Chuẩn bảo mật WPA được công bố vào năm 2002 bởi WIFI Alliance nhằm mục đích khắc phục những điểm yếu của WEP về vấn đề bảo mật. Bên cạnh việc cung cấp khả năng mã hóa mạnh hơn, WPA còn thêm khả xác thực người sử dụng mà WEP không có.
WPA sử dụng giao thức tích hợp khóa tạm thời (temporal key integrity protocol TKIP). TKIP sử dụng trộn khóa (KeyMix) và kiểm tra tính toàn vẹn của bản tin (MIC). TKIP cũng sử dụng giao thức rekey nhanh, cứ sao khoảng 10000 gói thì sẽ thay đổi khóa mã hóa 1 lần.
• Kiểm tra tính toàn vẹn của bản tin MIC
Phương pháp kiểm tra tính toàn vẹn của bản tin MIC được bổ sung vào để khắc phục những nhược điểm của phương pháp kiểm tra toàn vẹn dữ liệu ICV. MIC bổ sung thêm số thứ tự SEQ vào các trường trong khung dữ liệu. AP sẽ kiểm tra số thứ tự này và loại bỏ khung nào sai số thứ tự đó, tránh trường hợp kẻ tấn công chèn các gói tin giả mạo dùng lại chuỗi IV cũ.
Ngoài ra MIC còn bổ sung trường MIC vào gói tin để kiểm tra sự toàn vẹn của dữ liệu với thuật toán phức tạp và chặt chẽ hơn IV. Trường MIC dài 4 byte được tổng hợp từ các tham số theo hàm băm (hash).
802.11
802.11
Header IV LLC SNAP MIC SEQ Payload ICV
Hình 5.10: Khung gói tin
• Thay đổi khóa cho từng gói tin (per packet keying)
Việc dùng giá trị khóa chia sẻ trong một khoảng thòi gian dài có thể bị kẻ tấn công dò ra. Do đó phương pháp thay đổi mã khóa theo từng gói tin được đưa ra. Nguyên lý này được thực hiện đơn giản như sau: thay vì đưa khóa tói đầu vào của bộ mã RC4 như WEP, người ta kết hợp khóa với chuỗi IV bằng hàm băm. Kết quả này gọi là mã khóa tổ hợp được đưa tới bộ mã RC4. Vì giá trị mã của RC4 thay đổi liên tục (tăng tuần tự) theo mỗi gói tin nên mã khóa tổ hợp cũng thay đổi dù khóa chưa đổi.
Tuy nhiên, TKIP vẫn chưa giải quyết được hoàn toàn điểm yếu bảo mật của Wi-Fi. Những kẻ tấn công TKIP không chỉ phá bỏ độ tin cậy (break coníidentially) mà còn điều khiển truy nhập và xác thực nữa.
WPA sẽ làm việc theo hai cách, tùy thuộc vào loại mạng. Đối với mạng giạ đình, công ty nhỏ SOHO (Small Oíĩìce, Home Office) thì thường thiếu máy chủ chứng thực (ASs). WPA sẽ làm việc ở chế độ chia sẻ khóa trước. Để truy cập mạng thì người sử dụng chỉ phải đưa ra khóa mạng.
Đối với mạng lớn hơn, có máy chủ chứng thực ASs, lúc đó nó sẽ làm việc ở chế độ được quản lý. Lúc này thiết bị muốn sử dụng mạng sẽ làm việc với máy chủ xác thực AS và sẽ phải hỗ trợ chuẩn 802. IX và EAP. Chuẩn 802. IX và EAP sẽ đảm bảo cho máy khách truy nhập vào mạng trao đổi khóa phiên mã hóa với một máy chủ xác thực AS thông qua AP
Mỗi thiết bị mạng phải được nâng cấp lên WPA để nó có thể làm việc. Một mạng hỗn hợp có thể chạy cả WEP và WPA .Tuy nhiên chế độ mặc định của mạng vẫn là WEP, có mức độ bảo vệ kém hơn..
WPA khi được đưa vào sử dụng nó sẽ là một giải pháp bảo mật hữu hiệu đối với mô hình mạng LAN không dây cho nhà hoặc công ty nhỏ (SOHO).Tuy nhiên, đối với những công ty lớn thì 802.1X/EAP và mạng riêng ảo VPN vẫn sẽ là sự lựa chọn tốt nhất. 802.1X/EAP đưa ra nhiều lựa chọn hình thức xác thực mở rộng EAP,còn VPN đảm bảo cho nhân viên có thể truy cập vào mạng của công ty từ bất kỳ vị trí nào mà vẫn đảm bảo tính bảo mật cao.