（计算机系统结构专业论文）80211无线局域网的安全技术.pdf

摘要 摘要 1 9 9 7 年l o 月，i e e e 批准了关于无线局域网的标准i e e e8 0 2 1 1 这标志着无 线局域网技术开始由实验室走向市场。随后i e e e 先后批准了i e e e8 0 21 1 b 、i e e e 8 0 2 1 l a 和i e e e8 0 2 1 l g 标准，符合这些标准的产品已经丌始大量涌向市场，无线 局域网技术由新兴转向成熟，成为世界各大i t 厂商关注的焦点之。在无线局域 网市场急速扩大的同时，人们对其安全问题愈发关注：无线局域网中的数据通过 高频无线电波传输，极易遭到窃听，而且在无线网环境中，难以应用有线网络的 物理访问控制手段。 本文在国家高技术研究发展计划( 8 6 3 计划，项目编号2 0 0 2 a a l 4 3 0 2 1 ) 的资 助下，对宽带无线i p 安全中的组成部分w l a n 进行了深入的分析和研究。本 文首先分析了无线局域网已有安全协议的工作原理，说明了其设计优缺点并指出 了一些利用协议设计缺陷进行攻击的方法；接着讨论了i e e e8 0 2 1 l i 的主要内容， 包括密钥管理、认证体系和数据保密协议t k i p 、c c m p ，分析了它们的设计思想 和特点。在这些分析的基础上，我们设计了一个适用于w l a n 的认证协议并进行 了分析。随着w l a n 市场的发展，漫游成了w l a n 中的重要场景，而漫游时的 认证方案是该场景中的一个关键部分。我们在深入分析了漫游的要求后，得出的 结论是：目前的认证协议都不能满足漫游的特殊需求。经过进一步研究，我们提 出了一个能有效支持漫游的认证协议。对于我们提出的认证协议，本文都给出了 安全性证明。 关键词：无线局域网8 0 2 1l i 认证可证明安全 a b s t r a c t a b s t r a c t i e e er a t i f i e dt h ew l a n8 0 2 1 ls t a n d a r di no c t19 9 7 w h i c hw a sal a n d m a r kt h a t w l a n t e c h n o l o g yw e n tf r o m t h el a b o r a t o r yi n t ot h em a r k e ta st h e8 0 2 1 l b 、8 0 2 1 l a a n d8 0 2 1lgs t a n d a r d sw e r er a t i f i e db yi e e e ，p r o d u c t sc o n s i s t e n tw i t ht h e s es t a n d a r d s b e c a m e p o p u l a r i nt h em a r k e t w i t ht h ef l o u r i s ho fw l a nm a r k e t ，p e o p l ea r e c o n c e r n e da b o u tt h ew l a n s e c u r i t ym o r et h a ne v e ed a t at r a n s m i t t e di nw l a n o v e r h i g hf r e q u e n c yr a d i oi ss u b j e c tt oe a v e s d r o p p i n g ，f u r t h e r m o r e ，p h y s i c a lm e d i aa c c e s s c o n t r o lm e a s u r e sd o n ta d a p tt ow l a n b y s u s t e n t a t i o nf u n df r o mn a t i o n a l h i g ht e c h n o l o g y r e s e a r c ha n d d e v e l o p m e n tp r o j e c t ( 8 6 3p r o j e c t ) g r a n tn o 2 0 0 2 a a l 4 3 0 2 1 w ed oa ni n d e p t hs t u d y o nt h e s e c u r i t y i n w l a n ，w h i c hi s a c o m p o n e n to ft h es e c u r i t yt e c h n o l o g y i n b r o a d b a n dw i r e l e s si pn e t w o r k i nt h i sp a p e r , w ef i r s ta n a l y z et h em e c h a n i s mo ft h e p r e s e n ts e c u r i t yp r o t o c o l s w ep o i n to u tt h e i rm e r i t s a n df l a w s ，a n d p r e s e n ts o m e a