劉永磊，金志剛

1.天津大學計算機科學與技術學院，天津 300072

2.天津城市建設學院電子與信息工程系，天津 300384

3.天津大學電子信息工程學院，天津 300072

無線局域網(wǎng)WPS安全性分析

劉永磊1，2，金志剛3

1.天津大學計算機科學與技術學院，天津 300072

2.天津城市建設學院電子與信息工程系，天津 300384

3.天津大學電子信息工程學院，天津 300072

WPS（Wi-Fi Protected Setup）是Wi-Fi聯(lián)盟提出的一種用于簡易快速建立安全WLAN的標準[1]，用戶采用四種方式接入網(wǎng)絡：PIN，PBC，NFC和USB。本文討論PIN（個人識別碼）方式的安全性。

1 WPS協(xié)議架構(gòu)

WPS協(xié)議定義了三種類型的網(wǎng)絡設備：認證服務器（Registrar），無線終端（Enrollee）和無線接入點（AP）。典型地，AP充當Registrar，用戶通過按鍵接口或帶外頻道輸入設備PIN，接著Enrollee與AP通過交互基于EAP[2]消息封裝的八次握手過程進行認證（如圖1所示）。

圖1 典型的WPS安裝過程

圖2 八次握手包

雙方通過Diffie-Hellman密鑰交換完成會話密鑰的形成。DHKey=SHA-256(gABmod p)。PKE為gAmod p，PKR為gBmod p。KDK=HMACDHKey(N1||EnrolleeMAC||N2)。AuthKey和KeyWrapKey由kdf（KDK，“Wi-Fi Easy and Secure Key Derivation”，640）[1]產(chǎn)生。如此經(jīng)過M1～M2完成會話密鑰的分發(fā)。

M3～M8進行對PIN的認證，如果驗證成功，M8的ConfigData中會包含此WLAN的Credential，即欲共享密鑰PSK。

2 WPS攻擊模型——暴力破解

第一輪進攻：攻擊者發(fā)起到AP的連接認證過程，與AP交互M1～M4，獲得R-S1，PKE，PKR，KeyWrapKey和AuthKey，通過暴力破解[1，3]R-Hash1獲得PΙN1。由于攻擊開始階段PΙN1未知，M5發(fā)給AP后，AP驗證先前M3中E-Hash1通過的概率僅為1/104。因此收到EAP-Failure包必須重新發(fā)起新的認證過程。

第二輪進攻：攻擊者發(fā)起到AP新的連接認證過程，由于已經(jīng)獲得PΙN1，可通過AP對E-Hash1的驗證，依次獲得M1～M6，暴力破解R-Hash2獲得PΙN2，由于攻擊開始階段PΙN2未知，M7發(fā)給AP后，AP驗證先前M3中E-Hash2通過的概率僅為1/104。因此EAP-Failure包必須重新發(fā)起新的認證過程。

第三輪進攻：攻擊者發(fā)起到AP新的連接認證過程，由于已經(jīng)獲得PΙN1，PΙN2，M1～M8交互均可成功，攻擊完成。

3 基于CPN的WPS協(xié)議分析

Mn為不安全狀態(tài)，M0為初始狀態(tài)，為變換向量表示哪個變遷發(fā)生為29維列向量，求和符號表示每個變遷可點火多次。A(Si，Tj)為變換矩陣，Si依次為a1～a14，c1～c8，b1～b10，d1，d2。Tj依次為t1～t27，t28，t29。A為34×29矩陣，篇幅所限不一一列出，特別地，當收到EAP-Failure，A[13][19]=start成立變遷可發(fā)生，若為M6，A[9][19]=PΙN2成立變遷可發(fā)生。E-Hash1校驗成功A[29][16]=M6，失敗時A[29][16]= fail且A[32][16]=fail成立變遷可發(fā)生。同理可確定變換矩陣A的取值。

首先考察對于原協(xié)議的攻擊，即去除矩形框內(nèi)的狀態(tài)d1、d2和變遷t28、t29。為了讓變遷順利進行，假設b4和b5態(tài)有無窮多個標簽。

著色Petri網(wǎng)（CPN）[4]作為一種形式化協(xié)議分析工具，應用逐漸廣泛[5-7]。采用CPN對WPS協(xié)議進行建模，安全性分析和改進。在引入攻擊模型后，協(xié)議的CPN模型如圖3所示。

該模型中，協(xié)議中涉及的N1，N2，R-S1，R-S2，E-S1，E-S2，PKE，PKR均為入侵者（Intruder）和AP隨機選擇并非變遷產(chǎn)生的結(jié)果，KeyWrapKey和AuthKey也為密鑰交換后由kdf導出并非變遷產(chǎn)生的結(jié)果，因此該模型對協(xié)議進行了簡化。

定義不安全狀態(tài)為a13，此時攻擊者經(jīng)過幾輪進攻獲得了PSK，進而可以在未授權的情況下通過AP接入網(wǎng)絡。采用矩陣分析法[8]和狀態(tài)方程（見公式（1）[4]）分析WPS協(xié)議安全性。

