802.11有線等效保密（Wird Equivalent Privacy计盒，WEP）是一種無限局域網(wǎng)安全機制渴频，用于實現(xiàn)接入控制芽丹、數(shù)據(jù)加密和數(shù)據(jù)完整性檢驗北启。
但WEP一是只能實現(xiàn)AP對終端的單向身份鑒別。
二是用CRC-32作為完整性檢驗值（后面會講到怎么破解這個CRC完整性檢驗）會導(dǎo)致接收端無法檢驗出已經(jīng)發(fā)生的篡改拔第，因此咕村，WEP是一種存在安全缺陷的無線局域網(wǎng)安全機制。

1.WEP加密和完整性檢驗過程

WEP加密數(shù)據(jù)的過程如圖一所示蚊俺。40位秘鑰（也可以是104位秘鑰）和24位初始向量（IV）串拼接在一起懈涛，構(gòu)成64位或者128位隨機種子秘鑰，偽隨機數(shù)生成器（PRNG泳猬，這就好比我們在編程時候使用的隨機函數(shù)一樣批钠，在使用的時候往往我們都應(yīng)該添加一個隨機數(shù)種子）根據(jù)隨機數(shù)種子產(chǎn)生一次性秘鑰，一次性秘鑰的長度等于數(shù)據(jù)長度+4（單位為字節(jié)）得封。4字節(jié)的完整性檢驗值是數(shù)據(jù)的32位循環(huán)冗余碼（Cyclic Redundancy Check埋心，CRC），可以用CRC-32表示忙上，它的作用是實現(xiàn)數(shù)據(jù)的完整性檢驗拷呆。如果不知道CRC檢驗原理的同學(xué)可以去適當(dāng)百度一下。一次性秘鑰和隨機數(shù)種子是一對一的關(guān)系，為什么是這樣的就和偽隨機數(shù)生成器的原理是有關(guān)的茬斧，這里不懂請百度偽"偽隨機數(shù)生成器"腰懂，只要隨機數(shù)種子改變，一次性秘鑰跟著改變项秉。這里的原理是因為IV在每次進行傳輸?shù)臅r候每次都是取的一個隨機值绣溜。構(gòu)成隨機數(shù)種子的64位或者128位二進制數(shù)中，40位或者104位秘鑰是固定不變的娄蔼，改變的只能是24位的初始向量涮毫，那么進而說明：隨機數(shù)種子就有 2^24 種不同的組合，一次性秘鑰也就有 2^24 種不同組合贷屎。

為了使接收端能夠產(chǎn)生相同的一次性秘鑰罢防，必須讓接收端和發(fā)送端同步隨機數(shù)種子。WEP要求發(fā)送端和接收端具有相同的40位或者104位秘鑰唉侄，因此咒吐，只要同步初始向量，就能同步隨機數(shù)種子属划。為此恬叹，發(fā)送端將24位初始向量以明文的方式發(fā)送給接收端。為了保證數(shù)據(jù)傳輸?shù)陌踩校仨毭恳淮胃鼡Q一次性秘鑰绽昼，因此，每一次加密數(shù)據(jù)都需要使用不同的初始向量须蜗，也就是說每次使用不一樣的一次性秘鑰硅确。

圖一

WEP解密數(shù)據(jù)和完整性檢驗的過程如圖二所示，接收端將配置的40位或104位和MAC幀攜帶的24位初始向量串接成64位或者128位隨機數(shù)種子明肮，位隨機數(shù)生成器根據(jù)這隨機數(shù)種子產(chǎn)生一次性秘鑰菱农，其長度等于密文長度，密文和一次性秘鑰異或運算的結(jié)果是數(shù)據(jù)明文和4字節(jié)的完整性檢驗值柿估。同樣循未，根據(jù)數(shù)據(jù)和生成器函數(shù)G(x)計算出數(shù)據(jù)的32位循環(huán)冗余檢驗碼，并計算結(jié)果和MAC幀攜帶的完整性檢驗值比較秫舌，如果相等的妖，表示數(shù)據(jù)傳輸過程中沒有被篡改或損壞。

圖二

2.WEP幀結(jié)構(gòu)

經(jīng)過WEP加密運算后的無線局域網(wǎng)幀結(jié)構(gòu)如圖三所示足陨，一旦控制字段中WEP位置1嫂粟，原來由數(shù)據(jù)組成的凈荷字段擴展成如圖三所示的格式，它由明文方式的24位IV钠右，6位填充位赋元，兩位秘鑰標識符，若干字節(jié)由數(shù)據(jù)加密后生成的密文，以及4字節(jié)由完整性檢驗值(ICV)加密后生成的密文組成搁凸。填充位固定為0媚值，兩位秘鑰標識符允許發(fā)送端和接收端在四個秘鑰中選擇一個用于當(dāng)前MAC幀加密運算的秘鑰，ICV的計算方式與MAC幀的幀檢驗序列(Frame Check Sequence, FCS)字段相同护糖。都是CRC循環(huán)冗余檢驗碼褥芒。

