（通信与信息系统专业论文）无线局域网安全研究(1).pdf

摘要 无线局域网的发展顺应人类追求无拘无束的天性，因而出现后得到了迅速的发展。 无线局域网接入技术带来的高带宽和低价位的好处使其具有极大的魅力。然而，无线局 域网自身存在的安全缺陷影响了无线局域网的推广应用。其早期标准无线等效协议己被 学术界和技术工作者联合彻底攻破。新的无线局域网安全框架在两年多之后终于浮出水 面，并以一种新的架构彻底改变了无线局域网的安全体系。本论文全面分析了无线局域 网安全标准的实现机制；从系统的角度重构了无线局域网的安全体系结构，研究了使用 不同的安全模块搭建适合需求的安全的无线局域网的方法；确定了无线局域网安全机制 的安全假设，从而在事实上指出了无线局域网安全系统和其它外围安全系统配合使用的 问题。 无线局域网除了自身的发展之外，另一个发展趋势是和其它的无线网络互通，从而 构建更大的无线按入网络。这种互通在本质上是一种优势互补，其结果是用户和运营商 双方的满意。本论文在这一方面讨论了互通的基本框架和标准的现状，考察了其中存在 的安全问题和参与实体的信任关系，并就码分多址接入技术和无线局域网接入技术的互 通认证框架进行了深入分析，指出其不安全的因素，并提出了解决方法。 关键词：无线局域网安全分析安全假设无线网络互通安全 a b s t r a c t m e e t i n gt h en a t u r eo ft h eh u m a nb e i n g s c h a s eo fu n c o n s t r a i n t ，w t r e l e s sl o c a l a r e a n e t w o r k s ，a f t e ri t sa p p e a r a n c e ，h a sb e e ne x p e r i e n c i n g ab o o m i n gd e v e l o p m e n t f o ri t s a d v a n t a g e so fh i 曲b a n d w i d t h a n dl o w c o s t ，t h et e c h n o l o g yo fu s i n gi ta saw i r e l e s sm e t h o d a c c e s st oi n t e r n e ta p p e a r sv e r ya t t r a c t i v e h o w e v e r , t h es e c u r i t yf l a w sd e t e c t e di nw i r e l e s s l o c a la r e an e t w o r ks p e c i f i c a t i o no f1 9 9 9h a v eb l o c k e di t s a p p l i c a t i o ni n s c e n a r i o sw h e r e s e n s i t i v ei n f o r m a t i o ni si n v o l v e d 1 1 地e a r l ys e c u r i t ys t a n d a r df o rw i r e l e s sl o c a la r e an e t w o r k , w i r e l e s s e q u i v a l e n tp r o t o c o l ，w a st o t a l l yc o m p r o m i s e db yt h ea c a d e m i ca n de n g i n e e r i n g r e s e a r c h e r st o g e t h e r a f t e ra b o u tt w oy e a r s an e w s e c u r i t yf r a m e w o r ko f w i r e l e s sl o c a la r e a n e t w o r ke m e r g e dw i t hae s s e n t i a l l yn o v e ls e c u r i t ya r c h i t e c t u r et h a tc h a n g e dt h e s y s t e m c o n s t r u c t i o no fw i r e l e s sl o c a la l c an e t w o r k t h i st h e s i sp r e s e n t sac o m p r e h e n s i v ea n a l y s i so i l t h ew i r e l e s sl o c a la t e ：an e t w o r ks e c u r i t ys t a n d a r dd r a f tv e r s i o n3 0 ，a n df i l r t h e r st h eb u i l d b l o c k so ft h ed r a f tf r o mt h ev i e wo ft h es y s t e ma r c h i t e c t u r e t h i st h e s i