HỌC VIỆN HÀNG KHÔNG VIỆT NAM

KHOA CÔNG NGHỆ ĐIỆN TỬ VIỄN THÔNG HÀNG KHÔNG

BẢO MẬT TRONG 802.11

Giảng Viên: Vũ Văn Tấn

Sinh viên thực hiện: Lê Duy Hưng

Nguyễn Tài Sang

Lương Anh Vũ

1

BẢO MẬT TRONG 802.11

MỤC LỤC

A. NỘI DUNG CHÍNH

I. WLAN là gì? Trang 2

II. Lịch sử ra đời: Trang 2

III. Điểm mới của chuẩn 802.11n Trang 4

a. MIMO trở thành bắt buộc

b. Nâng cao tần số

c. Tăng cường hiệu năng

d. Hiện thực phần cứng với 802.11n

e. Chọn sản phẩm

IV. Bảo mật trong 802.11n Trang 9

a. Thiết lập khóa

b. Nhận thực

c. Sự bí mật

d. Sự toan ven

V. Kết luận Trang 17

B. Tài liệu tham khảo

2

A. NỘI DUNG CHÍNH

I. WLAN là gì?

WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phần trong mạng

không sử dụng các loại cáp như một mạng thông thường, môi trường truyền thông của các

thành phần trong mạng là không khí. Các thành phần trong mạng sử dụng sóng điện từ để

truyền thông với nhau.

II. Lịch sử ra đời:

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới

thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp này (không được

thống nhất giữa các nhà sản xuất) cung cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với

tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời.

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần

2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng chúng vẫn là

những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi. Sự cần thiết cho việc

hoạt động thống nhất giữa các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt

đầu phát triển ra những chuẩn mạng không dây chung.

Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) đã phê chuẩn sự ra đời

của chuẩn 802.11, và cũng được biết với tên gọi WIFI (Wireless Fidelity) cho các mạng WLAN.

Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, trong đó có bao gồm phương pháp truyền

tín hiệu vô tuyến ở tần số 2.4Ghz.

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn 802.11a và

802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và những thiết bị WLAN dựa trên

chuẩn 802.11b đã nhanh chóng tr ở thành công nghệ không dây vượt trội. Các thiết bị WLAN

802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps. IEEE

3

802.11b được tạo ra nhằm cung cấp những đặc điểm về tính hiệu dụng, thông lượng (throughput)

và bảo mật để so sánh với mạng có dây.

Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà có thể truyền nhận

thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps.

Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thích ngược với các thiết bị

chuẩn 802.11b. Hiện nay chuẩn 802.11g đ ã đạt đến tốc độ 108Mbps-300Mbps.

802.11n

Năm 2007, IEEE cho ra đời 802.11n có tốc độ lý thuyết lên đến 600Mbps và vùng phủ

sóng rộng khoảng 250m. Hiện nay IEEE 802.11n vẫn còn đang trong giai đoạn thử nghiệm nhưng

hầu hết mọi thiết bị trên thị trường điều có chuẩn này.

Chuẩn Wi-Fi mới nhất trong danh mục Wi-Fi là 802.11n. 802.11n được thiết kế để cải

thiện tính năng của 802.11g về tổng băng thông được hỗ trợ bằng cách tận dụng nhiều tín hiệu

không dây và anten (gọi là công nghệ MIMO-multiple-input and multiple-output).

Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trở kháng lớn hơn để

chống nhiễu từ các tác động của môi trường. Nhược điểm của 802.11n là chưa được phê chuẩn cuối

cùng; giá cao hơn 802.11g; sử dụng nhiều luồng tín hiệu có thể gây nhiễu với các thiết bị 802.11b/g kế

cận.

4

III. Điểm mới của chuẩn 802.11n

Một trong những điều mong đợi nhất của người dùng thiết bị đầu cuối Wi-Fi không gì

khác ngoài tốc độ và tầm phủ sóng. Theo đặc tả kỹ thuật, chuẩn 802.11n có tốc độ lý thuyết lên

đến 600Mbps (cao hơn 10 lần chuẩn 802.11g) và vùng phủ sóng rộng khoảng 250m (cao hơn

chuẩn 802.11g gần 2 lần, 140m). Hai đặc điểm then chốt này giúp việc sử dụng các ứng dụng

trong môi trường mạng Wi-Fi được cải tiến đáng kể, phục vụ tốt cho nhu cầu giải trí đa phương

tiện, nhiều người dùng có thể xem phim chất lượng cao (HD, Full HD, Full HD 3D...), gọi điện

thoại qua mạng Internet (VoIP), tải tập tin dung lượng lớn đồng thời... mà chất lượng dịch vụ và

độ tin cậy vẫn luôn đạt mức cao.

