【中计在线 】对于无线网络，人们不会陌生，随时随地上网的自由感觉真好。然而，自由便意味着开放，开放就意味着危险。在信息安全问题日益严峻的今天，如何打造一个无缝的无线局域网，成为网络工程师们最大的使命。WPA能否担起这个使命？

WPA与WEP的比较

WEP是数据加密算法，它不是一个用户认证机制。WPA用户认证是使用802.1x和扩展认证协议(Extensible Authentication Protocol:EAP) 来实现的。

在802.11标准里,802.1x身份认证是可选项；在WPA里802.1x身份认证是必选项(关于EAP明确的详细资料，请查阅IETF的RFC2284)。

对于加密,WPA使用临时密钥完整性协议（TKIP：Temporal Key Integrity Protocol）的加密是必选项。TKIP使用一个新的加密算法取代了WEP，比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。TKIP提供的重要的数据加密增强型内容包括:每包密钥混合功能（per-packet key mixing）、称为Michael的信息完整性检查（MIC:message integrity check）、有先后次序规则的扩展初始向量（extended initialization vector IV）和再生密钥机制。通过这些增强量，TKIP弥补了WEP所有的弱点。

WPA安全的密钥特性

WPA标准里包括了下述安全特性:

一、WPA认证，其改善了我们所熟知的WEP的大部分弱点，它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站、AP（Access Point，无线访问节点）和认证服务器(典型的RADIUS服务器)。在无线用户访问网络之前,RADIUS服务掌控用户信任和认证无线用户。

二、WPA加密密钥管理，包括：临时密钥完整性协议(TKIP)、Michael消息完整性编码(MIC)和AES支持(逐步采用)。WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序。它主要的作用包括:网络安全性能的可确定和认证。在工作站客户端程序(supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。

WPA数据加密密钥管理

临时密钥完整性协议（TKIP）可改变每一个帧的单播加密密钥，并且每次更改都在无线客户端和无线AP之间同步进行。WPA包括一个能灵活的将无线AP变换的全局加密密钥，告之相关连接的无线客户端。

如果设置成执行动态密钥交换，802.1x认证服务器可以把返回信息密钥和允许信息一起交给AP。AP在发送安全消息给客户端之后，使用信息密钥去构筑,标记和加密一个EAP密钥消息。客户端因此可以使用密码消息的内容去定义可适用的加密密钥。在典型的802.1x环境里,客户端根据需要能频繁地自动改变加密密钥, 从而将黑客破解当前所使用的密匙的可能性降到最小。 (本文作者杨子江来自美国网件中国区技术支持经理)