WAPI认证机制的性能和安全性分析

收稿日期:2004210208基金项目:国家自然科学基金重大计划(90204012);国家863计划资助(2002AA143021);2003教育部优秀青年教师资助计划;2003教育部科学技术研究重点项目资助作者简介:张　帆(19752),男,西安电子科技大学博士研究生.WA PI 认证机制的性能和安全性分析张　帆,马建峰(西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西西安　710071)摘要:利用BAN 类逻辑(WK 逻辑),对中国无线局域网安全标准W API 的认证基础设施W AI 进行了形式化分析,指出其无法实现全部的认证及密钥协商目标.进一步分析表明,W AI 中存在诸多安全问题,如无法提供身份保护、无法抵抗密钥一致性等攻击、缺乏私钥验证、不能提供如PFS 、密钥控制等相应的安全属性等.因此,W API 无法提供足够级别的安全保护.最后对W API 与IEEE 802111i 在安全性和性能上进行了比较.关键词:BAN 类逻辑WK;无线局域网;W API ;IEEE 802111i ;认证;密钥协商中图分类号:TP393117 文献标识码:A 文章编号:100122400(2005)022*******On the security and performance of WAPIZH ANG Fan ,MA Jian 2feng(M inistry of Edu.K ey Lab.of C om puter Netw orks and In fo.Security ,X idian Univ.,X i ′an 710071,China )Abstract :　With BAN 2like logic ,W AI ,the authentication in frastructure of W API which is the Chinese W LAN security standard ,is analyzed on the security.Results show that W AI is unable to com pletely realize the authentication and key agreement g oals.Further analysis indicates that W AI als o has many flaws ,such as inability to provide identity protection and resist key consistency attack ,lack of private key verification and desirable security attributes like PFS ,key control ,etc.We conclude that W API can not provide a su fficient level of security.Finally ,W API is com pared with IEEE 802111i about their security and per formance.K ey Words :　BAN 2like logic WK;W LAN ;W API ;IEEE 802.11i ;authentication ;key agreement2003年中国推出了自己的无线局域网国家标准G B15629111.标准包含无线认证和保密基础设施W API (W LAN Authentication and Privacy In frastructure )机制[1].W API 是针对IEEE 802111中WEP 协议的安全问题提出的W LAN 安全解决方案,W AI (W LAN Authentication In frastructure )和WPI (W LAN Privacy Infrastructure )是其中的两个重要组成部分,分别实现对用户身份的鉴别和对传输数据的加密.笔者利用BAN 类逻辑WK [2]对W AI 的认证模型进行了分析,结果表明W AI 无法实现全部的认证及密钥协商目标.文中进一步指出其中存在的安全隐患,并对W API 与IEEE 802111i [3]进行了安全性和性能方面的比较.1　用WK 逻辑分析WAI 的安全性首先对W AI 认证协议进行形式化,将其转换成WK 逻辑所能理解的公式并消除冗余的信息:⑴　Psees (I D A ,K +A ,δ(K -S ;(I D A ,K +A)))⑵　Ssees (I D A ,K +A ,δ(K -S ;(I D A ,K +A )),I D P ,K +P ,δ(K -S ;(I D P ,K +P )),T A ,δ(K -P ;(X ,Y,T A )))2005年4月第32卷　第2期西安电子科技大学学报(自然科学版)J OU RNAL OF XID IAN UNIV ERS I TYApr.2005V ol.32　N o.2⑶　Psees(X,Y,TR A,TR P,δ(K-S;(X,Y,T A,TR A,TR P)))⑷　Asees(X,Y,TR A,TR P,δ(K-S;(X,Y,T A,TR A,TR P)))⑸　Psees(enc(K+P;N A))⑹　Asees(enc(K+A,N P))为了方便描述,记:X=I D A,I+A,δ(K-S;(I D A,K+A)),Y=I D P,K+P,δ(K-S;(I D P,K+P)),其中A代表客户端,P 代表接入点,S代表认证服务器.111　认证和密钥协商目标根据W AI协议的定义,可以看出消息⑴—⑷属于身份认证过程,其认证目的是实现客户端、接入点和认证服务器之间的相互认证.