EAP (Extensible Authentication Protocol) - Phương thức bảo mật cho mạng không dây 802.

11 (Phần 1) 2:19, 30/10/2007

Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nên chúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúng ta sẽ nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từ đó tìm ra một cơ chế thích hợp nhất. Tiếp theo chúng ta sẽ xem xét một vài cơ chế xác thực trong mạng không dây như phương pháp mã khoá công cộng, mã sử dụng mật khẩu thông thường và mã sử dụng mật khẩu phức tạp. Một trong các loại mã sử dụng mật khẩu đặc biệt như SPEKE (Simple Password-authenticated Exponential Key Exchange) sẽ được đề cập chi tiết hơn. Cuối cùng là các bảng so sánh phương thức bảo mật cho mạng không dây. Nguyễn Hữu Phát 1. Tổng quan Do việc truyền dữ liệu trong mạng không dây thực hiện trong môi trường mở nên chúng ta cần có cơ chế bảo mật khác với các mạng truyền thống.Trong bài này chúng ta sẽ nghiên cứu cách thức hoạt động và cơ chế bảo mật trong các mạng không dây từ đó tìm ra một cơ chế thích hợp nhất. Tiếp theo chúng ta sẽ xem xét một vài cơ chế xác thực trong mạng không dây như phương pháp mã khoá công cộng, mã sử dụng mật khẩu thông thường và mã sử dụng mật khẩu phức tạp. Một trong các loại mã sử dụng mật khẩu đặc biệt như SPEKE (Simple Password-authenticated Exponential Key Exchange) sẽ được đề cập chi tiết hơn. Cuối cùng là các bảng so sánh phương thức bảo mật cho mạng không dây. Xác thực là một quá trình kiểm tra các yêu cầu đặt ra. Hình thức xác thực đơn giản nhất là một người khi được yêu cầu xác thực sẽ đưa một mật khẩu tới hệ thống để kiểm tra. Nếu mật khẩu đúng anh ta sẽ được quyền truy nhập và thực hiện các dịch vụ cho phép.Trong một vài trường hợp yêu cầu tính xác thực cao tuy nhiên cũng có trường hợp chỉ mang tính kiểm tra như: - Người sử dụng được bảo đảm tính xác thực thông qua các câu hỏi.

Kẻ tấn công có thể tạo ra những mật khẩu giả trên một máy tính riêng sau đó phân tích những kết quả trả về máy tính. Điều này được thực hiện dễ dàng bởi kẻ tấn công thông qua việc sử dụng những mật khẩu chưa bị xoá. Họ thứ hai là các phương pháp xác thực sử dụng mật khẩu. Hình thức tấn công này được gọi là từ điển phá khoá “cracker’s dictionary” . Danh sách này bao gồm các đặc trưng thêm vào đó là các phương thức xác thực phải có và danh sách các đặc tính của một số mạng không dây có thể hữu ích trong một vài môi trường. Tiếp đó chúng ta sẽ xem xét hai họ xác thực cơ bản cho mạng không dây. Cách thức tấn công offline này có thể loại trừ bằng cách đặt một số lớn ngẫu nhiên thay thế cho những mật khẩu dễ nhớ. điều này do người quản trị mạng qui định.Kênh giao tiếp giữa người sử dụng và người xác thực phải được bảo vệ (người sử dụng và người xác thực có thể đảm bảo chắc chắn rằng không bị nghe trộm).. Nhưng có một vấn đề mới nảy sinh. Những mật khẩu dự đoán này được tạo ra rất nhanh khiến cho người sử dụng cũng như người quản trị mạng không thể phát hiện được. Chúng ta cũng xem xét các đặc tính cơ bản của phương pháp mã khoá SPEKE phương pháp mã hoá rất thích hợp cho mạng không dây. Họ thứ nhất gồm các phương pháp xác thực sử dụng khoá công cộng. điều này có nghĩa là người sử dụng cần phải tự mình bảo vệ máy tính của mình khỏi sự truy cập trái phép từ bên ngoài. các đặc trưng thêm vào và các đặc tính có thể hữu ích trong môi trường cụ thể.Tuy nhiên kẻ tấn công có thể giả danh một người khác để truy cập đến mạng. Vấn đề thứ là môi trường truyền thông trong trường hợp này là mạng vô tuyến có thể bị kiểm soát với một thiết bị thu. Để đảm bảo an toàn cao hệ thống có thể giới hạn số lần nhập sai mật khẩu để tránh tình trạng người tấn công có thể dò mật khẩu. Cuối cùng chúng ta tóm tắt các phương pháp xác thực trong một bảng và so sánh khả năng kết hợp của nó với các phương pháp đã có trước đó. Chính vì vậy mà yêu cầu xác thực cho mạng không dây nghiêm ngặt hơn rất nhiều so với mạng cố định sử dụng hệ thống quay số. Để khắc phục vấn đề này mật khẩu có thể được lưu trữ trên máy tính. Nếu điều này xảy ra người bị giả danh sẽ không thể biết chính xác dữ liệu đã bị lấy cắp như thế nào. So sánh những kết quả đó ghép nối lại sẽ cho một mật khẩu. Vấn đề thứ nhất đó là người sử dụng sẽ không thể có cách nào biết điểm truy nhập là gì. . Trong bài này trước tiên chúng ta thu thập các yêu cầu đó là các phương thức xác thực phù hợp cho mạng không dây. Nhưng điều này làm nảy sinh lỗi thứ tư đó là mật khẩu dễ nhớ. Chúng ta sẽ xem xét các vấn đề xảy ra khi một người truy cập vào mạng không dây chuẩn 802. Vấn đề này có thể kiểm soát nhờ sử dụng cơ chế xác thực thông qua một số chức năng phức tạp mà chỉ người dùng nắm được. 2. Các yêu cầu cho xác thực trong mạng không dây Tiếp theo câu hỏi đặt ra là yêu cầu xác thực gì sẽ được sử dụng để truy cập mạng không dây? Trong phần này sẽ liệt kê các yêu cầu cần có cho các phương pháp xác thực.11 thông qua một máy tính xách tay.

