.
4.3 Variables
a) userLogoff, indique labsence dun utilisateur.
b) logoffSent, une trame LOGOFF a t gnre.
c) reqId. Rception dun message EAP Request/Identity.
d) reqAuth. Rception dun EAP Request autre que Request/Identity..
e) eapSuccess. Rception dun message EAP Success.
f) eapFail. Rception dun message EAP Failure packet.
g) startCount. Le nombre maximal de trames EAPOL-Start a t envoy.
STA
AP
AS
Accept/EAP-Success/Key Material
802.1X EAP Success
IEEE802.1XPort
Blocked f or STA;
Uncontrolled Port Open
f or EAPOL Messages
AP
Length
Version
Group
Key
Cipher
Suite
Pairwise
Key
Cipher
Suite
Count
Pairwise
Key
Cipher
Suite List
Authenticatio
n and Key
Management
Suite Count
Authenticatio
n and Key
Management
Suite List
RSN
Capabilities
KeyID
Count
KeyID
List
4m
4n
16n
octet
octet
octets
octets
octets
octets
octets
octets
octets
octets
octets
OUI 3 octets
00:00:00
00:00:00
00:00:00
00:00:00
00:00:00
00:00:00
00:00:00
Vendor OUI
Other
Suite Type
Meaning
0
1
2
3
4
5
6-255
Other
Any
OUI
Suite
Type
Meaning
Authentication Type
00:00:00
Reserved
Reserved
00:00:00
Authentication negotiated
over IEEE 802.1X RSNA
default
00:00:00
None
00:00:00
3-255
Reserved
Reserved
Vendor
OUI
Any
Vendor Specific
Vendor Specific
Other
Any
Reserved
Reserved
2.2.2 Exemple 2
802.1X authentication, CCMP pairwise and group key cipher suites (WEP40, WEP-104 and TKIP not allowed), Pre-Authentication supported.
30, // information element id, 48 expressed as Hex value
14, // length in octets, 20 expressed as Hex value
01 00, // Version 1
00 00 00 04, // CCMP as group key cipher suite
01 00, // pairwise key cipher suite count
00 00 00 04, // CCMP as pairwise key cipher suite
01 00, // authentication count
00 00 00 01 // 802.1X authentication
01 00 // Pre-authentication capabilities
2.2.3 Exemple 3
802.1X authentication, Use Group key for unicast cipher suite, WEP-40
group key cipher suites, optional RSN Capabilities field omitted.
30, // information element id, 48 expressed as Hex value
12, // length in octets, 18 expressed as Hex value
01 00, // Version 1
00 00 00 01, // WEP-40 as group key cipher suite
01 00, // pairwise key cipher suite count
00 00 00 00, // Use Group key as pairwise key cipher suite
01 00, // authentication count
00 00 00 01 // 802.1X authentication
AP
AS
Accept/EAP-Success/Key Material
802.1X EAP Success
IEEE802.1XPort
Blocked f or STA;
Uncontrolled Port Open
f or EAPOL Messages
STA
AP
Install PTK
STA
AP
Generate GTK
Encrypt GTK with PTK
EAPOL-Key
Key Encryption
Key
L(PTK,128,128)
(KEK)
Temporal Key
TKIP: L(PTK,256,256)
CCMP: L(PTK,256,128)
(TK)
Reserved 8 octets
Key MIC 16 octets
Key Data Length 2 octets
3 bits Key
Descriptor
Version
b0
1 bit
Key
Type
b2
b3
2 bits
Reserved
b4 b5
1 bit
Install
b6
1bit
Key
Ack
b7
1 bit
Key
MIC
1 bit
Secure
1 bit
Error
b8
b9
b10
1 bit
Request
1 bit
Encrypted
Key Data
b11
b12
3 bits
Reserved
b13
b15
Key Length
La longueur du message exprime en octet.
Cipher Suite
CCMP
TKIP
WEP-40
WEP-104
Key Length
16
32
13
KeyRSC 0
KeyRSC 1
KeyRSC 2
KeyRSC 3
KeyRSC 4
KeyRSC 5
KeyRSC 6
TSC0
TSC1
TSC2
TSC3
TSC4
TSC5
PN0
PN1
PN2
PN3
PN4
PN5
Key ID
Ce champ de 8 octets est rserv et cod zro.
Key MIC
Le Message Integrity Code, une valeur de 16 octets, telles que spcifie
dans le Key Descriptor Version.
Key Data Length
Ce champ de 2 octets indique la valeur du paramtre Key Data.
Key Data.
KeyRSC 7
MAC
Header
TSC1
Extended IV
4 octets
IV / KeyID
4 octets
WEPSeed
[1]
Expanded IV16
Ext
IV
Rsvd
TSC0
b4
b0
MIC
8 octets
Key
ID
b5 b6
TSC2
TSC3
b7
TSC4
ICV
4 octets
TSC5
IV32
Note: The encapsulation process has expanded the original MPDU size by 20 octets, 4 for the Initialization vector (IV) / Key ID
field, 4 for the extended IV field, 8 for the Message Integrity Code (MIC) and 4 for the Integrity Check Value (ICV).
Phase 1
key mixing
Phase 2
key mixing
TTAK
TSC
WEP seed(s)
(represented as
WEP IV + RC4
key)
MIC Key
DA + SA + priority
+ Plaintext MSDU
Data
Plaintext
MSDU +
MIC
Michael
Fragment(s
)
Plaintext
MPDU(s)
WEP
Encapsulation
Ciphertext
MPDU(s)
Encrypted
CCMP Header
8 octets
MAC Header
PN0
PN1
Rsvd
Ext
IV
Rsvd
b0
b4
b5
Data (PDU)
>= 1 octets
Key
ID
b6
PN2
PN3
b7
PN4
PN5
MIC
8 octets
- PN : Packet Number
- DLEN : Data Length
- MPDU: MAC Protocol Data Unit
- TA: Transmitter Address
Version
Group Key Cipher Suite
Pairwise Key Cipher
Auth. Count
Suite
Auth Key Mgmt Suite List
RSN capabilities
Length
Group Key Cipher Suite
Pairwise Key
Cipher Suite (cont)
RSN capabilities
OUI 00:50:F2:01
PMK Count
Auth. Count
Version
Pairwise Key Cipher
Suite
Auth. Key Mgmt Suite List
20 53 45 4e 44 02 20 53 45 4e 44 02 c0 21 0c 03
00 12 1b 84 70 8a 4d 53 52 41 53 56 35 2e 31 30
SEND. SEND..!..
....p.MSRASV5.10
20 53 45 4e 44 02 20 53 45 4e 44 02 c0 21 0c 04
00 1b 1b 84 70 8a 4d 53 52 41 53 2d 30 2d 50 41
53 43 41 4c 55 52 49 45 4e
SEND. SEND..!..
....p.MSRAS-0-PA
SCALURIEN
20 52 45 43 56 02 20 52 45 43 56 02 c2 23 01 7a
00 1d 10 45 41 9a 49 11 79 e2 c4 f1 86 5d 3a c7
fb 66 e1 73 74 61 63 6b 73 74 67
RECV. RECV..#.z
...EA.I.y....]:.
.f.stackstg
20
00
81
66
53
26
df
2e
45
10
f9
66
4e 44 02 20 53 45 4e 44 02 c2 23 02 7a
6b b6 65 8e 71 a5 39 23 a0 fe 30 45 b5
31 32 33 34 35 36 37 38 40 6c 73 75 72
72
SEND. SEND..#.z
.&.k.e.q.9#..0E.
...12345678@lsur
f.fr
20 52 45 43 56 02 20 52 45 43 56 02 c2 23 03 7a
00 04
RECV. RECV..#.z
..
00
00
64
41
74
09
33
3d
50
69
5b
01
55
33
64
4c
05
63
35
3d
35
00
6f
30
30
fc
33
70
2d
00
01
69
35
40
00
61
37
00
6e
32
37
09
65
2c
37
5b
74
6e
34
4c
77
61
38
88
6f
73
2c
8e
72
69
70
01
6b
64
6f
00
69
3d
72
..[L5..@..[L....
.3...3..networki
d=Ucopia2,nasid=
AP350-577748,por
tid=0
00 40 96 57 77 48 00 09 5b 4c 35 fc 88 8e 01 00
00 09 02 05 00 09 01 6d 61 72 63
.@.WwH..[L5.....
.......marc
00 09 5b 4c 35 fc 00 40 00 09 5b 4c 88 8e 01 00
00 1a 01 03 00 1a 07 14 83 d9 72 d1 01 f4 09 73
de c8 e3 20 68 b1 de 58 16 41 ea 76
..[L5..@..[L....