根据WK逻辑的形式化分析,其认证目标应为:S believes|K AA S believes|K PPS believes P says X P S believes A said X AP believes|K AA P believes A says X AP believes A believe|K PP A believes|K PPA believes P says X P A believes P believe|K A A 其中X A,X P分别表示客户端和接入点生成的消息.消息⑸,⑹属于密钥协商过程,当其结束时,密钥协商部分应当实现的目标为:A believes P says N A P believes A says N PA has K P has KA believes fresh(K)P believes fresh(K)A believes A∴K∴P P believes P∴K∴A112　初始化假设集接下来,分别给出客户端A,接入点P和认证服务器S的初始化假设集:A的初始化假设集:A believes|K AA A1A believes|K SS A2A has T A A3 A believes fresh(T A)A4 A believes fresh(N A)A5 (X,Y,T A,TR A,TR P)A≡(X,Y,T A,TR A,TR P)A6A believes S controlsα|K AA A7A believes S says TR A→A believes S believe|K AAA8A believes S controlsα|K PP A9A believes S says TR P→A believes S believes|K PPA10P的安装始化假设集:P believes|K PP P1P believes|K SS P2P has T A P3P believes fresh(T A)P4P believes fresh(N P)P5(X,Y,T A,TR P,TR P)P≡(X,Y,T A,TR A,TR P)P6P believes S controlsα|K PP P7P believes S says TR P→P believes S believe|K PPP8P believes S controlsα|K AA P9P believes S says TR A→P believes S believes|K AAP10112第2期 张　帆等:W API认证机制的性能和安全性分析 S的初始化假设集:S believes|K SS S1S believes fresh(T A)S3S believe(I D A,K+A)→S Believe|K AA S5S believe(I D P,K+P)→S believe|K PP S7S controls(I D P,K+P)S9S controls(I D A,K+A S2 S said(I D A,K+A)→S believe(I D A,K+A)S4 S said(I D P,K+P)→S believe(I D P,K+P)S6 (I D A,K+A)S≡(I D A,K+A)S8 (I D P,K+P)S≡(I D P,K+P)S10113　协议分析首先对S进行分析:2SE1S sees(I D A,K+A,δ(K-S;(I D A,K+A)))7 7SE1,H1S has I D A∧S has K+A8 8C5,E3δ(K-S;(I D A,K+A))s≡δ(K-S;(I D A,K+A)S)9 9,S8E2δ(K-S;(I D A,K+A)S)≡δ(K-S;(I D A,K+A))10 10C S believes S seesδ(K-S;(I D a,K+A))11 11,S1A2S believes S saidδ(K-S;(I D A,K+A))12 S4,5K S believes|K A A13与此相类似可得S believes|K P P14 2SE1S sees(δ(K-P;(X,Y,T A)))15 14A2S believes P said(X,Y,T A)16 16,S3F1S believes P says(X,Y,T A)17 17S A2S believes P says X18 17S A2S believes P says Y19 17S A2S believes P says T A20 由以上推导可以得到以下结论:S believes|K AA,S believes|K PP,S believes P says X,S believes P says Y以及S believes P says T A.但是无法进一步推得S believes A said T A,以及S believes A said X.其次对P进行分析:3SH1,H1P has X∧P has Y∧P has TR A∧has TR P21 21,P3C5,E3δ(K-S;(X,Y,T a,TR A,TR P))P≡δ(K-S;(X,Y,T a,TR A,TR P)P)22 22,P6E2δ(K-S;(X,Y,T a,TR A,TR P))P≡δ(K-S;(X,Y,T a,TR A,TR P))23 23C P believes P seesδ(K-S;(X,Y,T A,TR A,TR P))24 24,P2A2P believes S said(X,Y,T A,TR A,TR P)25 25,P4F1P believes S says(X,Y,T A,TR A,TR P)26 26S A2P believes S says X27 26S A2P believes S says Y28 26S A2P believes S says T A29 26S A2P believes S says TR A30 P9,P10J P believes|K A A31 26S A2P believes S says TR P32 P7,P8J P believes S believe|K P P33 由以上推导可得P believes|K AA,P believes S believes|K PP,P believes S says T A,P believes S believes|K AA,但无法推导出P believes A says T A,P believes A believe|K PP.212 西安电子科技大学学报(自然科学版) 第32卷类似地分析A 可以得到A believes |K PP ,A believes S believes |K AA ,A believes S says T A ,A believes S believes |K PP ,但无法推导出A believes P says T A ,A believes P believe |K PA.