一、安全性能不同TKIP本质上是一个WEP补丁,解决了攻击者通过获得少量的路由器流量解析出路由器密钥的问题。
TKIP还提供了一个较为完善的安全升级,但是对于保护网络不受黑客攻击上不够全面。
TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。
而且在使用TKIP算法时路由器的吞吐量会下降3成至5成,大大地影响了路由器的性能。
AES是一个完全独立的加密算法,远远优于任何TKIP提供的算法,该算法有128位,192位或256位的分组密码。
所以AES安全性能比TKIP好。
二、速度不同TKIP是一种过时的加密方法,而且除了安全问题,它还会减缓系统运行速度,速度会减慢至54Mbps。
支持WPA2-AES加密的802.11ac理想条件下最大速度为3.46Gbps。
所以AES的运行速度相较于TKIP要快。
3、适用情况不同TKIP加密算法经常在老的无线网卡上使用,适用于802.1x无线传输协议,TKIP中密码使用的密钥长度为128位;AES加密算法是在新无线网卡上使用,适用于802.11n无线传输协议,AES加密数据块和密钥长度可以是128比特、192比特、256比特中的任意一个。
据说WPA采用TKIP算法已经从15min可 破解到1min内可破解,已经证明是不安全的,但是还不 必过于担心,就像MD5被证明不安全但仍有很多人使用一样。
他们的区别如下: 在IEEE 802.11i规范中,TKIP: Temporal Key Integrity Protocol(暂时密钥集成 协议)负责处理 无线安全问题的加密部分。
TKIP在设计时考虑了当时非 常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。
TKIP是包裹在已有WEP密码外围的一层“外壳”。
TKIP由WEP使用的同样的加密引擎和RC4算法组成。
不过,TKIP中密码使用的密钥长度为 128位。
这 解决了WEP的第一个问题:过短的密钥长度。
TKIP的一个重要特性,是它变化每个 数据包所使用的密钥。
这就是它名称中“动态”的出处。
密 钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC 地址以及数据包的序列号。
混合操作在设计上将对无线站和 接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。
利用TKIP传送的每一个数据包都具有独有的48位序列号,这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。
将序列号加到密 钥中,确保了每个数据包使用不同的密钥。
这解决了WEP的另一个问题,即所谓的“碰撞***”。
这种***发生在两个不同数据包使用同样的密钥时。
在使用不同 的密钥时,不会出现碰撞。
以数据包序列号作为初始化向量,还解决了另一个WEP问题,即所谓的“重放***(replay attacks)”。
由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序 包被检测出来。
被混合到TKIP密钥中的最重要因素是基本密钥。
如果没有一种生成独特的基本密钥的方法,TKIP尽管可以解决许多WEP存在的问题,但却不能解决最 糟糕的问题:所有人都在 无线局域网上不断重复使用一个众所周知的密钥。
为了解 决这个问题,TKIP生成混合到每个包密钥中的基本密钥。
无线站每次与接入点建立联系时,就生成一个新基本密钥。
这个基本密钥通过将特定的会话内容与用接 入点和无线站生成的一些随机数以及接入点和无线站的MAC地址进行散列处理来产生。
由于采用802.1x 认证,这个会话内容是特定的,而且由认证 服务器安全地传送给无线站。
AES(高级数据加密标准 ) 对称密码体制的发展趋势将以分组密码为重点。
分组密码算法通常由密钥扩展算法和加密(解密)算法两部分组成。
密钥扩展算法将b字节 用户主密钥扩展成r个子密钥。
加密算法由一个密码学上的 弱函数f与r个子密钥迭代r次组成。
混乱和密钥扩散是分组密码算法设计的基本原则。
抵御已知明文的差分和线性***,可变长密钥和分组是该体制的设计要点。
AES是 美国国家标准 技术研究所NIST旨在取代DES的21世纪的加密标 准。
AES的基本要求是,采用对称分组密码体制,密钥长度的最少支持为128、192、256,分组长度128位,算法应易于各种硬件和 软件实现。
1998年NIST开始AES第一轮分析、测 试和征集,共产生了15个候选算法。
1999年3月完成了第二轮AES2的分析、测试。
2000年10月2日美国政府正式宣布选中比利时密码学家Joan Daemen 和 Vincent Rijmen 提出的一种密码算法RIJNDAEL 作为 AES. 在 应用方面,尽管DES在安全上是脆弱的,但由于快速 DES芯片的大量生产,使得DES仍能暂时继续使用,为提高安全强度,通常使用独立密钥的三级DES。
但是DES迟早要被AES代替。
流密码体制较之分组 密码在理论上成熟且安全,但未被列入 下一代加密标准。
AES提供了比 TKIP更加高级的加密技术, 现在无线 路由器都提供了这2种算法,不过比较倾向于AES。
TKIP安全性不如AES,而且在使用TKIP算法时 路由器的吞吐量会下降3成至5成,大大地影响了路由器的 性能