Đây là yêu cầu quan trọng trong mạng không dây bởi vì những kẻ tấn công rất dễ tạo ra những điểm truy cập giả. Nhanh chóng và hiệu quả – Tính xác thực nên được thực hiện với số lượng giao thức nhỏ nhất và sử dụng tài nguyên ít nhất. nhưng lại phản đối việc sử dụng những chuỗi ký hiệu dài. Điểm truy cập – Chúng nên làm việc với tất cả các điểm truy cập được hỗ trợ bởi chuẩn 802. Việc loại bỏ các chính sách bảo trì có thể tạo gánh nặng cho việc quản trị hệ thống. Khả năng ngăn chặn cách thức tấn công kiểu từ điển – Nó có khả năng ngăn chặn tấn công cả online hoặc offline. Một phương thức yêu cầu xác thực cho người sử dụng thuờng không dễ cho người quản trị. Bảo mật trước nghĩa là bảo mật tại phía người sử dụng hoặc mật khẩu hoặc khoá tại bất kỳ điểm nào trong tương lai.1. Cơ chế tự bảo vệ: Nó phải tự bảo vệ khỏi việc nghe trộm khi đường truyền vật lý không đảm bảo an toàn. Thứ hai. Thủ tục tạo khoá – Thủ tục này tạo ra các bản tin xác thực để thiết lập sự bảo vệ cho người dùng. Thứ nhất kẻ giả mạo không được truy cập vào mạng và tấn công người sử dụng để lấy thông tin xác thực. Cơ chế xác thực được thực hiện theo cách mà người nghe trộm không thể học được được bất kỳ tính năng nào. Bảo mật phía trước – Chúng ta nên cung cấp chế độ bảo mật phía trước. Người dùng không quan tâm tới việc gõ những mật khẩu ngắn. Smart cards.1x với chế độ xác thực EAP. Đặc . Với cách tấn công offline cách thức phổ biến là sử dụng phương pháp hỏi đáp. đó là người chịu trách nhiệm xác thực phải xác thực được người sử dụng và ngược lại người sử dụng cũng phải kiểm tra lại đối tượng xác thực mình. Những khoá này sẽ được thông qua các thiết bị người sử dụng như WEP hoặc TKIP. Với hình thức tấn công online có thể ngăn chặn bằng cách hạn chế số lần xác thực. 2. Nói cách khác đây là cách sử dụng smart card cung cấp cho người dùng để truy cập vào mạng. dễ nhớ. khi kẻ giả mạo kết nối vào được mạng sẽ bỏ qua sự xác thực của người sử dụng và quyền truy cập mạng. không thuận tiện cho người dùng nhưng dễ dàng cho người quản trị. Khi đó người sử dụng có thể bị theo dõi thậm chí có thể bị thay đổi dữ liệu do kẻ tấn công sẽ chèn dữ liệu của họ vào. Dễ dàng cho người dùng – Các đặc tính nên thuận tiện cho người sử dụng. Các yêu cầu ( Bắt buộc ) Tính tương hỗ: Nó cung cấp tính xác thực lẫn nhau.2. Ví dụ như việc sử dụng các giấy chứng nhận để lưu trữ thiết bị gây phiền toái cho người quản trị lại là điều thuận tiện cho người dùng.2.3. Các đặc tính thêm vào ( Nên có) Xác thực cho người dùng – Chúng ta nên xác thực người dùng hơn là thiết bị của người sử dụng. Kẻ tấn công ghi lại phiên làm việc của người dùng nhưng không thể biết được mật khẩu do phiên đó đã được mã hoá. Các đặc trưng hữu ích khác (Tuỳ chọn) Các phương thức tăng tính kế thừa – Việc này có thể ít bảo mật vì phương thức này kết hợp phương thức xác thực của mạng không dây và các phương thức xác thực trên. Đây được gọi là bảo mật cứng. Có hai khả năng tấn công có thể xảy ra. Giá thành bảo trì thấp – Chúng ta nên đơn giản hoá cho người quản trị. 2.

