WLAN中常见的认证加密方法

WLAN中常见的认证加密方法：

         OPEN +WEP

         SHARED +WEP

         IEEE802.11X +WEP

         WPA-PSK    (TKIP or CCMP)

         WPA2-PSK    (TKIP or CCMP) 根据WIFI联盟规定，WPA-PSK必须支持基于TKIP的密钥管理和数据加密，而对于WPA是否支持基于CCMP的密钥管理和数据加密WIFI联盟即没有进行规定，也不提供兼容性测试。WIFI联盟要求WPA2-PSK必须能够同时支持TKIP和CCMP,而且这两种方式都必须通过兼容性测试。

         WPA            (TKIP  or CCMP) 基于802.1x & WEP,与前两种相比，只是用户认证过程不同，加密也都一样。802.1x采用IETF的可扩展身份验证协议(EAP)制定而成。然而EAP只是一个验证框架协议，它只定义了通讯格式，要求与回应，验证成功与失败以及验证方式的类型代码，并不处理验证的细节。EAP将验证的细节处理授权给一个称为EAP method的附属协议，而EAP本身以“验证方式的类型代码”来指定由那个“EAP method”来完成后续验证过程。

         WPA2          (TKIP   or CCMP) 采用共享密钥认证和WEP加密，与OPEN +WEP相比，只是用户关联过程不同，加密过程完全一样。 在SHARED +WEP中，无线终端与相应的AP关联时，需要提供双方事先约好的WEP口令，只是在双方WEP都匹配的情况下，才关联成功。 过程如下： 在AP收到认证请求后，AP会随机产生一串字符发生给申请者，申请者采用自己的WEP口令加密该字符串发回给AP,AP收到后会进行解密，并对解密后的字符串和最初给申请者进行比较，如果内容准确无误则容许它做后面的关联操作，如果不符，那么就拒绝其接入。

         OPEN +WEP采用空认证和WEP加密，无线终端无需验证，就可以与AP关联。具体的过程如下：申请者先发一个认证请求道AP,如果AP设置了MAC地址过滤功能，则AP对申请者MAC地址进行验证，否则AP直接通过认证请求，认证成功后申请者会向AP发送关联请求，AP回应关联应答，双方就建立了关联，然后就可以传递数据了。 该模式只对传输数据进行WEP加密，因为现在使用的无线网卡在硬件上都支持WEP加密，所以该模式兼容性很强。

        SHARED +WEP

         IEEE802.1X +WEP

WPA-PSK   / WPA2-PSK    (TKIP or CCMP)都是采用预共享密钥认证。WPA基于基于IEEE802.11i草案三制定；WPA2则是基于IEEE802.11i的正式规范制定，相比WPA具有更高的安全性。  

TKIP是对WEP加密方法的加强和升级，密钥长度为128位，解决WEP密钥长度过短的问题，在安全性上有所增强。TKIP通过将多种因素混合在一起（包括基本密钥，AP的MAC地址以及数据包的序列号）生成用于加密每个数据包的密钥。该混合操作在设计上将对无线终端和AP的要求减少到最低程度，并能提供足够的密码强度，使其不会被轻易破解。此外，混合操作还可以有效解决WEP加密中遇到的重复密钥使用和重复攻击问题。

CCMP是一种以AES的块密码为基础的安全协议。IEEE802.11i要求使用CCMP为无线网络提供四种安全服务：认证，机密性，完整性和重复攻击保护。CCMP使用128位AES加密算法实现机密性，使用其他CCMP协议组件实现其余三种服务。CCMP结合了两种复杂的加密技术（counter mode & CBC –MAC）以此为无线终端和AP之间的数据通信提供一种健壮的安全协议。

需要强调的是，虽然WPA-PSK   / WPA2-PSK    采用了更为强大的加密算法，但是用户认证和加密的共享密码（原始密钥）是人为确定并通过手工设定的，而且对于接入同一个AP的所有终端来说，它们所设置的密钥是一样的。因此，其密钥难以管理并容易泄漏，不适合在安全性要求非常严格的场合应用。

 

       WPA /WPA2   (TKIP  or CCMP):为了改善WPA-PSK或WPA2-PSK(指Personal的标准，主要用于个人用户)在密钥管理方面的不足，WIFI联盟提供WPA /WPA2   (TKIP  or CCMP)（指Enterprise的标准，主要用于企业用户），它们使用802.1x来进行用户认证并生成用于加密数据的根密钥，而不再使用手工设定的预共享密钥，但是加密过程则没有区别。

        在WPA(或WPA2)中，RADIUS服务器取代了WPA-PSK(或WPA2-PSK)认证过程中的单一密码机制。用户在接入无线网络前，首先需要提供相应的身份证明，通过与用户身份数据库中的认证信息进行比对检查，以确认是否具有权限并向客户端动态分发用于加密数据的密钥。

        由于采用了802.1x进行用户身份认证，每个用户的登陆信息都有其自身进行管理，有效减少信息泄露的可能性。并且用户每次接入无线网络时的数据加密密钥都是通过RADIUS服务器动态分配的，攻击者难于获得加密密钥。因此WPA/WPA2(TKIP or CCMP)极大的提高了网络的安全性，并成为高安全无线网络的首选接入方式。