WEP安全性能研究及其攻擊

摘要：以Ｆｌｕｈｒｅｒ, Ｓ．, Ｍａｎｔｉｎ, Ｉ．, Ｓｈａｍｉｒ, Ａ．提出的ＫＳＡ（Ｋｅｙ Ｓｃｈｅｄｕｌｅ Ａｌｇｏｒｉｔｈｍ）攻擊為基礎(chǔ)，提出了一種改進(jìn)的ＫＳＡ攻擊方法。與Ｆｌｕｈｒｅｒ等提出的ＫＳＡ攻擊相比，新方法具有更高攻擊效率。利用這種方法，成功地實(shí)現(xiàn)了針對(duì)８０２．１１網(wǎng)絡(luò)鏈路層安全協(xié)議——ＷＥＰ的攻擊，成功地恢復(fù)出了原加密密鑰。本文詳細(xì)地描述了這種攻擊，同時(shí)針對(duì)８０２．１１網(wǎng)絡(luò)存在的安全問(wèn)題，提出了一些安全建議。

    關(guān)鍵詞：有線等效加密 密鑰調(diào)度算法 偽隨機(jī)數(shù)發(fā)生器

隨著８０２．１１標(biāo)準(zhǔn)的制定以及相關(guān)軟硬件技術(shù)的逐漸成熟，８０２．１１無(wú)線局域網(wǎng)產(chǎn)品的使用愈來(lái)愈廣泛。其通信范圍廣、數(shù)據(jù)傳輸速率高的特點(diǎn)使８０２．１１同藍(lán)牙等協(xié)議一起成為無(wú)線局域網(wǎng)組網(wǎng)的可選協(xié)議之一，廣泛應(yīng)用于辦公、會(huì)議等場(chǎng)合。這些場(chǎng)合中所使用的ＰＣ卡絕大多數(shù)提供了一種稱(chēng)為ＷＥＰ（Ｗｉｒｅｄ Ｅｑｕｉｖａｌｅｎｔ Ｐｒｉｖａｃｙ）的加密協(xié)議。

ＷＥＰ便于管理，每塊８０２．１１卡具有一個(gè)加密密鑰（ｋｅｙ）。在實(shí)際使用中，大多數(shù)設(shè)備均使用同一個(gè)加密密鑰，包括接入點(diǎn)ＡＰ（Ａｃｃｅｓｓ Ｐｏｉｎｔ）。８０２．１１通過(guò)ＷＥＰ來(lái)防止對(duì)局域網(wǎng)的非法訪問(wèn)，為用戶提供與傳統(tǒng)有線局域網(wǎng)保密程度相當(dāng)?shù)耐ㄐ怒h(huán)境。

ＷＥＰ中采用的ＲＣ４算法是一種對(duì)稱(chēng)流加密算法。由于ＲＣ４算法的加密或解密速度均非常快，又提供了相當(dāng)?shù)膹?qiáng)度，所以得到了廣泛應(yīng)用。其最重要的應(yīng)用就是ＳＳＬ（Ｓｅｃｕｒｉｔｙ Ｓｏｃｋｅｔ Ｌａｙｅｒ）加密套接字協(xié)議層和ＷＥＰ。

針對(duì)ＲＣ４算法及其弱點(diǎn)，人們進(jìn)行了許多研究，其中大多數(shù)為理論研究，并不具有實(shí)際意義。直到最近，Ｂｏｒｉｓｏｖ、Ｇｏｌｄｂｅｒｇ ａｎｄ Ｗａｇｎｅｒ指出?１?：在ＷＥＰ中，由于沒(méi)有明確規(guī)定ＩＶ（Ｉｎｉｔｉａｌｉｚａｔｉｏｎ Ｖｅｃｔｏｒｓ）的使用方法，有些廠商簡(jiǎn)單地在每次初始化時(shí)將ＩＶ置零，然后加一。這種不當(dāng)使用導(dǎo)致密鑰重用的概率大增，可用于簡(jiǎn)單的密碼分析攻擊。另外，作者還指出，由于ＩＶ的可用空間太小，將不可避免地導(dǎo)致相同的密鑰重用問(wèn)題。