..........r....s
... h..X.A.v
00 40 96 57 77 48 00 09 5b 4c 35 fc 88 8e 01 00
00 1a 02 03 00 1a 07 14 ba 14 a8 09 c8 b0 d3 0e
55 da d3 8a 00 93 e2 a4 80 bd de 3b
.@.WwH..[L5.....
................
U..........;
00
00
c4
a0
92
09
31
71
de
60
5b
01
43
2c
de
4c
00
62
9d
35
05
11
bd
fc
00
4c
d6
00
1a
d2
f2
40
00
56
ed
00
00
49
4e
09
06
36
ca
5b
20
bf
c0
4c
00
67
76
88
1d
34
07
8e
69
00
7d
01
66
2a
d1
03
5a
ac
98
..[L5..@..[L....
.1........ ..ifZ
.qCb.L.VI6.g4.*.
..,.....N..v.}..
.`.
00
00
c8
74
6d
3d
30
30
30
00
4f
c8
08
af
64
e3
61
55
30
39
2d
00
0b
ff
02
21
04
54
72
63
34
35
35
05
02
51
66
14
26
e0
63
6f
30
62
37
78
05
c6
51
00
07
c1
1a
70
39
34
37
3d
00
5c
ba
00
14
05
14
69
36
63
37
06
09
58
00
40
00
7c
00
61
35
33
34
00
01
c9
40
11
9b
a2
00
32
37
35
38
00
6d
80
96
46
7d
ea
00
04
37
66
05
00
61
92
57
ad
b6
5d
09
06
37
63
06
13
72
ec
77
c0
01
13
01
c0
34
20
00
06
63
ab
48
a8
26
a6
0e
a8
38
0e
00
06
50
d7
08
c8
00
89
73
c8
1f
41
00
00
12
cc
00
c7
93
71
73
c7
0e
50
25
00
56
45
c0
ce
01
69
1e
30
33
0c
00
17
00
a8
d8
06
64
0e
30
35
06
08
d6
...fQ..@.WwH..E.
..!...@.F.......
.d.&....}..&....
t.T...|..]...q..
marc........ssid
=Ucopia2........
004096577748..00
095b4c35fc .AP35
0-577748.....%..
...x=...........
O......marcP.V..
..Q.\X.......
00
00
c8
3e
00
07
de
0b
77
72
40
90
c7
da
00
14
58
0b
ac
80
96
f8
07
17
00
83
16
c9
c6
98
57
1d
14
8f
3c
d9
41
53
6e
5e
77
00
04
1e
1c
72
ea
9e
2b
75
48
00
26
d3
06
d1
76
ea
77
d4
00
80
00
e0
00
01
50
80
f5
3f
08
11
7c
37
00
f4
12
0a
8f
5f
02
2f
d4
17
00
09
03
18
53
5d
66
c2
f4
d1
14
73
af
26
13
b8
51
c0
0b
91
4f
de
20
ac
49
c3
ba
a8
26
ff
1c
c8
2c
bf
d0
9a
08
c8
00
97
01
e3
dd
af
c6
e1
00
64
74
bc
03
20
bd
9b
24
57
45
c0
e4
1b
00
68
5f
f3
59
00
a8
88
06
1a
b1
a1
4a
68
.@.WwH...fQ...E.
......../....d..
.....&.|...&.t..
>......7........
...<......O.....
....r....s... h.
.X.A.vP... ,.._.
...S.....&.....J
w..n+w..S.I..$Yh
r..^u.?_]....W
00
00
c8
0d
6d
3d
30
30
30
00
2b
75
06
a8
de
59
08
e6
64
86
61
55
30
39
2d
00
77
d4
06
09
3b
06
02
21
04
13
72
63
34
35
35
05
f5
3f
00
c8
50
d4
66
15
27
83
63
6f
30
62
37
78
8f
5f
00
b0
12
50
51
00
07
7c
1a
70
39
34
37
18
53
5d
00
d3
87
ba
00
14
a1
14
69
36
63
37
26
13
b8
08
0e
0f
00
40
00
ed
00
61
35
33
34
ac
49
c3
4f
55
14
40
11
d2
d1
00
32
37
35
38
bf
d0
9a
1c
da
11
96
46
37
17
00
04
37
66
05
af
c6
e1
02
d3
45
57
75
3d
f1
09
06
37
63
06
9b
24
57
03
8a
3d
77
c0
01
b3
01
c0
34
20
00
f3
59
3d
00
00
54
48
a8
27
3b
0e
a8
38
0e
00
4a
68
06
1a
93
b2
08
c8
00
8a
73
c8
1f
41
00
77
72
00
07
e2
03
00
c7
ca
17
73
c7
0e
50
25
ac
80
00
14
a4
d5
45
c0
92
01
69
1e
30
33
0c
c6
98
00
ba
80
ff
00
a8
28
06
64
0e
30
35
06
6e
5e
13
14
bd
4e
...fQ..@.WwH..E.
..!...@.Fu......
.d.'....7=.'...(
....|......;....
marc........ssid
=Ucopia2........
004096577748..00
095b4c35fc .AP35
0-577748.....%..
...x.&.....Jw..n
+w..S.I..$Yhr..^
u.?_]....W=.....
......O.........
......U.........
.;P.....E=T....N
Y..P
00
00
c8
cb
00
10
cb
de
39
0a
e8
23
4e
40
c2
c7
45
00
34
4a
92
cb
08
f1
ff
f2
96
f8
07
b5
00
ec
5a
83
99
cb
49
04
64
57
44
14
bf
3c
a4
93
cb
be
97
c5
9c
3b
77
00
04
1f
4f
2f
b1
19
1a
c0
26
7d
9a
48
00
27
68
06
8c
dd
e3
3a
ae
43
38
6e
00
80
00
1c
03
20
dc
4a
00
44
ec
a5
78
08
11
ae
da
04
2d
a0
96
00
97
63
86
6e
02
2f
06
47
00
ea
cb
46
01
b8
1e
ab
b2
66
69
89
0f
04
0c
a9
98
37
6d
6f
6f
1d
51
c0
02
a7
1a
24
5f
5b
11
2f
ba
5d
d9
ba
a8
27
fe
3a
ab
6d
99
34
c3
f8
f0
40
08
c8
00
0d
00
6a
3c
37
95
3f
1b
9a
f3
00
64
a6
ab
00
a3
74
1d
69
ad
9e
68
55
45
c0
1a
1b
01
95
ab
45
a3
f0
fb
50
89
00
a8
f2
06
37
eb
ff
8d
98
d2
52
12
e6
.@.WwH...fQ...E.
...D..../i...d..
.....'.....'....
.E...h..G.......
...<O......:...7
.4../. -..$.j...
.JZ......._m<t..
......J.F.[.7.E.
9....:...7.4.i..
......D..m/.?...
..I.&C.c.o.....R
#...}8...o]..hP.
N.d;.nxn...@.U..
Exemple de facturation
Frame 19 (160 bytes on wire, 160 bytes captured)
Ethernet II, Src: 00:50:ba:b9:2d:df, Dst: 00:30:bd:61:ee:24
Internet Protocol, Src Addr: 192.168.0.1 (192.168.0.1), Dst Addr:
192.168.0.140 (192.168.0.140)
User Datagram Protocol, Src Port: 3023 (3023), Dst Port: radius (1812)
Radius Protocol
Code: Access Request (1)
Packet identifier: 0x1 (1)
Length: 118
Authenticator: 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13
Attribute value pairs
t:User Name(1) l:8, Value:"urienp"
t:User Password(2) l:18, Value: 0e 84 ed 60 51 d5 78 89
39 47 0b 14 8e 13 7c 05
t:Called Station Id(30) l:10, Value:"84090215"
t:Calling Station Id(31) l:10, Value:"62750114"
t:Service Type(6) l:6, Value:Login(1)
t:Framed IP Address(8) l:6, Value:255.1.2.3
t:Acct Input Octets(42) l:6, Value:100
t:Acct Output Octets(43) l:6, Value:1000
t:Acct Session Id(44) l:10, Value:"idurienp"
t:Message Authenticator(80) l:18,
Value:E74D5CDDF18088FD0760C7EC73BBBC44
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00
00
00
06
75
39
31
00
00
e7
30
92
8c
07
72
47
35
01
00
4d
bd
01
0b
08
69
0b
1f
08
03
5c
61
8f
cf
09
65
14
0a
06
e8
dd
ee
00
07
0a
6e
8e
36
ff
2c
f1
24
00
14
0b
70
13
32
01
0a
80
00
80
00
0c
02
7c
37
02
69
88
50
11
7e
0d
12
05
35
03
64
fd
ba
b6
7c
0e
0e
1e
30
2a
75
07
b9
ee
5e
0f
84
0a
31
06
72
60
2d
c0
01
10
ed
38
31
00
69
c7
df
a8
01
11
60
34
34
00
65
ec
08
00
00
12
51
30
06
00
6e
73
00
01
76
13
d5
39
06
64
70
bb
45
c0
04
01
78
30
00
2b
50
bc
00
a8
05
08
89
32
00
06
12
44
.0.a.$.P..-...E.
