無線加密WEP、WPA、WPA2及TKIP、AES
先說結論:如果不懂無線如何配置,一般使用預設即可(實在不行恢復出廠設定),即:
加密方式選用混合模式:WPA_PSK/WPA_PSK2 (個人版選用這個)
加密演算法也使用混合模式:TKIP/AES
2.4G頻段儘量使用b/g/n混合標準協議,頻寬40MHz,5G使用ac/n/a混合,頻寬80MHz。
前言:802.11b和11g是低速模式,最高速率分別是11Mbps和54Mbps,11a也是低速模式最高54Mbps,下圖是為內部培訓做的PPT,可參考各協議標準。
1、WEP
WEP(Wired Equivalent Privacy),即有線等效加密協議,是WLAN的第一個安全協議,由802.11標準定義,採用RC4加密演算法。RC4是一種金鑰長度可變的流加密演算法,WLAN服務端和客戶端上配置64位或128位金鑰。
WEP支援兩種鏈路認證方式:開放系統認證和共享金鑰認證。
開放系統認證方式,可以理解為實際上不進行認證。任何STA對AP說“請求驗證”,AP均答覆“驗證通過”。
舉個例子,如果你想連線上搜索到的某個無線網路,如果該無線網路採用開放系統認證,你不需要輸入任何認證憑證,系統就會提示你已經關聯上了該無線網路。
對於共享金鑰認證方式,STA和AP需預先配置相同的金鑰,AP在鏈路認證過程驗證兩邊的金鑰是否相同。如果一致,則認證成功;否則,認證失敗。
2、WPA/WPA2
WPA可以相容以前的WEP加密方式,採用TKIP演算法(較WEP加密方式有所改進,是一種rc4演算法,避免了若IV共計)+MIC演算法;
WPA2(WPA的升級)採用AES演算法(取代了TKIP)和CCMP演算法(取代了MIC);
WPA3於2018.1推出,暫時還沒有大規模應用。
目前,WPA和WPA2都可以使用TKIP或AES加密演算法,以達到更好的相容性。WPA/WPA2提供兩種接入認證方式:
WPA/WPA2企業版:在大型企業網路中,通常採用802.1X的接入認證方式。802.1X認證是一種基於介面的網路接入控制,使用者提供認證所需的憑證,如使用者名稱和密碼,通過特定的使用者認證伺服器(一般是RADIUS伺服器)和可擴充套件認證協議EAP(Extensible Authentication Protocol)實現對使用者的認證。
WPA/WPA2個人版:對一些中小型企業網路或者家庭使用者,部署一臺專用的認證伺服器代價過於昂貴,維護也很複雜,通常採用WPA/WPA2預共享金鑰模式,即WPA/WPA2_PSK,事先在STA和WLAN裝置端配置相同的預共享金鑰,然後通過是否能夠對協商的訊息成功解密,來確定STA配置的預共享金鑰是否和WLAN裝置配置的預共享金鑰相同,從而完成STA的接入認證。
3、TKIP和AES
TKIP: Temporal Key Integrity Protocol(暫時金鑰整合協議)負責處理無線安全問題的加密部分,TKIP是包裹在已有WEP密碼外圍的一層“外殼”, 這種加密方式在儘可能使用WEP演算法的同時消除了已知的WEP缺點,例如:WEP密碼使用的金鑰長度為64位和128位,64位的鑰匙是非常容易破解的,而且同一區域網內所有使用者都共享同一個金鑰,一個使用者丟失鑰匙將使整個網路不安全。而TKIP中密碼使用的金鑰長度為128位,這就解決了WEP密碼使用的金鑰長度過短的問題。TKIP另一個重要特性就是變化每個資料包所使用的金鑰,這就是它名稱中“動態”的出處。金鑰通過將多種因素混合在一起生成,包括基本金鑰(即TKIP中所謂的成對瞬時金鑰)、發射站的MAC地址以及資料包的序列號。混合操作在設計上將對無線站和接入點的要求減少到最低程度,但仍具有足夠的密碼強度,使它不能被輕易破譯。WEP的另一個缺點就是“重放攻擊(replay attacks)”,而利用TKIP傳送的每一個數據包都具有獨有的48位序列號,由於48位序列號需要數千年時間才會出現重複,因此沒有人可以重放來自無線連線的老資料包:由於序列號不正確,這些資料包將作為失序包被檢測出來。
AES:Advanced Encryption Standard(高階加密標準),是美國國家標準與技術研究所用於加密電子資料的規範,該演算法匯聚了設計簡單、金鑰安裝快、需要的記憶體空間少、在所有的平臺上執行良好、支援並行處理並且可以抵抗所有已知攻擊等優點。 AES 是一個迭代的、對稱金鑰分組的密碼,它可以使用128、192 和 256 位金鑰,並且用 128 位(16位元組)分組加密和解密資料。與公共金鑰密碼使用金鑰對不同,對稱金鑰密碼使用相同的金鑰加密和解密資料。通過分組密碼返回的加密資料 的位數與輸入資料相同。迭代加密使用一個迴圈結構,在該迴圈中重複置換(permutations )和替換(substitutions)輸入資料。
應用:當使用WEP或TKIP加密演算法時,協議模式會自動切換到低速率模式,因為TKIP和WEP只支援低速率模式,因此建議全部使用混合加密模式。