IEEE 802.11的安全性研究现状

李航 单洪

摘要：无线网络因其可以支持用户的移动性而成为重要的网络通信技术。802.11系列协议是IEEE定义的无线通信协议相关标准，针对无线网络面临的安全威胁，调研了相关研究情况，总结概述了802.11网络协议的发展及其遭受的攻击类型，并介绍了几种新的攻击模式。然后介绍了几种基于访问控制和机密性保护的安全防护技术及入侵检测系统（IDS）相关技术研究现状。

关键词： 802.11;安全;攻击;防护;入侵检测

中图分类号：TP391        文献标识码：A

文章编号：1009-3044（2019）26-0050-03

开放科学（资源服务）标识码（OSID）：

Abstract：WLAN has become the important technology because it can support the mobility of users. After a brief overview of the development of 802.11 network protocol and the types of attacks it suffered， several new attack modes are also introduced.Then we give some security technology based on access control and confidentiality， and focused on the intrusion detection system.

Key words：802.11; security; attack; protection;intrusion detection

1 引言

无线局域网（WLAN）是现代无线通信技术在计算机网络中的应用。它通过无线多址通道有效支持计算机之间的通信，并提供了实现通信的移动性、个性化和多媒体应用的手段。目前，WLAN已经成为网络连接的一个重要方式，它为办公室、商业环境、机场、大学和家庭等提供无线传输通信服务。最常见的WLAN标准是IEEE定义的802.11系列标准[1]，IEEE 802.11定义了WLAN的物理层和媒体访问子层MAC层的规范。802.11家族的Wi-Fi是局域网连接最知名的标准。Wi-fi中接入点（Access Point，AP）实现的无线接入功能采用IEE了E802.11技术。

随着技术的进步和无线网络不断变化的需求，IEEE 802.11协议套件不断引入新的技术标准。到目前为止，它已发展到26个标准。主要包括IEEE802.11，IEEE802.11a，IEEE802.11b，IEEE802.11g和IEEE802.11n以及最新的IEEE802.11c，IEE802.11ad，IEE802.11ae等标准。

在本文中，我们分析了802.11系列协议的诞生和发展，并探讨了可能的攻击和相应的防御技术。

2  802.11协议概述

2.1  网络架构概述

在wi-fi网络中，特别是Ad-Hoc网络[2]，节点的移动性和安全性是我们关注的两个重要特征。Wi-Fi模块包括两种类型的拓扑：Infra和Ad-Hoc网络。为了说明无线网络的拓扑结构，我们必须首先接受两个基本概念：

（1）接入点（AP）：无线网络的创建者和网络的中心节点。家庭或办公室中使用的无线路由器常见的工作模式就是作为AP提供无线接入服务。AP可以连接到另一个AP来构建Infra网络。

（2）站（STA）：连接到无线网络的每个终端可以称为站。

Infra，也称为基本网络，是由AP和许多STA组成的无线网络。这种网络的特点是AP是整个网络的中心，网络中的所有通信都是由AP转发的。Ad-Hoc，也称为Ad-Hoc网络，由两个或更多个STA形成。这种类型的网络结构松散。

2.2   802.11协议中的安全机制

有线等效保密协议（WEP）是第一版802.11协议中唯一的安全机制。它用于防止非法用户窃听或入侵无线网络。通过密码分析程序已发现WEP一些显着缺陷，WEP协议已于2003年被无线应用协议（WAP）取代。WEP有两种身份验证方式：开放系统身份验证和共享密钥身份验证。前者不需要提供信任凭证，在这种情况下，协议不提供安全性，通常需要依靠白名单来识别连接目标。后者更复杂，通过双方协商建立共享密钥，在这种情况下仍存在一定的安全风险。WEP协议依赖于RC4协议来保证其机密性，这通常依赖于静态密钥。其特定的加密协议分为WEP-40和WEP-104。[1]

WiFi访问保护（WPA）是一种安全通信协议，旨在提高WEP的安全性，有WPA和WPA2两个标准。其中最重要的部分是临时密钥完整性协议（TKIP）或高级加密标准（AES）。WAP协议还考虑并提出了通过802.1X框架和可扩展认证协议（EAP）进行相互认证的解决方案。

在WPA2安全协议中，所有密钥都是从单个密钥派生的，该密钥位于所有结构的最高级别，并且可以分为预共享密钥（PSK）和主会话密钥（MSK）。在WPA2协议中使用此最高级别的密钥来生成在连接建立过程中不直接用于加密或完整性检查的其他密钥。具体的加密过程可以在文献中找到。WPA2支持三种类型的替代协议来保护网络流量：临时完整性协议（TKIP），计数器模式/加密块连接消息身份验证协议（CCMP）和无限稳健身份验证协议（WRAP）。在上文中，我们提到了WEP协议，并且TKIP协议可以被视为RC4协议的高级版本。CCMP基于AES算法，该算法使用128位明文块对明文进行加密，然后使用相同的128位密钥对其进行加密。另一方面，使用CBC-MAC技术计算MIC，该技术在明文的末尾加密。