................
.......~|^...v..
................
urienp.....`Q.x.
9G....|...840902
15..62750114....
........*....d+.
....,.idurienpP.
.M\......`..s..D
00
00
00
b6
00
ce
50
48
01
ea
03
ae
ba
06
07
d8
09
ee
b9
29
14
2e
e4
ff
2d
00
0b
51
50
c8
df
00
cf
c2
12
fa
00
80
00
f1
2c
30
11
34
03
b6
bd
b2
2b
a0
e3
61
9e
48
11
60
ee
c0
02
00
ef
24
a8
01
0b
71
08
00
00
f0
f7
00
8c
2c
12
68
45
c0
35
1b
b3
00
a8
6b
06
39
.P..-..0.a.$..E.
.H.)............
.......4+H...,5k
....Q...........
....P.,..`.q.h.9
......
00
00
00
06
75
1f
06
00
6e
a9
30
86
8c
07
72
0a
06
64
70
57
bd
01
0b
08
69
36
00
2b
50
4c
61
90
cf
09
65
32
00
06
12
f7
ee
00
07
0a
6e
37
00
00
8d
24
00
15
0b
70
35
01
00
97
00
80
00
0c
1e
30
08
03
5e
50
11
72
0d
0a
31
06
e8
9c
ba
b6
53
0e
38
31
ff
2c
ea
b9
f9
c8
0f
34
34
01
0a
54
2d
c0
04
10
30
28
02
69
f1
df
a8
01
11
39
06
03
64
a5
08
00
00
12
30
00
2a
75
b0
00
01
6a
13
32
00
06
72
cc
45
c0
04
01
31
00
00
69
63
00
a8
05
08
35
01
00
65
29
.0.a.$.P..-...E.
................
.......rS....j..
................
urienp..84090215
..62750114(.....
............*...
.d+.....,.idurie
npP...^..T....c)
.WL.
00
00
00
7a
50
30
01
50
ba
06
07
30
b9
2a
15
d2
2d
00
0b
2a
df
00
cf
c6
00
80
00
dc
30
11
1c
41
bd
b2
a1
2f
61
b5
6c
a1
ee
c0
05
6e
24
a8
01
bc
08
00
00
c0
00 45 00
8c c0 a8
14 b3 d2
17
.P..-..0.a.$..E.
.0.*............
.........l......
zP0.*..A/.n...
00
00
00
06
75
1f
06
00
6e
a8
30
86
8c
07
72
0a
06
64
70
14
bd
01
0b
08
69
36
00
2b
50
ea
61
d4
cf
09
65
32
00
06
12
0c
ee
00
07
0a
6e
37
00
00
30
24
00
15
0b
70
35
01
00
93
00
80
00
0c
1e
30
08
03
b4
50
11
72
0d
0a
31
06
e8
53
ba
b6
19
0e
38
31
ff
2c
5d
b9
b5
26
0f
34
34
01
0a
f4
2d
c0
04
10
30
28
02
69
58
df
a8
01
11
39
06
03
64
f6
08
00
00
12
30
00
2a
75
4e
00
01
6a
13
32
00
06
72
ef
45
c0
04
01
31
00
00
69
90
00
a8
05
08
35
03
00
65
31
.0.a.$.P..-...E.
................
.......r.&...j..
................
urienp..84090215
..62750114(.....
............*...
.d+.....,.idurie
npP.0..S].X.N..1
....
00
00
00
7a
50
30
01
50
ba
06
07
30
b9
2d
15
d2
2d
00
0b
2a
df
00
cf
c6
00
80
00
dc
30
11
1c
41
bd
b2
a1
2f
61
b2
6c
a1
ee
c0
05
6e
24
a8
01
bc
08
00
00
c0
00 45 00
8c c0 a8
14 b3 d2
17
.P..-..0.a.$..E.
.0.-............
.........l......
zP0.*..A/.n...
00
00
00
06
75
1f
06
00
30
86
8c
07
72
0a
06
64
bd
01
0b
08
69
36
00
2b
61
d3
cf
09
65
32
00
06
ee
00
07
0a
6e
37
00
00
24
00
15
0b
70
35
01
00
00
80
00
0c
1e
30
08
03
50
11
72
0d
0a
31
06
e8
ba
b6
38
0e
38
31
ff
2c
b9
b6
69
0f
34
34
01
0a
2d
c0
04
10
30
28
02
69
df
a8
01
11
39
06
03
64
08
00
00
12
30
00
2a
75
00
01
6a
13
32
00
06
72
45
c0
04
01
31
00
00
69
00
a8
05
08
35
02
00
65
.0.a.$.P..-...E.
................
.......r8i...j..
................
urienp..84090215
..62750114(.....
............*...
.d+.....,.idurie
0080
0090
6e 70 50 12 e3 f5 41 35 91 86 54 5d c8 b2 80 c2
07 bf 91 8e
npP...A5..T]....
....
00
00
00
7a
50
30
01
50
ba
06
07
30
b9
2c
15
d2
2d
00
0b
2a
df
00
cf
c6
00
80
00
dc
30
11
1c
41
bd
b2
a1
2f
61
b3
6c
a1
ee
c0
05
6e
24
a8
01
bc
08
00
00
c0
00 45 00
8c c0 a8
14 b3 d2
17
.P..-..0.a.$..E.
.0.,............
.........l......
zP0.*..A/.n...
La scurit du WiMAX1
1. Introduction
La norme IEEE 802.16 adresse une classe dinfrastructure dite last mile (ou
dernier kilomtre) destine la construction de rseaux mtropolitains (Wireless
Metropolitan Area Network, en abrg WMAN), indoor ( lintrieur des btiments)
ou outdoor ( lextrieur des btiments), ddis des usages fixes, nomades, ou
grande mobilit (comme par exemple une automobile se dplaant une vitesse
normale). Cest un standard flexible, compatible avec de multiples plages de
frquences, telles que 10-66 GHz ou 2-11 GHz.
1.1 Un bref historique
La premire version approuve en 2001 et baptise IEEE 802.16-2001 [IEEE802.16 01] utilise la bande 10-66 GHz (cf. figure 1.1.1). de telles frquences les
dispositifs dmission rception sont quasi aligns (cest--dire Line Of Sight, LOS)
et la liaison ne fonctionne plus lorsquun obstacle tel que arbre ou btiment
sintercale entre ces deux extrmits. Pour des frquences plus basses, entre 2 et 11
GHz cette contrainte nest plus indispensable, (on parle alors de Non Line Of Sight,
NLOS). La deuxime version du standard publie en 2004, et nomme IEEE
802.16-2004 [IEEE-802.16 04] intgre les deux plages de frquences pralablement
voques et permet donc des dploiements de type LOS et NLOS. La version la plus
rcente, finalise en fvrier 2006 [IEEE-802.16e 06] sapplique plus
particulirement la bande 5-6 GHz, le codage de linformation prend en compte les
problmes spcifiques induits par la vitesse des usagers, tels que par exemple leffet
DOPPLER.
Enfin la technologie MIMO (Multiple Input, Multiple Output) emploie de
multiples antennes dmission et de rception, et facilite lintgration et le
dploiement du WiMAX.
1 Chapitre rdig par Pascal URIEN
La scurit du WiMAX
Norme
Disponible
Bande
Dbit
IEEE 802.16-2001
Dcembre 2001
IEEE 802.16-2004
Octobre 2004
IEEE 802.16e
Fvrier 2006
10 - 66 GHz
2-11 GHz
< 6 GHz
32-134 Mbits dans des Jusqu 75 Mbits dans Jusqu 15 Mbits dans
canaux de 28MHz des canaux de 20MHz des canaux de 5 MHz
Technique
de
Modulation
QPSK, 16QAM,
64QAM
Mobilit
Fixe
Largeur des
canaux
Rayon de la
cellule
S-OFDMA
Grande Mobilit
20, 25 et 28 MHz
Variable
1.5 20 MHz
Identique 802.16-2004
des sous canaux UL
2-5 km
7-10 km
Maximum 50 km
2-5 km
La scurit du WiMAX
1.3 Topologie
Larchitecture du WiMAX (cf. figure 1.3.1.) comporte des stations de base BS
(Base Station) munies de plusieurs antennes directionnelles, grant des secteurs, et
tablissant des liens de type PMP (Point to Multi Point). Dans un secteur donn, les
voies descendantes (mission dinformation vers les clients) et montantes (rception
des donnes mises par les clients) sont gres par une station de base unique.