sa l s os h o w sh o wt o i n t e g r a t et h eb u i l db l o c k si n t oa 文x 撇s y s t e m t om e e td i f f e r e n ta p p l i c a t i o nr e q u i r e m e n t s f u r t h e r m o r e ，t h es e c u r i t ya s s u m p t i o n so f t h eu p d a t e dd r a f ta r cd e t e r m i n e d ，a n dh e n c et h e s e c u r i t yr e q u i r e m e n t sh o w t oh a r m o n i z ew i r e l e s sl o c a la mn e t w o r kw i t ho t h e rp e r i p h e r a l s e c u r i t ys y s t e m s t oa c h i e v ee n h a n c e d s e c u r i t ya f i x e d o i l b e y o n dt h ed e v e l o p m e n to fw i r e l e s s l o c a la r c an e t w o r ki t s e l f , a n o t h e rt r e n d , i e i n t e g r a t i o no fw i d er a n g ew i r e l e s sn e t w o r ka n dw i r e l e s sl o c a l 铷慨n e t w o r k , i sf l o u r i s h i n g w i t ht h eg o a lt oc o n s t r u c tag l o b a lw i r e l e s s8 c 圮e s sn e t w o r k i nt h i sw a y , t h et w ot y p e so f w i r e l e s sn e t w o r kc a nm u t u a l l yb e n e f i te a c ho t h e ra n ds a t i s l yb o t ht h ec u s t o m e r sa n dt h e o p e r a t o r s 1 1 l e b a s i cf r a m e w o r ko f i n t e g r a t i o n a n ds t a t e - o f - t h e - a r t d e v e l o p m e n t o f s t a n d a r d i z a t i o ni nt h i sf i e l di sd i s c u s s e d t h et r u s tr e l a t i o n s h i po fe n t i t i e sa n ds e c u r i t yi s s u e s i n v o l v e di nt h ei n t e g r a t i o no p e r a t i o na r ea l s od e t a i l e d f i n a l l y , t h ea u t h e n t i c a t i o nf r a m e w o r k o fi n t e g r a t i o no fc o d ed i v i s i o nm u l t i p l ea c c e s s2 0 0 0a n dw i r e l e s sl o c a lr r e an e t w o r ki s f u r t h e r e d s o m es e c u r i t yv u l n e r a b i l i t i e so ft h ef r a m e w o r ka 北i d e n t i f l e da n dan o v e ls o l u t i o n i sp r o p o s e dt oe n h a n c et h es e c u r i t y k e y w o r d ：w i r e l e s s l o c a la r e an e t w o r k ；s e e u r i t ya n a l y s i s ；s e c u r i t ya s s u m p t i o n s ；w i r e l e s s n e t w o r k s e c u r i t yi n t e g r a t i o n 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外。论文中不 包含其他入已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名；! 