Các phương pháp EAP phát triển cho mạng không dây được dựa trên việc kiểm tra thông qua khoá công cộng và giao thức bảo mật tại lớp truyền tải (TLS). thì TTLS có thể bảo vệ được các tính chất kế thừa của RADIUS.dùng vận chuyển. Tuy nhiên việc này đặt ra yêu cầu rất cao về tính bảo mật. EAP-TTLS Phương thức TLS EAP đường hầm (EAP-TTLS) cung cấp một loạt các thuộc tính cho một bản tin như là bản tin RADIUS EAP .tính này sẽ hữu ích trong môi trường mà các hệ thống xác thực kế thừa không thể thay thế ngay được. EAP-TLS EAP-TLS sử dụng khoá kiểm tra công khai TLS trong EAP để cung cấp việc xác thực lẫn nhau giữa máy chủ và khách hàng. nên nó ít được sử dụng hơn. Các đặc tính của EAP-TLS bao gồm: • • • • Xác thực lẫn nhau (giữa máy chủ và khách hàng) Trao đổi khoá (để thiết lập WEP động và khoá TKIP) Phân mảnh và nối lại (với bản tin EAP dài cần có phần kích thước kiểm tra nếu cần) Kết nối nhanh (thông qua TLS) 3.1x xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối. cả máy chủ và khách hàng đều phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra. 3. EAP-TTLS có thể cung cấp các chức năng như phương thức PEAP (sẽ thảo luận dưới đây). Với EAP-TLS. Xác thực lại nhanh – Nó nên cung cấp có chế xác thực nhằm làm giảm thời gian cũng như tính toán.1x . EAP là giao thức truyền thông được sử dụng thông qua các loại cơ chế xác thực khác nhau. Bởi vì phương thức này giống như PEAP. Chuẩn 802. Khi bị bó buộc về thời gian chuyển giao mềm phương thức này sẽ thực hiện quay vòng và có thể hoàn thành việc cung cấp dịch vụ tên miền thông qua một số vòng lặp.11 xác thực theo chuẩn 802.1.2. EAP-TTLS và PEAP. . Đặc biệt là việc thiết lập chuyển giao mềm cho người sử dụng di động. Chúng ta sẽ lần lượt xem xét các vấn đề này sau đó sẽ tiến hành nghiên cứu cụ thể phương thức bảo mật cao hơn (còn gọi là Zero Knowledge Password Proof – ZKPP). nó sẽ giải mã các thuộc tính bảo vệ của EAP-TTLS và chèn chúng trực tiếp vào bản tin chuyển đi. Khi máy chủ TTLS gửi bản tin RADIUS tới máy chủ tại đích. Các giao thức đó là EAP-TLS. Tuy nhiên nếu mật khẩu của RADIUS hoặc CHAP sẽ được mã hoá. 3. Các chứng nhận dựa trên phương thức xác thức Ngày nay các mạng 802. EAP là chuẩn của IETF đưa ra vào tháng 3/1998 cho kết nối điểm điểm.

rồi sau đó sử dụng kết quả của phiên TLS như phương tiện vận chuyển để bảo vệ phương thức EAP. thì tại CA gốc phải thiết lập cho mỗi khách hàng này.Hình 1: Giao diện TTLS 3. Để bảo vệ EAP (PEAP) thêm lớp TLS lên trên cùng EAP giống như EAP-TTLS. • Microsoft PEAP Microsoft PEAP hỗ trợ quyền xác thực khách hàng thông qua MS-CHAP phiên bản 2. PEAP tạo khả năng xác thực cho mạng LAN không dây mà không yêu cầu xác thực. và bản tin TLS được xác thực và mã hoá sử dụng khoá đã được thông qua giữa hai bên. PEAP cung cấp dịch vụ cho phương thức EAP như sau: Bản tin xác nhận (Những kẻ tấn công sẽ rất khó khăn trong việc chèn vào bản tin EAP) • Mã hoá bản tin (Những kẻ tấn công sẽ không thể đọc và giải mã bản tin EAP) • Xác thực từ máy chủ đến khách hàng (vì thế phương thức này chỉ cần bảo vệ xác thực từ khách hàng tới máy chủ) • Trao đổi khoá (để thiết lập cho WEP động hoặc khoá TKIP) • Phân mảnh và ghép lại (cần thiết nếu bản tin EAP dài) • Thiết lập kết nối nhanh ( thông qua phiên TLS ) PEAP là cơ chế đặc biệt hữu ích để tăng tính bảo mật kế thừa từ phương thức EAP trên cơ sở các đặc tính dưới đây. PEAP Giống như chuẩn TTLS. Với khách hàng không dây để xác nhận IAS. nó giới hạn dữ liệu người dùng thông qua có chế chia miền Windows NT và hoạt động của các thư mục. người dùng cần phải mua chứng thực riêng từ CA để thiết lập IAS. Nếu .3. và một chứng thực để lưu trữ tại máy tính cục bộ. Theo phương thức này chỉ máy chủ yêu cầu khoá xác thực còn khách hàng thì không. thì không cần thêm cấu hình cho khách hàng. Tuy nhiên Windows XP bao gồm các chứng thực gốc của rất nhiều CA. Nếu chứng thực IAS của máy chủ bao gồm gốc CA. Để sử dụng Microsoft’s PEAP. Máy chủ và máy trạm trao đổi chuỗi thông tin mã hoá trong TLS. PEAP sử dụng TLS để xác thực từ máy chủ tới máy trạm nhưng không có chiều ngược lại.

