wifi加密方式哪种安全,wifi加密怎么设置

阅读目录

• WEP安全策略
• 链路认证阶段
• 接入认证阶段
• 密钥协商阶段
• 数据加密
• WPA3个人版
• WPA3企业版
• 过渡模式
• WAPI的优势
• 身份鉴别阶段
• 密钥协商阶段
• 密钥更新方式

Wi-Fi 加密方式有不加密、WPA2 PSK 模式、 WPA/WPA2 PSK 混合模式、WPA2 PSK/WPA3 SAE 混合模式。

1）加密方式设置为不加密时，连接路由器的 Wi-Fi 时无需输入密码，因此不太安全。

2）WPA2 PSK 的加密方式设置比 WPA/WPA2 PSK 更安全，但是只有用 WPA2 认证的终端才能正常连接，因此会有兼容性问题。

3）加密方式设置为 WPA/WPA2 PSK 时，WPA 或 WPA2 认证的终端都可以连接路由器。

4）WPA2 PSK/WPA3 SAE 的加密方式比 WPA/WPA2 PSK 更安全，WPA2 或 WPA3 认证的终端都可以连接路由器。

建议您将路由器设置为 WPA/WPA2 PSK 混合模式。

有线等效加密WEP（Wired Equivalent Privacy）协议是由802.11标准定义的，用来保护无线局域网中的授权用户所传输的数据的安全，防止这些数据被窃听。WEP的核心是采用RC4算法，加密密钥长度有64位、128位和152位，其中有24bit的IV（初始向量）是由系统产生的，所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥，接入同一SSID下的所有STA使用相同的密钥访问无线网络。

WEP安全策略包括了链路认证机制和数据加密机制。

链路认证分为开放系统认证和共享密钥认证。详细的内容请参见STA接入过程中的”链路认证阶段“。

如果选择开放系统认证方式，链路认证过程不需要WEP加密。用户上线后，可以通过配置选择是否对业务数据进行WEP加密。

如果选择共享密钥认证方式，链路认证过程中完成了密钥协商。用户上线后，通过协商出来的密钥对业务数据进行WEP加密。

WEP加密使用静态的共享密钥，不同的用户都采用相同的WEP密钥加密，安全性很低。在802.11i标准推出前，无线加密没有统一的标准，厂商对WEP加密进行了增强，结合802.1X接入认证，产生了动态WEP加密，动态WEP加密的40位、104位或128位的密钥由802.1X接入认证的认证服务器动态生成下发，可以实现对不同的用户采用不同的WEP密钥进行加密。

动态WEP的链路认证阶段仅支持开放系统认证，用户上线后，使用服务器动态生成下发的密钥对业务数据进行WEP加密。

由于WEP共享密钥认证采用的是基于RC4对称流的加密算法，需要预先配置相同的静态密钥，无论从加密机制还是从加密算法本身，都很容易受到安全威胁。为了解决这个问题，在802.11i标准没有正式推出安全性更高的安全策略之前，Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4，在WEP基础上提出了临时密钥完整性协议TKIP（Temporal Key Integrity Protocol）加密算法，采用了802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2，区别于WPA，WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。

为了实现更好的兼容性，在目前的实现中，WPA和WPA2都可以使用802.1X的接入认证、TKIP或CCMP的加密算法，他们之间的不同主要表现在协议报文格式上。

综上所述，WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。

链路认证分为开放式系统认证和共享式密钥认证，详细内容请参见STA接入过程中的“链路认证阶段”。

WPA/WPA2仅支持开放式系统认证。

WPA/WPA2分为企业版和个人版：

WPA/WPA2企业版：采用WPA/WPA2-802.1X的接入认证方式，使用RADIUS服务器和可扩展认证协议EAP（Extensible Authentication Protocol）进行认证。用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现对用户的接入认证。
在大型企业网络中，通常采用WPA/WPA2企业版的认证方式。

WPA/WPA2支持基于EAP-TLS和EAP-PEAP的802.1X认证方式，其认证流程如图1和图2所示。

图1 基于EAP–TLS的802.1X认证流程图

图2 基于EAP-PEAP的802.1X认证流程图

WPA/WPA2个人版：对一些中小型的企业网络或者家庭用户，部署一台专用的认证服务器代价过于昂贵，维护也很复杂，因此，WPA/WPA2提供了一种简化的模式，即WPA/WPA2预共享密钥（WPA/WPA2-PSK）模式，它不需要专门的认证服务器，仅要求在每个WLAN节点（WLAN服务端、无线路由器、网卡等）预先输入一个预共享密钥即可。只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。

802.1X认证可以支持对有线用户和无线用户进行身份认证，而PSK认证则是专门针对无线用户的认证方法。

PSK认证需要事先在STA和AC端配置相同的预共享密钥，然后通过是否能够对协商的消息成功解密，来确定STA配置的预共享密钥是否和AC配置的预共享密钥相同，从而完成STA和AC的互相认证。如果密钥协商成功，表明PSK接入认证成功；如果密钥协商失败，表明PSK接入认证失败。

在802.11i里定义了两种密钥层次模型，分别是：

一种是成对密钥层次结构，主要用来保护STA与AP之间往来的数据；

一种是群组密钥层次结构，主要用来描述STA与AP之间的广播或组播数据。

密钥协商阶段是根据接入认证生成的成对主钥PMK（Pairwise Master Key）产生成对临时密钥PTK（Pairwise Transient Key）和群组临时密钥GTK（Group Temporal Key）。PTK用来加密单播报文，GTK用来加密组播和广播无线报文。

针对802.1X接入认证，生成PMK的流程图如图1所示。

针对PSK认证，根据设置预共享密钥的方式不同（通过命令行可以选择设置预共享密钥的方式），生成的PMK方式也不同：

如果设置的预共享密钥是十六进制，则预共享密钥即是PMK；

如果设置的预共享密钥是字符串，则PMK是利用预共享密钥和SSID通过哈希算法计算出来的。

密钥协商包括单播密钥协商和组播密钥协商过程。

密钥协商过程也叫做四次握手过程，是通过EAPOL-Key报文进行信息交互的，如图3所示。