t t a c k i n gw a y sb y m e a n so ft h ed e s i g nf l a w si nt h ep r o t o c o l s s e c o n d l nw e a n a l y s i st h e m a j o r e l e m e n t si ni e e e8 0 2 1li ，i n c l u d i n gk e y m a n a g e m e n t a u t h e n t i c a t i o ns y s t e ma n d d a t a p r i v a c yp r o t o c o l s b a s i n g o nt h e a n a l y s i s m e n t i o n e d a b o v e ，w ed e s i g na n a u t h e n t i c a t i o np r o t o c o lw e l la d a p t e di ow l a n w i t ht h ed e v e l o p m e n to fw l a n m a r k e t r o a m i n g i s b e c o m i n g a t l i m p o r t a n t s c e n a r i o w i t ht h e a n a l y s i s o ft h e r e q u i r e m e n t so fr o a m i n g ，w ed r a wt h ec o n c l u s i o nt h a tn o n eo ft h ep r e s e n tp r o t o c o l s m e e tt h e s p e c i a lr e q u i r e m e n t so fr o a m i n g a na u t h e n t i c a t i o np r o t o c o lf o rw l a ni s p r e s e n t e d t os u p p o r t r o a m i n ga n d i t sp e r f o r m a n c ea n ds e c u r i t ya r ea n a l y z e d t h e p r o o f s o f t h et w oa u t h e n t i c a t i o np r o t o c o l s p r e s e n t e di nt h ep a p e r a r eo b t a i n e d k e y w o r d s ：w l a n 8 0 2 1 l ia u t h e n t i c a t i o n p r o v a b l ys e c u r i t y 声i 则 创新t 性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特另0 加以标注和致谢中所罗列的内容以外，沦 文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科 技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的刊志刺 本研究所做的任何贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 日期； 卫即印，二z 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研 究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保 证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技 大学。学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布 论文的全部或部分内容，可以允许采用影印、缩印、或其它复印手段保存论文。 ( 保密的论文在解密后遵守此规定) 本人签名： 导师签名： 日期：硷垒! ：女 日期：蔓竺蠼生生 旃一章绪论 第一章绪论 无线溺络按超佟精范圈霹缢分为无线广域阏( w w a n ) 、无线弱域溺( w l a n ) 和无线个人网( w p a n ) 。w w a n 主要以蜂窝系统为代表，包括g s m 、c d m a 一1 等2 g 系统帮g p r s 、c d m a ，i x 等2 5 g 系统疆及嚣续懿3 g 系统。w l a n 主要包 括i e e e 的8 0 2 1 l 系列和e s t i 制定的h i p e r l a n 标准。w p a n 的代表是用于小范围 设餐逮信数无线振毽一蓝习：( b t u e t o o t h ) 。 无线通信和i n t e m e t 技求的迅速发展给人们的生活方式和生活质量带来了巨大 鲍变化，越皋越多的蠲户希攫在移动过程孛燕速接入i n t e r n e 、测览瑟蚓、收发电 子邮件、欣赏多媒体影音、聊天、对战网络游戏，不受空间时间限制地享受生活 熬乐趣。