Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Bài tập lớn môn học bảo mật các dịch vụ mạng chủ đề số 14 tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn wpa3 enterpise

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (704.95 KB, 24 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA MẬT MÃ


BÁO CÁO BÀI TẬP LỚN MÔN HỌC
BẢO MẬT CÁC DỊCH VỤ MẠNG
Chủ đề số 14

TÌM HIỂU CƠ CHẾ BẢO MẬT DỮ LIỆU
TRONG CHUẨN WPA3 ENTERPISE

Giảng viên: TS. Nguyễn Văn Nghị
Thực hiện: Sinh viên lớp TC23A
1. Phan Thanh Tịnh
2. Nguyễn Tấn Thương
3. Bùi Quang Sang
4. Nguyễn Trọng Duy

HÀ NỘI, 2022


Ý KIẾN CỦA GIẢNG VIÊN


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

MỤC LỤC
Danh mục kí hiệu và từ viết tắt..............................................................................1
Danh mục CÁC BẢNG...........................................................................................2
DANH MỤC CÁC HÌNH VẼ.................................................................................3
Lời mở đầu...............................................................................................................4


Tài liệu tham khảo...................................................................................................19

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT
Viết tắt

Giải thích

AES

Advandced Encryption Standard

TKIP

Temporal Key Integrity Protocol

PSK

Pre-Shared Key

EAP

Extensible Authentication Protocol

RADIUS


Remote Authentication Dial in User Service

AP

Access Point

CCMP

Counter Mode Cipher Block Chaining Message Authentication Code
Protocol

SSID

Service Set Indentifer

PMK

Pair-wise Master Key

PAE

Port Access Entity

PTK

Pair-wise Transient Key

GTK

Group Transient Key


STA

Wireless station

IANA
ECC

Elliptic Curve Cryptography

FFC

Finite Field Cryptography

KDF

Key Derivation Function

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.1


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

DANH MỤC CÁC BẢNG
Bảng 1.1: Bảng biểu diễn …………………………………………………5
(danh mục làm tự động giống mục lục)


Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.2


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Hình biểu diễn …………………………………………………5
(danh mục làm tự động giống mục lục)

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.3


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

LỜI MỞ ĐẦU
Trước sự phát triển mạnh mẽ của công nghệ thơng tin trên tồn cầu cùng với
sự thành cơng bước đầu của cuộc cách mạng công nghiệp 4.0, chúng ta đã và đang
được sống, làm việc trong một thời kỳ mới - thời kỳ “kỷ nguyên số” .
Ngày nay, hầu hết mọi người đều ít nhất có sử dụng 01 thiết bị di động có
thế kết nối với mạng 3G, 4G, 5G, Wi-Fi để trao đổi thông tin, làm việc, mua sắm
và ngân hàng trực tuyến… Với nhu cầu đó, Wi-Fi dần xuất hiện khắp mọi nơi từ

gia đình, trường học đến các địa điểm công cộng: quán cà phê, nhà hàng, khách
sạn... Vì vậy, Wifi được xem là một trong những cầu nối cho tất cả mọi người liên
kết với nhau, trao đổi thông tin bất cứ khi nào và bất kỳ nơi đâu.
Tất cả những điều đó đặt ra cho chúng ta một nhiệm vụ mới, đó là bảo vệ bí
mật Wi-Fi địi hỏi phải được tồn tại. Vì vậy, bảo mật mạng Wi-Fi để giữ bí mật và
sự riêng tư của người dung đã được ra đời. Trong bài báo cáo ngày hôm nay, chúng
tôi sẽ trình bày và thảo luận nội dung “Tìm hiểu cơ chế bảo mật dữ liệu trong
chuẩn WPA3 Enterprise”.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.4


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

CHƯƠNG 1. GIỚI THIỆU VỀ WIFI
1.1. Giới thiệu về Wi-Fi
1.1.1. Khái niệm
Wi-Fi (Wireless Fidelity) là một họ các giao thức mạng không dây, dựa trên
các tiêu chuẩn của họ IEEE 802.11 , được sử dụng rộng rãi trong cho việc kết nối
không dây của thiết bị trong mạng nội bộ và việc kết nối Internet, cho phép các
thiết bị điện tử trong phạm vi ngắn chia sẻ dữ liệu thông qua sóng vơ tuyến.
1.1.2. Lịch sử ra đời
Vic Hayes được gọi là "cha đẻ của Wi-Fi" vì ơng chủ trì ủy ban IEEE đã tạo
ra các chuẩn 802.11 vào năm 1997. Chuẩn 802.11 được thành lập vào năm 1997.
Sau đó, các cải tiến về băng thông mạng được thêm vào các chuẩn 802.11. Chúng
bao gồm 802.11a, 802.11b, 802.11g, 802.11n, 801.11ac…