Ｆｌｕｈｒｅｒ、Ｍａｎｔｉｎ ａｎｄ Ｓｈａｍｉｒ 描述了一種針對(duì)ＷＥＰ采用的ＲＣ４算法的被動(dòng)密文攻擊方法?２?。作者針對(duì)ＲＣ４的狀態(tài)初始化，提出了一種ＫＳＡ攻擊方法。揭示了ＷＥＰ存在的嚴(yán)重漏洞。

本文在文獻(xiàn)?２?提出的ＫＳＡ攻擊方法的基礎(chǔ)上，提出了一種更為高效的攻擊方法。并在實(shí)際環(huán)境中，成功地實(shí)施了針對(duì)ＷＥＰ的攻擊。實(shí)驗(yàn)結(jié)果表明，與文獻(xiàn)?２?中提出的ＫＳＡ攻擊相比，本文提出的方法具有效率高、所需數(shù)據(jù)量更小的優(yōu)點(diǎn)。

１ ＲＣ４算法

１．１ ＲＣ４概述

ＲＣ４算法屬于二進(jìn)制異或同步流密碼算法，其密鑰長(zhǎng)度可變，在ＷＥＰ中，密鑰長(zhǎng)度可選擇１２８ｂｉｔ或６４ｂｉｔ。

ＲＣ４算法由偽隨機(jī)數(shù)產(chǎn)生算法ＰＲＧＡ（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｇｅｎｅｒａｔｉｏｎ Ａｌｇｏｒｉｔｈｍ）和密鑰調(diào)度算法ＫＳＡ?Ｋｅｙ Ｓｃｈｅｄｕｌｅ Ａｌｇｏｒｉｔｈｍ?兩部分構(gòu)成。其中ＰＲＧＡ為ＲＣ４算法的核心，用于產(chǎn)生與明文相異或的偽隨機(jī)數(shù)序列；ＫＳＡ算法的功能是將密鑰映射為偽隨機(jī)數(shù)發(fā)生器的初始化狀態(tài)，完成ＲＣ４算法的初始化。

ＲＣ４算法實(shí)際上是一類(lèi)以加密塊大小為參數(shù)的算法。這里的參數(shù)ｎ為ＲＣ４算法的字長(zhǎng)。在ＷＥＰ中，ｎ＝８。

ＲＣ４算法的內(nèi)部狀態(tài)包括２ｎ個(gè)字的狀態(tài)表和兩個(gè)大小為一個(gè)字的計(jì)數(shù)器。狀態(tài)表，也稱(chēng)為狀態(tài)盒（Ｓ－ｂｏｘ，以下用Ｓ表示），用來(lái)保存２ｎ個(gè)值的轉(zhuǎn)置狀態(tài)。兩個(gè)計(jì)數(shù)器分別用ｉ和ｊ表示。

ＫＳＡ算法和ＰＲＧＡ算法可表示如下：

ＫＳＡ： ＰＲＧＡ：

Ｉｎｉｔｉａｌｉｚａｔｉｏｎ： Ｉｎｉｔｉａｌｉｚａｔｉｏｎ：

Ｆｏｒ ｉ＝０ ｔｏ ２ｎ－１ ｉ＝０，ｊ＝０

Ｓ[ｉ]＝ｉ Ｇｅｎｅｒａｔｉｏｎ Ｌｏｏｐ：

ｊ＝０   ｉ＝ｉ＋１

Ｓｃｒａｍｂｌｉｎｇ：   ｊ＝ｊ＋Ｓ[ｉ]

