802.11i 4步握手協議攻擊分析和改進

郭思娟

摘 要：802.11i是最新版本的WLAN安全協議，提供機密性、完整性檢測和相互認證機制。但期在四步握手協議認證過程可能會出現漏洞。對此本文提出了兩種改進的方法，即.ANonce加密方法與消息1完整性檢測方法，最后對改進機制的安全性進行了分析。

關鍵詞：無線局域網；IEEE802.11i；四步握手協議

WLAN由于其可移動性、方便的接入方式和低廉的價格在普通家庭和企業辦公室間快速的普及。802.11協議是IEEE為WLAN制定的協議標準。WPA協議分為家庭和企業兩個版本，企業版本的WPA認證協議在相當長的一段時間內被認為是安全的認證方式，直到四步握手協議的漏洞被發現1-2。802.11i安全協議的提出正是基于此，802.11i采用CCMP協議的AES加密算法，具有更高的安全性。

1 802.11i簡介

在數據加密方面，802.11i協議采用AES加密算法。在接入認證方面，802.11i采用802.1x基于端口的擴展認證協議，該協議包括三個認證實體，認證服務器，站點和認證者，在認證過程中AP起到傳遞認證數據包的作用，具體的認證工作在AS和STA間完成，當認證完成后生成主密鑰，AS將PMK發送到AP，以便AP和STA完成4步握手協議。

802.11i采用雙向認證方式，即站點和接入點相互認證。在密鑰管理方面，80.11i的密鑰管理機制中最重要的是四次握手協議和組密鑰更新協議。四次握手的目的是確保STA和AP均擁有在認證期間產生相同的PMK，從而獲得最新的臨時會話密鑰。

2 四步握手協議

四次握手協議是密鑰管理機制中最主要的組成部分，主要目的是確定STA和AP得到的PMK是相同且最新的，以保證可以產生最新的PTK，其中PMK在認證結束時由STA和AP協商生成。密鑰協商過程均用EAPOL-KEY幀格式封裝。過程如圖1。

注釋：msg為消息，sn為序列號，MIC為PTK對應的消息完整性檢測值

⑴消息l：AP產生隨機數ANonce，ANonce通過EAPOL-Key幀發送，其中包括ANonce大隨機數，時戳和序列號等，Msg1采用明文傳輸。序列號字段為密鑰重放計數，在建立連接和重連接時初始化為0，序列號可以防止重放攻擊。

⑵消息2：當STA接收到msg1后首先檢測該幀是否為沖重放幀，如果不是則產生SNonce，由ANonce、SNonce和PMK等使用偽隨機函數PRF生產384bit的PTK，通過EAPOL-Key幀發送消息2。Msg2包含sn、SNonce和MIC等，同時存儲ANonce、SNonce和PTK。PTK計算公式1

⑶消息3：AP接受到消息2后通過sn檢測是否為重放幀，如果不是，通過MIC值檢測msg2的完整性，MIC檢測通過后提取網絡安全元素相關信息，構造并發送msg3相關信息msg3，sn，MIC等。

⑷消息4：：當STA收到msg3后校驗sn和MIC值，當sn和MIC值檢測都通過后，提取RSNIE相關信息，并安裝PTK。發送確認msg4 STA的PTK已經安裝。

3 四步握手安全性分析

在分析4步握手協議安全性之前先說明一事實。STA在進行4步握手時必須同時保持幾個握手實例，以便順利完成握手實例。

STA采用多個握手實例以便于順利完成4步握手的同時也引入了安全隱患。分析如下：AP向STA發送第一個消息1，STA收到消息1后生成隨機數SNonce，由ANonce，SNonce，PMK，AA和SPA生成PTK和MIC等，發送消息2并存儲ANonce，SNonce和PTK。由于STA允許同時運行多個握手實例，則當第二個消息1到來時，STA作同樣的處理，但這時存儲的ANonce，SNonce和PTK是最新收到的第二個消息1所對應的，第一個消息相關信息被覆蓋了。當惡意攻擊者不停的向STA發送偽造的消息1時（對于攻擊者來說這是很容易做到的，消息1是明文傳輸的，且沒有保護措施），那么4步握手過程將一直不能完成，形成了針對STA的攻擊。