2009年批准的802.11w修正案解决了无保护的802.11i管理框架问题，例如未经授权的实体发起的DOS攻击。在802.11w修正案中，引入了加密保护版本的管理框架，并命名为鲁棒管理框架（RMF）机制来解决这些问题。在802.11w中，（RSN IE）字段被扩展两位（第六和第七位）并且分别对应于需要管理帧保护和管理帧保护能力的标志。

单播管理帧受PTK保护，对于广播管理帧，必须引入新的加密密钥，即完整性组临时密钥（IGTK）。后者用于MIC信息元素。MIC包括分组ID，IGTK密钥ID，序列号（IPN），以及从分组的MAC报头和有效载荷导出的加密哈希。IPN可防止在过去使用相同IPN时丢弃的播放帧。

3 IEEE 802.11的攻击方法

当WLAN具有以下特征时，它容易受到安全威胁：（a）未加密的无线流量，（b）易受攻击的WEP和WPA预共享密钥，（c）未授权的接入点，（d）易于绕过的MAC地址控制，（e）可以自行触摸的无线设备，（f）默认配置设置。

IEEE802.11常见的几种类型的攻击：

1）密文流的被动攻击和解密：在这种形式的攻击中，攻击者通常离线并被动地拦截数据。在这种情况下，无法发现攻击形式。但是，在攻击者完成离线操作后，它将使用密钥和其他信息进行注入。在这种情况下，可能会暴露攻击过程。特定的攻击形式，如FMS攻击[3]，是WEP密钥的攻击形式。这种攻击的原理是可以预测加密密钥的前n + 1个字节。还有KoreK攻击家族[4]，这是与先前攻击相同类型的攻击，创建有限概率初始空间并使用强力方法进行计算。

2）主动攻击逐个进入密文流：如果攻击者知道加密消息的确切明文，那幺他可以使用它来构建正确的加密数据包。该过程包括：构造新消息，计算CRC32，将初始加密消息的比特数据改变为新消息的明文，将分组发送到接入点或移动终端，最后将分组视为正确的数据。收到包裹。这会将非法流量注入网络，从而增加网络负载。如果非法流量的数量很大，网络将会过载，将出现严重的拥塞问题，整个网络将完全瘫痪。这种类型的攻击的实例如ChopChop Attack[5]、碎片攻击[6]、Caffe Latte Attack[7]，此外，2017年，有研究者发表了一篇论文，揭露了破解WAP2中4次握手过程[8]。

3）对收发器两端的主动攻击：在这种情况下，攻击者可以猜测消息的具体内容而不是猜测报头。通过获取目标地址信息，利用此信息，攻击者可以更改目标IP地址，并将数据包发送到使用未经授权的移动控制终端。由于大多数无线设备都连接到Internet，因此接入点会成功解密此数据包，然后通过网关和路由器将未加密的数据包转发给攻击者的计算机。如果数据包的TCP包头被解密，则可以将数据包的目标端口号更改为80，将无阻碍地通过大多数防火墙。

4）基于字典的攻击[9]：字典攻击被广泛用于检索WPA / WPA2密钥并具有较高的成功率。由于初始化向量的值空间相对较小，因此攻击者可以构建解密表。一旦知道了数据包的明文，就可以计算出使用的初始化变量生成的RCA密钥流。此密钥流可以解密使用相同初始化变量的所有数据包。很可能在一段时间之后，通过使用上述技术，攻击者可以建立初始化变量和密钥流的比较表。

5）DoS攻击：DoS攻击也是对WLAN的真正威胁。如果非法流量覆盖了所有频段，则合法流量无法到达用户或接入点。通过这种方式，如果有适当的设备和工具，攻击者可以轻松地在2.4 GHz频段上实施泛洪攻击，破坏信号特征，直到无线局域网可用性遭到破坏。反身份验证攻击（Deauthentication Attack）被认为是DoS攻击最常用的形式，除了反身份验证攻击还有反身份验证广播攻击 [10]、Block Ack Flood[11]、身份验证请求Flood攻击[12]、假节电攻击[13]、CTS Flood攻击和TTack、RTS泛洪攻击[14][15]、信标泛洪攻击[16]、探头请求泛洪攻击[17]等都是WLAN常见的Dos攻击方法。

6）强制服务和执行：无线网络的传输容量有限。基于IEEE802.11b标准的WLAN具有11Mbps的速率，而基于IEEE802.11标准的WLAN具有54Mbps的速率。容量由同一连接点的所有用户共享。由于传输介质层位于上层，实际有效速率是正常的一半。不难想象本地应用程序可能受到此类容量的限制，或者攻击者可以利用有限的资源发起拒绝服务攻击。