Downlink
Secteur
Station
de Base
BS
Uplink
Client
(SS Subscriber
Station)
Figure 1.3.1. Illustration de larchitecture PMP
La scurit du WiMAX
Le rcepteur, Subscriber Station (SS) dans 802.16 ou Mobile Station (MS) dans
802.16e, analyse les trames reues et utilise les canaux (montants) de
communication pour diffrentes classes de service telles que administration du
systme (demande de connexion, allocation de qualit de service,) ou
transmission de donnes (en mode Best effort par exemple). La gestion des
collisions daccs aux canaux montants, est ralise par plusieurs types
dalgorithmes. Une deuxime variante permet des rseaux de type MESH (cest-dire maills). Une station de base relie au backbone WiMAX est qualifie de Mesh
BS, les autres lments de linfrastructure sont nomms Mesh SS.
1.4. Evolution de la scurit dans les normes
La scurit du WiMAX a volu au fur et mesure des applications envisages.
Bien que larchitecture rseau soit diffrente, le WiMax puise ses racines dans le
projet, aujourdhui abandonn, IEEE 802.14 ("Cable-TV access method and physical
layer specification"), dmarr en 1996. Ce dernier se proposait de dfinir un
protocole MAC, bas sur une infrastructure ATM, et ddi la distribution de
programmes de tlvision par cble. La tte du rseau (HeadEnd) est dune part
connect au rseau dun oprateur et dautre part une grappe dutilisateurs quips
de modems (appels cable modem, CM). La scurit des changes entre abonns et
La scurit du WiMAX
tte de rseau, sappuie sur un secret statique (baptis cookie), un secret dynamique
K (appel cl principale ou Main Key) obtenu au terme dune classique procdure
Diffie Hellman, et deux nombres alatoires gnrs par chaque entit. Les trames
MAC sont chiffres laide de lalgorithme DES muni dune cl de 40 ou 56 bits.
Outre atlantique le modem cble est une technologie de connexion la toile
mondiale, propose par de nombreux fournisseurs daccs Internet. Il existe des
dizaines de fabricants de tels dispositifs (on peut en trouver une liste non exhaustive
sur le site http://www.cable-modems.org). Le standard dominant est le DOCSIS
(abrviation de Data-Over-Cable Service Interface Specifications), il est dit par le
consortium cablelabs (http://www.cablelabs.com) fond en 1998 par des oprateurs
amricains de tlvision cble. Cette association est galement reprsente
lIETF, par le groupe de travail ipcdn (IP over Cable Data Network) qui dfinit la
structure des bases de donnes (Management Information Base) embarques dans
les modems cble. Larchitecture DOCSIS est assez similaire aux infrastructures de
type DSLAM, un HUB de distribution (encore dnomm tte de rseau - headend)
accde simultanment au rseau tlphonique commut (RTC) classique et aux
rseaux des oprateurs. Cette entit est par ailleurs relie de multiples utilisateurs
quips de modem cble. Le protocole BPKM (abrviation de Baseline Privacy Key
Management Protocol ) fournit deux types de services, lauthentification des
usagers, et la confidentialit des donnes changes avec le HUB de distribution. La
scurit est base sur une infrastructure cl publique; chaque modem cble est
muni dun certificat X509 et dune cl RSA prive. Lautorit de certification racine
(le DOCSIS root CA) attribue des certificats aux fabricants, qui a leur tour dlivrent
des certificats de conformit leurs quipements. Le HUB de distribution
authentifie un modem cble laide de son certificat associ une cl priv. Les
trames sont chiffres par un classique algorithme DES.
Les mcanismes de scurit introduit par la norme IEEE 802.16-2001 sont trs
proche de la norme DOCSIS, dune part sur le plan fonctionnel, et dautre part au
niveau de lencodage binaire. Dans ce standard, en mode LOS, les faisceaux
hertzien sont dploys laide de points hauts tels que grattes ciel ou pylnes; la
scurit des donnes est alors succincte : un simple chiffrement avec lalgorithme
DES, muni dune cl de taille modeste (56 bits). Chaque station dabonn
(Subscriber Station) est munie dun certificat qui atteste sa conformit, cest en
quelque sorte un modem pour lequel le cble a t remplac par un lien radio trs
directif.
Avec le standard de 2004, les dploiements NLOS deviennent possibles, ce qui
augmente le risque dcoute, en raison des multiples rflexions possibles du signal
radio. En consquence la protection des donnes est renforce grce par exemple au
chiffrement AES, muni dune cl de 128 bits; lintgrit des trames dinformation
est galement assure. Cependant lauthentification reste base sur la prsence, ct
La scurit du WiMAX
abonn, dun certificat, et elle nest pas mutuelle : le rseau authentifie son usager,
mais la rciproque nest pas vraie.
La grande mobilit introduite dans la norme 802.16e, implique la mise en place
dune architecture similaire celle pralablement dfinie pour le Wi-Fi (IEEE
802.1x) et comportant typiquement un ou plusieurs serveurs dauthentification. De
mme lauthentification mutuelle devient ncessaire en raison des faibles prix des
stations de base, qui permettent aux pirates de dployer facilement des leurres (ou
rogue base station).
2. Couches basses du WiMAX
Conformment au modle des rseaux locaux IEEE 802, larchitecture logique
dun noeud se dcompose en deux sous ensembles (cf. figure 2.1.), la couche MAC
(Medium Access Control) et la couche physique (PHY). Loriginalit de ces blocs
est dincorporer des couches dites de convergence, qui effectuent les oprations
ncessaires aux services dfinis de manire abstraite, cest--dire indpendamment
des caractristiques des technologies radio dployes.
CS Convergence Sublayer
CPS Common Part Sublayer MAC
802.16-2001
802.16e
PS Privacy Sublayer
TDMA
TDD/FDD
802.16a
CS Convergence Sublayer
PHY SOFDMA
PMD
SCa
OFDM-256
OFDMA-2048
Single
Carrier
La scurit du WiMAX
La scurit du WiMAX
Convergence Sublayer
Request
4
Mac Sublayer
Confirmation
Convergence Sublayer
Response
2
Mac Sublayer
Indication
Une connexion est un lien unidirectionnel entre une station de base et une station
fixe (ou mobile) identifi par un CID (Connection IDentifier, 16 bits). Il existe deux
types de connexions : transport et management. Une connexion de transport possde
une association de scurit (SA) et un identifiant de flux (SFID). Une connexion de
management nutilise aucune association de scurit et ne possde pas de SFID.
La scurit du WiMAX
MAC_CREATE_CONNECTION.request
( scheduling service type,
convergence sublayer,
service flow parameters,
payload header suppression indicator,
length indicator,
encryption indicator,
Packing on/off indicator,
Fixed-length or variable-length SDU indicator,
SDU length,
CRC request,
ARQ parameters, sequence number)
.confirmation
( Connection ID,
response code,
response message,
sequence number)
La scurit du WiMAX
MAC_DATA.request
10
MAC_DATA.indication
( Connection ID,
length,
data,
discard-eligible flag,
encryption flag)
( Connection ID,
length,
data,
reception status)
Payload (optionnel)
CRC (optionnel)
Un entte est une structure de 48 bits, soit de type generic, suivie dune charge
utile (payload) et dun CRC, soit de type bandwidth request, pour lequel aucune
charge ni CRC ne sont prsents.
Un entte MAC gnrique comporte pour lessentiel les informations suivantes :
- Le CID (Connection IDentifier) du destinataire de linformation. En fonction
du CID, la charge utile contiendra des donnes ou bien des informations
dadministration (cf. section 2.5).
- Un bit (Encryption Control, EC) indiquant si la charge est chiffre.
- Deux bits (Encryption Key Control, EKC) prcisant lindex (compris entre 0 et
3) de la cl de chiffrement de trafic (Traffic Encryption Key, TEK).
- La longueur (code sur 11 bits) du MAC_PDU, comprise entre 0 et 2047
octets.
- Un champ type de largeur 6 bits, indique la prsence denttes optionnels,
utiliss pour divers services, par exemple pour la segmentation de messages longs.
