CHƯƠNG 3 GIAO THỨC BẢO MẬT MẠNG KHÔNG DÂY CHUẨN IEEE 802
3.2.5. Trình tự chứng thực
Chuỗi các sự kiện xác thực thể hiện như Hình 3.. Khi một Supplicant muốn kết nối, đầu tiên nó phải thu hút sự chú ý của Authenticator. Trong hầu hết các trường hợp, Authenticator được cảnh báo bởi quá trình kết nối. Nó có thể là hành động cắm vào cáp (cable) hoặc kết hợp với các AP (trong trường hợp không dây). Nếu không thông điệp EAPOL có thể được sử dụng.
Hình 3. Thông điệp luồng EAP
Đầu tiên, Authenticator phản ứng với thông điệp EAP-Request/Identity. Đây là một thông điệp chuẩn EAP tương đương với câu hỏi “Ai đó?”. Authenticator được phép bỏ qua bước này nếu biết danh tính của một Supplicant bằng một cách nào đó. Các Supplicant phải đáp ứng một thông
điệp EAP-Respone/Identity. Điều này đặt ra một vấn đề đó là cho đến giờ Supplicant không thể chắc chắn rằng Authenticator đó có là thật không, vì đây là mạng không dây. Giả sử Authenticator là một điểm truy cập lừa đảo được thiết lập bởi kẻ tấn công. Các Supplicant có thể không muốn tiết lộ danh tính của nó vào thời điểm đó và sử dụng kí hiệu thay thế. Đã có một số phương pháp hỗ trợ việc sử dụng kí hiệu nhưng tại thời điểm này, ta hãy giả sử Supplicant chuẩn bị gửi định danh của mình cho Authenticator.
Vì vậy, tất cả các thông điệp đã thảo luận là giữa Supplicant và Authenticator. Các máy chủ xác thực chưa tham gia cho đến hiện tại. Điều quan trọng là không để lãng phí thời gian cho Authentication Server cho đến khi Supplicant đã chỉ ra rằng nó nói thật với IEEE 802.11x bằng cách trả lời các EAP-Request đầu tiên. Có được danh tính của Supplicant, Authenticator báo cáo với máy chủ xác thực để tìm hiểu xem liệu các Supplicant này có được phép truy cập vào không. Các máy chủ xác thực không thể thực hiện quyết định này cho đến khi nó đã xác minh rằng Supplicant này thực sự tương ứng với danh tính đã cho. Đây là toàn bộ các điểm của chứng thực. Và Authenticator phải biết tất cả các phương pháp xác thực, các thông điệp EAP được sử dụng để xác thực phải được truyền trực tiếp tới máy chủ xác thực.
Trong thực tế, giai đoạn này các Supplicant và máy chủ đang nói chuyện trực tiếp. Trong quá trình chứng thực, Authenticator sẽ xem xét nhanh chóng mỗi thông điệp EAP được thông qua giữa Supplicant và máy chủ xác thực. Đặc biệt, nó tìm kiếm một EAP-Success hoặc EAP-Failure. Nó phải đợi cho đến khi máy chủ xác thực chấp nhận hay từ chối Supplicant. Một thông điệp Radius cung cấp các chỉ dẫn khi Radius đang được sử dụng.