羁藏数据滤经超过了语音嚣或巍全球逯售潮均主要蘑载业务，无线弱域 网( w l a n ) 技术作为一种网络接入手段，以其频带免费、组网灵活、易于迁移 等优点，成必无线遴绩与i n t e m e t 技术握绩畲豹毅兴发展方向之一。当裁3 g 技术 发展停滞不前，w l a n 市场却是一片欣欣向荣的局面，产晶大量上市，价格不断 下黪，全球羯户数爨早已超过百万。 8 0 2 1 l 想实现的目标题：在大多数地方、在任何时候，咝理想的带宽f 尚域网 速度) 上网。8 0 以上的人超过8 0 的时间是在家庭、办公室和公共场所使用宽带， 通过8 0 2 1l 可以轻松解决邀问题。8 0 2 1 1 技术上的简单和成本上的优势使这一 技术迅速锶列业界生流厂商的关注。包括c i s c o 、i b m 、i n t e l 、3 c o m 韶微软等公 司猩内，韭弊主流厂商成立了“无线戳太瞬兼容联懿( w e c a ) ”，以加强无线局域网 i s p 之间交嚣服务的协调，并着手制订相关的网络标准，来实现对8 0 2 。l l 无线局域 网嗣户的漫游支持。 由于宽带移动接入的市场发展必然会给p d a 和笔记本行业的发展带来匝大的 靛谯作用，域在各笔记本厂商，查i b m 、d e l l 、 豫和c o m p a q 蒋等，已经争先 恐臌地在其产品中添加无线上网功能。 鹜翦，阔矫己缀骞一骜w i s p ( w i r e l e s si s p ) 厂商，如w a y p o r t 、m o b i l e s t a r 和 g e t 2 n e t 等公司，已经为机场、酒店、医院、咖啡店和会议中心等公共场所建立了 无线接入虢务。 1 1 无线局域网龅技术标准 尽管8 0 2 1 l b 目前得到了广泛的应用，但无线局域网仍存在多种标准。 1 9 9 7 年设立豹8 0 2 1 l 工作组鏊在舞无线l a n ( w l a n ) 翻订豁礁。由予必；蚕 与以太网相致，所以8 0 2 1 1 需要p h y ( 物理层) 和m a c ( 介质访问控制层) 援菠t 毒线强太鼹貔p h y 涉及宅愿秘；l 辫毒弱，聪无线强太潮懿p h y 渗及袈颧 和调制。同样，表示o s i 数嘏链路慰下半层f 勺m a c 定义了收发以太网无线电信号 ! ! 丝：! ! 垄垡旦苎堕竺室全垫查 一 的介质访问协议。 目前8 0 2 1 1 共有九种扩展名，从a 到i ( a 、b 、c 、d 、e 、f 、g 、h 和i ) 。8 0 21 l ( a 、b 私g ) 是与p h y 有关的标准，其余几个标准如表1 1 ： 表1 1i e e e8 0 2 1 l 系列部分标准 标准名称主要内容 8 0 21 1 d旨在制定在其它频率上工作的多个8 0 2 1 l b 版本，使之适合于世界上现在还未开放使用 24 g h z 频段的国家。 8 0 2 1 l e该标准将对8 0 2 1 1 网络增加q o s 能力，它将 用时分多址( t 嗽) 方案取代类似以太网的 m a c 层，并对重要的业务增加额外的纠错功能。 8 0 2 1 1 f该标准旨在改进8 0 2 1 1 的切换机制，以使用 户能够在两个不同的交换分区( 无线信道) 之 间，或在2 个不同的网络接入点之间漫游的同 时保持连接。 8 0 2 1 1 h该标准旨在对8 0 2 1l a 的传输功率和无线信 道选择增加更好的控制功能，它与8 0 2 1 l e 相 结合，适用于欧洲地区。 8 0 2 1 1 l 该标准旨在消除8 0 2 1 l 的最明显的缺陷：安 全问题。 8 0 2 1 1 j该标准将使8 0 2 1l a 和l t i p e r l a n 2 这两个标准 在同一频率共存。 8 0 2 1 1 b 往回推最早应该是i e e e 在1 9 9 7 年发表了第一个无线l a n 的标准8 0 2 1 1 ，而现 在很多媒体屡屡提到的8 0 2 1 l b 是i e e e 在1 9 9 9 年9 月批准的。8 0 2 1 l b 也被称为 w i f i ，其最高通讯速率为1 1 m b p s ，室内传送距离为5 0 到1 5 0 英尺，室外可达】0 0 0 英尺。 不过随着时i 刨推移以及需要不断适应新的需求，i e e e 又提出了8 0 2 1 1 a 和 8 0 2 1 l g 。其它的短距离无线通信标准还有h o m e r f 和b l u e t o o t h 等。 在这些标准中，8 0 2 ，1 l g 、b l u e t o o t h 、h o m e r f 都和8 0 2 1 1 b 一样共享2 4 g h z 的频段。 8 0 2 1 l g 这个标准是要为8 0 2 1 i b 提速的，即从原来的1 1 m b p s 跃升到5 4 m b p s 。 无线设备都是通过分频( s p r e a d s p e c t r u m ) 技术传送数据的，这之中有两种分 第一章绪论 缀技术，一稀是h o m e r f 荤鞋b l u e t o o t h 使霜的跷颓( f r e q u e n c yh o p p i n g ) 授术，- ) 3 岁b 种是8 0 21 l b 和8 0 2 1 l g 使用的直接序y l j ( d i r e c ts e q u e n c e ) 技术。 