802.11i增强WiFi技术的安全性

    STA通过了802.1x身份验证之后，AP会得到一个与STA相同的Session Key， AP与STA将该Session Key作为PMK（Pairwise Master Key，对于使用预共享密钥的方式来说，PSK就是PMK）。随后AP与STA通过EAPOL-KEY进行WPA的四次握手（4-Way Handshake）过程。

    在这个过程中，AP和STA均确认了对方是否持有与自己一致的PMK，如不一致，四次握手过程就告失败。为了保证传输的完整性，在握手过

    四次握手成功后，AP要生成一个256位的GTK（Group Transient Key），GTK是一组全局加密密钥，所有与该AP建立关联的STA均使用相同的GTK，AP用这个GTK来加密所有与它建立关联的STA的通信报文， STA则使用这个GTK来解密由AP发送的报文并检验其MIC。该密钥可以分解为三种不同用途的密钥， 最前面的128位作为构造全局“每报文密钥”（Per-packet Encryption Key）的基础密钥（Base Key），后面的两个64位的密钥分别作为计算和检验WPA数据报文的MIC的密钥。AP使用EAPOL-KEY加密密钥将GTK加密并发送给STA，并指明该GTK是否允许STA用作发送报文所使用，STA成功接收到该报文，将GTK解密后，向AP发送应答报文，并根据AP所指示的Key Index将其安装无线网卡的相应位置，如果AP使用GTK作为向某一STA单播传输的密钥，则该STA也需要使用GTK作为向AP发送单播报文的密钥。

    TKIP并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥，而是将该密钥作为基础密钥（Base Key），经过两个阶段的密钥混合过程，从而生成一个新的每一次报文传输都不一样的密钥，该密钥才是用做直接加密的密钥。 通过这种方式可以进一步增强WLAN的安全性。

    目前几家大公司都针对802.11i推出了相应产品，Intel公司的802.11b/g和a/b/g适配器（Intel Pro/Wireless 模块 2200和2915）都支持WPA2，Dell和HP也推出了兼容802.11i适配器的驱动，IBM期望在这个季度将WPA2加入它的访问连接软件系列，但目前看来Intel符合802.11b的协议模块（Intel Pro/Wireless 2100）不太可能升级到802.11i。

    “Wi-Fi联盟”表示WPA2尽管首次在Wi-Fi网络上实现了128位的AES，但它也将需要新的访问卡，在有些情况下还需要新的访问节点。Wi-Fi卡和许多访问节点中的处理器的运算能力都不够强大，不能处理128位的密码，更强大的加密技术可能会迫使用户购买新的访问点和无线访问卡。这也许是802.11i标准的美中不足。