1. Ví dụ để xác thực người sử dụng thông qua giao thức EAPMD5 được bảo vệ bởi PEAP cần tới 6 thủ tục giữa khách hàng và nhà quản trị mạng. Yêu cầu số lần trao đổi lớn dẫn đến trễ trên đường truyền.. Điều này yêu cầu người quản trị mạng phải trả bản quyền cho CA hoặc các phần mềm sử dụng. Giao thức trao đổi dài Hạn chế thứ hai của các phương thức dựa trên EAP đó là số giao thức trao đổi yêu cầu cả khách hàng và nhà quản lý. Trong môi trường nơi mà thiết bị không đảm bảo độ an toàn hoặc có nhiều thiết bị cá nhân sử dụng điều quan trọng là cần phải đảm bào quyền xác thực cho mỗi thiết bị. Điều này cung cấp sự bảo đảm cho người sử dụng trong quá trình dùng. Cisco PEAP Cisco PEAP hỗ trợ xác thực tại khách hàng thông qua mật khẩu một lần (OTP) và mật khẩu truy cập. . Thêm vào đó khách hàng Cisco PEAP có thể bảo vệ việc nhận dạng tin cho đến khi mã hoá đường hầm TLS được thiết lập. Điều này kéo theo giá cả tăng. Ngoài ra còn chi phí bảo trì vận hành.. Các vấn đề với phương thức xác thực Mặc dù có rất nhiều ưu điểm nhưng cũng có một số vấn đề với các phương thức chứng thực dựa trên EAP.4. danh sách các thiết bị huỷ bỏ trên mạng. Điều này cho phép hỗ trợ cơ sở dữ liệu từ người quản lý như là bảo mật RSA và cũng hỗ trợ cho cơ sở dữ liệu về mật khẩu truy nhập như LDAP.4. Phương thức EAP-TLS yêu cầu tất cả các thiết bị của người sử dụng phải được chứng thực. Smart card đó là cách người dùng có thể mang theo mình nhưng chúng cũng không thuận tiện vì yêu cầu tất cả các thiết bị ghép nối đi theo. Khi việc chứng thực được lưu trên thiết bị người sử dụng thì thiết bị đó cần đảm bảo độ an toàn hơn thiết bị cá nhân thông thường.2.người sử dụng mua chứng thực IAS cho Windows XP mà không có CA thì họ phải thiết lập tên khách hàng không dây. 3.4.3. 3. Bởi vì trễ trong việc xác thực là vấn đề đặc biệt cho người sử dụng di động khi di chuyển từ vị trí này đến vị trí khác hoặc yêu cầu chuyển giao. Xác thực thiết bị người dùng yêu cầu Smart Card Đây là vấn đề thứ ba cần quan tâm. Giá cho việc quản trị Tất cả các phương thức đều yêu cầu phải có khoá xác thực được nhận dạng bởi khách hàng.4. 3. Tiếp theo mỗi thiết bị truy cập mạng phải được cấu hình để nhận được quyền xác thực và CA. 3. Novell NDS và Microsoft ..

ở đây kẻ tấn công có thể lựa chọn ngẫu nhiên từ bảng từ điển đã lấy được các mật khẩu có thể .EAP (Extensible Authentication Protocol) . Nguyễn Hữu Phát . khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích hạn chế việc lựa chọn gói tin để giải mã từ bên ngoài.Chúng bị tấn công dựa trên bảng từ điển còn lưu lại.Phương thức bảo mật cho mạng không dây 802. có nghĩa là cả người dùng và điểm truy cập đều phải xác thực trước khi truy cập mạng.1. Bởi vì LEAP là giao thức của Cisco nên nó chỉ được sử dụng cho điểm truy cập của Cisco. Điều này tạo sự thuận lợi cho việc vận hành bảo dưỡng các thiết bị Cisco và các giao thức bao gồm cả LEAP. Việc thay đổi . Cisco CCX (Chương trình mở rộng tương thích của Cisco) sự chắc chắn giữa cơ sở hại tầng mạng không dây Cisco Aironet và các thiết bị người dùng từ công ty thứ ba. LEAP cũng thêm một mức bảo mật khác cho mạng thông qua việc xác thực các kết nối trên toàn mạng trước khi cho phép các gói tin đến các thiết bị không dây. Việc xác thực lẫn nhau nhằm mục đích chống lại sự truy cập trái phép vào mạng.11 (Phần 2) 2:36. Khi một khoá mới được phát ra thông qua LEAP sử dụng sự chia sẻ bí mật giữa người sử dụng và điểm truy cập. Cisco LEAP dựa trên cơ sở tên và mật khẩu. 06/11/2007 EAP (Extensible Authentication Protocol) . LEAP Với Cisco’s LEAP. 1. 1. Phương thức xác thực yêu cầu mật khẩu Mặc dù phương thức xác thực bằng mật khẩu có nhiều thuận tiện hơn phương thức xác thực bằng phần cứng nhưng chúng vẫn có khả năng bị tấn công. LEAP và Cisco CCX LEAP là giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau. ở đây kẻ tấn công có thể lựa chọn ngẫu nhiên từ bảng từ điển đã lấy được các mật khẩu có thể .11 (Phần 2) Mặc dù phương thức xác thực bằng mật khẩu có nhiều thuận tiện hơn phương thức xác thực bằng phần cứng nhưng chúng vẫn có khả năng bị tấn công.Chúng bị tấn công dựa trên bảng từ điển còn lưu lại.Phương thức bảo mật cho mạng không dây 802.Thiên Phái 1.2.