圖三

后面會討論，由于ICV是根據(jù)數(shù)據(jù)明文計算出的CRC-32嫡良，篡改這能夠通過精心篡改數(shù)據(jù)密文和加密后的ICV锰扶，使得接收端無法檢測出數(shù)據(jù)密文進行的篡改。因此寝受，用CRC-32作為ICV坷牛，是無法保證進過無線局域網(wǎng)傳輸?shù)臄?shù)據(jù)的完整性。

3.WEP鑒別機制

WEP定義了兩種鑒別機制：

1. 開放系統(tǒng)鑒別機制很澄。
2. 共享秘鑰鑒別機制京闰。

開放系統(tǒng)鑒別機制實際上并不對終端進制鑒別，只要終端向AP發(fā)送鑒別請求幀甩苛，AP一定向終端回送表示鑒別成功的鑒別響應(yīng)幀蹂楣。

共享鑒別過程如圖四所示，終端向AP發(fā)送鑒別請求幀讯蒲，AP向終端回送鑒別響應(yīng)幀痊土，鑒別響應(yīng)幀中包含由AP偽隨機數(shù)生成器產(chǎn)生的長度為128字節(jié)的隨機數(shù)challenge。終端接收到AP以明文方式表示的隨機數(shù)challenge后墨林，將隨機數(shù)challenge作為數(shù)據(jù)明文赁酝，按照圖一所示的WEP加密數(shù)據(jù)過程對隨機數(shù)challenge進行加密，以密文和初始向量為凈荷構(gòu)建鑒別請求幀萌丈，并把鑒別請求幀發(fā)送給AP赞哗。AP根據(jù)如圖二所示的WEP解密過程還原隨機數(shù)challenge' ，并把還原出來的隨機數(shù)challenge'和自己保存的challenge進行比較辆雾，如果相同表示鑒別成功，然后向終端發(fā)送表示成功的的鑒別響應(yīng)幀月劈，否則表示鑒別失敗度迂，向終端發(fā)送表示鑒別失敗的鑒別響應(yīng)幀。

如圖四中發(fā)生的鑒別請求和響應(yīng)幀都攜帶鑒別事物序號猜揪，從終端發(fā)送的第一鑒別請求幀開始惭墓，鑒別事物序號一次為1~4，因此而姐，終端發(fā)送給AP的兩個鑒別請求幀由于鑒別事物序號分別為1和3腊凶，AP對其進行的操作是不同的。共享秘鑰鑒別機制確定某個終端是否是授權(quán)終端的依據(jù)是該終端是否具有和AP相同的秘鑰。

圖四

還有另外一種鑒別機制：
MAC地址鑒別機制并不是WEP要求的鑒別機制钧萍，但目前許多廠家生產(chǎn)的AP都支持這一鑒別機制褐缠。
但是在早期無線局域網(wǎng)卡和以太網(wǎng)卡上網(wǎng)都是固定的MAC地址，該MAC地址不但是全球唯一的风瘦，并且是無法改變的队魏，因此，用MAC地址標識終端是有效的万搔。由于目前的驅(qū)動程序并不一定用網(wǎng)卡上的固化MAC地址作為終端發(fā)送的MAC幀的源MAC地址胡桨，而是可以用某個邏輯MAC地址替換網(wǎng)卡上固化的物理MAC地址，因此瞬雹，用MAC地址標識終端的方式已不再可靠昧谊，越來越多的攻擊采用源MAC地址欺騙方式。

5.關(guān)聯(lián)的接入和控制過程

終端和AP進行數(shù)據(jù)交換前酗捌，必須和AP建立關(guān)聯(lián)(Association)揽浙，因此，和AP建立關(guān)聯(lián)的過程類似于總線型以太網(wǎng)中將終端連接到總線上的過程意敛。AP和終端成功建立關(guān)聯(lián)的先決條件如下：

