袁 宇，葉 猛

(1.光纖通信技術(shù)與網(wǎng)絡(luò)國(guó)家重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430074;2.武漢郵電科學(xué)研究院，湖北 武漢 430074;3.武漢虹旭信息技術(shù)有限責(zé)任公司安全產(chǎn)品部，湖北 武漢 430074)

安全問(wèn)題一直是網(wǎng)絡(luò)通信的重要問(wèn)題，基于無(wú)線局域網(wǎng)使用無(wú)線信道作為傳輸媒介，其安全性問(wèn)題比有線網(wǎng)絡(luò)更加嚴(yán)重。廣泛使用的IEEE 802.11WLAN的安全性是本文研究的重點(diǎn)，特別是對(duì)有線等效保密(Wired Equivalent Privacy，WEP)協(xié)議［1］進(jìn)行了深入研究。目前市面上存在的多種無(wú)線攻擊方式，也是因?yàn)閃EP協(xié)議在安全性方面的不足導(dǎo)致。然而，WEP對(duì)設(shè)備的計(jì)算能力要求不高，這使得一些老的設(shè)備，特別是一些手持應(yīng)用方面的設(shè)備，由于在計(jì)算能力方面的局限性，使用WEP目前還是最佳選擇。針對(duì)這一現(xiàn)象，本文對(duì)WEP加密算法進(jìn)行了探討。

1 WEP協(xié)議

由于無(wú)線網(wǎng)絡(luò)是通過(guò)無(wú)線信道傳輸數(shù)據(jù)，因此相對(duì)于有線網(wǎng)絡(luò)，其更容易被監(jiān)聽或是被未授權(quán)用戶截取。對(duì)于一個(gè)完善的WLAN系統(tǒng)，加密和認(rèn)證是必不可少的?；谶@一目標(biāo)，WEP協(xié)議設(shè)置了專門的安全機(jī)制來(lái)對(duì)業(yè)務(wù)流加密和節(jié)點(diǎn)認(rèn)證。WEP是一種作用在鏈路層的保護(hù)協(xié)議，它對(duì)傳輸數(shù)據(jù)的保護(hù)主要是通過(guò)對(duì)通信設(shè)備兩端都設(shè)置相同的密鑰，WEP設(shè)計(jì)的安全性主要表現(xiàn)在以下3點(diǎn):

1)消息機(jī)密性

無(wú)線網(wǎng)絡(luò)的安全性最基本的就是要能夠防止故意竊聽，WEP使用RC4流密鑰算法，對(duì)無(wú)線數(shù)據(jù)進(jìn)行加密，使得數(shù)據(jù)在無(wú)線網(wǎng)絡(luò)中傳輸時(shí)不被竊聽。

2)接入控制

在合法用戶之間提供接入控制，來(lái)防止其他用戶任意接入無(wú)線信道而影響合法用戶。每個(gè)想要接入信道的合法用戶都需要提供正確的共享密鑰，這也有效地降低了非法用戶的惡意攻擊。

3)消息完整性

為了保證數(shù)據(jù)在無(wú)線網(wǎng)絡(luò)傳遞過(guò)程中的完整性，WEP提供CRC32算法進(jìn)行完整性校驗(yàn)，通過(guò)驗(yàn)證校驗(yàn)值確定傳輸?shù)南⑹欠癖淮鄹摹?/p>

WEP是基于RC4算法的協(xié)議，RC4是一種采用密流碼(Stream Cipher)技術(shù)的加密算法，其特點(diǎn)和分組密碼的ECB［1］機(jī)制類似，即用相同的明文產(chǎn)生出相同的密文。為了實(shí)現(xiàn)這一目的，WEP加入了初始向量IV(標(biāo)準(zhǔn)的WEP是24位的IV值)。WEP會(huì)在已經(jīng)加密了的數(shù)據(jù)幀頭加上IV值，于是即使使用了相同的明文加密，其數(shù)據(jù)幀也是不同的。IV還有一個(gè)重要的作用就是與密鑰級(jí)聯(lián)，產(chǎn)生種子密鑰，這可以解決密鑰重用的問(wèn)題。WEP只提供了4個(gè)所有站點(diǎn)共享的缺省密鑰，通過(guò)KEYID區(qū)別，而且會(huì)很長(zhǎng)時(shí)間不更新，這樣就使得密鑰重用率很高。如果已知兩篇明文P1，P2采用相同的密鑰K加密，假設(shè)C1=P1⊕RC4(K)，C2=P2⊕RC4(K)，則C1⊕C2=(P1⊕RC4(K))⊕ P2⊕ RC4(K)=P1 ⊕ P2［2－4］。