丑连摧 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学，本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于保密在年解密后适用本授权书。 日期z 砬垒厶 日期鬯竺兰：兰兰 名 多 签 签， 人 师 本 导 第一章绪论 第一章绪论 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同 轴电缆等设备，省去了布线的麻烦，组网灵活。无线局域网的覆盖范围为3 0 3 0 0 m ，在 这样一个范围内，无线设备可以自由移动，其适合于低移动性的应用环境。无线局域网 的载频为2 4 g h z 或5 g h z ，为公用频段，无需另外付费，因而使用无线局域网的成本很 低。无线局域网带宽为l l m 或5 4 m ，以后还会发展到上百兆的带宽，能够满足绝大多 数用户的带宽要求。基于以上原因，无线局域网在市场赢得热烈的反响，并迅速发展成 为一种重要的无线接入互联网的技术。 但是，无线局域网的事实上的国际标准8 0 2 1 l b 中的安全模块w e p 存在安全问题。 首先w e p 没有规定强制执行的密钥管理，因此在实际的无线局域网中往往是所有设备 使用相同的密钥，这样任何一台设备密钥泄漏之后，所有的设备都面临危险；另外这也 会使得同一密钥加密的密文数量激增，同时恶化了w e p 的初始向量碰撞问题。其次 w e p 使用c r c 校验来完成杂凑函数的功能，显然属于一种误用行为，但却使w e p 所 宣称的数据完整性成为空话。最后，2 4 比特的初始向量和固定的密钥串联作为r c 4 种 子的方法使得w e p 无论使用4 8 比特或者1 0 4 比特的密钥，都无法保证其数据的机密性。 鉴于以上原因，遵循这一标准的无线设备所组成的无线局域网没有能力抵挡来自恶意者 的攻击，因而不具备安全性。这使得无线局域网在应用上受到很大限制，例如，医疗部 门可能会因为病人的隐私问题而放弃无线局域网的应用。 无线局域网的安全问题引起了业内专家和研究机构的广泛关注。8 0 2 1 1 也专门成立 工作组i 来增强无线局域网的安全，我国也在2 0 0 3 年推出了自己的安全标准。本论文 将首先讨论8 0 2 1 l i 在这一领域的工作和我国的安全标准的概况，然后主要根据8 0 2 1 l i 的工作从系统角度来分析增强的无线局域网的体系结构，指出8 0 2 1 l i 无线局域网安全 标准的内在假设，并结合实例来阐述谨慎配置无线局域网的必要性。最后分析和讨论无 线局域网和其它无线网络互通的安全问题。 1 1 无线局域网安全发展概况 无线局域网8 0 2 1 1 b 公布之后，迅速成为事实标准。遗憾的是，从它的诞生开始， 其安全协议w e p 就受到人们的质疑。美国加州大学伯克利分校的b o r i s o v , g o l d b e r g 和 w a g n e r 最早发表论文指出了w e p 协议中存在的设计失误，接下来信息安全研究人员发 表了大量论文详细讨论了w e p 协议中的安全缺陷，并与工程技术人员协作，在实验中 破译了经w e p 协议加密的无线传输数据。现在，能够截获无线传输数据的硬件设备已 经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在因特网上下 无线局域网安全研究 载。w e p 不安全已经成为一个广为人知的事情，人们期待w e p 在安全性方面有质的变 化，新的增强的无线局域网安全标准应运而生。 我国从2 0 0 1 年开始着手制定无线局域网安全标准，经过西安电子科技大学、西安邮 电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关，历时两年多制定了 无线认证和保密基础设施w a p i ，并成为国家标准，于2 0 0 3 年1 2 月执行。w a p i 使用 公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证 书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。w a p i 在基本结构上由移动终端、接入点和认证服务单元三部分组成，类似于8 0 2 1 1 工作组i 制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的，w a p i 标准 虽然是公开发布的，然而对其安全性的讨论在学术界和工程界目前还没有展开。鉴于以 上因素，我们在后面的分析中，将主要以8 0 2 1 1 工作组i 制定的安全草案为依据来讨论 无线局域网的安全标准。 增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开 一次会议，会议的文档可以从互联网上下载，从中可以看到一些有趣的现象，例如 a e s o c b 算法，开始工作组决定使用该算法作为无线局域网未来的安全算法，一年后 提议另外一种算法c c m p 作为候选，a e s - o s b 作为缺省，半年后又提议c c m p 作为缺 省，a e s o c b 作为候选，又过了几个月，干脆把a e s - o c b 算法完全删除，只使用c c m p 算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中， 我们能够更加清楚地认识到无线局域网安全标准的方方面面，有利于无线局域网安全的 研究，这也是本论文主要以增强的安全草案为依据来讨论的一个很重要的原因。 