無線區(qū)域網(wǎng)絡(luò)架構(gòu)中有線等效保密算法安全性分析

◆馬天午 李建宇 竇浩

（河北蘭科網(wǎng)絡(luò)工程集團(tuán)有限公司 河北 065000）

隨著信息科技的發(fā)展日新月異，再加上信息設(shè)備的價(jià)格大幅降低，不論是在辦公室或一般家庭，計(jì)算機(jī)已成為非常重要的工具。而網(wǎng)絡(luò)的發(fā)展更使信息的傳遞更加便捷與迅速，在政府機(jī)關(guān)或企業(yè)內(nèi)部，區(qū)域網(wǎng)絡(luò)的建立不只使訊息的傳遞更加方便，也達(dá)到了檔案交換和資源共享的目的，使生產(chǎn)力大幅提升。在無線區(qū)域網(wǎng)絡(luò)的發(fā)展過程中，雖然有不同的組織或廠商提出不同的通信協(xié)定標(biāo)準(zhǔn)，但I(xiàn)EEE 802.11 系列的無線區(qū)域網(wǎng)絡(luò)標(biāo)準(zhǔn)，可說受到最多生產(chǎn)廠商的支持，各廠商也預(yù)測大部分的無線區(qū)域網(wǎng)絡(luò)將采用 802.11 為通信協(xié)議，提供客戶穩(wěn)定而廉價(jià)的無線區(qū)域網(wǎng)絡(luò)傳輸服務(wù)。

1 IEEE 802.11 的認(rèn)證與保密

認(rèn)證（Authentication）的目的是確認(rèn)對方身份的合法性，以免與身份不明的對象溝通，泄漏了重要的機(jī)密。也就是雙方進(jìn)行通訊的前，必須先經(jīng)過認(rèn)證的程序。IEEE 802.11 提供兩種認(rèn)證的服務(wù)－開放系統(tǒng)式（Open System）及共享鑰匙式（Shared Key）。前者是IEEE 802.11內(nèi)定的認(rèn)證方法，不過工作站提出認(rèn)證要求時(shí)可指定要采用哪種方式進(jìn)行雙向認(rèn)證。

2 有線等效保密算法

2.1 WEP 運(yùn)作原理

所謂加密即是將原來傳送的資料，經(jīng)過一特定的運(yùn)算過程，將原來的訊息隱藏起來，必須再經(jīng)過相對的運(yùn)算稱作解密，才能還原。在這里尚未經(jīng)過加密演算的資料，稱為明文（Plaintext，簡稱P），經(jīng)過加密演算的資料稱作密文（Ciphertext,簡稱 C）。在密碼算法（cryptographicalgorithm）定義了一組相對的加密函數(shù)（Encryption function，簡稱E）和解密函數(shù)（Decryption function，簡稱D），加密函數(shù)和解密函數(shù)的算法可以是相同也可以完全不同，在近代的密碼學(xué)中，加解密多采用鑰匙（Key）的方式來運(yùn)算，即是加密函數(shù)和解密函數(shù)都在算法中加入Key，函數(shù)的算法則是公開的，只有將Key 保留，換言之，竊聽者如果能得到Key，就能將密文完全破解。

2.2 WEP 的架構(gòu)

一個(gè)經(jīng)WEP 加密的訊框在資料（Frame Body）部份，是由初始矢量（IV）4 個(gè)位元組、密文大于1 個(gè)位元組和完整性檢查碼（ICV）4 個(gè)位元組組合而成。

初始矢量（IV）事實(shí)上包3 個(gè)位元組（24 bits）的初始矢量和1個(gè)位元組鑰匙選擇字節(jié)合。

IV 的產(chǎn)生方式可由工作站或擷取點(diǎn)在傳送時(shí)隨機(jī)產(chǎn)生或采用計(jì)數(shù)器循序產(chǎn)生，802.11 標(biāo)準(zhǔn)并沒有定義，可由設(shè)計(jì)者自行設(shè)計(jì)。WEP中最多可以定義四組KEY，在傳送時(shí)再由鑰匙選擇位元指定由第幾組KEY 來負(fù)責(zé)加密或解密的工作。加密的過程首先將明文經(jīng)過在3.2 介紹的完整性算法產(chǎn)生一個(gè)4 個(gè)位元組的完整性檢查碼。

再經(jīng)由WEP 加密，在802.11 中定義WEP 是采用共享式鑰匙的方式，所有的用戶包含擷取點(diǎn)（AP）都采用同一個(gè)KEY 來完成加密和解密，鑰匙長度有40bits 和128bits 兩種。

