Đối mặt với điểm yếu của WEP, người ta mong chờ một chuẩn bảo mật khác cho mạng không dây 802.11, và WPA được đề xuất như là một giải pháp tạm thời.WPA vừa mã hóa vừa có cơ chế xác thực người dùng.
WPA gồm hai phần chính sau:
- TKIP (Temporal Key Intergrity Protocol): giao thức toàn vẹn khóa thời gian
- 802.1x và giao thức chứng thực mở EAP ( Extensive Authentication Protocol)
a. TKIP (Temporal Key Integrity Protocol)
TKIP thực chất là một sự cải tiến WEP, cho phép mã hóa và kiểm soát toàn vẹn dữ liệu.
TKIP vẫn sử dụng RC4 làm giải thuật để mã hóa với khóa 128 bit, nhưng véc tơ khởi tạo IV có độ dài 48bit. Ngoài ra khóa cho mỗi trạm được sinh ra và thay đổi tự động theo chu kì. Biện pháp này giảm nguy cơ ăn cắp chìa khóa một cách bị động như trong WEP.
Việc kiểm soát tính toàn vẹn thực hiện bởi một mã băm 8byte gọi là MIC (Message Integrity Code) hay Michael. Mã này cũng có địa chỉ MAC, để tránh sự thay đổi các frame.
Sẽ có sự giảm tính thực thi khi sử dụng TKIP, tuy nhiên bù lại là tính bảo mật được tăng cường đáng kể, nó tạo ra một sự cân bằng hợp lý.
b. 802.1x và giao thức chứng thực mở EAP ( Extensive Authentication Protocol)
Giao thức này là một sự phát triển của các giao thức khác (PPP, RADIUS, EAP) được phát triển dành cho việc chứng thực. 802.1x điều khiển truy nhập thông qua những cổng cơ bản. Sự điều khiển truy nhập thông qua những cổng cơ bản được khởi đầu, và vẫn đang được sử dụng với chuyển mạch Ethernet. Khi người dùng thử nối tới cổng Ethernet, cổng đó sẽ đặt kết nối của người sử dụng ở chế độ khóa và chờ đợi sự xác nhận người sử dụng của hệ thống chứng thực.
Các thành phần:
Giao thức hoạt động dựa trên 3 phần chính:Client (trạm), Access Point(AP), Server xác thực.
802.1x còn được gọi là Port-based Network Access Control, nói cách khác là nó xác thực dựa vào cổng. Một trạm sẽ được phép truy cập vào mạng nếu nó đã được xác thực trước đó.
Hoạt động:
Cụ thể một trạm sẽ kết nối với AP qua một PAE (Port Access Entity), PAE này được chia làm hai cổng, một cổng được điều khiển (mở hay đóng kết nối) cung cấp kết nối cho client trong trường hợp xác thực thành công, và một cổng không được điều khiển (kết nối luôn mở) dùng để chứng thực khi tất cả các lưu lượng khác bị trả lại.
Cổng điều kiển có thể mở hoặc đóng tùy theo giá trị của một biến trung gian (AuthContrelledPortControl). Biến này có thể có 3 trạng thái:
• ForceUnauthorized: truy cập vào cổng được điều khiển bị cấm (kết nối luôn mở)
• ForceAuthorized: truy cập vào cổng điều khiển được phép (kết nối luôn đóng)
• Auto (mặc định): truy cập phụ thuộc vào kết quả xác thực.
Chứng thực bằng RADIUS.
EAP ( Extensive Authentication Protocol) được dùng để chứng thực trong một phiên (session), gồm EAPOL (Extensive Authentication Protocol Over Lan) nằm ở giữa trạm với AP, và EAP giữa AP với server (thường sử dụng RADIUS server : Remote Authentication Dial In User Server).
Bình thường trạm và server chia sẻ với nhau bí mật (khóa, giấy chứng thực …), khi server nhận được một yêu cầu của AP cho việc chứng thực trạm, nó gửi một yêu cầu đến trạm. Yêu cầu này chỉ có thể được giải quyết bởi một bí mật đã được chia sẻ từ trước và bí mật này cho phép chứng thực.
Hình1.24: Quá trình chứng thực 802.1x-EAP Các dạng khác của giao thức chứng thực này:
• Chứng thực bởi password: EAP-MD5, ngày càng ít sử dụng; LEAP (Light EAP) giao thức của Cisco.
• Chứng thực bằng thẻ: EAP-SIM (Subsciber Identity Module), được sử dụng cho AP công cộng (hotspot), sử dụng thẻ SIM hay GSM, cho phép áp dụng cả việc tính hóa đơn; EAP – AKA (Authentification and Key Agreement), sử dụng hệ thống chứng thực của thẻ SIM của UMTS (Universal Mobile Telecommunications System).
• Chứng thực bằng giấy chứng thực: EAP-TLS (Transport Layer Security), dựa trên kĩ thuật SSL (Secure Socket Layer), sử dụng hệ thống khóa công khai PKI, sinh ra và phân bố khóa WEP động (cho user, cho phiên, cho gói tin). Đòi hỏi phải có một giấy chứng thực cho mỗi client. Để hạn chế một số điểm yếu trong giao thức EAP (mặc định việc định dạng user, gặp vấn đề khi ngắt kết nối nhanh…), giao thức PEAP (Protected EAP) đã được phát triển. Giao thức này sử dụng MA-CHAP version 2 để chứng thực.