郭思娟

摘 要：802.11i是最新版本的WLAN安全協(xié)議，提供機密性、完整性檢測和相互認證機制。但期在四步握手協(xié)議認證過程可能會出現(xiàn)漏洞。對此本文提出了兩種改進的方法，即.ANonce加密方法與消息1完整性檢測方法，最后對改進機制的安全性進行了分析。

關鍵詞：無線局域網(wǎng)；IEEE802.11i；四步握手協(xié)議

WLAN由于其可移動性、方便的接入方式和低廉的價格在普通家庭和企業(yè)辦公室間快速的普及。802.11協(xié)議是IEEE為WLAN制定的協(xié)議標準。WPA協(xié)議分為家庭和企業(yè)兩個版本，企業(yè)版本的WPA認證協(xié)議在相當長的一段時間內(nèi)被認為是安全的認證方式，直到四步握手協(xié)議的漏洞被發(fā)現(xiàn)1-2。802.11i安全協(xié)議的提出正是基于此，802.11i采用CCMP協(xié)議的AES加密算法，具有更高的安全性。

1 802.11i簡介

在數(shù)據(jù)加密方面，802.11i協(xié)議采用AES加密算法。在接入認證方面，802.11i采用802.1x基于端口的擴展認證協(xié)議，該協(xié)議包括三個認證實體，認證服務器，站點和認證者，在認證過程中AP起到傳遞認證數(shù)據(jù)包的作用，具體的認證工作在AS和STA間完成，當認證完成后生成主密鑰，AS將PMK發(fā)送到AP，以便AP和STA完成4步握手協(xié)議。

802.11i采用雙向認證方式，即站點和接入點相互認證。在密鑰管理方面，80.11i的密鑰管理機制中最重要的是四次握手協(xié)議和組密鑰更新協(xié)議。四次握手的目的是確保STA和AP均擁有在認證期間產(chǎn)生相同的PMK，從而獲得最新的臨時會話密鑰。

2 四步握手協(xié)議

四次握手協(xié)議是密鑰管理機制中最主要的組成部分，主要目的是確定STA和AP得到的PMK是相同且最新的，以保證可以產(chǎn)生最新的PTK，其中PMK在認證結束時由STA和AP協(xié)商生成。密鑰協(xié)商過程均用EAPOL-KEY幀格式封裝。過程如圖1。

注釋：msg為消息，sn為序列號，MIC為PTK對應的消息完整性檢測值

⑴消息l：AP產(chǎn)生隨機數(shù)ANonce，ANonce通過EAPOL-Key幀發(fā)送，其中包括ANonce大隨機數(shù)，時戳和序列號等，Msg1采用明文傳輸。序列號字段為密鑰重放計數(shù)，在建立連接和重連接時初始化為0，序列號可以防止重放攻擊。

⑵消息2：當STA接收到msg1后首先檢測該幀是否為沖重放幀，如果不是則產(chǎn)生SNonce，由ANonce、SNonce和PMK等使用偽隨機函數(shù)PRF生產(chǎn)384bit的PTK，通過EAPOL-Key幀發(fā)送消息2。Msg2包含sn、SNonce和MIC等，同時存儲ANonce、SNonce和PTK。PTK計算公式1

⑶消息3：AP接受到消息2后通過sn檢測是否為重放幀，如果不是，通過MIC值檢測msg2的完整性，MIC檢測通過后提取網(wǎng)絡安全元素相關信息，構造并發(fā)送msg3相關信息msg3，sn，MIC等。

⑷消息4：：當STA收到msg3后校驗sn和MIC值，當sn和MIC值檢測都通過后，提取RSNIE相關信息，并安裝PTK。發(fā)送確認msg4 STA的PTK已經(jīng)安裝。

3 四步握手安全性分析

在分析4步握手協(xié)議安全性之前先說明一事實。STA在進行4步握手時必須同時保持幾個握手實例，以便順利完成握手實例。

STA采用多個握手實例以便于順利完成4步握手的同時也引入了安全隱患。分析如下：AP向STA發(fā)送第一個消息1，STA收到消息1后生成隨機數(shù)SNonce，由ANonce，SNonce，PMK，AA和SPA生成PTK和MIC等，發(fā)送消息2并存儲ANonce，SNonce和PTK。由于STA允許同時運行多個握手實例，則當?shù)诙€消息1到來時，STA作同樣的處理，但這時存儲的ANonce，SNonce和PTK是最新收到的第二個消息1所對應的，第一個消息相關信息被覆蓋了。當惡意攻擊者不停的向STA發(fā)送偽造的消息1時（對于攻擊者來說這是很容易做到的，消息1是明文傳輸?shù)?，且沒有保護措施），那么4步握手過程將一直不能完成，形成了針對STA的攻擊。