La scurit du WiMAX
11
Management
Message Payload
La scurit du WiMAX
12
Scan for
Downlink
Channel
Static SA
Optional Primary SA
Downlink
Synchro
Established
Obtain
Uplink
Parameters
SS Authorization
and
Key Exchange
Basic CID
Primary CID
PHY is
Ready
Ranging &
Automatic
Adjustments
Ranging &
Automatic
Adjustments
Complete
Negotiate
Basic
Capabilities
Time of Day
Established
SS
Authentication
complete
Uplink
Parameters
Acquired
Establish
Time of
Day
Register
With
BS
Transfer
Complete
Registration
Complete
Basic
Capabilities
Negotiated
Establish
IP
Connectivity
IP
Complete
Secondary CID
Transfer
Operational
Parameters
10
Establish
Provisioned
Connections
Operational
Optional Secondary SA
Figure 2.6.1. Procdure dinsertion dun nud client dans un rseau WiMAX
La scurit du WiMAX
13
La scurit du WiMAX
Requestor
CS
Requestor
MAC
MAC_CREATE_CONNECTION
confirmation
Responder
CS
Responder
MAC
MAC_CREATE_CONNECTION
request
DSA-REQ
* HMAC-Tuple
DSA-RESP
* Service Flow
Parameters (CID)
* HMAC-Tuple
14
MAC_CREATE_CONNECTION
indication
MAC_CREATE_CONNECTION
response
DSA-ACK
* HMAC-Tuple
Station de base
Client
La scurit du WiMAX
15
Caractristiques
Authorization Key
AK
Cls HMAC :
HMAC_KEY_D
HMAC_KEY_U
HMAC_KEY_S
La scurit du WiMAX
16
SS AuthInfo
AuthRequest
AuthReply{AK0}
AuthRequest
AK0
Lifetime
AK0
Lifetime
AuthReply {AK1}
Figure 3.1.1.1. Procdure dAutorisation
La scurit du WiMAX
17
Key Request
BS
TEK0
Lifetime
TEK1
Lifetime
Key Request
La scurit du WiMAX
18
La scurit du WiMAX
19
Hash (87B)
AK (20B)
PS
lHash
DB=
20B
0000.01 Message
107B
Seed
DB
MaskDB
MGF
00
MaskSeed
MGF
00 maskedSeed
maskedDB = DB + MGF(seed)
maskedDB
128B
Figure 3.3.1.1. Algorithme RSAES-OAEP
La scurit du WiMAX
20
Par exemple si lexposant publique est gal 3, le nombre AK3 est de lordre de
2 , ce qui est infrieur 21024. Il est donc trivial de retrouver la valeur AK en
calculant la racine cubique de AK3.
La norme RSAES-OAEP est une mthode pour fabriquer partir dun nombre
petit (tel que AK) une grande valeur, cest dire un nombre de 127 octets.
Ce procd, dans le cas dun modulo de 128 octets, est ralis conformment la
figure 3.3.1.1. :
la cl AK (20 octets) est complte par une liste (PS) de 67 octets tous nuls
(00) sauf le dernier dont la valeur est gale 01 ;
une empreinte SHA1 (lHash) est calcule pour lensemble prcdent PS|AK o
la notation | dsigne lopration de concatnation. On obtient ainsi un nombre
DB = lHash| PS|AK, de 107 octets ;
un nombre alatoire (Seed) de 20 octets est utilis comme valeur dentre
dune fonction inversible MGF (Mask Generator Function) afin de produire une
suite de 107 octets, le MaskDB. Une opration de ou exclusif entre MaskDB et DB
permet dobtenir la valeur maskedDB ;
la fonction MGF est nouveau applique sur le paramtre maskedDB et
retourne une valeur MaskSeed. Une opration de ou exclusif entre MaskSeed et Seed
produit les 20 octets maskedSeed ;
un octet nul (00) est concatn aux valeurs maskedSeed et maskedDB. Un
calcul RSA utilisant la cl publique du client est alors excut sur le nombre
(00|maskedSeed|maskedDB) pralablement form.
- le rsultat final est chiffr avec la cl publique du client.
480
La scurit du WiMAX
21
Algorithmes de
chiffrement
Crypto-Suite 01
64 bits
Crypto-Suite 03
AES-128
128 bits
CRC (optionnel)
Zone Chiffre
Figure 3.4.1.1. Chiffrement DES dune trame de donnes MAC
La scurit du WiMAX
22
suffixe ICV (Integrity Check Value) destin contrler leur intgrit et dun prfixe
PN (Packet Number) pour dtecter les rejeux.
L octets
Entte MAC
Charge utile
CRC (optionnel)
L+12 octets
PN
4 octets
ICV
8 octets
La scurit du WiMAX
23
La scurit du WiMAX
24
Serveur
ASA
Liens avec le
rseau de loprateur
BS#1
BS#2
Larchitecture du rseau (cf. figure 4.1.) comporte des stations mobiles (mobile
station, MS), communiquant avec des stations de base (Base Station BS). Ces
dernires sont relies un rseau doprateur (Operator Backbone Network) qui
possde gnralement un centre dauthentification et dautorisation (Authentication
and Service Authorization Server, ASA), cest--dire une base de donnes qui
centralise toutes les informations des comptes clients ainsi que les paramtres
utiliss pour leur identification.
U
MS
BS
A
IB
U
MS
ASA
Serveurs
BS
La scurit du WiMAX
25
La scurit du WiMAX
26
Dans cette section, nous ne dcrirons que les apports du protocole PKMv2.
Notons que ce protocole suppose uniquement que le mobile soit initialis avec un
jeu de cls publique/prive et un certificat X.509. Un grand nombre de cls sont
changes ou drives entre mobile et station de base. Pour une meilleure lecture de
cette section, nous recommandons aux lecteurs de commencer par les procdures
dauthentification PKMv2-RSA et PKMv2-EAP et de se rfrer au tableau
rcapitulatif des cls dans le tableau 4.1.1. En rsum de ces procdures
dauthentification, des cls seront partages entre mobile et station de base. Plus
prcisment, avec PKMv2-RSA, une cl pre-Primary AK (pre-AK) est envoye par
la station de base, et avec PKMv2-EAP, une cl MSK (Master Session Key) est
terme gnre entre station de base et mobile. La cl dautorisation AK est obtenue
laide de ces lments et de lalgorithme Dot16KDF. Les cls ncessaires au
service MBS sont dduites dune cl MAK (cl dauthentification MBS AK),
distribue par des moyens non prciss par la norme IEEE 802.16e.
4.1. Hirarchie des cls
Le rcapitulatif des cls et de leur calcul est fourni dans le tableau 4.1.1 et le dtail
de la fonction Dot16KDF utilise est prsent la section 4.1.1.
Cls
Pre Primary AK
Pre-PAK
Caractristiques
Cette cl est gre par la station de base et transmise
chiffre par la cl RSA publique du client lors dune
phase optionnelle PKM-RSA
Primary AK
PAK
La scurit du WiMAX
PMK
27
calcul de la cl dautorisation AK
Authorization Key
AK
Cl de groupe de la voie
descendante
C/HMAC_Key_GD
La scurit du WiMAX
28
La scurit du WiMAX
29
La scurit du WiMAX
30
4.1.4. La cl MTK
La cl MTK (MBS Transport Key) est dduite dune cl MAK (MBS AK) dont la
mthode de distribution nest pas dcrite par le standard IEEE 802.16e.
MTK = Dot16KDF(MAK, MGTEK | "MTK", 128)
MGTEK est la cl GTEK courante, associe au MBS. MTK est utilise pour le
chiffrement du trafic MBS, cest ,dire pour tout type de service bas sur des
mcanisme de diffusion (Pay TV, etc).
4.1.5. Les cls MAC
Les cls associes lalgorithme CMAC (CMAC_KEY_U et CMAC_KEY_D)
sont dduites par la relation suivante :
CMAC_KEY_U | CMAC_KEY_D | KEK =
Dot16KDF(AK, SS_MAC_Address | BSID | "CMAC_KEYS+KEK", 384)
Une cl additionnelle est utile pour certains messages PKMv2 (par exemple
PKMv2 Group-Key-Update-Command).
CMAC_KEY_GD = Dot16KDF(GKEK, "GROUP CMAC KEY",128).
Les cls associes lalgorithme HMAC sont dduites par la relation suivante :
HMAC_KEY_U | HMAC_KEY_D | KEK =
Dot16KDF(AK, SS_MAC_Address | BSID | "HMAC_KEYS+KEK", 448)
Une cl additionnelle est utile pour certains messages PKMv2 ( par exemple
PKMv2 Group-Key-Update-Command).
