无线加密WEP、WPA、WPA2及TKIP、AES

时间:2024-04-15 20:23:14

先说结论:如果不懂无线如何配置,一般使用默认即可(实在不行恢复出厂设置),即:

加密方式选用混合模式:WPA_PSK/WPA_PSK2 (个人版选用这个)

加密算法也使用混合模式:TKIP/AES 

2.4G频段尽量使用b/g/n混合标准协议,频宽40MHz,5G使用ac/n/a混合,频宽80MHz。

 

前言:802.11b和11g是低速模式,最高速率分别是11Mbps和54Mbps,11a也是低速模式最高54Mbps,下图是为内部培训做的PPT,可参考各协议标准。

 

1、WEP
WEP(Wired Equivalent Privacy),即有线等效加密协议,是WLAN的第一个安全协议,由802.11标准定义,采用RC4加密算法。RC4是一种密钥长度可变的流加密算法,WLAN服务端和客户端上配置64位或128位密钥。
WEP支持两种链路认证方式:开放系统认证和共享密钥认证。
开放系统认证方式,可以理解为实际上不进行认证。任何STA对AP说“请求验证”,AP均答复“验证通过”。
举个例子,如果你想连接上搜索到的某个无线网络,如果该无线网络采用开放系统认证,你不需要输入任何认证凭证,系统就会提示你已经关联上了该无线网络。 
对于共享密钥认证方式,STA和AP需预先配置相同的密钥,AP在链路认证过程验证两边的密钥是否相同。如果一致,则认证成功;否则,认证失败。
2、WPA/WPA2

WPA可以兼容以前的WEP加密方式,采用TKIP算法(较WEP加密方式有所改进,是一种rc4算法,避免了若IV共计)+MIC算法;

WPA2(WPA的升级)采用AES算法(取代了TKIP)和CCMP算法(取代了MIC);

WPA3于2018.1推出,暂时还没有大规模应用。

目前,WPA和WPA2都可以使用TKIP或AES加密算法,以达到更好的兼容性。WPA/WPA2提供两种接入认证方式:
WPA/WPA2企业版:在大型企业网络中,通常采用802.1X的接入认证方式。802.1X认证是一种基于接口的网络接入控制,用户提供认证所需的凭证,如用户名和密码,通过特定的用户认证服务器(一般是RADIUS服务器)和可扩展认证协议EAP(Extensible Authentication Protocol)实现对用户的认证。
WPA/WPA2个人版:对一些中小型企业网络或者家庭用户,部署一台专用的认证服务器代价过于昂贵,维护也很复杂,通常采用WPA/WPA2预共享密钥模式,即WPA/WPA2_PSK,事先在STA和WLAN设备端配置相同的预共享密钥,然后通过是否能够对协商的消息成功解密,来确定STA配置的预共享密钥是否和WLAN设备配置的预共享密钥相同,从而完成STA的接入认证。

 

3、TKIP和AES

TKIP: Temporal Key Integrity Protocol(暂时密钥集成协议)负责处理无线安全问题的加密部分,TKIP是包裹在已有WEP密码外围的一层“外壳”, 这种加密方式在尽可能使用WEP算法的同时消除了已知的WEP缺点,例如:WEP密码使用的密钥长度为64位和128位,64位的钥匙是非常容易破解的,而且同一局域网内所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而TKIP中密码使用的密钥长度为128位,这就解决了WEP密码使用的密钥长度过短的问题。TKIP另一个重要特性就是变化每个数据包所使用的密钥,这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。WEP的另一个缺点就是“重放攻击(replay attacks)”,而利用TKIP传送的每一个数据包都具有独有的48位序列号,由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序包被检测出来。

 AES:Advanced Encryption Standard(高级加密标准),是美国国家标准与技术研究所用于加密电子数据的规范,该算法汇聚了设计简单、密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并行处理并且可以抵抗所有已知攻击等优点。 AES 是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据 的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换(permutations )和替换(substitutions)输入数据。

应用:当使用WEP或TKIP加密算法时,协议模式会自动切换到低速率模式,因为TKIP和WEP只支持低速率模式,因此建议全部使用混合加密模式。