文/湖北三峽職業(yè)技術(shù)學(xué)院 劉本軍

　　中國船舶集團有限公司第七一〇研究所 楊君

　　摘 要

　　隨著人們生活水平的提高，越來越多的人開始關(guān)注健康生活，包括飲食、運動、睡眠等生活的方方面面。作為身體參數(shù)檢測設(shè)備，體脂秤已經(jīng)是家庭中不可或缺的產(chǎn)品。體脂秤能夠檢測包括體重、BMI、體脂肪、體水分等身體多項指標(biāo)，綜合反饋人體當(dāng)前的健康狀況，同時配合App使用，記錄測量結(jié)果，展示體脂歷史變化，提供多項身體參數(shù)的分析，已經(jīng)成為了很多家庭生活的一部分。

　　體脂秤作為一個物聯(lián)網(wǎng)終端設(shè)備，很多會使用Wi-Fi模塊來傳輸相關(guān)數(shù)據(jù)，但是Wi-Fi網(wǎng)絡(luò)覆蓋范圍有一定的局限，而且網(wǎng)絡(luò)可能會不穩(wěn)定。本文對一例非典型網(wǎng)絡(luò)連接故障進行分析，來學(xué)習(xí)和了解TKIP和AES二種不同的安全加密協(xié)議。

　　關(guān)鍵詞：Wi-Fi TKIP AES

　　最近在使用華為智能體脂秤3Pro時，發(fā)現(xiàn)體脂秤數(shù)據(jù)經(jīng)常不能同步到華為手機 “運動健康A(chǔ)PP”（手機型號為Mate40Pro）上，開始以為是設(shè)備電池電量不足，在更換了新的電池之后，故障依舊。于是在“運動健康A(chǔ)PP”上刪除了“華為智能體脂秤3Pro”設(shè)備，重新添加設(shè)備時發(fā)現(xiàn)了問題，每次配置設(shè)備網(wǎng)絡(luò)到99%就卡了殼，如圖1、圖2所示。反復(fù)重復(fù)了十幾次均無法解決問題，包括重新啟動了路由器、手機、體脂秤等設(shè)備。

　　圖1 Wi-Fi配置卡殼

　　圖2 Wi-Fi配置失敗提示

　　初步判斷路由器配置可能會有問題，路由器型號為“H3C_Magic_B1”,在使用華為智能體脂秤之前，一直比較穩(wěn)定。針對Wi-Fi可能出現(xiàn)的典型故障，逐一進行了排查：

　　1、華為智能體脂秤3Pro暫不支持Wi-Fi的5G網(wǎng)絡(luò)，如果設(shè)備連接的是5G網(wǎng)絡(luò)，應(yīng)更換連接2.4G網(wǎng)絡(luò)，不建議使用默認開啟“雙頻（2.4G/5G）合一”模式，如圖3、圖4所示。

　　2、路由器SSID（WLAN名稱）不能有漢字或特殊符號，SSID和密碼不能太過復(fù)雜（不建議超過16位），如果SSID和密碼有更改，需重新配網(wǎng)，建議更改成字母+數(shù)字這種形式。

　　3、距離遠近會影響Wi-Fi的性能。若距離過遠會導(dǎo)致Wi-Fi信號不足，影響連接穩(wěn)定性，請盡量將體脂秤靠近路由器，并且中間不要有東西遮擋著，同時還應(yīng)查看路由器當(dāng)前的連接設(shè)備是否過多。

　　4、路由器WLAN設(shè)置正確，建議不要隱藏廣播、不要設(shè)置MAC地址過濾、黑白名單以及不要開啟防蹭網(wǎng)等功能。

　　圖3 Wi-Fi設(shè)置

　　圖4 Wi-Fi設(shè)置開啟雙頻合一

　　排查故障工作進行了整整一天，但最終還是沒有解決問題，是不是路由器的部分高級設(shè)置沒有設(shè)置正確，才造成現(xiàn)在大部分設(shè)備（例如臺式機、手機）都能上網(wǎng)，部分物聯(lián)網(wǎng)設(shè)備無法正常聯(lián)網(wǎng)？帶著這個疑問，仔細檢查了路由器的高級設(shè)置，在“是否加密”和“加密協(xié)議”這二項的設(shè)置有點拿不準，如圖5、圖6所示。

