WEP协议分析及其安全对策

[摘 要] WEP协议是IEEE802.11标准规定的数据加密机制，虽然WEP提供了64位和128位长度的密钥机制，但仍然存在许多缺陷，因此，IEEE802.11需要采用其他的加密体制。本文分析了基于IEEE802.11标准的WEP安全漏洞，介绍了AES-CMM和ECC两种加密体制，对IEEE802.11数据帧加密，并对它们的性能进行分析。

[关键词] 有线对等协议 AES-CCM 椭圆曲线密码体制

一、引言

无线局域网的IEEE802.11标准规定了两部分安全机制:一是访问认证机制；二是数据加密机制（WEP协议：Wired Equivalency Privacy）。它们是无线局域网系统中安全机制的主要形态和基础，在IEEE802.11安全机制的评审过程中，加密专家对WEP算法进行很少的组内评审工作，正是这一疏忽，造成WEP的多处漏洞，为各种窜改数据攻击提供了方便之门。

二、WEP协议分析

1.WEP协议简介

802.11b使用WEP协议即有线对等协议来保证在无线传输过程中的数据安全，WEP协议可以实现以下安全性目标：

(1)数据安全性：WEP的基本目标就是防止数据在传输过程中被监听。

(2)接入控制：WEP可用来在802.11b中实现接入控制，可以选择是否丢弃那些非WEP加密的数据包，从而保证只将可信的用户接入到局域网。

(3)数据完整性：WEP协议还能用来防止数据在传输的过程中被人篡改。

2.WEP安全机制

(1)WEP帧的数据加解密。首先介绍加密过程，发送端WEP帧加密过程如图1所示：

WEP机制用加密密钥与初始化向量IV连接产生种子密钥，然后把种子密钥送入伪随机产生器PRNG产生密钥流，密钥流与明文进行异或生成密文。WEP帧加密过程如下：①消息M通过 CRC-32循环冗余校验生成校验值ICV，记做C(M)，将M与C(M)连接生成明文P=M,C(M)）；②选择初始向量IV 记做V,将初始向量与密钥K连接作为种子密钥，种子密钥作为RC4算法的输入生成伪随机密钥流，记为RC4(V,K)；③将明文P 与伪随机密钥流RC4(V,K)进行异或生成密文，记为C＝PRC4(V,K)。

然后把密文加上初始向量IV和报头形成WEP帧进行传输，WEP帧格式如图2所示：

接收端解密WEP帧过程如图3所示：

①把接收到的初始向量V和共享密钥K连接作为种子密钥，种子密钥作为RC4算法的输入生成密钥流RC4(V,K)；②将密钥流RC4(V，K)与密文进行异或生成明文：CRC4(V,K)=(PRC4(V,k))RC4(V,K)=P；③计算解密后的消息的ICV’，与接收ICV进行比较，若相同，则接收不同则丢弃。

(2)WEP认证机制。IEEE802.11规定了两种认证方法：开放式认证，共享密钥认证。开放式认证允许任何无线站访问无线局域网，只要它符合无线网络设置的MAC地址过滤规定，在开放式认证系统中没有采取数据加密措施，信息都以明文方式出现，因此它实际上就是无认证。共享密钥认证要求STA（移动终端）与AP(接入控制点)必须拥有一个静态WEP密钥，如图4所示：

共享密钥认证过程：①STA向访问点AP发送一个认证请求，请求进行共享密钥认证；②AP发送给STA一个挑战信息包作为回应；③STA使用共享WEP密钥对挑战信息进行加密，并把它返回给AP；④如果AP能利用共享WEP密钥对挑战信息进行解密，并恢复出原始的挑战信息，那么它将用一个认证响应允许STA接入，否则，AP将终止与此STA的通信。

3.WEP安全隐患分析

(1)RC4算法自身的不足。在采用IEEE 802.11协议的无线局域网产品中，主要有两种方法来给定IV的值：一种是当无线网卡在初始化时，IV的值取为0或某一个随机数，然后随着数据包的个数逐次按模224递增，当增加到224时IV的值又回到0；另一种方法是在[0,224 -1]上随机选取IV值。当IV的值被随机选取时，在传输大约4823个数据包后，就会有50%的概率发生IV碰撞，12430个数据包后将有99%的概率发生IV碰撞。在WEP协议中，每一个封装的数据包中都包含一个初始向量IV。IV在数据帧中以明文形式传输，并和原始密钥一起作为种子密钥，用来生成加密有效载荷的密钥流。密钥流加密算法的缺陷就是，如果用相同的IV和密钥加密两个消息，将导致两条消息的同时泄漏。这里,假设有两段明文P1和P2，它们都采用相同的种子密钥{IV,Key}，对应生成的密文分别为C1和C2，则：

C1=P1RC4{IV,Key}

C2=P2RＣ4{{IV,Key }

C1C2=P1P2

因此在IV和密钥相同的情况下，如果知道密文C1，C2和其中一段明文P1，就可以得到另一段明文P2。如果仅知道密文C1和C2，那么就得到了两段明文P1和P2的异或值，使用字典攻击法，就可以对P1和P2的值进行猜测，并最终得到其中一条明文。

