WLAN中常见的认证加密方法:

         OPEN +WEP

         SHARED +WEP

         IEEE802.11X +WEP

         WPA-PSK    (TKIP or CCMP)

         WPA2-PSK    (TKIP or CCMP)

根据WIFI联盟规定,WPA-PSK必须支持基于TKIP的密钥管理和数据加密,而对于WPA是否支持基于CCMP的密钥管理和数据加密WIFI联盟即没有进行规定,也不提供兼容性测试。WIFI联盟要求WPA2-PSK必须能够同时支持TKIPCCMP,而且这两种方式都必须通过兼容性测试。

         WPA            (TKIP  or CCMP)

基于802.1x & WEP,与前两种相比,只是用户认证过程不同,加密也都一样。802.1x采用IETF的可扩展身份验证协议(EAP)制定而成。然而EAP只是一个验证框架协议,它只定义了通讯格式,要求与回应,验证成功与失败以及验证方式的类型代码,并不处理验证的细节。EAP将验证的细节处理授权给一个称为EAP method的附属协议,而EAP本身以“验证方式的类型代码”来指定由那个“EAP method”来完成后续验证过程。

         WPA2          (TKIP   or CCMP)

采用共享密钥认证和WEP加密,与OPEN +WEP相比,只是用户关联过程不同,加密过程完全一样。 SHARED +WEP中,无线终端与相应的AP关联时,需要提供双方事先约好的WEP口令,只是在双方WEP都匹配的情况下,才关联成功。 过程如下: AP收到认证请求后,AP会随机产生一串字符发生给申请者,申请者采用自己的WEP口令加密该字符串发回给AP,AP收到后会进行解密,并对解密后的字符串和最初给申请者进行比较,如果内容准确无误则容许它做后面的关联操作,如果不符,那么就拒绝其接入。

         OPEN +WEP采用空认证和WEP加密,无线终端无需验证,就可以与AP关联。具体的过程如下:申请者先发一个认证请求道AP,如果AP设置了MAC地址过滤功能,则AP对申请者MAC地址进行验证,否则AP直接通过认证请求,认证成功后申请者会向AP发送关联请求,AP回应关联应答,双方就建立了关联,然后就可以传递数据了。 该模式只对传输数据进行WEP加密,因为现在使用的无线网卡在硬件上都支持WEP加密,所以该模式兼容性很强。

        SHARED +WEP

         IEEE802.1X +WEP

WPA-PSK   / WPA2-PSK    (TKIP or CCMP)都是采用预共享密钥认证。WPA基于基于IEEE802.11i草案三制定;WPA2则是基于IEEE802.11i的正式规范制定,相比WPA具有更高的安全性。  

TKIP是对WEP加密方法的加强和升级,密钥长度为128位,解决WEP密钥长度过短的问题,在安全性上有所增强。TKIP通过将多种因素混合在一起(包括基本密钥,APMAC地址以及数据包的序列号)生成用于加密每个数据包的密钥。该混合操作在设计上将对无线终端和AP的要求减少到最低程度,并能提供足够的密码强度,使其不会被轻易破解。此外,混合操作还可以有效解决WEP加密中遇到的重复密钥使用和重复***问题。

CCMP是一种以AES的块密码为基础的安全协议。IEEE802.11i要求使用CCMP为无线网络提供四种安全服务:认证,机密性,完整性和重复***保护。CCMP使用128AES加密算法实现机密性,使用其他CCMP协议组件实现其余三种服务。CCMP结合了两种复杂的加密技术(counter mode & CBC –MAC)以此为无线终端和AP之间的数据通信提供一种健壮的安全协议。

需要强调的是,虽然WPA-PSK   / WPA2-PSK    采用了更为强大的加密算法,但是用户认证和加密的共享密码(原始密钥)是人为确定并通过手工设定的,而且对于接入同一个AP的所有终端来说,它们所设置的密钥是一样的。因此,其密钥难以管理并容易泄漏,不适合在安全性要求非常严格的场合应用。

 

       WPA /WPA2   (TKIP  or CCMP):为了改善WPA-PSKWPA2-PSK(Personal的标准,主要用于个人用户)在密钥管理方面的不足,WIFI联盟提供WPA /WPA2   (TKIP  or CCMP)(指Enterprise的标准,主要用于企业用户),它们使用802.1x来进行用户认证并生成用于加密数据的根密钥,而不再使用手工设定的预共享密钥,但是加密过程则没有区别。

        WPA(WPA2)中,RADIUS服务器取代了WPA-PSK(WPA2-PSK)认证过程中的单一密码机制。用户在接入无线网络前,首先需要提供相应的×××明,通过与用户身份数据库中的认证信息进行比对检查,以确认是否具有权限并向客户端动态分发用于加密数据的密钥。

        由于采用了802.1x进行用户身份认证,每个用户的登陆信息都有其自身进行管理,有效减少信息泄露的可能性。并且用户每次接入无线网络时的数据加密密钥都是通过RADIUS服务器动态分配的,***者难于获得加密密钥。因此WPA/WPA2(TKIP or CCMP)极大的提高了网络的安全性,并成为高安全无线网络的首选接入方式。