WEP 安全分析：原理、漏洞及破解方法

WEP加密的基本原理是使用共享密钥和 RC4 加密算法对无线局域网中链路层信息数据进行保密。对于每个数据包，WEP 标准要求传输程序创建一个特定干数据包的初始化向量 IV 与密钥相组合在一起，用于对数据包进行加密。接收器生成自己的匹配数据包密钥并用之对数据包进行解密。

然而，WEP 存在多个安全问题，包括 RC4 算法的缺陷、IV 重用危机和使用静态的密钥等。攻击者可以利用这些缺陷来破解密钥、恢复明文和构造解密表等，从而窃取无线局域网中的敏感信息。

RC4 算法缺陷

RC4 算法本身就有一个小缺陷，攻击者可以利用这个缺陷来破解密钥。RC4 是一个序列密码加密算法，发送者用一个密钥序列和明文异或产生密文，接收者用相同的密钥序列与密文异或以恢复明文。如果攻击者获得由相同的密钥流序列加密后得到的两段密文，将两段密文异或，生成的也就是两段明文的异或，因而能消除密钥的影响。通过统计分析以及对密文中冗余信息进行分析，就可以推断出明文，因而重复使用相同的密钥是不安全的。这种加密方式要求不能用相同的密钥序列加密两个不同的消息，否则攻击者将可能得到两条明文的异或值，如果攻击者知道一条明文的某些部分，那么另一条明文的对应部分就可被恢复出来。

IV 重用危机

WEP 标准允许 IV 重复使用，这一特性会使得攻击 WEP 变得更加容易。人们知道，密钥序列是由 IV 和密钥 K 共同决定的，而大部分情况下用户普遍使用的是密钥 K 为 0 的初始 KEY，密钥序列的改变就由 IV 来决定，所以使用相同 IV 的两个数据包其 RC4 密钥必然相同，如果窃听者截获了两个（或更多）使用相同密钥的加密包，他就可以用它们进行统计攻击以恢复明文。

而在无线网络中，要获得两个这样的加密包并不难。由于 IV 的长度为 24b，也就是说密钥的选择范围只有 224，这使得相同的密钥在短时间内将出现重用，尤其对于通信繁忙的站点。例如，对一个 IEEE802.11b 的访问点 AP，若以 11Mb/s 的速率，发送长度为 1500B 的数据包，则在约 5h 之后将发生 IV 重用问题。实际上，因为许多数据帧长度小于 1500B 所以时间会更短，即 IV 冲突时间小于 5h，意味着攻击者 5h 之内可以收集到使用相同密钥的两个加密包。而且，测试中发现，部分 PCMCIA802.11 无线网卡中，在初始化时 IV 复位成 0 然后每传输一帧 IV 就加 1。由于每次启动无线网卡时都会发生初始化，因而，IV 为低值的密钥将经常出现。在 IEEE802.11 标准中，为每一个数据包更改 IV 是可选的，如果 IV 不变，将会有更多的密钥重用。如果所有的移动站共享同一 WEP 密钥，则使用同一密钥的数据包也将频繁出现，密钥被破解的机会就更大。更糟糕的是，IV 以明文的形式传递，可被攻击者用来判断哪些 IV 发生了冲突。

另外，因为 IV 向量空间较小，所以攻击者可以构造一个解密表，从而发起‘字典攻击’。当攻击者得知一些加密包的明文，便可以计算 RC4 密钥，该密钥可用于对所有使用相同 IV 的其他数据包的解密。随着时间的推移，就可以构造一个 IV 和密钥的对应表，一旦该表建成，此后所有经无线网络发送的地址相同的数据包都可以被解密。此表包括 224 个数据项。每项的最大字节数是 1500，表的大小为 24GB。要完成构造这样一部‘字典’需要积累足够多的数据，虽然繁杂，但一旦形成了表，以后的解密将非常快捷。

使用静态的密钥

WEP 没有完善密钥管理机制，它没有定义如何生成以及如何对它更新。AP 和它所有的工作站之间共享一个静态密钥，这本身就使密钥的保密性降低。同时，更新密钥意味着要对所有的 AP 和工作站的配置进行更改，而 WEP 标准不提供自动修改密钥的方法，因此，用户只能手动对 AP 及其工作站重新设置密钥；但是，在实际情况中，几乎没人会去修改密钥，这样就会将他们的无线局域网暴露给收集流量和破解密钥的被动攻击。

总结

WEP 存在着严重的安全性漏洞，攻击者可以利用这些漏洞轻松破解密钥，窃取无线局域网中的敏感信息。因此，在实际应用中，强烈建议用户不要使用 WEP 加密，而应该采用更安全的加密协议，例如 WPA2 或 WPA3。