Theo đó, một đặc điểm kỹ thuật cơ bản cho WiFi đã được thiết lập, cho phép
hai megabyte mỗi giây truyền dữ liệu không dây giữa các thiết bị. Điều này đã
châm ngòi cho sự phát triển trong các thiết bị nguyên mẫu (bộ định tuyến) để tuân
thủ theo chuẩn IEEE802.11 và vào năm 1999, WiFi đã được giới thiệu để sử dụng
tại nhà.
1.1.3. Tần số WiFi (qua các giai đoạn)
WiFi sử dụng sóng điện từ để liên lạc dữ liệu chạy ở hai tần số chính:
2.4Ghz (802.11b) và 5Ghz (802.11a). Trong nhiều năm, 2.4Ghz là lựa chọn phổ
biến cho người dùng WiFi, vì nó hoạt động với hầu hết các thiết bị chính thống và
ít tốn kém hơn 11a.
1.1.4. Phạm vi
Wi-Fi hoạt động trên băng tần 2,4 GHz truyền thống lên đến 150 feet (46 m)
trong nhà và 300 feet (92 m) ở ngoài trời. Các bộ định tuyến 802.11a cũ hơn chạy
trên băng tần 5 GHz đạt xấp xỉ một phần ba khoảng cách này. Các bộ định tuyến
802.11n và 802.11ac mới hơn hoạt động trên cả hai băng tần 2,4 GHz và 5 GHz
khác nhau về khả năng hiển thị tương tự.
Các vật cản vật lý trong nhà như tường gạch và khung kim loại hoặc vách
ngoài làm giảm phạm vi của mạng WiFi bằng 25% trở lên. Do các định luật vật lý,
kết nối WiFi 5 GHz dễ bị chướng ngại vật hơn 2,4 GHz.
1.2. Các chuẩn bảo mật Wi-Fi cũ (WEP, WPA, WPA2)
Tất cả dữ liệu được truyền qua mạng Wi-Fi là các kênh truy cập mở mang
thông tin được trao đổi trong mạng Wi-Fi được chia sẻ cho những người dùng khác
nhau của các mạng khác nhau. Tuy nhiên, dữ liệu này phải được trao đổi giữa
những người sử dụng mạng Wi-Fi. Do đó, các vấn đề về bảo mật đã trở thành một
Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.5



37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

chủ đề nóng của các nghiên cứu và điều tra. Mahmoud Khasawneh, Izadeen
Kajman, Rashed Alkhudaidy và Anwar Alt Bắt đầu từ năm 1990, nhiều giao thức
bảo mật không dây đã được develo áp dụng, nhưng khơng có giao thức nào trong
số đó có thể được coi là giao thức tốt nhất từng là những mối đe dọa bảo mật khác
nhau phát sinh hàng ngày với các lỗ hổng mới và nâng cao dữ liệu và ứng dụng
của chúng ta.
1.2.1. WEP (Wired Equivalent Privacy)
Quyền riêng tư tương đương có dây (WEP) lần đầu tiên được phát hành như
một phần của tiêu chuẩn IEEE 802.11 vào năm 1999. Tính bảo mật của nó được
coi là tương đương với bất kỳ phương tiện có dây nào, do đó nó có tên gọi như
vậy. WEP yêu cầu tất cả các máy khách và điểm truy cập (AP - Access point) trong
mạng phải chia sẻ tối đa bốn khóa đối xứng bí mật khác nhau. Điều này gây khó
khăn cho việc triển khai cài đặt lớn hơn, trong đó người dùng thay đổi thường
xuyên và đó là lý do tại sao hầu hết các cài đặt sử dụng một khóa bí mật duy nhất
có tên là khóa gốc.
Quy trình mã hóa WEP: WEP sử dụng bộ mã hóa dịng mã của Ron - RC4
[Stream Cipher] để bảo mật và tổng kiểm tra CRC-32 cho tính tồn vẹn. Lúc đầu,
sử dụng các khóa 40 hoặc 104 bit và vectơ khởi tạo 24 bit. WEP sử dụng thuật tốn
đối xứng, có nghĩa là hai thiết bị phải chia sẻ khóa bí mật để giao tiếp an tồn với
nhau.
Vấn đề với WEP liên quan đến việc sử dụng vector khởi tạo 24-bit, đôi khi
sẽ tự lặp lại trong quá trình truyền. Trong thế giới mật mã, ngẫu nhiên hóa và
khơng từ chối vectơ khởi tạo là điều tối quan trọng vì điều này ngăn cản việc đốn
một số văn bản nhất định trong quá trình truyền. Nếu một tin tặc bắt đầu thấy rằng
một số văn bản được mã hóa nhất định đang lặp lại chính nó, thì anh ta có thể bắt
đầu cho rằng văn bản được lặp lại là cùng một từ và giải mã tin nhắn mà khơng có
bất kỳ kiến thức nào về nội dung được chia sẻ.

WEP có một số nhược điểm lớn: nó khơng ngăn chặn việc giả mạo gói tin,
nó khơng ngăn chặn các cuộc tấn cơng phát lại, nó sử dụng RC4 khơng đúng cách,
vì các khóa được sử dụng rất yếu và có thể brute-cưỡng bức trên các máy tính tiêu
chuẩn trong vài giờ đến vài phút, nó cho phép kẻ tấn công sửa đổi một thông điệp
mà không cần biết khóa mã hóa và đã bị tấn cơng vào năm 2001 bởi Fluhrer,
Mantin và Shamir. Họ chỉ ra rằng kẻ tấn cơng có thể khơi phục khóa bí mật của
mạng bằng máy tính xách tay tiêu dùng trung bình trong khoảng thời gian trung
bình 1-2 giờ. Ngày nay, có thể khơi phục khóa bí mật trong vịng chưa đầy 60 giây.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.6


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

1.2.2. WPA (Wi-Fi Protected Access)
Do WEP khơng đủ an tồn, năm 2003, Nhóm tác vụ IEEE 802.11 đã trình
bày một giao thức mới là Wi-Fi Protected Access - WPA để khắc phục các sai sót
của WEP.
WPA là một giao thức bảo mật được thiết kế để tạo ra các mạng khơng dây
(Wi-Fi) an tồn. Nó tương tự như giao thức WEP, nhưng cung cấp các cải tiến
trong cách nó xử lý các khóa bảo mật và cách người dùng được ủy quyền.
WPA chạy trên cùng một phần cứng với WEP và chỉ yêu cầu cập nhật
chương trình cơ sở. Trong khi vẫn sử dụng mã hóa RC4, TKIP sử dụng khóa mã
hóa tạm thời thường xuyên được đổi mới, khiến khóa khó bị đánh cắp hơn và sau
đó được sử dụng để giải mã một lượng thơng tin hữu ích. Ngồi ra, tính tồn vẹn
của dữ liệu đã được cải thiện thông qua việc sử dụng cơ chế băm mạnh mẽ hơn,