8 0 2 1 1 8 最后就是8 0 2 1 l a 了，这个标准使用5 g h z 的频段，其速率可达5 4 m b p s ，该频 段在荚国又被称为u - n i l ( u n l i c e n s e dn a t i o n a li n f o r m a t i o ni n f r a s t r u c t u r e ) ，分频采用 o f d m 技术。尽管和8 0 2 1 l b 工作在不同的频段，但宅们可以共享介质访问控制( 即 m a c ，m e d i u m a c c e s sc o n t r o l l e r ) ，舔8 0 2 1 l a 更多静避穆理绥( p h y ，p h y s i c a ll a y e r j 上不同的标准描述。 b l u e t o o t h b l u e t o o t h 可能是更为我们所熟知的技术了，它是一种低带宽、短距离、低功 耗懿数据传送按零，主要雳在p d a 、手辊、笔记本瞧藏等设备。 但是b l u e t o o t h 潦实上怒个迟到着，8 0 2 1 i b 现在已经到了大规模生产以降低成 本载辩候了，瑟b l u e t o o t h 产品才联剐聂始遴入枣场。 虽然都在2 4 g h z 频段上工作，但是今年4 月份i e e e 的p a n ( p e r s o n a la r e a n e t w o r k ) g g8 0 2 。1 5 芝终组褥蹬一璎议案，其鏊熬是接b l u e t o o t h 露8 0 2 1 i b 霹爨嚣 时工作。 h i p e r l a n h i p e r l a n 是欧洲通信标准协会e t s i ( e u r o p e a nt e l e c o m m u n i c a t i o n s s t a n d a r d s i n s t i t u t e ) 主接熬标准，有h i p e r l a n 1 彝h i p e r l a n 2 嚣套掭猴，它稻瓤冠掸遮牙在 5 0 h z 上，假t t i p e r l a n 2 的传送速率更高，和8 0 2 1 l a 一样，也是5 4 m b p s ，并且 兼容3 gw l a n 系统，可以收发数搬、图形及语音数据。 但是在频率选择上欧洲和美国没有协调致，这就造成双方的产赭未来都成为 在欧洲范围内或美鞠范围内使用的“本地”技术了。标准不一致也可熊会使褥未来的 产品成本在长期内不能降低。表1 2 给出了几种w l a n 系缆的比较 表1 。2 现有的张球标准 w l n i 系统物理艨数实际数据最大传输额翠q o s 支持推出时闻 据速率速率距离 l8 0 2 1 l b1 1 m b d s6 m b p s1 0 0 来 2 。4 g t t z 无1 9 9 9 年 f 8 0 2 1 l a 5 4 m b p s3 1 m b p s 8 0 米5 g h z 无 2 0 0 1 庄 l8 0 2 1 l g5 4 m b p s 2 2 j i l b p s1 5 0 米 5 g h z 无2 0 0 3 年 i 硅o m e r f 2 1 0 目l b p s6 b p s 5 0 米2 4 g l z有 2 0 0 2 年 i h i p e r l a n 25 4 1 “b p s3 l l l i b p s8 0 米 5 g b z 有2 0 0 3 证 1 2 无线局域网安全的研究现状 疆羲w l a n 弱避速发疑，英安全瑟莲鑫盏受蘩入嬲匏关注。w l a n 中豹数撵 通过射频无线电传输，这对于恶意的攻击者实施窃听是十分有利的。与有线网络 8 0 21 】无线局域网的安全技术 相比较，w l a n 难以采用物理手段的控制措施，因此保护w l a n 的安全难度要远 大于保护有线网络。人们已经认识到必须专门为w l a n 设计安全防护机制，以保 护在w l a n 中传输数据的机密性、完整性和不可否认性，同时对请求接入w l a n 的用户进行身份认证和访问控制。 在关于w l a n 的i e e e8 0 2 1 1 系列标准中，规定了数据加密和用户认证的有关 措施，但是随后发表的大量论文揭示了这些安全措施中的种种设计缺陷，这使得 用户对于w l a n 的安全性缺乏信心。美国政府公开表示在w l a n 的安全问题得到 比较完善的解决以前，将不会在政府的网络基础设施中采用w l a n 技术。w l a n 的安全问题能否得到比较完善的解决，已经成为决定w l a n 是否可以获取更大市 场份额的关键因素。 密码技术是保护信息安全的主要手段之，它是结合数学、计算机、通信与 电子等多学科的交叉学科，密码算法不仅有加解密功能，还具有数字签名、身份 验证等功能。在w l a n 已有的和正在起草的安全标准中，采用了r c 4 、a e s j 3 f i 密算 法和e a p 、r a d i u s 等安全协议。