Ｆｏｒ ｉ＝０ ｔｏ ２ｎ－１ Ｓｗａｐ（Ｓ[ｉ]，Ｓ[ｊ]）

ｊ＝ｊ＋Ｓ[ｉ]＋Ｋ[ｉ ｍｏｄ ｌ]    Ｏｕｔｐｕｔ ｚ＝Ｓ[Ｓ[ｉ]＋Ｓ[ｊ]]

Ｓｗａｐ（Ｓ[ｉ]，Ｓ[ｊ]）

其中，ｌ為密鑰的長(zhǎng)度。

１．２ ＲＣ４算法安全性能分析

仔細(xì)研究ＲＣ４的算法流程，不難發(fā)現(xiàn)：

狀態(tài)盒Ｓ從一個(gè)統(tǒng)一的２ｎ個(gè)字的轉(zhuǎn)置開(kāi)始，對(duì)其進(jìn)行的唯一操作是交換。Ｓ始終保存２ｎ個(gè)字的某個(gè)轉(zhuǎn)置狀態(tài)，而且轉(zhuǎn)置隨著時(shí)間而更新。這也是ＲＣ４算法的強(qiáng)度所在。算法的內(nèi)部狀態(tài)存儲(chǔ)在Ｍ＝ｎ２ｎ＋２ｎ比特中，由于Ｓ為一個(gè)轉(zhuǎn)置，此狀態(tài)大約保存了ｌｏｇ２（２ｎ！）＋２ｎ≈１７００ｂｉｔ的信息。

狀態(tài)盒的初始化狀態(tài)僅僅依賴于加密密鑰Ｋ，因此，若已知加密密鑰就可完全破解ＲＣ４。加密密鑰完全且唯一確定了偽隨機(jī)數(shù)序列，相同的密鑰總是產(chǎn)生相同的序列。另外，ＲＣ４算法本身并不提供數(shù)據(jù)完整性校驗(yàn)功能，此功能的實(shí)現(xiàn)必須由其他方法實(shí)現(xiàn)（例如ＷＥＰ中的數(shù)據(jù)完整性校驗(yàn)向量，即ＩＣＶ）。

下面考慮一些特殊的攻擊模型，這些模型均與要討論的ＲＣ４的安全問(wèn)題密切相關(guān)。

ＲＣ４算法屬于同步流密碼算法中的一種，由于其偽隨機(jī)數(shù)發(fā)生器ＰＲＮＧ（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｒｎｅｒａｔｏｒ）的輸出完全由加密密鑰確定，所以對(duì)于一個(gè)設(shè)計(jì)良好的流密碼算法必須滿足兩個(gè)條件：輸出的每個(gè)比特應(yīng)該依賴于所有加密密鑰的所有比特；而且，任意一個(gè)比特或者某些比特同加密密鑰之間的關(guān)系應(yīng)該極其復(fù)雜。

上述第一個(gè)條件意味著輸出的每個(gè)比特依賴于加密密鑰所有比特的值。密鑰中任意比特值的改變均有１／２的幾率影響到輸出的每一個(gè)比特。如果滿足此條件，那么，破解此加密需要嘗試所有可能的密鑰值，輸出值同加密密鑰之間幾乎不存在任何聯(lián)系。

如果上面的條件得不到滿足，那么就可被利用來(lái)對(duì)其進(jìn)行攻擊。舉例來(lái)說(shuō)，假設(shè)輸出的某８?jìng)€(gè)比特僅僅依賴于加密密鑰的某８?jìng)€(gè)比特，那么就可以簡(jiǎn)單地進(jìn)行對(duì)此８比特密鑰的所有可能值進(jìn)行嘗試，并與實(shí)際輸出相比較獲取此８比特密鑰的值，這樣就大大降低了窮舉攻擊所需的計(jì)算量。

因此，如果輸出以比較高的概率由密鑰的某些比特所確定，那么此信息就可被利用來(lái)對(duì)此流密碼進(jìn)行攻擊。

第二個(gè)條件意味著即使已知兩個(gè)加密密鑰之間的聯(lián)系，也無(wú)法得出ＰＲＮＧ輸出之間的聯(lián)系。此信息也可用來(lái)降低窮舉攻擊的搜索空間，從而導(dǎo)致加密強(qiáng)度的降低。

