CHƯƠNG 3 GIAO THỨC BẢO MẬT MẠNG KHÔNG DÂY CHUẨN IEEE 802
3.2.3. Giao thức xác thực mở rộng EAP
EAP được sử dụng trong quá trình xác thực của 802.11 RSN có sử dụng chuẩn điều khiển truy cập 802.1X. Về bản chất EAP không phải là một giao thức xác thực mà là một khung hoạt động cho phép áp dụng nhiều phương pháp trên đó [13]. Đặc tả EAP không quy định rõ cơ chế xác thực nào được sử dụng trên đó. Nói cách khác, EAP là một bộ bao gói cho phép hoạt động trên mọi kiểu tầng liên kết dữ liệu.
Hình 3. Kiến trúc EAP áp dụng cho LAN và WLAN
RSN không quy định sử dụng EAP với phương pháp xác thực nào cụ thể, nhưng hiệp hội WiFi quy định sử dụng một vài phương pháp xác thực EAP (chẳng hạn EAP-TLS) các thiết bị hỗ trợ WPA/WPA2.
Hình vẽ bên dưới mô tả cấu trúc khung tin EAP hoạt động trên tầng liên kết dữ liệu:
Hình 3. Cấu trúc khung tin EAP
Trong đó:
• Trường Code (mã) có độ dài 1 byte dùng để định nghĩa kiểu của gói tin EAP và được phân công như sau:
o 1 – Request
o 2 – Response
o 3 – Success
o 4 – Failure
• Trường Identifier (số định danh) có độ dài 1 byte, là một giá trị trong khoảng 0-255 và IEEE 802.11x chỉ ra rằng nó lên được tăng lên cho mỗi thông điệp gửi đi.
• Trường Length (độ dài) có kích thước 2 byte chứa kích thước của toàn bộ gói tin, bao gồm cả các trường tin EAP bao gồm Code, Identifier, Length và Data.
• Trường Data (dữ liệu) có độ dài biến thiên lưu thông tin phục vụ quá trình xác thực (kích thước 2 byte).
Trong thực tế, ban đầu EAP được thiết kế để sử dụng với xác thực dial-up thông qua một modem. Nhưng IEEE 802.11x định nghĩa một giao thức gọi là “EAP over LAN” để có được các thông điệp EAP được thông qua giữa Supplicant và Authenticator.
IEEE 802.1X cung cấp các mô tả cho EAPOL. Nó mô tả các định dạng khung Ethernet (IEEE 802.3) và mạng LAN token ring nhưng không cho IEEE 802.11. Nếu bạn chỉ muốn gói gọn thông điệp EAP, bạn có thể thêm vào trước một thông báo EAP một Ethernet MAC Header và gửi nó qua mạng LAN. Nhưng tổ chức IEEE 802.1X quyết định thêm một vài thông điệp và trưỡng hữu ích trong khi đang định nghĩa EAPOL. Không phải tất cả các khung EAPOL thực sự mang thông điệp EAP, một số được sử dụng để thực hiện các tác vụ quản lý. Năm loại thông điệp EAPOL, đó là:
• EAPOL-Start • EAPOL-Key • EAPOL-Packet • EAPOL-Logoff
• EAPOL-Encapsulated-ASF-Alert
Định dạng của một khung EAPOL sử dụng bởi Ethernet được thể hiện trong Hình 3. Error: Reference source not found:
Hình 3. Định dạng khung EAPOL
Trong đó:
• Ethernet MAC Header: Là địa chỉ đích và địa chỉ nguồn MAC. • Protocol Version: Các phiên bản giao thức luôn luôn là 1 (điều này
có thể thay đổi trong tương lai).
• Packet Type: Sử dụng để xác định là EAP-Request/Response. Đây là một sự mở rộng của EAP, để tách tất cả các phương pháp xác thực khác nhau.
• Packet Body Length: Chiều dài là 2 byte. Nó được thiết lập là 0 khi không có packet body nào tồn tại.
• Packet Body: Trường này có chiều dài thay đổi được, có trong tất cả các dạng khung EAPOL, trừ EAPOL-Start và EAPOL-Logoff.