Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4625 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Сети и Телекоммуникации 
Файл:
Методы аутентификации.doc
Скачиваний:
78
Добавлен:
01.05.2014
Размер:
745.47 Кб
Скачать
►Содержание►

Технология wpa2

Стандарт IEEE 802.11i вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на:

  • RSNA-алгоритмы (для создания и использования RSNA);

  • Pre-RSNA-алгоритмы.

К Pre-RSNA-алгоритмам относятся:

  • WEP;

  • существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.).

То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key.

К RSNA-алгоритмам относятся:

  • TKIP;

  • CCMP;

  • процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации)

  • процедура обмена ключами.

При этом алгоритм CCMP является обязательным, а TKIP – опциональным и предназначен для обеспечения совместимости со старыми устройствами. Стандартом предусмотрены две инфраструктурные функциональные модели: с аутентификацией по IEEE 802.1x, т. е. с применением протокола EAP, и с помощью заранее предопределенного ключа, прописанного на аутентификаторе и клиенте (такой режим называется Preshared Key, PSK). В данном случае ключ PSK выполняет роль ключа PMK, и дальнейшая процедура их аутентификации и генерации ничем не отличается. Так как алгоритмы шифрования, использующие процедуру TKIP, уже принято называть WPA, а процедуру CCMP – WPA2, то можно сказать, что способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Процедура установления соединения и обмена ключами для алгоритмов TKIP и CCMP одинакова, и, как и сам алгоритм TKIP, была описана в прошлом материале. Сам CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol) так же, как и TKIP, призван обеспечить конфиденциальность, аутентификацию, целостность и защиту от атак воспроизведения. Данный алгоритм основан на методе CCM-алгоритма шифрования AES, который определен в спецификации FIPS PUB 197. Все AES-процессы, применяемые в CCMP, используют AES со 128-битовым ключом и 128-битовым размером блока. Алгоритм CCM описан в IETF RFC 3610.

В принципе, способ CCM не является криптографическим алгоритмом и может применяться с любым блочным алгоритмом шифрования. CTR используется непосредственно для шифрования данных, а CBC-MAC – для обеспечения целостности (аналогично функции Michael в TKIP). Введение алгоритма CCMP понадобилось, потому что TKIP, хотя и довольно надежен, но построен на уязвимом алгоритме шифрования – RC4, что, например, в случае применения простой парольной фразы позволяет произвести взлом системы за разумное время. Если при использовании варианта шифрования WPA-EAP это не критично, так как ключ меняется довольно часто, то применение WPA-PSK становится небезопасным. Использование в качестве алгоритма шифрования AES существенно повышает защищенность системы. Появился он не так давно (ратифицирован в октябре 2000 г.) и обладает наиболее высокой криптостойкостью среди симметричных алгоритмов шифрования. На сегодняшний день нет известных атак на AES.

Кроме поддержки нового алгоритма шифрования, в стандарте предусмотрена возможность использования алгоритмов RSNA в инфраструктуре IBSS (Independent Basic Service Set), т. е. в режиме точка–точка (ad hoc). В этом случае каждая станция одновременно выполняет роль и саппликанта, и аутентификатора.

Последним нововведением стандарта является поддержка технологии быстрого роуминга между точками доступа с использованием процедуры кэширования ключа PMK и преаутентификации. Процедура кэширования PMK заключается в том, что если клиент один раз прошел полную аутентификацию при подключении к какой-то точке доступа, то он сохраняет полученный от нее ключ PMK, и при следующем подключении к данной точке в ответ на запрос о подтверждении подлинности клиент пошлет ранее полученный ключ PMK. На этом аутентификация закончится, т. е. 4-стороннее рукопожатие (4-Way Handshake) выполняться не будет. Процедура преаутентификации заключается в том, что после того, как клиент подключился и прошел аутентификацию на точке доступа, он может параллельно (заранее) пройти аутентификацию на остальных точках доступа (которые он «слышит») с таким же SSID, т. е. заранее получить от них ключ PMK. И если в дальнейшем точка доступа, к которой он подключен, выйдет из строя или ее сигнал окажется слабее, чем какой-то другой точки с таким же именем сети, то клиент произведет переподключение по быстрой схеме с закэшированным ключом PMK.

Протокол WPA2 хоть и является очень надежным, но стандартом предусмотрено его применение только в режимах инфраструктуры и точка–точка. В режиме моста для объединения двух кабельных сетей посредством беспроводной (рис. 1) данный протокол применить нельзя, так как в этом случае мы объединяем между собой два аутентификатора, т. е. у нас отсутствует такой элемент, как саппликант.

Соседние файлы в предмете Сети и Телекоммуникации 
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности