无线局域网安全技术的初步研究

无线局域网安全技术的初步研究摘要无线局域网以其便捷性和高速率的传输速度被广泛应用在各个领域上。但由于无线局域网采用开放性的电磁波作为传输介质，攻击者在一定的范围内可以对客户端的通信信息进行截获，所以无线局域网的安全一直备受关注，能否解决无线局域网的安全性问题是制约无线局域网发展的关键。本文讨论了WEP协议、WPA/WPA2协议加密和解密机制及其安全性。详细分析了WEP协议加密机制上的缺陷和因此可能收到的攻击类型。WPA/WPA2协议在数据加密方面做了一定的修改，解决了WEP协议存在的加密漏洞，但在接入认证上会泄露用户的密钥信息，存在安全隐患。利用协议的缺陷，本文通过实验分别对WEP协议、WPA/WPA2协议实现了密钥破解。最后重点分析了四步握手的安全性，并提出了两种改进方案：1、ANonce加密的方法；2、消息1完整性检测机制方法，并对改进方法的安全性进行了分析。针对四步握手协议在安全性和效率方面的不足，提出了一种改进的两步握手协议，并对两步握手协议的安全性进行了分析。关键词：无线局域网，WEP协议，WPA/WPA2协议，四步握手

目录TOC\o"3-3"\h\z\t"1号标题,1,2号标题,2,3号标题,3"1 绪论 绪论课题研究背景及目的在WLAN(WirelessLocalAreaNeworks，无线局域网)出现之前，有线局域网利用物理线路例如线缆或光纤等构建一个电子通路，从而实现网络之间的数据传输。但是这种有线网络在实施上成本和代价非常高，于是人们通过无线射频技术设计了WLAN，以无线信道作为传输介质构造了一种具备灵活性和移动性的数据传输系统。无线局域网也因其便捷性，开始广泛应用于在公司、军事等各个领域中，也推动了无线局域网技术的快速发展。但是无线局域网因其使用射频信号传输数据的特殊性，无法使用常规的物理防护手段，其安全性低的问题是限制无线局域网技术发展的主要因素之一。行业内对无线局域网的需求导致无线局域网的安全技术受到了各界的广泛和迫切关注，需要一套完整的安全防护机制为无线局域网中的数据传输提供安全保障。在IEEE802.11系列标准中规定了安全协议中需要具备的安全措施，在一定程度上保障了无线局域网的安全，但是其中存在一些由于设计机制上的漏洞，为攻击者实现攻击提供了便利。为了适应无线局域网的发展，深入研究无线局域网技术，对其存在的安全问题进行分析并尝试解决迫在眉睫。国内外研究现状早在1971年的时候，夏威夷大学发明了历史首个无线电通讯网络AlohaNet网络。但是相应的标准缺时隔了二十六年制定出来。1997年，人类首个无线局域网标准被IEEE802.11美国电气和电子工程师协会(IEEE)发布了。但是这个标准存在着WLAN数据传输速率慢的缺点，所以他们为了改善这个缺点，在1999年9月又推出了IEEE802.11b和IEEE802.11a两个新的标准。后来因为应用上存在一些无法避免的劣势，所以他们在2003年又颁布了混合标准IEEE802.11g，来到2009年，802.11n标准才被IEEE正式批准。早期IEEE802.11小组使用WEP(WiredEquivalentPrivacy，有效对等保密机制)安全协议，利用RC4流密码算法实现加密，CRC-32算法用于检验数据的完整性，但由于RC4算法实现机制和认证方式上存在相应漏洞，导致WEP协议加密机制上存在一些安全缺陷。因此IEEE在2004年推出802.11i安全协议，提出了临时性的解决方案WPA(Wi-FiProtectedAccess，临时密钥集成协议)，改用TKIP(TemporalKeyIntegrityProtocol，临时密钥完整性协议)加密数据，在继承了WEP协议加密机制的同时弥补了其存在的漏洞，但由于TKIP算法核心仍然是RC4流密码算法，所以仍存在加密上的缺陷。