Chúng ta sẽ sử dụng phương thức mật khẩu cao khi đề cập tới họ phương thức này. Phương thức xác thực mật khẩu cao Trên cơ sở giá cả và sự bất tiện trong việc xác thực dựa trên phần cứng. Vấn đề cơ bản của phương thức này đó là sự trao đổi khoá Diffie-Hellman. Với SPEKE. Đặc tính bảo mật của SPEKE bao gồm : • • • • • • Cao hơn. Yêu cầu của việc sử dụng . Với người thứ ba. Trao đổi khoá Diffie-Hellman đặt giữa web và người dùng trực tuyến ví dụ để mã hoá thông tin cá nhân như số card. Khi mật khẩu hợp lệ. 1. không giới hạn chiều dài khoá Bảo vệ khỏi sự tấn công off-line Người dùng và máy chủ có sự xác thực đồng thời Không yêu cầu thêm về cơ sở hạ tầng cho bảo mật Không yêu cầu xác nhận về văn bản giữa người dùng và nhà quản trị mạng Hoàn toàn sử dụng mật mã cho mật khẩu chiều dài nhỏ 2.4. Nếu khách hàng và người buôn bán không bao giờ hoàn thành công việc trước đó thì họ sẽ đồng ý mã hoá khoá để người thứ ba không thể can thiệp vào để tìm kiếm thông tin. SPEKE sẽ dùng các mật khẩu chia sẻ giữa các thiết bị. thậm chí mật khẩu ngắn cũng bảo vệ khỏi sự tấn công. Phương thức này đạt được tính xác thực cao thông qua mật khẩu ngắn gọn và dễ nhớ. SPEKE sử dụng phương thức xác thực chuỗi các ký hiệu 0 (ZKPP) để truyền mật khẩu điều này bảo vệ thông tin khỏi sự truy cập trái phép nếu không sử dụng đúng giao thức. bản tin SPEKE sẽ giống như một số ngẫu nhiên và không thể xác định được mật khẩu là gì. khoá cá nhân sống trong một thời gian dài. 1. Do vậy sẽ không cần bất kỳ khoá công cộng. Các phần của SPEKE thực hiện tính toán các bản tin. Đặc tính nổi trội thêm vào của SPEKE là việc xác định khoá nhờ tính toán từ khoá công cộng. rồi sau đó xác định mật khẩu cho các thiết bị. Bởi vì.3. các chuyên gia bảo mật đã phát triển một họ các phương thức bảo mật dựa trên mật khẩu.cặp khoá bí mật và xác thực người sử dụng cho phép tăng tính bảo mật cho dữ liệu không dây. Lợi ích cơ bản của phương thức này đó là hai bên có thể cung cấp cho nhau các vấn đề bảo mật mà không sợ bên thứ ba can thiệp vào. Một khoá Diffie-Hellman cho phép hai bên tạo ra các khoá mã hoá cho phép người quan sát có thể xem toàn bộ phiên giao dịch nhưng không thể học theo. Tiềm năng của SPEKE Phương thức SPEKE sử dụng một chuỗi bản tin ngẫu nhiên để trao đổi thông tin giữa các thiết bị. SPEKE tạo ra mật khẩu dựa trên quyền xác thực cao và an toàn hơn.

