wpa(wi-fi保护访问)是ieee 802．1“安全规范草案的子规范。wpa和wep所采用的秘钥不同之处在于用户认证和增强了数据加密的功能。

    6．8．1用户认证

    wpa应用ieee 802．1x和eap宋对无线客户端做认证。您需要使用一个外置的radius数据库，而不能使用zywall的本地数据库宋实现wpa认证。因为本地数据库使用eap-md5，而它不能用于生成密钥。请参考本章的后半部分和附录宋了解ieee 802．1x，radius和eap的更多信息。

    因此如果您没有一个外置的radius服务器，您就需要使用wpa-psk(wpa-pre-sharedkey)，然后您只需要给每一个接入点，无线网关和无线站点输入一个密钥即可。一旦密钥相符，无线客户端就被允许接入到一个无线局域网络了。

    6．8．2加密

    wpa通过使用tkip(临时密钥完整性协议)，mic(信息完整性检查)和ieee 802．1x来改善数据的加密方式。

    认证服务器会采用128位动态生成和分发的密钥。tkip提供了重要的数据加密增强功能，包括一个每数据包密钥混合功能，一个称为michael的消息完整性检查功能，一个具有序列规则的扩展初始化向量功能和一个密钥重生成机制。通过这些增强，tkip解决了所有已知的wep安全漏洞。

    tkip会不断地变化和旋转加密的密钥，这样可以确保一个加密密钥不会出现两次。

    tkip采用了802．1x／eap的架构。而认证服务器在接受用户的身份证明之后，又使用802．1x来为运算阶段产生一组唯一的主键，又称“配对”密钥。tkip将这组密钥分配给客户端以及ap，建立密钥层以及管理系统，使用配对密钥动态来产生唯一的数据加密密钥，并以此加密所有用户在无线传输阶段所传输的数据封包。这些工作都会自动在后台进行。信息完整性检查(mic)用宋防止攻击者拦截、篡改甚至重发数据封包。mic提供了一个强壮的数学公式，其中接收端与传送端必须各自计算并比较mic值。如果不符，它便假设数据已遭窜改，而该封包也会被丢弃。

    为了大幅增加密钥大小、可用的密钥数目、以及附加的完整性检查机制，tkip增加了wi-fi网络在数据编码的复杂性与困难度。tkip大幅提升了无线加密的强壮性与复杂性，让潜在入侵者极难—如果还有可能的话-入侵wi-fi网络。

    wpa和wpa-psk采用了相同的加密机制。唯一不同的地方是，wpa-psk的认证机制只有简单的一般密码，而非针对用户特定的身份认证。这种一般密码式的方法会让wpa-psk很容易就被暴力解码的方式给破解，但是wpa-psk取消了目前wep密钥项目与管理不一致所带来的混乱，而改为采用一致、单一、字母数字型式的密码项目系统。