文/湖北三峡职业技术学院 刘本军
中国船舶集团有限公司第七一〇研究所 杨君
摘 要
随着人们生活水平的提高,越来越多的人开始关注健康生活,包括饮食、运动、睡眠等生活的方方面面。作为身体参数检测设备,体脂秤已经是家庭中不可或缺的产品。体脂秤能够检测包括体重、BMI、体脂肪、体水分等身体多项指标,综合反馈人体当前的健康状况,同时配合App使用,记录测量结果,展示体脂历史变化,提供多项身体参数的分析,已经成为了很多家庭生活的一部分。
体脂秤作为一个物联网终端设备,很多会使用Wi-Fi模块来传输相关数据,但是Wi-Fi网络覆盖范围有一定的局限,而且网络可能会不稳定。本文对一例非典型网络连接故障进行分析,来学习和了解TKIP和AES二种不同的安全加密协议。
关键词:Wi-Fi TKIP AES
最近在使用华为智能体脂秤3Pro时,发现体脂秤数据经常不能同步到华为手机 “运动健康APP”(手机型号为Mate40Pro)上,开始以为是设备电池电量不足,在更换了新的电池之后,故障依旧。于是在“运动健康APP”上删除了“华为智能体脂秤3Pro”设备,重新添加设备时发现了问题,每次配置设备网络到99%就卡了壳,如图1、图2所示。反复重复了十几次均无法解决问题,包括重新启动了路由器、手机、体脂秤等设备。
图1 Wi-Fi配置卡壳
图2 Wi-Fi配置失败提示
初步判断路由器配置可能会有问题,路由器型号为“H3C_Magic_B1”,在使用华为智能体脂秤之前,一直比较稳定。针对Wi-Fi可能出现的典型故障,逐一进行了排查:
1、华为智能体脂秤3Pro暂不支持Wi-Fi的5G网络,如果设备连接的是5G网络,应更换连接2.4G网络,不建议使用默认开启“双频(2.4G/5G)合一”模式,如图3、图4所示。
2、路由器SSID(WLAN名称)不能有汉字或特殊符号,SSID和密码不能太过复杂(不建议超过16位),如果SSID和密码有更改,需重新配网,建议更改成字母+数字这种形式。
3、距离远近会影响Wi-Fi的性能。若距离过远会导致Wi-Fi信号不足,影响连接稳定性,请尽量将体脂秤靠近路由器,并且中间不要有东西遮挡着,同时还应查看路由器当前的连接设备是否过多。
4、路由器WLAN设置正确,建议不要隐藏广播、不要设置MAC地址过滤、黑白名单以及不要开启防蹭网等功能。
图3 Wi-Fi设置
图4 Wi-Fi设置开启双频合一
排查故障工作进行了整整一天,但最终还是没有解决问题,是不是路由器的部分高级设置没有设置正确,才造成现在大部分设备(例如台式机、手机)都能上网,部分物联网设备无法正常联网?带着这个疑问,仔细检查了路由器的高级设置,在“是否加密”和“加密协议”这二项的设置有点拿不准,如图5、图6所示。
使用过无线路由器的都知道,在搭建一个无线网时,是必须设无线网密码的,以保证没有授权的人无法接入连接进网络。无线路由器主要提供了三种无线安全类型:WEP、WPA/WPA2以及WPA-PSK/WPA2-PSK,不一样的安全类型安全设置是不一样的:
1、WEP(Wired Equivalent Privacy):有线等效保密协议,是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。它是一种老式的加密方式,在2003年时就被WPA加密所淘汰,由于其安全性能存在较多不足,很容易被专业人士攻破,不过对于非专业人来说还是比较安全的。其次由于WEP采用的是IEEE 802.11技术,而现在无线路由设备基本都是使用的IEEE 802.11n技术。因此,当使用WEP加密时会影响无线网络设备的传输速率,如果是以前的老式设备只支持IEEE 802.11的话,那么无论使用哪种加密都可以兼容,对无线传输速率没有什么影响。
图5 是否加密
图6 加密协议
2、WPA/WPA2(Wi-Fi Protected Access):Wi-Fi网络安全存取协议,有WPA和WPA2二个版本,是一种保护无线电脑网络安全的系统,它是研究者在WEP中找到的几个弱点而产生的。它继承了WEP的基本原理而又弥补了其缺点,因为加强了生成加密密钥的算法,即使攻击者收集到分组信息并对其进行解析,也无法计算出通用密钥,还同时增加了防止数据中途被篡改的功能和认证功能。WPA2是WPA的增强型版本,新增了支持AES的加密方式。
WPA/WPA2是一种比WEP强壮的加密算法,挑选这种安全类型,路由器将选用Radius服务器进行身份认证并得到密钥的WPA或WPA2安全形式。因此,一般普通家庭用户几乎使用不到这种方式,只有企业用户为了无线加密更安全才会使用此种加密方式,在设备连接无线WI-FI时需要Radius服务器认证,而且还需要输入Radius密码。
