最近出现的对无线互联网安全标准，特别是对Wi-Fi受保护访问（WPA）安全标准的破解，给企业的网络和敏感商业信息或数据带来了新的威胁。本文介绍了避免遭受这种密码攻击的最佳手段。同时解释了WEP，WPA，WPA2之间的区别，以及对WEP的破解如何导致802.11标准的进化。

    802.11的有线等效加密标准（WEP）已经在7年前就被破解了。Wi-Fi受保护访问（WPA）标准是WEP的第一个替代品。从2003年底开始，所有经过Wi-Fi认证的产品都必须使用WPA。但在2008年底公布的WPA被破解的消息，确切地说是一个对临时密钥完整性协议（TKIP）所使用的消息完整性检查（MIC）的攻击。尽管出现了这次攻击，但并不代表使用WPA的无线局域网络（WLAN）走到了尽头，只能说明该标准存在安全问题，值得我们注意，并需要采取措施避免其所带来的影响。

    预备知识

    要应对最新的这次攻击，我们首先要了解WEP、WPA和WPA2之间的区别，以及对WEP的破解是如何推动802.11标准的发展的。

    WEP使用RC4对无线接入点（AP）和客户端之间交换的数据进行编码，即加密。同时利用循环冗余校验（CRC）来发现错误。任何人都可以记录用WEP加密的数据包，但要想读懂这些数据包的内容，则需要用WEP密钥进行解密。但不幸的是，黑客们很快就掌握了通过分析用WEP加密的数据包来猜出所用的密钥（即破解）的方法。因为对一个特定的无线接入点来说，所有向它发送数据的客户端都使用相同的WEP密钥对全部传送的数据包进行加密。这样，一但破解出数据传送所用的密钥就可以对以后收到的任何人发送的任何数据包进行解密。也就是说802.11标准不能通过使用WEP真正的阻止数据泄露。

    TKIP作为补丁很快就出现了，它弥补了早期无线接入点（AP）和客户端被WEP削弱的安全性。TKIP不再使用相同的密钥来加密每一个数据包，它使用的RC4对每一个数据包分配了不同的密钥。这些随数据包而变的密钥化解了黑客们对WEP加密方法的破解。另外，TKIP还使用了带密钥的消息完整性检查（MIC）技术来发现那些被重放和仿冒的数据包。虽然谁都可以从网络中截获经过TKIP加密的数据包，然后对这些数据包进行修改，最后再将它们发送到网络中去（注入），但这些数据包最终都会被丢弃，因为在对MIC和校验和进行检查时就会发现它们与数据包所携带的数据不匹配。当采用TKIP的无线接入点收到第一个不正确的MIC时，就会发送一个错误报告。如果在60秒内又收到了第二个不正确的数据包，则无线接入点就会停止监听1分钟，然后再为无线局域网更换密钥，即要求所有的客户端都开始使用新的“成对主密钥”去生成MIC密钥和用于每个数据包的各不相同的加密密钥。

    这样就弥补了WEP留下的多个漏洞。任何经过WPA认证的产品都可以利用TKIP和它所使用的MIC抵御对802.11的各种窃听、仿冒和重放攻击（replay attack）。其实早在2003年IEEE就已经知道了还有多种更有效和更鲁棒的方法来实现这种安全性。这就是为什么802.11i定义了基于先进加密标准（AES）的密码块链信息认证码协议（CCMP）来代替TKIP和MIC。现在所有经过Wi-Fi认证的产品都必须支持Wi-Fi保护访问版本2（WPA2），它要求由用户来选择适用于自己的无线局域网的安全方案。经过WPA2认证的无线接入点在与旧的客户端交互时，可以接受TKIP或AES-CCMP安全方案，但在与新的客户端交互时，只支持AES-CCMP。

    挑战WPA的完整性

    如果有读者对密码攻击及其背后的数学问题感兴趣，建议他们去读一读“对WEP和WPA的实际攻击”（Practical attacks against WEP and WPA）这篇文章，这是由研究人员Martin Beck 和Erik Tews撰写并于2008年11月提交到PacSec2008会议上的论文。但我们在这里只是对相关知识作一简单介绍，解释一下最近这次攻击能够实现什么，不能实现什么，以指导读者如何避免成为这种攻击的受害者。

    随着时间的推移，WEP的破解者变得越来越聪明了，他们使用一些名称古怪的新方法，如：Korek、PTW和Chopchop就可以更快地恢复出WEP密钥来。Tews和Beck在十一月份提交的论文中描述了如何应用Chopchop风格的攻击很快地恢复出MIC密钥，而不是WEP密钥或者TKIP成对主密钥。当攻击者获取了用户的MIC密钥后就可以对发往无线客户端的经TKIP加密的数据包进行修改，并重新发送出去。例如，攻击者可以向你的客户端发送一份伪造的ARP应答，使得这些客户端将数据包指向错误的局域网设备。

    那么这种攻击是如何实施的呢？首先，要抓取一个使用TKIP加密的数据包，数据包的内容应该是事先完全知道的。ARP消息就比较合适。因为这种数据包很容易识别，而且它所携带的数据基本上是可以预知的，除了源和目的IP地址的最后一个字节，当然也不包括MIC及校验和。

    然后，对这个加密的数据包进行重放，以试图猜出正确的