ＲＣ４算法屬于二進(jìn)制異或流密碼，相同的密鑰總是產(chǎn)生相同的ＰＲＮＧ輸出。為解決密鑰重用的問(wèn)題，ＷＥＰ中引入了初始化向量ＩＶ（Ｉｎｉｔｉａｌｉｚａｔｉｏｎ Ｖｅｃｔｏｒ）。初始化向量為一隨機(jī)數(shù)，每次加密時(shí)隨機(jī)產(chǎn)生。初始化向量以某種形式與原密鑰相組合，作為此次加密的加密密鑰。由于ＩＶ并不屬于密鑰的一部分，所以無(wú)須保密，多以明文傳輸。雖然初始化向量的使用很好地解決了密鑰重用的問(wèn)題，然而，Ｆｌｕｈｒｅｒ? Ｓ等人在文獻(xiàn)?２?中指出：初始化向量的使用將導(dǎo)致嚴(yán)重的安全隱患。

下面詳細(xì)地討論本文所提出的ＫＳＡ攻擊方法。

２ ＫＳＡ攻擊

本文著重討論ＷＥＰ中所采用的ＲＣ４算法，即前附加初始化向量ＩＶ的ＲＣ４算法。

２．１ ＫＳＡ

考慮ＫＳＡ，注意到唯一影響狀態(tài)表的是交換操作。因此,狀態(tài)表的每個(gè)元素至少交換一次(盡管有可能同它自己交換)。假設(shè)ｊ是一個(gè)均勻分布的隨機(jī)數(shù),那么,考慮狀態(tài)表中某一個(gè)特殊元素,在所有初始化期間ｊ都不指向此元素的概率為:

Ｐ＝(２５５／２５６)∧２５５≈３７％

(指數(shù)為２５５是因?yàn)楫?dāng)ｉｎｄｅｘ２和ｃｏｕｎｔｅｒ相等時(shí)可以忽略)

這意味著有３７％的概率某一特定元素在初始化期間僅交換一次。

由此可看出:

給定一密鑰長(zhǎng)度Ｋ(ｂｙｔｅｓ),如果Ｅ＜Ｋ,那么元素Ｅ有３７％的概率僅在ｉ指向它時(shí)被交換。

那么由ＲＣ４的ＫＳＡ 算法可看出僅Ｋ[０]．．．．Ｋ[Ｅ－１],和Ｋ[Ｅ]影響它。這只是近似估算,因?yàn)椋椋睿洌澹膊豢赡苁蔷鶆蚍植肌?/P>

為利用上述結(jié)果,需要確定狀態(tài)表最可能的值。因?yàn)槊總€(gè)元素至少交換一次(當(dāng)ｃｏｕｎｔｅｒ指向它時(shí)),所以有必要對(duì)交換可能帶來(lái)的影響加以考慮。交換是令人討厭的非線性操作,難于分析。然而當(dāng)處理狀態(tài)表前幾個(gè)元素時(shí),某個(gè)具體元素有很高的概率沒(méi)有參與它前面的幾次交換,因此還保留初始值(Ｓ[Ｘ]＝Ｘ)。

相似地，僅處理狀態(tài)表中前幾個(gè)元素時(shí)，即ｉ比較小時(shí)，Ｓ[ｊ]有很高的概率等于ｊ。因此，可以得到：

狀態(tài)表中元素Ｓ[Ｅ]（Ｅ比較小時(shí)）最可能的值為：

注意，本文中兩個(gè)元素操作均為模２５６操作。

基于以上分析，可以計(jì)算出狀態(tài)表中各個(gè)元素滿足Ｂ的概率。為統(tǒng)計(jì)狀態(tài)表中元素滿足上式的概率，采用８比特ＲＣ４算法進(jìn)行實(shí)驗(yàn)。下面為１０００００次實(shí)驗(yàn)中Ｓ[Ｅ]中前４８?jìng)€(gè)元素滿足上式的概率：

Ｐｒｏｂａｂｉｌｉｔｙ ?％?