　　使用過無線路由器的都知道，在搭建一個無線網(wǎng)時，是必須設(shè)無線網(wǎng)密碼的，以保證沒有授權(quán)的人無法接入連接進網(wǎng)絡(luò)。無線路由器主要提供了三種無線安全類型：WEP、WPA/WPA2以及WPA-PSK/WPA2-PSK，不一樣的安全類型安全設(shè)置是不一樣的：

　　1、WEP（Wired Equivalent Privacy）：有線等效保密協(xié)議，是對在兩臺設(shè)備間無線傳輸?shù)臄?shù)據(jù)進行加密的方式，用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。它是一種老式的加密方式，在2003年時就被WPA加密所淘汰，由于其安全性能存在較多不足，很容易被專業(yè)人士攻破，不過對于非專業(yè)人來說還是比較安全的。其次由于WEP采用的是IEEE 802.11技術(shù)，而現(xiàn)在無線路由設(shè)備基本都是使用的IEEE 802.11n技術(shù)。因此，當(dāng)使用WEP加密時會影響無線網(wǎng)絡(luò)設(shè)備的傳輸速率，如果是以前的老式設(shè)備只支持IEEE 802.11的話，那么無論使用哪種加密都可以兼容，對無線傳輸速率沒有什么影響。

　　圖5 是否加密

　　圖6 加密協(xié)議

　　2、WPA/WPA2(Wi-Fi Protected Access)：Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議，有WPA和WPA2二個版本，是一種保護無線電腦網(wǎng)絡(luò)安全的系統(tǒng)，它是研究者在WEP中找到的幾個弱點而產(chǎn)生的。它繼承了WEP的基本原理而又彌補了其缺點，因為加強了生成加密密鑰的算法，即使攻擊者收集到分組信息并對其進行解析，也無法計算出通用密鑰，還同時增加了防止數(shù)據(jù)中途被篡改的功能和認證功能。WPA2是WPA的增強型版本，新增了支持AES的加密方式。

　　WPA/WPA2是一種比WEP強壯的加密算法，挑選這種安全類型，路由器將選用Radius服務(wù)器進行身份認證并得到密鑰的WPA或WPA2安全形式。因此，一般普通家庭用戶幾乎使用不到這種方式，只有企業(yè)用戶為了無線加密更安全才會使用此種加密方式，在設(shè)備連接無線WI-FI時需要Radius服務(wù)器認證，而且還需要輸入Radius密碼。

　　3、WPA-PSK/WPA2-PSK(Wi-Fi Protected Access-Pre Shared Key)：其實是WPA/WPA2的一種簡化版別，PSK（Pre Shared Key）預(yù)共用密鑰模式，也稱為個人模式,是設(shè)計給負擔(dān)不起 802.1X 驗證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)使用的。它是我們現(xiàn)在家庭網(wǎng)絡(luò)用戶經(jīng)常設(shè)置的加密類型，不過需要注意的是它有TKIP和AES兩種加密協(xié)議。

　?。?）TKIP（Temporal Key Integrity Protocol）：暫時密鑰集成協(xié)議，負責(zé)處理無線安全問題的加密部分，TKIP是包裹在已有WEP密碼外圍的一層“外殼”， 這種加密方式在盡可能使用WEP算法的同時消除了已知的缺點，例如：WEP密碼使用的密鑰長度為40位和128位，40位的鑰匙是非常容易破解的，而且同一局域網(wǎng)內(nèi)所有用戶都共享同一個密鑰，一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全，而TKIP中密碼使用的密鑰長度為128位，這就解決了WEP密碼使用的密鑰長度過短的問題。

　　TKIP另一個重要特性就是變化每個數(shù)據(jù)包所使用的密鑰，這就是它名稱中“動態(tài)”的出處。密鑰通過將多種因素混合在一起生成，包括基本密鑰（即TKIP中所謂的成對瞬時密鑰）、發(fā)射站的MAC地址以及數(shù)據(jù)包的序列號?；旌喜僮髟谠O(shè)計上將對無線站和接入點的要求減少到最低程度，但仍具有足夠的密碼強度，使它不能被輕易破譯。WEP的另一個缺點就是“重放攻擊（replay attacks）”，而利用TKIP傳送的每一個數(shù)據(jù)包都具有獨有的48位序列號，由于48位序列號需要數(shù)千年時間才會出現(xiàn)重復(fù)，因此沒有人可以重放來自無線連接的老數(shù)據(jù)包：由于序列號不正確，這些數(shù)據(jù)包將作為失序包被檢測出來。