假設AP采取了一定的安全防范措施即重新發(fā)起連接認證的次數(shù)限制為3次。在此條件下暴力破解成功的概率為p，也即Mn狀態(tài)可達的概率。

圖3 WPS協(xié)議攻擊模型

4 WPS改進協(xié)議安全性分析

由于原協(xié)議的安全脆弱，改進方法是認證協(xié)議每次重新發(fā)起都強制使用不同的PIN（見圖3的矩形框），攻擊者每輪攻擊都必須重新破解新的PΙN1，因此攻擊者總是陷入第一輪，能進入第二輪的概率為1/104，進入第三輪的概率更低為1/108。此時：

為34維行向量

相較于原協(xié)議，在AP限制重新發(fā)起連接認證的次數(shù)為3次的情況下，改進使暴力破解成功的概率從1降為3/108以下，優(yōu)勢明顯。但PIN大都基于固定的標簽設備，如無線網(wǎng)卡出廠時固定的唯一PIN。因此改進受到了硬件的極大限制，很難實現(xiàn)每發(fā)起一次連接認證就使用一個不同的PIN。因此WPS應慎重使用。

5 結(jié)論

隨著WLAN在我國的日趨普及，采用Wi-Fi WPS PIN模式進行認證，其安全性備受關注。針對WPS通過CPN對其分析指出其存在的缺陷并給出了相應的改進策略，分析表明WPS應慎重使用。

[1]Wi-Fi Alliance.Wi-Fi protected setup specification version 1.0[S]. 2007.

[2]Aboba B，Blunk L，Vollbrecht J，et al.RFC 3748 Extensible Authentication Protocol（EAP）[S/OL].[2011-11-10].http：//tools. ietf.org/html/rfc3748.

[3]Nyberg K.Connect now to MitM[EB/OL].[2011-11-10].http：// www.tcs.hut.fi/Publications/knyberg/crypto06_rump.pdf.

[4]Jensen K.Colored Petri nets：basic concepts，analysis methods and practical use，volume 1[M]//Monographs in Τheoretical Computer Science.[S.l.]：Springer-Verlag，1992.

[5]王文化，沈慶國，韓春永，等.基于染色Petri網(wǎng)的BGP連接過程模型[J].計算機工程，2011，37（6）：82-84.

[6]孫濤，葉新銘，劉靖，等.一種基于CPN的協(xié)議測試序列生成方法[J].解放軍理工大學學報：自然科學版，2012，13（2）：165-170.

[7]朱俊，郭長國，吳泉源.一種基于CPN的運行時監(jiān)控服務交互行為的方法[J].計算機研究與發(fā)展，2011，48（12）：2277-2289.

[8]Aly S，Mustafa K.Protocol verification and analysis using colored Petri nets[EB/OL].[2011-11-10].http：//facweb.cs.depaul. edu/research/techreports/tr04-003.pdf.

LIU Yonglei1，2,JIN Zhigang3

1.School of Computer Science and Τechnology,Τianjin University,Τianjin 300072,China
2.Department of Electronic and Information,Τianjin Institute of Urban Construction,Τianjin 300384,China
3.School of Electronic and Information Engineering,Τianjin University,Τianjin 300072,China

In this paper,an overview of Wi-Fi Protected Setup（WPS）is supplied.A brute force attack is pointed out.Using Colored Petri Nets（CPN）,the WPS protocol and the improvement are modeled and it is proven that the security flaws exist and the brute force attack is available.Moreover,under setting retry times of connection authentication to be three times,the original protocol can be completely breached and the success breach probability of the improved protocol is only about 3/108.

Wireless Local Area Network（WLAN）;Wi-Fi protected setup;brute force;colored Petri nets;personal identification number;protocol formal analysis

介紹了Wi-Fi聯(lián)盟的WPS標準并給出了對應的攻擊方法——暴力破解攻擊，使用CPN對WPS協(xié)議及改進協(xié)議進行形式化分析并證明AP限制重新發(fā)起連接認證的次數(shù)為3次時，原協(xié)議可完全被攻破而給出的改進協(xié)議成功概率僅約為3/108。

無線局域網(wǎng)；Wi-Fi受保護安裝；暴力破解；著色Petri網(wǎng)；個人識別碼；協(xié)議形式化分析

A

ΤP393

10.3778/j.issn.1002-8331.1201-0151

LIU Yonglei,JIN Zhigang.Security analysis of WPS in WLAN.Computer Engineering andApplications,2013,49（21）：87-89.

天津大學自主創(chuàng)新基金資助。

劉永磊（1983—），男，博士研究生，講師，主要研究方向：無線網(wǎng)絡安全；金志剛（1972—），男，教授，博導，主要研究方向：網(wǎng)絡性能評價、計算機網(wǎng)絡管理與安全、寬帶無線網(wǎng)絡。E-mail：zgjin@tju.edu.cn

2012-01-10

2012-02-24

1002-8331（2013）21-0087-03

CNKI出版日期：2012-06-18http://www.cnki.net/kcms/detail/11.2127.ΤP.20120618.1131.004.html