０～７ ３７．０ ３６．８ ３６．２ ３５．８ ３４．９ ３４．０ ３３．０ ３２．２

８～１５ ３０．９ ２９．８ ２８．５ ２７．５ ２６．０ ２４．５ ２２．９ ２１．６

１６～２３ ２０．３ １８．９ １７．３ １６．１ １４．７ １３．５ １２．４ １１．２

２４～３１ １０．１ ９．０ ８．２ ７．４ ６．４ ５．７ ５．１ ４．４

３２～３９ ３．９ ３．５ ３．０ ２．６ ２．３ ２．０ １．７ １．４

４０～４７ １．３ １．２ １．０ ０．９ ０．８ ０．７ ０．６ ０．６

結(jié)果表明，經(jīng)過(guò)ＫＳＡ后，狀態(tài)表中前面的一些元素實(shí)際值與用Ｂ所預(yù)測(cè)出的值強(qiáng)相關(guān)。

２．２ 弱密鑰

首先定義ｉｔ，ｊｔ分別為ＫＳＡ算法經(jīng)過(guò)ｔ步后相應(yīng)的兩個(gè)計(jì)數(shù)器的值，Ｓｔ為ＫＳＡ經(jīng)ｔ步后狀態(tài)盒的狀態(tài)。從其流程可以看出，ＰＲＮＧ首字節(jié)輸出僅僅依賴于狀態(tài)盒Ｓ中的三個(gè)值：Ｓ[１]、Ｓ[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]。如果此三個(gè)值為已知，那么就可以完全確定ＰＲＮＧ的首字節(jié)輸出。

ＫＳＡ經(jīng)過(guò)ｉ步操作后(ｉ＞１),設(shè)Ｓｉ[１]＝Ｘ，Ｓ[Ｘ]＝Ｙ，假設(shè)ｊ為均勻分布的隨機(jī)數(shù)，那么Ｓ[１]，Ｓ[Ｘ]，Ｓ[Ｘ＋Ｙ]均不參與剩余交換的概率約為ｅ－３≈０．０５，此時(shí)ＲＣ４的首字節(jié)輸出為Ｓ[Ｘ＋Ｙ]。

假設(shè)ＩＶ的長(zhǎng)度為Ｉ個(gè)字節(jié)，ＩＶ附加在密鑰Ｋｅｙ前面組成加密密鑰Ｋ，即Ｋ＝ＩＶ｜Ｋｅｙ，且我們已知Ｋ中前Ｂ個(gè)字節(jié)的值（初始化時(shí)Ｂ＝０）。如果ＫＳＡ經(jīng)過(guò)Ｉ＋Ｂ－１次迭代后滿足：

ＳＩ＋Ｂ－１[１]＜Ｉ

ＳＩ＋Ｂ－１[１]＋ＳＩ＋Ｂ－１ [ＳＩ＋Ｂ－１[１]]＝Ｉ＋Ｂ

考慮第Ｉ＋Ｂ次迭代：

ｉＩ＋Ｂ＝Ｉ＋Ｂ

ｊＩ＋Ｂ＝ｊＩ＋Ｂ－１＋Ｓ[Ｉ＋Ｂ]＋Ｋ[（Ｉ＋Ｂ） ｍｏｄ Ｌ]

交換ＳＩ＋Ｂ－１[ｉＩ＋Ｂ]，ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ]：

ＳＩ＋Ｂ [ｉＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ] ，

ＳＩ＋Ｂ [ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｉＩ＋Ｂ]

在滿足上述條件的情況下，Ｓ[１]，Ｓ[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]這三個(gè)元素以很高的概率（大于５％）均不參與ＫＳＡ剩余的交換操作，也即首字節(jié)輸出以很高的概率滿足：