Bên cạnh đó, chuẩn 802.11n vẫn đảm bảo khả năng tương thích ngược với các sản phẩm

trước đó, chẳng hạn, nếu sản phẩm Wi-Fi chuẩn n sử dụng đồng thời hai tần số 2,4GHz và 5GHz

thì sẽ tương thích ngược với các sản phẩm chuẩn 802.11a/b/g.

5

Chuẩn 802.11n đã được IEEE (Institute of Electrical and Electronics Engineers) phê duyệt

đưa vào sử dụng chính thức và cũng đã đư ợc Hiệp hội Wi-Fi (Wi-Fi Alliance) kiểm định và cấp

chứng nhận cho các sản phẩm đạt chuẩn. Chứng nhận chuẩn Wi-Fi 802.11n là bước cập nhật

thêm một số tính năng tùy chọn cho 802.11n dự thảo 2.0 (draft 2.0, xem thêm bài viết ID:

A0905_100) được Wi-Fi Alliance bắt đầu từ hồi tháng 6/2007; các yêu cầu cơ bản (băng tầng,

tốc độ, MIMO, các định dạng khung, khả năng tương thích ngược) không thay đổi. Đây là tin vui

cho những ai đang sở hữu thiết bị đạt chứng nhận 802.11n draft 2.0. Chứng nhận Wi-Fi n vẫn

đảm bảo cho hơn 700 sản phẩm được cấp chứng nhận draft 2.0 trước đây (gồm máy tính, thiết

bị điện tử tiêu dùng như tivi, máy chủ đa phương tiện (media server) và các thiết bị mạng). Tất

cả thiết bị được cấp chứng nhận dạng draft n có đủ điều kiện để sử dụng logo "Wi-Fi CERTIFIED

n" mà không cần phải kiểm tra lại (xem hình 1).

Vậy đâu là những công nghệ quan trọng của chuẩn 802.11n? Một công nghệ mới luôn

gắn liền với các cải tiến để nâng cao chất lượng dịch vụ và Wi-Fi 802.11n cũng v ậy. Mục tiêu

chính của công nghệ này là tăng tốc độ và tầm phủ sóng cho các thiết bị bằng cách kết hợp các

công nghệ vượt trội và tiên tiến nhất (xem hình 2).

6

a. MIMO trở thành bắt buộc

Với đặc tả kỹ thuật được phê chuẩn, MIMO (tham khảo ID: A0905_100) là công nghệ bắt

buộc phải có trong các sản phẩm Wi-Fi 802.11n. MIMO có thể làm tăng tốc độ lên nhiều lần

thông qua kỹ thuật đa phân chia theo không gian (spatial multiplexing) - chia một chuỗi dữ liệu

thành nhiều chuỗi dữ liệu nhỏ hơn và phát nhiều chuỗi nhỏ song song đồng thời trong cùng

một kênh - tương tự các làn xe trên xa lộ. Ngoài ra, MIMO còn giúp cải thiện phạm vi phủ sóng

và độ tin cậy (giảm tỉ lệ lỗi) của thiết bị thông qua một kỹ thuật được gọi là phân tập không gian

(spatial diversity). Kết hợp với công nghệ MIMO là 2 kỹ thuật (tùy chọn): Mã hóa dữ liệu STBC

(Space Time Block Coding) giúp cải thiện việc thu/phát tín hiệu trên nhiều anten; và chế độ HT

Duplicate (MCS 32) - cho phép gửi thêm gói tin tương tự cùng lúc lên mỗi kênh 20MHz khi thiết

bị hoạt động ở chế độ 40MHz – giúp tăng độ tin cậy cho thiết bị phát (xem hình 3).

b. Nâng cao tần số

Ngoài những lợi ích đạt được từ MIMO, công nghệ 802.11n còn sử dụng một số kỹ thuật khác

nhằm tăng tốc độ dữ liệu nhanh hơn bằng cách sử dụng kênh (channelization) rộng hơn. Thay vì ch ỉ sử

dụng kênh 20MHz như các chuẩn 802.11a/b/g trước đây, chuẩn 802.11n sử dụng cả hai kênh 20MHz và

40MHz. Các kênh 40MHz giúp tốc độ truyền dữ liệu tăng gấp đôi, lên đến 150Mbps/một chuỗi dữ liệu

không gian (spatial stream), xem bảng tốc độ của chuẩn 802.11n (xem hình 4 và bảng tốc độ).