如果截獲了2段密文，并且知道它們是用同一種密鑰加密的，密鑰為K，知道其中的一段明文后，就可以得到另外一段明文，即使不知道，也可以在只給出P1⊙P2的情況下，通過(guò)一些技術(shù)手段獲得P1和P2的值。為了克服這一缺點(diǎn)，WEP給每個(gè)數(shù)據(jù)包一個(gè)IV值，將IV與密鑰K級(jí)聯(lián)為種子密鑰(IV‖K)，然后輸入RC4得到密鑰流RC4(IV‖K)，這樣對(duì)于不同的數(shù)據(jù)包，就使用了不同的密鑰進(jìn)行加密，這在一定程度上解決了密鑰重用的問(wèn)題。IV序列主要有兩種實(shí)現(xiàn)形式:一種是在初始化時(shí)取值域［0，2n－1］上任意值，后續(xù)的IV值則依序進(jìn)行加1取模運(yùn)算;另一種機(jī)制是IV在值域［0，2n－1］內(nèi)隨機(jī)取值。

WEP可以支持64 bit和128 bit密鑰，64 bit長(zhǎng)的密鑰是由40 bit長(zhǎng)的WEP用戶密鑰和24 bit的初始矢量IV組成［5－6］，128 bit長(zhǎng)的密鑰是由104 bit密鑰和24 bit的初始向量IV組成。

64 bit密鑰的WEP幀結(jié)構(gòu)如圖1所示。

圖1 WEP的幀結(jié)構(gòu)

WEP的加密過(guò)程是先將明文數(shù)據(jù)采用加密算法加密，以此達(dá)到對(duì)明文數(shù)據(jù)加密和保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)，WEP的加密過(guò)程如下:

(1)把輸入數(shù)據(jù)和計(jì)算得到的校驗(yàn)和組合起來(lái)得到的數(shù)據(jù)即為明文數(shù)據(jù)。計(jì)算原始數(shù)據(jù)包明文數(shù)據(jù)的32 bit的CRC冗余校驗(yàn)，明文數(shù)據(jù)與冗余ICV進(jìn)行加密計(jì)算。

(2)為每個(gè)數(shù)據(jù)包選定一個(gè)初始化矢量IV，再將IV與密鑰Key連接起來(lái)，從而構(gòu)成種子密鑰。

(3)通過(guò)偽隨機(jī)數(shù)發(fā)生器將種子密鑰轉(zhuǎn)化成與傳輸數(shù)據(jù)等長(zhǎng)的隨機(jī)數(shù)，該隨機(jī)數(shù)可以作為加密密鑰。

(4)將初始向量和密文串起來(lái)，即形成WEP幀。

加密過(guò)程如圖2所示。

WEP的數(shù)據(jù)解密過(guò)程剛好與加密過(guò)程相反，即把WEP幀轉(zhuǎn)化成明文，并通過(guò)CRC32算法對(duì)數(shù)據(jù)進(jìn)行檢測(cè)。主要步驟如下:

圖2 WEP的加密流程

(1)從接收的數(shù)據(jù)包中提取初始向量IV和密文。

(2)重新產(chǎn)生密鑰流，該密鑰流與加密密鑰流基本相同。

(3)將產(chǎn)生的解密密鑰流與(1)中得到的密文相異或，就可以得到原始密文。

(4)最后進(jìn)行數(shù)據(jù)校驗(yàn)。根據(jù)得到的明文信息來(lái)檢驗(yàn)校驗(yàn)和，重新計(jì)算校驗(yàn)和，并與接收到的校驗(yàn)和比較。若二者相同，則認(rèn)為該數(shù)據(jù)幀沒(méi)有被篡改，只有校驗(yàn)和正確時(shí)候的數(shù)據(jù)幀才可以被接收方接收。

解密過(guò)程可參考圖3。

圖3 WEP的解密流程

2 WEP的安全缺陷

WEP存在以下3種密鑰缺陷:

1)WEP幀的數(shù)據(jù)

WEP加密算法是利用RC4流密碼算法作為其偽隨機(jī)數(shù)產(chǎn)生器，串行加密就是特定的明文對(duì)應(yīng)特定的加密比特串。如何頻繁變更密鑰，每幀使用不同的IV，則RC4也不同，這就在一定程度上增加了破解的難度。由于WEP幀數(shù)據(jù)部分的第一個(gè)字節(jié)是邏輯鏈路控制(Logical Link Control，LLC)的頭信息［7］，這個(gè)頭信息對(duì)應(yīng)不同的數(shù)據(jù)幀都是相同的，這樣攻擊者就很容易猜出第一個(gè)明文字節(jié)，然后可以利用異或公式定位到密鑰流的第一個(gè)字節(jié)。

