文/湖北三峽職業(yè)技術(shù)學(xué)院 劉本軍

　　中國船舶集團(tuán)有限公司第七一〇研究所 楊君

　　摘 要

　　隨著人們生活水平的提高，越來越多的人開始關(guān)注健康生活，包括飲食、運(yùn)動(dòng)、睡眠等生活的方方面面。作為身體參數(shù)檢測設(shè)備，體脂秤已經(jīng)是家庭中不可或缺的產(chǎn)品。體脂秤能夠檢測包括體重、BMI、體脂肪、體水分等身體多項(xiàng)指標(biāo)，綜合反饋人體當(dāng)前的健康狀況，同時(shí)配合App使用，記錄測量結(jié)果，展示體脂歷史變化，提供多項(xiàng)身體參數(shù)的分析，已經(jīng)成為了很多家庭生活的一部分。

　　體脂秤作為一個(gè)物聯(lián)網(wǎng)終端設(shè)備，很多會(huì)使用Wi-Fi模塊來傳輸相關(guān)數(shù)據(jù)，但是Wi-Fi網(wǎng)絡(luò)覆蓋范圍有一定的局限，而且網(wǎng)絡(luò)可能會(huì)不穩(wěn)定。本文對(duì)一例非典型網(wǎng)絡(luò)連接故障進(jìn)行分析，來學(xué)習(xí)和了解TKIP和AES二種不同的安全加密協(xié)議。

　　關(guān)鍵詞：Wi-Fi TKIP AES

　　最近在使用華為智能體脂秤3Pro時(shí)，發(fā)現(xiàn)體脂秤數(shù)據(jù)經(jīng)常不能同步到華為手機(jī) “運(yùn)動(dòng)健康A(chǔ)PP”（手機(jī)型號(hào)為Mate40Pro）上，開始以為是設(shè)備電池電量不足，在更換了新的電池之后，故障依舊。于是在“運(yùn)動(dòng)健康A(chǔ)PP”上刪除了“華為智能體脂秤3Pro”設(shè)備，重新添加設(shè)備時(shí)發(fā)現(xiàn)了問題，每次配置設(shè)備網(wǎng)絡(luò)到99%就卡了殼，如圖1、圖2所示。反復(fù)重復(fù)了十幾次均無法解決問題，包括重新啟動(dòng)了路由器、手機(jī)、體脂秤等設(shè)備。

　　圖1 Wi-Fi配置卡殼

　　圖2 Wi-Fi配置失敗提示

　　初步判斷路由器配置可能會(huì)有問題，路由器型號(hào)為“H3C_Magic_B1”,在使用華為智能體脂秤之前，一直比較穩(wěn)定。針對(duì)Wi-Fi可能出現(xiàn)的典型故障，逐一進(jìn)行了排查：

　　1、華為智能體脂秤3Pro暫不支持Wi-Fi的5G網(wǎng)絡(luò)，如果設(shè)備連接的是5G網(wǎng)絡(luò)，應(yīng)更換連接2.4G網(wǎng)絡(luò)，不建議使用默認(rèn)開啟“雙頻（2.4G/5G）合一”模式，如圖3、圖4所示。

　　2、路由器SSID（WLAN名稱）不能有漢字或特殊符號(hào)，SSID和密碼不能太過復(fù)雜（不建議超過16位），如果SSID和密碼有更改，需重新配網(wǎng)，建議更改成字母+數(shù)字這種形式。

　　3、距離遠(yuǎn)近會(huì)影響Wi-Fi的性能。若距離過遠(yuǎn)會(huì)導(dǎo)致Wi-Fi信號(hào)不足，影響連接穩(wěn)定性，請(qǐng)盡量將體脂秤靠近路由器，并且中間不要有東西遮擋著，同時(shí)還應(yīng)查看路由器當(dāng)前的連接設(shè)備是否過多。

　　4、路由器WLAN設(shè)置正確，建議不要隱藏廣播、不要設(shè)置MAC地址過濾、黑白名單以及不要開啟防蹭網(wǎng)等功能。

　　圖3 Wi-Fi設(shè)置

　　圖4 Wi-Fi設(shè)置開啟雙頻合一

　　排查故障工作進(jìn)行了整整一天，但最終還是沒有解決問題，是不是路由器的部分高級(jí)設(shè)置沒有設(shè)置正確，才造成現(xiàn)在大部分設(shè)備（例如臺(tái)式機(jī)、手機(jī)）都能上網(wǎng)，部分物聯(lián)網(wǎng)設(shè)備無法正常聯(lián)網(wǎng)？帶著這個(gè)疑問，仔細(xì)檢查了路由器的高級(jí)設(shè)置，在“是否加密”和“加密協(xié)議”這二項(xiàng)的設(shè)置有點(diǎn)拿不準(zhǔn)，如圖5、圖6所示。