而802.11i中提出的WPA2加密协议使用了CCMP(CTRwithCBC-MACProtocol，计数器模式密码块链消息完整码协议)来代替RC4流密码算法，其核心是AES(AdvancedEncryptionStandard，高级加密标准)加密算法。在认证方式上，WPA2同WPA对家庭版采用相同的预共享密钥方式，其方式使用4-步握手协议。虽然我国在无线局域网技术上研究起步较晚，但在2003年正式颁布了属于我国的无线局域网安全标准WAPI(WirelessLANAuthenticationandPrivacyInfrastructure，无线局域网鉴别和保密基础结构)，相比802.11i标准在认证完整性上更加完善。这代表着我国在无线局域网安全技术领域上取得了一定的成绩，收到了国际行业上的认可，但由于我国制定的标准与国际协议标准无法兼容，因此WPAI没有得到很大的普及。论文主要工作1、通过分析WEP协议加密和解密机制，更加深入理解WEP协议中存在的缺陷，并分析了WEP协议面临的攻击，通过实验实现WEP协议的密钥破解。2、通过分析WPA/WPA2加密和解密原理，对比其与WEP协议的改进，更进一步分析了其4-步握手认证过程中存在的漏洞，并通过实验实现字典攻击。3、重点分析802.11i中的4-步握手协议，并对4-步握手协议中存在的漏洞提出相应的解决方案。论文组织结构第一章介绍了课题研究背景、目的和无线局域网技术的国内外发展现状，并列出本文中的主要工作和组织结构。第二章介绍了无线局域网技术和无线局域网的各个标准，比较不同标准的区别和相应的应用。第三章介绍了WEP协议的加密和解密机制，分析WEP协议中存在的漏洞缺陷和可能收到的攻击方式，并对WEP协议做密钥破解实验。第四章介绍了WPA/WPA2协议的加密和解密原理，分析了WPA/WPA2协议相对于WEP协议增加的安全性，并对4-步握手中存在的漏洞做密钥破解实验。第五章重点分析了4-步握手协议的原理和存在的漏洞，并提出相应的优化解决方案，进一步对解决方案做分析。第六章总结概括本文中的研究内容，并提出展望，推测后续发展。

无线局域网技术概述无线局域网技术简介无线局域网WLAN是无线通信技术发展而来并结合现有的网络体系产生的局域网，以无线传输介质为传播中介，在不采用有线局域网繁杂且成本较高的物理线路条件下，实现有线局域网具备的所有功能。而且相比之下，无线局域网的网络传输范围大大拓宽，网络能够随着需要而移动变化，是十分便利的数据传输系统。WLAN主要利用RF(RadioFrequency，射频)技术，让使用者可以通过简单的存取架构来实现信息传输。无线局域网标准无线局域网的特点之一是标准不统一，其标准主要针对物理层和媒体访问控制层MAC，不同标准对数据传输过程中的无线频率范围、空中接口通信协议等技术规定不同，因此也适用于不同的应用。目前无线局域网产品使用的标准有:Bluetooth、HiperLAN、IEEE802.11等。目前IEEE发布的IEEE802.11系列标准是被最多使用的无线传输协议，广泛应用于各个领域。BluetoothBluetooth即蓝牙，是一种用于短距离的无线通信技术标准，其目的是实现将数据传输的最高速率达到1Mbps，传输范围为10cm~10m，可以通过增加发射功率的方式增加传输范围，最高可以达到100m。Bluetooth作为无线协议标准中的一种，常用于手机等设备间的小范围连接。如今Bluetooth由SIG(BluetoothSpecialInterestGroup，蓝牙技术联盟)管理，而美国电气和电子工程师协会IEEE将Bluetooth列为IEEE802.15.1。技术上Bluetooth使用跳频和短包方式，传输过程中将数据分割为数据包。