IEEE 802.11的安全性研究現(xiàn)狀

李航 單洪

摘要：無線網(wǎng)絡因其可以支持用戶的移動性而成為重要的網(wǎng)絡通信技術(shù)。802.11系列協(xié)議是IEEE定義的無線通信協(xié)議相關(guān)標準，針對無線網(wǎng)絡面臨的安全威脅，調(diào)研了相關(guān)研究情況，總結(jié)概述了802.11網(wǎng)絡協(xié)議的發(fā)展及其遭受的攻擊類型，并介紹了幾種新的攻擊模式。然后介紹了幾種基于訪問控制和機密性保護的安全防護技術(shù)及入侵檢測系統(tǒng)（IDS）相關(guān)技術(shù)研究現(xiàn)狀。

關(guān)鍵詞： 802.11;安全;攻擊;防護;入侵檢測

中圖分類號：TP391? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）26-0050-03

開放科學（資源服務）標識碼（OSID）：

Abstract：WLAN has become the important technology because it can support the mobility of users. After a brief overview of the development of 802.11 network protocol and the types of attacks it suffered， several new attack modes are also introduced.Then we give some security technology based on access control and confidentiality， and focused on the intrusion detection system.

Key words：802.11; security; attack; protection;intrusion detection

1 引言

無線局域網(wǎng)（WLAN）是現(xiàn)代無線通信技術(shù)在計算機網(wǎng)絡中的應用。它通過無線多址通道有效支持計算機之間的通信，并提供了實現(xiàn)通信的移動性、個性化和多媒體應用的手段。目前，WLAN已經(jīng)成為網(wǎng)絡連接的一個重要方式，它為辦公室、商業(yè)環(huán)境、機場、大學和家庭等提供無線傳輸通信服務。最常見的WLAN標準是IEEE定義的802.11系列標準[1]，IEEE 802.11定義了WLAN的物理層和媒體訪問子層MAC層的規(guī)范。802.11家族的Wi-Fi是局域網(wǎng)連接最知名的標準。Wi-fi中接入點（Access Point，AP）實現(xiàn)的無線接入功能采用IEE了E802.11技術(shù)。

隨著技術(shù)的進步和無線網(wǎng)絡不斷變化的需求，IEEE 802.11協(xié)議套件不斷引入新的技術(shù)標準。到目前為止，它已發(fā)展到26個標準。主要包括IEEE802.11，IEEE802.11a，IEEE802.11b，IEEE802.11g和IEEE802.11n以及最新的IEEE802.11c，IEE802.11ad，IEE802.11ae等標準。

在本文中，我們分析了802.11系列協(xié)議的誕生和發(fā)展，并探討了可能的攻擊和相應的防御技術(shù)。

2? 802.11協(xié)議概述

2.1? 網(wǎng)絡架構(gòu)概述

在wi-fi網(wǎng)絡中，特別是Ad-Hoc網(wǎng)絡[2]，節(jié)點的移動性和安全性是我們關(guān)注的兩個重要特征。Wi-Fi模塊包括兩種類型的拓撲：Infra和Ad-Hoc網(wǎng)絡。為了說明無線網(wǎng)絡的拓撲結(jié)構(gòu)，我們必須首先接受兩個基本概念：

（1）接入點（AP）：無線網(wǎng)絡的創(chuàng)建者和網(wǎng)絡的中心節(jié)點。家庭或辦公室中使用的無線路由器常見的工作模式就是作為AP提供無線接入服務。AP可以連接到另一個AP來構(gòu)建Infra網(wǎng)絡。

（2）站（STA）：連接到無線網(wǎng)絡的每個終端可以稱為站。

Infra，也稱為基本網(wǎng)絡，是由AP和許多STA組成的無線網(wǎng)絡。這種網(wǎng)絡的特點是AP是整個網(wǎng)絡的中心，網(wǎng)絡中的所有通信都是由AP轉(zhuǎn)發(fā)的。Ad-Hoc，也稱為Ad-Hoc網(wǎng)絡，由兩個或更多個STA形成。這種類型的網(wǎng)絡結(jié)構(gòu)松散。

