当前使用WiFi上网的越来越多,而且在很多公共空间都贴着免费的WiFi,而无线连接的安全性比有线连接更加脆弱,空间的开放性导致了信号很容易被截取,所以WiFi的加密技术就成为无线局域网(WLAN)的必然选择,而且跟随WiFi技术的发展而不断的提高:
无线网络的安全性(Wireless Security)的问题需要先说一些加密技术,其中主要涉及的常用加密技术:WEP、WPA、WPA2和RC4、TKIP、AES等
随着WiFi技术的发展先后出现了六代WiFi技术:
802.11b=WiFi 1
802.11a=WiFi 2
802.11g=WiFi 3
802.11n=WiFi 4
802.11ac=WiFi 5
802.11ax=WiFi 6
协议推出的时间顺序如下:
(1)802.11a,1999年9月制定,工作在5gHZ的频率范围(频段宽度325MHZ),最大传输速率54mbps,但当时不是很流行,所以使用的不多。
(2)802.11b,1999年9月制定,时间比802.11a稍晚,工作在2.4g的频率范围(频段宽度83.5MHz),最大传输速率11mbps。
(3)802.11g,2003年6月制定,工作在2.4GHz频率范围(频段宽度83.5MHz),最大传输速率54mbps。
(4)802.11n,2009年才被IEEE批准,在2.4GHz和5GHz均可工作,最大的传输速率为600mbps。
(5)802.11ac,俗称5G WiFi(5th Generation of Wi-Fi)。1Gbps带宽进行多站式无线局域网通信。2013年推出的第一批802.11ac产品称为Wave 1,2016年推出的较新的高带宽产品称为Wave 2。
(6)Wi-Fi 6(原称:IEEE 802.11.ax)即第六代无线网络技术,是Wi-Fi标准的名称。Wi-Fi 6将允许与多达8个设备通信,最高速率可达9.6Gbps。2019年9月16日,Wi-Fi联盟宣布启动Wi-Fi 6认证计划。于2020年1月3日将使用6GHz频段的IEEE 802.11ax称为Wi-Fi 6E。
WiFi的对应的加密技术也不断发展:
WEP是1999年9月通过的IEEE 802.11标准的一部分;针对802.11a和802.11b,WEP(Wired Equivalent Privacy),采用名为RC4的RSA加密技术;而安全问题也是802.11b的隐忧之一,有非常多的黑客工具是被设计专门用以攻击802.11b网络的,NetStumbler就是这些工具中的一个,它能够探测无线网络,并使用一个GPS来在地图上标识出它所发现的所有的接入点。
WEP非常容易破解。您不应将其用于任何目的。此外,如果您的设备只能使用WEP安全性,则应考虑更换它们以提高网络的安全性。
IEEE 802.11所制定的是技术性标准,Wi-Fi联盟所制定的是商业化标准,而Wi-Fi所制定的商业化标准基本上也都符合IEEE所制定的技术性标准。
WPA(Wi-Fi Protected Access)事实上就是由Wi-Fi联盟所制定的安全性标准,这个商业化标准存在的目的就是为了要支持IEEE 802.11i这个以技术为导向的安全性标准;
WPA采用新的TKIP算法,TKIP算法保留了RC4所以也有其弱点,但是这个时候更好的CCMP还没完成,所以先在WPA上用TKIP技术;
WPA2其实就是WPA的第二个版本。直观点说,WEP是较老的认证方法它有好几个弱点,因此在2003年被WPA淘汰,WPA又在2004年由完整的IEEE 802.11i标准(又称为WPA2)所取代。
WPA2是WPA的第2个版本,采用CCMP加密协定(在有些路由器等设备上设定加密协定或者加密算法的时候,可能会用类似AES之类的字眼替代CCMP)。
WPA3
