馬秋賢 鄭揚(yáng)馳

摘要：本文簡(jiǎn)單闡述了WAP加密認(rèn)證的體系結(jié)構(gòu)和認(rèn)證整個(gè)流程，同時(shí)指出了WAP加密中存在的不安全問(wèn)題，即可以利用中間人攻擊達(dá)到對(duì)WLAN的威脅，并提出了改進(jìn)的有效措施和建議。

關(guān)鍵詞：WAP；WLAN；IEEE；802.111引言

隨著各種各樣移動(dòng)設(shè)備的大范圍使用，這些設(shè)備連接互聯(lián)網(wǎng)已經(jīng)越來(lái)越頻繁。而移動(dòng)設(shè)備連接互聯(lián)網(wǎng)是通過(guò)無(wú)線連接。無(wú)線與有線連接方式在物理上存在很大的差別，因?yàn)闊o(wú)線是通過(guò)無(wú)線電波連接，任何在該無(wú)線覆蓋范圍內(nèi)的用戶都可以通過(guò)不同的途徑連接，其方便了很多合法的用戶，特別對(duì)應(yīng)移動(dòng)性較強(qiáng)的用戶。但另一方面對(duì)于安全性方面更具有挑戰(zhàn)性。

眾所周知，前期的IEEE 802.11協(xié)議是無(wú)線連接的標(biāo)準(zhǔn)協(xié)議，該協(xié)議是為了方便移動(dòng)用戶連接無(wú)線網(wǎng)絡(luò)，但在安全性方面沒(méi)有做太多的要求，但隨著無(wú)線網(wǎng)絡(luò)的普及和無(wú)線技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)這一致命的弱點(diǎn)很容易被非法的用戶利用，并對(duì)無(wú)線網(wǎng)絡(luò)安全造成很大的威脅。IEEE802.11i所使用的加密技術(shù)是基于WEP（有線等效加密）協(xié)議，該協(xié)議設(shè)計(jì)目標(biāo)是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全性，它可以防止明文數(shù)據(jù)在無(wú)線傳輸中被竊聽(tīng)，并不足以對(duì)抗具有專門(mén)知識(shí)、充足計(jì)算資源的黑客對(duì)使用WEP加密的數(shù)據(jù)進(jìn)行攻擊。

2WAP加密技術(shù)工作流程

WPA采用了802.1x和TKIP來(lái)實(shí)現(xiàn)WLAN的訪問(wèn)控制、密鑰管理與數(shù)據(jù)加密。802.1x是一種基于端口的訪問(wèn)控制標(biāo)準(zhǔn)，用戶必須通過(guò)了認(rèn)證并獲得授權(quán)之后，才能通過(guò)端口使用網(wǎng)絡(luò)資源。TKIP雖然與WEP同樣都是基于RC4加密算法，但同時(shí)引入了4個(gè)新算法：

⑴擴(kuò)展的48位初始化向量（IV）和IV順序規(guī)則（IV Sequencing Rules）；

⑵每包密鑰構(gòu)建機(jī)制（per-packet key construction）；

⑶Michael（Message Integrity Code，MIC）消息完整性代碼；

⑷密鑰重新獲取和分發(fā)機(jī)制。

WPA系統(tǒng)在工作的時(shí)候，先由AP向外公布自身對(duì)WPA的支持，在Beacons、Probe Response等報(bào)文中使用新定義的WPA信息元素（Information Element），這些信息元素中包含了AP的安全配置信息（包括加密算法和安全配置等信息）。STA根據(jù)收到的信息選擇相應(yīng)的安全配置，并將所選擇的安全配置表示在其發(fā)出的Association Request和Re-Association Request報(bào)文中。WPA通過(guò)這種方式來(lái)實(shí)現(xiàn)STA與AP之間的加密算法以及密鑰管理方式的協(xié)商。

STA通過(guò)了802.1x身份驗(yàn)證之后，AP會(huì)得到一個(gè)與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對(duì)于使用預(yù)共享密鑰的方式來(lái)說(shuō)，PSK就是PMK）。隨后AP與STA通過(guò)EAPOL-KEY進(jìn)行WPA的四次握手（4-Way Handshake）過(guò)程。（如圖1所示）

四次握手協(xié)議執(zhí)行過(guò)程如下：

⑴AP發(fā)送EAPOL-Key消息1給STA，其中包含Anonce，STA接收后進(jìn)行重放攻擊檢查，若通過(guò)就利用Anonce和自己產(chǎn)生的Snonce調(diào)用PRF函數(shù)計(jì)算生成PTK。

⑵STA發(fā)送EAPOL-Key消息2給AP，其中包含Snonce，并在KeyData字段中放入STA的RSNIE，并用計(jì)算出的MIC對(duì)此消息進(jìn)行數(shù)據(jù)完整性保護(hù)。

