郭思娟

摘 要：802.11i是最新版本的WLAN安全協(xié)議，提供機(jī)密性、完整性檢測(cè)和相互認(rèn)證機(jī)制。但期在四步握手協(xié)議認(rèn)證過程可能會(huì)出現(xiàn)漏洞。對(duì)此本文提出了兩種改進(jìn)的方法，即.ANonce加密方法與消息1完整性檢測(cè)方法，最后對(duì)改進(jìn)機(jī)制的安全性進(jìn)行了分析。

關(guān)鍵詞：無線局域網(wǎng)；IEEE802.11i；四步握手協(xié)議

WLAN由于其可移動(dòng)性、方便的接入方式和低廉的價(jià)格在普通家庭和企業(yè)辦公室間快速的普及。802.11協(xié)議是IEEE為WLAN制定的協(xié)議標(biāo)準(zhǔn)。WPA協(xié)議分為家庭和企業(yè)兩個(gè)版本，企業(yè)版本的WPA認(rèn)證協(xié)議在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)被認(rèn)為是安全的認(rèn)證方式，直到四步握手協(xié)議的漏洞被發(fā)現(xiàn)1-2。802.11i安全協(xié)議的提出正是基于此，802.11i采用CCMP協(xié)議的AES加密算法，具有更高的安全性。

1 802.11i簡(jiǎn)介

在數(shù)據(jù)加密方面，802.11i協(xié)議采用AES加密算法。在接入認(rèn)證方面，802.11i采用802.1x基于端口的擴(kuò)展認(rèn)證協(xié)議，該協(xié)議包括三個(gè)認(rèn)證實(shí)體，認(rèn)證服務(wù)器，站點(diǎn)和認(rèn)證者，在認(rèn)證過程中AP起到傳遞認(rèn)證數(shù)據(jù)包的作用，具體的認(rèn)證工作在AS和STA間完成，當(dāng)認(rèn)證完成后生成主密鑰，AS將PMK發(fā)送到AP，以便AP和STA完成4步握手協(xié)議。

802.11i采用雙向認(rèn)證方式，即站點(diǎn)和接入點(diǎn)相互認(rèn)證。在密鑰管理方面，80.11i的密鑰管理機(jī)制中最重要的是四次握手協(xié)議和組密鑰更新協(xié)議。四次握手的目的是確保STA和AP均擁有在認(rèn)證期間產(chǎn)生相同的PMK，從而獲得最新的臨時(shí)會(huì)話密鑰。

2 四步握手協(xié)議

四次握手協(xié)議是密鑰管理機(jī)制中最主要的組成部分，主要目的是確定STA和AP得到的PMK是相同且最新的，以保證可以產(chǎn)生最新的PTK，其中PMK在認(rèn)證結(jié)束時(shí)由STA和AP協(xié)商生成。密鑰協(xié)商過程均用EAPOL-KEY幀格式封裝。過程如圖1。

注釋：msg為消息，sn為序列號(hào)，MIC為PTK對(duì)應(yīng)的消息完整性檢測(cè)值

⑴消息l：AP產(chǎn)生隨機(jī)數(shù)ANonce，ANonce通過EAPOL-Key幀發(fā)送，其中包括ANonce大隨機(jī)數(shù)，時(shí)戳和序列號(hào)等，Msg1采用明文傳輸。序列號(hào)字段為密鑰重放計(jì)數(shù)，在建立連接和重連接時(shí)初始化為0，序列號(hào)可以防止重放攻擊。

⑵消息2：當(dāng)STA接收到msg1后首先檢測(cè)該幀是否為沖重放幀，如果不是則產(chǎn)生SNonce，由ANonce、SNonce和PMK等使用偽隨機(jī)函數(shù)PRF生產(chǎn)384bit的PTK，通過EAPOL-Key幀發(fā)送消息2。Msg2包含sn、SNonce和MIC等，同時(shí)存儲(chǔ)ANonce、SNonce和PTK。PTK計(jì)算公式1

⑶消息3：AP接受到消息2后通過sn檢測(cè)是否為重放幀，如果不是，通過MIC值檢測(cè)msg2的完整性，MIC檢測(cè)通過后提取網(wǎng)絡(luò)安全元素相關(guān)信息，構(gòu)造并發(fā)送msg3相關(guān)信息msg3，sn，MIC等。

⑷消息4：：當(dāng)STA收到msg3后校驗(yàn)sn和MIC值，當(dāng)sn和MIC值檢測(cè)都通過后，提取RSNIE相關(guān)信息，并安裝PTK。發(fā)送確認(rèn)msg4 STA的PTK已經(jīng)安裝。

3 四步握手安全性分析

在分析4步握手協(xié)議安全性之前先說明一事實(shí)。STA在進(jìn)行4步握手時(shí)必須同時(shí)保持幾個(gè)握手實(shí)例，以便順利完成握手實(shí)例。

