WEP安全性能研究及其攻击

减小字体

增大字体作者：佚名来源：本站整理发布时间：2009-01-10 22:36:26

【本文由PB创新网为您整理】
摘要：以Ｆｌｕｈｒｅｒ, Ｓ．, Ｍａｎｔｉｎ, Ｉ．, Ｓｈａｍｉｒ, Ａ．提出的ＫＳＡ（ＫｅｙＳｃｈｅｄｕｌｅＡｌｇｏｒｉｔｈｍ）攻击为基础，提出了一种改进的ＫＳＡ攻击方法。与Ｆｌｕｈｒｅｒ等提出的ＫＳＡ攻击相比，新方法具有更高攻击效率。利用这种方法，成功地实现了针对８０２．１１网络链路层安全协议——ＷＥＰ的攻击，成功地恢复出了原加密密钥。本文详细地描述了这种攻击，同时针对８０２．１１网络存在的安全问题，提出了一些安全建议。

关键词：有线等效加密密钥调度算法伪随机数发生器

随着８０２．１１标准的制定以及相关软硬件技术的逐渐成熟，８０２．１１无线局域网产品的使用愈来愈广泛。其通信范围广、数据传输速率高的特点使８０２．１１同蓝牙等协议一起成为无线局域网组网的可选协议之一，广泛应用于办公、会议等场合。这些场合中所使用的ＰＣ卡绝大多数提供了一种称为ＷＥＰ（ＷｉｒｅｄＥｑｕｉｖａｌｅｎｔＰｒｉｖａｃｙ）的加密协议。

ＷＥＰ便于管理，每块８０２．１１卡具有一个加密密钥（ｋｅｙ）。在实际使用中，大多数设备均使用同一个加密密钥，包括接入点ＡＰ（ＡｃｃｅｓｓＰｏｉｎｔ）。８０２．１１通过ＷＥＰ来防止对局域网的非法访问，为用户提供与传统有线局域网保密程度相当的通信环境。

ＷＥＰ中采用的ＲＣ４算法是一种对称流加密算法。由于ＲＣ４算法的加密或解密速度均非常快，又提供了相当的强度，所以得到了广泛应用。其最重要的应用就是ＳＳＬ（ＳｅｃｕｒｉｔｙＳｏｃｋｅｔＬａｙｅｒ）加密套接字协议层和ＷＥＰ。

针对ＲＣ４算法及其弱点，人们进行了许多研究，其中大多数为理论研究，并不具有实际意义。直到最近，Ｂｏｒｉｓｏｖ、ＧｏｌｄｂｅｒｇａｎｄＷａｇｎｅｒ指出１：在ＷＥＰ中，由于没有明确规定ＩＶ（ＩｎｉｔｉａｌｉｚａｔｉｏｎＶｅｃｔｏｒｓ）的使用方法，有些厂商简单地在每次初始化时将ＩＶ置零，然后加一。这种不当使用导致密钥重用的概率大增，可用于简单的密码分析攻击。另外，作者还指出，由于ＩＶ的可用空间太小，将不可避免地导致相同的密钥重用问题。

Ｆｌｕｈｒｅｒ、ＭａｎｔｉｎａｎｄＳｈａｍｉｒ描述了一种针对ＷＥＰ采用的ＲＣ４算法的被动密文攻击方法２。作者针对ＲＣ４的状态初始化，提出了一种ＫＳＡ攻击方法。揭示了ＷＥＰ存在的严重漏洞。

本文在文献２提出的ＫＳＡ攻击方法的基础上，提出了一种更为高效的攻击方法。并在实际环境中，成功地实施了针对ＷＥＰ的攻击。实验结果表明，与文献２中提出的ＫＳＡ攻击相比，本文提出的方法具有效率高、所需数据量更小的优点。

１ＲＣ４算法

１．１ＲＣ４概述

ＲＣ４算法属于二进制异或同步流密码算法，其密钥长度可变，在ＷＥＰ中，密钥长度可选择１２８ｂｉｔ或６４ｂｉｔ。

ＲＣ４算法由伪随机数产生算法ＰＲＧＡ（ＰｓｅｕｄｏＲａｎｄｏｍＧｅｎｅｒａｔｉｏｎＡｌｇｏｒｉｔｈｍ）和密钥调度算法ＫＳＡＫｅｙＳｃｈｅｄｕｌｅＡｌｇｏｒｉｔｈｍ　两部分构成。其中ＰＲＧＡ为ＲＣ４算法的核心，用于产生与明文相异或的伪随机数序列；ＫＳＡ算法的功能是将密钥映射为伪随机数发生器的初始化状态，完成ＲＣ４算法的初始化。

ＲＣ４算法实际上是一类以加密块大小为参数的算法。这里的参数ｎ为ＲＣ４算法的字长。在ＷＥＰ中，ｎ＝８。

ＲＣ４算法的内部状态包括２ｎ个字的状态表和两个大小为一个字的计数器。状态表，也称为状态盒（Ｓ－ｂｏｘ，以下用Ｓ表示），用来保存２ｎ个值的转置状态。两个计数器分别用ｉ和ｊ表示。

ＫＳＡ算法和ＰＲＧＡ算法可表示如下：

ＫＳＡ：ＰＲＧＡ：

Ｉｎｉｔｉａｌｉｚａｔｉｏｎ：Ｉｎｉｔｉａｌｉｚａｔｉｏｎ：

Ｆｏｒｉ＝０ｔｏ２ｎ－１ｉ＝０，ｊ＝０

Ｓ[ｉ]＝ｉＧｅｎｅｒａｔｉｏｎＬｏｏｐ：

ｊ＝０ｉ＝ｉ＋１

Ｓｃｒａｍｂｌｉｎｇ：ｊ＝ｊ＋Ｓ[ｉ]

Ｆｏｒｉ＝０ｔｏ２ｎ－１Ｓｗａｐ（Ｓ[ｉ]，Ｓ[ｊ]）

ｊ＝ｊ＋Ｓ[ｉ]＋Ｋ[ｉｍｏｄｌ] Ｏｕｔｐｕｔｚ＝Ｓ[Ｓ[ｉ]＋Ｓ[ｊ]]

Ｓｗａｐ（Ｓ[ｉ]，Ｓ[ｊ]）