7

c. Tăng cường hiệu năng

Ngoài công nghệ MIMO, các thiết bị còn có thể được tích hợp thêm một số kỹ thuật

khác để tăng tốc độ. Đầu tiên là kỹ thuật SGI (Short Guard Interval) cũng có th ể góp phần cải

thiện tốc độ bằng cách giảm kích thước của khoảng cách giữa các symbol (ký hiệu). Bên cạnh đó

là một số kỹ thuật trên lớp vật lý với các cải tiến nhằm giảm overhead (gói tin mào đầu) - trực

tiếp góp phần cải thiện tốc độ. Để giảm overhead, 802.11n dùng kỹ thuật tập hợp khung (frame

aggregation - FA) - ghép hai hay nhiều khung (frame) thành một frame đơn để truyền đi. Chuẩn

802.11n sử dụng 2 kỹ thuật ghép frame: A-MSDU (Aggregation - MAC Service Data Units) hay

viết gọn là MSDU - làm tăng kích thước khung dùng để phát các frame qua giao thức MAC

(Media Access Control) và A-MPDU (Aggregation - MAC Protocol Data Unit) - làm tăng kích

thước tối đa của các frame 802.11n được phát đi lên đến 64K byte (chuẩn trước chỉ có

2304byte).

Một cách cải thiện thông lượng bổ sung khác là giảm kích thước frame ACK xuống còn

8byte (chuẩn cũ là 128byte). Ngoài ra, một kỹ thuật được gọi là SGI (Short Guard Interval) cũng

có thể góp phần cải thiện 10% tốc độ bằng cách giảm khoảng cách giữa các symbol (ký hiệu) từ

4 nano giây xuống còn 3,6 nano giây. Cuối cùng là kỹ thuật GreenField Preamble được sử dụng

để rút ngắn gói tin đầu tiên của frame (preamble) nhằm cải thiện hiệu năng và công suất tiêu

thụ cho thiết bị.

8

d. Hiện thực phần cứng với 802.11n

Các hãng sản xuất chip Wi-Fi lớn như Atheros, Broadcom đã xuất xưởng các chip hỗ trợ

chuẩn 802.11n và đã đạt được chứng nhận của Wi-Fi Alliance, chẳng hạn chip BCM943224HMS,

BCM94313HMGB của Broadcom, chip AR5B195 của Atheros. Các chip này hỗ trợ đầy đủ 4

chuẩn 802.11a/b/g/n với rất nhiều tính năng tùy chọn (Short Guard Interval, Greenfield

Preamble, A-MPDU, STBC, 40MHz trên tần số 2,4GHz hay 5GHz...), chế độ bảo mật WPA2 cao

cấp, tính năng WMM (Wi-Fi Multimedia) hỗ trợ giải trí đa phương tiện và các tính năng tiện ích

khác như cài đặt mã hóa Wi-Fi nhanh theo dạng PIN (Personal Identification Number) hay PBC

(Push button configuration) ...

Các hãng sản xuất thiết bị phần cứng cũng đã trình làng sản phẩm 802.11n đầu tiên của

mình. Tra cứu trong danh sách các sản phẩm được Wi-Fi Alliance (www.wi-fi.org) cấp chứng

nhận, bạn sẽ thấy rất nhiều hãng quen thuộc đã s ẵn sàng với 802.11n, ví dụ Apple A1355,

Buffalo Nfiniti Router WHR-G300N, Cisco AIR-CT5500 và AP801-AGN-K9, D-Link DWA-525/