支持Bluetooth协议的主设备至多可和同一网络中的七个从设备通讯，所有设备共享主设备的时钟，同时Bluetooth使用鉴权等方式来实现数据传输的安全。HiperLANHiperLAN1采用了高斯滤波最小频移键控GMSK调制技术，使得其最高速率可达23.5Mbit/s。而频带上HiperLAN2工作在5G，在物理层采用正交频分复用OFDM调制方法，而且传输速率可支持高达54Mbit/s。除此之外，它相比802.11a在其它方面具有其他的优点。在HiperLAN2标准中，数据是通过接入点和移动终端之间事先建立成功的信令链接来进行传输，其面向链接的特点可以使得HiperLAN2很方便地实现QoS支持；HiperLAN2可以自动地进行频率分配，这表示接入点可以自动监听周围的HiperLAN2无线信道并自动选择空闲信道，这不仅消除了无线标准对频率规划的需求，而且使得系统的部署变得更加简单。IEEE802.11x802.11aIEEE802.11a在设计上为了避开了拥挤的2.4GHz频段，选择了5GHzU-NII频带，因此对于802.11b来说几乎是没有干扰。使用IEEE802.11a设备在物理层的速率最高可达54Mbps，传输层速率可达25Mbps。相比IEEE802.11b，IEEE802.11a设计上选择的工作频率和数据传输速率上更为优化，但缺点在于不兼容IEEE802.11b标准、空中接力较差、实现点对点连接很上开销相对较大，因此不适合小型设备，另外由于IEEE802.11a的技术成本过高，在其他无线标准的价格压力下，其使用规模无法进一步扩大，而且因为5GHz是收费频段，在部分地区会受到频谱管制的问题，所以IEEE802.11a的市场销售情况也一直不理想。因此，在颁布的时候行业上相对更偏向于IEEE802.11b。802.11bIEEE802.11b无线标准设计上使用的是开放的2.4GHz频段，物理调制方式为补码键控CCK编码的直接序列扩频，最大数据传输速率可达到11Mbps，而且不需要直线传播。其实际的传输速率在5Mbps左右，相当于10Base-T规格有线局域网的传输速率。IEEE802.11b无线标准增加了动态速率转换，当遇到射频情况变差的情况时，可以将数据传输速率分别降低到5.5Mbps、2Mbps和1Mbps，并且当工作在1Mbps和2Mbps速率时可向下兼容IEEE802.11。IEEE802.11b的室内环境下使用范围最长可达到100米，而室外使用范围为300米。数据传输中使用类似于以太网协议的连接协议和数据包验证，以此来提供可靠数据传输和网络带宽的高效率利用。IEEE802.11b运作方式可以分为两种：点对点和基本结构模式BSS，点对点模式是指无线网卡之间的通信方式。基本结构模式是IEEE802.11b最常用一种方式，通常是指只使用一个接入点的无线网络，而使用多个接入点的两个或多个BSS无线网络可以组成扩展服务集ESS，这是典型的无线和有线网络并存时的通信方式。802.11g由于802.11a标准与802.11b标准互不兼容，IEEE为了解决此问题提出了802.11g无线标准，相对于802.11b，802.11g也使用开放的2.4GHz通用频段，因此其互通性高，被认为是新无线局域网标准。理论上802.11g的最高速率可达到54Mbps，但由于开放的2.4GHz频段上存在的干扰过多，所以实际传输速率上是低于802.11a的。在802.11g无线标准中规定了两种调制方式：第一种为Intersil公司提出采用的CCK-OFDM，第二种是TI公司提出采用的PBCC-22调制方式。其中PBCC-22方式实现了对IEEE802.11b无线标准的完全兼容，并且使得传输速率最高可达到22Mbps，目前已经有不少公司生产符合该标准的产品。