因此,W API 的认证部分未能实现全部的认证目标,其认证效果较弱,客户端和接入点存在着被冒充的可能.最后,对密钥协商消息⑸,⑹进行分析:5SE2P sees N A34P5F2P believes fresh (K )356SE2A sees N P36A5F2A believes fresh (K )37 但是,无法得到A believes P says N A ,P believes A says N P 以及A ∴K ∴P 的证据.所以,无法进一步得到A believes A ∴K ∴P ,P believes P ∴K ∴A.这表明消息⑸,⑹没有达到预期目标,即双方未能验证对方私钥,以及对会话密钥进行确认.结论:W API 认证协议只能完成部分的认证和密钥协商目标,其安全性较差.2　WAI 的其他安全缺陷⑴W AI 协议不具备身份保护的功能[4]:在认证阶段,ST A 将自己的数字证书以明文形式发送给AP 及AS ,因而会暴露用户的身份信息,无法实现认证时的匿名性.⑵在认证协议中缺乏私钥验证环节:W AI 对用户身份的验证只是通过验证其数字证书的合法性来完成,而没有验证该用户是否拥有与此相对应的私钥.任何具有合法证书的用户都可以通过AS U 的身份认证,有可能带来潜在的安全问题.⑶密钥协商过于简单,不具备相应的安全属性:W AI 的认证数据没能作为密钥协商的材料使用,而且密钥协商时没有对会话材料进行认证,也没有对会话密钥进行确认,从而导致该密钥协商算法缺乏相应的安全属性.例如在密钥一致性攻击[5]中,攻击者截获ST A 发来的消息,选用另一随机数r M 发送给AP ;同样,也截获AP 发来的消息,用随机数r ′M 取代r AP ,将消息发送给STA.最终导致ST A 与AP 生成不一样的会话密钥(k ST A =r ST A r ′M ,k AP =r M r AP ),而使协议失败.类似的,该协议无法抵抗重放攻击.⑷密钥协商算法的安全是基于加密算法的安全性:会话密钥的产生是基于两个随机数异或运算的结果,其安全性不是建立在已知的数学难题上,而是基于所使用的加密算法E ()的安全性.另外,异或运算可能使会话密钥与随机数间保持一种代数关系,在产生的会话密钥中可能有以不可忽略的概率被预测的弱密钥位存在,导致其安全性受到影响[6].⑸该算法不具有PFS 等安全属性也无法防止密钥控制(key control ):如果双方长期私钥泄露的话,攻击者可以通过解密密钥协商消息,从而获得以前的会话密钥.另外,密钥控制要求任何一方都无法控制会话密钥为一预选值,而如果采用异或运算的话,则接收者可以有目的地选用某一随机数,进而控制会话密钥的产生.⑹该算法使用时间戳来抵抗重放攻击:其安全性主要依赖于时间的同步.关于时间戳技术的实现困难和其他安全问题在文献[7]中已经详细给出.3　WAPI 与IEEE 802111i 的比较311　WAPI 与IEEE 802111i 的安全性比较 ⑴安全框架:W API 与IEEE 802111i 都采用基于端口的访问控制模式.⑵特征:W API 在ST A 和AP 间实现双向身份认证.不仅可以实现对AP 进行控制,而且可以保证ST A 接入的安全性.IEEE 802111i 在ST A 和AS 间实现双向身份认证,AP 被错误地认为是可信任的实体,缺乏对AP 的认证,有遭受假冒AP 攻击的可能.其安全性依赖于上层协议的安全,如果上层协议也使用单向认证的话,312第2期 张　帆等:W API 认证机制的性能和安全性分析整个框架就是不安全的.⑶身份凭证:W API仅使用公钥证书作为身份凭证,灵活性不够高.而IEEE802111i通常采用口令或数字证书等作为身份凭证.⑷认证与密钥协商:W API的认证与密钥协商部分脱节,且缺乏密钥确认过程,任何拥有合法证书的攻击者都可以通过认证.密钥协商算法依赖于算法安全性,不能抵抗重放攻击、密钥一致性攻击等,无法防止密钥控制,缺乏相应的安全属性.IEEE802111i经过多年发展,比较成熟.认证及密钥协商协议本身不存在大的安全问题,密钥协商算法通常会规约于已知的数学难题,且能够保证相关的安全属性.⑸加密算法:W API的加密算法采用国密办规定的认证的分组加密算法,具体细节未披露.IEEE802111i 的加密算法采用128位的AES算法,业已成为标准.312　WAPI与IEEE802111i的性能比较W API在ST A与AP间直接进行密钥协商,效率较高,减少了密钥在网络中传输的可能性.而IEEE 802111i在ST A与AS间协商密钥,ST A与AP必须依赖四步握手协议进行密钥确认,密钥协商效率较低,且认证服务器负载过大,有可能成为系统瓶颈.W API的交互轮数为2,但它没有提供相应的安全属性.如果考虑相应的私钥认证和密钥确认过程的话,其交互轮数至少在3轮以上.IEEE802111i的默认认证协议E AP2T LS,采用E AP协议进行封装,利用公钥证书作为认证凭证,其交互轮数为5;而如果采用四步握手协议进行密钥确认,还要再加上两轮的消息交互.W API和E AP2T LS的性能比较如表1所示,表2为预计算下两者的性能比较.表1　协议性能比较协　议客户证书交互轮数公钥加/解密(M N)指数运算(M N)签名(M N)验证签名及证书(M N)W API3Y≥32013/2#E AP2T LS(RS N)Y5(7)2111 注:113指出于安全考虑,在W API中加入私钥确认过程;21#指AS的证书在移动节点中存储时;31(7)指如采用RS N模型还需要加上两轮的四步握手协议.