在w l a n 这种对操作的实时性和安全性要求都很 高的环境下，如何选取合适的加密、消息杂凑算法，如何快速准确地认证用户和 管理访问权限，如何在为安全付出的开销和系统的效率之间找到最佳的平衡点， 是w l a n 安全研究的主要课题。 w e p 协议在设计上的缺陷引起了i e e e 的重视，它委托8 0 2 1 l i 任务组制定新的 标准，来加强w l a n 的安全性。i e e e8 0 2 1 1 工作组( w o r k i n gg r o u p ) 最初安排 8 0 2 1 l e 任务组( t a s kg r o u p ) 承担制定在w l a n 上支持q o s ( q u a l i t yo f s e r v i c e ) 需求和加强安全等方面的标准，由于人们对w l a n 安全问题的关注不断升级，在 2 0 0 1 年5 月8 0 2 il 工作组领导成立了8 0 2 ，1 1 i 任务组，改由其专门负责制定w l a n 的 安全标准。 8 0 2 1 l i 标准预计在2 0 0 4 年公布，根据一些已发布的草案来看，将采用a e s ( a d v a n c e d e n c r y p t i o ns t a n d a r d ) 算法替代r c 4 算法，使用8 0 2 1 x 协议进行用户认 证。对于w l a n 产品制造商来说，8 0 2 1 1 i 标准还显得遥不可及，而市场对于w l a n 的安全要求又十分急迫，为使安全问题不至于成为制约w l a n 市场发展的瓶颈， 给广大w l a n 用户提供一个临时性的解决方案是明智且现实的选择，因此w i f i 组 织提出了w p a ( w i f ip r o t e c t e d a c c e s s ) 标准。w i f i 是个非盈利性的国际组织， 全称是w i r e l e s s - f i d e l i t y ，它以前被称为无线以太网兼容性联盟w e c a ( w i r e l e s s e t h e m e t c o m p a t i b i l i t ya l l i a n c e ) 。该组织成立于1 9 9 9 年，其使命是对不同厂商根掘 i e e e 8 0 2 1 1 规范书生产的w l a n 产品进行兼容性测试与认证，确保通过其认证的 产品可以实现互联互通。它目前有企业成员2 0 2 家，众多知名企业女f l i n t e l 、m i c r o s o f t 、 c i s c o 、n o k i a 、b e n q 、s a m s u n g 、n e c 都是其成员，它的成立对于推动w i a n 市 场的发展做出了巨大的贡献，从2 0 0 0 年3 月w i f i 组织开始进行产品认证以来，已经 第一章绪论 有5 8 0 种w l a n 产品通过了兼容性测试。w p a 标准是w i 。f i 组织联合i e e e8 0 21l i 4 f ： 务组的专家共同提出的，在该标准中数据加密使用t k i p 协议( t e m p o r a r yk e y i n t e g r i t yp r o t o c 0 1 ) ，认证有两种可选模式：一种是使用8 0 2 1 x 协议进行认证，适用 于企业用户：另一种称为预先共享密钥p s k ( p r e s h a r e dk e y ) 模式，采取用，、在 w l a n 的所有设备中手工输入共享密钥的办法来进行认证，适用于家庭用户和 s o h o ( s m a l lo f f i c e h o m eo f 玲e ) 一族。w p a 标准专门对w e p 协议的币足之处进 行了有针列性的改进，对于未来的8 0 2 1 1 i 标准和现有的w e p 都具有兼容性。咳标 准允许用户通过软件升级的方法，使早期的w i f i 认证产品支持w p a 这就为f i 刳，、 节省了投资。w i f i 组织宣布从2 0 0 3 年2 月开始对支持w p a 标准的w l a n 产品进行 兼容性认证，w p a 标准将成为8 0 2 1 1 i 标准发布以前采用的w l a n 安全过渡方案。 1 3 本文的工作 随着w l a n 的迅速发展，其安全问题日益受到人们的关注。本文深入分析了 i e e e8 0 2 1 1w l a n 的安全，结合目前的解决方法，具体进行了以下几点工作： ( 1 ) 分析了目前8 0 2 1 1w l a n 的安全问题的实质； ( 2 ) 讨论了目前主要的8 0 2 1 lw l a n 安全解决方案8 0 2 1 l i ，给出了其设计思想 ( 3 ) 针对8 0 2 1 l i 认证协议的开放性，本文分析了目前主要的认证协议的不足， 提出了两个认证协议； ( 4 ) 对于协议分析的问题，本文分析并改进了可证明安全计算模型，并在该模 型下对我们提出的认证协议进行了证明； ( 5 ) 对于协议性能的分析，本文不仅从理论上进行分析，而且进行了仿真，直 观地表明的协议性能。 8 0 2i i 无线局域网的安全技术 第二章i e e e8 0 2 1 1 的安全分析 近年来，各国的研究者对8 0 2 1 l 的安全体系进行了大量研究，指出了很多问 题，我们对此进行了归纳、分析。