2.2? ?802.11協(xié)議中的安全機制

有線等效保密協(xié)議（WEP）是第一版802.11協(xié)議中唯一的安全機制。它用于防止非法用戶竊聽或入侵無線網(wǎng)絡。通過密碼分析程序已發(fā)現(xiàn)WEP一些顯著缺陷，WEP協(xié)議已于2003年被無線應用協(xié)議（WAP）取代。WEP有兩種身份驗證方式：開放系統(tǒng)身份驗證和共享密鑰身份驗證。前者不需要提供信任憑證，在這種情況下，協(xié)議不提供安全性，通常需要依靠白名單來識別連接目標。后者更復雜，通過雙方協(xié)商建立共享密鑰，在這種情況下仍存在一定的安全風險。WEP協(xié)議依賴于RC4協(xié)議來保證其機密性，這通常依賴于靜態(tài)密鑰。其特定的加密協(xié)議分為WEP-40和WEP-104。[1]

WiFi訪問保護（WPA）是一種安全通信協(xié)議，旨在提高WEP的安全性，有WPA和WPA2兩個標準。其中最重要的部分是臨時密鑰完整性協(xié)議（TKIP）或高級加密標準（AES）。WAP協(xié)議還考慮并提出了通過802.1X框架和可擴展認證協(xié)議（EAP）進行相互認證的解決方案。

在WPA2安全協(xié)議中，所有密鑰都是從單個密鑰派生的，該密鑰位于所有結(jié)構(gòu)的最高級別，并且可以分為預共享密鑰（PSK）和主會話密鑰（MSK）。在WPA2協(xié)議中使用此最高級別的密鑰來生成在連接建立過程中不直接用于加密或完整性檢查的其他密鑰。具體的加密過程可以在文獻中找到。WPA2支持三種類型的替代協(xié)議來保護網(wǎng)絡流量：臨時完整性協(xié)議（TKIP），計數(shù)器模式/加密塊連接消息身份驗證協(xié)議（CCMP）和無限穩(wěn)健身份驗證協(xié)議（WRAP）。在上文中，我們提到了WEP協(xié)議，并且TKIP協(xié)議可以被視為RC4協(xié)議的高級版本。CCMP基于AES算法，該算法使用128位明文塊對明文進行加密，然后使用相同的128位密鑰對其進行加密。另一方面，使用CBC-MAC技術(shù)計算MIC，該技術(shù)在明文的末尾加密。

2009年批準的802.11w修正案解決了無保護的802.11i管理框架問題，例如未經(jīng)授權(quán)的實體發(fā)起的DOS攻擊。在802.11w修正案中，引入了加密保護版本的管理框架，并命名為魯棒管理框架（RMF）機制來解決這些問題。在802.11w中，（RSN IE）字段被擴展兩位（第六和第七位）并且分別對應于需要管理幀保護和管理幀保護能力的標志。

單播管理幀受PTK保護，對于廣播管理幀，必須引入新的加密密鑰，即完整性組臨時密鑰（IGTK）。后者用于MIC信息元素。MIC包括分組ID，IGTK密鑰ID，序列號（IPN），以及從分組的MAC報頭和有效載荷導出的加密哈希。IPN可防止在過去使用相同IPN時丟棄的播放幀。

3 IEEE 802.11的攻擊方法

當WLAN具有以下特征時，它容易受到安全威脅：（a）未加密的無線流量，（b）易受攻擊的WEP和WPA預共享密鑰，（c）未授權(quán)的接入點，（d）易于繞過的MAC地址控制，（e）可以自行觸摸的無線設備，（f）默認配置設置。

IEEE802.11常見的幾種類型的攻擊：

1）密文流的被動攻擊和解密：在這種形式的攻擊中，攻擊者通常離線并被動地攔截數(shù)據(jù)。在這種情況下，無法發(fā)現(xiàn)攻擊形式。但是，在攻擊者完成離線操作后，它將使用密鑰和其他信息進行注入。在這種情況下，可能會暴露攻擊過程。特定的攻擊形式，如FMS攻擊[3]，是WEP密鑰的攻擊形式。這種攻擊的原理是可以預測加密密鑰的前n + 1個字節(jié)。還有KoreK攻擊家族[4]，這是與先前攻擊相同類型的攻擊，創(chuàng)建有限概率初始空間并使用強力方法進行計算。

