WLAN認證加密技術(shù)

802.11i：IEEE定義的安全標準

IEEE 802.11i規定使用802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過(guò)在現有的設備上升級固件和驅動(dòng)程序的方法達到提高 WLAN安全的目的。CCMP機制基于A(yíng)ES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全程度大大提高，是實(shí)現RSN的強制性要 求。由于A(yíng)ES對硬件要求比較高，因此CCMP無(wú)法通過(guò)在現有設備的基礎上進(jìn)行升級實(shí)現。802.11i協(xié)議結構如圖1所示。

802.11i草案標準中建議的認證方案是基于802.1x和擴展認證協(xié)議（EAP）的，加密算法為高級加密標準（AES）。動(dòng)態(tài)協(xié)商認證和加密算法使RSN可以不斷演進(jìn)，與最新的安全水平保持同步，添加算法應付新的威脅，并不斷提供保護無(wú)線(xiàn)局域網(wǎng)傳送的信息所需要的安全性。

802.11相關(guān)認證方式僅是無(wú)線(xiàn)終端設備的認證。在運營(yíng)商的網(wǎng)絡(luò )環(huán)境中，還需要針對用戶(hù)進(jìn)行認證、計費，此時(shí)需要通過(guò)802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）進(jìn)行認證。

WPA：向IEEE 802.11i過(guò)渡的中間標準

在WLAN的發(fā)展過(guò)程中，市場(chǎng)對于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i的進(jìn)展并不能滿(mǎn)足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA（Wi-Fi Protected Access）標準。這一標準采用了IEEE802.11i的草案，保證了與未來(lái)出現的協(xié)議的前向兼容。

STA通過(guò)了802.1x身份驗證之后，AP會(huì )得到一個(gè)與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對于使用預共享密鑰的方式來(lái)說(shuō)，PSK就是PMK）。隨后AP與STA通過(guò)EAPOL-KEY進(jìn)行WPA的四次握手（4-Way Handshake）過(guò)程，如圖2所示。