DWA-525EU/ DWA525US, DrayTek Vigor2930n/ Vigor2930Vn/ Vigor2930VSn/

Vigor2820Series/ Vigor2110FSeries, Huawei EchoLife WS310, Netgear DGN3500B... Đặc biệt,

ngoài các sản phẩm là bộ định tuyến, Access Point, card mạng không dây còn có sản phẩm tích

hợp Wi-Fi dành cho giải trí khác cũng đư ợc Wi-Fi Alliance cấp chứng nhận, nổi bật là đầu Blu-

ray của các hãng LG, Panasonic, Sony, Samsung...

e. Chọn sản phẩm

Để chọn sản phẩm đạt chất lượng tốt, bạn cần quan tâm đến nhiều yếu tố. Đầu tiên là

chọn nơi cung cấp sản phẩm uy tín, kế tiếp phải xem sản phẩm đó có đạt chứng nhận của Wi-Fi

Alliance không (để đảm bảo nhiều yếu tố như công nghệ sử dụng trên thiết bị, khả năng tương

thích ngược, độ tin cậy ... ).

Để xem sản phẩm cần mua đạt chứng nhận hay chưa, bạn truy cập vào website của Wi-

Fi Alliance (www.wi-fi.org), vào mục "Wi -Fi Certified Products", sau đó tìm kiếm sản phẩm của

9

hãng cần xem (Search Product). Tại đây, bạn có thể xem các tính năng của sản phẩm (link đến

hãng) và xem chứng nhận của sản phẩm (View Wi-Fi Certifications) như hình 6.

Với cách làm này, ngoài việc biết sản phẩm đã đạt chuẩn quy định, bạn còn có

thể biết khá đầy đủ thông tin về sản phẩm, từ các chuẩn mà thiết bị đạt được (chuẩn IEEE

802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n) cho đến các tính năng tùy chọn (Short

Guard Interval, TX A-MPDU, 40MHz hoạt động trên tần số 5GHz); số spatial stream thu phát

(3x3), 2 tần số 2,4GHz và 5GHz hoạt động đồng thời; bảo mật WPA2 với các loại EAP...

IV. Bảo mật trong 802.11n

Cũng giống như IEEE 802.11i, IEEE802.11n cũng sử dụng cơ chế bảo mật chính là WPA2.

Bởi vậy trong phần bảo mật ta chỉ nghiện cứu bảo mật WPA2.

a. Thiết lập khóa

WPA là tập con tiêu chuẩn trước của IEEE 802.11i. Nó chấp nhận sự thiết lập khóa, khóa

phân cấp và các khuyến cáo về chứng thực của IEE 802.11i một cách gần như đầy đủ. Vì WPA2

và chuẩn WPA2 gần như là đồng nhất. Tuy nhiên, có một sự khác biệt rất quan trọng: trong

WPA2, các khóa IEEE802.11i cũng như vậy, nên quá trình thiết lập khóa và kiến trúc khóa phân

cấp trong WPA và giống nhau có thể được sử dụng cho mã hóa và sự bảo vệ toàn vẹn của dữ

liệu. Bởi vậy WPA2 sự dụng ít khóa hơn.

WPA2 mở rộng sự phân cấp khóa hai tầng của WEP thành phân cấp đa tầng. Ở cấp cao

nhất vẫn là khóa chủ, tham chiếu tới PMK (pair – wise master key) trong WPA2 . Cấp tiếp theo

là PTK (pair – wise transient key), được bắt nguồn từ PMK. Ở cấp cuối cùng là những gói khóa

mã hóa. Chúng được tạo ra bởi khóa PTK qua một khóa trộn

10

Cũng như WPA, WPA2 không chỉ rõ cách thức tạo ra khóa chủ PMK. Bởi vậy, WPA2 có lẽ

là khóa bí mật dùng chung trước hay nó bắt nguồn từ quá trình nhận thực như ở 802.1x. WPA2

yêu cầu PMK có độ dài là 32 byte. Bởi với độ dài 32 byte là quá dài để một người có thể nhớ nó.

Những sự triển khai của 802.11 sử dụng khóa dùng chung cho phép người sử dụng vào mật

khẩu ngắn hơn, đó chính là cơ sở dùng để tạo ra khóa có độ dài 32 byte.