1 2 无线网络互通的发展概况 在无线局域网安全发展的同时，在无线接入应用方面出现了一种新的趋势，那就是 无线局域网和无线广域网的互通。无线局域网虽然带宽很高，也很廉价，然而移动范围 有限，只有3 0 3 0 0 m 。此时我们注意到很成熟的g s m g p r s 3 g 系统。这些无线网络在 速度上比无线局域网要低，而在造价上则比无线局域网要高。因此，连通各种无线网络， 组成一个可以互通的混合网络，会给用户带来最大的好处，同时也给无线运营商带来新 的商机。 无线网络的互通在标准领域的工作主要有3 g p p 制定的互通框架结构和对于互通网 络的认证、授权、计费等功能接口的规定。这一标准主要是着眼于欧洲目前发展良好的 g s m 系统和用户的卡系统，希望能够通过重用3 g 的计费、授权、认证系统来实现无线 局域网和广域网的互通。另外就是c d m a 2 0 0 0 系统和无线局域网的互通，现在已经有 了一种初步的、松散的结合方式，实现一定程度的互通，并提供多种形式的认证。然而， 第一章绪论 在后面我们将指出，这一系统中的安全是比较脆弱的，不能抵御挟持攻击。 人们对于混合网络的期望是让用户能够随时、随地接入无线网络，并能够实现会话 连续。这里面涉及的主要问题包括移动性，也就是如何设计框架结构使得移动用户能够 接入混合网络并保证会话的连续性；安全性，也就是如何解决用户和网络的双向认证关 系，如何完成用户的计费和授权服务，如何保证混合网络之间的协议正确执行等问题； 服务等级，也就是如何对用户进行细分，提供不同等级的服务等问题。在本论文中，我 们将主要考虑前两个问题，第三个问题在安全方面主要涉及无线信令的安全，主要是其 完整性的问题，比较简单，因而本论文不再讨论。 1 3 主要工作和章节安排 本论文将基于作者所作的无线局域网安全国家8 6 3 中期检查报告田】、作者在校攻读 硕士学位期间发表的文章 2 7 1 和在编码理论新进展讨论班所作的报告例来撰写。主要分为 以下四个部分： 1 全面分析了8 0 2 1 l i 所拟定的无线局域网标准草案中的安全机制。该文的内容包 括了无线局域网的风险、需求和最新发展以及互通的初步研究。在国内最早对 8 0 2 ，1 l i 草案3 0 进行了安全分析 2 7 1 。本论文中第二章主要基于该文来撰写，讨 论增强的无线局域网安全草案3 0 的概况，并给出一些比较细节的安全分析。 2 从系统的角度分析了无线局域网安全标准的组成闭。把无线局域网的安全标准 抽象为多个模块构成的可以搭建的系统。用户能够根据不同安全等级的模块来 搭建适合于自己安全需求的无线局域网。本文的贡献在于提出了对实际应用有 价值的一种参考标准，使人们可以更好的衡量系统的安全性、复杂性、代价等 因素。第三章主要阐述这一内容。 3 从整体的角度分析无线局域网安全标准，指出了该标准内在的安全假设。并结 合e a p t l s 协议指出了谨慎配置无线局域网的必要性。这部分内容将在第四章 阐述。 4 讨论了混合网络中异种网络的切换问题，并对c d m a 2 0 0 0 和无线局域网的互通 模型提出了进一步的设想1 2 9 】。第五章阐述这部分内容。 上述内容之后，继续给出本论文的结论、致谢、参考文献等内容。 第二章增强的无线局域网安全概述 第二章增强的无线局域网安全概述 本章我们首先给出无线局域网的安全风险和安全需求，然后深入分析了w e p 协议， 研究了8 0 2 1 1 工作组i 在安全实现机制方面的安全改进方案，给出c c m p 协议两个运 行模式的示意图，从而更好的理解这一工作模式；给出了8 0 2 1 x 的承载关系，从而明 确了e a p 协议在整个认证过程中的层次关系；给出了四次握手的详尽分析，特别给出 了标准草案中没有指出的一些消息的作用：指出了预认证协议存在的局限性，给出未来 无线网络的发展方向 1 2 7 1 - 4 2 9 ；最后简单介绍了我国的w a p i 标准的流程刚。 2 1 无线局域网安全风险 安全风险是指无线局域网中的资源面临的威胁，无线局域网的资源，包括了在无线 信道上传输的数据和无线局域网中的主机。 2 1 1 无线信道上传输的数据所面临的威胁 由于无线电波可以绕过障碍物向外传播，因此。无线局域网中的信号是可以在一定 覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样，人们在电台发射 塔的覆盖范围内总可以用收音机收听广播，如果收音机的灵敏度高一些，就可以牧听到 远一些的发射台发出的信号。当然，无线局域网的无线信号的接收并不像收音机那么简 单，但只要有相应的设备，总是可以接收到无线局域网的信号，并可以按照信号的封装 格式打开数据包，读取数据的内容。 另外，只要按照无线局域网规定的格式封装数据包，把数据放到网络上发送时也可 以被其它的设备读取，并且，如果使用一些信号截获技术，还可以把某个数据包拦截， 修改，然后重新发送，而数据包的接收者并不能察觉。 