HMAC_KEY_GD = Dot16KDF(GKEK, GROUP HMAC KEY, 160).
Les messages EAP peuvent tre associs des signatures CMAC ou HMAC
dont les cls (128 ou 160 bits) sont dduites dune cl dintgrit EIK, laide des
procdures suivantes (respectivement lorsque les algorithmes CMAC ou HMAC
sont slectionns).
CMAC_KEY_U | CMAC_KEY_D =
Dot16KDF(EIK, SS_MAC_Address | BSID | "CMAC_KEYS", 256) ou
La scurit du WiMAX
31
HMAC_KEY_U | HMAC_KEY_D =
Dot16KDF(EIK, SS_MAC_Address | BSID | "HMAC_KEYS", 320)
Le protocole SA-TEK 3-Way Handshake utilise un identifiant de cl AK,
nomm AKID (64 bits), obtenu par la relation suivante :
AKID = Dot16KDF(AK, AK_SN | SS_MAC_Address | BSID | "AK", 64),
loctet AK_SN est obtenu en rajoutant quatre bits nuls, lindex de la cl AK.
La scurit du WiMAX
Authentification RSA
RSA(pre-PAK,SSpk)
Pre-PAK
Authentification EAP
(simple ou double session)
32
La scurit du WiMAX
33
Le protocole PKMv2 RSA utilise quatre types de messages, PKMv2 RSARequest, PKMv2 RSA-Reply, PKMv2 RSA-Acknowledgement, ou PKMv2 RSAReject.
Le mobile client MS gnre un nombre alatoire (MS_Random) et linsre dans
un message RSA-Request qui transporte galement son certificat X.509, un
identifiant dassociation de scurit (SAID) et une signature RSA (SigSS), ralise
laide de sa cl prive.
La station de base vrifie la validit de la signature du message prcdent et
produit un message RSA-Reply qui comprend le nombre MS_Random fourni
prcdemment par le client, un nombre alatoire (BS_Random) produit par la station
de base, son certificat X.509, une cl pre-PAK chiffre avec la cl publique du
mobile client et une signature (SigBS) ralise laide de la cl prive de cette
dernire. Le fait de retourner le mme nombre MS_Random va assurer le client que
le message a bien t produit en rponse sa demande.
Le mobile analyse le message RSA-Reply, et indique le succs de lopration
dauthentification par un message RSA-Acknowledgement identifi par le champ
BS-Random, qui comporte le statut de lopration (AuthResult), une information
optionnelle (Display-String), et une signature SigSS.
En cas de succs de la procdure, les deux parties calculent une cl dintgrit
EIK (utilise pour scuriser les changes EAP) et une cl PAK.
La scurit du WiMAX
34
Lorsque lusage dune double session a t ngocie entre les deux parties
(mobile et station de base), le client indique, de manire optionnelle, le dbut du
dialogue par un message PKMV2 EAP-Start, ne comportant aucun attribut.
La double session est une technique qui typiquement utilise une premire
authentification du serveur laide du protocole TLS (la version standardise du
clbre protocole de scurit SSL, le cadenas des navigateurs), puis met profit le
canal scuris pralablement cr, pour une excution dune deuxime session,
protge des coutes indiscrtes, par des mcanismes garantissant la confidentialit
et l intgrit des information changes.
La premire session utilise des messages PKMv2 EAP-Transfer sans empreinte
HMAC ou CMAC. Lindication EAP-Success, marquant la fin de ce dialogue, est
transmise par la station de base laide de PKMv2 EAP-Complete, qui inclut une
signature base sur la cl EIK. Le mobile vrifie la validit de ce message et calcule
PMK ainsi quune nouvelle valeur EIK.
La deuxime session dbute par un message PKMV2 EAP-Start sign, laide
de lalgorithme HMAC ou CMAC, par la cl EIK. Par la suite, les paquets EAP sont
transports dans des messages PKMv2 Authenticated-EAP-Transfer protgs par
HMAC ou CMAC (associs la cl EIK).
La scurit du WiMAX
35
Aprs la premire occurrence dune double session EAP, les instances suivantes,
qualifies de re-authentification, utilisent des mcanismes de scurit lgrement
diffrents.
Un dialogue de r-authentification se produit lorsque une cl AK est dj
disponible, cest dire que la double session EAP prcdente sest acheve avec
succs.
La premire session dbute par le message PKMv2 EAP-Start sign par la cl
CMAC_KEY_U ou HMAC_KEY_U dduite de la valeur courante de AK
(H/CMAC_KEY_U{AK}). Par la suite les paquets EAP sont transports par des
messages EAP-Transfer. Lindication EAP-Success, marquant la fin de cette
session, est transmise par la station de base laide de PKMv2 EAP-Complete, qui
comporte une signature dduite de la cl AK (H/CMAC_KEY_U{AK}).
La deuxime session commence par un message PKMV2 EAP-Start sign,
laide de lalgorithme HMAC ou CMAC par la cl H/CMAC_KEY_U{AK}. Par la
suite les paquets EAP sont transports par des messages PKMv2 AuthenticatedEAP-Transfer munis dempreintes HMAC ou CMAC (lies la cl AK courante).
La scurit du WiMAX
36
La scurit du WiMAX
37
Le mobile rpond cette sollicitation par un message PKMv2 SA-TEK sign par
des cls dduites de AK, identifi par AKID. Ce message comporte galement la
liste des algorithmes cryptographiques (les Security Capabilities) supports par le
client.
La station de base dlivre alors le dernier message PKMv2 SA-TEK-Response,
qui inclut dans le cas dun handover (changement de la station de base), un attribut
SA_TEK_Update contenant, pour chaque association de scurit, les valeurs des
cls TEK, GKEK et GTEK, les deux premiers lments tant chiffrs par KEK et le
la dernier par GKEK.
4.5 Procdure de distribution de cls TEK
La scurit du WiMAX
38
La scurit du WiMAX
39
La scurit du WiMAX
40
Ainsi, une carte puce 802.16-2004 peut par exemple assurer le stockage du
certificat X.509 du client et raliser le dchiffrement des cls AK (802.16-2004)
dans un environnement informatique sr. A partir de la cl AK, dont la valeur nest
pas exporte par la carte, cette dernire calcule les valeurs KEK, HMAC_KEY_D,
HMAC_KEY_U, et HMAC_KEY_S. Schmatiquement la carte gre donc
lassociation de scurit dautorisation. Nous soulignerons galement que lidentit
du client est clairement reprsente par un certificat X.509.
La scurit du WiMAX
41
La synthse dune carte pour lIEEE 802.16e est plus complexe. Tout dabord, la
procdure didentification et dauthentification du client est base sur un certificat
X.509 et/ou dautres paramtres associs aux protocole EAP, comme par exemple
un IMSI (import du GSM) utilis par le protocole EAP-SIM [RFC 4186].
La scurit du WiMAX
42
La scurit du WiMAX
43
Bibliographie
La scurit du WiMAX
44
[RFC 2104] The Internet Engineering Task Force, IETF, RFC 2104, HMAC: Keyed-Hashing
for Message Authentication, Fvrier 1997.
[RFC 2131] The Internet Engineering Task Force, IETF, RFC 2131, Dynamic Host
Configuration Protocol, Mars 1997.
[RFC 2349] The Internet Engineering Task Force, IETF, RFC 2349, TFTP Timeout Interval
and Transfer Size Options, Mai 1998.
[RFC 2459] The Internet Engineering Task Force, IETF, RFC 2459, Internet X.509 Public
Key Infrastructure Certificate and CRL Profile Time Protocol, Janvier 1999.
[RFC 3748] The Internet Engineering Task Force, IETF, RC 3748, Extensible Authentication
Protocol (EAP), Mars 2004.
[RFC 2716] The Internet Engineering Task Force, IETF, RFC 2716, PPP EAP TLS
Authentication Protocol, Octobre 1999.
[RFC 4186] The Internet Engineering Task Force, IETF, RFC 4186, Extensible
Authentication Protocol Method for Global System for Mobile Communications (GSM)
Subscriber Identity Modules (EAP-SIM), Janvier 2006.
[RFC 4187] The Internet Engineering Task Force, IETF, RFC 4187, Extensible
Authentication Protocol Method for 3rd Generation Authentication and Key Agreement
(EAP-AKA), Janvier 2006.
[RFC 4493] The Internet Engineering Task Force, IETF, RFC 4493, The AES-CMAC
Algorithm, Juin 2006.