2）主動攻擊逐個進入密文流：如果攻擊者知道加密消息的確切明文，那么他可以使用它來構(gòu)建正確的加密數(shù)據(jù)包。該過程包括：構(gòu)造新消息，計算CRC32，將初始加密消息的比特數(shù)據(jù)改變?yōu)樾孪⒌拿魑模瑢⒎纸M發(fā)送到接入點或移動終端，最后將分組視為正確的數(shù)據(jù)。收到包裹。這會將非法流量注入網(wǎng)絡，從而增加網(wǎng)絡負載。如果非法流量的數(shù)量很大，網(wǎng)絡將會過載，將出現(xiàn)嚴重的擁塞問題，整個網(wǎng)絡將完全癱瘓。這種類型的攻擊的實例如ChopChop Attack[5]、碎片攻擊[6]、Caffe Latte Attack[7]，此外，2017年，有研究者發(fā)表了一篇論文，揭露了破解WAP2中4次握手過程[8]。

3）對收發(fā)器兩端的主動攻擊：在這種情況下，攻擊者可以猜測消息的具體內(nèi)容而不是猜測報頭。通過獲取目標地址信息，利用此信息，攻擊者可以更改目標IP地址，并將數(shù)據(jù)包發(fā)送到使用未經(jīng)授權(quán)的移動控制終端。由于大多數(shù)無線設備都連接到Internet，因此接入點會成功解密此數(shù)據(jù)包，然后通過網(wǎng)關(guān)和路由器將未加密的數(shù)據(jù)包轉(zhuǎn)發(fā)給攻擊者的計算機。如果數(shù)據(jù)包的TCP包頭被解密，則可以將數(shù)據(jù)包的目標端口號更改為80，將無阻礙地通過大多數(shù)防火墻。

4）基于字典的攻擊[9]：字典攻擊被廣泛用于檢索WPA / WPA2密鑰并具有較高的成功率。由于初始化向量的值空間相對較小，因此攻擊者可以構(gòu)建解密表。一旦知道了數(shù)據(jù)包的明文，就可以計算出使用的初始化變量生成的RCA密鑰流。此密鑰流可以解密使用相同初始化變量的所有數(shù)據(jù)包。很可能在一段時間之后，通過使用上述技術(shù)，攻擊者可以建立初始化變量和密鑰流的比較表。

5）DoS攻擊：DoS攻擊也是對WLAN的真正威脅。如果非法流量覆蓋了所有頻段，則合法流量無法到達用戶或接入點。通過這種方式，如果有適當?shù)脑O備和工具，攻擊者可以輕松地在2.4 GHz頻段上實施泛洪攻擊，破壞信號特征，直到無線局域網(wǎng)可用性遭到破壞。反身份驗證攻擊（Deauthentication Attack）被認為是DoS攻擊最常用的形式，除了反身份驗證攻擊還有反身份驗證廣播攻擊 [10]、Block Ack Flood[11]、身份驗證請求Flood攻擊[12]、假節(jié)電攻擊[13]、CTS Flood攻擊和TTack、RTS泛洪攻擊[14][15]、信標泛洪攻擊[16]、探頭請求泛洪攻擊[17]等都是WLAN常見的Dos攻擊方法。

6）強制服務和執(zhí)行：無線網(wǎng)絡的傳輸容量有限。基于IEEE802.11b標準的WLAN具有11Mbps的速率，而基于IEEE802.11標準的WLAN具有54Mbps的速率。容量由同一連接點的所有用戶共享。由于傳輸介質(zhì)層位于上層，實際有效速率是正常的一半。不難想象本地應用程序可能受到此類容量的限制，或者攻擊者可以利用有限的資源發(fā)起拒絕服務攻擊。

4? IEEE802.11中的安全防護技術(shù)

我們可以使用入侵檢測系統(tǒng)作為安全方案之后的第二道防線。張永光和Weeke Lee提出了一種基于Agent的分布式協(xié)同入侵檢測方案[18].在該方案中，IDS代理在網(wǎng)絡中的每個節(jié)點上運行，并具有六個功能模塊，即數(shù)據(jù)收集、本地檢測、協(xié)作檢測、本地入侵響應、全局入侵響應和安全通信。Oleg Kachirski和Ratan Guha提出了一種基于移動代理的入侵檢測方案[19].Chin-yang Tseng等提出了一種基于規(guī)范的入侵檢測方案[20]。針對802.11的安全防護還可以使用遠程撥號訪問用戶身份驗證協(xié)議（RADIUS），個人防火墻和基于生物識別技術(shù)來增強IEEE802.11協(xié)議。

5 結(jié)論

本文簡要總結(jié)了IEEE協(xié)議群的開發(fā)過程，介紹了WEP和WPA / WPA2等主要的IEEE802.11安全機制。無線局域網(wǎng)的四個主要方面是威脅：竊聽行為、黑客、非法用戶訪問、無線病毒等。

參考文獻：

[1] IEEE. 802.11-1997 IEEE Standard for Information Technology， Telecommunications and Information Ex- change Between Systems-Local and Metropolitan Area Networks-Specific Requirements-Part 11： Wireless LAN Medium Access Control （MAC） and Physical Layer （PHY） Specifications. Nov. 2014. URL： http：//ieeexplore.ieee.org/xpl/articleDetails.jsp？arnumber=654749.