因此，无线信道上传输的数据可能会被侦听、修改、伪造，对无线网络的正常通信 产生了极大的干扰，并有可能造成经济损失。 2 1 2 无线局域网中主机面临的威胁 无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能 会以病毒的形式出现，除了目前有线网络上流行的病毒之外，还可能会出现专门针对无 线局域网移动设备，比如手机或者p d a 的无线病毒。当无线局域网与无线广域网或者 有线的国际互联网连接之后，无线病毒的威胁可能会加剧。 对于无线局域网中的接入设备，可能会遭受来自外部网或者内部网的拒绝服务攻击。 当无线局域网和外部网接通后，如果把m 地址直接暴露给外部网，那么针对该i p 的d o s 无线局域网安全研究 或者d d o s 会使得接入设备无法完成正常服务，造成网络瘫痪。当某个恶意用户接入网 络后，通过持续的发送垃圾数据或者利用i p 层协议的一些漏洞会造成接入设备工作缓 慢或者因资源耗尽而崩溃，造成系统混乱。 无线局域网中的用户设备具有一定的可移动性和通常比较高的价值。这造成的一个 负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效，同时 硬件设备中的所有数据都可能会泄漏。 这样，无线局域网中主机的操作系统面临着病毒的挑战，接入设备面临着拒绝服务 攻击的威胁，用户设备则要考虑丢失的后果。 2 2 无线局域网的安全需求 同有线网络相比，无线局域网无线传输的天然特性使得其物理安全脆弱得多，所以 首先要加强这一方面的安全性。 无线局域网中的设备在实际通信时是逐跳的方式，要么是用户设备发数据给接入设 备，由接入设备转发，要么是两台用户设备直接通信，每一种通信方式都可以用链路层 加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听，但是，如果把 无线信号承载的数据变成密文，并且，如果加密强度够高的话，侦听者获得有用数据的 可能性很小。另外，无线信号可能被修改或者伪造，但是，如果对无线信号承载的数据 增加一部分由该数据和用户掌握的某种秘密生成的冗余数据，以使得接收方可以检测到 数据是否被更改，那么，对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得 伪造数据被误认为是合法数据的可能性极小。 这样，通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的 物理安全的保护。 对于无线局域网中的主机。面i 艋病毒威胁时，可以用最先进的防毒措施和最新的杀 毒工具来给系统增加安全外壳，比如安装硬件形式的病毒卡预防病毒，或者安装软件用 来时实检测系统异常。p c 机和笔记本电脑等设备已经和病毒进行了若干年的对抗，接 下来的无线设备如何与病毒对抗还是一个待开发领域。 对于d o s 攻击或者d d o s 攻击，可以增加一个网关，使用数据包过滤或其它路由设 置，将恶意数据拦截在网络外部；通过对外部网络隐藏接入设备的i p 地址，可以减小 风险。对于内部的恶意用户，则要通过审计分析，网络安全检测等手段找出恶意用户， 并辅以其它管理手段来杜绝来自内部的攻击。 硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用 第二章增强的无线局域网安全概述 户，并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如，用m a c 地 址来认证用户是不适当的。 除了以上的可能需求之外，根据不同的使用者，还会有不同的安全需求，对于安全 性要求很高的用户，可能对于传输的数据要求有不可抵赖性，对于进出无线局域网的数 据要求有防泄密措施，要求无线局域网瘫痪后能够迅速恢复等等。所以，无线局域网的 安全系统不可能提供所有的安全保证，只能结合用户的具体需求，结合其它的安全系统 来一起提供安全服务，构建安全的网络。 当考虑与其它安全系统的合作时，无线局域网的安全将限于提供数据的机密性服务， 数据的完整性服务，提供身份识别框架和接入控制框架，完成用户的认证授权，信息的 传输安全等安全业务。对于防病毒，防泄密，数据传输的不可抵赖，降低d o s 攻击的风 险等都将在具体的网络配置中与其它安全系统合作来实现。 2 3 增强的无线局域网安全实现机制 无线局域网安全实现机制从8 0 2 1 l b 发布到现在，有了很大的发展。这可以从加密 与数据完整性校验协议的发展，认证协议的发展两方面来看。而无线局域网之间和无线 局域网与广域网的互通也将在很大的程度上影响安全协议的发展。 2 3 1 加密与数据完整性校验机制 把加密与数据完整性校验放在一起有历史的原因，例如从一开始这两者就是在同一 个协议中同时实现的，体现在w e p ，t k i p ，w r a p 和c c m p 中：另外一个更加重要的 原因在于现代密码学中，在主动攻击存在的环境下，没有完整性保护的密文被认为是不 安全的，因而同时提供加密与数据完整性适合现代密码的需求。下面将讨论各种协议的 特点以及演化历程。 2 3 1 1w e p 协议 w e p ( w i r e de q u i v a l e n tp r o t o c 0 1 ) 协议【1 】是8 0 2 1 1 协议中保障数据传输安全的核心 部分。