在本章中，我们介绍了目前已经大量应用于无 线局域网环境中的基本安全机制，其中静态密钥管理加上有线等价保密( w e p ) 协议的方案被市场上的w l a n 产品广泛采用，它焉性能与上百万w l a n 用户的 信息安全息息相关。通过分析它们的3 - 作原理，我们揭示了在其设计中的一系列 缺陷，以及由此可能导致的一些攻击方式，最后指出了蕴含在其中的实质问题。 2 1i e e e8 0 2 。11 使用的安全服务 由于w l a n 使用无线电波作为媒体，而无线网络的特点是任何在无线信号覆 盖的地方，收发器都可以收到数据包，也可以发出数据包。从而各种攻击在w l a n 上更容易实现，因此w l a n 至少需要以下两个附加需求： 用户认证：用于阻止非授权用户访问网络资源； 数据加密和完整性校验：用于保证用户数据的秘密性和完整性。 i e e e8 0 2 1 1 定义了一系列的安全服务，希望通过这些服务的结合使用能够抵 御潜在的已知的安全威胁。 身份认证 该服务的目的是验证使用者的身份，通过接入控制阻止没有通过认证者使用 网络。它主要解决“只有合法用户才可以使用网络”的问题； 保密性 该服务的目的是要提供与有线环境等效的保密，通过使用w e p 协议防止随意 的窃听数据。它主要解决“只有合法用户才可以看到数据”的问题； 完整性 该服务的目的是保证在s t a 和a p 之间传递的数据没有被篡改。它主要解决“数 据完整、可信的进入和离开网络”的问题。 2 28 0 2 11 的认证及其弱点 这节我们分析8 0 2 1 1 的认证体系，看看它是否能达到预定目标。 8 0 2 1 1 规定了两种认证方式：开放系统认证( o p e ns y s t e m a u t h e n t i c a t i o n ) 和 其享密钥认证( s h a r e dk e y a u t h e n t i c a t i o n ) 。根据8 0 2 1 1 w l a n 的工作原理，另外 两种机制：服务组标志符( s s i d ) 和m a c 地址控制也被广泛使用。 蚺常i e e e8 0 2i l 的囊牟分析 2 2 ，l 开放系统认证 按撂i e e e8 0 2 ， 娩范豹褰粪述，开敖系绞认证实质上是空谈证，采埂这静浞i 方式任何用户都可班成功认证。 2 ，2 2 共享密钥认涯 采用共李密钥认证的工作站必须执行w e p ，共宰密钥必须以只谈的形式存放 在工作菇豹m i b 中。英过程魏图2 1 ： 蜷| 缃| l n na c 8 岛p o i n t 图2 1共享密锈诀证 在a p 收剁加密的挑战应答后，将其解密与先前发送的挑战比较，如果棚苴匹 配，弼返圈一个诀话成臻静诀谨谈：否劐，粼返露试证失黢髂认证赖。由予认证 使用了和数据保密相同的加密算法，所以同样受到数据保密搏法缺陷的严重影响。 蠢手w e p 是采瘸将黉文窝密镅流送行舅竣静方式产生密文，同辩议证遥箨孛 密文和明文都暴露程无线链路上，因此攻击者通过被动窃听攻击手段捕获密文和 鞠文，褥密文帮鞠文逶嚣募缓帮霹滚爱窭密铺滚。皴强2 2 潜： 8 0 21 1 无线局域网的安全技术 图2 2 恢复密钥流 由于a p 的挑战一般是固定的1 2 8 字节数据，一旦攻击者得到密钥流，他就可以 利用该密钥流产生a p 挑战的响应，从而不需知道共享密钥就可成功获得认证。如 果后续的网络通信没有使用加密手段的话，则攻击者已经完成了伪装的攻击，否 则，攻击者还将采用其他的攻击手段来辅助完成其攻击。 2 2 3 服务组标志符 s s i d 是用来逻辑的分割无线局域网， 上，它并不是为提供认证服务而设计的。 联至i j a p 上，从而获得网络资源的使用。 队防止一个工作站意外的连接到邻居a p 一个工作站必须配置合适的s s i d 才能关 由于s s i d 在a p 广播的信标帧中是以明文形式传送的，非授权用户可以轻易得 到它。即使有些生产厂家在信标帧中关闭t s s i d ，使其不出现在信标帧中，非授 权用户也可通过监听轮询响应帧来得至i s s i d 。因此s s i d 并不能用来提供用户认证。 2 2 4m a c 地址控制 在i e e e8 0 2 】中并没有规定m a c 地址控制，但许多厂商提供了该项功能以获 得附加的安全，它迫使只有注册 m a c 的工作站才能连接到a p 上。它要求在a p 的非易失存储器中建立m a c 地址控制列表，或都a p 可以通过连接到r a d i u s 服务 器来查询m a c 地址控制列表，m a c 地址不在表中的工作站不允许访问网络资源。 如果需要在多个a p 中使用m a c 地址控制列表，推荐使用r a d i u s 服务器。 由于用户可以重新配置无线网卡的m a c 地址，非授权用户可以在监听n - 个 合法用户的m a c 地址后，通过改变他的m a c 地址来获得资源访问权限，所以该功 能并不能真f 地阻j ：非授权用o 访问资源。 第一章i e e e8 0 2 i i 的安争分析 2 2 5 小结 稷撂以上豹分掇，i e e e8 0 2 + l l 提供熬认涯手段以及从冀工作蹶理勰堡豹瓣热 手段都不能有效地实现认诚目的。