2)密鑰管理存在的缺陷

WEP密鑰長(zhǎng)度有兩種，40 bit密鑰和24 bit初始化向量，或104 bit密鑰和24 bit初始化密鑰。密鑰所占位數(shù)多，相應(yīng)的防蠻力攻擊能力相對(duì)較強(qiáng)。但對(duì)于非蠻力攻擊(統(tǒng)計(jì)攻擊等)，長(zhǎng)密鑰就不占優(yōu)勢(shì)。在IEEE 802.11無(wú)線網(wǎng)中，密鑰一般手動(dòng)配置，這就使得大部分公共無(wú)線網(wǎng)密鑰長(zhǎng)期不變。RC4算法通過(guò)可變的IV，部分地解決了密鑰的管理問(wèn)題。然而如果密鑰長(zhǎng)期不換，外加上IV空間較小，這也很大程度上降低了安全性。

3)CRC32算法在WEP中的漏洞

由于WEP協(xié)議中的初始向量可以多次重復(fù)使用，降低了安全性。CRC32算法在WEP的作用是對(duì)數(shù)據(jù)進(jìn)行完整性校驗(yàn)。WEP的加密函數(shù)并沒(méi)有包含CRC32校驗(yàn)和，CRC32只是負(fù)責(zé)檢驗(yàn)數(shù)據(jù)部分的完整性。因此這種校驗(yàn)對(duì)于檢查因噪聲引起的錯(cuò)誤比較有效，但是對(duì)于保密性檢查并不理想。若修改了數(shù)據(jù)信息中的特定比特，再將修改后的信息產(chǎn)生CRC校驗(yàn)值，結(jié)合初始向量發(fā)送給接收者，最后在數(shù)據(jù)端進(jìn)行CRC校驗(yàn)時(shí)并不一定可以檢測(cè)出數(shù)據(jù)被篡改了。

3 針對(duì)WEP密鑰缺陷引發(fā)的攻擊

目前針對(duì)WEP的協(xié)議框架存在以下3種攻擊方式:

1)與RC4有關(guān)的攻擊

一種方式是WEP攻擊者在網(wǎng)絡(luò)中使用無(wú)線終端竊聽，收集到足夠多的數(shù)據(jù)幀，然后對(duì)收集到的數(shù)據(jù)幀分析，一段時(shí)間后重放。另一種是攻擊者捕獲控制接入點(diǎn)(AP)和移動(dòng)工作站(STA)之間的認(rèn)證數(shù)據(jù)包，然后自己構(gòu)造合法認(rèn)證，偽裝成合法用戶。還有一種是chopchop攻擊［8］，這種攻擊主要是針對(duì)WEP中CRC32的弱點(diǎn)進(jìn)行攻擊。

2)被動(dòng)攻擊

這種攻擊主要是進(jìn)行數(shù)據(jù)收集，數(shù)據(jù)的收發(fā)端對(duì)這種行為是覺察不到的。收集到足夠的數(shù)據(jù)幀后攻擊者可以從中提取IV和密文。WEP幀數(shù)據(jù)部分的第一個(gè)字節(jié)是LLC的頭信息。這個(gè)頭信息對(duì)應(yīng)不同的數(shù)據(jù)幀都是相同的，這樣攻擊者就很容易猜出第一個(gè)明文字節(jié)，然后利用異或公式就可以定位到密鑰流的第一個(gè)字節(jié)，攻擊者獲得的這個(gè)密碼僅是IV和密碼的一部分。但由于RC4的打亂，攻擊者并不確定這個(gè)字節(jié)具體的位置。但是如果收集到足夠多的IV和密碼之后，就可以通過(guò)統(tǒng)計(jì)分析進(jìn)行運(yùn)算。最后分析出密碼的正確排序，從而得到WEP的密碼。

3)ARP攻擊

惡意攻擊者通過(guò)在無(wú)線信道上放置無(wú)線接收工具，就可以抓取無(wú)線客戶端的請(qǐng)求包。若抓獲的是ARP包，攻擊者就會(huì)重復(fù)ARP包。無(wú)線接入點(diǎn)接收到ARP包后，就會(huì)自動(dòng)回復(fù)客戶端，惡意攻擊者就可以收集到足夠多的ARP包。從ARP包中收集到足夠多的IV值后，就可以通過(guò)2)描述的方式進(jìn)行WEP破解。這種方法比較適合網(wǎng)絡(luò)中數(shù)據(jù)包不多的情況。

