查看: 1054|回复: 9

[分享] 关于路由器无线密码的问题。。。

131 回帖	674 积分	187 小时在线时间

中尉

注册时间: 2015-5-17

金币: 516 个

威望: 0 个

荣誉: 0 个

发消息

尚未签到

发表于 2016-9-13 08:35 |显示全部楼层

本帖最后由 hyyh 于 2016-9-13 10:58 编辑

https://kknews.cc/tech/9nz9nl.html 这是科普贴

话说在坛子里泡了那么久了还在加密网络？？？白混了吧。。。

實測：路由器不加密的速度竟然更快

Posted on 2016-09-07 in 科技

我遇到很多用戶都在抱怨同一個問題，為啥家裡的網絡始終卡卡的，即便是升級了帶寬也一樣。如果我今天告訴你，其實無線路由器不加密的速度比加密速度更快你信嗎？在搞清楚原因之前，我們先了解一下加密技術！
加密技術與加密協議
從IEEE802.11b起到目前為止一共產生了兩種加密算法和兩種加密協議。它們分別為RC4加密算法和AES加密算法，加密算法是一種純粹的數據方法，有興趣的讀者可以查閱相關的文檔，這裡不做詳細介紹。對無線網絡而言，密鑰管理才是最核心的，只有加密依賴的密鑰足夠強大，才能保證加密數據的安全性，密鑰管理就是常說的加密協議。理論上，加密技術和加密協議可以兩兩自由排列組合，形成多種組合加密方式。但由於加密技術需要硬體支撐，實際上，它們之間的組合是有一定限制的。為了看起來更清晰易懂，我們採用與無線路由器中對應的設置來進行闡述。
ADVERTISEMENT

實現RC4的加密過程
【WEP加密】
即最早的無線加密方式，它採用RC4算法來保證數據的保密性，通過共享密鑰來實現認證。WEP沒有規定密鑰的管理方案，一般手動進行密鑰的配置與維護。通常稱為手動WEP或者靜態WEP。
WEP加密密鑰的長度一般有64位和128位兩種。密鑰的組成為：共享密鑰+IV（Initialization Vector，初始化向量），共享密鑰即用戶手動配置的密碼，分別為40位（對應64位密鑰）和104位（對應128位密鑰）；IV部分由系統產生，占24位。整個密鑰體系中，只有IV部分是可變化的，用戶密碼一經配置，除非重新設置，否則保持不變，加上RC4算法存在弱密鑰缺陷，在24位的 IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包後，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。
ADVERTISEMENT
【TKIP加密】
TKIP（Temporal Key IntegrityProtocol，暫時密鑰集成協議）是Wi-Fi聯盟為修復IEEE802.11的WEP加密機制而創建的一種臨時的過渡方案。它雖然也和WEP加密機制一樣使用的是RC4算法，但修訂了對密鑰的管理，將WEP的手動靜態密鑰換成了動態協議生成，這樣每個傳輸的數據包都有一個與眾不同的、不會重複的密鑰；另外，TKIP還將密鑰的長度由WEP的40位加長到128位，初始化向量IV的長度由24位加長到48位，提高了WEP加密的安全性；在防止信息傳輸過程中可能被篡改而用來攻擊網絡方面，TKIP將WEP的CRC信息完整性檢測換成了MIC認證（MessageIntegrity Check，信息完整性校驗），能更好地檢測數據的真實性。TKIP的加密性能雖然比WEP高了很多，但由於使用的依然為RC4算法，所以依然存在弱密鑰問題，只是弱密鑰的數量少了很多，破解難度會更大。
【AES-CCMP加密】
這是WPA2中才支持的加密協議。AES-CCMP（Counter mode with CBC-MAC Protocol，計數器模式搭配CBC-MAC協議）是目前為止面向大眾的最高級無線安全協議。CCMP 使用128位AES （Advanced EncryptionStandard，高級加密標準）加密算法實現機密性，使用CBC-MAC（區塊密碼鎖鏈－信息真實性檢查碼協議）來保證數據的完整性和認證，密鑰基於全協商的動態產生模式。AES-CCMP可以為無線網絡提供從認證、數據機密性、完整性和無線數據通道的重發保護。
常見加密方式的實現
以上的各種加密技術雖然能在一定程度上闡述不同加密方式的優劣，但我們還不知道在硬體上它們是如何實現的，這有可能會造成對無線傳輸性能的額外開銷。在進行具體的測試前，先讓我們看看它們的工作方式。
從技術發展進程看，到目前為止共有WEP、WPA和WPA2三種無線加密方式（WAPI屬於國標，很少有產品支持，在此不進行討論），但由於WPA和WPA2在實現方式上基本一樣，所以目前大多數無線路由器將其歸為一類WPA/WPA2。