Ở mức tiếp theo là PTK, về cơ bản chúng là những khóa phiên. Thuật ngữ PTK được sử

dụng nhằm tham chiếu đến tập hợp những khóa phiên mà chủ yếu là 4 loại khóa, mỗi loại đều

11

có độ dài là 128 bits. Bốn loại khóa này là: một khóa mã hóa cho dữ liệu, một khóa toàn vện cho

dữ liệu, một khóa mã hóa cho giao thức chứng thực mở rộng qua LAN (EAPoL) messages, và

một khóa vẹn toàn dữ liệu cho bản tin EAPoL. Ghi nhớ rằng thuật ngữ (session) ở đây dùng để

tham chiếu tới sự kết hợp giữa một STA và một AP. Mỗi khi một STA kết hợp với một AP, chúng

sẽ khởi đầu cho một phiên mới và điều này dẫn tới sự phát sinh một PTK mới từ PMK. Vì các

khóa phiên chỉ hợp lệ trong một khoản thời gian nhất định chúng cũng như nh ững khóa thời

gian. Khóa PTK được tạo ra từ PMK sử dụng một PRF (hàm giả ngẫu nhiên). Các PRF được dùng

để tạo ra PTK rõ ràng đặc biệt bởi PTK sử dụng giải thuật HMAC-SHA:

PTK = PRF – 512(PKM, “Pair wise key expansion”, AP_MAC || STA_MAC || ANonce || Snonce)

Để thu được từ PTK từ PMK ta cần dùng 5 giá trị đầu vào: khóa PMK, địa chỉ lớp MAC

cần hai điểm cuối liên quan đến phiên và mỗi Nonce của hai điểm cuối đó. Sử dụng địa chỉ MAC

để tạo ra PTK đảm bảo rằng các khóa này là ranh giới của các phiên giữa hai điểm cuối và gia

tăng tính hiệu quả không gian khóa của toàn bộ hệ thống

Vì chúng ta cần tạo ra một tập hợp khác nhau của những khóa phiên từ PMK giống nhau

cho những phiên mới, chúng ta cần thêm đầu vào khác vào cơ chế tạo khóa mà đầu vào này

thay đổi ở mỗi phiên. Đầu vào này chính là Nonce. Nonce được hiểu sát nghĩa nh ất là số lần

ngắn nhất, giá trị của Nonce như vậy thay đổi không bị bó buộc, trừ khi giá trị mỗi Nonce không

bao giờ sử dụng lại lần nữa – vấn đề cơ bản là một số chỉ được sử dụng một lần. Với chúng ta,

một Nonce là một số duy nhất (sinh ra ngẫu nhiên) và có thể phân biệt giữa hai phiên thiết lập

giữa một STA và một AP đã cho tại những thời điểm khác nhau. Hai Nonce liên quan tới sự tạo

thành PTK sinh ra bởi hai điểm cuối liên quan tới phiên đó , ví dụ STA (SNonce) và AP (Anonce).

WPA2 chỉ rõ một Nonce có thể được tạo ra như sau:

ANonce = PRF – 257 (Random Number, “Init Counter”, AP_MAC || Time)

SNonce = PRF–257(Random Number, “Init Counter”, STA_MAC || Time)

Điều quang trọng là PTK có hiệu quả dùng chung giữa STA và AP được sử dụng bởi cả hai

STA và AP nhằm bảo vệ dữ liệu / bản tin EAPoL mà chúng truyền đi. Vì thế, các giá trị đầu vào

12

yêu cầu để tạo PTK từ PMK đến từ cả hai điểm cuối STA va AP của phiên đó, một Nonce và một

địa chỉ lớp MAC được chuyển đổi. Bởi vậy cả STA và AP có thể tạo ra PTK giống nhau từ PMK

đồng thời.

Mức tiếp theo của hệ phân bậc khóa là các gói khóa (per – packet key) được tạo ra từ

PTK. Quá trình WPA2 sử dụng để có được per – packet key được chỉ ra ở hình dưới đây.

