WLAN認證加密技術

802.11i：IEEE定義的安全標準

IEEE 802.11i規(guī)定使用802.1x認證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設備上升級固件和驅動程序的方法達到提高 WLAN安全的目的。CCMP機制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全程度大大提高，是實現(xiàn)RSN的強制性要 求。由于AES對硬件要求比較高，因此CCMP無法通過在現(xiàn)有設備的基礎上進行升級實現(xiàn)。802.11i協(xié)議結構如圖1所示。

802.11i草案標準中建議的認證方案是基于802.1x和擴展認證協(xié)議（EAP）的，加密算法為高級加密標準（AES）。動態(tài)協(xié)商認證和加密算法使RSN可以不斷演進，與最新的安全水平保持同步，添加算法應付新的威脅，并不斷提供保護無線局域網(wǎng)傳送的信息所需要的安全性。

802.11相關認證方式僅是無線終端設備的認證。在運營商的網(wǎng)絡環(huán)境中，還需要針對用戶進行認證、計費，此時需要通過802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）進行認證。

WPA：向IEEE 802.11i過渡的中間標準

在WLAN的發(fā)展過程中，市場對于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i的進展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA（Wi-Fi Protected Access）標準。這一標準采用了IEEE802.11i的草案，保證了與未來出現(xiàn)的協(xié)議的前向兼容。

STA通過了802.1x身份驗證之后，AP會得到一個與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對于使用預共享密鑰的方式來說，PSK就是PMK）。隨后AP與STA通過EAPOL-KEY進行WPA的四次握手（4-Way Handshake）過程，如圖2所示。