三種不同的加密方式所採用的密碼長度也不盡相同，密碼的長短並不會影響網速。

【WEP實現】
認證過程：（1）客戶機首先向無線路由器/AP發送認證請求；（2）後者在收到請求後隨機產生一個Challenge包（即一個字符串）發送給客戶機；(3)客戶機將接收到字符串用共享密鑰加密後再發送給AP；（4）無線路由器/AP接收到該消息後，用密鑰將該消息解密，然後將解密後的字符串和最初發給客戶機的字符串進行對比，實現握手認證。如果選擇的是開放系統，則無線路由器/AP不做認證，直接將客戶機的MAC地址加入允許訪問列表，並建立連接。
加密過程：（1）認證通過後，無線路由器/AP即利用共享密鑰+初始化向量（IV）生成密鑰；（2）將經過校驗和計算的明文數據與密鑰流進行按位異或運算得到加密後的信息；（3）將初始化向量和密文串接起來，得到要傳輸的加密數據幀，在無線鏈路上傳輸。注意：加密與認證沒有直接關聯，即便認證階段選擇的為開放系統，傳輸數據依然會被加密。

WEP加密的實現過程
【WPA/WPA2實現】
相比WEP，WPA/WPA2的實現過程要複雜得多，因為是動態密鑰管理系統，WPA/WPA2在進行認證前需要先進行安全協商，以實現對加密算法和加密協商的相互確認。具體表現為：
安全協商：（1）在與客戶機建立關聯前，無線路由器/AP會間隔向外發送一個帶有WPA IE（InformationElement，信息元素）的廣播幀，IE中包含了AP的安全配置信息（包括加密算法及認證方法等安全配置信息）；（2）客戶機根據AP通告的IE信息來選擇相應的安全配置，並將所選擇的安全配置信息發送至AP。此階段，只有雙方對IE信息進行了認可，才允許客戶機與之建立關聯，並轉入認證階段。
認證過程：此過程與WEP類似，但增加了一個流程，就是AP需要與客戶機協商確定PMK（Pairwise Master Key，成對主密鑰，申請者與認證者之間所有密鑰數據的來源）。如果選擇的是802.1X認證，則PMK由認證伺服器產生；如果選擇的是預共享認證（PSK），則PMK就是輸入的預共享密碼。
加密過程：（1）認證通過後，無線路由器/AP會與客戶機進行數據密鑰的協商，數據密鑰基於PMK，通過一系列複雜的算法產生，這些密鑰協商過程在每次數據傳輸時都會執行，以保證每一次數據傳輸都會生成不一樣的密鑰。與WEP不同，WPA/WPA2會有加密算法的選擇，通常會提供TKIP和AES兩種，TKIP其實就是RC4的變種。加密算法不對加密過程產生影響，僅僅決定密文的複雜度。
那麼加密後需要付出多大的網絡傳輸代價呢？請接下來看筆者的測試。

筆者選擇了一款附帶300Mbps無線網卡的筆記本電腦作為測試終端，同時選擇了一款300Mbps的路由器，並將路由器的無線模式設置為802.11n（目前802.11a及802.11g僅提供54Mbps，802.11n可提高到300Mbps）。在實際測試中，未開啟密碼防護的環境下，通過《IxChariot》測試其平均速率在85.748Mbps，而在選擇WPA2-PSK模式下後的平均速率降至79.103Mbps。通過對比發現，加密與不加密兩者的速率還是有一些差別，雖然差別並不大，但是達到了5％~10％左右的差距。

在未加密與加密兩種模式下的測試結果對比

隱藏SSID可以既不用擔心加密影響網速，也不用擔心會被蹭網。
在日常使用中，為了網絡的安全還是有必要把網絡進行加密，以防止蹭網。對於不喜歡加密的用戶，我們也可以通過路由器的隱藏SSID的功能來實現在眾多網絡中的「隱形」。這樣一來別人就搜索不到無線網絡的ID，也不用因為加密而犧牲那一點網速。當然，SSID可別太複雜以至於連自己都忘記了。

原文網址：https://kknews.cc/tech/9nz9nl.html