Ở pha đầu tiên, khóa mã hóa dữ liệu phiên được kết nối với high – order 32 bits của

TSC/IV và địa chỉ lớp MAC. Đầu ra của pha này được kết nối với lower – order 17 bits của TSC/IV

ở pha thứ hai. Đầu ra của pha thứ hai sẽ tạo ra 104 bit per packet key. Có nhiều đặc tính quan

trọng trong quá trình này:

Kích thước của khóa mã hóa vẫn là 104 bit, vì thế nó có thể thích hợp với bộ tăng tốc

phần cứng WEP

Vì tạo ra per packet key liên quan đến một thao tác trộn , thao tác tín toán cường độ

cao cho bộ xử lý MAC nhỏ trong phần cứng WEP. Quá trình này chia làm hai pha. Phần xử lý

cường độ cao được được thực hiện ở pha một trong khi pha hai tính toán cường độ cao

13

Vì pha 1 liên quan đến high – order 32 của TSC/IV, việc đó chỉ cần được thực hiện khi mà

một trong các bit thay đổi

Chức năng trộn khóa sẽ gây khó khăn cho người nghe trộm do TSC/IV và các khóa gói

đều được mã hóa gói

b. Nhận thực

Giống như sự phân phối và thiết lập khóa, WPA cũng chấp nhận kiến trúc chứng thực

được chỉ rõ trong 802.11i. Do đó kiến trúc chứng thực của WPA và WPA2 là giống nhau. Với

mạng ở nhà 802.11i cho phép khóa dạng thủ công như WEP với mạng doanh nghiệp, 802.11i chỉ

rõ cách sử dụng của 902.1x cho sự thiết lập khóa và sự chứng thực.Hình 3.14 cho ta thấy kiến

trúc của EAPoL và hình 3.15 Cho thấy toàn bộ hệ thống kiến trúc của EAPoL. Cổng kiểm soát chỉ

mở khi thiết bị được kết nối tới cổng đã cho phép bởi 802.1x. Mặt khác, cổng không kiểm soát

cung cấp một đường dẫn duy nhất cho lưu lượng EAPoL

Hình 3.14 Authentication Architecture

Hình3.14 cổng không được kiểm soát có thể hạn chế thế nào sử dụng MAC filtering. Sơ

đồ này trong một số trường hợp được dùng để chống lại sự tấn công

14

Hình 3.15 EAPOL

EAP chỉ rõ ba thành phần của mạng: the supplicant, the authenticator and the

authentication server . cho EAPoL người sử dụng cuối là supplicant. Chuyển mạch lớp hai là sự

truy nhập kiểm soát nhận thực tới mạng sử dụng cổng logic. Những quyết định truy nhập được

thực hiện bởi máy chủ chứng thực backend sau khi thực hiện quá trình chứng thực. Quá trình

chứng thực này để sử dụng cho người quản trị mạng quyết định EAPoL có thể dễ dàng được

làm thích nghi để có thể sử dụng được trong môi trường 802.11. Như ở hình 3.16 STA là

supplicant, AP là sự kiểm soát nhận thực tới mạng và có một máy chủ chứng thực backend .

Tính tương tự càng nổi bật hơn nếu ta xem xét một AP, thật ra là chuyển đổi lớp hai, với một

máy vô tuyến và một dao diện đường dây

15

Hình 3.16 Authentication Overview

Tuy nhiên có một chi tiết cần chú ý đến kiến trúc 802.1x mang quá trình bảo mật giữa

supplicant (STA) và máy chủ chứng thực backend. Điều đó có nghĩa là khóa chủ (kết quả từ một

quá trình chứng thực thư TLS) được tạo ra giữa STA và máy chủ backend. Tuy nhiên, cơ chế bí

mật và vẹn toàn trong kiến trúc an ninh của 802.11 vẫn được thực hiện giữa STA và AP.Điều đó

có nghĩa là phiên (PTK) và per – packet key (chúng được tạo ra từ PMK) đều cần STA và AP. Tuy

nhiên, AP chưa chắc đã có PMK. Bởi vậy, cái mà cần cho một cơ chế để có PMK từ máy chủ

chứng thực đến AP an toàn

Nhắc lại kiến trúc 802.1x, kết quả của quá trình chứng thực được chuyên chở bởi máy

chủ chứng thực tới AP, vì vậy mà AP có thể cho phép hay không cho phép truy nhập tới mạng.

Giao thức truyền tin giữa AP và máy chủ chứng thực không chỉ rõ bởi 802.11 nhưng được chỉ rõ

bởi WPA2 là RADIUS. Hầu như tất cả các sự triển khai của 802.11 có lẽ kết thúc lên trên sử

dụng RADIUS. Giao thức RADIUS cho phép an ninh phân phối khóa từ máy chủ chứng thực tới

AP và đây là các mà PMK tới AP như thế nào.