Ｏｕｔ＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ－１＋Ｋ[Ｂ]＋ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

這種情況下，通過(guò)重建ＫＳＡ，能夠成功地從首字節(jié)輸出中獲取加密密鑰中某個(gè)特定字節(jié)Ｋ[Ｉ＋Ｂ]的信息：

Ｋ[Ｂ]＝Ｓ[Ｏｕｔ]－ｊＩ＋Ｂ－１－ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

Ｓ[Ｏｕｔ]表示元素Ｏｕｔ在狀態(tài)表中的位置。

從前面分析可以看出，在滿足ＳＩ[１]＜Ｉ＋Ｂ?且ＳＩ[１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ條件的情況下，可以準(zhǔn)確重建Ｋ[Ｂ]的概率大于５％，遠(yuǎn)遠(yuǎn)大于１／２５６。這樣通過(guò)收集足夠數(shù)量的滿足上述條件的數(shù)據(jù)包，就可以成功地重建密鑰Ｋ[Ｂ]。同理，在成功重建Ｋ[Ｂ]的基礎(chǔ)上，就可以用類(lèi)似的方法重建所有密鑰。

具體算法如下：

ＲｅｃｏｖｅｒＷｅｐＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ)

Ｃｏｕｎｔｓ[０．．．２５５]＝０

Ｆｏｒ ｅａｃｈ ｐａｃｋｅｔ－＞Ｐ

Ｉｆ Ｒｅｓｏｌｖｅｄ﹖(Ｐ．ＩＶ）

Ｃｏｕｎｔｓ[ＳｉｍｕｌａｔｅＲｅｓｏｌｖｅｄ(Ｐ,ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)]＋＝１

Ｆｏｒ ｅａｃｈ ＳｅｌｅｃｔＭａｘｉｍａｌＩｎｄｅｘｅｓＷｉｔｈＢｉａｓ(Ｃｏｕｎｔｓ)－＞ＢｙｔｅＧｕｅｓｓ

ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ[ＫｅｙＢｙｔｅ]＝ＢｙｔｅＧｕｅｓｓ

Ｉｆ Ｅｑｕａｌ﹖(ＫｅｙＢｙｔｅ,ＫｅｙＬｅｎｇｔｈ)

Ｉｆ ＣｈｅｃｋＣｈｅｃｋｓｕｍｓ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)

Ｒｅｔｕｒｎ ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ

Ｅｌｓｅ

Ｋｅｙ＝ＲｅｃｏｖｅｒＷＥＰＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ＋１)

Ｉｆ ｎｏｔＥｑｕａｌ﹖(Ｋｅｙ,Ｆａｉｌｕｒｅ)

Ｒｅｔｕｒｎ Ｋｅｙ

Ｒｅｔｕｒｎ Ｆａｉｌｕｒｅ

２．３ 算法改進(jìn)

可以看出，以上的攻擊方法中，所有關(guān)于Ｋ[Ｉ＋Ｂ]的預(yù)測(cè)均是基于其前面所有密鑰（Ｋ[０]，．．．，Ｋ[Ｉ＋Ｂ－１]）已知的基礎(chǔ)上。換言之，前面的預(yù)測(cè)錯(cuò)誤將直接導(dǎo)致Ｋ[Ｉ＋Ｂ]的錯(cuò)誤預(yù)測(cè)。那么能否從Ｋ[Ｉ＋Ｂ]中推測(cè)出Ｋ[０]，．．．，Ｋ[Ｉ＋Ｂ－１]的信息？

考慮ＫＳＡ，如果經(jīng)過(guò)Ｉ次迭代后，滿足：

Ｉ＜ＳＩ[１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ≤Ｌ

ＳＩ[１]≤Ｉ

則ＳＩ[１]和ＳＩ[ＳＩ[１]]以很大的概率（（２５４／２５６）Ｌ－Ｉ≈１）不參與第Ｉ步與第Ｌ步之間的迭代。同時(shí)，ｊ以很大的概率不指向ＳＩ[Ｉ]，．．．，ＳＩ[Ｉ＋Ｂ]這幾個(gè)元素。