Michael Message Integrity Check (MMIC). Nó cũng có thể sử dụng AES để mã
hóa nhưng khơng phải tất cả phần cứng WPA đều hỗ trợ AES.
Quy trình mã hóa WPA: Để cải thiện mã hóa dữ liệu, WPA sử dụng giao
thức TKIP (Temporal Key Integrity Protocol – Giao thức tích hợp khóa theo thời
gian) để tạo ra một khóa 128 bit cho mỗi gói gửi qua sóng vơ tuyến, khác với WEP
dùng duy nhất một khóa cho mọi gói. Thuật toán Michael được sử dụng để cung
cấp kiểm tra tính tồn vẹn của thơng điệp và cơ chế khóa lại, do đó sửa chữa các
sai sót của WEP.
- Cơ chế xác thực WPA
WPA có thể được kích hoạt trong hai phiên bản xác thực:
+ WPA-Personal: phù hợp với các văn phịng nhỏ hoặc máy tính gia đình.
WPA-Personal cịn được gọi là WPA-PSK (WPA-Pre Share key - Khóa chia sẻ
trước). Để bắt đầu giao tiếp, khóa tĩnh này được chia sẻ giữa hai bên giao tiếp.
Mấu chốt là Khóa chính ghép nối (Pairing master key - PMK) trong quy trình
TKIP phải được đặt đúng chỗ trước khi một hiệp hội có thể được thành lập. Với
WPA-PSK, từng nút WLAN được cấu hình và các thiết bị khơng dây được xác
thực với điểm truy cập bằng khóa 256-bit.
+ WPA-Enterprise: Được thiết kế cho các mạng công ty, doanh nghiệp
hoặc doanh nghiệp lớn. Doanh nghiệp WPA thiết lập xác thực 802.1x bằng Quay
số xác thực từ xa trong dịch vụ người dùng (RADIUS) và Giao thức xác thực mở
rộng (EAP- Extensible Authentication Protocol) để cung cấp xác thực mạnh hơn.
Chế độ Doanh nghiệp cung cấp các khóa mã hóa động được phân phối an toàn sau
khi người dùng đăng nhập bằng tên người dùng và mật khẩu của họ hoặc cung cấp
chứng chỉ kỹ thuật số hợp lệ. Người dùng không bao giờ thấy các khóa mã hóa
thực tế và chúng khơng được lưu trữ trên thiết bị. WPA-Enterprises cung cấp khả
Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.7



37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

năng bảo mật tuyệt vời cho lưu lượng mạng không dây. Các phương pháp EAP
khác nhau là: EAP - Giao thức xác thực mở rộng nhẹ (EAP LEAP), EAP - Xác
thực linh hoạt qua đường hầm bảo mật (EAP-FAST), EAP-Thông báo thông báo 5
(EAP-MD5), EAP- Bảo mật lớp truyền tải (EAP TLS), EAP- Bảo mật lớp truyền
tải đường hầm ( EAP TTLS), EAP- Mô-đun nhận dạng thuê bao của Hệ thống
Tồn cầu cho Truyền thơng Di động (EAP-SIM).
- Điểm yếu của WPA:
+ WPA vẫn sử dụng thuật tốn mã hóa yếu RC4 thay vì Tiêu chuẩn mã hóa
nâng cao (AES).
+ Tiện ích nguồn mở có tên Reaver có thể bỏ qua mật khẩu WPA nếu thiết
lập Wi-Fi được bảo vệ (WPS) được bật.
+ WPA dễ bị tấn công từ điển trong trường hợp cụm mật khẩu yếu.
+ Nó dễ bị tấn cơng từ chối dịch vụ (DOS).
+ Kích thước gói dữ liệu tăng lên dẫn đến truyền lâu hơn.
+ Cần thiết lập phức tạp cho WPA-doanh nghiệp.
+ Vấn đề không tương thích với phần cứng cũ.
+ Chi phí hiệu suất lớn hơn.
1.2.3. WPA2 (Wi-Fi Protected Access 2)
Một năm sau khi WPA ra đời, WPA2 được giới thiệu vào ngày 24/06/2004
(Tên gọi chính thức của WPA2 dưới dạng tiêu chuẩn của tổ chức IEEE là IEEE
802.11.i-2004). WPA2 giới thiệu một chế độ mã hóa thậm chí cịn tốt hơn kết hợp
bảo mật mạnh mẽ hơn. Tiêu chuẩn dự thảo WPA2 được xác thực vào ngày
24/6/2004 và được thiết lập vào tháng 9/2004. WPA2 là phiên bản nâng cao sử
dụng AES thay vì TKIP để khắc phục các sai sót của WPA. Đặc biệt, Thuật toán
Michael (MIC) được thay thế bằng mã xác thực tin nhắn, CCMP, được coi là hoàn
toàn an toàn và RC4 được thay thế bằng AES (Tiêu chuẩn mã hóa nâng cao).

