无线网络WEP协议安全分析

无线网络WEP协议安全分析摘要：随着无线网络技术的日益成熟，无线网络已被越来越多的用户所接受。无线网络在各方面的发展，达到了用户对使用无线网络全方位的需求。但由于无线通信的本性使然，空中传播的数据本身就是不安全的，随着无线局域网的逐渐普及，无线数据流的安全问题就显得尤为突出。本文通过分析无线网络的WEP协议，提出协议存在的隐患，并提供了隐患所对应的解决方案。关键词：无线网络 WEP协议 安全分析1.引言 在如今这个“移动”的世界里，传统局域网络已经越来越不能满足使用的需求，无线局域网因此应运而生。近两年来，无线局域网产品迅速发展并走向成熟，正在以它的高速传输能力和灵活性发挥日益重要的作用，并且无线已经开始在国内大多数行业中得到了应用。随着无线网络技术的日益成熟，无线网络已被越来越多的用户所接受。无线网络在各方面的发展，达到了用户对使用无线网络全方位的需求。但由于无线通信的本性使然，空中传播的数据本身就是不安全的，随着无线局域网的逐渐普及，无线数据流的安全问题就显得尤为突出。无线局域网的80211标准规定了两部分安全机制：一是访问认证机制；二是数据加密机制，也就是有线等效加密(Wired Equivalency Privacy，WEP)协议。它们是现在常用的无线局域网系统中安全机制的主要形态和基础。在80211安全机制的IEEE核准过程中，加密专家只对WEP算法进行了很少的组内评审工作，正是这一疏忽，造成WEP的多处漏洞，这为各种窜改数据的主动攻击和窃听数据的被动攻击提供了方便之门。2.WEP协议在1999年通过的802.11标准中，有关安全部分叫WEP（Wired Equivalent Privacy），本意是实现一种与有线等价的安全程度1。WEP为等效加密，即加密和解密的密钥相同。为了保护数据，WEP使用RCA算法来加密从无线接入点或者无线网卡发送出去的数据包。RCA是一个同步流式加密系统，这种加密机制将一个短密钥扩展成一个任意长度的伪随机密钥流，发送端再用这个生成的伪随机密钥流与报文进行异或运算，产生密文。接收端用相同的密钥产生同样的密钥流，并且用这个密钥流对密文进行异或运算得到原始报文。从图1可以看到，发送端首先计算原始数据包中明文的32位CRC循环冗余校验码，也就是计算其完整性校验值(Integrity Check Value，ICV)，然后将明文与校验码一起构成传输载荷。在发送端和无线接入点AP之间共享一个密钥，长度可选40bit或104bit。发送端为每一个数据包选定一个长度为24bit的数作为初始向量(InitializedVector，IV)，然后将IV与密钥连接起来，构成64bit或128bit的种子密钥，再送入RC4的伪随机数生成器(PseudoRandom Number Generator，PRNG)中，生成与传输载荷等长的随机数，该随机数就是加密密钥流。最后将加密密钥流与传输载荷按位进行异或操作，就得到了密文。图1 WEP加密过程接收端的解密过程如图2所示。由于发送端是将IV以明文形式和密文一起发送的，当密文传送到AP后，AP从数据包中提取出 和密文，并将IV和自己所持有的共享密钥一起送入伪随机数发生器，得到解密密钥流，该解密密钥流实际上和加密密钥流是相同的。然后接收端再将解密密钥流和密文进行异或运算，就得到了明文，将明文进行CRC计算后就可以得到校验码ICV 。如果ICV 和ICV是相等的，那么就得到了原始明文数据，否则解密就失败了。图2 WEP解密过程3.WEP协议隐患由于WEP采用密钥长度可变的RC4流密码算法来保护数据传输，而在实际应用中，密钥经常基于用户所选择的密码，这就大大降低了密钥的安全有效长度。一些计算机专安全专家已经发现了危及WLAN安全的安全隐患。3.1 RC4算法概述RC4算法属于二进制异或同步流密码算法，其密钥长度可变，在WEP中，密钥长度可选择128bit或64bit2。RC4算法由伪随机数产生算法PRGA（Pseudo Random Generation Algorithm）和密钥调度算法KSA(Key Schedule Algorithm)两部分构成。其中PRGA为RC4算法的核心，用于产生与明文相异或的伪随机数序列；KSA算法的功能是将密钥映射为伪随机数发生器的初始化状态，完成RC4算法的初始化。RC4算法实际上是一类以加密块大小为参数的算法。这里的参数为RC4算法的字长。在WEP中，n=8。RC4算法的内部状态包括2n的状态表和两个大小为一个字的计数器。状态表，也称为状态盒（Sbox，以下用S表示），用来保存n个值的转置状态。两个计数器分别用和表示。KSA算法和PRGA算法可表示如下：KSA： PRGA：Initialization: Initialization:For i=0 to 2n-1 i=0,j=0Si=I Generetion Loop:j=0 i=i+1Scrambling: j=j+SiFor i=0 to 2n-1 Swap (Si,Sj)J=j+Si+KI mod 1 Output z=SSi+SjSwap(Si,Sj其中，为密钥的长度。3.2 RC4算法隐患仔细研究RC4的算法流程，不难发现：状态盒S从一个统一的2n的转置开始，对其进行的唯一操作是交换。S终保存2n的某个转置状态，而且转置随着时间而更新。这也是RC4算法的强度所在。算法的内部状态存储在M=n2n+2n比特中，由于S为一个转置，此状态大约保存了log2(2n!)+2n1700bit的信息。状态盒的初始化状态仅仅依赖于加密密钥K，因此，若已知加密密钥就可完全破解RC4。加密密钥完全且唯一确定了伪随机数序列，相同的密钥总是产生相同的序列。