而CCK-OFDM方式作为802.11g标准的强制54Mbps模式，使得同时支持两种模式的802.11g产品可以在与802.11b网络兼容的同时，其传输速率最高可达到54Mbps。802.11i相较于之前的标准，IEEE802.11i标准在加密算法和身份认证上做了相应的改进，进一步加强了无线标准的安全性，为了兼容之前使用WEP协议的设备，802.11i定义了基于WEP的TKIP加密机制。同时802.11i标准强制要求实现的加密机制CCMP则基于AES算法，具有更高的安全性，解决了WEP种核心加密算法RC4算法上的缺陷，但对硬件的要求比价高，无法与使用WEP协议的设备兼容，需要从硬件层面上升级设备。802.11i标准的身份认证机制基于EAP（ExtensibleAuthenticationProtocol，可扩展认证）协议和802.1x认证。802.1x主要包括三大实体：客户端STA、认证者AP和认证服务器AS。在无线局域网的环境中，客户端STA发起请求接入到无线局域网，认证者AP在认证过程中只起到透明的传输作用，所有认证工作是STA和AS完成的。认证服务器AS负责实现具体的认证功能，通过认证后通知AP打开访问端口提供给用户相应的服务。AS常使用RADIUS服务器，并在服务器中存储了用户的相关信息，例如用户名、密码、用户访问控制列表等。802.1x采用EAP协议作为认证信息交互机制，只允许EAP数据通过设备连接的交换机端口，认证通过后，正常的数据可以顺利地通过以太网端口。

WEP协议的安全性研究和分析WEP协议加解密原理有线等效保密协议WEP设计的目的是通过数据通信的两侧使用加密算法进行加密，从而提供有限局域网的安全性。WEP作为在TCP/IP协议栈中的一种链路层数据加密协议，使用流加密算法RC4作为加密算法，CRC-32（CyclicalRedundancyCheck，循环冗余校验）算法作为数据的校验算法，从而实现安全三要素中的机密性和完整性。WEP协议加密机制WEP协议加密数据表现在发送端，使用四个操作来加密明文数据，加密过程如下：1、首先，WEP算法中使用的共享密钥长度为40bit，且带有一个24bit的初始化向量IV，该向量与共享密钥相连形成一个64bit的种子，用作加密或解密时的密钥。2、其次，生成的密钥用作PRNG（pseudorandomgenerator，伪随机序列产生器）的种子，密钥经过PRNG得到用于RC4算法加密的密钥序列。3、第三，将明文输入到CRC-32完整性检验算法，计算得到完整性校验值ICV，然后再次由明文连接，将完整性校验值ICV附加到明文的末端，得到可以输入到加密算法的明文帧。4、将明文帧和密钥序列输入到RC4算法中，在得到的加密结果前面附加初始化向量IV，最终得到密文帧。WEP加密流程如图3.1所示WEP协议解密机制WEP协议解密数据表现在接收端，WEP解密过程与加密过程相反，同样适用四个操作实现解密，解密过程如下：1、接收端在接受到密文帧之后，通过将密文帧分离即可得到初始化向量IV和密文，并将本地的共享密钥与初始化向量IV连接起来形成64bit种子密钥，当IV正确时此种子密钥应与加密过程中得到的种子密钥相同。2、与加密过程相同，将得到的64bit种子密钥输入到伪随机序列产生器PRNG，得到与加密过程相同的密文序列。3、利用RC4算法的对称加密特性，将密文与密文序列作为RC4算法的输入，得到明文帧，将明文帧分离即可得到数据明文和完整性校验值ICV。4、最后将明文重新输入到CRC-32完整性检验算法，重新计算即可得到新的完整性校验值ICV’，并与步骤三中得到的ICV作比较，当两值相同时完整性校验通过，解密完成。WEP协议解密流程如图3.2所示：WEP协议存在缺陷IV重用问题在WEP协议中并未对初始化向量IV做出了明确规定，导致有些厂商在使用WEP协议的时候存在将初始化向量IV简单初始化为零的操作。