CHƯƠNG 3 GIAO THỨC BẢO MẬT MẠNG KHÔNG DÂY CHUẨN IEEE 802
3.3.2.1. Tạo và phân phối các PMK
Trong mô hình IEEE 802.11x có ba thành phần: supplicant (user), authenticator (AP) và máy chủ xác thực (server). Các thiết bị di động là supplicant và kết nối vào AP có xác thực. Supplicant sử dụng EAP để giao tiếp, đầu tiên là authenticator (trong AP) và sau đó là đến máy chủ xác thực. Máy chủ đưa ra quyết định cho phép supplicant kết nối hay không và thông
báo cho cả authenticator và supplicant. Bằng phương pháp này, xác thực và ủy quyền được thực hiện tập trung tại máy chủ xác thực.
Khóa cao nhất trong toàn bộ ngữ cảnh an toàn (PMK) được tạo ra trong quá trình xác thực giữa người dùng và máy chủ hoặc giữa các thiết bị của người dùng và máy chủ. Và 802.11i sử dụng một số phương pháp xác thực như EAP-TLS, EAP-PEAP,… Quá trình xác thực sử dụng các phương pháp này được gọi là quá trình sinh khóa (key generating).
Quá trình xác thực thực hiện giữa người dùng và máy chủ và kết quả của quá trình đó là cả hai bên đều tạo ra một khóa chủ PMK phù hợp. Tuy nhiên, để sử dụng các khóa này để bảo vệ các kết nối không dây, chúng ta cần phải chuyển các PMK cho AP. Và làm thế nào để chúng ta chuyển được PMK từ máy chủ đến AP? Trong các hệ thống mạng lớn, thông thường AP sẽ được kết nối đến máy chủ xác thực sử dụng giao thức TCP/IP và PMK sẽ được truyền trên mạng. Đối với các hệ thống nhỏ, máy chủ xác thực thường được xây dựng ngay trong bản thân AP, khi đó việc chuyển PMK từ máy chủ sang AP là khá đơn giản.
Các đặc điểm kỹ thuật IEEE 802.11i không nói một cách rõ ràng các PMK nên được chuyển từ máy chủ tới các điểm truy cập như thế nào, mặc dù các khuyến nghị được đưa ra. Ngược lại, WPA chuyển giao các PMK tới điểm truy cập bằng các sử dụng giao thức RADIUS.
Vào cuối giai đoạn thẩm định và sau khi hoàn thành việc chuyển giao các PMK, cả thiết bị di động và các điểm truy cập đều sẽ có một bản sao của PMK. Quá trình thu thập các PMK kết thúc với thông điệp EAP-Success được gửi bởi máy chủ xác thực.