无线局域网 WLAN 加密算法比较

WLAN加密算法比较

1. 链路认证方式

(1) 开放系统认证（Open system authentication）

不认证

(2) 共享密钥认证（Shared key authentication）

共享密钥认证需要无线客户端和设备端配置相同的共享密钥

2. WLAN服务的数据安全

(1) 明文数据

所有的数据报文都没有通过加密处理

(2) WEP加密

WEP（Wired Equivalent Privacy，有线等效加密）

密钥长度：WEP40/WEP104/WEP128

WEP加密方式可以分别和 Open system、Shared key认证方式配合使用，与open

system配合，只加密，密钥不一样可以接入，但不能传输；与shared key配合，

认证+加密，密钥不一样不能接入。

RC4加密算法（一种流加密算法）

z 静态 WEP加密

静态 WEP加密要求手工指定 WEP密钥，接入同一 SSID下的所有无线客户端

使用相同的 WEP密钥。

z 动态 WEP加密（和802.1X一起用）

动态 WEP加密的WEP 密钥并不是手工指定的，而是由无线客户端和服务器通

过802.1X协议协商产生，这样每个无线客户端协商出来的 WEP单播密钥都是

不同的，提高了单播数据帧传输的安全性。

(3) TKIP加密

z 首先，TKIP通过增长了算法的 IV（初始化向量）长度提高了加密的安全性。相

比 WEP算法，

TKIP直接使用128位密钥的RC4加密算法，而且将初始化向量的长度由 24位加

长到 48位；

z 其次，虽然 TKIP采用的还是和 WEP一样的 RC4加密算法，但其动态密钥的特

性很难被攻破，

并且 TKIP支持密钥更新机制，能够及时提供新的加密密钥，防止由于密钥重用带

来的安全隐

患；

z 另外，TKIP 还支持了 MIC 认证（Message Integrity Check，信息完整性校验）和

Countermeasure功能。当 TKIP报文发生 MIC错误时，数据可能已经被篡改，也就

是无线网

络很可能正在受到攻击。当在一段时间内连续接收到两个 MIC 错误的报文，AP 将

会启动

Countermeasure 功能，此时，AP 将通过静默一段时间不提供服务，实现对无线网

络的攻击

防御。

(4) CCMP加密

CCMP（Counter mode with CBC-MAC Protocol，[计数器模式]搭配[区块密码锁链

－信息真实性检查码]协议）加密机制是基于AES（Advanced Encryption

Standard，高级加密标准）加密算法的CCM（Counter-Mode/CBC-MAC，区块密码锁

链－信息真实性检查码）方法。CCM 结合 CTR

（Counter mode，计数器模式）进行机密性校验，同时结合 CBC-MAC（区块密码锁

链－信息真实

性检查码）进行认证和完整性校验。CCMP中的 AES块加密算法使用 128位的密钥

和 128位的块

大小。同样 CCMP包含了一套动态密钥协商和管理方法，每一个无线用户都会动态

的协商一套密钥，而且密钥可以定时进行更新，进一步提供了 CCMP加密机制的安

全性。在加密处理过程中，CCMP也会使用 48位的 PN（Packet Number）机制，保证每一个加密报文都会是用不同的 PN，在一定程度上提高安全性。

3. 用户接入认证

(1) PSK认证

PSK（Preshared Key，预共享密钥）认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证

失败。

(2) 802.1X认证

802.1X协议是一种基于端口的网络接入控制协议（port based network access

control protocol）。“基于端口的网络接入控制”是指在WLAN接入设备的端口

这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问 WLAN中的资源；如果不能通过认证，则无法访问 WLAN中的资

源。

(3) MAC地址认证

MAC地址认证是一种基于端口和 MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的 MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

在 WLAN网络应用中，MAC认证需要预先获知可以访问无线网络的终端设备 MAC地

址，所以一般适用于用户比较固定的、小型的无线网络，例如家庭、小型办公室等环境。MAC地址认证分为以下两种方式：

z 本地 MAC地址认证。当选用本地认证方式进行 MAC地址认证时，直接在

设备上完成对用户的认证，此时需要在设备上配置本地用户名和密码。通常

情况下，可以采用 MAC地址作为用户名，需要事先获知无线接入用户的 MAC

地址，并配置为本地用户名。无线用户接入网络时，只有 MAC地址存在的用

户可以认证通过，其它用户将被拒绝接入。

z 通过 RADIUS服务器进行 MAC地址认证。当选用 RADIUS服务器认证方式

进行 MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成

MAC地址认证操作。在RADIUS服务器完成对该用户的认证后，认证通过的用

户可以访问无线网络以及获得相应的授权信息。采用RADIUS服务器进行MAC

地址认证时，可以通过在各无线服务下分别指定各自的domain域，将不同

SSID的 MAC地址认证用户信息发送到不同的远端 RADIUS服务器。

PTK（Pairwise Transient Key）成对瞬时密钥

GTK（Group Temporal Key，群组临时密钥）由 AC生成，在 AP和无线客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到无线客户端。

RSNA（Robust Security Network Association，健壮安全网络连接）

TKIP (Temporal Key Integrity Protocol)临时密钥完整性协议