1. AP與該終端之間完成信道同步過程乾戏；
2. AP與該終端支持的物理層協(xié)議標準和傳輸速率純在交集爷辱；
3. AP完成對終端的鑒別過程；
4. AP與該終端的SSID進行匹配；
5. AP具有的資源允許該終端接入BSS台盯；

終端從進入基本服務(wù)區(qū)(Basic Service Area，BSA)校读，到成功建立和AP之間的關(guān)聯(lián)胜卤，允許和AP之間交換數(shù)據(jù)的過程如圖五所示，這個過程等同于以太網(wǎng)建立物理連接的過程综膀。無線局域網(wǎng)通過如圖五所示的過程澳迫，完成對終端的接入控制。

圖五

首先剧劝，終端和AP之間通過交換探測請求和探測響應(yīng)幀橄登，完成信道和物理層標準同步過程，雙方就通信使用的信道讥此、物理層標準及數(shù)據(jù)傳輸速率達成一致拢锹。然后，由AP完成對終端的身份鑒別過程萄喳，圖五中采用基于MAC地址的鑒別機制卒稳，只有MAC地址包含AP訪問控制列表中的終端，才能和AP建立關(guān)聯(lián)他巨。終端通過身份鑒別后充坑，向AP發(fā)送關(guān)聯(lián)請求幀(Association Request)减江，關(guān)聯(lián)請求幀中除了需要給出終端的一些功能特性(如是否支持查詢，是否進人AP的查詢列表等)和終端支持的傳輸速率外捻爷，還需給出終端的服務(wù)集標識符(Service Set lentifer辈灼，SSID) 。SSID用于標識某個服務(wù)集,某個終端只有擁有該BSS的SSID役衡，才擁有接人該BSS的權(quán)利茵休。AP通過分析關(guān)聯(lián)請求幀中的信息，確定是否擁有和該終端建立關(guān)聯(lián)手蝎。如果AP確定和該終端建立關(guān)聯(lián)榕莺，向該終端回送一個表示成功建立關(guān)聯(lián)的關(guān)聯(lián)響應(yīng)幀(Association Response)，關(guān)聯(lián)響應(yīng)幀中給出關(guān)聯(lián)標識符棵介。否則钉鸯，向終端發(fā)送分離幀(Disassociation)。AP建立與該終端的關(guān)聯(lián)后邮辽，在關(guān)聯(lián)表中添加一項內(nèi)容包含終端的 MAC 地址唠雕、身份鑒別方式、是否支持查詢吨述、支持的物理層標岩睁、數(shù)據(jù)傳輸速率和關(guān)聯(lián)壽命等。關(guān)聯(lián)壽命給出終端不活躍時間限制揣云，只要終端持續(xù)不活躍時間超過關(guān)聯(lián)壽命捕儒，終端和AP的關(guān)聯(lián)自動分離。就像總線型以太網(wǎng)中只有連接到總上的終端才能進行數(shù)據(jù)傳輸樣邓夕，BSS中只有 MAC地址包含在關(guān)聯(lián)表中的終端才能和AP進行數(shù)據(jù)交換刘莹。

6.WEP的安全缺陷

802. 11最初的應(yīng)用是解決類似手持式條形碼掃描儀這樣的移動設(shè)備和后臺服務(wù)器之間的通信問題，而手持式條形碼掃描儀這樣的移動設(shè)備的處理能力非常有限焚刚，無法進行復(fù)雜的加密解密計算点弯，因此，只能采用WEP這樣簡單而有效的安全機制矿咕，這種安全機制在802.11最初的應(yīng)用環(huán)境中也基本能夠滿足安全通信要求抢肛。但對于筆記本計算機通過無線局域網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)這樣的應(yīng)用環(huán)境,應(yīng)用WEP這樣簡單的安全機制會產(chǎn)生嚴重的安全隱患，WEP的安全缺陷開始顯現(xiàn)痴腌。

6.1 共享秘鑰鑒別機制的安全缺陷

如圖七所示雌团，如果非授權(quán)終端(人侵終端)想通過AP的共享密鑰鑒別過程，它可以一直偵聽其他授權(quán)終端進行的共享密鑰鑒別過程士聪。因為無線通信的開放性，人侵終端可以偵聽到授權(quán)終端和AP之間完成共享密鑰鑒別過程中相互交換的所有鑒別請求猛蔽、響應(yīng)幀剥悟。由于密文是通過一次性密鑰和明文異或操作后得到的結(jié)果,即Y=K⊕P(Y為密文,K為一次性密鑰灵寺，P為明文)，因此区岗，用明文和密文異或操作后得到的結(jié)果即為一次性密鑰K略板，即Y⊕P= K⊕P⊕P=K。由于人侵終端偵聽到了AP以明文方式發(fā)送給授權(quán)終端的隨機數(shù)P慈缔，以及授權(quán)終端發(fā)送給AP的對隨機數(shù)P加密后的密文Y叮称，人侵終端完全可以得出授權(quán)終端用于此次加密的一次性密鑰K和對應(yīng)的初始向量IV。當(dāng)人侵終端希望通過AP的共享密鑰鑒別過程時藐鹤，它也發(fā)起監(jiān)別過程瓤檐，并用偵聽到的一次性密鑰K加密AP給出的隨機數(shù)P'，并將密文Y'(Y' = K⊕P')和對應(yīng)的初始向量IV封裝成如圖六所示的加密后的MAC幀格式發(fā)送給AP娱节。由于人侵終端使用的一次性密鑰K和初始向量IV都是有效的挠蛉，AP通過對人侵終端的身份鑒別。