為了解決上述缺陷，802.11i建議除了存儲PTK外再存儲一個TPTK，每次STA收到消息1時產生不同的SNonce，計算PTK并存儲ANonce，SNonce和PTK形成一個列表，當收到正確的消息3時查找列表對應的ANonce，SNonce和PTK，并清空列表。

上述建議的解決方案也有一個缺陷，由于PRF算法不是很復雜運算量不大，不易形成CPU耗盡的DOS攻擊，更容易耗盡STA的內存造成內存耗盡的DOS攻擊。

4 解決方案

⑴解決方案1：ANonce加密方案。AP同時產生ANonce和BNonce利用對稱加密算法，用PMK作為密鑰加密，加密后稱為ANonce，隨后用EAPOL-key幀發送加密隨機數ANonce，ANonce，序列號和時戳等，ANonce包含在msg1中。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，用已知的PMK解密ANonce，查找解密ANonce的前半部分是否和ANonce一直，如果一致則認為數據合法，從msg1中提取ANonce作為AP發送的Nonce保存、BNonce丟棄。如果檢測前部分和ANonce不同則丟棄該幀。STA接受到的消息1中即使有部分元素被篡改，AP接收到對應的消息2后也會將其丟棄，不會影響握手進程。STA收到消息1后產生隨機數SNonce，由ANonce、SNonce、AA、SPA和PMK等生成PTK，進而生成MIC，發送信息2并存儲ANonce，SNonce和MIC。接下來同原協議一樣順序執行。

對于方案1，由于引入了PMK作為密鑰的加密方案，攻擊者并不知道PMK和BNonce，無法偽造加密的ANonce從而可以有效的避免惡意攻擊行為。該方案只需對隨機數產生部分做一定的改進，加密算法可以采用AES算法加密，對軟件更改要求較少，并不涉及硬件部分。

⑵解決方案2：消息1完整性檢測方案。注釋：AP的PMK由AS和STA在認證完成后有AS發送到AP的，此方案需要在AS向AP發送PMK時一并發送STA的MAC地址SPA.

AP同時產生ANonce和BNonce，其中ANonce包含在msg1中，AP此時已知SPA，利用ANonce，BNonce，AA，SPA和PMK利用PRF函數生成PTK和對應的MIC值用以保護消息1的完整性，最后將ANonce，BNonce，sn，msg1和MIC等一起發送至STA。

STA收到消息1后，首先檢查sn查看消息1是否重放，檢查通過后，利用ANonce，BNonce等生成PTK，用以檢驗MIC值，當MIC相同時接受消息1，同時提取出ANonce作為AP的Nonce，當MIC不同時則丟棄該幀。此后STA產生SNonce，并和提取到的ANonce，AA，SPA，PMK等生成PTK，進而生成MIC，發送msg2，sn，SNonce等并存儲ANonce，SNonce，MIC等。此后過程同原協議。

對方案2的改進方案原理是模仿消息2，3，4引入消息1的完整性檢測機制，使得攻擊者無法偽造消息1，具有很高的安全性，可以起到保護STA免于攻擊的目的。該方案對軟件部分改動很少，對硬件部分沒有改變，具有很強的可行性。

結論：IEEE 802.11具有很好的安全性，在數據加密和認證接入都有不錯的表現，僅在4步握手過程中存在漏洞，使其易受到攻擊。本文從改進消息1明文傳輸和消息來源認證出發，對4步握手協議作了部分改進，使得STA免受DOS攻擊，提高了網絡的安全性。

[參考文獻]

[1]曹利，黃海斌.基于802.11i的四次握手協議的攻擊分析[J].計算機工程，2009年5月第35卷第10期.

[2]楊哲.無線網絡安全攻防實戰進階[M].北京：電子工業出版社，2011.