4  IEEE802.11中的安全防护技术

我们可以使用入侵检测系统作为安全方案之后的第二道防线。张永光和Weeke Lee提出了一种基于Agent的分布式协同入侵检测方案[18].在该方案中，IDS代理在网络中的每个节点上运行，并具有六个功能模块，即数据收集、本地检测、协作检测、本地入侵响应、全局入侵响应和安全通信。Oleg Kachirski和Ratan Guha提出了一种基于移动代理的入侵检测方案[19].Chin-yang Tseng等提出了一种基于规范的入侵检测方案[20]。针对802.11的安全防护还可以使用远程拨号访问用户身份验证协议（RADIUS），个人防火墙和基于生物识别技术来增强IEEE802.11协议。

5 结论

本文简要总结了IEEE协议群的开发过程，介绍了WEP和WPA / WPA2等主要的IEEE802.11安全机制。无线局域网的四个主要方面是威胁：窃听行为、黑客、非法用户访问、无线病毒等。

参考文献：

[1] IEEE. 802.11-1997 IEEE Standard for Information Technology， Telecommunications and Information Ex- change Between Systems-Local and Metropolitan Area Networks-Specific Requirements-Part 11： Wireless LAN Medium Access Control （MAC） and Physical Layer （PHY） Specifications. Nov. 2014. URL： http：//ieeexplore.ieee.org/xpl/articleDetails.jsp？arnumber=654749.

[2] C. E. Perkins， Ad hoc networking. Addison-wesley Reading， 2001.

[3] S. Fluhrer， I. Mantin， and A. Shamir， "Weaknesses in the key scheduling algorithm of RC4，" in International Workshop on Selected Areas in Cryptography， 2001， pp. 1-24： Springer.

[4] R. Chaabouni， "Break WEP faster with statistical analysis，" 2006.

[5] K. Kore， "chopchop （experimental WEP attacks），" http：//www. netstumbler. org/showthread. php？ t= 12489， 2004.

[6] A. Bittau， "The fragmentation attack in practice，" in IEEE Symposium on Security and Privacy， IEEE Computer Society， 2005.

[7] M. S. Ahmad and V. Ramachandran， "Cafe latte with a free topping of cracked wep retrieving wep keys from road warriors，" in Proc. Conf. ToorCon， 2007.

[8] M. Vanhoef and F. Piessens， "Key reinstallation attacks： Forcing nonce reuse in WPA2，" in Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security， 2017， pp. 1313-1328： ACM.

[9] R. Moskowitz， "Weakness in passphrase choice in WPA interface，" http：//wifinetnews. com/archives/2003/11/weakness_in_passphrase_choice_in_wpa_interface. html， 2003.

[10] T. D. Nguyen， D. H. Nguyen， B. N. Tran， H. T. Vu， and N. Mittal， "A Lightweight Solution for Defending Against Deauthentication/Disassociation Attacks on 802.11 Networks，" in ICCCN， 2008， pp. 185-190.

[11] I. Tinnirello and S. Choi， "Efficiency analysis of burst transmissions with block ACK in contention-based 802.11 e WLANs，" in ICC， 2005， vol. 5， pp. 3455-3460.

[12] C. Liu， J. Yu， and G. Brewster， "Empirical studies and queuing modeling of denial of service attacks against 802.11 WLANs，" in World of Wireless Mobile and Multimedia Networks （WoWMoM）， 2010 IEEE International Symposium on a， 2010， pp. 1-9： IEEE.

[13] L. F. Meiners， "But... my station is awake！ Power Save Denial of Service in 802.11 Networks，" ed： September， 2009.

[14] M. Malekzadeh， A. A. Ghani， J. Desa， and S. Subramaniam， "Empirical analysis of virtual carrier sense flooding attacks over wireless local area network，" Journal of Computer science， vol. 5， no. 3， p. 214， 2009.

[15] S. S. Sawwashere and S. U. Nimbhorkar， "Survey of RTS-CTS Attacks in Wireless Network，" in Communication Systems and Network Technologies （CSNT）， 2014 Fourth International Conference on， 2014， pp. 752-755： IEEE.

[16] A. Martínez et al.， "Beacon frame spoofing attack detection in IEEE 802.11 networks，" in 2008 Third International Conference on Availability， Reliability and Security， 2008， pp. 520-525： IEEE.

[17] F. Ferreri， M. Bernaschi， and L. Valcamonici， "Access points vulnerabilities to DoS attacks in 802.11 networks，" in Wireless Communications and Networking Conference， 2004. WCNC. 2004 IEEE， 2004， vol. 1， pp. 634-638： IEEE.

[18] Y. Zhang and W. Lee， "Intrusion detection in wireless ad-hoc networks，" in Proceedings of the 6th annual international conference on Mobile computing and networking， 2000， pp. 275-283： ACM.

[19] O. Kachirski and R. Guha， "Intrusion detection using mobile agents in wireless ad hoc networks，" in Knowledge Media Networking， 2002. Proceedings. IEEE Workshop on， 2002， pp. 153-158： IEEE.

[20] C.-Y. Tseng， P. Balasubramanyam， C. Ko， R. Limprasittiporn， J. Rowe， and K. Levitt， "A specification-based intrusion detection system for AODV，" in Proceedings of the 1st ACM workshop on Security of ad hoc and sensor networks， 2003， pp. 125-134： ACM.

【通联编辑：代影】