La scurit du WiMAX
Glossaire
3-DES
AES
AK
AKID
ASA
BS
BSID
CMAC
CBC
CBC-MAC
CCM
CID
CTR
CPS
CS
DCD
DES
DL-MAP
EAP
ECB
EDE
EIK
FDD
FFT
GKEK
GMH
GTEK
HMAC
45
La scurit du WiMAX
HO
KEK
LOS
MAC
MAK
MBS
MIMO
MS
MSK
MTK
NLOS
OFDM
OFDMA
PAK
PHY
PMD
PKM
PMK
PS
Pre-PAK
QAM
QPSK
SAID
SC
SFID
SOFDMA
SN
SS
TDD
TEK
TLV
UL-MAP
UCD
HandOver
Key Encryption Key
Line Of Sight
Medium Access Control
MBS AK
Multicast and Broadcast Services
Multiple Input Multiple Output
Mobile Station
Master Session Key
MBS Transport Key
Non Line Of Sight
Orthogonal Frequency Division Multiplexing
Orthogonal Frequency Division Multiplexing Access
Primary Authorization Key
PHYsical Layer
Physical Medium Dependant
Privacy Key Management
Pairwise Master Key
Privacy Sublayer
Pre Primary AK
Quadrature Amplitude Modulation
Quadrature Phase Shift Keying
Security Association Identifier
Single Carrier
Service Flow IDentifier
Scalable Orthogonal Frequency Division Multiplexing Access
Sequence Number
Subscriber Station
Time Division Duplexing
Traffic Encryption Key
Type Longueur Valeur
Uplink Map
Uplink Channel Descriptor
46
La scurit du WiMAX
WiMAX
Base Station, 3
WiMAX
Basic CID, 15
WiMAX
Basic Connection ID, 11
BLR Voir boucle locale radio
boucle locale radio, 2
Connection IDentifier, 7
WiMAX
couche MAC, 6
WiMAX
couche Physique, 7
WiMAX
Couches basses, 4
Line Of Sight, 1
47
La scurit du WiMAX
48
1. Introduction ............................................................................................................ 1
1.1 Un bref historique............................................................................................. 1
1.2 Quelques marchs............................................................................................. 2
1.3 Topologie.......................................................................................................... 3
1.4. Evolution de la scurit dans les normes ......................................................... 4
2. Couches basses du WiMAX ................................................................................... 6
2.1. La couche MAC .............................................................................................. 7
2.2. La couche Physique ......................................................................................... 8
2.3. Connexions et primitives ................................................................................. 8
2.4 Structure des trames MAC.............................................................................. 10
2.5. Les trames dadministration (Management) .................................................. 11
2.6. Procdure de connexion dun client dans un rseau WiMAX ...................... 11
3. La scurit selon 802.16-2004.............................................................................. 14
3.1 Authentification, autorisation et distribution de cls ...................................... 15
3.1.1 Procdure dauthentification et autorisation par le protocole PKM......... 15
3.1.2 Procdure de distribution de cls TEK .................................................... 16
3.2. Associations de scurit................................................................................. 18
3.2.1. Association de scurit pour lauthentification des trames
dadministration................................................................................................ 18
3.2.2. Association de scurit pour le chiffrement des donnes ....................... 18
3.3. Elments cryptographiques............................................................................ 19
3.3.1. Chiffrement/dchiffrement de la cl AK ................................................ 19
3.3.2. Calcul de la cl KEK et des cls HMAC ................................................ 20
3.4. Crypto-Suites de chiffrement de la cl TEK avec KEK ................................ 21
3.5. Crypto-Suites de chiffrement de trames de donnes avec la cl TEK ........... 21
3.5.1. Crypto Suite 01, algorithme DES-CBC .................................................. 21
3.5.2. Crypto Suite 02, algorithme AES ........................................................... 21
3.5. Un rapide aperu des vulnrabilits de la norme 802.16-2004...................... 22
3.5.1 Attaques au niveau physique ................................................................... 22
3.5.2 Attaques au niveau MAC......................................................................... 23
4. La scurit selon 802.16e ..................................................................................... 24
4.1. Hirarchie des cls......................................................................................... 26
4.1.1. La fonction Dot16KDF........................................................................... 28
4.1.2. La cl dauthentification AK et les cls pre-PAK, MSK, EIK, PMK et
PMK2 ............................................................................................................... 28
4.1.2. Les cls KEK et TEK ............................................................................. 29
4.1.3. Les cls GKEK et GTEK........................................................................ 29
4.1.4. La cl MTK ............................................................................................ 30
4.1.5. Les cls MAC ......................................................................................... 30
4.2. Authentification de type PKMv2-RSA.......................................................... 33
4.3. Authentification de type PKMv2-EAP .......................................................... 34
4.4. SA-TEK 3-way Handshake ........................................................................... 36
4.5 Procdure de distribution de cls TEK ........................................................... 37
4.6 Algorithme (optionnel) de mise jour des cls GTEK................................... 38
4.7. Association de scurit .................................................................................. 38
La scurit du WiMAX
49
Annexes
2 Pascal Urien
La scurit du WiMAX
4 Pascal Urien
3.1 Les attributs de la norme 802.16- 2004
La liste des types des attributs TLV dfinis par la norme 2004 est la suivante,
Display-String (6), AUTH-Key (7), TEK (8), Key-Lifetime (9), Key-SequenceNumber (10), HMAC-Digest (11), SAID (12), TEK-Parameters (13), CBC-IV(14),
Error- (16), CA-Certificate (17), SS-Certificate (18), Security-Capabilities (19),
Cryptographic-Suite (20), Cryptographic-Suite-List (21), Version (22), SADescriptor (23), SA-Type (24), PKM Configuration Settings (27).
3.1.1 Display String (6)
Cest une chane de caractres en mode texte, informant lutilisateur dun problme
particulier.
3.1.2 AUTH-Key (7)
La cl dautorisation AK est un nombre binaire de 20 octets, partir de laquelle on
drive la cl de chiffrement de cl KEK et les cls dempreintes (HMAC) mises en
uvre pour les voies montantes et descendantes. Elle est transporte chiffre par la
cl RSA (128 octets) publique du client.
3.1.3 TEK (8)
Cest la cl de chiffrement des trames, chiffre par la cl de chiffrement de cl KEK.
La longueur est de 8 octets pour un chiffrement DES, 16 octets pour un chiffrement
AES, 24 octet pour un chiffrement AES Key Wrap.
3.1.4 Key-Lifetime (9)
Une valeur de 32 bits, indiquant la dure de vie dune cl cryptographique,
exprime en secondes.
3.1.5 Key-Sequence-Number (10)
Cet attribut reprsente lindex dune cl de chiffrement de trame TEK (cod sur 2
bits) ou dune cl dautorisation AK, PAK ou PMK (cod sur 4 bits).
3.1.6 HMAC-Digest (11)
Le rsultat (soit 20 octets) dune empreinte associe une cl (keyed SHA1 HMAC,
RFC 2104).
3.1.8 SAID (12)
La scurit du WiMAX
Associated GKEK
6 Pascal Urien
3.1.13 SS-Certificate (18)
Le certificat X.509 du client.
3.1.14 Security-Capabilities (19)
Une liste dattributs (Cryptographic-Suite-List, Version) indiquant les capacits
cryptographiques dun client et la version du protocole PKM quil supporte.
3.1.15 Cryptographic-Suite (20)
Un nombre de 3 octets identifiant lalgorithme de chiffrement des trames (Nul=0,
DES-CBC=1, AES-CCM=2,), lalgorithme authentification des trames (Nul=0),
et lalgorithme utilis par la cl de chiffrement de cl KEK (Nul=0, 3-DES EDE=1,
RSA 1024 bits=2, AES 128 bits=3).
3.1.16 Cryptographic-Suite-Liste (21)
Une liste de suite cryptographiques soit 5.n octets si n choix sont disponibles.
3.1.17 Version (22)
La version du protocole PKM est exprime laide dun octet.
3.1.18 SA-Descriptor (23)
Cest une liste dattributs (SAID, SA-Type, Cryptographic-Suite) prcisant les
proprits dune association de scurit (SA) identifie un SAID.
3.1.19 SA-Type (24)
Cet attribut dont la taille est gale un octet indique le type dune association de
scurit cest dire primaire (0 primary), statique (1 static) ou dynamique (2
dynamic).
3.1.20 PKM Configuration Settings (27)
Cest une liste de temps de garde (timeout) utiliss par les diffrentes machines
dtats du protocole PKM.
La scurit du WiMAX
8 Pascal Urien
3.2.9 Pre-PAK (35)
Une valeur de 128 octets chiffre par la cl RSA publique de 1024 bits du mobile.