　　使用過無線路由器的都知道，在搭建一個(gè)無線網(wǎng)時(shí)，是必須設(shè)無線網(wǎng)密碼的，以保證沒有授權(quán)的人無法接入連接進(jìn)網(wǎng)絡(luò)。無線路由器主要提供了三種無線安全類型：WEP、WPA/WPA2以及WPA-PSK/WPA2-PSK，不一樣的安全類型安全設(shè)置是不一樣的：

　　1、WEP（Wired Equivalent Privacy）：有線等效保密協(xié)議，是對(duì)在兩臺(tái)設(shè)備間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式，用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。它是一種老式的加密方式，在2003年時(shí)就被WPA加密所淘汰，由于其安全性能存在較多不足，很容易被專業(yè)人士攻破，不過對(duì)于非專業(yè)人來說還是比較安全的。其次由于WEP采用的是IEEE 802.11技術(shù)，而現(xiàn)在無線路由設(shè)備基本都是使用的IEEE 802.11n技術(shù)。因此，當(dāng)使用WEP加密時(shí)會(huì)影響無線網(wǎng)絡(luò)設(shè)備的傳輸速率，如果是以前的老式設(shè)備只支持IEEE 802.11的話，那么無論使用哪種加密都可以兼容，對(duì)無線傳輸速率沒有什么影響。

　　圖5 是否加密

　　圖6 加密協(xié)議

　　2、WPA/WPA2(Wi-Fi Protected Access)：Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議，有WPA和WPA2二個(gè)版本，是一種保護(hù)無線電腦網(wǎng)絡(luò)安全的系統(tǒng)，它是研究者在WEP中找到的幾個(gè)弱點(diǎn)而產(chǎn)生的。它繼承了WEP的基本原理而又彌補(bǔ)了其缺點(diǎn)，因?yàn)榧訌?qiáng)了生成加密密鑰的算法，即使攻擊者收集到分組信息并對(duì)其進(jìn)行解析，也無法計(jì)算出通用密鑰，還同時(shí)增加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。WPA2是WPA的增強(qiáng)型版本，新增了支持AES的加密方式。

　　WPA/WPA2是一種比WEP強(qiáng)壯的加密算法，挑選這種安全類型，路由器將選用Radius服務(wù)器進(jìn)行身份認(rèn)證并得到密鑰的WPA或WPA2安全形式。因此，一般普通家庭用戶幾乎使用不到這種方式，只有企業(yè)用戶為了無線加密更安全才會(huì)使用此種加密方式，在設(shè)備連接無線WI-FI時(shí)需要Radius服務(wù)器認(rèn)證，而且還需要輸入Radius密碼。

　　3、WPA-PSK/WPA2-PSK(Wi-Fi Protected Access-Pre Shared Key)：其實(shí)是WPA/WPA2的一種簡化版別，PSK（Pre Shared Key）預(yù)共用密鑰模式，也稱為個(gè)人模式,是設(shè)計(jì)給負(fù)擔(dān)不起 802.1X 驗(yàn)證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)使用的。它是我們現(xiàn)在家庭網(wǎng)絡(luò)用戶經(jīng)常設(shè)置的加密類型，不過需要注意的是它有TKIP和AES兩種加密協(xié)議。

　　（1）TKIP（Temporal Key Integrity Protocol）：暫時(shí)密鑰集成協(xié)議，負(fù)責(zé)處理無線安全問題的加密部分，TKIP是包裹在已有WEP密碼外圍的一層“外殼”， 這種加密方式在盡可能使用WEP算法的同時(shí)消除了已知的缺點(diǎn)，例如：WEP密碼使用的密鑰長度為40位和128位，40位的鑰匙是非常容易破解的，而且同一局域網(wǎng)內(nèi)所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全，而TKIP中密碼使用的密鑰長度為128位，這就解決了WEP密碼使用的密鑰長度過短的問題。

　　TKIP另一個(gè)重要特性就是變化每個(gè)數(shù)據(jù)包所使用的密鑰，這就是它名稱中“動(dòng)態(tài)”的出處。密鑰通過將多種因素混合在一起生成，包括基本密鑰（即TKIP中所謂的成對(duì)瞬時(shí)密鑰）、發(fā)射站的MAC地址以及數(shù)據(jù)包的序列號(hào)?；旌喜僮髟谠O(shè)計(jì)上將對(duì)無線站和接入點(diǎn)的要求減少到最低程度，但仍具有足夠的密碼強(qiáng)度，使它不能被輕易破譯。WEP的另一個(gè)缺點(diǎn)就是“重放攻擊（replay attacks）”，而利用TKIP傳送的每一個(gè)數(shù)據(jù)包都具有獨(dú)有的48位序列號(hào)，由于48位序列號(hào)需要數(shù)千年時(shí)間才會(huì)出現(xiàn)重復(fù)，因此沒有人可以重放來自無線連接的老數(shù)據(jù)包：由于序列號(hào)不正確，這些數(shù)據(jù)包將作為失序包被檢測出來。