它是基于链路层的安全协议，设计目标是为无线网络提供与有线网络相同级别的 安全性，保护无线网络中传输数据的机密性，并提供对无线网络的接入控制和对接入用 户的身份认证。其设计的思想是通过使用r c 4 流密码算法加密来保护数据的机密性， 通过问答机制实现对用户的身份认证和接入控制，通过c r c 3 2 循环冗余校验码来保护 数据的完整性。 w e p 帧的封装过程如图2 1 【1 】所示： 无线局域同安全研究 图2 1w e p 协议加密过程简化示意图 图中的c r c 是对要传输的数据进行c r c 运算后得到的校验码，一般称为i c v 。r c 4 ( v , k ) 是用初始向量v 和密钥k 作种子来获德密钥流的算法。x o r 运算是异或运算。最后发 送的数据中阴影部分为密文，前面附加的是加密该消息时使用的初始向量v 。 该协议为了保障无线数据在传输中的完整性，防止数据遭到窜改，使用了c r c 校验 的办法。在传输数据前，发送方先计算明文的c r c 校验码，然后将明文与校验码串联 后加密发送。接收方收到w e p 加密数据后，根据初始向量v 和密钥k 来产生r c 4 密钥 流，用以实现解密。解密出明文及其c r c 校验码，接收方计算解密出的明文的c r c 校 验码，如果与收到的校验码相同，则认为数据在传输中未遭窜改，接受传来的数据，否 则丢弃该数据包。 然而c r c 校验码是一个完全由明文决定的函数，而且对于异或运算来说是线性的， 于是有如下等式： c r c 3 2 ( x o y ) = c r c 3 2 ( x ) o c r c 3 2 ( y ) 而w e p 的加密运算可以表示为： c = ( p ，c r c ( p ) ) o r c 4 ( v ，k ) 假设c 为发送方的发送数据，我们中间拦截更改其为c l ，如下所示： c l = c o x l ，c r c ( x i ) = r c 4 ( v k ) 0 p ，c r c ( p ) 0 x l ，c r c ( x i ) = r c 4 ( v k ) o p e x i ，c r c ( p ) oc r c ( x i ) ， = r c 4 ( v k ) o p o x l ，c r c ( p o x l ) ) 接收方接收到c l 后，使用v 和k 得到正确的密钥流，然后得到我们篡改过的明文，然 第二章增强的无线局域网安全概述 9 而，使用c r c 校验码，什么也检测不出来。所以w e p 协议中对于数据完整性的保护是 失败的，不能抵御数据篡改。 该协议的在数据传输时，用于生成密钥流的初始向量v 是明文的方式。这样，侦听 者就可以知道v 的取值，而该向量只有2 4 位，这就使得在2 2 4 个数据包后至少出现一次 重复v 值，并且在实际中v 值重复的概率远远大于1 2 2 4 ；例如在随机选择v 值的情况下， v 的取值空间为2 ”，那么根据生日悖论，大约2 1 2 个数据包后出现相同的v 值的概率将 大于o 5 。假设处于繁忙工作状态下的访问点a p 每秒钟可以发送出1 0 0 0 个数据包，则 五秒钟后相同v 值出现的概率就大于0 5 。即使初始向量采用累加的取值方式，隔几小 时也会出现相同v 值。重复出现v 值的现象称为初始向量碰撞，这种现象对于数据机密 性有极大的危害。 w e p 协议中基本上是没有密钥管理协议的，在通常的应用中，无线局域网中的用户 设备使用和接入点相同的密钥。此时初始向量碰撞就相当于告诉侦听者出现了重复的密 钥流。假设我们知道发生初始向量碰撞的两段密文值c 1 、c 2 ，就可以得到相应的两段明 文值p 】o p 2 。由于明文是有统计规律的语言，结合字典攻击，就能够以极大概率猜测到 明文p 1 、p 2 的值，并可以使用明文的c r c 校验值来判断得到的猜测值是否正确。这里 给出的例子是对攻击者来说最坏情况下的假设，而在实际中，攻击者可能会通过其它途 径获得某个明密文对，或者可能获得多个发生碰撞的密文，在任何一种情况下，都能帮 助攻击者快速猜测出明文。 在攻击者获得明文后，就可以得到某个初始向量对应的密钥流，长期积累就可以获 得解密字典或者利用r c 4 的弱点推出密钥，从而获得相当于没有加密的侦昕效果。另 外，短的初始向量和固定的密钥连接使得密钥在4 0 比特和1 0 4 比特的情况下具有相同 的风险，这一点可以在s c o af l u h r e r ，i t s i km a a l i a 和a d is h a m i r 所发表的论文【1 6 1 中找到 证明。 可以看出，w e p 协议的失败集中在c r c 校验、短的初始向量和固定密钥连接。这 些缺陷造成被动攻击有效，主动攻击有效，并可以衍生出i p 重定向攻击，重放攻击， 字典攻击等多种行之有效的攻击方法【1 5 卜 2 0 l 。针对w e p 协议的失败原因，8 0 2 1 1 工作组 i 提出了t k i p 协议伫】。 2 3 1 21 k 口协议 t k i p 是t e m p o r a lk e yi n t e g d t yp r o t o c o l 的缩写。名字就表明了该算法的一个最大特 性，就是增加了完整性校验( m i c ) ，这是该算法与w e p 相比的一个最大改进。