WEP 40bits 的格式中共享鑰匙長度為40 個(gè)位元和IV 的24 個(gè)位元，組成長度為64 個(gè)位元的KEY。WEP 128 bits 的格式中共享鑰匙長度并非128 個(gè)位元而只有104 個(gè)位元和IV 的24 個(gè)位元，組成長度為128 個(gè)位元的KEY。組合成完整的KEY 再經(jīng)由RC4 算法產(chǎn)生不定長度的串流位元值和原文作互斥或運(yùn)算：

C = P⊕RC4（IV,KEY）

當(dāng)接收端收到資料時(shí)，取出封包中的IV 加上工作站本身擁有的共享鑰匙組成完整的KEY經(jīng)由同樣的RC4 算法產(chǎn)生相同的位元串流值和密文作互斥或運(yùn)算即可得到原文。

3 WEP 加密算法可能面對的威脅

3.1 IV 重復(fù)使用的問題

因?yàn)镮V 的長度只有24 個(gè)位元，所以只要網(wǎng)絡(luò)中所有工作站傳送山的封包的總數(shù)超過224 時(shí)，就會有IV 重復(fù)使用的問題產(chǎn)生，例如黑客擷取到兩個(gè)使用相同IV 加密的封包C1 和C2 時(shí)：

C1= P1⊕RC4（IV,KEY）,

C2= P2⊕RC4（IV,KEY）,

因?yàn)镃1 和C2 都是分別由P1、P2 和RC4（IV,KEY）作互斥或運(yùn)算，所以將C1 和C2 兩個(gè)再作一次互斥或運(yùn)算可以得到：

C1⊕C2 =[P1⊕RC4（IV,KEY）]⊕[P2⊕RC4（IV,KEY）]

=P1⊕RC4（IV,KEY）⊕P2⊕RC4（IV,KEY）

=P1⊕P2⊕RC4（IV,KEY）⊕RC4（IV,KEY）

=P1⊕P2⊕1

=P1⊕P2

可看出將兩個(gè)密文作互斥或運(yùn)算后所得的結(jié)果只和原來的明文有關(guān)，和原來的共享鑰匙無關(guān)，若收集使用相同IV 值的封包數(shù)愈多，泄漏出的訊息將足以利用統(tǒng)計(jì)或其他破密的方法分析出原文。而這樣的情形在一個(gè)平均流量達(dá)5 百萬位元（Mbit）的無線區(qū)域網(wǎng)絡(luò)內(nèi)，若假設(shè)平均封包長度為1400 字節(jié)時(shí)，大約每10 小時(shí)就會出現(xiàn)IV 重復(fù)使用的問題，而竊聽者并不需要連續(xù)監(jiān)聽10 小時(shí)，可以每次監(jiān)聽數(shù)小時(shí)，連續(xù)監(jiān)聽幾天，累計(jì)監(jiān)聽時(shí)間超過十小時(shí)可得到同樣的效果。再加上部分無線區(qū)域網(wǎng)絡(luò)傳輸設(shè)備在設(shè)計(jì)時(shí)，并未考慮周全，例如在使用計(jì)數(shù)器來產(chǎn)生IV 的設(shè)備中，許多設(shè)備是在每次開機(jī)時(shí)會將計(jì)數(shù)器是歸零，也就是更容易產(chǎn)生使用相同IV 來加密封包的情形。

3.2 已知明文的破解

在WEP 中若竊聽者已知明文P 時(shí)，將密文和明文作互斥或運(yùn)算，可得到某一組IV 和KEY 經(jīng)RC4 運(yùn)算后產(chǎn)生的串流鍵值的部分結(jié)果（因明文長度而異）：

C⊕P =[P⊕RC4（IV,KEY）]⊕P

= P⊕RC4（IV,KEY）⊕P

= RC4（IV,KEY）⊕P⊕P

= RC4（IV,KEY）]⊕1

= RC4（IV,KEY）]

雖然無法破解共享鑰匙，但可利用來對使用相同的IV 加密的封包破解而得到原文。黑客可以使用這種方法對位于無線區(qū)域網(wǎng)絡(luò)中的某一工作站發(fā)出訊息，例如一封電子郵件等，當(dāng)擷取點(diǎn)將資料加密傳送時(shí)再加以監(jiān)聽，便很容易可以得到泄露的訊息。

