2023年7月11日发(作者：)

WLAN加密算法比较

1. 链路认证方式

(1) 开放系统认证（Open system authentication）

不认证

(2) 共享密钥认证（Shared key authentication）

共享密钥认证需要无线客户端和设备端配置相同的共享密钥

2. WLAN服务的数据安全

(1) 明文数据

所有的数据报文都没有通过加密处理

(2) WEP加密

WEP（Wired Equivalent Privacy，有线等效加密）

密钥长度：WEP40/WEP104/WEP128

WEP加密方式可以分别和 Open system、Shared key认证方式配合使用，与open

system配合，只加密，密钥不一样可以接入，但不能传输；与shared key配合，认证+加密，密钥不一样不能接入。

RC4加密算法（一种流加密算法）

z 静态 WEP加密

静态 WEP加密要求手工指定 WEP密钥，接入同一 SSID下的所有无线客户端使用相同的 WEP密钥。

z 动态 WEP加密（和802.1X一起用）

动态 WEP加密的WEP 密钥并不是手工指定的，而是由无线客户端和服务器通过802.1X协议协商产生，这样每个无线客户端协商出来的 WEP单播密钥都是不同的，提高了单播数据帧传输的安全性。

(3) TKIP加密

z 首先，TKIP通过增长了算法的 IV（初始化向量）长度提高了加密的安全性。相比 WEP算法，

TKIP直接使用 128位密钥的 RC4加密算法，而且将初始化向量的长度由 24位加长到 48位；

z 其次，虽然 TKIP采用的还是和 WEP一样的 RC4加密算法，但其动态密钥的特性很难被攻破，

并且 TKIP支持密钥更新机制，能够及时提供新的加密密钥，防止由于密钥重用带来的安全隐

患；

z 另外，TKIP 还支持了 MIC 认证（Message Integrity Check，信息完整性校验）和

Countermeasure功能。当 TKIP报文发生 MIC错误时，数据可能已经被篡改，也就是无线网

络很可能正在受到攻击。当在一段时间内连续接收到两个 MIC 错误的报文，AP 将会启动

Countermeasure 功能，此时，AP 将通过静默一段时间不提供服务，实现对无线网络的攻击

防御。

(4) CCMP加密 CCMP（Counter mode with CBC-MAC Protocol，[计数器模式]搭配[区块密码锁链－信息真实性检查码]协议）加密机制是基于 AES（Advanced Encryption

Standard，高级加密标准）加密算法的CCM（Counter-Mode/CBC-MAC，区块密码锁链－信息真实性检查码）方法。CCM 结合 CTR

（Counter mode，计数器模式）进行机密性校验，同时结合 CBC-MAC（区块密码锁链－信息真实

性检查码）进行认证和完整性校验。CCMP中的 AES块加密算法使用 128位的密钥和 128位的块

大小。同样 CCMP包含了一套动态密钥协商和管理方法，每一个无线用户都会动态的协商一套密钥，而且密钥可以定时进行更新，进一步提供了 CCMP加密机制的安全性。在加密处理过程中，CCMP也会使用 48位的 PN（Packet Number）机制，保证每一个加密报文都会是用不同的 PN，在一定程度上提高安全性。

3. 用户接入认证

(1) PSK认证

PSK（Preshared Key，预共享密钥）认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证失败。

(2) 802.1X认证

802.1X协议是一种基于端口的网络接入控制协议（port based network access

control protocol）。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问 WLAN中的资源；如果不能通过认证，则无法访问 WLAN中的资源。