3、WPA-PSK/WPA2-PSK(Wi-Fi Protected Access-Pre Shared Key):其实是WPA/WPA2的一种简化版别,PSK(Pre Shared Key)预共用密钥模式,也称为个人模式,是设计给负担不起 802.1X 验证服务器的成本和复杂度的家庭和小型公司网络使用的。它是我们现在家庭网络用户经常设置的加密类型,不过需要注意的是它有TKIP和AES两种加密协议。
(1)TKIP(Temporal Key Integrity Protocol):暂时密钥集成协议,负责处理无线安全问题的加密部分,TKIP是包裹在已有WEP密码外围的一层“外壳”, 这种加密方式在尽可能使用WEP算法的同时消除了已知的缺点,例如:WEP密码使用的密钥长度为40位和128位,40位的钥匙是非常容易破解的,而且同一局域网内所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全,而TKIP中密码使用的密钥长度为128位,这就解决了WEP密码使用的密钥长度过短的问题。
TKIP另一个重要特性就是变化每个数据包所使用的密钥,这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。WEP的另一个缺点就是“重放攻击(replay attacks)”,而利用TKIP传送的每一个数据包都具有独有的48位序列号,由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序包被检测出来。
(2)AES(Advanced Encryption Standard):高级加密标准,是美国国家标准与技术研究所用于加密电子数据的规范,该算法汇聚了设计简单、密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并行处理并且可以抵抗所有已知攻击等优点。它是一个迭代的、对称密钥分组的密码,可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据 的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换和替换输入数据。AES是一个真正的加密算法,不仅仅用于Wi-Fi网络的类型,已经成为一个加密标准,许多家庭网络使用了这个加密标准,不过也需要更新相应路由器硬件。
(3)AES与TKIP的安全性比较:TKIP本质上是一个WEP补丁,解决了攻击者通过获得少量的路由器流量解析出路由器密钥的问题,为了解决这个问题,TKIP每隔几分钟就给出新的密钥,不给攻击者提供足够的数据来破译密钥或算法所依赖的RC4流加密。虽然当时TKIP还提供了一个较为完善的安全升级,但是对于保护网络不受黑客攻击上,它还是存在着不足,其中最大的漏洞被称为“chop-chop attack”,是发生在加密本身释放之前的攻击。攻击者可以利用chop-chop attack截获并分析网络中产生的数据,并最终破译出密钥、明文显示其中的数据。
AES是一个完全独立的加密算法,远远优于TKIP提供的算法。该算法有128位,192位或256位的分组密码。简单来说,我们需要将明文转换为密文,如果没有加密密钥,那么接收的密文看起来就像一个随机字符串。对于传输的另一端设备或人只要拥有密钥,解密后数据就便于观看。路由器端拥有第一密钥,在发送前对数据进行加密。而计算机端拥有第二个密钥,用来解密传输的内容,加密级别(128,192或256位)决定了“混乱数据”的量,这种情况下就会产生大量组合让攻击者无法破解。即使最小级别128位的AES加密,理论上来说也已经牢不可破了,因为就当前的计算能力也需要超过100亿亿年才能破解这个加密算法。
(4)AES与TKIP间的速度比较:TKIP是一种过时的加密方法,而且除了安全问题,它还会减缓系统运行速度。现在大多数较新的路由器(任何802.11n版本或更新)都默认为WPA2-AES加密,如果你有一个旧的路由器,或者出于某种原因选择WPA-TKIP加密,那么电脑运行速度会大大减慢。
如果在任何802.11n的路由器或更新版的安全选项启用WPA TKIP,速度会减慢至54Mbps,因为这个安全协议是为了确保在旧的路由器上正常工作,而支持WPA2-AES加密的802.11ac理想条件下最大速度为3.46Gbps,所以理论上说来AES相较于TKIP要快很多!
AES提供了比 TKIP更加高级的加密技术, 现在无线路由器都提供了这2种算法,不过比较倾向于AES。TKIP安全性不如AES,而且在使用TKIP算法时路由器的吞吐量会下降30%-50%,大大地影响了路由器的性能。回想最近使用WI-FI刷抖音时,经常感觉网速不给力,刚开始以为是网速问题,现在回想起来,与使用TKIP有一定的关系。 笔者猜测华为智能体脂秤为了网络安全,已不再支持TKIP这个比较古老的安全协议,果断修改了路由器“加密协议”为“AES”,然后重新启动路由器之后,华为智能体脂秤3Pro这个非典型网络连接故障就彻底的被解决了!