圖六

6.2 完整性檢測缺陷

假定數(shù)據(jù)1= M1(X)肄满，數(shù)據(jù)2=M2(X)谴古，生成函數(shù)=G(X)。如果M1(X)和M2(X)的階數(shù)相同稠歉，生成函數(shù)G(X)的階數(shù)為K掰担，且R1(X)是[X^k × M1(X)]/G(X)的余數(shù)，R1(X)是[X^K × M1(X)]/G(X)的余數(shù)怒炸，如果M3(X) = M1(X)⊕M2(X)带饱，則R3(X) = R1(X)⊕R2(X)就是[X^K × M3(X)]/G(X)的余數(shù)。由于ICV是數(shù)據(jù)除以生成函數(shù)后得到的余數(shù)横媚，當(dāng)數(shù)據(jù)=M1(X)時纠炮，ICV= R1(X)，即R1(X)是X^k × M1(X)除以生成函數(shù)后得到的余數(shù)灯蝴。WEP加密后生成的密文分別是Y1=M1(X)⊕K1恢口，Y2= R1(X)⊕K2。如果密文Y1被篡改為Y'1 = Y1⊕M2(X)穷躁，則只要將密文Y'2修改為Y'2=Y2⊕R2(X)耕肩，其中，R2(X)是X^k × M2(X)除以生成函數(shù)后得到的余數(shù)问潭。接收端仍然能夠通過數(shù)據(jù)的完整性檢測猿诸，即如果接收到的數(shù)據(jù)明文M3(X) = M1(X)⊕M2(X)，則R3(X)=R1 (X)⊕R2(X)就是[X^K x M3(X)]/G(X)的余數(shù)狡忙，整個過程如圖七所示梳虽。

如圖七所示，假定發(fā)送端需要發(fā)送的數(shù)據(jù)M1(X)= 10101灾茁，G(X) = X^3 + X + 1(1011)窜觉，根據(jù)數(shù)據(jù)M1(X)和生成函數(shù)G(X)計算ICV谷炸，ICV = R1(X)=(10101000)/(1011)的余數(shù)101。用一次性密鑰11011101加密數(shù)據(jù)明文和ICV
后得到的密文為01110000禀挫。

圖七

攻擊者截獲發(fā)送者發(fā)送的密文旬陡，如果他希望篡改密文，并且使接收端檢測不出他對密文進行的篡改语婴，攻擊者構(gòu)建數(shù)據(jù)M2(X)=11010描孟，根據(jù)數(shù)據(jù)M2(X)和G(X)計算R2(X)，R2(X)= (11010000)/(1011)的余數(shù)010砰左。攻擊者用和密文同樣長度的數(shù)據(jù)序列11010 010和密文進行異或操作匿醒，得到篡改后的密文10100 010。

接收端接收到密文后菜职，用和發(fā)送端相同的一次性密鑰11011 101對具進行并或操作青抛，得到明文01111 111，其中酬核，01111=數(shù)據(jù)M3(X)=數(shù)據(jù)M1(X)⊕數(shù)據(jù)M2(X)蜜另，111=R3(X)=R1(X)⊕R2(X)。接收端根據(jù)數(shù)據(jù)M3(X)和G(X)計算ICV嫡意，求得ICV=
(01111000)/(1011)的余數(shù)111=R3(X)举瑰。由于接收端根據(jù)數(shù)據(jù)計算所得的ICV和MAC幀攜帶的ICV相同，認為密文在傳輸過程中未被篡改蔬螟，將數(shù)據(jù)作為正確數(shù)據(jù)予以接收此迅，ICV的完整性檢測功能失去作用。這就是用根據(jù)數(shù)據(jù)和生成函數(shù)G(X)計算所得的循環(huán)冗余檢驗碼作為數(shù)據(jù)完整性檢驗值的缺陷,攻擊者很容易篡改密文旧巾，且不被完整性檢驗值檢測出耸序。