另外，RC4算法本身并不提供数据完整性校验功能，此功能的实现必须由其他方法实现（例如WEP中的数据完整性校验向量，即ICV。）下面考虑一些特殊的攻击模型，这些模型均与要讨论的RC4的安全问题密切相关。RC4算法属于同步流密码算法中的一种，由于其伪随机数发生器PRNG(Pseudo Random Number Generator）的输出完全由加密密钥确定，所以对于一个设计良好的流密码算法必须满足两个条件：输出的每个比特应该依赖于所有加密密钥的所有比特；而且，任意一个比特或者某些比特同加密密钥之间的关系应该极其复杂。上述第一个条件意味着输出的每个比特依赖于加密密钥所有比特的值。密钥中任意比特值的改变均有1/2的几率影响到输出的每一个比特。如果满足此条件，那么，破解此加密需要尝试所有可能的密钥值，输出值同加密密钥之间几乎不存在任何联系。如果上面的条件得不到满足，那么就可被利用来对其进行攻击。举例来说，假设输出的某个比特仅仅依赖于加密密钥的某8个比特，那么就可以简单地进行对此比特密钥的所有可能值进行尝试，并与实际输出相比较获取此8比特密钥的值，这样就大大降低了穷举攻击所需的计算量。 因此，如果输出以比较高的概率由密钥的某些比特所确定，那么此信息就可被利用来对此流密码进行攻击。第二个条件意味着即使已知两个加密密钥之间的联系，也无法得出PRNG输出之间的联系。此信息也可用来降低穷举攻击的搜索空间，从而导致加密强度的降低。RC4算法属于二进制异或流密码，相同的密钥总是产生相同的PRNG输出。为解决密钥重用的问题，WEP中引入了初始化向量IV(Initialization Vector)。初始化向量为一随机数，每次加密时随机产生。初始化向量以某种形式与原密钥相组合，作为此次加密的加密密钥。由于IV并不属于密钥的一部分，所以无须保密，多以明文传输。虽然初始化向量的使用很好地解决了密钥重用的问题，然而初始化向量的使用将导致严重的安全隐患。 而且在WEP协议的身份认证中，规定的身份认证是单向的，即AP对申请接入的客户端进行身份认证，而客户端并不对AP进行身份认证。这种单向的身份认证方式导致了假冒的AP的存在。此外，在WEP协议身份认证过程中，AP以明文的形式把128字节的随机序列流发送给客户端，如果能够监听一个成功的客户端与AP之间身份认证的过程，截获它们双方之间相互发送的数据包，通过把随机数与加密值相异或，就可以得到密钥流。而拥有了该密钥流，任何人都可以向AP提出访问请求。这样，WEP协议所使用的身份认证方式，对于具有监昕和截获数据能力的攻击者来说几乎形同虚设。4.WEP协议改进WEP加密采用的CRC4算法虽然简单高效，但并不适合需要高度保密的无线局域网应用环境，可以采用基于OCB(Ofset CodeBook，分支编码本)模式的AES(AdvancedEncryption Standard，高级加密标准)的保密机制。AES3是1997年1月由NIST提出的，其目的是开发一种新的能保证政府信息的编码算法。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能。对称密码系统要求收发双方都知道密钥，而这种系统的最大困难在于如何地将密钥分配给收发的双方，特别是在环境中。AES加密算法使用128bit分组加码数据。它的输出更具有随机性，对128比特、轮数为7的密文进行攻击时需要几乎整个的密码本，对192、256比特加密的密文进行攻击不仅需要密码本，还需要知道相关的但并不知道密钥的密文，这比WEP具有更高的性，攻击者要获取大量的密文，耗用很大的资源，花费更长的时间破译。它解密的密码表和加密的密码表是分开的，支持子密钥加密，这种做法优于最初的用一个特殊的密钥解密，很容易防护幂攻击和同步攻击，加密和解密的速度快，在性上优于WEP。AES算法支持任意分组的大小，密钥的大小为128、192、256，可以任意组合。它初始时间快，其固有的并行性可以有效地利用处理器资源，有很好的软件性能。在加密和解密分别进行的时候，很适合有限距离的环境，并且对ROM和RAM要求很低；当加密和解密同时进行的时候，对ROM要求有所上升，但仍适合距离有限的环境。AES还适用于交叉存取和非交叉存取两种情况。在这两种情况下，它的性能几乎没有变化，这使得DSP设备可以有效地优化其密码。此外，AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。经过比较分析，可知此算法在性能等各方面都优于WEP，利用此算法加密，无线局域网的性会获得大幅度提高，从而能够有效地防御外界攻击。5.结束语大量的攻击事实证明，WEP加密已不如大多数人想象的那么安全，尤其作为安全系数较高的机关或企业部署的采用WEP加密的无线接入点也存在被攻破的可能。虽然无线局域网拥有诸多优势，但同样面临着一些阻碍其发展的问题，而安全性就是最主要的问题之一。但这也给我们技侦工作带来了一定的机遇，我们应该很好的利用WEP协议存在的隐患，为技侦工作提供新的技术手段。参考文献：1Haslestad T，Tdenor RDWirdess LocalArea Network IEEE80211EBOLhttp：wwwtelenmun0，20042 Jara KWireless Local Area Network SecurityObsctmty Trough SecurityEBOLhrtp：wwweeoulufi，20043 Maclge LimitedWireless LAN Security wKte PaperEBOLhttp：wwwmaclgetom，2003