WLAN传播数据可被合适的接收装置获取，WLAN数据安全性一直备受关注，相关的认证、加密等技术都在不断演进和加强。WLAN系统至今已具备一系列的安全机制，以满足各种应用场景的实际需求，小到家庭无线网络，大到企业网WLAN、校园网WLAN，乃至运营商统一建立的广域覆盖WLAN，都有相应的认证和加密技术来保护用户无线数据的安全。

WLAN安全包括STA身份验证、数据加密、用户身份验证与加密等。STA身份验证是对客户端的认证，通过认证后才能进入关联阶段。数据加密是指对数据报文加密，保证只有特定的设备可以对接收到的报文解密。无线网络中的其他设备虽然可以接收到数据报文，但由于没有对应的密钥，无法对数据报文解密。用户身份验证与加密是对用户的区分，并在用户访问网络之前限制访问权限。用户在进行链路认证时只允许有限的网络访问权限，只有确定用户身份后才允许完整的网络访问。

WLAN组网可分成WLAN客户端和WLAN服务端两部分，WLAN客户端是有无线网卡的主机设备，而WLAN服务端为AP设备。客户端接入到WLAN服务的协商过程如图1-5-4所示。

使用有线网络时，只需循着网线或找到墙上的插座即可，在无线领域中STA加入无线网络之前需经过辨识。这种在所在区域辨识现有网络的程序称为WLAN服务发现过程。

（1）WLAN服务端将主动发送Beacon通告提供的WLAN服务，客户端可根据该报文确定周围存在的WLAN服务。

（2）WLAN客户端可指定SSID（WLAN服务的标识）或使用广播SSID（即没有指定SSID）主动探测是否存在指定的网络，WLAN服务端存在指定WLAN服务时，将发送确认信息给客户端，服务发现成功后进入链路认证过程。

工作站连接到网络需进行802. 11身份认证，802. 11支持开放认证和Shared-Key认证。以上认证方式均在IEEE 802. 11中定义，802. 11链路认证通过Authentication报文实现。

完成身份认证后STA可与基站连接（或者跟新的基站进行重新连接），以便获得网络的完全访问权。

WLAN服务发现过程中，客户端已经获得了当前服务的配置和参数（WLAN服务端将在Beacon和Probe Response报文中携带，如接入认证算法以及加密密钥）。WLAN客户端在发起Association或Re-association请求时，将携带自身的各种参数以及根据服务配置选择的各种参数（主要包括支持的速率、信道、QoS的能力，以及选择的接入认证和加密算法）。

WLAN客户端和WLAN服务端完成链路服务协商，表明成功建立了802. 11链路。对于未能接入认证的服务，客户端可以访问WLAN网络。如果WLAN服务使之能接入认证，则WLAN服务端将发起对客户端的接入认证。

用户接入认证实现对接入用户的身份认证，为网络服务提供安全保护。接入认证有802. 1x认证、PSK认证、Portal认证、MAC认证等方式。802. 1x接入认证、MAC接入认证和Portal认证支持对有线用户和WLAN无线接入用户身份认证，而PSK认证是专门为WLAN无线用户提供认证的方法。

WLAN服务应用中对于WPA（WiFi protected access）用户或者WPA2用户需进行EAPOL-Key密钥协商。根据WLAN协议服务定义，WPA服务需要和802. 1x接入认证以及PSK接入认证配合使用，在802. 11链路协商过程中确定用户使用的接入认证算法，并在链路协商成功后触发对用户的接入认证，然后需要为该接入用户协商密钥，之后WLAN客户端才可以访问WLAN网络。

为保证WLAN数据的安全，IEEE 802. 11i和IEEE 802. 1x定义了EAPOL-Key密钥协商机制（也称4-way handshake），WLAN用该机制实现WLAN服务端和客户端的密钥协商，协商的密钥将作为802. 11数据传输过程中的加密/解密密钥。

支持WPA和强健安全网络（robust security network，RSN）服务的WLAN，需进行EAPOL-Key密钥协商。逻辑上密钥协商可看作接入认证的一部分，在EAPOL-Key密钥协商成功以后，接入认证才打开端口，允许用户报文通过。

WLAN密钥协商主要包括四次握手密钥协商和组密钥协商过程，两种密钥协商通过EAPOL-Key报文协商实现。WLAN客户端和服务端使用四次握手机制协商该客户端单播数据报文使用的密钥，WLAN服务端可以通过组密钥协商过程将广播和组播使用的密钥通知所有的WLAN客户端。

使用者身份确定无误并赋予访问权限后，网络保护用户传送的数据不被窥视，保护无线链路数据的私密性是无线网络面对的挑战。数据私密性由加密协议达成，只允许拥有密钥并经过授权的用户访问数据，确保数据在传输中未被篡改。