- Thành phần của WPA2
WPA2 có hai thành phần cốt lõi để bảo mật mạng không dây LAN gồm mã
hóa (encryption) và xác thực (authentication). Thành phần mã hóa của WPA2 quy
định sử dụng AES (Advanced Encrytion Standard - Tiêu chuẩn mã hóa nâng cao).
Thành phần xác thực của WPA2 gồm hai chế độ: cho cá nhân và cho tổ chức. Chế
độ cá nhân yêu cầu sử dụng một PSK (Pre-Share Key – Khóa chia sẻ trước) và
không yêu cầu người dùng xác thực riêng rẽ. Chế độ tổ chức yêu cầu người dùng
xác thực riêng rẽ dựa trên tiêu chuẩn IEEE 802.1X và sử dụng giao thức EAP
(Extensible Authentication Protocol - Giao thức xác thực mở rộng) nhằm đảm bảo
Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.8


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

các chương trình xác nhận bởi WPA hoặc WPA2 có thể trao đổi, liên thông với
nhau. Chế độ tổ chức yêu cầu các triển khai về phần cứng/phần mềm gồm:
+ Lựa chọn các kiểu EAP (Extensible Authentication Protocol - Giao thức
xác thực mở rộng) sẽ hỗ trợ cho các trạm, điểm truy cập và cho các máy chủ xác
thực.
+ Lựa chọn và triển khai các máy chủ xác thực RAIDUS (Remote
Authentication Dial in User Service - Xác thực từ xa cho dịch vụ người dùng) dựa
trên các máy chủ xác thực.
+ Phần mềm WPA2 được nâng cấp cho điểm truy cập và máy khách.
WPA2 thiết lập một kịch bản truyền thông bảo mật trong 04 giai đoạn. Tại
giai đoạn đầu tiên, AP (Access Point – Điểm truy cập) và máy khách sẽ thoả thuận
về chính sách bảo mật (gồm phương pháp xác thực, giao thức cho truyền tải lưu

lượng đơn hướng (unicast), giao thức truyền tải lưu lượng đa hướng (multicast) và
phương pháp xác thực trước (pre-authentication)). Việc xác định về chính sách bảo
mật nhằm hỗ trợ cho việc kết nối giữa AP và máy khách. Trong giai đoạn thứ hai
(chỉ áp dụng cho chế độ tổ chức), cơ chế xác thực 802.1X được khởi tạo giữa AP
và máy khách sử dụng phương pháp xác thực ưu tiên để cấp phát một khóa chủ
dùng chung (common master key). Trong giai đoạn thứ 3 sau khi xác thực thành
cơng, các khóa tạm thời (mỗi khóa đều có thời gian duy trì nhất định) được thiết
lập và cập nhật. Trong giai đoạn thứ tư, tất cả các khóa được cấp phát sử dụng giao
thức CCMP (Counter Mode Cipher Block Chaining message authentication code
protocol – Giao thức xác thực thông điệp chế độ Counter Cipher, là một cơ chế mã
hóa trên AES sử dụng cho WPA2) để cung cấp dữ liệu bảo mật và nguyên vẹn.
- Xác thực trong WPA2
Một trong các thay đổi quan trọng được giới thiệu trong WPA2 là cơ chế
phân chia xác thực người dùng đảm bảo việc tuân thủ tính riêng tư và tồn vẹn của
thơng tin, do đó WPA2 cung cấp một kiến trúc bảo mật mạnh mẽ, tính mở rộng cao
phù hợp với mạng máy tính tại nhà hoặc trong tổ chức hơn.
Xác thực trong chế độ cá nhân của WPA2 triển khai máy khách và AP, cấp
phát một khóa chia sẻ trước (PSK) 256-bit trích xuất từ một cụm văn bản mã hóa
(a plain-text pass phrase) từ 8 tới 63 kí tự. PSK kết hợp với SSID (Service Set
Indentifer – Số định danh dịch vụ hình thành một thuật tốn cơ bản cho Khóa chủ
theo cặp (Pair-wise Master Key (PMK) sử dụng trong giai đoạn cấp phát khóa.
Xác thực trong chế độ tổ chức của WPA2 dựa theo tiêu chuẩn xác thực IEEE
801.1X. Các thành phần chính gồm một máy khách tham gia vào mạng (máy truy
cập), máy chủ AP cung cấp cơ chế truy cập đóng vai trị như máy xác nhận và máy
chủ xác thực (RADIUS) triển khai xác thực máy khách. Máy xác nhận AP phân
Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.9



37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

chia mỗi cổng ảo vào hai cổng lô gic, một cho dịch vụ và một cho xác thực, tạo
thành một thực thể truy cập cổng (Port Access Entity – PAE). Cổng logic cho xác
thực PAE thường xuyên mở cho phép các khung xác thực đi qua trong khi các
cổng lô gic dịch vụ PAE chỉ mở khi thực hiện xác thực thành công bởi máy chủ
RADIUS. Việc kết nối giữa máy truy cập và máy xác nhận sử dụng giao thức
EAPoL lớp 2 (EAP over LAN). Máy chủ xác thực (RADIUS) nhận được yêu cầu
xác thực từ máy xác nhận và xử lý. Khi q trình xác thực hồn thành, máy truy
cập và máy xác nhận có một khóa chủ bí mật thể hiện như hình vẽ dưới đây:

Hình 1: Cơ chế kết nối, xác thực giữa máy trạm và máy AP

Việc cấp phát khóa trong WPA2 bao gồm hai cơ chế bắt tay (handshakes):
+ Cơ chế bắt tay bốn bước cho PTK (Pair-wise Transient Key – Khóa theo
cặp tạm thời) và GTK (Group Transient Key – Khóa nhóm tạm thời)
+ Cơ chế bắt tay cho khóa nhóm nhằm làm mới GTK.
- Mã hóa trong WPA2
Thuật tốn mã hóa AES được sử dụng trong WPA2, sử dụng một block
cipher (một chuỗi/khối mật mã khóa đối xứng sử dụng để nhóm các bít của một
chuỗi thơng tin có độ dài cố định) sử dụng cho cả q trình mã hóa và giải mã.
Trong WPA2, triển khai theo AES, các bit được mã hóa trong các khối block sử
dụng một khóa có độ dài 128 bít. Mã hóa AES bao gồm 04 giai đoạn tạo thành một
vịng mã hóa và mỗi vịng được thực hiện lặp lại 10 lần.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99