⑶AP收到消息2后把得到的STA的隨機(jī)數(shù)Snonce和自己的Anonce采用PRF函數(shù)計(jì)算PTK，再使用計(jì)算出PTK（Pairwise Transient Key）中的MK對(duì)消息2進(jìn)行數(shù)據(jù)完整性校驗(yàn)。如校驗(yàn)失敗就放棄消息2，如成功，AP會(huì)將STA發(fā)來(lái)的RSNIE和在前一階段建立關(guān)聯(lián)時(shí)發(fā)送的RSNIE進(jìn)行比較，如不同則說(shuō)明該STA可能為假冒者，中斷STA的關(guān)聯(lián)，若相同則EAPOL-Key消息3給STA。其中包含Anonce、KeyRSC、RSNIE和MIC（Message Integrity Code）。

⑷STA發(fā)送EAPOL-Key消息4給AP，AP收到后進(jìn)行重放攻擊檢查。若通過(guò)就驗(yàn)證MIC，驗(yàn)證通過(guò)就裝載PTK，而STA在發(fā)送完消息4后也裝載相應(yīng)的PTK，四次握手過(guò)程到次完成。

四次握手成功后，AP要生成一個(gè)256位的GTK（Group Transient Key），GTK是一組全局加密密鑰，所有與該AP建立關(guān)聯(lián)的STA均使用相同的GTK，AP用這個(gè)GTK來(lái)加密所有與它建立關(guān)聯(lián)的STA的通信報(bào)文， STA則使用這個(gè)GTK來(lái)解密由AP發(fā)送的報(bào)文并檢驗(yàn)其MIC。該密鑰可以分解為三種不同用途的密鑰， 最前面的128位作為構(gòu)造全局“每報(bào)文密鑰”（Per-packet Encryption Key）的基礎(chǔ)密鑰（Base Key），后面的兩個(gè)64位的密鑰分別作為計(jì)算和檢驗(yàn)WPA數(shù)據(jù)報(bào)文的MIC的密鑰。AP使用EAPOL-KEY加密密鑰將GTK加密并發(fā)送給STA，并指明該GTK是否允許STA用作發(fā)送報(bào)文所使用，STA成功接收到該報(bào)文，將GTK解密后，向AP發(fā)送應(yīng)答報(bào)文，并根據(jù)AP所指示的Key Index將其安裝無(wú)線網(wǎng)卡的相應(yīng)位置，如果AP使用GTK作為向某一STA單播傳輸?shù)拿荑€，則該STA也需要使用GTK作為向AP發(fā)送單播報(bào)文的密鑰。WAP并不直接使用由PTK/GTK分解出來(lái)的密鑰作為加密報(bào)文的密鑰，而是將該密鑰作為基礎(chǔ)密鑰（Base Key），經(jīng)過(guò)兩個(gè)階段的密鑰混合過(guò)程，從而生成一個(gè)新的每一次報(bào)文傳輸都不一樣的密鑰，該密鑰才是用做直接加密的密鑰。

3WAP加密技術(shù)存在的安全問(wèn)題

在WPA中，AP支持WPA和WEP無(wú)線客戶端的混合接入。在STA與AP建立關(guān)聯(lián)時(shí)，AP可以根據(jù)STA的Association Request中是否帶有WPA信息元素來(lái)確定哪些客戶端支持使用WPA。但是在混合接入的時(shí)候，所有WPA客戶端所使用的加密算法都得使用WEP，這就降低了無(wú)線局域網(wǎng)的整體安全性。

此外，通過(guò)對(duì)整個(gè)握手過(guò)程的分析可以了解到，惡意的攻擊者可以在四次握手的過(guò)程中消息2發(fā)送后，冒充AP向STA發(fā)送偽造的msg1。STA將根據(jù)新的msg1中的Anonce和本身產(chǎn)生新的Snonce，重新計(jì)算PTK，而PTK與認(rèn)證者收到msg2后產(chǎn)生的PTK顯然是不一致的，這樣STA收到msg3后無(wú)法正確校驗(yàn)，就會(huì)導(dǎo)致四次握手過(guò)程被終止，造成了DOS攻擊。（如圖3所示）

4解決WAP加密技術(shù)安全問(wèn)題的方法

對(duì)于以上存在的安全問(wèn)題，可以在當(dāng)前的四次握手協(xié)議上做一部分改動(dòng)，使STA保存所有可能的PTK，這樣可以適用這些PTK對(duì)msg3的MIC進(jìn)行認(rèn)證，從而可以防止上面提到的攻擊行為。

其次，當(dāng)STA加入或者離開(kāi)的時(shí)候必須更新組密鑰，在四次握手結(jié)束后，就可通過(guò)組密鑰握手協(xié)議更新GTK，更新的基本思路是AP選擇一個(gè)具有密碼性質(zhì)的256bit隨機(jī)數(shù)作為組密鑰，接著由GMK、AP的MAC地址直接推導(dǎo)出256bit的組臨時(shí)密鑰GTK，將GTK包含在EAPOL-Key消息中加密傳送。

[參考文獻(xiàn)]

[1]馬建峰,吳振強(qiáng).無(wú)線局域網(wǎng)安全體系結(jié)構(gòu).北京:高等教育出版社,2008.

[2]楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階.北京:電子工業(yè)出版社,2011.

[3]姚琳,王雷.無(wú)線網(wǎng)絡(luò)安全技術(shù).北京:清華大學(xué)出版社,2013.