同时，最开始规定的WEP协议初始化向量IV大小仅仅只有24bit，在硬件技术的飞速进步和对数据传输速率越来越高的要求下，24bit的数据区间已经不能为加密算法的机密性做保证，在短时间的数据传输过程中初始化向量IV就会被重用一次，为攻击者实现攻击提供了相应的途径。当初始化向量IV重用时，意味着攻击者可以捕获到具有相同IV的数据包，由WEP协议的加密机制原理可以知道，相同IV的密文数据包代表着其种子密钥和密文序列相同，再利用RC4算法的异或特性，在已知两个密文和一个明文但不知道密钥的条件下，可以很快速的推导出另外一个明文的结果。同样在此条件下，攻击者也可以在不知道明文和密钥的情况下，通过改变密文，从而使得对应的明文随之改变。CRC-32消息完整性检测问题CRC-32算法本质上是一种用于防止数据传输中出现错误时的检测算法，它维护的是数据的完整性，当接收到的数据计算得出的检验值不同时认定为数据不完整，要求发送端重新发送数据。但由于CRC-32算法计算方法上的线性机制，使得当攻击者伪造相应数据包的时候，并没有提供相应防止攻击者伪造检验值的方法，因此在面对恶意攻击的时候并不能对数据的机密性提供强力的检测。接入认证问题WEP协议中提出了两种认证方式：1、开放式认证：开放式认证是最不安全的认证方式，使用不认证，即完全透明的传输数据，这里无论密钥是否正确，请求认证的接入者都会通过认证，毫无安全认证措施。具体认证流程如下：（1）接入者STA向无线接入点AP发送身份认证的接入请求，该请求包含STA的身份认证信息。（2）无线接入点AP收到接入请求后返回认证结果，认证成功则返回AP的SSID（ServiceSetIdentifier，服务集标识）。2、共享密钥认证：利用WEP协议加密机制加密数据，并且认证方式为单向认证，即无线接入点AP对接入者STA进行认证，密钥不正确不允许接入AP。具体认证流程如下：（1）STA向AP发送认证请求，AP在接受认证请求后生成一个128bit的挑战信息返回发送给STA。（2）STA在收到返回的挑战信息后，利用自己的密钥和WEP协议加密机制加密挑战信息，并将加密结果返回发送给AP。（3）AP将接受到的加密密文，利用WEP协议的解密机制解密数据，并比较解密结果是否与步骤1中发送的挑战信息相同，两者相同说明密钥相同，认证通过。WEP协议的开放式认证采用不认证毫无安全性可言，这里不多加赘述。而共享密钥认证虽然利用了密钥和WEP加密机制来实现了认证，但当攻击者截取了正常STA接入AP的包含挑战信息的数据包和包含了经过加密的挑战信息的数据包时，利用RC4算法的对称加密特性，容易将其相互异或得到密钥序列，从而可以在不知道密钥的情况下利用此密钥序列对新接入的挑战信息加密，进而通过认证。除此之外，由于共享密钥认证中STA并不对AP做认证，现实环境中攻击者容易通过使用虚假的AP诱导能接收到信号的STA向其发送接入请求，从而获取到用户的相关信息。WEP协议面临的攻击帧重放攻击由于WEP帧中并没有标志前后顺序的相关信息，因此攻击者可以通过截取传输中的数据帧并将其重放，常见于WEP破解时重放ARP包从而获得更多的WEP数据帧。中间人攻击中间人攻击需要攻击者使用另外一台设备同时模拟假冒的接入者STA和无线接入点AP，并截取数据传输中的数据包，再伪造数据包重新发送，此时正常的STA和AP会认为数据传输是正常的，并不知道发生了攻击。攻击者在获取到正常的数据包时，可以利用WEP协议中加密机制的缺陷解密数据包，从而获得数据中的敏感信息，破坏数据的机密性。除此之外，攻击者也可以篡改数据包，填充入恶意内容再重新发送，接收方解密出数据包后将获得虚假的内容，当恶意内容是病毒木马等时将造成局域网的沦陷。MAC地址欺骗无线局域网中每个接入点STA都会有自己的MAC地址，在各个厂商的AP设备中都添加了对接入AP的MAC地址的管理功能。