3.3 位址的變造

若變造的部分是屬于封包的位址部分，則可能使擷取點(diǎn)和埠接器無法辨別封包真?zhèn)危J(rèn)為是一個(gè)正確的封包且目的位址屬于無線網(wǎng)絡(luò)的外部的有線網(wǎng)絡(luò)上的工作站，而將封包先解密后再傳送出去，而泄漏出重要的信息。

3.4 鑰匙選擇的問題

在管理者安裝無線區(qū)域網(wǎng)絡(luò)時(shí)，有時(shí)為了容易記住鑰匙，而采用了英文單詞或某些較為簡單的組合，黑客可以有機(jī)會采用字典的方式暴力破解WEP 的密碼,例如Wepcrack 即是一種采用字典為基礎(chǔ)的暴力破解工具。

3.5 鑰匙保管的問題

在無線區(qū)域網(wǎng)絡(luò)中采用了共享鑰匙的策略，除了鑰匙傳遞的問題外，另外所有的工作站和擷取點(diǎn)都擁有鑰匙，而且記錄在機(jī)器內(nèi)部，使得管理上容易產(chǎn)生缺失，讓入侵者很容易就獲得鑰匙。

4 提高破解鑰匙的可能性

共同的模式是當(dāng)已知初始矢量（IV,3 個(gè)位元組）和n 個(gè)位元組的鑰匙（0≦n≦L）時(shí)，我們即可模擬鑰匙安排法則（KSA）的前n+3個(gè)循環(huán)數(shù)列運(yùn)算，求出S1 至Sn+3 數(shù)列和Sn+4 數(shù)列的Sn+4[0]至Sn+4[n+2]項(xiàng)，找出所有符合Sn+4[1]＜n+3且Sn+4[1]+ Sn+4[Sn+4[1]]=n+3 的封包，皆可用來分析K[n]，事實(shí)上當(dāng)已知的共享鑰匙愈多時(shí)，有更多的不同初始矢量符合條件可用來分析。

同時(shí)在設(shè)計(jì)程序?qū)嶋H分析鑰匙的過程中，可適度地提高搜尋的廣度，即原先分析封包的第一個(gè)位元組來計(jì)算：

K[n]=（S-1[z]- jn+3 - Sn+3[n+3]）mod 256（0≦n≦L）

并計(jì)算不同K[n]值的出現(xiàn)的次數(shù)，最后以出現(xiàn)次數(shù)最高者為預(yù)測結(jié)果，如果預(yù)測的結(jié)果最后經(jīng)實(shí)際驗(yàn)證并不符合，可再以出現(xiàn)次數(shù)次高或第3 高K[n]值的依序往下分析，采用這樣提高搜尋廣度的方式 ,即使擷取到的封包數(shù)目不多，但仍有極高的概率可以分析出正確的鑰匙。

而以FLUHRER,S.等人在他們的論文中提到每個(gè)KEY 必須收集60 個(gè)以上有效的封包為例，在大部分的無線區(qū)域網(wǎng)絡(luò)設(shè)備里，產(chǎn)生初始矢量時(shí)多數(shù)采用了計(jì)數(shù)器和隨機(jī)產(chǎn)生兩種方式。

在采用計(jì)數(shù)器的環(huán)境下，在計(jì)數(shù)器是先改變初始矢量的最低位元值（IV[0]）時(shí)，需收集4 百萬個(gè)封包，在計(jì)數(shù)器是先改變初始矢量的最高位元值（IV[2]）時(shí)，只需收集不到2 百萬個(gè)封包即有足夠的有效封包用來分析。在采用隨機(jī)產(chǎn)生初始矢量的環(huán)境下，更只需約1.3 百萬個(gè)封包就足夠。在一個(gè)平均流量達(dá)5 百萬位元（Mb）的無線區(qū)域網(wǎng)絡(luò)下，若假設(shè)平均封包長度為1400 字節(jié)時(shí)，每秒鐘約有450個(gè)以上的封包可供擷取，每小時(shí)約有1.68 百萬個(gè)封包可供擷取，也就是最少只要一小時(shí)，最多不到三小時(shí)的時(shí)間就可收集足夠的有效封包數(shù)來破解WEP 的鑰匙。

5 總結(jié)

根據(jù)本文的討論，可以看出在無線區(qū)域網(wǎng)絡(luò)中即使采用有線等效加密算法（WEP）并采用了較長的共享鑰匙（WEP-128），要保證信息在傳遞時(shí)不受黑客的竊取是不可能的，當(dāng)使用者在建置無線區(qū)域網(wǎng)絡(luò)時(shí)希望資料在傳遞時(shí)能有足夠的安全防護(hù)，必須采用相應(yīng)方法來提高安全性。