　?。?）AES（Advanced Encryption Standard）：高級加密標(biāo)準，是美國國家標(biāo)準與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范，該算法匯聚了設(shè)計簡單、密鑰安裝快、需要的內(nèi)存空間少、在所有的平臺上運行良好、支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點。它是一個迭代的、對稱密鑰分組的密碼，可以使用128、192 和 256 位密鑰，并且用 128 位（16字節(jié)）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù) 的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。AES是一個真正的加密算法，不僅僅用于Wi-Fi網(wǎng)絡(luò)的類型，已經(jīng)成為一個加密標(biāo)準，許多家庭網(wǎng)絡(luò)使用了這個加密標(biāo)準，不過也需要更新相應(yīng)路由器硬件。

　?。?）AES與TKIP的安全性比較：TKIP本質(zhì)上是一個WEP補丁，解決了攻擊者通過獲得少量的路由器流量解析出路由器密鑰的問題，為了解決這個問題，TKIP每隔幾分鐘就給出新的密鑰，不給攻擊者提供足夠的數(shù)據(jù)來破譯密鑰或算法所依賴的RC4流加密。雖然當(dāng)時TKIP還提供了一個較為完善的安全升級，但是對于保護網(wǎng)絡(luò)不受黑客攻擊上，它還是存在著不足，其中最大的漏洞被稱為“chop-chop attack”，是發(fā)生在加密本身釋放之前的攻擊。攻擊者可以利用chop-chop attack截獲并分析網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)，并最終破譯出密鑰、明文顯示其中的數(shù)據(jù)。

　　AES是一個完全獨立的加密算法，遠遠優(yōu)于TKIP提供的算法。該算法有128位，192位或256位的分組密碼。簡單來說，我們需要將明文轉(zhuǎn)換為密文，如果沒有加密密鑰，那么接收的密文看起來就像一個隨機字符串。對于傳輸?shù)牧硪欢嗽O(shè)備或人只要擁有密鑰，解密后數(shù)據(jù)就便于觀看。路由器端擁有第一密鑰，在發(fā)送前對數(shù)據(jù)進行加密。而計算機端擁有第二個密鑰，用來解密傳輸?shù)膬?nèi)容，加密級別（128，192或256位）決定了“混亂數(shù)據(jù)”的量，這種情況下就會產(chǎn)生大量組合讓攻擊者無法破解。即使最小級別128位的AES加密，理論上來說也已經(jīng)牢不可破了，因為就當(dāng)前的計算能力也需要超過100億億年才能破解這個加密算法。

　?。?）AES與TKIP間的速度比較：TKIP是一種過時的加密方法，而且除了安全問題，它還會減緩系統(tǒng)運行速度?，F(xiàn)在大多數(shù)較新的路由器（任何802.11n版本或更新）都默認為WPA2-AES加密，如果你有一個舊的路由器，或者出于某種原因選擇WPA-TKIP加密，那么電腦運行速度會大大減慢。

　　如果在任何802.11n的路由器或更新版的安全選項啟用WPA TKIP，速度會減慢至54Mbps，因為這個安全協(xié)議是為了確保在舊的路由器上正常工作，而支持WPA2-AES加密的802.11ac理想條件下最大速度為3.46Gbps，所以理論上說來AES相較于TKIP要快很多！

　　AES提供了比 TKIP更加高級的加密技術(shù)， 現(xiàn)在無線路由器都提供了這2種算法，不過比較傾向于AES。TKIP安全性不如AES，而且在使用TKIP算法時路由器的吞吐量會下降30%-50%，大大地影響了路由器的性能。回想最近使用WI-FI刷抖音時，經(jīng)常感覺網(wǎng)速不給力，剛開始以為是網(wǎng)速問題，現(xiàn)在回想起來，與使用TKIP有一定的關(guān)系。   筆者猜測華為智能體脂秤為了網(wǎng)絡(luò)安全，已不再支持TKIP這個比較古老的安全協(xié)議，果斷修改了路由器“加密協(xié)議”為“AES”，然后重新啟動路由器之后，華為智能體脂秤3Pro這個非典型網(wǎng)絡(luò)連接故障就徹底的被解決了！