1. Overall logic

Security policy = authentication mechanism + encryption mechanism

In order to enhance wireless network security, at least two security mechanisms, authentication and encryption, need to be provided:

1. Authentication mechanism: The authentication mechanism is used to verify the user's identity to limit specific users (authorized users) to use network resources.

2. Encryption mechanism: The encryption mechanism is used to encrypt the data of the wireless link to ensure that the wireless network data is only received and understood by the expected users.

WPA-pSK is the PSK authentication algorithm + TKIP encryption algorithm, which is more secure than empty encryption, but it is said that it can also be cracked.

WPA2-PSK uses PSK authentication algorithm + TKIP encryption algorithm/CCMP encryption algorithm,

2. Authentication mechanism:

There are two types of authentication mechanisms: link authentication and access authentication.

2.1. Link authentication

Link authentication is 802.11 authentication, which is a low-level authentication mechanism. Occurs when a STA performs 802.11 association with an AP, which is earlier than access authentication. Before any STA attempts to connect to the network, it must perform 802.11 authentication for identity confirmation. The 802.11 authentication can be regarded as the starting point of the handshake process when the STA connects to the network, and it is the first step in the network connection process.

The 802.11 link defines two authentication mechanisms: open system authentication and shared key authentication.

2.1.1. Open System Authentication:

That is, without authentication, any STA can be authenticated successfully.

2.1.2, shared key authentication (Shared-key Authentication):

The STA and AP pre-configure the same shared key, and the AP verifies whether the key configurations on both sides are the same during the link authentication process. If they are consistent, the authentication is successful; otherwise, the authentication fails.

The authentication process of the shared key is:

The STA sends an authentication request (Authentication Request) to the AP.

The AP then generates a "Challenge" packet and sends it to the STA.

The STA encrypts the challenge (Encrypted Challenge) with a pre-set key and sends it to the AP.

The AP receives the Encrypted Challenge, decrypts the message with a pre-set key, and then compares the decrypted Challenge with the one sent to the STA before. If they are the same, the authentication is successful; otherwise, the authentication fails.

2.2. User access authentication

2.2.1、802.1X认证认证方式（又称为企业模式）：

使用RADIUS (Remote Authentication Dial-In User Service)服务器和可扩展认证协议EAP（Extensible Authentication Protocol）进行认证。用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现对用户的接入认证。

2.2.2、PSK：预共享密钥模式（pre-shared key，又称为个人模式）

对一些中小型的企业网络或者家庭用户，部署一台专用的认证服务器代价过于昂贵，维护也很复杂，引入预共享密钥模式，它不需要专门的认证服务器，仅要求在每个WLAN节点（WLAN服务端、无线路由器、网卡等）预先输入一个预共享密钥即可。只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。

802.1X认证可以支持对有线用户和无线用户进行身份认证，而PSK认证则是专门针对无线用户的认证方法。

PSK认证需要事先在STA和AC端配置相同的预共享密钥，然后通过是否能够对协商的消息成功解密，来确定STA配置的预共享密钥是否和AC配置的预共享密钥相同，从而完成STA和AC的互相认证。如果密钥协商成功，表明PSK接入认证成功；如果密钥协商失败，表明PSK接入认证失败。

三、加密机制：

加密算法有三种：WEB加密、TKIP加密、CCMP加密算法。

其中WEB加密和TKIP加密都是RC4的加密算法，安全性较低。CCMP加密采用AES对称加密算法，安全性较高。

3.1、WEB加密

WEP （Wired Equivalent Privacy，有线等效加密）是原始 IEEE 802.11 标准中指定的数据加密方法，是WLAN安全认证和加密的基础，用来保护无线局域网中授权用户所交换的数据的私密性，防止这些数据被窃取。

WEP使用RC4算法来保证数据的保密性，通过共享密钥来实现认证。WEP没有规定密钥的管理方案，一般手动进行密钥的配置与维护。通常把这种不具密钥分配机制的WEP称为手动WEP或者静态WEP。

虽然WEP104在一定程度上提高了WEP加密的安全性，但是受到RC4加密算法以及静态配置密钥的限制，WEP加密还是存在比较大的安全隐患，无法保证数据的机密性、完整性和对接入用户实现身份认证。

WEP加密方式可以分别和Open system、Shared key链路认证方式使用。

采用Open system authentication方式：此时WEP密钥只做加密，即使密钥配的不一致，用户也是可以上线，但上线后传输的数据会因为密钥不一致被接收端丢弃。

采用Shared key authentication方式：此时如果双方密钥不一致，客户端就不能通过Shared key认证，无法上线。也就是说，当WEP和Shared key认证方式配合使用时，WEP也可以作为一种认证方法。

3.2、TKIP加密

TKIP（Temporal Key Integrity Protocol，暂时密钥集成协议）是IEEE 802.11组织为修补WEP加密机制而创建的一种临时的过渡方案。它也和WEP加密机制一样使用的是RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。主要体现在以下几点：

静态WEP的密钥为手工配置，且一个服务区内的所有用户都共享同一把密钥。而TKIP的密钥为动态协商生成，每个传输的数据包都有一个与众不同的密钥。

TKIP将密钥的长度由WEP的40位加长到128位，初始化向量IV的长度由24位加长到48位，提高了WEP加密的安全性。

TKIP支持MIC认证（Message Integrity Check，信息完整性校验）和Countermeasure防止重放攻击功能。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，可以采取一系列的对策，来阻止黑客的攻击。

3.3、CCMP加密

CCMP（Counter mode with CBC-MAC Protocol，计数器模式搭配CBC-MAC协议）是基于AES（Advanced Encryption Standard，高级加密标准）加密机制的协议。

CBC-MAC协议：区块密码锁链－信息真实性检查码协议。

IEEE 802.11i 要求使用 CCMP 来提供全部四种安全服务：认证、机密性、完整性和重发保护。 CCMP 使用 128 位 AES （Advanced Encryption Standard，高级加密标准）加密算法实现机密性，使用CBC-MAC（区块密码锁链－信息真实性检查码协议）来保证数据的完整性和认证。

作为一种全新的高级加密标准，AES加密算法采用对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能，它将在IEEE 802.11i最终确认后，成为取代WEP的新一代的加密技术，为无线网络带来更强大的安全防护。

四、安全策略：

WEP

WEP，最基本的加密技术，它的安全技术源自于名为RC4的RSA数据加密技术，是无线局域网WLAN的必要的安全防护层。在2003年时就被WPA加密所淘汰，一是安全性能存在好几个弱点。其次由于WEP采用的是802.11技术，而现在无线路由设备基本都是使用的802.11n及以上技术，再使用WEP加密会影响无线网络设备的传输速率。

WPA

WPA(WiFi Protected Access)，WPA协议是在前一代有线等效加密(WEP)的基础上产生的，解决了前任WEP的缺陷问题，它使用TKIP（临时密钥完整性）协议，是IEEE 802.11i标准中的过渡方案。在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。

WPA2

WPA2是WPA加密的升级版。它是WiFi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES（高级加密）所取代。

WPA-PSK/WPA2-PSK

WPA-PSK/WPA2-PSK是WPA与WPA2两种加密算法的混合体，是目前安全性最好的WiFi加密模式。WPA-PSK 也叫做 WPA-Personal（WPA个人）。WPA-PSK使用TKIP加密方法把无线设备和接入点联系起来。WPA2-PSK使用AES加密方法把无线设备和接入点联系起来。使用AES加密算法不仅安全性能更高，而且由于其采用的是最新技术，因此，在无线网络传输速率上面也要比TKIP更快。