管理员可以通过白名单或黑名单的方式限制STA对AP的访问。但由于AP对接入点MAC地址的判断来自于数据包，而数据包中MAC地址是可以修改的，而且MAC地址在传输过程中为明文传输，使得攻击者截获正常通信数据包时可以很方便的获得允许接入的MAC地址，进而绕过AP对MAC地址的访问限制。IVWeakness初始化向量IV大小过小是WEP协议中最为严重的漏洞之一，过小的数据区间导致了数据传输中重复IV的大量使用，在数据传输速率剧增的发展下，短时间内便可以获取到包含重复IV的数据包。重复的IV数据包常用于密钥破解。WEP密钥破解实验1、密钥破解原理由前面分析的WEP加密机制可以知道，WEP协议中的RC4算法存在严重缺陷，为实现密钥破解提供了可能。在WEP协议中规定了WEP帧的数据的第一个字节为逻辑链路控制的802.2头信息，这是一个公开已知的信息。在捕获到足够多的WEP数据帧的情况下，利用RC4算法的对称加密特性，将这一个已知的明文字节信息与捕获到的密文做异或计算，可以得到加密此字节的对应的一个字节的密钥序列。而密钥序列是由密钥经过PRNG通过置换生成，即获得的这一个字节是种子密钥的一部分，但并不知道其在原本密钥中的相应位置。在有足够多的WEP数据帧的情况下，通过将计算得到的推算密钥字节统计分析，组合后进行验证，验证通过即可得到密钥。此次实验中使用的攻击软件采取主动攻击的方式，通过模拟构建一个虚拟客户端，并使用帧重放攻击重发ARP请求包，从而收集足够多的IV，进而利用上述原理破解获得密钥。实验环境如下表所示：表3.1实验环境设备产品型号软件环境备注路由器FWR100—被监听的路由器笔记本电脑华硕FX50JCDLinuxminidqwep-gtk在CDLinux上破解密钥无线网卡RTL8187—利用此无线网卡与路由器通信2、实验步骤（1）电脑连接到无线路由器FWR100，在浏览器上访问路由器IP地址192.168.1.1进入到无线路由器的的配置界面，并在其中配置无线路由器加密方式为WEP，并分别设置简单和复杂密码。图3.1配置路由器WEP简单密码图3.2配置路由器WEP复杂密码（2）通过虚拟机加载无线破解系统CDLinux，使用CDLinux上的minidwep-gtk软件的扫描功能，扫描周围使用wep加密的ap，扫描结果中包含了实验中使用的无线路由器FWR100。图3.3miniddwep选用WEP扫描（3）选定需要破解的ap，启动软件实现密钥破解，使用软件中的aireplay-ng抓包和提取数据发重放包，建立虚假客户端连接然后继续发送截取数据包，最后得出密钥，破解过程中可以在CDLinux上通过ping无线路由器的方式，加快破解速度。图3.4选择路由器实现密钥破解（4）分别在简单密码和复杂密码两种情况下，最终得到破解结果。图3.5WEP简单密码破解结果图3.6WEP复杂密码破解结果3、实验结果分析由实验结果可以知道，无论是在简单还是复杂密码的情况下，使用WEP协议的路由器密钥都能很快的被破解出来。这证实了WEP协议上确实存在了密钥破解的漏洞，并且由于初始化向量IV的数据区间过小，使得实验中不需要太多时间便可以收集到足够的WEP数据帧，攻击者能够随意的破解WEP协议的密钥。WPA/WPA2协议安全性研究和分析WPA协议的目的是在用户无需更换硬件的条件下，解决WEP协议中存在的一系列问题。加密算法上仍采用RC4算法，但遵从于TKIP协议。相比WEP在数据完整性上使用了更安全的信息校验码MIC（MessagesIntegrityCheck，消息完整性检查）。认证上规定了两种操作方式：一种是用于小型办公室和家庭的家庭版WPA-PSK，数据加密密钥可达256位，与WEP不同，它可以是任何字母数字字符串，且仅用于与AP协商初始回话。