另外，我们必须注意到，i e e e8 0 2 1 l 提供的认 i 歪只是单囱认证，鄹只认漩工作站嬲台法瞧，两没有认证a p 豹台法魅，这嫒褥伪 装a p 的攻击很容易实现。根据文献 1 4 1 的描述，存在会话劫持和中间人攻击的可 能悭。 2 38 0 2 11 的完整性分析 为了防止数据的非法改动及传输错误，8 0 2 1 l 在w e p 中g f 入了综合检测值 ( i c v ) 来提供对数据完整性的保护。 i c v 是一个3 2 佼的c r c 3 2 值，它翡使用如下： ( v i l i f y ) o k * c ( 2 一1 ) p 一一明文k 一一密镇c 一一密文 c r c 3 2 函数是设计用来检查消息中的随机错误的，并不是安全杂凑函数，它 不燕有身份谈 正豹能力，因为任旃船道明文的入都搿戳计算出明文的i c v 毽。当它 5 d w e p 结合以后，出于w e p 使用的题明文和密钥流弊或的方法产生密文，而c r c 3 2 函数对于$ 运算是绫经静。 c r c 3 2 ( a ) 樽c r c 3 2 ( b ) = c r c 3 2 ( a 毋b )( 2 ，2 ) 因瑟誉辘羝辫瓣稠文的篡改，下嚣给崮公式捺替。 设m 未知明文，e - - - m 对应的密文 一砖m 熬簇改， m mo ， c - - - m 对应的密文 e 2 e 毋( ，c r c 3 2 ( 矗) ) 2 k o ( m ，c r c 3 2 ( m ) ) o ( ，c r c 3 2 ( ) ) = k $ $ ，e | t 3 2 $ e r c 3 2 ( 势 竺 k o ( m o ，c r c 3 2 ( m oa ) ) 2 k 辔( m ，c r c 3 2 擞) ) 由此在不知道k 的情况下，可以任意的艇改未知明文的密文，_ 龆仍能保i 正i c v 焦熬正确悭。 另夕b w e p 的完整性保护只应用于数据载荷，而没有包括应当保护的所有信息， 如源、强驰地址以及重放缳妒等。蹿地址麴篡改可形成重慰淘或伪造攻击，衰莛没 有熏放保护可以使攻击者重放以前捕获的数据形成麓放攻击。 因此，对于完熬牲函数应选用嶷全杂凑豳数，势要保护赝有应当保护约信息。 8 0 21 1 无线局域网的安全技术 2 48 0 2 11 的加密分析 为了提供与有线网络相近的安全性，8 0 2 1 1 提供了w e p 来进行数据保密，w e p 是基于r c 4 方法的。r c 4 是一个对称密钥的流密码机制，其特点和分组密码的e c b 机制类似，即相同的明文产生相同的密文。为了克服这一缺点，w e p 引入了初始 向量( i v ) 。同时为了防止数据的非法改动及传输错误，引入了综合检测值( i c v ) 。 8 0 21 1 定义了两种密钥管理方案，一种是所有站点共享四个缺省密钥，另一种 是每个站点都建立一个密码映射表。 w e p 加密算法如图2 3 t 1 , 2 1 ： 图2 3w e p 加密算法 发送工作站利用一种综合检测算法c r c 3 2 ，对明文进行运算，生成四字节 的i c v ，与明文级联； w e p 将共享密钥和级联后作为种子输入伪随机生成器，生成一个密钥流， 其长度等于明文和i c v 的长度之和； w e p 将密钥流和明文r i c v 逐位异或生成密文； 发送工作站将i v 和密文级联后送出； 接受工作站提取r v 后，使用与加密相同的算法解密密文，并校验i c v 。 即：c = ( p i l l c v ) ) 串r c 4 ( i v ，k ) ( 2 - 3 ) p t t i f v = c o r c 4 ( i v ，k ) ( 2 4 ) 在8 0 2 1l 中，共享密钥是4 0 位或1 0 4 位，i v 是2 4 位，i c v 的生成算法采用c r c 3 2 。 w e p 的弱点由下卣分析给出。 2 4 1 弱密钥问题 i v 暴露了r c 4 种子的前三个字节，经过统计分析，一些 v n 能会暴露出共享 密钥1 3 。 2 4 2 静态共享密钥和i v 空间问题 8 0 2 1 l 没有密钥管理的方法。使用静态共享密钥，通过i v s h a r ek e y 来生成动 念密钊。 8 0 2 1 1 中对i v 的使用并没有任何的规定，只是指出最好每个m p d u 改变次 i v 。如果采用8 0 2 1 l 密钥管理中的a p 和其b s s 眺j 的移动节点共享一个s h a r ek e y 的 方案，如何避免各个移动节点的i v 冲突则是个问题：若采用i v 分区，则或者需要 固定b s s 内的成员，或者需要某种方法通知移动节点采用那些i v ；若采用随机选择 i v ，则根据生h 悖论可知，i v 易于重复。 生曰悖论是指如果有2 3 个人在一个房间，则两个以上的人有相同生同的概率 会超过5 0 ；若有5 0 个人，则概率会超过9 7 ，而达n l o o 人时，概率几乎1 0 0 。 