当然， 为了保证这一目的实现，t k i p 中还有包序列计数器，密钥混合等机制以保证对每一个 m a c 层的协议数据单元 唧都有唯一的数据加密密钥，从而保证了m i c 功能的顺 无线局域网安全研究1 0 利实现 归纳起来。t k i p 有以下特点： 首先就是在m a c 服务数据单元( m s d u ) ，源地址，目的地址的基础上计算的m i c 。 m i c 附于m s d u 之后，分段后以m p d u 的形式加密传送。接收方在解密，i c v 校 验，重组以后及校验m i c ，丢弃错误的m i c ，并实行对策机制( c o u n t e rm c a s l l r e ) 。 m i c 实现了两个目的：防止篡改攻击和允许接收方在主机上运行校验程序： 对策机制( c o u n t e r m e a s u r e ) 是指在发现m j c 错误后，采取的一系列措施。包括了 删除当前密钥组件和停止一分钟传输的策略。这样就极大的限制了对手针对当前密 钥组件所获得信息的数量并且降低了成功篡改的概率； t k i p 用包序列计数器( t s c ) ，重放窗口计数器，i c v 校验来完成防重放攻击。仅 当t s c 严格大于重放窗口计数值时，接受数据包。如果包的t s c 是经过改动的， 那么接收方在解密过程中就不能正确的构造解密密钥，从而造成解密出的明文i c v 校验出错，丢弃包。经过这样两重保护之后，重放攻击成功的概率极小。 t k i p 用混合函数混合临时密钥和t s c 构造r c a 的输入( s e e d ) 。这样一方面把正确 的t s c 与正确解密绑定到一起，一方面防止r c a 的弱密钥攻击 t k i p 的加密过程如图2 2 e 2 1 所示： t 图2 2t k i p 加密过程 c i p h e t t e x t m p d u ( a ) t k i p 加密模块包含了阶段1 密钥混合( p h a s e lk e y m i x i n g ) 、阶段2 密钥混合( p h a 2k e ym i x i n g ) 、完整性校验码计算( m i c ) 、分段( f r a g m e m ) 、w e p 封装( w e p e n c a p s u l a t i o n ) l + 部f f f 。输入包括临时加密密钥( 脚r a l k b y ) ，m i c 嬲 ( m i c k e y ) ， 发送方m a c 地址( t a ) 、源地址( s a ) 、目的地址( d a ) 、明文m s d u 数据单元( p l a i 曲搿t m s d ud a t a ) 、序列号( t s c ) 。输出为加密的m p d u 分组( c i p h c r t c x t m p d u ) a 第二章增强的无线局域网安全概述 t k i p 协议针对c r c 误用，增加了m i c 模块。该模块实质上是一个带有密钥的杂凑 函数，称为m i c h a e l 函数。m i c h a e l 函数宣称提供了2 0 比特左右的强度。实际上，8 0 2 1 1 工作组i 对m i c h a e l 算法进行了差分攻击( 眈生日攻击更一般些) ，表明m i c h a e l 可以达 到3 0 比特左右的强度。m i c 在信道上传输时，已经被r c 4 加密，因而可以提供强度更 高一点的保护。注意到m i c 的保护是在m s d u 这一层上实施的，而事实上，对于无线 局域网的攻击大都是在m p d u 这一层上的，这样m i c 的存在使得多种攻击形式失效， 包括比特翻转攻击，数据段切断然后串联上攻击者需要的数据，碎片攻击，对密钥进行 反复猜测，修改s a ，d a 的重定向攻击，修改s a 或t a 的假冒攻击等。 t k i p 协议针对短的初始向量，将初始向量从2 4 比特扩充到4 8 比特。这一点与密钥 的动态生成、密钥推演相结合，可以保证在连接期间，不会出现重用的情况。另外， 增加了两个混合函数改变初始向量串接密钥作为r m 输入密钥的方式，与动态密钥及 密钥推演结合，有效了克服了同一对应同一密钥流的情况。并实现了单向加密，每 个数据包对应唯一的密钥流等特性，可以提供强度比较高的机密性。 t k i p 在检测到m i c 错误后，会实行对策机制，它包括以下三个步骤： 删除当前认证密钥和加密密钥； 做出详细的日志； 采取措施使得m i c 错误的频率每分钟不超过一次。 因此，对策机制很像一种简单的入侵检测机制。之所以凭一次m i c 错误就判定可能有 入侵事件，是因为一个数据包在m i c 检测之前要通过c r c 校验，i c v 校验，重放攻击 检验三次检测。传输错误以及其它偶然错误通过这三次检测的机率很低，从概率上可以 认为是不可能事件。所以，有理由认为m i c 错误的直接来源就是攻击者。 从以上来看，t k i p 针对w e p 的各种攻击，提出了相应的各种补救措施，并且可以 在现有硬件上通过软件升级来实现。确实达到了在现存资源上可能达到的最大安全性。 