[802.11]IEEE 802.11认证方式介绍

一、802.11认证方式

802.11有开放系统认证（open system authentication）和共享密钥认证（shared keyauthentication）两种方式。

1.1 开放系统认证

开放式系统验证其实可以称为“无验证”，因为实际上没有进行验证   —— 工作站说“请求验证”，而AP也不管是否密钥是否正确，先“答应了再说”，但最终ap会验证密钥是否正确，决定是否允许接入——这种验证方式的ap，往往你随便输入一个密码，都可以连接，但如果密码不正确，会显示为“受限制”。

因为是无验证，所以申请者发送authentication报文，认证者收到后，同样发送authentication报文，并在status code字段置0，表示认证成功

1.2 共享密钥认证

    共享密钥验证稍微强大一些，工作站请求验证，而访问点（AP）用WEP加密的质询进行响应。如果工作站的提供的密钥是错误的，则立即拒绝请求。如果工作站有正确的WEP密码，就可以解密该质询，并允许其接入，因此，连接共享密钥系统，如果密钥不正确，通常会立即显示“该网络不存在等提示”。

    由于已经WEP已经不再安全，所以共享密钥认证方式已经停用。

二、802.11i无线安全标准

因为WEP加密的数据已经不再安全，于是IEEE制定802.11i协议负责解决WEP的加密机制缺乏机密性。

2.1 wi-fi保护存取（WPA）

WPA和WPA2是通过PSK或者EAP/802.1x认证方式实现的，并且WPA使用TKIP协议

WPA2使用CCMP协议。

WPA 全名为 Wi-Fi Protected Access，有WPA和 WPA2两个标准，是一种保护无线电脑网路（Wi-Fi）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。WPA实作了 IEEE 802.11i标准的大部分，是在 802.11i完备之前替代 WEP的过渡方案。WPA的设计可以用在所有的无线网卡上，但未必能用在第一代的无线取用点上。WPA2实作了完整的标准，但不能用在某些古老的网卡上。这两个都提供优良的保全能力。

我们知道802.11i 这个任务小组成立的目的就是为了打造一个更安全的无线局域网 , 所以在加密项目里规范了两个新的安全加密协定 – TKIP 与CCMP 。其中 TKIP 虽然针对 WEP 的弱点作了重大的改良 , 但保留了 RC4 演算法和基本架构 , 言下之意 ,TKIP 亦存在着 RC4本身所隐含的弱点。因而 802.11i 再打造一个全新、安全性更强、更适合应用在无线局域网环境的加密协定 -CCMP 。所以在CCMP 就绪之前 ,TKIP 就已经完成了。但是要等到CCMP 完成 , 再发布完整的 IEEE 802.11i 标准 , 可能尚需一段时日 , 而 Wi-Fi 联盟为了要使得新的安全性标准能够尽快被布署 , 以消弭使用者对无线局域网安全性的疑虑 , 进而让无线局域网的市场可以迅速扩展开来 , 因而使用已经完成 TKIP 的 IEEE 802.11i 第三版草案(IEEE 802.11i draft 3) 为基准 , 制定了 WPA 。而于 IEEE 完成并公布 IEEE 802.11i 无线局域网安全标准后,Wi-Fi 联盟也随即公布了 WPA 第 2 版 (WPA 2) 。所以：
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 选择性项目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 选择性项目)/TKIP/CCMP

2.2 WPA、WEP对比

WPA与WEP不同，WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是，它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前，这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，IT人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户容易受到攻击。由于互操作问题，学术环境和公共场所一直不能使用专有的安全机制。

三、802.11新的认证方式

使用WEP加密方式的认证和数据发送使用的是相同的密钥，并且安全性不强。为了解决这个问题。

将认证与数据传输拆分为两个过程：

认证使用的是基于开放系统认证开发的PSK认证和802.1X认证

数据传输采用的是802.11i中规定的TKIP或者CCMP加密算法。

3.1 PSK认证方式

PSK认证在使用的时候分为WPA-PSK（WPA-personal）或者WPA2-PSK（WPA2-personal）。这是根据使用的802.11i算法的不同划分的。

WPA-PSK（WPA-personal）使用TKIP

WPA2-PSK（WPA2-personal）使用CCMP

认证原理：

在开放系统认证的基础上，加上802.11i的四次握手过程以更新共享密钥。

 

如果出现密码错误，则四次握手就无法通过。

3.2 802.1X认证方式

1、802.1X认证根据使用的802.11i算法的不同也分为WPA-enterprise或WPA2-enterprise。

WPA-enterprise使用的是TKIP

WPA2-enterprise使用的是CCMP

2、802.1X根据认证服务器（例如RADIUS）的功能，分为EAP中继和EAP终结。

3、802.1X认证过程。

详细过程在下一篇文章中介绍