(2)密钥管理带来的安全隐患。在WEP协议中，对密钥的生成和分布没有做任何规定，密钥的使用也没有具体规定，实际应用中这些重要的问题由设备制造商自行解决，导致大批存在密钥管理安全隐患产品的出现。而这些产品中使用的WEP加密密钥通常在很长一段时间内都不会改变，导致攻击者在一个密钥生存周期内可以获得大量的无线传输数据包。从中选择出使用相同IV的数据包，只要知道一个明文和密文，就可以计算出这些数据包使用的密钥。在具体应用中，大多数用户长时间共享同一密钥，并且使用WEP协议的设备都是将密钥保存在设备中，所以一旦设备丢失，所有使用这一共享密钥的计算机的安全都可能受到威胁。

(3)身份认证中的安全隐患。在WEP协议身份认证过程中，AP以明文的形式把128字节的随机序列流发送给客户端，如果能够监听一个成功的客户端与AP之间身份认证的过程，截获它们双方之间相互发送的数据包，通过把随机数与加密值相异或,就可以得到密钥流。而拥有了该密钥流，任何人都可以向AP提出访问请求。因为WEP协议中，身份认证是单向的。

三、安全对策

1.AES_CCM

采用AES_CCM模式来提供加密和数据完整性校验，AES_CCM是802.11工作组专门为WLAN的加密和数据完整性校验提出的一种基于AES的运行模式。数据完整性校验部分使用了密码学上成熟的CBC模式，保护对象是整个的MPDU数据单元和一部分MAC帧头信息。加密部分使用的是AES_CRT模式，就是用一个准计数器产生一系列的分组作为AES的明文输入，AES加密后输出的密文作为定长得密钥流与要保护的数据相异或产生密文，其安全性取决于AES的安全性。

加密过程：(1)将由标志，随机数和计数器构成的初始向量输入AES产生定长密钥流；(2)将定长密钥流与MAC帧的数据部分异或，计数部分加(1)；(3)将(2)的结果作为下一个AES的输入，产生定长密钥流；(4)重复第二步，直到MAC帧数据全部加密完为止；(5)计数器清零，将上面得到的加密数据作为AES的输入，输出密钥流；(6)将(4)得到的结果与校验码异或，完成对MAC帧的加密。

数据完整性校验：(1)把由标志，随机数和计数器构成的初始向量输入AES产生定长密钥流；(2)把AES以密码分组链接的形式对MAC帧头和MAC帧进行运算；(3)将(2)得到的结果，选取一半作为MIC值。

2.ECC

椭圆曲线密码体制（ECC）来源于对椭圆曲线的研究，ECC的安全性基于椭圆曲线离散对数问题的困难性，使用相对较短的密钥实现了与其他密码体制（如RSA密码体制）类似的安全强度。下面简要描述用ECC密码体制加解密的算法。

(1)密钥的生成。首先选择一个有限域GF(q)上的椭圆曲线E，在E上选择基点P，用户随机选择一个整数d，且d∈[0,n-1]；计算点Q=dp，将Q作为公钥，d作为私钥。

(2)加密过程。①获得接收方的公钥Q；②将明文M映射为域GF(q)中的元素；③随机选择一个整数k，使得k∈[0,n-1]；④计算（x1,y1）=kP,(x2,y2)=kQ,如果x2=0则返回第三步；⑤计算c=mx2；⑥发送密文（x1,y1,c）。

(3)解密过程。①用自己的私钥d计算(x2,y2)=d (x1,y1）；②计算m=cx2-1 ,然后，由m映射得到明文M。

四、性能分析

下面利用WEP、AES-CCM和ECC实现对IEEE 802.11数据帧的加密，并分析其性能。

AES-CCM应用程序由数据加密和解密认证两部分实现，密钥长度为128bit。ECC应用程序基于NTL来实现数据的加密/解密和签名验证过程。

为了获得同128bit长度的AES算法一样的安全性能，ECC应用程序采用233bit和283bit两种密钥长度来实现，预定义曲线：K-233、B-233、K-283、B-283，见表:

下面对表中的数据进行分析：

(1)RC4和AES-CCM为对称密钥（私钥）体制，ECC为非对称密钥（公钥）体制。

(2)AES-CCM是一种分组加密算法，分组长度和密钥长度可以为128bit、192bit或256bit。该算法将数据分成一个个128bit（16字节)长的分组，不够16字节的数据用0填充，因此表1中1字节和8字节的数据加密时间与16字节数据的加密时间相同。

(3)不管需要加密的数据长度有多长，利用相同的ECC密钥长度来加密的时间是相等的，K-233与B-233相等，K-283与B-283相等，这是因为数据是映射到特定的椭圆曲线上的，不同长度的数据只映射到椭圆曲线上的不同点。表中ECC对不同数据长度的加密时间还是有少许的差别，那是因为加密过程中如果第四步x2=0，还需要返回第三步重新选取k的缘故。

通过以上分析，说明采用AES-CMM和ECC两种加密体制对IEEE802.11数据帧加密，安全性得到进一步的提高。

参考文献：

[1]W.A.Arbaugh,N.Shankar, and Y.J Wan, ”Your 802.11 wireless network has no clothes”. Department of Computer Science University of Maryland College Park, Maryland 20742,March 30,2001

[2]杜 勇:无线局域网安全研究与802.1x协议在AP中的实现.西安:西安电子科技大学,2001

[3]Madge Limited. Wireless LAN Security White Paper[EB/OL].www.省略,2003

[4]钟晓珊 刘 旭:无线局域网接入的安全性问题[J].信息技术,2004,12(28):10～13