即：

ＳＩ[１]＝ＳＩ＋Ｂ－１[１]   ｉＬ－１＝Ｌ－１

ｊＩ＋Ｂ－１＝ｊＩ＋ＳＩ[Ｉ]＋．．．＋ＳＩ[Ｉ＋Ｂ－１]＋Ｋ[Ｉ]＋．．．＋Ｋ[Ｉ＋Ｂ－１]

考慮第Ｌ步：

ｉＩ＋Ｂ＝Ｉ＋Ｂ   ｊＩ＋Ｂ＝ｊＩ＋Ｂ－１＋ＳＩ[Ｉ＋Ｂ]＋Ｋ[Ｉ＋Ｂ]

交換Ｓ[ｉ]，Ｓ[ｊ]，則ＳＩ＋Ｂ[Ｉ＋Ｂ]＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]。

如果ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]，ＳＩ＋Ｂ－１[１]和ＳＩ＋Ｂ－１[ＳＩ＋Ｂ－１[１]]不參與剩余的交換操作，那么輸出為：

Ｏｕｔ＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]

而由前面的分析可以看出，ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]以很高的概率（約為１）沒(méi)有參與前面的交換操作，也即ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]＝ｊＩ＋Ｂ。由此可知

Ｏｕｔ＝ｊＩ＋ＳＩ[Ｉ]＋．．．＋ＳＩ[Ｉ＋Ｂ－１]＋Ｋ[Ｉ]＋．．．＋Ｋ[Ｉ＋Ｂ－１]＋ＳＩ[Ｉ＋Ｂ]＋Ｋ[Ｉ＋Ｂ]

利用上述關(guān)系可以成功地推出不同Ｋ字節(jié)之間的關(guān)系，從而加速攻擊。

另外，由于密鑰管理時(shí)密鑰需要手工輸入，所以絕大多數(shù)情況下，密鑰只是ＡＳＩＩＣ字符。這樣大大減小了密鑰的搜索空間，提高了攻擊效率。

３ 實(shí)驗(yàn)結(jié)果與結(jié)論

為對(duì)上述算法進(jìn)行驗(yàn)證，進(jìn)行了實(shí)驗(yàn)。實(shí)驗(yàn)中所采用的硬件為朗訊的ＯＲｉＮＯＣＯ無(wú)線網(wǎng)卡，操作系統(tǒng)為Ｒｅｄｈａｔ７．１。實(shí)驗(yàn)結(jié)果表明，本文所提出的算法平均在收集１００萬(wàn)到２００萬(wàn)加密數(shù)據(jù)包的情況下，成功地恢復(fù)出了原加密密鑰。與Ｆｌｕｈｒｅｒ?Ｓ．、Ｍａｎｔｉｎ?Ｉ．、 Ｓｈａｍｉｒ? Ａ．所提出的ＫＳＡ攻擊需要４００萬(wàn)到６００萬(wàn)數(shù)據(jù)包相比，攻擊效率有了很大提高。

基于以上分析，不難看出：現(xiàn)有ＷＥＰ加密中存在重大的安全漏洞，這種情況并不因加密密鑰長(zhǎng)度的增加而得到改善，所以在ＷＥＰ２中同樣存在。為此，建議現(xiàn)有的８０２．１１用戶：

．假設(shè)８０２．１１鏈路層并不提供安全措施；

．為保障網(wǎng)絡(luò)通信的安全，使用ＩＰＳＥＣ或者ＳＳＨ等高層加密手段；

．把所有通過(guò)８０２．１１接入的用戶置于防火墻之外。

．經(jīng)常更換密鑰，同時(shí)針對(duì)密鑰應(yīng)盡量采用某種ＨＡＳＨ算法，避免采用全為ＡＳＩＩＣ字符的加密密鑰。