Tr.10


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

AES sử dụng giao thức CCMP (Counter-Mode/CBC-Mac Protocol). CCM
(Counter-Mode/CBC-Mac) là một chế độ triển khai cho một khối block cipher cho
phép một khóa đơn lẻ được sử dụng cho cả q trình mã hóa và xác thực. Hai chế
độ trong CCM bao gồm chế độ bộ đếm (Counter Mode), sử dụng cho mã hóa dữ
liệu và chế độ CBC-MAC (Cipher Block Chaining Message Authentication Code)
cung cấp tính tồn vẹn cho dữ liệu.
Mã hóa AES trong chế độ tồn vẹn thơng tin cung cấp các dữ liệu ngun
vẹn, khơng có sự thay đổi các trường trong gói tin mào đầu (header), được thực
hiện như sau (AES sử dụng một véc tơ khởi tạo 128-bit (Initialization Vector
(IV))):
+ IV được mã hóa với AES và Khóa tạm thời (Temporal Key (TK)) để cung
cấp một khối kết quả 128-bít.
+ Khối kết quả 128 bít sử dụng toán tử XOR với khối dữ liệu 128 bít.
+ Kết quả của tốn tử XOR sau đó được chuyển lại bước 1 và bước 2 cho tới
khi 128 khối block trong trọng tải dữ liệu 802.11 (802.11 payload) được vét cạn.
+ Cuối cùng trong quá trình triển khai, 64 bít đầu tiên được sử dụng cho chế
độ tồn vẹn thơng tin (Message Integrity Code (MIC).

Hình 2: Cơ chế mã hóa AES trong WPA2

Thuật tốn chế độ bộ đếm (Counter Mode) mã hóa dữ liệu với MIC như sau:
+ Khởi động bộ đếm (counter)

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.11


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

+ Khối 128 bít được mã hóa sử dụng AE và Khóa tạm thời (TK) để cung cấp
ra khối kết quả 128 bít
+ Thực hiện tốn tử XOR. Trước tiên, dữ liệu 128 bít cung cấp khối block
128 được mã hóa
+ Lặp lại các bước từ 1-3 cho tới khi các khối 128 bít được mã hóa hết
+ Thiết lập counter (bộ đếm) tới 0 và mã hóa nó sử dụng AES và toán tử
XOR.
- Giải mã trong WPA2
Các bước giải mã thực hiện như sau:
+ Sử dụng thuật toán tượng tự cho mã hóa.
+ Các giá trị từ bước 1 và phần nội dung mã hóa của trọng tải dữ liệu 802.11
(802.11 payload) được giải mã sử dụng thuật toán chế độ bộ đếm (Counter Mode)
và TK. Kết quả là dữ liệu được giải mã trong chế độ MIC.
+ Dữ liệu sau khi được xử lý bởi thuật toán CBC-MAC để tính tốn MIC và
giá trị tại bước 3 và bước 2 khơng phù hợp, gói tin sẽ bị loại bỏ. Sau đó, dữ liệu
giải mã sẽ được gửi đi qua mạng tới máy khách.
- Lợi ích của WPA2
WPA2 giải quyết được các lỗ hỗng của WEP như tin tặc tấn công kiểu như
đơn vị trung gian “man in the middle” giải mã xác thực, tái gửi nhận (replay), khóa
yếu (weak keys), giả mạo gói tin (packet forging), xung đột khóa (key collision).
Bằng việc sử dụng mã hóa AES và xác thực 802.1X/EAP, WPA2 nâng cao cải
thiện năng lực so với WPA sử dụng mã hóa TKIP và xác thực 802.1X/EAP.

Hơn nữa, WPA2 cũng bổ sung hai chức năng nâng cao cho việc hỗ trợ
chuyển vùng không dây (roaming of wireless) khi máy khách di chuyển giữa các
điểm truy cập AP:
+ Hỗ trợ lưu trữ PMK (Pair-wise Master Key) – cho phép tái kết nối tới AP,
máy khách kết nối mà không cần tái xác thực (re-authenticate).
+ Hỗ trợ xác thực trước (Pre-authentication) – cho phép một máy khách xác
thực trước tới một AP chuẩn bị chuyển tới, trong khi vẫn đang duy trì kết nối với
AP khác đang di chuyển ra xa.
Việc hỗ trợ lưu trữ PMK và xác thực cho phép WPA2 giảm thời gian chuyển
vùng từ một giây tới ít hơn 1/10 giây. Lợi ích của việc chuyển vùng nhanh WPA2
có thể hỗ trợ các ứng dụng đòi hỏi về thời gian như Citrix, video, thoại trên nền IP
(voice over IP) không bị gián đoạn khi chuyển vùng.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.12


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

- Điểm yếu của WPA2:
+ Khung điều khiển vvaf quản lý khơng được má hóa dẫn đến để tấn cơng
DOS.
+ Việc xác thực không xác thực dẫn đến giả mạo địa chỉ MAC.
+ Tấn công bạo lực do sử dụng cụm mật khẩu yếu trong WPA2-cá nhân.
+ WPA2 đắt tiền vì nó cần thay đổi trong phần cứng hiện có, không hỗ trợ
phần cứng cũ.
+ Các khung quản lý được sử dụng để báo cáo cấu trúc liên kết mạng khơng

