[802.11]IEEE 802.11認證方式介紹

一、802.11認證方式

802.11有開放系統認證（open system authentication）和共享密鑰認證（shared keyauthentication）兩種方式。

1.1 開放系統認證

開放式系統驗證其實可以稱爲“無驗證”，因爲實際上沒有進行驗證   —— 工作站說“請求驗證”，而AP也不管是否密鑰是否正確，先“答應了再說”，但最終ap會驗證密鑰是否正確，決定是否允許接入——這種驗證方式的ap，往往你隨便輸入一個密碼，都可以連接，但如果密碼不正確，會顯示爲“受限制”。

因爲是無驗證，所以申請者發送authentication報文，認證者收到後，同樣發送authentication報文，並在status code字段置0，表示認證成功

1.2 共享密鑰認證

    共享密鑰驗證稍微強大一些，工作站請求驗證，而訪問點（AP）用WEP加密的質詢進行響應。如果工作站的提供的密鑰是錯誤的，則立即拒絕請求。如果工作站有正確的WEP密碼，就可以解密該質詢，並允許其接入，因此，連接共享密鑰系統，如果密鑰不正確，通常會立即顯示“該網絡不存在等提示”。

    由於已經WEP已經不再安全，所以共享密鑰認證方式已經停用。

二、802.11i無線安全標準

因爲WEP加密的數據已經不再安全，於是IEEE制定802.11i協議負責解決WEP的加密機制缺乏機密性。

2.1 wi-fi保護存取（WPA）

WPA和WPA2是通過PSK或者EAP/802.1x認證方式實現的，並且WPA使用TKIP協議

WPA2使用CCMP協議。

WPA 全名爲 Wi-Fi Protected Access，有WPA和 WPA2兩個標準，是一種保護無線電腦網路（Wi-Fi）安全的系統，它是應研究者在前一代的系統有線等效加密（WEP）中找到的幾個嚴重的弱點而產生的。WPA實作了 IEEE 802.11i標準的大部分，是在 802.11i完備之前替代 WEP的過渡方案。WPA的設計可以用在所有的無線網卡上，但未必能用在第一代的無線取用點上。WPA2實作了完整的標準，但不能用在某些古老的網卡上。這兩個都提供優良的保全能力。

我們知道802.11i 這個任務小組成立的目的就是爲了打造一個更安全的無線局域網 , 所以在加密項目裏規範了兩個新的安全加密協定 – TKIP 與CCMP 。其中 TKIP 雖然針對 WEP 的弱點作了重大的改良 , 但保留了 RC4 演算法和基本架構 , 言下之意 ,TKIP 亦存在着 RC4本身所隱含的弱點。因而 802.11i 再打造一個全新、安全性更強、更適合應用在無線局域網環境的加密協定 -CCMP 。所以在CCMP 就緒之前 ,TKIP 就已經完成了。但是要等到CCMP 完成 , 再發布完整的 IEEE 802.11i 標準 , 可能尚需一段時日 , 而 Wi-Fi 聯盟爲了要使得新的安全性標準能夠儘快被佈署 , 以消弭使用者對無線局域網安全性的疑慮 , 進而讓無線局域網的市場可以迅速擴展開來 , 因而使用已經完成 TKIP 的 IEEE 802.11i 第三版草案(IEEE 802.11i draft 3) 爲基準 , 制定了 WPA 。而於 IEEE 完成並公佈 IEEE 802.11i 無線局域網安全標準後,Wi-Fi 聯盟也隨即公佈了 WPA 第 2 版 (WPA 2) 。所以：
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 選擇性項目)/TKIP/CCMP

2.2 WPA、WEP對比

WPA與WEP不同，WEP使用一個靜態的密鑰來加密所有的通信。WPA不斷的轉換密鑰。WPA採用有效的密鑰分發機制，可以跨越不同廠商的無線網卡實現應用。另外WPA的另一個優勢是，它使公共場所和學術環境安全地部署無線網絡成爲可能。而在此之前，這些場所一直不能使用WEP。WEP的缺陷在於其加密密鑰爲靜態密鑰而非動態密鑰。這意味着，爲了更新密鑰，IT人員必須親自訪問每臺機器，而這在學術環境和公共場所是不可能的。另一種辦法是讓密鑰保持不變，而這會使用戶容易受到攻擊。由於互操作問題，學術環境和公共場所一直不能使用專有的安全機制。

三、802.11新的認證方式

使用WEP加密方式的認證和數據發送使用的是相同的密鑰，並且安全性不強。爲了解決這個問題。

將認證與數據傳輸拆分爲兩個過程：

認證使用的是基於開放系統認證開發的PSK認證和802.1X認證

數據傳輸採用的是802.11i中規定的TKIP或者CCMP加密算法。

3.1 PSK認證方式

PSK認證在使用的時候分爲WPA-PSK（WPA-personal）或者WPA2-PSK（WPA2-personal）。這是根據使用的802.11i算法的不同劃分的。

WPA-PSK（WPA-personal）使用TKIP

WPA2-PSK（WPA2-personal）使用CCMP

認證原理：

在開放系統認證的基礎上，加上802.11i的四次握手過程以更新共享密鑰。

 

如果出現密碼錯誤，則四次握手就無法通過。

3.2 802.1X認證方式

1、802.1X認證根據使用的802.11i算法的不同也分爲WPA-enterprise或WPA2-enterprise。

WPA-enterprise使用的是TKIP

WPA2-enterprise使用的是CCMP

2、802.1X根據認證服務器（例如RADIUS）的功能，分爲EAP中繼和EAP終結。

3、802.1X認證過程。

詳細過程在下一篇文章中介紹