2. Cấu trúc của luận văn
3.3.2.Xác thực trong WLAN dựa trên 802.1X
Như trên đã trình bày, chuẩn 802.11i dựa trên để quản lý luồng thông tin giữa hệ thống phân phối và trạm không dây thông qua mô hình cổng bị điều khiển/không bị điều khiển của 802.1X. Quá trình xác thực này kết hợp với quá trình bắt tay 4- bước và bắt tay nhóm (đã trình bày ở trên) để thực hiện việc thiết lập và đồng bộ các khóa mã hóa.
Để quá trình xác thực thông qua 802.1X có thể diễn ra, các trạm cần thiết lập liên kết với điểm truy cập. Quá trình này diễn ra như sau:
Các trạm thực thực hiện dò tìm các thông số an ninh của điểm truy cập thông qua việc dò tìm bị động (dựa trên các khung tin Dẫn đường) hoặc dò tìm chủ động (thông qua các khung tin Dò tìm).
Tiếp đó, các trạm thực hiện việc xác thực với điểm truy cập dựa trên cơ chế xác thực mở.
Cuối cùng, các trạm thực hiện việc liên kết với điểm truy cập thông qua việc trao đổi các gói tin liên kết (Association frame).
Hình 3-8. Quá trình thiết lập liên kết
Sau quá trình thiết lập liên kết, khi xác định được mạng yêu cầu xác thực dựa trên 802.1X và EAP, điểm truy cập sẽ gửi thông điệp EAP-Request hoặc trạm sẽ gửi thông điệp EAP-Start để bắt đầu quá trình xác thực bằng EAP.
Với giả thiết máy chủ RADIUS được sử dụng làm máy chủ xác thực, quá trình xác thực trong WLAN dựa trên 802.1X diễn ra như sau:
1. Trạm gửi gói tin EAPOL-Start tới điểm truy cập. (Bước này là tùy chọn) 2. Điểm truy cập gửi khung tin EAP-Request/Identity thông báo với trạm rằng cần phải xác thực 802.1X.
3. Trạm trả lời với khung tin EAP-Response/Identity. Khung tin này sẽ được chuyển tiếp tới máy chủ Radius với vai trò khung tin Radius-Access-Request. 4. Máy chủ Radius gửi gói tin EAP-Request xác định phương pháp xác thực. Gói tin này được bao gói trong khung tin Radius-Access-Challenge gửi tới điểm truy cập. Điểm truy cập sẽ chuyển tiếp khung tin EAP-Request tới trạm. Khung tin EAP-Request thông thường được gọi là EAP-Request/Method trong đó Method là phương pháp EAP được sử dụng (chẳng hạn PEAP, EAP-TLS). 5. Trạm nhận thông tin trả lời từ người dùng (ví dụ: tên/mật khẩu) và trả lời bằng khung tin EAP-Response. Khung tin này sẽ được điểm truy cập chuyển
thành gói tin Radius-Access-Request với nội dung thách thức được kèm trong thân gói tin.
Bước 4 và 5 có thể phải lặp đi lặp lại nhiều lần để hoàn tất quá trình xác thực. Khóa cặp chính cũng được chuyển tới điểm truy cập và trạm trong quá trình này.
6. Máy chủ RADIUS gửi gói tin RADIUS-Access-Accept thông báo xác thực thành công. Điểm truy cập sẽ chuyển tiếp gói tin này thành gói tin EAP- Success chuyển tới trạm đồng thời chuyển trạng thái của cổng sang đã xác thực.
7. Ngay sau khi nhận được gói tin Radius-Access-Accept, điểm truy cập thực và trạm thực hiện quá trình bắt tay 4-bước để sinh cây phân cấp khóa thông qua các thông điệp EAPOL-Key. (Bước này không xảy ra khi áp dụng 802.1X cho WEP).
8. Khi muốn ngắt kết nối khỏi mạng, trạm gửi gói tin EAPOL-Logoff tới điểm truy cập. Cổng logic tương ứng sẽ được chuyển sang trạng thái chưa xác thực.