(3) MAC地址认证

MAC地址认证是一种基于端口和 MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的 MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。在 WLAN网络应用中，MAC认证需要预先获知可以访问无线网络的终端设备 MAC地址，所以一般适用于用户比较固定的、小型的无线网络，例如家庭、小型办公室等环境。MAC地址认证分为以下两种方式：

z 本地 MAC地址认证。当选用本地认证方式进行 MAC地址认证时，直接在设备上完成对用户的认证，此时需要在设备上配置本地用户名和密码。通常情况下，可以采用 MAC地址作为用户名，需要事先获知无线接入用户的 MAC地址，并配置为本地用户名。无线用户接入网络时，只有 MAC地址存在的用户可以认证通过，其它用户将被拒绝接入。

z 通过 RADIUS服务器进行 MAC地址认证。当选用 RADIUS服务器认证方式进行 MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作。在RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问无线网络以及获得相应的授权信息。采用RADIUS服务器进行MAC地址认证时，可以通过在各无线服务下分别指定各自的domain域，将不同

SSID的 MAC地址认证用户信息发送到不同的远端 RADIUS服务器。

PTK（Pairwise Transient Key）成对瞬时密钥

GTK（Group Temporal Key，群组临时密钥）由 AC生成，在 AP和无线客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到无线客户端。

RSNA（Robust Security Network Association，健壮安全网络连接）

TKIP (Temporal Key Integrity Protocol)临时密钥完整性协议 WAPI（WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）

z WEP40/WEP104/WEP128

z TKIP

z CCMP

加密方式对比

加密技术

WEP

全称

加密算法

协议背景 划分

特点

Wired

Equivalent

Privacy（有线对等保密）

rsa数据安全

IEEE

性公司开发802.11b

的Rc4prng算法

无

WEP加密方法很脆弱。网络上每个客户或者计算机都使用了相同的保密字，这种方法使网络偷听者能刺探你的密钥，偷走数据并且在网络上造成混乱

为了堵塞WEP的漏洞而发展的加密技术，使用方法与WEP相似。无线基地台与笔记型计算机必须设定相同的Key，计算机才可以连入基地台。但其进入WLAN时以长词组或字串作为网络金钥。并且WPA-PSK运用了TKIP (Temporal Key

Integrity Protocol)技术，因此比WEP难被破解而更加安全。

需要一台储存无线用户账户数据的RADIUS服务器，无线用户连入无线基地台时，要输入账号密码、或是服务器自动向笔记型计算机索取储存在计算机硬盘的使用者数字凭证，然后向

WPA

Wi-Fi

还是WEPProtected

中使用的AccessRc4算法

（WiFi安全存取）

IEEE WPA-PSK

802.11i

draft 3，它使用TKIP(临时密钥完整性协议)

WPA-Enterprise RADIUS服务器确认使用者的身分。而用来加密无线封包的加密金钥(Key)，也是在认证的过程中自动产生，并且每一次联机所产生的金钥都不同，因此非常难被破解。用用户名和密码安全登陆网络后，每个客户会自动得到一个唯一的密钥，密钥很长并且每隔一段时间就会被更新。这样wi-Fi监听者就不能获取足够的数据包来解码密钥。

WPA2

Wi-Fi

Protected

Access 2（WiFi安全存取 第二版）

支持AES(高

IEEE

级加密算法)，因此它802.11i

需要新的硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议)

WPA2-PSK

WPA2是WPA的升级版

WPA2-Enterprise

同WPA- Enterprise

WiFi无线网络的几种认证与加密方式

一、Open System

完全不认证也不加密，任何人都可以连到无线基地台使用网络。

二、WEP (Wired Equivalent Privacy) 有线等效加密

最基本的加密技术，手机用户、笔记型计算机与无线网络的Access Point（网络金钥AP）拥有相同的网络金钥，才能解读互相传递的数据。这金钥分为64bits及128bits两种，最多可设定四组不同的金钥。当用户端进入WLAN前必须输入正确的金钥才能进行连接。

WEP加密方法很脆弱。网络上每个客户或者计算机都使用了相同的保密字，这种方法使网络偷听者能刺探你的密钥，偷走数据并且在网络上造成混乱。

三、WPA (Wi-Fi Protected Access) 商务宝采用的加密方式

由Wi-Fi Alliance (/)所提出的无线安全标准，有分成家用的WPA-PSK

(Pre-Shared Key)与企业用的WPA-Enterprise版本。

1、WPA-PSK （又称personal模式）

为了堵塞WEP的漏洞而发展的加密技术，使用方法与WEP相似。无线基地台与笔记型计算机必须设定相同的Key，计算机才可以连入基地台。但其进入WLAN时以更长词组或字串作为网络金钥。并且WPA-PSK运用了TKIP (Temporal Key Integrity

