wifi路由器加密算法探讨:直接置入密码本

rekashin 发表于 2015-2-8 22:28
android也行吗

让客户端出示证书,我在wifi上没做过任何研究,只是推测可以.

因为web server里面可以这样实现,既然wifi服务器可以用证书,客户端用证书那也没什么技术难点.

至于RADIUS是 有rfc标注文档的.不太精减的os,或者说就算是精减的os通过package都可以支持 radius

不过有点区别.比如我 windows7 连接这个wifi radius是要强制验证服务器证书的,如果客户端不信任这个证书,连接终止.
但是我的 windows phone 8 连接这个wifi,可以看到,图上有选项是可以不需要验证服务器证书的,说明微软在手机系统上对安全性做了妥协.

rekashin 发表于 2015-2-8 22:28
android也行吗

Android上也是有802.1x加密选项的。
不过使用的策略是否与Windows Phone相同我不太清楚。
毕竟我没有条件测试。

radius + 证书是最好的解决办法。而且开销小，成本低。至于楼主想的轮换密码的办法，不是很现实。。呵呵。。毕竟现在网络设备很多，在多台设备中内置轮转密码本。根对多台设备分发证书没什么区别。。但是，证书的认证方式要比轮转密码方便的多，而且开销也小的多。

证书是基于加密算法，一般是用来验证对方身份的。加密大致上有这么两种情况，一种是可逆加密，也就是加密后可以解密出原文，一种是不可逆加密，也就是加密后无法再解密出原文（一般系统的登陆密码就属于不可逆加密）。可逆加密也有两种算法一种是对称加密，一种是非对称加密。例如我们接触的DES、3DES、AES、ECC都是对称加密，而RAS就是非对称加密。证书因为是要确认对方身份的一种认证，所以，要包含对方的身份信息。但是，如果直接传明文，容易被截取、篡改。这时候，首先我自己选一个加密方式，这种加密方式一般是对称加密，例如说我选择AES加密，我把我选用的对称加密方式和密钥做一个不可逆加密，其实就是用哈希函数生成一段唯一的字符串，然后，用公钥加密后发给服务器，服务器接收到后，用私钥解密，然后再对内容做一次哈希函数，与我发送的字符串相比较如果相同，那么就说明内容没有被篡改过。因为，我的消息是使用公钥加密的。如果消息被截获，那么截获的对方没有私钥也无法对截取的内容来解密。服务器，获得我发送的加密方式和密码后，那么我与服务器就可以用对称加密的方式来进行安全通信了。这里面要注意几点。
第一RAS算法的安全性，其实，RAS算法安全性目前还是可靠的，不过也要有一个前提就是密钥长度，前些年，一位以色列的工程师已经证明了用七天时间破解了512位的RAS加密。所以，现在一般使用的RAS都是1024位以上的。
第二RAS算法的效率很差，加密、解密的时候系统开销很大。这就是为什么我们只用RAS来加密传送对称加密密钥，而不是在所有通讯过程中都是用RAS来做加密处理。
以上是我对证书的理解。不知道对不对，呵呵。。。。。希望各位老鸟们看了不要见笑。。如有遗漏的地方欢迎各位老鸟们来补充（轻拍）。。

jingling 发表于 2015-2-15 07:50
证书是基于加密算法，一般是用来验证对方身份的。加密大致上有这么两种情况，一种是可逆加密，也就是加密后 ...

我想了一下，既然证书和密码都是确定接入者的身份，那证书和密码有什么不一样呢？
为何一定要有个证书呢？仅仅是给对方一个对称加密的密码，岂不是更方便了

可行的话 可以去申请专利了

我支持楼主

haierccc 发表于 2015-2-17 13:26
我想了一下，既然证书和密码都是确定接入者的身份，那证书和密码有什么不一样呢？
为何一定要有个证书呢 ...

证书是用来确认对方身份的。。。。确认了身份之后，才能开始传输重要数据。。。。。加密只是保证传输安全的一种手段。。或者这么说，证书是传输数据的一种，而加密只是一种对传输数据的处理方式。例如说，C1 C2两个通话，C1拨通了C2的电话。说了一声暗号，C2听到后，通过声音和暗号确定了这是C1，然后回了一句暗号让C1进行确认，这种确定方式，我们可以看做是认证，声音和通话暗号我们可以看做是证书，当C1 C2互相确认之后，就开始正常通话，当然通话的时候不是说大家熟悉的语言而是某种双方都听得懂的暗语或者黑话来进行交流，这种暗语和黑话我们可以看做是加密。这样就能保证C1 C2的通话信息不被泄露。
我个人感觉认证比加密重要，因为认证是传送重要信息的第一步，如果无法确认对方，或者是确认的方式有一点点瑕疵，那么无论后续如何加密都无法保证信息的安全。毕竟网络上节点很多，伪造、篡改、监听方法层出不穷。如果我们用固定的加密方式和密码来传送数据，那么被监听、破解的可能性就非常高，一旦破解之后那么就非常容易被伪造。毕竟用固定一套加密方式和密码来加密数据，数据中会有很多特征点。这就要求，我们在通讯的时候，尽可能多的变化加密方式和密码。让监听、破解一方无法找到特征点。所以，每次在进行正常通信之前，必须要经过认证，确认对方就是我要通信的人。。否则，在一条不安全的信道上传送密码，泄露的机会就会非常高。那我们的之前的努力也就前功尽弃了。。。