802.11有开放系统认证(open system authentication)和共享密钥认证(shared keyauthentication)两种方式。
开放式系统验证其实可以称为“无验证”,因为实际上没有进行验证 —— 工作站说“请求验证”,而AP也不管是否密钥是否正确,先“答应了再说”,但最终ap会验证密钥是否正确,决定是否允许接入——这种验证方式的ap,往往你随便输入一个密码,都可以连接,但如果密码不正确,会显示为“受限制”。
因为是无验证,所以申请者发送authentication报文,认证者收到后,同样发送authentication报文,并在status code字段置0,表示认证成功
共享密钥验证稍微强大一些,工作站请求验证,而访问点(AP)用WEP加密的质询进行响应。如果工作站的提供的密钥是错误的,则立即拒绝请求。如果工作站有正确的WEP密码,就可以解密该质询,并允许其接入,因此,连接共享密钥系统,如果密钥不正确,通常会立即显示“该网络不存在等提示”。
由于已经WEP已经不再安全,所以共享密钥认证方式已经停用。
因为WEP加密的数据已经不再安全,于是IEEE制定802.11i协议负责解决WEP的加密机制缺乏机密性。
WPA和WPA2是通过PSK或者EAP/802.1x认证方式实现的,并且WPA使用TKIP协议
WPA2使用CCMP协议。
WPA 全名为 Wi-Fi Protected Access,有WPA和 WPA2两个标准,是一种保护无线电脑网路(Wi-Fi)安全的系统,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。WPA实作了 IEEE 802.11i标准的大部分,是在 802.11i完备之前替代 WEP的过渡方案。WPA的设计可以用在所有的无线网卡上,但未必能用在第一代的无线取用点上。WPA2实作了完整的标准,但不能用在某些古老的网卡上。这两个都提供优良的保全能力。
我们知道802.11i 这个任务小组成立的目的就是为了打造一个更安全的无线局域网 , 所以在加密项目里规范了两个新的安全加密协定 – TKIP 与CCMP 。其中 TKIP 虽然针对 WEP 的弱点作了重大的改良 , 但保留了 RC4 演算法和基本架构 , 言下之意 ,TKIP 亦存在着 RC4本身所隐含的弱点。因而 802.11i 再打造一个全新、安全性更强、更适合应用在无线局域网环境的加密协定 -CCMP 。所以在CCMP 就绪之前 ,TKIP 就已经完成了。但是要等到CCMP 完成 , 再发布完整的 IEEE 802.11i 标准 , 可能尚需一段时日 , 而 Wi-Fi 联盟为了要使得新的安全性标准能够尽快被布署 , 以消弭使用者对无线局域网安全性的疑虑 , 进而让无线局域网的市场可以迅速扩展开来 , 因而使用已经完成 TKIP 的 IEEE 802.11i 第三版草案(IEEE 802.11i draft 3) 为基准 , 制定了 WPA 。而于 IEEE 完成并公布 IEEE 802.11i 无线局域网安全标准后,Wi-Fi 联盟也随即公布了 WPA 第 2 版 (WPA 2) 。所以:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 选择性项目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 选择性项目)/TKIP/CCMP
WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的密钥分发机制,可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是,它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前,这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着,为了更新密钥,IT人员必须亲自访问每台机器,而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变,而这会使用户容易受到攻击。由于互操作问题,学术环境和公共场所一直不能使用专有的安全机制。
使用WEP加密方式的认证和数据发送使用的是相同的密钥,并且安全性不强。为了解决这个问题。
将认证与数据传输拆分为两个过程:
认证使用的是基于开放系统认证开发的PSK认证和802.1X认证
数据传输采用的是802.11i中规定的TKIP或者CCMP加密算法。
PSK认证在使用的时候分为WPA-PSK(WPA-personal)或者WPA2-PSK(WPA2-personal)。这是根据使用的802.11i算法的不同划分的。
WPA-PSK(WPA-personal)使用TKIP
WPA2-PSK(WPA2-personal)使用CCMP
认证原理:
在开放系统认证的基础上,加上802.11i的四次握手过程以更新共享密钥。
如果出现密码错误,则四次握手就无法通过。
1、802.1X认证根据使用的802.11i算法的不同也分为WPA-enterprise或WPA2-enterprise。
WPA-enterprise使用的是TKIP
WPA2-enterprise使用的是CCMP
2、802.1X根据认证服务器(例如RADIUS)的功能,分为EAP中继和EAP终结。
3、802.1X认证过程。
详细过程在下一篇文章中介绍