WPA3全名为Wi-Fi Protected Access 3,是Wi-Fi联盟组织于2018年1月8日在美国拉斯维加斯的国际消费电子展(CES)上发布的Wi-Fi新加密协议,是Wi-Fi身份验证标准WPA2技术的的后续版本。
2017年10月,802.11协议中沿用13年的WPA2加密被完全破解。
2018年6月26日,WiFi联盟宣布WPA3协议已最终完成,这是WiFi连接的新标准。
WPA3标准将加密公共Wi-Fi网络上的所有数据,可以进一步保护不安全的Wi-Fi网络。特别当用户使用酒店和旅游WIFI热点等公共网络时,借助WPA3创建更安全的连接,让黑客无法窥探用户的流量,难以获得私人信息。尽管如此,黑客仍然可以通过专门的,主动的攻击来窃取数据。但是,WPA3至少可以阻止强力攻击。
WPA3主要有四项新功能:
功能一:对使用弱密码的人采取“强有力的保护”。如果密码多次输错,将锁定攻击行为,屏蔽WiFi身份验证过程来防止暴力攻击。
功能二:WPA3将简化显示接口受限,甚至包括不具备显示接口的设备的安全配置流程。能够使用附近的WiFi设备作为其他设备的配置面板,为物联网设备提供更好的安全性。用户将能够使用他的手机或平板电脑来配置另一个没有屏幕的设备(如智能锁、智能灯泡或门铃)等小型物联网设备设置密码和凭证,而不是将其开放给任何人访问和控制。
功能三:在接入开放性网络时,通过个性化数据加密增强用户隐私的安全性,它是对每个设备与路由器或接入点之间的连接进行加密的一个特征。
功能四:WPA3的密码算法提升至192位的CNSA等级算法,与之前的128位加密算法相比,增加了字典法暴力密码破解的难度。并使用新的握手重传方法取代WPA2的四次握手,WiFi联盟将其描述为“192位安全套件"。,该套件与美国国家安全系统委员会国家商用安全算法(CNSA)套件相兼容,将进一步保护政府、国防和工业等更高安全要求的Wi-Fi网络。
WPA3 SAE
使用WPA3时,将使用名为Simultaneous Authentication of Equals(SAE)的新密钥交换协议。SAE,也称为Dragonfly密钥交换协议,是一种更安全的密钥交换方法,可解决KRACK漏洞。具体来说,它通过提供“前向保密”来抵抗离线解密攻击。前向保密阻止攻击者解密先前记录的互联网连接,即使他们知道WPA3密码。除此之外,WPA3 SAE使用点对点连接来建立交换,并消除恶意中间人拦截密钥的可能性。
因WPA3的加密方式还是最近这两年才推出的定义,所以很多路由器并不支撑,作为个人在家通信的需求WAP2的安全性基本能够满足要求。
另外,在有些无线网路设备的参数中会看到像WPA-Enterprise/WPA2-Enterprise以及WPA-Personal/WPA2-Personal的字眼,其实WPA-Enterprise/WPA2-Enterprise就是WPA/WPA2;WPA-Personal/WPA2-Personal其实就是WPA-PSK/WPA2-PSK,也就是以”pre-share key”或”passphrase”的验证(authentication)模式来代替IEEE 802.1X/EAP的验证模式,PSK模式下不须使用验证服务器(例如RADIUS Server),所以特别适合家用或SOHO的使用者。
还有,WEP是旧的加密方式,工作于802.11B/G模式下而802.11N草案并不支持此加密方式,所以如果802.11N的设备采用wep加密方式后,它也只会工作在802.11b/g模式下,N的性能发挥不出来。
实际中,在有些路由器上面,设置的时候,可能不是严格按照这个规定来设置的(例如设定了采用WPA方式,还可以选择AES),但是大体一样。
新设备使用时尽量选择最新的协议,如果发现部分设备无法连接到WiFi上,可以考虑降低加密方式,适配老旧的终端设备。
技术不断更新,你家的路由器真的安全吗?