另外一种是企业版WPA-enterprise，由认证服务器802.1x进行认证，这里没有使用预共享密钥，常使用RADIUS服务器。WPA是适应802.11i协议的临时解决方案，因此具有许多限制。WPA2是WEP实施者所吸取的经验而设计的一个持久的标准，硬件上要求更高，不能兼容WEP协议，加密算法上选择了更加安全的AES算法。AES算法是一种没有专利的完善的国际加密算法，由广泛的公众审查。认证上继承了WPA的两种认证方式，也同WPA在家庭版具有相同的认证问题。WPA/WPA2协议的加密和解密原理WPA2加密机制基本与WPA相同，仅仅是在核心加密算法处改为使用AES加密算法，故本文将WPA协议和WPA2协议的加密和解密原理统一讨论分析。WPA/WPA2加密原理临时密钥完整性协议TKIP是一种密钥管理协议，可分三个步骤，其加密原理如下：1、生成MSDU（MACservicedataunits，MAC服务数据单元）：MSDU应包含明文数据和完整性校验码MIC，MIC是利用明文数据、源地址、目的地址和临时密钥等信息计算得到的，其作用是用于取代WEP协议中ICV，将此MIC值与明文数据组合得到MSDU。此时当MSDU数据包过大可以划分为多个字段，每个字段为一个MPDU（MessageProtocolDataUnit，媒体协议数据单元），且会为每个MPDU分配一个TSC（TKIPsequencenumber，TKIP序列号），用于标志数据包的顺序，防止重放攻击。2、生成种子密钥：种子密钥分两个阶段生成，第一阶段由TSC、发送方地址和TK（TemporalKey，临时密钥）生成TTAK（TKIP-mixedtransmitaddressandkey，临时混合密钥）。第二阶段由TK、TSC和TTAK生成种子密钥。3、封装WEP：将步骤二中获得的种子密钥划分为初始向量IV和RC4算法的密钥，接下来过程类似于WEP加密，RC4算法根据密钥生成密钥序列，并与MPDU异或加密得到相应密文，最后将IV添加到尾部形成最终结果MPDU。加密过程如图4.1所示：WPA/WPA2解密原理1、分离初始变量IV，划分出序列号TSC和密钥ID，根据TSC序号递增规则判断是否遭受重放攻击，有则丢弃数据包，否则将TSC继续用于生成种子密钥。2、与加密过程相同，利用TSC，TK等信息经过两个阶段生成种子密钥，利用RC4算法的对称加密特性，将种子密钥和符合TSC序号递增规则的密文MPDU作为算法输入，得到明文单元MPDU。3、检测明文MPDU的ICV值，校验正确则组合策划给你MSDU，再根据组合的MSDU校验完整性校验值MIC，不符合丢弃该数据包。4、将解密组合得到的MSDU，发送方地址，目的地址等信息重新计算MIC’值，并与MIC值比较，相同时代表校验通过，数据完整性得到保障。解密过程如图4.2所示：WPA/WPA2协议的安全性分析相比WEP协议，WPA/WPA2协议大大增强了其安全性能，弥补了WEP协议中存在的大多数漏洞，主要表现在以下几个方面：1、初始变量IV数据区间增大：WEP协议中初始变量IV数据区间过小一直是WEPi协议加密中的一大问题，24bit的空间大小已经不适应于数据传输速率递增的现在。WPA/WPA2协议中将IV的空间大小增加到128bit，使得在数据传输中IV的重复使用大大变少，使得重放攻击的成本变大，攻击者需要收集更多的数据包。2、增加TSC序列对抗重放攻击：WEP协议在数据帧上并没有规定标志前后顺序的信息，使得重放攻击成为可能。TKIP算法中引入了TSC序列号，使得接受端可以分辨数据帧的前后顺序。3、采用Michael函数实现完整性校验：WEP协议中使用的CRC-32检验算法由于其线性特性，并不能有效防止信息篡改。WPA/WPA2协议改用Michael函数计算消息校验值MIC，使得安全问题得到进一步解决。