Mật khẩu được thay đổi chắc chắn mà không sợ người thứ ba can thiệp và không cần kênh TLS. SPEKE và LEAP Cisco LEAP đó là giao thức chỉ được sử dụng trong điểm truy cập của Cisco. sản phẩm và thị trường cạnh tranh. Điều này cung cấp tính mềm dẻo tối đa cho các loại mạng tích hợp không sử dụng cơ sở hạ tầng của Cisco WLAN . Tuy nhiên SPEKE không yêu cầu chứng thực văn bản và cung cấp xác thực đồng thời.1x ) để nhận được mức xác thực giống nhau và có thê xây dựng cho các thiết bị. Sự phá vỡ bảo mật như lấy trộm thông tin. 3. Trong bảng 1. Nó có nguồn gốc từ EAP. Xác thực lẫn nhau yêu cầu giữa người dùng EAP và máy chủ.Để thực hiện SPEKE. cung cấp xác thực lẫn nhau giữa người dùng và máy chủ. Như bảng 1. như khả năng bảo vệ và tăng tính kế thừa. phá huỷ dữ liệu và nghẽn đứt mạng có thể tốn kém. và cơ sở dữ liệu mở rộng hỗ trợ cho LDAP/NDS. SPEKE đó là điểm truy cập độc lập và làm việc theo điểm truy cập của bất kỳ chuẩn 802. Hầu hết các cuộc tấn công đều bị bỏ qua và nhà quản trị dễ gặp tổn thất. chứng nhận. PEAP mã hoá sự trao đổi giữa người dùng EAP và máy chủ. bởi vì người dùng có thể lấy từ trang web hoặc trên đĩa CD với điểm truy cập. và việc bảo mật được bảo đảm bởi kênh TLS. chúng ta so sánh một vài họ các phương thức EAP mà chúng ta đã xem xét tổng quan ở trên gồm: tính kế thừa. SPEKE có thể thực hiện dễ dàng với SOHO và môi trường cao nơi mà người phân phối có thể điều khiển và quản lý.1x nào. Các đặc tính yêu cầu có thể tìm thấy trong đoạn hai ở cột bên trái. Việc lựa chọn mức bảo mật cao nhất cần sự đầu tư tốt bởi vì việc bảo mật cần kinh phí tương đối. Phương thức SPEKE đặc biệt thích hợp cho các môi trường nơi mà các chứng nhận không thực tế như là SOHO. phương thức cũ EAP như EAP-MD5 không thích hợp cho xác thực mạng không dây bởi vì chúng không thoả mãn các yêu cầu đặt ra. Người sử dụng SOHO sẽ tìm SPEKE dễ dàng thiết lập và giá cả thấp. Cả phương thức chứng thực và mật khẩu cao đều thoả mãn các yêu cầu cơ bản đặt ra và có thể sử dụng trên mạng không dây. mật khẩu và mật khẩu cao. người sử dụng hình thành việc thiết lập một lần khi thiết lập cấu hình truy cập mạng lần đầu tiên. Kết luận Bảo mật mậng không dây giúp giảm chi phí về giá cả. Nhà cung cấp vận chuyển và dịch vụ sẽ tìm thấy sự mềm dẻo của SPEKE do nó không đòi hỏi cơ sở hạ tầng. . Chúng ta sẽ không xem xét liệu nhà quản trị sẽ cung cấp bảo mật thế nào mà khi nào sẽ áp dụng. Phương thức xác nhận gồm một vài đặc tính đặc biệt có giá trị trong một số môi trường. khi mật khẩu thay đổi sự hỗ trợ cũng hết hiệu lực. Tuy nhiên phương thức mật khẩu dễ dàng thiết lập cho nhà quản trị. SPEKE và PEAP EAP được bảo vệ (PEAP) hỗ trợ xác thực một lần. Không cần có cơ sở hạ tầng (không giống như TLS và chuẩn xác thực 802.

PEAP) (SPEKE…) (EAP-MD5) cao Yêu cầu bắt buộc Tính tương hỗ Không Có Có Có Tự bảo vệ Có Có Có Có Khả năng Chỉ với chuỗi chống tấn công dài. Mật khẩu EAP kế thừa Mật khẩu(LEAP) TTLS. phát ngẫuCó từ điển nhiên Không Có Phát sinh khoá Không bảo vệ phiên Có Có Có Độ an toàn Không có Cao Yếu Cao Yêu cầu nên có Quyền dùng người Không có vớiKhông có nếuCó chuỗi mật khẩuchứng nhận lưu dài.phát sinhtrên ổ cứng Có .Phương thức Chứng chỉ (TLS.

cần phảiCó đi về nơi xuất phát Không No.ngẫu nhiên Bảo mật trước N/A Không có với việc sử dụngCó bình thường Có Nhanh chóng Có và hiệu quả Không Có Có Giả cả bảo trì Có thấp Không Có Có Thuận tiện cho Có người dùng Chỉ xác nhận khi Có lưu trên đĩa Có Hỗ trợ quảng Có bá AP Có Không Có Yêu cầu có thể có Yếu tố kế thừa N/A Có Không Không Xác thực nhanh lại Không. must go to .

