WEP是數(shù)據(jù)加密算法，它不是一個(gè)用戶認(rèn)證機(jī)制，WPA用戶認(rèn)證是使用802.1x和擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol:EAP)來(lái)實(shí)現(xiàn)的。
在802.11標(biāo)準(zhǔn)里,802.1x身份認(rèn)證是可選項(xiàng);在WPA里802.1x身份認(rèn)證是必選項(xiàng)(關(guān)于EAP明確的詳細(xì)資料，請(qǐng)查閱IETF的RFC2284)。

對(duì)于加密,WPA使用臨時(shí)密鑰完整性協(xié)議（TKIP：TemporalKeyIntegrityProtocol）的加密是必選項(xiàng)。TKIP使用了一個(gè)新的加密算法取代了WEP，比WEP的加密算法更強(qiáng)壯,同時(shí)還能使用現(xiàn)有的無(wú)線硬件上提供的計(jì)算工具去實(shí)行加密的操作。

WPA安全的密鑰特性

WPA標(biāo)準(zhǔn)里包括了下述的安全特性:WPA認(rèn)證、WPA加密密鑰管理、臨時(shí)密鑰完整性協(xié)議(TKIP)、Michael消息完整性編碼(MIC)、AES支持。

WPA改善了我們所熟知的WEP的大部分弱點(diǎn)，它主要是應(yīng)用于公司內(nèi)部的無(wú)線基礎(chǔ)網(wǎng)絡(luò)。無(wú)線基礎(chǔ)網(wǎng)絡(luò)包括:工作站、AP和認(rèn)證服務(wù)器(典型的RADIUS服務(wù)器)。在無(wú)線用戶訪問(wèn)網(wǎng)絡(luò)之前，RADIUS服務(wù)掌控用戶信任(例如:用戶名和口令)和認(rèn)證無(wú)線用戶。

WPA的優(yōu)勢(shì)來(lái)自于一個(gè)完整的包含802.1x/EAP認(rèn)證和智慧的密鑰管理和加密技術(shù)的操作次序.它主要的作用包括:

網(wǎng)絡(luò)安全性能可確定。它可應(yīng)用于802.11標(biāo)準(zhǔn)中,并通過(guò)數(shù)據(jù)包里的WPA信息進(jìn)行通信、探測(cè)響應(yīng)和(重)聯(lián)合請(qǐng)求。這些基礎(chǔ)的信息包括認(rèn)證算法(802.1x或預(yù)共享密鑰)和首選的密碼套件(WEP,TKIP或AES)。

認(rèn)證。WPA使用EAP來(lái)強(qiáng)迫用戶層的認(rèn)證機(jī)制使用802.1x基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn)架構(gòu)，802.1x端口訪問(wèn)控制是防止在用戶身份認(rèn)證完成之前就訪問(wèn)到全部的網(wǎng)絡(luò)。802.1xEAPOL-KEY包是用WPA分發(fā)每信息密鑰給這些工作站安全認(rèn)證的。

在工作站客戶端程序(Supplicant)使用包含在信息元素里的認(rèn)證和密碼套件信息去判斷哪些認(rèn)證方法和加密套件是使用的。例如,如果AP是使用的預(yù)共享密鑰方法,那么客戶端程序不需要使用成熟的802.1x。然而，客戶端程序必須簡(jiǎn)單地證明它自己所擁有的預(yù)共享密鑰給AP;如果客戶端檢測(cè)到服務(wù)單元不包含一個(gè)WPA元素，那么它必須在命令里使用預(yù)WPA802.1x認(rèn)證和密鑰管理去訪問(wèn)網(wǎng)絡(luò)。

密鑰管理。WPA定義了強(qiáng)健的密鑰生成/管理系統(tǒng),它結(jié)合了認(rèn)證和數(shù)據(jù)私密功能。在工作站和AP之間成功的認(rèn)證和通過(guò)4步握手后,密鑰產(chǎn)生了。

數(shù)據(jù)加密。臨時(shí)密鑰完整性協(xié)議(TKIP)是使用包裝在WEP上的動(dòng)態(tài)加密算法和安全技術(shù)來(lái)克服它的缺點(diǎn)。數(shù)據(jù)完整性：TKIP在每一個(gè)明文消息末端都包含了一個(gè)信息完整性編碼(MIC)，來(lái)確保信息不會(huì)被“哄騙”。

802.1x的認(rèn)證過(guò)程如下：

1.最初的802.1x通訊開(kāi)始以一個(gè)非認(rèn)證客戶端設(shè)備嘗試去連接一個(gè)認(rèn)證端(如AP)，客戶端發(fā)送一個(gè)EAP起始消息。然后開(kāi)始客戶端認(rèn)證的一連串消息交換。

2.AP回復(fù)EAP-請(qǐng)求身份消息。

3.客戶端發(fā)送給認(rèn)證服務(wù)器的EAP的響應(yīng)信息包里包含了身份信息。AP通過(guò)激活一個(gè)只允許從客戶端到AP有線端的認(rèn)證服務(wù)器的EAP包的端口,并關(guān)閉了其它所有的傳輸，像HTTP、DHCP和POP3包，直到AP通過(guò)認(rèn)證服務(wù)器來(lái)驗(yàn)證用戶端的身份。（例如：RADIUS）

4.認(rèn)證服務(wù)器使用一種特殊的認(rèn)證算法去驗(yàn)證客戶端身份。同樣它也可以通過(guò)使用數(shù)字認(rèn)證或其他類型一些EAP認(rèn)證。

5.認(rèn)證服務(wù)器會(huì)發(fā)送同意或拒絕信息給這個(gè)AP。

6.AP發(fā)送一個(gè)EAP成功信息包（或拒絕信息包）給客戶端。

7.如果認(rèn)證服務(wù)器認(rèn)可這客戶端，那么AP將轉(zhuǎn)換這客戶端的端口到授權(quán)狀態(tài)并轉(zhuǎn)發(fā)其它的通信。最重要的是，這個(gè)AP的軟件是支持認(rèn)證服務(wù)器里特定的EAP類型的，并且用戶端設(shè)備的操作系統(tǒng)里或“Supplicant”（客戶端設(shè)備）應(yīng)用軟件也要支持它。AP為802.1x消息提供了“透明傳輸”。這就意味著你可以指定任一EAP類型，而不需要去升級(jí)一個(gè)自適應(yīng)802.1x的AP。