STA采用多個(gè)握手實(shí)例以便于順利完成4步握手的同時(shí)也引入了安全隱患。分析如下：AP向STA發(fā)送第一個(gè)消息1，STA收到消息1后生成隨機(jī)數(shù)SNonce，由ANonce，SNonce，PMK，AA和SPA生成PTK和MIC等，發(fā)送消息2并存儲(chǔ)ANonce，SNonce和PTK。由于STA允許同時(shí)運(yùn)行多個(gè)握手實(shí)例，則當(dāng)?shù)诙€(gè)消息1到來時(shí)，STA作同樣的處理，但這時(shí)存儲(chǔ)的ANonce，SNonce和PTK是最新收到的第二個(gè)消息1所對(duì)應(yīng)的，第一個(gè)消息相關(guān)信息被覆蓋了。當(dāng)惡意攻擊者不停的向STA發(fā)送偽造的消息1時(shí)（對(duì)于攻擊者來說這是很容易做到的，消息1是明文傳輸?shù)?，且沒有保護(hù)措施），那么4步握手過程將一直不能完成，形成了針對(duì)STA的攻擊。

為了解決上述缺陷，802.11i建議除了存儲(chǔ)PTK外再存儲(chǔ)一個(gè)TPTK，每次STA收到消息1時(shí)產(chǎn)生不同的SNonce，計(jì)算PTK并存儲(chǔ)ANonce，SNonce和PTK形成一個(gè)列表，當(dāng)收到正確的消息3時(shí)查找列表對(duì)應(yīng)的ANonce，SNonce和PTK，并清空列表。

上述建議的解決方案也有一個(gè)缺陷，由于PRF算法不是很復(fù)雜運(yùn)算量不大，不易形成CPU耗盡的DOS攻擊，更容易耗盡STA的內(nèi)存造成內(nèi)存耗盡的DOS攻擊。

4 解決方案

⑴解決方案1：ANonce加密方案。AP同時(shí)產(chǎn)生ANonce和BNonce利用對(duì)稱加密算法，用PMK作為密鑰加密，加密后稱為ANonce，隨后用EAPOL-key幀發(fā)送加密隨機(jī)數(shù)ANonce，ANonce，序列號(hào)和時(shí)戳等，ANonce包含在msg1中。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，用已知的PMK解密ANonce，查找解密ANonce的前半部分是否和ANonce一直，如果一致則認(rèn)為數(shù)據(jù)合法，從msg1中提取ANonce作為AP發(fā)送的Nonce保存、BNonce丟棄。如果檢測(cè)前部分和ANonce不同則丟棄該幀。STA接受到的消息1中即使有部分元素被篡改，AP接收到對(duì)應(yīng)的消息2后也會(huì)將其丟棄，不會(huì)影響握手進(jìn)程。STA收到消息1后產(chǎn)生隨機(jī)數(shù)SNonce，由ANonce、SNonce、AA、SPA和PMK等生成PTK，進(jìn)而生成MIC，發(fā)送信息2并存儲(chǔ)ANonce，SNonce和MIC。接下來同原協(xié)議一樣順序執(zhí)行。

對(duì)于方案1，由于引入了PMK作為密鑰的加密方案，攻擊者并不知道PMK和BNonce，無法偽造加密的ANonce從而可以有效的避免惡意攻擊行為。該方案只需對(duì)隨機(jī)數(shù)產(chǎn)生部分做一定的改進(jìn)，加密算法可以采用AES算法加密，對(duì)軟件更改要求較少，并不涉及硬件部分。

⑵解決方案2：消息1完整性檢測(cè)方案。注釋：AP的PMK由AS和STA在認(rèn)證完成后有AS發(fā)送到AP的，此方案需要在AS向AP發(fā)送PMK時(shí)一并發(fā)送STA的MAC地址SPA.

AP同時(shí)產(chǎn)生ANonce和BNonce，其中ANonce包含在msg1中，AP此時(shí)已知SPA，利用ANonce，BNonce，AA，SPA和PMK利用PRF函數(shù)生成PTK和對(duì)應(yīng)的MIC值用以保護(hù)消息1的完整性，最后將ANonce，BNonce，sn，msg1和MIC等一起發(fā)送至STA。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，利用ANonce，BNonce等生成PTK，用以檢驗(yàn)MIC值，當(dāng)MIC相同時(shí)接受消息1，同時(shí)提取出ANonce作為AP的Nonce，當(dāng)MIC不同時(shí)則丟棄該幀。此后STA產(chǎn)生SNonce，并和提取到的ANonce，AA，SPA，PMK等生成PTK，進(jìn)而生成MIC，發(fā)送msg2，sn，SNonce等并存儲(chǔ)ANonce，SNonce，MIC等。此后過程同原協(xié)議。

對(duì)方案2的改進(jìn)方案原理是模仿消息2，3，4引入消息1的完整性檢測(cè)機(jī)制，使得攻擊者無法偽造消息1，具有很高的安全性，可以起到保護(hù)STA免于攻擊的目的。該方案對(duì)軟件部分改動(dòng)很少，對(duì)硬件部分沒有改變，具有很強(qiáng)的可行性。

結(jié)論：IEEE 802.11具有很好的安全性，在數(shù)據(jù)加密和認(rèn)證接入都有不錯(cuò)的表現(xiàn)，僅在4步握手過程中存在漏洞，使其易受到攻擊。本文從改進(jìn)消息1明文傳輸和消息來源認(rèn)證出發(fā)，對(duì)4步握手協(xié)議作了部分改進(jìn)，使得STA免受DOS攻擊，提高了網(wǎng)絡(luò)的安全性。

[參考文獻(xiàn)]

[1]曹利，黃海斌.基于802.11i的四次握手協(xié)議的攻擊分析[J].計(jì)算機(jī)工程，2009年5月第35卷第10期.

[2]楊哲.無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.