4、使用密钥混合函数：密钥的混合增加了密钥的复杂性，在家庭版WPA-PSK中使用的共享密钥更加明确体现，避免弱密钥的出现。5、增加密钥动态更新机制：WEP协议和使用家庭版WPA-PSK协议均使用预共享密钥，企业版的WPA-enterprise，由认证服务器802.1x进行认证，使用动态密钥更新机制。WPA/WPA2认证方式和认证攻击分析WPA/WPA2认证方式WPA/WPA2协议在认证上分为家庭版WPA-PS和企业版WPA-enterprise，家庭版身份认证上使用的是预共享密钥认证，企业版WPA-enterprise使用IEEE802.1x和扩展身份认证协议EAP，其中802.1x指的是IEEE的802.1x的身份认证标志，是基于端口的认证协议，用于AP和STA之间建立认证的安全连接，但仅负责通信端口的关闭和打开，而认证过程中的认证细节是封装在EAP帧中传输的。WPA和WPA2协议不同模式下的认证方式如表4.1所示：表4.1WPA与WPA2不同应用模式对比应用模式WPAWPA2服务器认证企业版身份认证：IEEE802.11x/EAP身份认证：IEEE802.11x/EAP需要加密：TKIP/MIC加密：AES/CCMP家庭版身份认证：PSK身份认证：PSK不需要加密：TKIP/MIC加密：AES/CCMP由于WPA/WPA2家庭版并没有采用第三方的服务器进行可扩展性的认证机制，而是仍采用静态预共享密钥，故本文中重点分析WPA/WPA2家庭版使用的预共享密钥认证方式，其认证过程中包含四次握手，握手过程如下：1、AP向STA发送第一次握手包：对接受到接入申请的无线接入点AP会产生随机数Anonce，，然后将随机数Anonce，序列号sn和时戳等信息放入握手包，采用明文传输给接入点STA。其中序列号字段用于消息计数，在建立连接和重关联时初始化为0。2、STA向AP发送第二次握手包：当STA接收到消息1后，先根据序列号判断该数据帧是否为重放帧，如果不是则产生随机数Snonce，此时STA已经具备生成PTK（pairwiseTransientKey，成对瞬时密钥）的所有条件，利用Snonce、从第一次握手包中接收到的Anonce和PMK等使用伪随机函数PRF产生384bit的PTK，将随机数Snonce、序列号sn、校验值MIC等信息填入第二次握手包发送给AP，同时在本地存储Snonce、Anonce和PTK等。3、AP向STA发送第三次握手包：无线接入点AP收到第二次握手包后，同样利用通过序列号sn消息是否为重放帧，如果不是，检测握手包的MIC值，MIC值检测通过后提取网络安全元素相关信息，此时AP接收到Snonce，也具备了计算PTK的所有条件，将序列号sn，校验值MIC构造第三次握手包并发送给STA。4、STA向AP发送第四次握手包：当客户端STA收到第三次握手包后校验序列号sn和校验值MIC，当sn和MIC值校验都通过时，提取相关信息并安装PTK。发送确认第四次握手包，确认客户端STA的PTK已经安装，通知接入点AP装PTK。WPA/WPA2认证攻击分析由于WPA-PSK采用的认证方式仍旧是静态的共享密钥，且四次握手过程中第一次握手消息为明文传输，且握手包中包含共享密钥的相关信息，而MIC只需要知道第一次和第二次的握手信息，便能计算得出，这为攻击者实现暴力破解密钥提供了可能。WPA/WPA2的暴力破解步骤如下：1、从字典中取出一条密码passphrase，假设该密钥为已知用户的密码，配合AP的SSID得到PMK。2、攻击者可以截获客户端的MAC地址STA_MAC，无线接入点AP的MAC地址AP_MAC，STA发送AP的随机数Snonce，AP发往STA的随机数Anonce，配合上一步得到的主密钥PMK，计算生成PTK。3、由PTK的前16bit计算出MIC校验值，用该值与截获四步握手协议中客户端STA发