[2] C. E. Perkins， Ad hoc networking. Addison-wesley Reading， 2001.

[3] S. Fluhrer， I. Mantin， and A. Shamir， "Weaknesses in the key scheduling algorithm of RC4，" in International Workshop on Selected Areas in Cryptography， 2001， pp. 1-24： Springer.

[4] R. Chaabouni， "Break WEP faster with statistical analysis，" 2006.

[5] K. Kore， "chopchop （experimental WEP attacks），" http：//www. netstumbler. org/showthread. php？ t= 12489， 2004.

[6] A. Bittau， "The fragmentation attack in practice，" in IEEE Symposium on Security and Privacy， IEEE Computer Society， 2005.

[7] M. S. Ahmad and V. Ramachandran， "Cafe latte with a free topping of cracked wep retrieving wep keys from road warriors，" in Proc. Conf. ToorCon， 2007.

[8] M. Vanhoef and F. Piessens， "Key reinstallation attacks： Forcing nonce reuse in WPA2，" in Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security， 2017， pp. 1313-1328： ACM.

[9] R. Moskowitz， "Weakness in passphrase choice in WPA interface，" http：//wifinetnews. com/archives/2003/11/weakness_in_passphrase_choice_in_wpa_interface. html， 2003.

[10] T. D. Nguyen， D. H. Nguyen， B. N. Tran， H. T. Vu， and N. Mittal， "A Lightweight Solution for Defending Against Deauthentication/Disassociation Attacks on 802.11 Networks，" in ICCCN， 2008， pp. 185-190.

[11] I. Tinnirello and S. Choi， "Efficiency analysis of burst transmissions with block ACK in contention-based 802.11 e WLANs，" in ICC， 2005， vol. 5， pp. 3455-3460.

[12] C. Liu， J. Yu， and G. Brewster， "Empirical studies and queuing modeling of denial of service attacks against 802.11 WLANs，" in World of Wireless Mobile and Multimedia Networks （WoWMoM）， 2010 IEEE International Symposium on a， 2010， pp. 1-9： IEEE.

[13] L. F. Meiners， "But... my station is awake！ Power Save Denial of Service in 802.11 Networks，" ed： September， 2009.

[14] M. Malekzadeh， A. A. Ghani， J. Desa， and S. Subramaniam， "Empirical analysis of virtual carrier sense flooding attacks over wireless local area network，" Journal of Computer science， vol. 5， no. 3， p. 214， 2009.

[15] S. S. Sawwashere and S. U. Nimbhorkar， "Survey of RTS-CTS Attacks in Wireless Network，" in Communication Systems and Network Technologies （CSNT）， 2014 Fourth International Conference on， 2014， pp. 752-755： IEEE.

[16] A. Martínez et al.， "Beacon frame spoofing attack detection in IEEE 802.11 networks，" in 2008 Third International Conference on Availability， Reliability and Security， 2008， pp. 520-525： IEEE.

[17] F. Ferreri， M. Bernaschi， and L. Valcamonici， "Access points vulnerabilities to DoS attacks in 802.11 networks，" in Wireless Communications and Networking Conference， 2004. WCNC. 2004 IEEE， 2004， vol. 1， pp. 634-638： IEEE.

[18] Y. Zhang and W. Lee， "Intrusion detection in wireless ad-hoc networks，" in Proceedings of the 6th annual international conference on Mobile computing and networking， 2000， pp. 275-283： ACM.

[19] O. Kachirski and R. Guha， "Intrusion detection using mobile agents in wireless ad hoc networks，" in Knowledge Media Networking， 2002. Proceedings. IEEE Workshop on， 2002， pp. 153-158： IEEE.

[20] C.-Y. Tseng， P. Balasubramanyam， C. Ko， R. Limprasittiporn， J. Rowe， and K. Levitt， "A specification-based intrusion detection system for AODV，" in Proceedings of the 1st ACM workshop on Security of ad hoc and sensor networks， 2003， pp. 125-134： ACM.

【通聯(lián)編輯：代影】