được mã hóa, do đó cho phép kẻ tấn cơng phân tích bố cục mạng.
+ WPA2-Enterprise dựa trên giao thức kiểm sốt truy cập 802.1x dựa trên
cổng dễ có lỗ hổng Hole196.
+ Xảy ra tình trạng ngập và kẹt các gói tin có kích thước lớn.
1.2.4. WPA3 (Wi-Fi Protected Access 3)
WPA3 là lần lặp lại thứ ba và mới nhất của tiêu chuẩn Truy cập được bảo vệ
bằng Wi-Fi do Wi-Fi Alliance phát triển và thay thế tiêu chuẩn trước đó, WPA2.
Tiêu chuẩn WPA được tạo ra bởi nhóm nhiệm vụ kỹ thuật bảo mật của Liên minh
Wi-Fi, do Stephen Orr của Cisco chủ trì, với mục đích chuẩn hóa bảo mật khơng
dây. WPA3 giới thiệu các tính năng mới trên mạng bảo mật doanh nghiệp, cá nhân
và mạng mở thông qua việc gia tăng sức mạnh mật mã, cho phép quy trình xác
thực an tồn hơn cho tất cả các điểm cuối hỗ trợ WPA3.
WPA3 v1.0 được phát hành lần đầu tiên vào ngày 09/4/2018, được cập nhập
hai bản mới hơn WPA3 v2.0 (20/12/2019) và WPA3 v3.0 (14/12/2020).
WPA3 phân thành các loại chủ yếu sau:
- Chế độ chỉ WPA3-Cá nhân;
- WPA3-Chế độ chuyển tiếp cá nhân;
- Chế độ chỉ WPA3-Enterprise
- Chế độ chuyển đổi WPA3-Enterprise
- Chế độ 192-bit WPA3-Enterprise
- Chuyển đổi BSS nhanh WPA3
- Xác thực chứng chỉ máy chủ WPA3-Enterprise;
- SAE-PK;
- Chế độ chỉ SAE-PK;

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.13



37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

- URI WIFI;
- Chỉ báo Tắt chuyển đổi.
1.2.4.1. WPA3 - Personal (cá nhân)
WPA3-Personal áp dụng cho cài đặt mạng cá nhân.
Các chế độ WPA3-Personal:
- Chế độ chỉ WPA3-Cá nhân;
- Chế độ chuyển tiếp WPA3-Cá nhân.
1.2.4.2. Chế độ chỉ WPA3-Cá nhân
Khi hoạt động ở chế độ chỉ WPA3-Cá nhân:
- Một AP phải bật ít nhất bộ chọn bộ AKM 00-0F-AC: 8 trong BSS
- Một STA sẽ cho phép ít nhất bộ chọn bộ AKM 00-0F-AC: 8 được chọn cho
một liên kết
- Một AP sẽ không bật bộ chọn bộ AKM: 00-0F-AC: 2, 00-0F-AC: 6
- Một STA sẽ không cho phép bộ chọn bộ AKM: 00-0F-AC: 2, 00-0F-AC: 6
được chọn cho một liên kết.
- Một AP phải đặt MFPC thành 1, MFPR thành 1.
- Một STA sẽ đặt MFPC thành 1, MFPR thành 1.
- Một STA sẽ khơng kích hoạt WEP và TKIP
1.2.4.3. WPA3-Chế độ chuyển tiếp cá nhân
Khi hoạt động ở chế độ chuyển tiếp WPA3-Cá nhân:
- Một AP phải bật ít nhất bộ chọn bộ AKM 00-0F-AC: 2 và 00-0F-AC: 8
trong BSS.
- Một STA sẽ cho phép ít nhất bộ chọn bộ AKM 00-0F-AC: 2 và 00-0F-AC:
8 được chọn cho một liên kết.
- Một AP phải bật bộ chọn bộ AKM: 00-0F-AC: 6.
- Một STA phải cho phép bộ chọn bộ AKM: 00-0F-AC: 6 được chọn cho

một liên kết.
- Một AP phải đặt MFPC thành 1, MFPR thành 0.
- Một STA sẽ đặt MFPC thành 1, MFPR thành 0.
- Một AP sẽ từ chối một hiệp hội cho SAE nếu PMF khơng được thương
lượng cho hiệp hội đó.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.14


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

- Một STA sẽ thương lượng PMF khi liên kết với một AP bằng SAE.
1.2.4.4. Yêu cầu bổ sung về chế độ WPA3-Personal
Các yêu cầu bổ sung sau áp dụng cho tất cả các chế độ WPA3-Personal:
- Một AP sẽ khơng kích hoạt WPA phiên bản 1 trên cùng một BSS với
WPA3-Personal.
- Một AP sẽ khơng kích hoạt WEP và TKIP trên cùng một BSS như WPA3Personal.
- Khi kết nối với một AP hỗ trợ cả SAE và PSK, một STA sẽ kết nối bằng
SAE.
- Trên một AP, bất cứ khi nào bất kỳ PSK AKM (00-0F-AC: 2 hoặc 00-0FAC: 6) nào được bật, chế độ chuyển tiếp WPA3-Personal sẽ được bật theo mặc
định, trừ khi được quản trị viên ghi đè rõ ràng để hoạt động ở chế độ chỉ WPA2-Cá
nhân.
1.2.4.5. WPA3-Doanh nghiệp
WPA3-Enterprise áp dụng cho cài đặt mạng doanh nghiệp.
Các chế độ WPA3-Enterprise được định nghĩa như sau:
- Chế độ chỉ WPA3-Enterprise;