4 安全策略

在安全管理方面，可以定期地更改SSID，綁定MAC地址可以限制非法用戶對(duì)WLAN的訪問(wèn)。使用動(dòng)態(tài)密鑰或是定時(shí)地更改WEP密鑰也有利于防止統(tǒng)計(jì)攻擊。還可以安裝防火墻攔截非法用戶發(fā)送數(shù)據(jù)包。若接入點(diǎn)知道所有用戶的MAC和IP，可以使用入侵檢測(cè)攻擊來(lái)定期檢測(cè)。此外，將DHCP服務(wù)器配置的動(dòng)態(tài)IP改成靜態(tài)IP，也可以有效阻止IP地址欺騙行為。

在技術(shù)改進(jìn)方面，可以使用改進(jìn)的加密算法。WEP存在的攻擊漏洞主要是因?yàn)椴捎昧税踩圆桓叩腃RC32算法和弱IV，而WPA/WPA2安全體系中的TKIP協(xié)議做了很大的改進(jìn)。WEP中采用的CRC32算法不能阻止攻擊者篡改數(shù)據(jù)包，而TKIP中使用Michael消息認(rèn)證算法，實(shí)現(xiàn)完整性編碼MIC，有效降低了攻擊者篡改數(shù)據(jù)的行為。另外，TKIP中提出的密鑰重新獲取和分發(fā)機(jī)制，解決了WEP中密鑰流重復(fù)使用帶來(lái)的問(wèn)題。

防御漏洞方面，主要是防止攻擊者抓獲大量的數(shù)據(jù)幀。網(wǎng)絡(luò)中數(shù)據(jù)幀不多的情況下，攻擊者主要是通過(guò)ARP攻擊來(lái)獲得大量的數(shù)據(jù)幀，為了防止ARP攻擊，網(wǎng)絡(luò)接入點(diǎn)應(yīng)該把網(wǎng)絡(luò)安全信任關(guān)系建立在IP+MAC基礎(chǔ)上，設(shè)置動(dòng)態(tài)的MAC與IP對(duì)應(yīng)表，不要讓網(wǎng)絡(luò)接入點(diǎn)隨意刷新轉(zhuǎn)換表，除非很有必要，否則應(yīng)該停止使用ARP。AP防火墻也是這樣的原理。

5 小結(jié)

無(wú)線網(wǎng)絡(luò)技術(shù)發(fā)展越來(lái)越成熟的同時(shí)，也面臨一些妨礙其發(fā)展的問(wèn)題，安全性是最主要的問(wèn)題之一。本文分析了WEP安全機(jī)制的原理和存在的漏洞，也對(duì)此提出了幾種解決策略。只有充分認(rèn)識(shí)WEP的缺陷和無(wú)線網(wǎng)絡(luò)本身的安全脆弱性，才能夠?qū)踩燥L(fēng)險(xiǎn)降到最低。

［1］BRUCE S.網(wǎng)絡(luò)信息安全的真相［M］.吳世忠，馬芳，譯.北京:機(jī)械工業(yè)出版社，2001.

［2］CHEUNG H.How to crack WEP:part1［EB/OL］.［2012－02－02］.http://www.tomsguide.com/us/how－to－crack－wep，review－451.html.

［3］CHEUNG H.How to crack WEP:part2［EB/OL］.［2012－02－04］.http://www.tomsguide.com/us/how－to－crack－wep，review－459.html.

［4］CHEUNG H.How to crack WEP:part3［EB/OL］.［2012－02－06］.http://www.tomsguide.com/us/how－to－crack－wep，review－471.html.

［5］董屹.基于無(wú)線網(wǎng)絡(luò)WEP密鑰的安全分析［J］.科技信息，2009(24):373－374.

［6］陳明.網(wǎng)絡(luò)協(xié)議教程［M］.北京:清華大學(xué)出版社，2004.

［7］鄭君杰.WAPI協(xié)議及其安全性分析［J］.電視技術(shù)，2004，28(5):31－33.

［8］周正.無(wú)線局域網(wǎng)安全務(wù)實(shí)－WPA 與802.11i［M］.北京:人民郵電出版社，2006.

［9］BARNES CHRISTIAN.無(wú)線網(wǎng)絡(luò)安全防護(hù)［M］.劉堃，譯.北京:機(jī)械工業(yè)出版社，2003.