802.11i：IEEE定義的安全標(biāo)準(zhǔn)

IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高 WLAN安全的目的。CCMP機(jī)制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要 求。由于AES對(duì)硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。802.11i協(xié)議結(jié)構(gòu)如圖1所示。

802.11i草案標(biāo)準(zhǔn)中建議的認(rèn)證方案是基于802.1x和擴(kuò)展認(rèn)證協(xié)議（EAP）的，加密算法為高級(jí)加密標(biāo)準(zhǔn)（AES）。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以不斷演進(jìn)，與最新的安全水平保持同步，添加算法應(yīng)付新的威脅，并不斷提供保護(hù)無線局域網(wǎng)傳送的信息所需要的安全性。

802.11相關(guān)認(rèn)證方式僅是無線終端設(shè)備的認(rèn)證。在運(yùn)營商的網(wǎng)絡(luò)環(huán)境中，還需要針對(duì)用戶進(jìn)行認(rèn)證、計(jì)費(fèi)，此時(shí)需要通過802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）進(jìn)行認(rèn)證。

WPA：向IEEE 802.11i過渡的中間標(biāo)準(zhǔn)

在WLAN的發(fā)展過程中，市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i的進(jìn)展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA（Wi-Fi Protected Access）標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)采用了IEEE802.11i的草案，保證了與未來出現(xiàn)的協(xié)議的前向兼容。

STA通過了802.1x身份驗(yàn)證之后，AP會(huì)得到一個(gè)與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對(duì)于使用預(yù)共享密鑰的方式來說，PSK就是PMK）。隨后AP與STA通過EAPOL-KEY進(jìn)行WPA的四次握手（4-Way Handshake）過程，如圖2所示。