Người sử dụng sẽ gửi tín hiệu trả lời như hình 2. nó tìm kiểm người sử dụng được uỷ thác truy cập và khôi phục lại mật khẩu. Từ điểm truy cập đó. Trong phần dưới đây chúng ta sẽ xem xét quá trình xác thực giữa hai bên. Hàm mũ này chỉ có thể tính theo một chiều rất khó có thể tìm được hàm ngược của nó. Người sử dụng tạo ra một số lớn “a” và tính toán A = p2a mod m Tiếp theo người sử dụng tính khoá K = Ba mod m . Trong trường hợp này đó là máy chủ xác thực đóng vai trò kiểm tra.home domain Bảng 1 : So sánh các phương thức EAP 4. Phụ lục A Phương thức SPEKE dựa trên việc mã hoá theo hàm mũ với số mũ lớn. Với những người sử dụng và người xác thực sẽ làm việc dựa trên khoá mã chung K. Mật khẩu p dùng cho cả hai người thì thường rất ngắn và dễ nhớ. Để làm được điều này mỗi người tham gia đều phải có một số ngẫu nhiên rất lớn.Người xác thực gửi m và B tới người sử dụng trong bản tin yêu cầu EAP-SPEKE. Mỗi bên có một giá trị riêng của mình. Người sử dùng dùng một giá trị a và người kiểm tra dùng một giá trị b. Trong mạng không dây người kiểm tra xác thực đặt tại điểm truy nhập AP. Hình 2: Thủ tục hỏi đáp EAP Khi người xác thực nhận được EAP yêu cầu. Nếu máy chủ xác thực có liên quan điểm truy cập sẽ chuyển thông tin yêu cầu EAP. máy chủ xác thực sẽ thông qua và kết nối quá trình trao đổi EAP-SPEKE . Tiếp theo người xác thực sẽ tạo ra một số lớn b và tính toán B = p2b mod m với B là giá trị trung gian và m là số nguyên tố lớn. Tuy nhiên thường có người thứ ba xen vào. Điểm truy cập loại bỏ việc trao đổi EAP thông qua việc gửi yêu cầu xác nhận EAP tới người sử dụng.

Ngược lại bên xác thực sẽ gửi yêu cầu thứ hai EAP-SPEKE tới người sử dụng như hình 4. “A” là chuỗi ký tự ASCII chứa một ký tự hoa A và | là toán tử. Hình 4: Thủ tục thứ hai trong EAP Khi người sử dụng nhận được yêu cầu thứ hai EAP-SPEKE nó sẽ tính toán từ giá trị nhận được TestBK = h (“B” | B | K) Người sử dụng so sánh TestBK với giá trị ProofBK nhận được từ bên xác thực. Tiếp theo bên xác thực tính toán TestAK = h (“A” | A | K) và ProofBK = h (“B” | B | K) Bây giờ bên xác thực có thể so sánh TestAK và giá trị ProofAK . một hàm một chiều .ở đây K là khoá của chủ và B là giá trị nhận được tử người xác thực. h là độ bảo mật. Người sử dụng sẽ gửi EAP tới bên xác thực chứa A và ProofAK. Hình 3: Thủ tục thứ nhất trong EAP Khi bên xác thực nhận được yêu cầu EAP-SPEKE đầu tiên nó sẽ tính toán K = Ab mod m ở đây K là khoá của máy chủ và Alag giá trị nhận được. Ngược lại người sử dụng sẽ trả lại tín hiệu EAP-SPEKE rỗng tới bên xác thực.Cuối cùng người sử dụng tính toán ProofAK = h (“A” | A | K) với ProofAK là hàm kiểm tra A và K. Nếu chúng khác nhau thì người sử dụng sẽ bỏ qua phiên này. . Cặp EAP này chỉ ra trên hình 3. Nêu chúng khác nhau thì tín hiệu xác thực là sai.

IEEE 802. Do nó yêu cầu xác thực tại máy chủ phải có chứng nhận nó cung . Cũng không thể từ ProofAK hoặc ProofBK để tính ra K bởi h là hàm một chiều. CA .Khi bên xác thực nhận được tín hiệu rỗng nó sẽ trả về bản tin EAP báo hiệu kết nối thành công. EAP-TLS . Nó ngăn cản việc kẻ tấn công không thể tính toán được A hoặc B.1x. Khoá chủ K bản thân nó không được sử dụng như khoá WEP hoặc TKIP để mã hoá dữ liệu cho mạng không dây.11 Standards .11. Điều này làm cho kẻ tấn công không thể tính được khoá K ngay cả khi biết p.quyền xác thực: đó là việc phát ra tín hiệu xác thực số (như X. CRL – danh sách các xác thực huỷ bỏ .là cấu trúc dữ liệu liệt kê xác thực dạng số mà không còn hiệu lực nữa. Tài liệu tham khảo . Một chứng nhận chỉ yêu cầu tại máy chủ xác thực. Nó chứa sóng vô tuyến của bộ truyền và nhận. Chú ý rằng nếu p được thoả thuận.(Lightweight Extensible Authentication Protocol) – là đặc tính của Cisco loại EAP.509) và bảo đảm an toàn dữ liệu trong xác thực. EAP-LEAP . kẻ tấn công biết được cũng không thể tìm ra khoá K. Nó có thể là quyền xác thực 802.509.điểm truy cập: mạng truy cập cho chuẩn không dây 802.1x và RADIUS. EAP-PEAP cũng hỗ trợ việc ẩn dấu hiệu nhận dạng để tránh việc có kẻ mạo danh thiết lập kết nối trong pha một và hai. Việc sử dụng TLS. Nó được thiết kế cho mạng không dây sử dụng quyền xác thực lẫn nhau và cho các khoá của Web động . EAP – Giao thức xác thực mở rộng – giao thức sử dụng giữa người dùng và phía xác thực như 802. Để tìm ra khoá K anh ta cần phải biết giá trị a và b . EAP-PEAP .(Protected Extensible Authentication Protocol) – đây là giao thức xác thực hai pha giống như EAP-TLS.(Transport Layer Security) lớp giao vận bảo mật – đây là loại xác thực EAP dựa trên chuẩn X. Chú ý khoá K được tính toán độc lập tại mỗi bên. Trong pha đầu tiên máy chủ thực hiện xác thực sử dụng chuẩn X.509. Nó làm việc dựa trên hàm mũ.IEC tutorials Giải thích thuật ngữ AP . một kênh bảo mật sẽ được thiết lập thông qua bất kỳ loại giao thức EAP nào có thể được sử dụng trong suốt quá trình xác thực ở pha hai. Những khoá này nhận được từ K sử dụng phép lấy đạo hàm.đây là những số ngẫu nhiên rất lớn.