為了解決上述缺陷，802.11i建議除了存儲PTK外再存儲一個TPTK，每次STA收到消息1時產(chǎn)生不同的SNonce，計算PTK并存儲ANonce，SNonce和PTK形成一個列表，當收到正確的消息3時查找列表對應的ANonce，SNonce和PTK，并清空列表。

上述建議的解決方案也有一個缺陷，由于PRF算法不是很復雜運算量不大，不易形成CPU耗盡的DOS攻擊，更容易耗盡STA的內(nèi)存造成內(nèi)存耗盡的DOS攻擊。

4 解決方案

⑴解決方案1：ANonce加密方案。AP同時產(chǎn)生ANonce和BNonce利用對稱加密算法，用PMK作為密鑰加密，加密后稱為ANonce，隨后用EAPOL-key幀發(fā)送加密隨機數(shù)ANonce，ANonce，序列號和時戳等，ANonce包含在msg1中。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，用已知的PMK解密ANonce，查找解密ANonce的前半部分是否和ANonce一直，如果一致則認為數(shù)據(jù)合法，從msg1中提取ANonce作為AP發(fā)送的Nonce保存、BNonce丟棄。如果檢測前部分和ANonce不同則丟棄該幀。STA接受到的消息1中即使有部分元素被篡改，AP接收到對應的消息2后也會將其丟棄，不會影響握手進程。STA收到消息1后產(chǎn)生隨機數(shù)SNonce，由ANonce、SNonce、AA、SPA和PMK等生成PTK，進而生成MIC，發(fā)送信息2并存儲ANonce，SNonce和MIC。接下來同原協(xié)議一樣順序執(zhí)行。

對于方案1，由于引入了PMK作為密鑰的加密方案，攻擊者并不知道PMK和BNonce，無法偽造加密的ANonce從而可以有效的避免惡意攻擊行為。該方案只需對隨機數(shù)產(chǎn)生部分做一定的改進，加密算法可以采用AES算法加密，對軟件更改要求較少，并不涉及硬件部分。

⑵解決方案2：消息1完整性檢測方案。注釋：AP的PMK由AS和STA在認證完成后有AS發(fā)送到AP的，此方案需要在AS向AP發(fā)送PMK時一并發(fā)送STA的MAC地址SPA.

AP同時產(chǎn)生ANonce和BNonce，其中ANonce包含在msg1中，AP此時已知SPA，利用ANonce，BNonce，AA，SPA和PMK利用PRF函數(shù)生成PTK和對應的MIC值用以保護消息1的完整性，最后將ANonce，BNonce，sn，msg1和MIC等一起發(fā)送至STA。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，利用ANonce，BNonce等生成PTK，用以檢驗MIC值，當MIC相同時接受消息1，同時提取出ANonce作為AP的Nonce，當MIC不同時則丟棄該幀。此后STA產(chǎn)生SNonce，并和提取到的ANonce，AA，SPA，PMK等生成PTK，進而生成MIC，發(fā)送msg2，sn，SNonce等并存儲ANonce，SNonce，MIC等。此后過程同原協(xié)議。

對方案2的改進方案原理是模仿消息2，3，4引入消息1的完整性檢測機制，使得攻擊者無法偽造消息1，具有很高的安全性，可以起到保護STA免于攻擊的目的。該方案對軟件部分改動很少，對硬件部分沒有改變，具有很強的可行性。

結論：IEEE 802.11具有很好的安全性，在數(shù)據(jù)加密和認證接入都有不錯的表現(xiàn)，僅在4步握手過程中存在漏洞，使其易受到攻擊。本文從改進消息1明文傳輸和消息來源認證出發(fā)，對4步握手協(xié)議作了部分改進，使得STA免受DOS攻擊，提高了網(wǎng)絡的安全性。

[參考文獻]

[1]曹利，黃海斌.基于802.11i的四次握手協(xié)議的攻擊分析[J].計算機工程，2009年5月第35卷第10期.

[2]楊哲.無線網(wǎng)絡安全攻防實戰(zhàn)進階[M].北京：電子工業(yè)出版社，2011.