表2　预计算下协议性能比较协　议客户证书交互轮数公钥加/解密(预计算)指数运算(预计算)签名(M N)验证签名及证书(M N)W API3Y≥32013/2#E AP2T LS(RS N)Y5(7)0111 从表1和表2中可以看出,不考虑预计算时,W API的性能近似于E AP2T LS,但在预计算存在的情况下,其性能要逊色于E AP2T LS.4　结 论利用BAN类逻辑WK,对W AI的安全机制进行了分析,结果表明W AI无法提供足够级别的安全保护,在其中存在很多的安全缺陷,如无法提供身份保护、在认证环节缺乏私钥验证、不具备如PFS,N on2K CI,密钥控制等相应的安全属性,无法抵抗密钥一致性攻击等.文中指出其主要原因在于认证与密钥协商部分相脱节.文中还从安全性和性能两个方面对W API和IEEE802111i进行了比较.分析表明,W API的安全强度低于IEEE802111i,其性能在不考虑预计算时近似于E AP2T LS,但在预计算存在的情况下,要逊色于E AP2T LS.当然,有关部门已经注意到W API在安全机制中存在的潜在缺陷,并提出了相关改进实施方案.该方案在安全性能上已有显著改善,一些明显安全漏洞已经得到弥补.将在另一篇中具体讨论W API实施方案的性能和安全性问题.412 西安电子科技大学学报(自然科学版) 第32卷参考文献:[1]无线认证保密基础设施(W API ),中华人民共和国国家标准,G B15629111[S]12003.[2]G abriele W ,V olker K.F ormal Semantics for Authentication Logics [A ].C om puter Security 2ES ORIC 96:LNCS 1146[C ].Berlin :S pringer 2Verlag ,1996.2152241.[3]IEEE P802.11i D3.0.S pecification for Enhanced Security [DB/O L ].http ://w w /～mhshin/doc/802111/802111i 2D3101pd f ,2002211230.[4]余斌霄,王新梅1移动通信网中的认证与密钥建立协议[J ]1西安电子科技大学学报,2004,31(1):1242128.[5]Canetti R ,K rawczyk H.Analysis of K ey 2exchange Protocol and Their Use for Building Secure Channels[A ].Proceeding of Eurocrypt2001:LNCS 2045[C].Berlin :S pringer 2Verlag ,2001.4532474.[6]IEEE P1363:S tandard S pecifications for Public K ey cryptography[DB/O L ].http :///groups/1363,1999212220.[7]Diffie W ,O orschot P ,Wiener M.Authentication and Authenticated K ey Exchanges[J ].Designs ,C odes and Cryptography ,1992,2(2):1072125.(编辑:李维东) (上接第192页)仿真结果表明,文中算法对于去除模糊图像中的噪声以及对图像增强的效果是比较明显的.采用图1所示多算法模型数据融合技术,硬件系统的实时性主要取决于3种算法模型中运行时间最长的那一个;而基于卷积运算的上述3种算法又特别适用于FPG A 处理,所以系统实时性可以得到充分保证.常用的图像增强的算法虽然很多,但都有不足之处.采用这种方法增强图像,兼有滤除噪声和增强目标的双重作用,较理想地达到了预期的目的.参考文献:[1]徐　军,梁昌洪,张建奇1一种红外图像增强的新方法[J ]1西安电子科技大学学报,2000,27(5):5462549.[2]过润秋,李俊峰,林晓春1基于并行遗传算法的红外图像增强及相关技术[J ]1西安电子科技大学学报,2004,31(1):628,20.[3]T zannes A P ,Brooks D H.Detecting Small M oving Objects Using T em poral Hypothesis T esting[J ].IEEE T rans on Aerospace andE lectronic System ,2002,38(2):5702586.[4]Shim onomuar K,K ameda S ,Y agi T.S ilicon Retina System Applicable to R obot Vision[A].Proceedings of the 2002International JointC on ference on Neural Netw orks :V ol 3[C].Madrid :UAM ,2002.227622281.[5]Zhao Fang wei ,deS ilva C J e of the Laplacian of G aussian Operator in Prostate Ultras ound Image Processing[A].Proceedings of the20th Annual International C on ference of the IEEE Engineering in Medicine and Biology S ociety ,1998,20(2):8122815.[6]关　欣,唐小明1像素级图像融合方法分类与比较[J ]1火力与指挥控制[J ],2002,27(3):1612164.(编辑:齐淑娟) 512第2期 张　帆等:W API 认证机制的性能和安全性分析。