: chê FSK Mạch
Máy trạm gửi một yêu cầu liên kết tới AP.
+ AP chứng thực máy trạm và gửi một trả lời xác thực máy trạm được liên kết.
Authentication requestf >> ~ Authentication response NNNG d Hình 3.7 : Chứng thực hệ thống mở. 38
© Chứng thực qua khóa chỉa sẻ (Shared — key Authenticafion) :
Là kiểu chứng thực cho phép kiểm tra xem một máy trạm không dây đang được chứng thực có cùng một hệ thống chìa khóa mã hóa với AP hay không, chìa khóa mã hóa này sẽ được người quản trị mạng thiết lập trước giữa AP với các máy trạm hợp lệ
trong mạng.
Quá trình chứng thực được thưc hiện qua các bước sau : + Máy trạm gửi yêu cầu liên kết đến AP.
+ AP sẽ gửi một văn bản ngẫu nhiên về máy trạm, văn bản này chưa được mã
hóa và AP yêu cầu máy trạm dùng chìa khóa của mình để mã hóa nó. + Máy trạm mã hóa văn bản và gửi về lại AP.
+ AP sẽ thử giải mã văn bản này để xem chìa khóa của máy trạm có hợp lệ hay không, nếu chìa khóa hợp lệ thì AP sẽ gửi trả lời cho phép máy trạm liên kết, còn nêu không AP sẽ gửi trả lời từ chôi.
Authentication request - Unencrypted challenge Encrypted challenge response > Authentication response ~- Hình 3.8 : Chứng thực khóa chỉa sẻ.
Nhìn qua thì phương pháp này có vẻ an toàn hơn phương pháp chứng thực qua hệ thống mở, nhưng nếu xem xét kỹ thì trong phương pháp này, chìa khóa được dùng cho cả hai mục đích : để chứng thực và để mã hóa đữ liệu, đây chính là kẽ hở cho
hacker có cơ hội thâm nhập mạng. Hacker sẽ thu cả hai tín hiệu : văn bản chưa mã hóa
do AP gửi và văn bản đã mã hóa do máy trạm gửi, từ hai thông tin đó hacker có thể tìm ra chìa khóa dùng để mã hóa và chứng thực.
e Chứng thực qua giao thức 802.1X — EAP :
Là phương pháp chứng thực dựa trên sự định danh người dùng thông qua một
AAA Server (Authentication, Authorization, Accountting) sử dụng dịch vụ RADIUS
(Remote Authentication Dial - In User Service). Phương pháp chứng thực này sẽ kiểm
tra các thông số để xác định một người dùng như : username, password, certificate,...
RADIUS:
RADIUS - Remote Authentication Dial — In User Service là một công nghệ mới thường được dùng cho các doanh nghiệp có quy mô lớn để bảo vệ và quản lý việc truy cập trong mạng không dây. Một server chứng thực (AAA server) sử dụng công nghệ RADIUS chứa trong nó một danh sách những username và password mà chỉ cho phép những user phù hợp mới có quyền truy cập vào mạng mà không làm ảnh hưởng đến việc mã hóa đữ liệu. Trước khi muốn truy cập vào mạng thì user phải nhập username và password và gửi đến server chứng thực, server này sẽ kiểm tra tài khoản của user, nếu đúng thì cho phép truy cập, ngược lại thì không.
Ngoài ra RADIUS còn được cài đặt để cung cấp những cấp độ cũng như quyền hạn của các user đăng nhập vào mạng. Ví dụ như những user truy cập vào mạng, có người thì chỉ được phép duyệt web, có người thì chỉ được phép đọc mail, và cũng có người có đầy đủ các quyền...
Cũng như các công nghệ bảo mật phức tạp khác, RADIUS là một công nghệ đa dạng về cả chủng loại và cấp độ, nó có thể bao gồm các giải pháp về cả phần cứng lẫn phân mêm.
Quá trình chứng thực được thực hiện qua các bước sau :
+ Máy trạm gửi yêu cầu kết nối tới AP. + AP đáp lại với một yêu cầu khai báo ID.
+ Máy trạm khai báo ID và gửi tới server chứng thực thông qua AP. + Máy trạm và server thực hiện các bước xác thực qua lại lẫn nhau.
+ Nếu quá trình xác thực thành công, server sẽ gửi thông báo chấp nhận và chìa khóa phiên làm việc (session key — khóa này dùng để mã hóa dữ liệu trong suốt phiên làm việc của máy trạm) đến máy trạm thông qua AP. Lúc này AP sẽ mở port (công) cho phép máy trạm liên kết tới.
Wired LAN
AAA Sever
ID request
ID response (relay to server)
(relay to clien§ Authenftication response ——————tk (relay to clien§ Authentication challenge (relay to clien§ Authenfication success ——————*> Authentication challenge -————— (relay to server) Authentication success (relay to server) Authentication response ~®————— (relay to server)
(relay to clien0 Accept & session key
-®———-