WLAN中常见的认证加密方法

WLAN 中常见的认证加密方法：

          OPEN +WEP

          SHARED +WEP

          IEEE802.11X +WEP

          WPA-PSK     (TKIP or CCMP)

          WPA2-PSK     (TKIP or CCMP) 根据 WIFI 联盟规定， WPA-PSK 必须支持基于 TKIP 的密钥管理和数据加密，而对于 WPA 是否支持基于 CCMP 的密钥管理和数据加密 WIFI 联盟即没有进行规定，也不提供兼容性测试。 WIFI 联盟要求 WPA2-PSK 必须能够同时支持 TKIP 和 CCMP, 而且这两种方式都必须通过兼容性测试。

         WPA             (TKIP   or CCMP) 基于 802.1x & WEP, 与前两种相比，只是用户认证过程不同，加密也都一样。 802.1x 采用 IETF 的可扩展身份验证协议 (EAP) 制定而成。然而 EAP 只是一个验证框架协议，它只定义了通讯格式，要求与回应，验证成功与失败以及验证方式的类型代码，并不处理验证的细节。 EAP 将验证的细节处理授权给一个称为 EAP method 的附属协议，而 EAP 本身以“验证方式的类型代码”来指定由那个“ EAP method ”来完成后续验证过程。

         WPA2           (TKIP    or CCMP) 采用共享密钥认证和 WEP 加密，与 OPEN +WEP 相比，只是用户关联过程不同，加密过程完全一样。   在 SHARED +WEP 中，无线终端与相应的 AP 关联时，需要提供双方事先约好的 WEP 口令，只是在双方 WEP 都匹配的情况下，才关联成功。   过程如下：   在 AP 收到认证请求后， AP 会随机产生一串字符发生给申请者，申请者采用自己的 WEP 口令加密该字符串发回给 AP,AP 收到后会进行解密，并对解密后的字符串和最初给申请者进行比较，如果内容准确无误则容许它做后面的关联操作，如果不符，那么就拒绝其接入。

          OPEN +WEP 采用空认证和 WEP 加密，无线终端无需验证，就可以与 AP 关联。具体的过程如下：申请者先发一个认证请求道 AP, 如果 AP 设置了 MAC 地址过滤功能，则 AP 对申请者 MAC 地址进行验证，否则 AP 直接通过认证请求，认证成功后申请者会向 AP 发送关联请求， AP 回应关联应答，双方就建立了关联，然后就可以传递数据了。   该模式只对传输数据进行 WEP 加密，因为现在使用的无线网卡在硬件上都支持 WEP 加密，所以该模式兼容性很强。

         SHARED +WEP

          IEEE802.1X +WEP

WPA-PSK    / WPA2-PSK     (TKIP or CCMP) 都是采用预共享密钥认证。 WPA 基于基于 IEEE802.11i 草案三制定； WPA2 则是基于 IEEE802.11i 的正式规范制定，相比 WPA 具有更高的安全性。   

TKIP 是对 WEP 加密方法的加强和升级，密钥长度为 128 位，解决 WEP 密钥长度过短的问题，在安全性上有所增强。 TKIP 通过将多种因素混合在一起（包括基本密钥， AP 的 MAC 地址以及数据包的序列号）生成用于加密每个数据包的密钥。该混合操作在设计上将对无线终端和 AP 的要求减少到最低程度，并能提供足够的密码强度，使其不会被轻易破解。此外，混合操作还可以有效解决 WEP 加密中遇到的重复密钥使用和重复攻击问题。

CCMP 是一种以 AES 的块密码为基础的安全协议。 IEEE802.11i 要求使用 CCMP 为无线网络提供四种安全服务：认证，机密性，完整性和重复攻击保护。 CCMP 使用 128 位 AES 加密算法实现机密性，使用其他 CCMP 协议组件实现其余三种服务。 CCMP 结合了两种复杂的加密技术（ counter mode & CBC –MAC ）以此为无线终端和 AP 之间的数据通信提供一种健壮的安全协议。

需要强调的是，虽然 WPA-PSK    / WPA2-PSK     采用了更为强大的加密算法，但是用户认证和加密的共享密码（原始密钥）是人为确定并通过手工设定的，而且对于接入同一个 AP 的所有终端来说，它们所设置的密钥是一样的。因此，其密钥难以管理并容易泄漏，不适合在安全性要求非常严格的场合应用。

 

       WPA /WPA2    (TKIP   or CCMP): 为了改善 WPA-PSK 或 WPA2-PSK( 指 Personal 的标准，主要用于个人用户 ) 在密钥管理方面的不足， WIFI 联盟提供 WPA /WPA2    (TKIP   or CCMP) （指 Enterprise 的标准，主要用于企业用户），它们使用 802.1x 来进行用户认证并生成用于加密数据的根密钥，而不再使用手工设定的预共享密钥，但是加密过程则没有区别。

         在 WPA( 或 WPA2) 中， RADIUS 服务器取代了 WPA-PSK( 或 WPA2-PSK) 认证过程中的单一密码机制。用户在接入无线网络前，首先需要提供相应的身份证明，通过与用户身份数据库中的认证信息进行比对检查，以确认是否具有权限并向客户端动态分发用于加密数据的密钥。

         由于采用了 802.1x 进行用户身份认证，每个用户的登陆信息都有其自身进行管理，有效减少信息泄露的可能性。并且用户每次接入无线网络时的数据加密密钥都是通过 RADIUS 服务器动态分配的，攻击者难于获得加密密钥。因此 WPA/WPA2(TKIP or CCMP) 极大的提高了网络的安全性，并成为高安全无线网络的首选接入方式。