Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Вторая составляющая: алгоритм аутентификации

Стандарт 802.11i и WPA обеспечивают механизм, поддерживающий работу алгоритма аутентификации с целью обеспечения связи между клиентом, точкой доступа и сервером аутентификации с использованием механизма базовой аутентификации стандарта 802.1X.

Ни стандарт 802.11i, ни WPA не регламентируют применение особого алгоритма аутентификации, но оба рекомендуют использовать алгоритм, который поддерживал бы взаимную аутентификацию, генерацию динамических ключей шифрования и аутентификацию пользователя.

На рис. 6.6 представлены сообщения, которыми обмениваются клиент, точка доступа и AAA-сервер, но быстрее разобраться в этом процессе поможет конкретный пример.

В данном разделе рассматривается работа алгоритма EAP-Cisco. Этот алгоритм, более известный как Cisco LEAP, представляет собой простой и эффективный алгоритм, разработанный специально для использования в беспроводных LAN.

На рис. 6.6 проиллюстрирована работа EAP-Cisco. В нижеследующей последовательности выполняемых действий подробно описывается каждая транзакция.

1. Клиент получает возможность доступа к среде и посылает точке доступа сообщение EAP-Start, инкапсулированное по стандарту 802.1X.

2. Точка доступа блокирует клиентский порт, позволяя передавать по сети только трафик стандарта 802.1X.

Рис. 6.6. Процесс аутентификации в соответствии с алгоритмом EAP-Cisco

3. Точка доступа посылает клиенту сообщение с EAP-запросом на идентификацию (EAP-Request Identity), инкапсулированным по стандарту 802.1X.

4. Клиент отвечает EAP-ответом (EAP-Response), инкапсулированным по стандарту 802.1X и содержащим пользовательское имя клиента.

5. Точка доступа переправляет это пользовательское имя, инкапсулированное в пакет запроса к серверу RADIUS на доступ (RADIUS ACCESS-REQUEST), на сервер аутентификации

6. Сервер RADIUS создает соответствующее алгоритму EAP-Cisco сообщение с вызовом (challenge message) и посылает его, инкапсулированное в пакет ответа сервера RADIUS на просьбу доступа (RADIUS ACCESS-RESPONSE), клиенту (через точку доступа).

7. Точка доступа перенаправляет вызов EAP-Cisco клиенту, инкапсулированный во фрейм стандарта 802.1X.

8. Клиент обрабатывает вызов в соответствии с алгоритмом EAP-Cisco и посылает ответ на вызов обратно серверу RADIUS через точку доступа.

9. Точка доступа инкапсулирует ответ на вызов в пакет запроса к серверу RADIUS на доступ (RADIUS ACCESS-REQUEST) и перенаправляет его на сервер RADIUS.

10. Клиент посылает вызов в соответствии с алгоритмом EAP-Cisco на сервер RADIUS (через точку доступа), чтобы аутентифицировать сеть. Этот вызов инкапсулируется во фрейм стандарта 802.1X.

11. Точка доступа инкапсулирует вызов EAP-Cisco в пакет ответа серверу RADIUS на просьбу доступа (RADIUS ACCESS-RESPONSE).

12. Сервер RADIUS посылает ответ на вызов в соответствии с алгоритмом EAPCisco обратно клиенту (через точку доступа), инкапсулированный в пакет ответа сервера RADIUS на просьбу доступа (RADIUS ACCESS-RESPONSE).

13. Точка доступа инкапсулирует ответ на вызов EAP-Cisco во фрейм стандарта 802.1X и посылает его клиенту.

14. Сервер RADIUS генерирует динамический ключ шифрования (dynamic encryption key) на основе пароля пользователя и некоторой специфической для сессии обмена информации.

15. Клиент генерирует такой же динамический ключ шифрования. Клиент способен локально генерировать такой же динамический ключ шифрования, поскольку он имеет доступ к той же самой информации.

16. Сервер RADIUS посылает этот ключ точке доступа, инкапсулированный в пакет RADIUS ACCEPT (принят сервером RADIUS). Пакет RADIUS ACCEPT указывает точке доступа, что процесс аутентификации завершился успешно.

17. Точка доступа устанавливает динамический ключ для данного клиента, инкапсулирует сообщение "EAP-аутентификация завершена успешно" (EAP-Success) во фрейм стандарта 802.1X и отправляет это сообщение клиенту.

18. Точка доступа переводит клиентский порт в состояние, допускающее перенаправление трафика.

19. Клиент открывает свой порт (при условии успеха завершения множественной аутентификации).

Алгоритм EAP-Cisco является патентованным алгоритмом, который работает поверх алгоритма базовой открытой аутентификации. По этой причине детали алгоритма EAP-Cisco, касающиеся содержимого генерируемых вызова и ответа на вызов, а также распределения ключей шифрования, не могут быть разглашены. Алгоритм EAP-Cisco перевыполняет требования, предъявляемые к защищенной аутентификации пользователя в беспроводной LAN, за счет применения следующих мер.

· Аутентификация, ориентированная на пользователя.

· Взаимная аутентификация.

· Динамические ключи шифрования.

Если какому-либо пользователю нужно запретить доступ к сети, достаточно удалить его учетную запись на централизованном сервере аутентификации. В результате пользователь не сможет успешно пройти процесс аутентификации, а его устройство - сгенерировать правильный динамический ключ шифрования.

Ниже приведена характеристика других протоколов аутентификации.

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) - это стандарт IETF, который обеспечивает аутентичность путем двустороннего обмена цифровыми сертификатами.

Protected EAP (PEAP) - пока предварительный стандарт (draft) IETF. Он предусматривает обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю.

Lightweight EAP (LEAP) - фирменный протокол Cisco Systems. "Легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует определенной разумности при генерации паролей. В противном случае, как и любой другой способ PreShared Key, подвержен атакам по словарю.

EAP - Flexible Authentication via Secure Tunneling (EAP-FAST) - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Требует от администратора минимума усилий для поддержки. Принцип его работы схож с LEAP, но аутентификация проводится по защищенному туннелю.

<== предыдущая лекция | следующая лекция ==>
Первая составляющая: базовая аутентификация | Третья составляющая: алгоритм защиты данных
Поделиться с друзьями:


Дата добавления: 2014-01-14; Просмотров: 461; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.017 сек.