WEP是數據加密算法，它不是一個用戶認證機制，WPA用戶認證是使用802.1x和擴展認證協議(ExtensibleAuthenticationProtocol:EAP)來實現的。
在802.11標準里,802.1x身份認證是可選項;在WPA里802.1x身份認證是必選項(關于EAP明確的詳細資料，請查閱IETF的RFC2284)。

對于加密,WPA使用臨時密鑰完整性協議（TKIP：TemporalKeyIntegrityProtocol）的加密是必選項。TKIP使用了一個新的加密算法取代了WEP，比WEP的加密算法更強壯,同時還能使用現有的無線硬件上提供的計算工具去實行加密的操作。

WPA安全的密鑰特性

WPA標準里包括了下述的安全特性:WPA認證、WPA加密密鑰管理、臨時密鑰完整性協議(TKIP)、Michael消息完整性編碼(MIC)、AES支持。

WPA改善了我們所熟知的WEP的大部分弱點，它主要是應用于公司內部的無線基礎網絡。無線基礎網絡包括:工作站、AP和認證服務器(典型的RADIUS服務器)。在無線用戶訪問網絡之前，RADIUS服務掌控用戶信任(例如:用戶名和口令)和認證無線用戶。

WPA的優勢來自于一個完整的包含802.1x/EAP認證和智慧的密鑰管理和加密技術的操作次序.它主要的作用包括:

網絡安全性能可確定。它可應用于802.11標準中,并通過數據包里的WPA信息進行通信、探測響應和(重)聯合請求。這些基礎的信息包括認證算法(802.1x或預共享密鑰)和首選的密碼套件(WEP,TKIP或AES)。

認證。WPA使用EAP來強迫用戶層的認證機制使用802.1x基于端口的網絡訪問控制標準架構，802.1x端口訪問控制是防止在用戶身份認證完成之前就訪問到全部的網絡。802.1xEAPOL-KEY包是用WPA分發每信息密鑰給這些工作站安全認證的。

在工作站客戶端程序(Supplicant)使用包含在信息元素里的認證和密碼套件信息去判斷哪些認證方法和加密套件是使用的。例如,如果AP是使用的預共享密鑰方法,那么客戶端程序不需要使用成熟的802.1x。然而，客戶端程序必須簡單地證明它自己所擁有的預共享密鑰給AP;如果客戶端檢測到服務單元不包含一個WPA元素，那么它必須在命令里使用預WPA802.1x認證和密鑰管理去訪問網絡。

密鑰管理。WPA定義了強健的密鑰生成/管理系統,它結合了認證和數據私密功能。在工作站和AP之間成功的認證和通過4步握手后,密鑰產生了。

數據加密。臨時密鑰完整性協議(TKIP)是使用包裝在WEP上的動態加密算法和安全技術來克服它的缺點。數據完整性：TKIP在每一個明文消息末端都包含了一個信息完整性編碼(MIC)，來確保信息不會被“哄騙”。

802.1x的認證過程如下：

1.最初的802.1x通訊開始以一個非認證客戶端設備嘗試去連接一個認證端(如AP)，客戶端發送一個EAP起始消息。然后開始客戶端認證的一連串消息交換。

2.AP回復EAP-請求身份消息。

3.客戶端發送給認證服務器的EAP的響應信息包里包含了身份信息。AP通過激活一個只允許從客戶端到AP有線端的認證服務器的EAP包的端口,并關閉了其它所有的傳輸，像HTTP、DHCP和POP3包，直到AP通過認證服務器來驗證用戶端的身份。（例如：RADIUS）

4.認證服務器使用一種特殊的認證算法去驗證客戶端身份。同樣它也可以通過使用數字認證或其他類型一些EAP認證。

5.認證服務器會發送同意或拒絕信息給這個AP。

6.AP發送一個EAP成功信息包（或拒絕信息包）給客戶端。

7.如果認證服務器認可這客戶端，那么AP將轉換這客戶端的端口到授權狀態并轉發其它的通信。最重要的是，這個AP的軟件是支持認證服務器里特定的EAP類型的，并且用戶端設備的操作系統里或“Supplicant”（客戶端設備）應用軟件也要支持它。AP為802.1x消息提供了“透明傳輸”。這就意味著你可以指定任一EAP類型，而不需要去升級一個自適應802.1x的AP。