- Chế độ chuyển tiếp WPA3-Enterprise;
- Chế độ 192-bit WPA3-Enterprise
1.2.4.6. Chế độ chỉ WPA3-Enterprise
Khi hoạt động ở chế độ chỉ WPA3-Enterprise:
- Một AP phải bật ít nhất bộ chọn bộ AKM 00-0F-AC: 5 (IEEE 802.1X với
SHA-256) trong BSS;
- Một STA sẽ cho phép ít nhất bộ chọn bộ AKM 00-0F-AC: 5 được chọn cho
một liên kết;
- Một AP sẽ không bật bộ chọn bộ AKM: 00-0F-AC:1 (IEEE 802.1X với
SHA-1);
- Một STA sẽ không cho phép bộ chọn bộ AKM 00-0F-AC: 1 được chọn cho
một liên kết;
- Một AP sẽ đặt MFPC thành 1, MFPR thành 1;
- Một STA sẽ đặt MFPC thành 1, MFPR thành 1;
- Một STA sẽ khơng bật WEP và TKIP.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.15


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

1.2.4.7. Chế độ chuyển đổi WPA3-Enterprise
Khi hoạt động ở chế độ chuyển đổi WPA3-Enterprise:
- Một AP phải bật ít nhất bộ chọn bộ AKM 00-0F-AC: 1 (IEEE 802.1X với
SHA-1) và 00-0F-AC: 5 (IEEE 802.1X với SHA-256) trong BSS;
- Một STA sẽ cho phép ít nhất bộ chọn bộ AKM 00-0F-AC: 1 và 00-0F-AC:

5 được chọn cho một liên kết;
- Một AP phải đặt MFPC thành 1, MFPR thành 0;
- Một STA sẽ đặt MFPC thành 1, MFPR đến 0.
1.2.4.8. Yêu cầu bổ sung về chế độ WPA3-Enterprise
Các yêu cầu bổ sung sau áp dụng cho tất cả các chế độ WPA3-Enterprise:
- Một AP sẽ khơng kích hoạt WPA phiên bản 1 trên cùng một BSS với
WPA3-Enterprise;
- Một AP sẽ không kích hoạt WEP và TKIP trên cùng một BSS như WPA3Enterprise;
1.2.4.9. Chế độ WPA3-Enterprise 192-bit
Chế độ 192-bit của WPA3-Enterprise rất phù hợp để triển khai trong các môi
trường doanh nghiệp nhạy cảm để bảo vệ hơn nữa các mạng Wi Fi® với các u
cầu bảo mật cao hơn như chính phủ, quốc phịng và cơng nghiệp.
Khi hoạt động ở chế độ WPA3-Enterprise 192-bit:
- Khi AP sử dụng chế độ 192-bit WPA3-Enterprise, PMF sẽ được đặt thành
bắt buộc (bit MFPR trong trường Khả năng RSN sẽ được đặt thành 1 trong RSNE
được AP truyền đi).
- Khi STA sử dụng chế độ 192-bit của WPA3-Enterprise, PMF sẽ được đặt
thành bắt buộc (bit MFPR trong trường Khả năng RSN sẽ được đặt thành 1 trong
RSNE được STA truyền).
- Bộ mật mã EAP được phép sử dụng với chế độ WPA3-Enterprise 192-bit
là:
+ ECDHE và ECDSA sử dụng đường cong mô-đun nguyên tố 384-bit P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
+ ECDHE sử dụng đường cong mô-đun nguyên tố 384-bit P-384.
+ Mơ-đun RSA ≥ 3072-bit.
+ TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.
+ Mơ-đun RSA ≥ 3072-bit.
Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99


Tr.16


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

+ DHE ≥ 3072-bit mơ-đun

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.17


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

CHƯƠNG 2. TÌM HIỂU CƠ CHẾ BẢO MẬT DỮ LIỆU
TRONG CHUẨN WPA3 ENTERPISE
2.1. Xác thực đồng thời (Simultaneous Authentication of Equals)
Như đã giới thiệu ở trên, WPA2 sử dụng cơ chế xác thực bắt tay bốn bước,
tuy nhiên WPA3 sử dụng cơ chế xác thực đồng thời SAE.
Xác thực đồng thời bằng (SAE) là một biến thể Dragonfly, một trao đổi khóa
được xác thực bằng mật khẩu dựa trên bằng chứng khơng có kiến thức. SAE được
sử dụng bởi các trạm để xác thực bằng mật khẩu; nó có các thuộc tính bảo mật sau:
- Việc kết thúc giao thức thành cơng dẫn đến một cặp khóa chủ được chia sẻ
giữa hai trạm.
- Kẻ tấn công không thể xác định mật khẩu hoặc cặp khóa chủ bằng cách
quan sát thụ động một cuộc trao đổi hoặc bằng cách tự xen vào cuộc trao đổi bằng
cách chuyển tiếp trung thực các thông điệp giữa hai trạm.