Trong pha đầu tiên máy chủ xác thực sử dụng chứng nhận X. Dịch vụ này xác định liệu người dùng có đủ quyền để truy cập không.1X gồm một số đặc tính hố trợ cho điều khiển truy cập cổng trong mạng LAN không dây (WLANs). SPEKE bảo vệ mật khẩu và thông tin trong suốt quá trình xác thực cho phép khách hàng lựa chon mô hình mật khẩu.Chuẩn IEEE 802. EAP-TTLS cũng hỗ trợ có chế xác thực ẩn thông qua kênh TLS trong pha một nhưng không trong pha hai.cấp khả năng xác thực lẫn nhau để ngăn chặn việc truy cập từ người trung gian. ZKPP .Wired Equivalent Privacy – là giao thức thiết lập bởi chuẩn IEEE 802. SPEKE (Simple Password-authenticated Exponential Key Exchange) –là phương thức xác thực dựa trên trao đổi khoá Diffie-Hellman.Temporal Key Integrity Protocol là giao thức theo chuẩn IEEE 802. Nó có thể thực hiện như phương thức EAP và không yêu cầu bất kỳ khoá PKI hoặc cơ sở hạ tầng.trong 802. với mật khẩu rất ngắn. EAP-TTLS có ưu điểm là thông qua EAP-TLS giao thức chỉ cần xác thực tại máy chủ.Zero Knowledge Password Proof – là quá trình nơi mà phương thức xác thực mật khẩu cao có thể thiết lập giữa hai bên mỗi bên chỉ biết được mật khẩu của mình và người thứ ba không thể nghe trộm được. TKIP .11i thay thế cho WEP. Kể từ khi xuất bản IEEE 802.1X xác định cơ chế dựa trên điều khiển truy cập các cổng trong mạng sử dụng các đặc tính vật lý của cơ sở hạ tầng mạng LAN IEEE 802. WEP đã chứng minh việc bẻ khoá dễ dàng. Sau khi xác thực thành công đường kết nối bảo mật TLS được thiết lập để giao tiếp. Nó cũng có khả năng chuyển các yêu cầu tới máy chủ RADIUS kế thừa. Nó cung cấp phương thức xác thực và quyền ghép các thiết bị vào cổng mạng LAN đó là đặc tính kết nối điểm điểm. Nó được xác nhận bởi khối Wi-Fi cho việc sử dụng trong việc truy cập bảo vệ không dây (WPA). . Một số khái niệm 802.trong 802.509.1x. WEP . một kênh bảo mật được thiết lập sử dụng giao thức xác thực PPP mang tính kế thừa như PAP. SPEKE không yêu cầu chứng nhận tại máy chủ và người dùng. Việc sử dụng TLS. authentication server .1x. Đặc tính này gồm các khả năng cho điểm truy cập mạng không dây để đạt được khó thông tin và xác thực thành công . authentication – Quá trình nhận dạng thiết bị gắn kèm.11-1999. CHAP và MS-CHAP. Các thông số 802. EAP-TTLS . authenticator . là toàn bộ điểm kết thúc điểm điểm trong mạng LAN tạo điều kiện thuận tiện cho quá trình xác thực trên đường kết nối.11 giữa người sử dụng và điểm truy cập.(Tunneled TLS) – là giao thức xác thực loại EAP gồm hai pha.1X .

trong 802." Giao thức này cho phép hai người sử dụng trao đổi khoá bảo mật mà không sợ bất kỳ sự tấn công nào. rogue access point . . user .1x. strong password authentication methods .một người hoặc phần mềm truy cập các dịch vụ mạng. Thực hiện mạng nội bộ của phương thức xác thực SPEKE sử dụng hàm một chiều cho mật khẩu.authorization – quá trình cho phép truy cập vào các dịch vụ của mạng. Diffie-Hellman key exchange – Giao thức khoá Diffie-Hellman được phát triển bởi Diffie và Hellman năm 1976 và xuất bản trong bài báo "New Directions in Cryptography.một hệ thống hoặc thiết bị nơi mà người sử dụng truy cập các dịch vụ mạng. là toàn bộ một điểm kết thúc điểm điểm trong mạng LAN được sử dụng xác thực. user station .bất kỳ họ phương thức xác thực nào sử dụng phương pháp này đều sử dung mật khẩu rất ngắn.bất kỳ điểm truy cập nào được hoạt động bởi một vài người thứ ba . Điều này có thể bảo vệ khỏi bất kỳ sự tấn công từ bên ngoài nào. supplicant .