3.2.10 BS_Certificate (37)
Le certificat X.509 de la station de base.
3.2.11 SigBS (38)
La signature RSA (ralise selon la norme PKCS#1 RSAES OAEP 1.5) dun
message, laide de la cl prive de la station de base.
3.2.12 MS-MAC address (39)
Ladresse MAC (6 octets) du mobile.
3.2.13 CMAC Digest (40)
Cet attribut comporte un numro de paquet (CMAC_PN, 32 bits) et une empreinte
CMAC (selon la norme SP 800-38B) de 64 bits, utilisant un algorithme AES muni
dune cl de 128 bits.
3.2.14 Key Push Mode (41)
Cette valeur code sur un octet identifie le type de cl (GKEK ou GTEK) prsente
dans un message PKMv2 Group Key Update.
3.2.15 Key Push Counter (42)
Un compteur de 16 bits destin viter les attaques de type re-jeu.
3.2.16 GKEK (43)
Une valeur (16 octets) chiffre de la cl GKEK laide de la cl KEK obtenue
avec la cl dauthentification AK.
3.2.17 SigSS (44)
La signature RSA (ralise selon le standard PKCS#1 RSAES OAEP 1.5) dun
message, laide de la cl prive du mobile.
La scurit du WiMAX
10 Pascal Urien
- Key-Lifetime, la dure de vie de la cl AK.
- Key-Sequence-Number, un index de la cl AK.
- un ou plusieurs SA-Descriptor(s), une liste dassociations de scurit pour
lesquelles le client peut obtenir des cls de chiffrements (TEKs).
3.4.4 Le message AuthReject (code 6)
Ce message est typiquement mis par la station de base lorsque le client prsente un
certificat incorrect. Il inclut les attributs suivants
- Error-Code, un code derreur prcisant la nature du problme rencontr.
- Display-String, une indication optionnelle prcisant la nature de lerreur.
3.4.5 Le message KeyRequest (code 7)
Ce message est une demande de cl TEK associ avec un SAID particulier et
comprend les attributs suivants,
- Key-Sequence-Number, lindex dune cl AK.
- SAID, identifiant de lassociation de scurit.
- HMAC-Digest, une empreinte de type keyed-SHA1.
3.4.6 Le message KeyReply (code 8)
Cest une rponse KeyRequest, elle contient la valeur dune cl de chiffrement de
trafic (TEK) chiffre avec la cl de chiffrement de cl (KEK).
- Key-Sequence-Number, lindex de la cl AK
- SAID, lidentifiant de lassociation de scurit
- TEK-Parameters, les nouveaux paramtres TEK
- TEK-Parameters, les prochains paramtres TEK
- HMAC-Digest, une empreinte de type keyed-SHA1.
La scurit du WiMAX
11
12 Pascal Urien
3.5 Les messages supplmentaires de la norme 802.16e-2005
Le standard 802.16e 2005 a introduit de nouveaux messages, PKMv2 RSA-Request
(13), PKMv2 RSA-Reply (14), PKMv2 RSA-Reject (15), PKMv2 RSAAcknowledgment (16), PKMv2 EAPStart (17), PKMv2 EAP-Transfer (18), PKMv2
Authenticated EAP-Transfer (19), PKMv2 SA TEK Challenge (20), PKMv2 SA TEK
Request (21), PKMv2 SA TEK Response (22), PKMv2 Key-Request (23), PKMv2
Key-Reply (24), PKMv2 Key-Reject (25), PKMv2 SA-Addition (26), PKMv2 TEKInvalid (27), PKMv2 Group-Key-Update-Command (28), PKMv2 EAP-Complete
(29), PKMv2 Authenticate EAPStart (30).
3.5.1 Le message PKMv2 RSA-Request (code 13)
Le mobile envoie ce message la station de message lors du dbut dune session
dautorisation en mode RSA. Les attributs sont les suivants
- MS_Random, un nombre alatoire de 64 bits gnr par le mobile
- MS_Certificate, le certificat X.509 du mobile
- SAID, lidentifiant de lassociation de scurit (le Basic CID dans ce cas)
- SigSS, une signature RSA des autres attributs du message.
3.5.2 .Le message PKMv2 RSA-Reply message (code 14)
Cest une rponse PKMv2 RSA-Request, elle contient les informations suivantes
- MS_Random, un nombre alatoire de 64 bits gnr par le mobile
- BS_Random, un nombre alatoire de 64 bits gnr par la station de base
- Encrypted pre-PAK, la valeur de la cl pre-PAK, concatne ladresse MAC du
mobile et chiffre par la cl publique RSA de ce dernier
- Key Lifetime, la dure de vie de la cl PAK
- Key-Sequence-Number, lindex de la cl PAK
- BS_Certificate, le certificat X.509 de la station de Base
- SigBS, une signature RSA des attributs du message.
La scurit du WiMAX
13
14 Pascal Urien
- Key-Sequence-Number, index dune cl dauthentification AK
- HMAC Digest / CMAC Digest, empreinte du message.
3.5.7 Le message PKMv2 Authenticated EAP Transfer (code 19)
Ce message transporte un paquet EAP, il est protg par la cl EIK
- Key-Sequence-Number, lindex de la cl PAK (optionnel)
- EAP Payload, un paquet EAP
- HMAC/CMAC Digest, une empreinte associe la EIK.
3.5.8 Le message PKMv2 SA-TEK-Challenge (code 20)
La station de base met ce premier message du protocole 3-ways SA-TEK
handshake lors de la premire autorisation ou avant toute procdure de reauthentification.
- BS_Random, un nouveau nombre alatoire de 64 bits gnr par la station de base
- Key-Sequence-Number, lindex de la cl AK
- AKID, lidentifiant de la cl AK
- Key-Lifetime, la dure de vie de la cl PMK
- HMAC/CMAC Digest, lempreinte dauthentification de ce message.
3.5.9 Le message PKMv2 SA-TEK-Request (code 21)
Cest le deuxime message, dlivr par le mobile, du protocole 3-ways SA-TEK
handshake, il est prcd par un PKMv2 SA-TEK-Challenge.
- MS_Random, un nombre alatoire choisi par le mobile pour chaque nouveau 3way handshake
- BS_Random, une valeur alatoire de 64 bits gnre par la station de base et reu
dans un prcdent PKMv2 SA-TEK-Challenge
- Key-Sequence-Number, lindex de la cl AK
- AKID, lidentifiant de la cl AK
La scurit du WiMAX
15
16 Pascal Urien
- HMAC/CMAC Digest, lempreinte du message
3.5.12 Le message PKMv2 Key-Reply (code 24)
Cest la rponse de la station de base au message PKMv2 Key-Request dlivr par le
mobile.
- Key-Sequence-Number, lindex de la cl AK
- SAID, lidentifiant de lassociation de scurit, le GSAID dans le cas dun service
broadcast ou multicast.
- TEK-Parameters, ancienne liste des paramtres TEK ou GTEK
- TEK-Parameters, nouvelle liste des paramtres associs SAID
- GKEK-Parameters, ancienne liste des paramtres GKEK
- GKEK-Parameters, nouvelle liste des paramtres GKEK
- Nonce, cette valeur est gale celle du PKMv2 Key-Request.
- HMAC/CMAC Digest, lempreinte du message associe la cl AK
3.5.13 Le message PKMv2 Key-Reply (code 25)
Ce message, mis par la station de base, notifie une erreur dtecte dans un PKMv2
Key-Request.
- Key-Sequence-Number, lindex de la cl AK
- SAID, lidentifiant de lassociation de scurit
- Error-Code, un code derreur
- Display-String, un message optionnel derreur.
- Nonce, le nombre alatoire contenu dans la requte.
- HMAC/CMAC Digest , lempreinte du message associe la cl AK.
La scurit du WiMAX
17
18 Pascal Urien
3.5.17 Le message PKMv2 EAP Complete (code 29)
Dans le mode EAP double, cest dire une deuxime session dauthentification
EAP aprs une premire session EAP, la station de base dlivre ce message au
mobile accompagne de la notification EAP-Success pour informer ce dernier du
succs de la premire session.
- EAP Payload, un paquet EAP-Success
- Key-Sequence-Number, lindex de la cl AK
- HMAC/CMAC Digest, lempreinte du message associe la cl AK
3.5.18 Le message PKMv2 Authenticated EAP Start (code 30)
Dans un mode double EAP, le mobile envoie la station de base ce message pour
indiquer le dmarrage de la 2ime session.
- MS_Random, un nombre alatoire gnr par le mobile
- HMAC/CMAC Digest, lempreinte du message associe la cl EIK.