- Kẻ tấn công không thể xác định mật khẩu hoặc khóa chia sẻ kết quả bằng
cách sửa đổi, giả mạo hoặc phát lại các khung hình thành một trạm trung thực,
khơng bị gián đoạn.
- Kẻ tấn công không thể thực hiện nhiều hơn một lần đốn mật khẩu cho mỗi
lần tấn cơng. Điều này ngụ ý rằng kẻ tấn công không thể thực hiện một cuộc tấn
cơng và sau đó chuyển sang chế độ ngoại tuyến và thực hiện các lần đoán mật khẩu
lặp đi lặp lại cho đến khi thành cơng. Nói cách khác, SAE có khả năng chống lại
cuộc tấn cơng từ điển.
- Sự thỏa hiệp của cặp khóa chủ từ lần chạy trước của giao thức không mang
lại bất kỳ lợi thế nào cho kẻ thù cố gắng xác định mật khẩu hoặc khóa chia sẻ từ
bất kỳ trường hợp nào khác.
- Việc thỏa hiệp mật khẩu không mang lại bất kỳ lợi thế nào cho kẻ tấn công
trong việc cố gắng xác định cặp khóa chủ từ trường hợp trước.
Khơng giống như các giao thức xác thực khác, SAE khơng có khái niệm về
“Người khởi xướng” và “Người phản hồi” hoặc về “Người cung cấp” và “Người
xác thực”. Các bên tham gia sàn giao dịch là bình đẳng, mỗi bên có thể bắt đầu
giao thức. Mỗi bên có thể khởi tạo giao thức đồng thời sao cho mỗi bên tự xem
mình là “người khởi xướng” cho một lần chạy giao thức cụ thể. Giao thức ngang
hàng như vậy có thể được sử dụng theo kiểu máy khách-máy chủ truyền thống
(hoặc Supplicant / Authenticator) nhưng cuộc trị chuyện thì khơng. u cầu này là
cần thiết để giải quyết bản chất duy nhất của MBSSs.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.18


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66


Các bên liên quan được gọi là STA-A và STA-B. Chúng được xác định bằng
địa chỉ MAC của chúng, lần lượt là STA- A-MAC và STA-B-MAC. Các STA bắt
đầu giao thức khi chúng phát hiện ra một máy ngang hàng bằng cách nhận (các)
khung Beacon hoặc Probe Response hoặc khi chúng nhận được một khung Xác
thực cho biết xác thực SAE từ một máy ngang hàng.
SAE là một giao thức xác thực RSNA.
SAE sẽ được thực hiện trên tất cả các trạm lưới để tạo điều kiện và thúc đẩy
khả năng tương tác.
2.1.1. Các giả định về SAE
SAE sử dụng các chức năng và dữ liệu khác nhau để hoàn thành nhiệm vụ
của mình và giả định các thuộc tính nhất định về mỗi chức năng. Những điều này
như sau:
- H là một hàm “giải nén” (xem IETF RFC 5869) tập trung entropy có khả
năng phân tán từ một đầu vào để tạo ra một đầu ra là một khóa giả ngẫu nhiên,
mạnh về mặt mật mã. Hàm này nhận đầu vào là “salt” khơng bí mật và khóa đầu
vào bí mật là “ikm” và tạo ra đầu ra có độ dài cố định.
- CN là một chức năng xác nhận lấy khóa bí mật và dữ liệu để xác nhận và
liên kết với sàn giao dịch.
- Một nhóm chu trình hữu hạn được thương lượng mà việc giải bài tốn
logarit rời rạc là khơng khả thi về mặt tính toán.
Khi được sử dụng với AKM 00-0F-AC: 8 hoặc 00-0F-AC: 9, H được viết tắt
là HMAC- SHA-256:
H (salt, ikm) = HMAC-SHA-256 (salt, ikm)
Khi được sử dụng với AKMs 00-0F-AC: 8 hoặc 00-0F-AC: 9, CN được khởi
tạo như một hàm nhận khóa, bộ đếm và chuỗi dữ liệu. Mỗi phần dữ liệu được
chuyển đổi thành một chuỗi octet và được nối với nhau trước khi được nối với bộ
đếm và được chuyển, cùng với khóa, tới HMAC- SHA-256:
CN(key, counter, X, Y, Z,...) = HMAC-SHA-256(key, counter || D2OS(X) ||
D2OS(Y) || D2OS(Z) || ...)

Trong đó D2OS () đại diện cho các hàm chuyển đổi dữ liệu sang chuỗi octet.
Mỗi lệnh gọi của CN () xác định định dạng của bộ đếm.
Các mô tả khác của các hàm H và CN yêu cầu tạo một mã định danh AKM
mới.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.19


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

2.1.2. Mật khẩu
Mật khẩu được sử dụng trong SAE để tính tốn một cách xác định một phần
tử bí mật trong nhóm được thương lượng, được gọi là phần tử mật khẩu. Đầu vào
cho quá trình này cần phải ở dạng một chuỗi nhị phân. Để giao thức kết thúc thành
công, mỗi bên cần tạo ra các chuỗi nhị phân giống hệt nhau cho một mật khẩu nhất
định, ngay cả khi mật khẩu đó ở định dạng ký tự. Khơng có biểu diễn nhị phân
chính tắc của một ký tự và sự mơ hồ tồn tại khi mật khẩu là một chuỗi ký tự. Để
loại bỏ sự không rõ ràng này, một trạm sẽ đại diện cho một mật khẩu dựa trên ký tự
dưới dạng một chuỗi ASCII. Việc trình bày mật khẩu dựa trên ký tự trong một bộ
ký tự khác hoặc sử dụng kỹ thuật xử lý trước mật khẩu (để ánh xạ một chuỗi ký tự
thành một chuỗi nhị phân) có thể được thỏa thuận, theo kiểu ngoài dải, trước khi
bắt đầu SAE. Nếu mật khẩu đã ở dạng nhị phân (ví dụ: nó là khóa chia sẻ trước nhị
phân) thì khơng có biểu diễn tập ký tự nào được giả định. Biểu diễn nhị phân của
mật khẩu, sau khi được chuyển đổi từ biểu diễn ký tự hoặc trực tiếp nếu nó đã ở
dạng nhị phân, được lưu trữ trong dotllRSNConfigPasswordValueTable. Khi “mật
khẩu” được gọi trong mô tả của SAE theo sau thông tin xác thực từ dotl

IRSNConfigPasswordValueTable được sử dụng.

Tìm hiểu cơ chế bảo mật dữ liệu trong chuẩn WPA3 Enterpise

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99

Tr.20


37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66

37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×