Ghi nhớ là 802.1x có một khung dành cho chứng thực. Nó không chỉ rõ giao thức chứng

thực được sử dụng. Bởi vậy, đó là tới người quản trị mạng để chọn giao thức chứng thực. Một

trong số những giao thức chứng thực được bàn luận nhiều nhất sử dụng trong 802.1x là TLS.

16

Giao thức EAP-TLS được lấy tài liệu cẩn thận. Nó được phân tích rộng và không sự sai lệch yếu

kém nào được tìm thấy trong giao thức của nó. Điều này làm cho nó là sự lựa chọn lôi cuốn về

an ninh sử dụng trong 802.1x.

c. Sự bí mật

Thực tế chỉ rõ rằng một giải thuật mã hóa không đ ủ để cung cấp cho hệ thống an ninh.

Để cung cấp tí nh bí mật trong 802.11i, AES được sử dụng trong counter mode . Counter mode

thực sự sử dụng một khối mật mã như một luồng mật mã , như vậy kết hợp an ninh của một

khối mật mã , với sự dễ dàng sử dụng một luồng mật mã , Hình dưới chỉ rõ ASE Counter Mode

làm việc như thế nào.

Sử dụng counter mode yêu cầu một máy đếm. Máy đếm bắt đầu tại một thời điểm bất kì

nhưng quyết định trước giá trị v à được tăng dần trong một kiểu chỉ rõ . Thao tác máy đếm đơn

giản nhất, ví dụ: bắt đầu máy đếm với khởi đầu là 1 và tăng dần một giá trị tuần tự cho mỗi

khối. Giá trị khởi đầu cho một counter bắt nguồ n từ một giá trị Nonce , cái mà thay đổi cho mỗi

thông báo liên tiếp . Mật mã AES sau đó được sử dụng để mã hóa máy đếm để tạo ra một

“luồng khóa”. Khi thông báo nguyên bản đế nó được chia vào các khối 128 bits, và mỗi khối XOR

được cộng với 128 bits tương ứng của dòng khóa phát sinh để sản xuất ra mật mã.

17

Về mặt toán học, chức năng mã hóa được trình bày là: Ci=Mi+(Ek)(i) trong đó i là counter

An ninh của hệ thống nằm trong counter. Cho tới khi giá trị Counter không bao giờ lặp lại

với từ khóa giống vậy , hệ thống được bảo vệ . Trong WPA2, điều này đạt được bởi việc dùng

một khóa mới cho các phiên.

d. Sự toan ven

Để đạt được sự toàn vẹn của bản tin , nhiệm vụ của nhóm là mở rộng counter mode để

bao gồm sự hoạt động của một CBC MAC . Đây là điều giải thích tên của giao thức : AES-CCMP

trong đó CCMP thay thế cho giao thức counter mode CBC MAC . Giao thức CBC MAC được thể

hiện trong hình dưới, trong đó hộp màu đen là giao thức mã hóa.

V. Kết luận

Từ những kết quả tì m hiểu ở trên ta có thể nhìn thấy IEEE 802.11n có những ưu điểm

vượt trội so với những chuẩn trước đó về thông lượng, độ tin cậy. IEEE 802.11n tương thích tốt

với các chuẩn trước đó như 802.11 a/b/g. Sự ra đời của IEEE 802.11n được mong đợi sẽ đáp

18

ứng được các yêu cầu phân tán trên nền mạng không dây ngày nay như các ứng dụng về thời

gian thực, QoS. IEEE 802.11n hứa hẹn sẽ trở th ành chuẩn phổ biến được sử dụng rộng rãi nhất

trong tương lai thay thế cho có chuẩn 802.11 a/b/g hiện nay.

B. Tài liệu tham khảo

www.google.com.vn

http://www.wimaxpro.org

www.ebook.edu.vn

www.wi-fi.org

http://haiphongit.com/forum/showthread.php?p=80050

http://chodientuvn.com/tipsvn.aspx?mode_view=branch&m_id=3&type=1&title=08578E735A4

C0BF5A&page=1

http://www.tapchibcvt.gov.vn/vi-vn/congnghetruyenthong/2009/6/20505.bcvt

http://www.chopc.com/index.php?mod=view&act=news&nid=7323