Chuẩn mã hóa tiên tiến AES
Để khắc phục những khiếm khuyết của WEP, chuẩn mã hóa tiên tiến Advanced Encryption Standard (AES) đang được công nhận như một sự thay thế
thích hợp cho thuật toán RC4. AES sử dụng thuật toán Rijndale (RINE-dale) với những loại chìa khóa như: 92bit, 128 bit, 256 bit
AES được xét là một phương pháp không thể crack bởi hầu hết người viết mật mã, và NIST (National Institute of Standards and Technology) đã chọn AES cho FIPS (Federal Information Processing Standard). Như một phần cải tiến cho chuẩn 802.11, 802.11i được xem xét để sử dụng AES trong WEP v.2.
AES, nếu được đồng ý bởi 802.11i, sử dụng trong WEP v2, sẽ được thực hiện trong phần vi chương trình và các phần mềm bởi các nhà cung cấp. Chương trình cơ sở trong AP và trong Client (Card vô tuyến PCMCIA) sẽ phải được nâng cấp để hỗ trợ AES. Phần mềm trạm khách (các driver và các tiện ích máy khách) sẽ hỗ trợ cấu hình AES cùng với chìa khóa bí mật
Sử dụng server quản lý chìa khóa mã hóa tập trung.
Thay vì sử dụng chìa khóa WEP tĩnh, mà có thể dễ dàng bị phát hiện bởiattacker. WLAN có thể được bảo mật hơn bởi việc thực hiện các chìa khóa trên từng phiên hoặc từng gói, sử dụng một hệ thống phân phối chìa khóa tập trung.
Với những mạng WLAN quy mô lớn sử dụng WEP như một phương pháp bảo mật căn bản, server quản lý chìa khóa mã hóa tập trung nên được sử dụng vì những lí do sau:
• Quản lí sinh chìa khóa tập trung
• Quản lí việc phân bố chìa khóa một cách tập trung • Thay đổi chìa khóa luân phiên
• Giảm bớt công việc cho nhà quản lý
Bất kỳ thiết bị khác nhau nào cũng có thể đóng vai trò một server quản lý chìa khóa mã hóa tập trung. Bình thường, khi sử dụng WEP, những chìa khóa (được tạo bởi người quản trị) thường được nhập bằng tay vào trong các trạm và các AP. Khi sử dụng server quản lý chìa khóa mã hóa tập trung, một quá trình tự động giữa các trạm, AP và server quản lý sẽ thực hiện việc trao các chìa khóaWEP. Hình sau mô tả cách thiết lập một hệ thống như vậy
Hình 1.23: Cấu hình quản lý chìa khóa mã hóa tập trung
Server quản lý chìa khóa mã hóa tập trung cho phép sinh chìa khóa trên mỗi gói, mỗi phiên, hoặc các phương pháp khác, phụ thuộc vào sự thực hiện của các nhà sản xuất.
Phân phối chìa khóa WEP trên mỗi gói, mỗi chìa khóa mới sẽ được gán vào phần cuối của các kết nối cho mỗi gói được gửi, trong khi đó, phân phối chìa khóa WEP trên mỗi phiên sử dụng một chìa khóa mới cho mỗi một phiên mới giữa các node.
Cách phân phối này làm cho việc hack vào mạng thông qua những đoạn mạng không dây trở lên khó khăn hơn nhiều.attacker có thể phải dự đoán chuỗi chìa khóa mà server phân phối chìa khóa đang dùng, điều này là rất khó.
1.2.2.3. WPA (WLAN Protected Access)
Đối mặt với điểm yếu của WEP, người ta mong chờ một chuẩn bảo mật khác cho mạng không dây 802.11, và WPA được đề xuất như là một giải pháp tạm thời.WPA vừa mã hóa vừa có cơ chế xác thực người dùng.
WPA gồm hai phần chính sau:
- TKIP (Temporal Key Intergrity Protocol): giao thức toàn vẹn khóa thời gian
- 802.1x và giao thức chứng thực mở EAP ( Extensive Authentication Protocol)
