隨著人們生活水平的提高，越來越多的人開始關注健康生活，包括飲食、運動、睡眠等生活的方方面面。作為身體參數檢測設備，體脂秤已經是家庭中不可或缺的產品。體脂秤能夠檢測包括體重、BMI、體脂肪、體水分等身體多項指標，綜合反饋人體當前的健康狀況，同時配合App使用，記錄測量結果，展示體脂歷史變化，提供多項身體參數的分析，已經成為了很多家庭生活的一部分。

體脂秤作為一個物聯網終端設備，很多會使用Wi-Fi模塊來傳輸相關數據，但是Wi-Fi網絡覆蓋范圍有一定的局限，而且網絡可能會不穩定。本文對一例非典型網絡連接故障進行分析，來學習和了解TKIP和AES二種不同的安全加密協議。

最近在使用華為智能體脂秤3Pro時，發現體脂秤數據經常不能同步到華為手機 “運動健康APP”（手機型號為Mate40Pro）上，開始以為是設備電池電量不足，在更換了新的電池之后，故障依舊。于是在“運動健康APP”上刪除了“華為智能體脂秤3Pro”設備，重新添加設備時發現了問題，每次配置設備網絡到99%就卡了殼，如圖1、圖2所示。反復重復了十幾次均無法解決問題，包括重新啟動了路由器、手機、體脂秤等設備。

圖1 Wi-Fi配置卡殼

圖2 Wi-Fi配置失敗提示

初步判斷路由器配置可能會有問題，路由器型號為“H3C_Magic_B1”,在使用華為智能體脂秤之前，一直比較穩定。針對Wi-Fi可能出現的典型故障，逐一進行了排查：

1、華為智能體脂秤3Pro暫不支持Wi-Fi的5G網絡，如果設備連接的是5G網絡，應更換連接2.4G網絡，不建議使用默認開啟“雙頻（2.4G/5G）合一”模式，如圖3、圖4所示。

2、路由器SSID（WLAN名稱）不能有漢字或特殊符號，SSID和密碼不能太過復雜（不建議超過16位），如果SSID和密碼有更改，需重新配網，建議更改成字母+數字這種形式。

3、距離遠近會影響Wi-Fi的性能。若距離過遠會導致Wi-Fi信號不足，影響連接穩定性，請盡量將體脂秤靠近路由器，并且中間不要有東西遮擋著，同時還應查看路由器當前的連接設備是否過多。

4、路由器WLAN設置正確，建議不要隱藏廣播、不要設置MAC地址過濾、黑白名單以及不要開啟防蹭網等功能。

圖3 Wi-Fi設置

圖4 Wi-Fi設置開啟雙頻合一

排查故障工作進行了整整一天，但最終還是沒有解決問題，是不是路由器的部分高級設置沒有設置正確，才造成現在大部分設備（例如臺式機、手機）都能上網，部分物聯網設備無法正常聯網？帶著這個疑問，仔細檢查了路由器的高級設置，在“是否加密”和“加密協議”這二項的設置有點拿不準，如圖5、圖6所示。

使用過無線路由器的都知道，在搭建一個無線網時，是必須設無線網密碼的，以保證沒有授權的人無法接入連接進網絡。無線路由器主要提供了三種無線安全類型：WEP、WPA/WPA2以及WPA-PSK/WPA2-PSK，不一樣的安全類型安全設置是不一樣的：

1、WEP（Wired Equivalent Privacy）：有線等效保密協議，是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。它是一種老式的加密方式，在2003年時就被WPA加密所淘汰，由于其安全性能存在較多不足，很容易被專業人士攻破，不過對于非專業人來說還是比較安全的。其次由于WEP采用的是IEEE 802.11技術，而現在無線路由設備基本都是使用的IEEE 802.11n技術。因此，當使用WEP加密時會影響無線網絡設備的傳輸速率，如果是以前的老式設備只支持IEEE 802.11的話，那么無論使用哪種加密都可以兼容，對無線傳輸速率沒有什么影響。

圖5 是否加密

圖6 加密協議

2、WPA/WPA2(Wi-Fi Protected Access)：Wi-Fi網絡安全存取協議，有WPA和WPA2二個版本，是一種保護無線電腦網絡安全的系統，它是研究者在WEP中找到的幾個弱點而產生的。它繼承了WEP的基本原理而又彌補了其缺點，因為加強了生成加密密鑰的算法，即使攻擊者收集到分組信息并對其進行解析，也無法計算出通用密鑰，還同時增加了防止數據中途被篡改的功能和認證功能。WPA2是WPA的增強型版本，新增了支持AES的加密方式。

WPA/WPA2是一種比WEP強壯的加密算法，挑選這種安全類型，路由器將選用Radius服務器進行身份認證并得到密鑰的WPA或WPA2安全形式。因此，一般普通家庭用戶幾乎使用不到這種方式，只有企業用戶為了無線加密更安全才會使用此種加密方式，在設備連接無線WI-FI時需要Radius服務器認證，而且還需要輸入Radius密碼。

3、WPA-PSK/WPA2-PSK(Wi-Fi Protected Access-Pre Shared Key)：其實是WPA/WPA2的一種簡化版別，PSK（Pre Shared Key）預共用密鑰模式，也稱為個人模式,是設計給負擔不起 802.1X 驗證服務器的成本和復雜度的家庭和小型公司網絡使用的。它是我們現在家庭網絡用戶經常設置的加密類型，不過需要注意的是它有TKIP和AES兩種加密協議。