　?。?）AES（Advanced Encryption Standard）：高級(jí)加密標(biāo)準(zhǔn)，是美國國家標(biāo)準(zhǔn)與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范，該算法匯聚了設(shè)計(jì)簡單、密鑰安裝快、需要的內(nèi)存空間少、在所有的平臺(tái)上運(yùn)行良好、支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點(diǎn)。它是一個(gè)迭代的、對(duì)稱密鑰分組的密碼，可以使用128、192 和 256 位密鑰，并且用 128 位（16字節(jié)）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對(duì)不同，對(duì)稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù) 的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個(gè)循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。AES是一個(gè)真正的加密算法，不僅僅用于Wi-Fi網(wǎng)絡(luò)的類型，已經(jīng)成為一個(gè)加密標(biāo)準(zhǔn)，許多家庭網(wǎng)絡(luò)使用了這個(gè)加密標(biāo)準(zhǔn)，不過也需要更新相應(yīng)路由器硬件。

　　（3）AES與TKIP的安全性比較：TKIP本質(zhì)上是一個(gè)WEP補(bǔ)丁，解決了攻擊者通過獲得少量的路由器流量解析出路由器密鑰的問題，為了解決這個(gè)問題，TKIP每隔幾分鐘就給出新的密鑰，不給攻擊者提供足夠的數(shù)據(jù)來破譯密鑰或算法所依賴的RC4流加密。雖然當(dāng)時(shí)TKIP還提供了一個(gè)較為完善的安全升級(jí)，但是對(duì)于保護(hù)網(wǎng)絡(luò)不受黑客攻擊上，它還是存在著不足，其中最大的漏洞被稱為“chop-chop attack”，是發(fā)生在加密本身釋放之前的攻擊。攻擊者可以利用chop-chop attack截獲并分析網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)，并最終破譯出密鑰、明文顯示其中的數(shù)據(jù)。

　　AES是一個(gè)完全獨(dú)立的加密算法，遠(yuǎn)遠(yuǎn)優(yōu)于TKIP提供的算法。該算法有128位，192位或256位的分組密碼。簡單來說，我們需要將明文轉(zhuǎn)換為密文，如果沒有加密密鑰，那么接收的密文看起來就像一個(gè)隨機(jī)字符串。對(duì)于傳輸?shù)牧硪欢嗽O(shè)備或人只要擁有密鑰，解密后數(shù)據(jù)就便于觀看。路由器端擁有第一密鑰，在發(fā)送前對(duì)數(shù)據(jù)進(jìn)行加密。而計(jì)算機(jī)端擁有第二個(gè)密鑰，用來解密傳輸?shù)膬?nèi)容，加密級(jí)別（128，192或256位）決定了“混亂數(shù)據(jù)”的量，這種情況下就會(huì)產(chǎn)生大量組合讓攻擊者無法破解。即使最小級(jí)別128位的AES加密，理論上來說也已經(jīng)牢不可破了，因?yàn)榫彤?dāng)前的計(jì)算能力也需要超過100億億年才能破解這個(gè)加密算法。

　?。?）AES與TKIP間的速度比較：TKIP是一種過時(shí)的加密方法，而且除了安全問題，它還會(huì)減緩系統(tǒng)運(yùn)行速度?，F(xiàn)在大多數(shù)較新的路由器（任何802.11n版本或更新）都默認(rèn)為WPA2-AES加密，如果你有一個(gè)舊的路由器，或者出于某種原因選擇WPA-TKIP加密，那么電腦運(yùn)行速度會(huì)大大減慢。

　　如果在任何802.11n的路由器或更新版的安全選項(xiàng)啟用WPA TKIP，速度會(huì)減慢至54Mbps，因?yàn)檫@個(gè)安全協(xié)議是為了確保在舊的路由器上正常工作，而支持WPA2-AES加密的802.11ac理想條件下最大速度為3.46Gbps，所以理論上說來AES相較于TKIP要快很多！

　　AES提供了比 TKIP更加高級(jí)的加密技術(shù)， 現(xiàn)在無線路由器都提供了這2種算法，不過比較傾向于AES。TKIP安全性不如AES，而且在使用TKIP算法時(shí)路由器的吞吐量會(huì)下降30%-50%，大大地影響了路由器的性能。回想最近使用WI-FI刷抖音時(shí)，經(jīng)常感覺網(wǎng)速不給力，剛開始以為是網(wǎng)速問題，現(xiàn)在回想起來，與使用TKIP有一定的關(guān)系。   筆者猜測華為智能體脂秤為了網(wǎng)絡(luò)安全，已不再支持TKIP這個(gè)比較古老的安全協(xié)議，果斷修改了路由器“加密協(xié)議”為“AES”，然后重新啟動(dòng)路由器之后，華為智能體脂秤3Pro這個(gè)非典型網(wǎng)絡(luò)連接故障就徹底的被解決了！