Protocol)技术，因此比WEP难被破解而更加安全。

WPA-PSK通过为每个客户分配唯一的密钥而工作，但需要给雇员密码以便登陆系统。这样，外部的人可通过他们享用网络资源。如果你希望修改密码（建议每隔一段时间修改密码以防止偷听者解码），你可能得跑到每台电脑前去输入新的密码。

2、WPA-802.1X（又称WPA-Enterprise模式）

采用IEEE 802.1x则需要有另一台储存无线使用者账户数据的RADIUS (Remote

Authentication Dial-In User Service)服务器，当笔记型计算机连入无线基地台时，无线基地台会要求使用者输入账号密码、或是自动向笔记型计算机索取储存在计算机硬盘的使用者数字凭证，然后向RADIUS服务器确认使用者的身分。而用来加密无线封包的加密金钥(Key)，也是在认证的过程中自动产生，并且每一次联机所产生的金钥都不同(专业术语称为Session Key)，因此非常难被破解。

用用户名和密码安全登陆网络后，每个客户会自动得到一个唯一的密钥，密钥很长并且每隔一段时间就会被更新。这样wi-Fi监听者就不能获取足够的数据包来解码密钥。即使一个密钥因为某种原因被解码了，富于经验的黑客有可能发现新的密钥，但是加密锁已经变了。

一但应用了WPA-Enterprise，不像WPA-PSK那样，雇员将不会知道密码。这样，外部的人就不能通过他们享用网络资源。WPA-Enterprise还可以节约你大量的时间；你无需花费大量的时间去人工更换客户的密码。

四、WPA2

WPA2顾名思义就是WPA的加强版，也就是IEEE 802.11i无线网络标准。同样有家用的PSK版本与企业的IEEE 802.1x版本。WPA2与WPA的差别在于，它使用更安全的加密技术AES (Advanced Encryption Standard)，因此比WPA更难被破解、更安全。

五、MAC ACL (Access Control List)

MAC ACL只能用于认证而不能用于加密。在无线基地台输入允许被连入的无线网卡MAC地址，不在此清单的无线网卡无法连入无线基地台。

六、Web Redirection

这种方式是WISP (Wireless Internet Service Provider，例如统一安源WiFly)最常用的方式。无线基地台设定成Open System，但是另外在后台利用存取控制网关器(Access Control

Gateway, ACG)，拦截笔记型计算机发出的Web封包(开启浏览器尝试上网)，并强制重导到认证网页要求输入账号密码，然后ACG向RADIUS认证服务器来确认使用者的身分，认证通过才可以自由到其它的网站。

七、各种加密方式对比

WEP安全加密方式

WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。全称为有线对等保密(Wired

Equivalent Privacy，WEP)是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。

WPA安全加密方式

WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。

WPA作为IEEE 802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。

WPA、WEP对比

WPA与WEP不同，WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是，它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前，这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，IT人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户容易受到攻击。由于互操作问题，学术环境和公共场所一直不能使用专有的安全机制。

WPA2：目前最强的无线加密技术

WPA2是WiFi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。

在WPA/WPA2中，PTK的生成是依赖于PMK的，而PMK的方式有两种，一种是PSK方式，也就是预共享密钥模式(pre-shared key，PSK，又称为个人模式)，在这种方式中PMK=PSK;而另一种方式则需要认证服务器和站点进行协商来产生PMK。下面我们通过公式来看看WPA和WPA2的区别：

WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP

WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP/CCMP

目前WPA2加密方式的安全防护能力非常出色，只要你的无线设备均支持WPA2加密，那你将体验到最安全的无线网络生活。即使是目前最热的“蹭网卡”也难以蹭入你的无线网络，用户大可放心使用。