然而t k i p 终究是一种过渡性算法，因而它在机密性和数据完整性方面的安全性强度还 不够高，因而在下一代的无线局域网设备中，将会支持新的基于a e s 的一些算法，在 这一方面，8 0 2 1 1 工作组i 确定使用c c m p 协议1 2 】。 2 3 1 3c c n m 协议 c c m p 协议基于a e s 使用c c m 操作模式。c c m 模式是保护机密性的计数器模式 和进行完整性校验的密码反馈链接完整性校验模式的合成。这两种模式都有相当长时 间的研究，有良好的易于理解的密码属性，并且没有专利的限制。这两种方式提供了高 无线局域两安全研究 1 2 的安全性并且在软件和硬件上都有着良好的表现。 对于c t i 潢式和c b c - m a c 模式来说，使用的密钥是相同的。尽管对于同一密钥用 于不同的功能会引起安全上的问题，但是j a k o bj o n s s o n 经证明在这种特殊情况下不会 产生安全问题，这是因为c t r 模式和c b c m a c 模式的初始向量是不同的，这消除了在 这种情况下可能会产生的问题。事实上，所有的加密所用的初始向量都是不同的，并且 它们与认证初始模块也是不同的。如果分组密码的表现如随机置换，那么在较轻的条件 限制下，输出就会完全独立，两两不同。唯一可能会产生重叠的地方是c b c - m a c 的中 间值和某一个加密结果。并且这种重叠的几率是很小的，因为c b c m a c 的中间值在本 质上来说是随机的( 因为分组密码的表现就像随机置换) 。即使产生了这样一个碰撞， 这些值只会影响m i c ，而m i c 是经过加密的，攻击者并不能从中获得信息或是探测到碰 撞。 c c m 对于每一次会话都假设一个新鲜的临时密钥。重用临时密钥和包序列计数器会 使所有的安全保障成为泡影。 c c m p 的封装过程如图2 3 t 2 1 所示： 图2 3c c m p 封装模块 c c m p 的封装模块包含包序列号计数器( i n c r e m e n tp n ) 、包序列号编码器( e n c o d e p n ) 、初始模块构造( c o n s t r u c ti n i t i a l i z a t i o nb l o c k ) 、使用c b c - m a c 模式计算和处理完 整性校验码( c o m p u t em i cu s i n gc b c - m a ca n da p p e n dt o m p d u ) 、构造计数器 第二章增强的无线局域网安全概述 ( c o n s t r u c t c o u n t e r ) 、使用a e s c t r 加密数据( a e s c t r m o d ee n c r y p t d a t a ) 几个部分。 其输入包括包序列号( p n ) 、发送地址( ，i a ) 、数据长度( d l e n ) 、明文m a c 层分组数 据单元( p l a i n t e x tm p d u ) 、临时密钥( t e m p o r a lk e y ) ，输出即密文的m p d u 分组( c i p h e r t e x t ) 。 c c m p 的封装过程包括以下六个步骤，从中我们可以看到各个组成部分的功能： 1 增加包序列号( p n ) ，保证每一个m p d u 都有一个新鲜的p n ； 2 把p n 编码到m p d u 中： 3 使用p n ，m p d ut a ，m p d u 数据长度构造c c m 初始分组； 4 使用初始构造的分组，用a e s c b c m a c 的方法计算m p d u 的m i c ： 5 从p n 和m p d ut a 构造c c m c t r 模式的计数器； 6 最后，使用a e s - c t r 模式加密m p d u 明文数据和m i c 。 我们给出如图2 4 所示的a e s c t r 加密示意图： 图2 4a e s c t r 模式示意图 从图中可以看到，对待加密明文分组，a e s 算法依次加密计数器给出的序列 ， 其中m 为明文分组的数目，加密所得到的密文用作密钥流，该密钥流和明文分组进行异 或运算，所的结果即为相应的密文；对完整性校验码，a e s 算法对数字o 加密后得到 的密文，该密文的低6 4 位( 高6 4 位抛弃) 用作密钥流和完整性校验码进行异或运算， 得到对完整性校验码的加密分组。 接下来我们给出如图2 5 所示的a e s c b c - m a c 运算： 无线局域网安全研究 图2 5a e s - c b c m a c 示意图 图中，初始向量长度为1 2 8 比特，首先和1 2 8 比特一0 异或，进行a e s 加密运算，所的 密文存储在原来放初始向量的存储器中，然后和需要完整性保护的明文分组异或，结果 再次送入a e s 加密，密文再次存储在原来的存储器中，该过程循环往复，直到需要保 护的明文完全输入。最后把存储器中1 2 8 比特的值取出，取其中的高6 4 位作为完整性 校验码。 通过上面的分析我们看到，c c m p 算法使用了高级加密算法，使用了通用的成熟的 计数器加密模式和密码本反馈链接的完整性校验模式，并且整个运算是在m p d u 数据 分组上进行的，确实可以提供更高等级的机密性和数据完整性。 从以上算法的演化来看，从