（1）TKIP（Temporal Key Integrity Protocol）：暫時密鑰集成協議，負責處理無線安全問題的加密部分，TKIP是包裹在已有WEP密碼外圍的一層“外殼”， 這種加密方式在盡可能使用WEP算法的同時消除了已知的缺點，例如：WEP密碼使用的密鑰長度為40位和128位，40位的鑰匙是非常容易破解的，而且同一局域網內所有用戶都共享同一個密鑰，一個用戶丟失鑰匙將使整個網絡不安全，而TKIP中密碼使用的密鑰長度為128位，這就解決了WEP密碼使用的密鑰長度過短的問題。

TKIP另一個重要特性就是變化每個數據包所使用的密鑰，這就是它名稱中“動態”的出處。密鑰通過將多種因素混合在一起生成，包括基本密鑰（即TKIP中所謂的成對瞬時密鑰）、發射站的MAC地址以及數據包的序列號。混合操作在設計上將對無線站和接入點的要求減少到最低程度，但仍具有足夠的密碼強度，使它不能被輕易破譯。WEP的另一個缺點就是“重放攻擊（replay attacks）”，而利用TKIP傳送的每一個數據包都具有獨有的48位序列號，由于48位序列號需要數千年時間才會出現重復，因此沒有人可以重放來自無線連接的老數據包：由于序列號不正確，這些數據包將作為失序包被檢測出來。

（2）AES（Advanced Encryption Standard）：高級加密標準，是美國國家標準與技術研究所用于加密電子數據的規范，該算法匯聚了設計簡單、密鑰安裝快、需要的內存空間少、在所有的平臺上運行良好、支持并行處理并且可以抵抗所有已知攻擊等優點。它是一個迭代的、對稱密鑰分組的密碼，可以使用128、192 和 256 位密鑰，并且用 128 位（16字節）分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據 的位數與輸入數據相同。迭代加密使用一個循環結構，在該循環中重復置換和替換輸入數據。AES是一個真正的加密算法，不僅僅用于Wi-Fi網絡的類型，已經成為一個加密標準，許多家庭網絡使用了這個加密標準，不過也需要更新相應路由器硬件。

（3）AES與TKIP的安全性比較：TKIP本質上是一個WEP補丁，解決了攻擊者通過獲得少量的路由器流量解析出路由器密鑰的問題，為了解決這個問題，TKIP每隔幾分鐘就給出新的密鑰，不給攻擊者提供足夠的數據來破譯密鑰或算法所依賴的RC4流加密。雖然當時TKIP還提供了一個較為完善的安全升級，但是對于保護網絡不受黑客攻擊上，它還是存在著不足，其中最大的漏洞被稱為“chop-chop attack”，是發生在加密本身釋放之前的攻擊。攻擊者可以利用chop-chop attack截獲并分析網絡中產生的數據，并最終破譯出密鑰、明文顯示其中的數據。

AES是一個完全獨立的加密算法，遠遠優于TKIP提供的算法。該算法有128位，192位或256位的分組密碼。簡單來說，我們需要將明文轉換為密文，如果沒有加密密鑰，那么接收的密文看起來就像一個隨機字符串。對于傳輸的另一端設備或人只要擁有密鑰，解密后數據就便于觀看。路由器端擁有第一密鑰，在發送前對數據進行加密。而計算機端擁有第二個密鑰，用來解密傳輸的內容，加密級別（128，192或256位）決定了“混亂數據”的量，這種情況下就會產生大量組合讓攻擊者無法破解。即使最小級別128位的AES加密，理論上來說也已經牢不可破了，因為就當前的計算能力也需要超過100億億年才能破解這個加密算法。

（4）AES與TKIP間的速度比較：TKIP是一種過時的加密方法，而且除了安全問題，它還會減緩系統運行速度。現在大多數較新的路由器（任何802.11n版本或更新）都默認為WPA2-AES加密，如果你有一個舊的路由器，或者出于某種原因選擇WPA-TKIP加密，那么電腦運行速度會大大減慢。

如果在任何802.11n的路由器或更新版的安全選項啟用WPA TKIP，速度會減慢至54Mbps，因為這個安全協議是為了確保在舊的路由器上正常工作，而支持WPA2-AES加密的802.11ac理想條件下最大速度為3.46Gbps，所以理論上說來AES相較于TKIP要快很多！

AES提供了比 TKIP更加高級的加密技術， 現在無線路由器都提供了這2種算法，不過比較傾向于AES。TKIP安全性不如AES，而且在使用TKIP算法時路由器的吞吐量會下降30%-50%，大大地影響了路由器的性能?；叵胱罱褂肳I-FI刷抖音時，經常感覺網速不給力，剛開始以為是網速問題，現在回想起來，與使用TKIP有一定的關系。 筆者猜測華為智能體脂秤為了網絡安全，已不再支持TKIP這個比較古老的安全協議，果斷修改了路由器“加密協議”為“AES”，然后重新啟動路由器之后，華為智能體脂秤3Pro這個非典型網絡連接故障就徹底的被解決了！