将生h 悖论应用于无线局域网， p = 1 一( 1 - 1 2 2 4 ) ( 1 2 2 2 4 ) ( 1 - 3 2 2 4 ) ( 1 ( t 1 ) 2 2 4 ) ( 2 - 5 ) 将数据包类比为房间的人，则当数据包超过4 8 2 3 个，就有5 0 的概率保1 4 f i v 会发生冲突。当数据包超过1 2 4 3 0 个时，i v 冲突的概率上升至1 j 9 9 。这样大大降低 了i v 的有效空间，使i v 冲突明显加剧。 如果采用各移动节点各自建立密钥映射表，虽然可以有效地利用i v 空间，但 这隐含着需要存在一个密钥管理体制。8 0 2 1 1 没有提供密钥管理体制，而且随着站 点数的增加，密钥的管理将更加困难。另外，i v 空间最多也只有2 2 4 。在比较繁忙 的网络中，不长时间i v 就会重复，并不能坚持很长时间。 因此，在i v 重复前，应更换共享密钥，否则密钥流就会重复。但由于没有密 钥管理体制，更换共享密钥成了不切实际的想法。重复的密钥流可以使得攻击者 实现相同的攻击、重放攻击和建立字典攻击等攻击方式。 2 4 3 小结 根据以上分析，w e p 协议面临许多有效的攻击手段，这使得w e p 无法提供有 效的消息保密性。 最后，我们总结一下w e p 的问题： 完整性算法c r c 3 2 不能阻止攻击者篡改数据； w e p 没有提供抵抗重放攻击的对策； 使用i v 和s h a r ek e y 直接级连的方式产生p a c k e tk e y ，在r c 4 算法f 容易产 生弱密钥； i v 的冲突问题，重用i v 会导致多种攻击。 为什么w e p 协议有如此多的问题? 增加密钥长度能解决问题吗? 我们说刁i 能，让我们仔细分析一下w e p 。 w e p 选用 r c 4 作为加密函数。众所周知，r c 4 是流密码，用r c 4 ) j i 密的数据 流丢失一位后，该位后的所有数据都会丢失，这是因为r c 4 的加密和解密失去了同 步。在8 0 2 1 l 的环境下，一位出错，整个数据帧都会被丢弃，这样r c 4 ) 9 1 密很难跨 8 0 2ii 无线局域网的安全技术 越帧边界使用。此时，使用分组加密算法或具有任意位置接入密钥流特性的流密 码s e a l 等，是有效的。而r c 4 是需要严格同步的流密码，为了使其跨越帧边界使 用，w e p 必须在每帧重新初始化密钥流。 由于流密码重复使用密钥流是不安全的，即不能使用同密钥流加密不同的 明文报文，因此必须使用p e r - p a c k e t 密钥流，也即要求p e r p a c k e t 密钥。 w e p 解决方法是引入了初始向量( i v ) ，w e p 使用i v a n 密钥级联作为种子产生 密钥流，通过i v 的变化产生p e r p a c k e t 密钥。为了和接收方同步密钥流，i v 必须以 明文形式传送。 w e p 简单的级联i v 署i 密钥形成种子，i v 直接作为密钥种子的前三个字节。 f l u h r e r ，i t s i k m a n t i n 和a d i s h a m i r 在【1 5 】中研究了部分已知的r c 4 密钥种子，指出 存在一族弱密钥种子，该族弱密钥种子的构成模式反映在密钥流的开始部分。所 以如果可以得到足够多密钥流的前两个字节，即可得到该族弱密钥，则会暴露w e p 中的共享密钥。而直接嵌入密钥种子，某些将导致弱密钥种子被用来产生密 钥流。 另外，w e p 的密钥结构使i v 的空间有限，仅为2 “，从而使i v 冲突成为严重问 题。正如前面的讨论所述，的冲突促成了多种攻击的实现。 从上面的分析可以看出，w e p 的问题出在其构造上，增加密钥长度是无效的。 如果我们能够足够频繁地更换w e p 共享密钥，攻击者将会只有很少的选择来 威胁w e p 。但是，i e e e8 0 2 1 1 并没有提供r e k e y 机制，实际上是靠用户手工配置密 钥，这样的话足够频繁的更换w e p 共享密钥是不可行的。即使有某种机制可以实 现这个目的，有分析指出i l o 】，每2 5 6 个包就必须r e k e y - - 次，显然这超出了现存硬 件的能力。 因此，为了在不适于使用r c 4 的环境下使用r c 4 ，w e p 做出了折衷，为了解决 问题而使用的方法却引入了和它所想解决问题的同样缺陷，从而带来了众多问题。 因此，必须更换r c 4 算法以消除问题，或者至少使用有效的密钥管理机制来减 弱r c 4 的安全漏洞影响。 2 5 小结 虽然我们分别讨论了8 0 2 1 1 安全的各个方面，但它们是互相影响的，单独解决 某点是无济于事的。基于共享密钥认证肃l w e p 的w l a n 虽然比没有任何安全手 段要好，但是随着w l a n 的发展，它是不适合w l a n 的各种应用的。我们需要一 些更健壮的安全方案。 第二章h 前的安会技术 第三章目前的安全技术 从前一章的分析，我们看到了8 0 2 1 1 的许多安全缺陷及其实质所在，各国研 究者都给予了充分的重视，i e e e8 0 2 1 1 工作组和生产厂商w i f i 联盟也提出了新的 安全体系。这一章将介绍这些安全体系。 3 1 新的安全体系 即将颁布的i e e e8 0 2 1 1 i 定义了新的安全体系一r s n 和t s n ，而w p a 则是山生 产