Приложение
D
Беспроводные
сети
Руководство
пользователя
для
серии
NXC
473
использует
256-
разрядный
математический
алгоритм
под
названием
Рэндал
(Rijndael).
Оба
алгоритма
включают
в
себя
функцию
смешивания
ключей
на
уровне
пакетов
,
функцию
MIC
(Message Integrity Check,
проверка
целостности
сообщений
)
под
названием
Майкл
(Michael),
расширенный
вектор
инициализации
(IV)
с
правилами
определения
последовательностей
и
механизм
повторной
генерации
ключей
(re-keying).
WPA
и
WPA2
регулярно
меняют
и
ротируют
ключи
шифрования
,
поэтому
один
и
тот
же
ключ
шифрования
никогда
не
используется
дважды
.
Сервер
RADIUS
передает
ключ
PMK (Pairwise Master Key,
парный
главный
ключ
)
точке
доступа
,
которая
формирует
иерархию
ключей
и
систему
управления
ими
.
Точка
доступа
использует
ключ
PMK
для
динамической
генерации
уникальных
ключей
шифрования
данных
для
шифрования
каждого
пакета
данных
,
которым
обмениваются
в
беспроводной
сети
точка
доступа
и
беспроводные
клиенты
.
Все
это
происходит
автоматически
,
в
фоновом
режиме
.
Функция
MIC (Message Integrity Check,
проверка
целостности
сообщений
)
призвана
защитить
пакеты
данных
от
попыток
записи
их
злоумышленником
.
С
этой
целью
функция
MIC
изменяет
и
пересылает
пакеты
повторно
. MIC
использует
мощную
математическую
функцию
,
пользуясь
которой
приемник
и
передатчик
рассчитывают
,
а
затем
сравнивают
полученные
значения
MIC.
Если
они
не
совпадают
,
то
предполагается
,
что
данные
были
искажены
,
и
такой
пакет
отбрасывается
.
Благодаря
генерации
уникальных
ключей
шифрования
данных
для
каждого
пакета
данных
и
созданию
механизма
проверки
целостности
(MIC)
использование
протоколов
TKIP
и
AES
усложняет
процесс
дешифрации
данных
в
сети
Wi-Fi
по
сравнению
с
технологией
WEP
и
уменьшает
вероятность
проникновения
в
сеть
злоумышленников
.
WPA(2)
и
WPA(2)-PSK
используют
одинаковые
механизмы
шифрования
.
Единственная
разница
между
ними
состоит
в
том
,
что
WPA(2)-PSK
использует
простой
общий
пароль
вместо
учетных
данных
конкретного
пользователя
.
Подход
на
основе
общего
пароля
делает
алгоритм
WPA(2)-
PSK
уязвимым
к
атакам
путем
перебора
ключей
,
но
все
равно
этот
алгоритм
является
более
совершенным
по
сравнению
с
алгоритмом
WEP,
поскольку
он
предусматривает
целостный
,
единый
,
алфавитно
-
цифровой
пароль
для
создания
ключа
PMK,
который
используется
для
генерации
уникальных
временных
ключей
шифрования
.
Это
исключает
ситуацию
,
при
которой
все
беспроводные
устройства
используют
одинаковые
ключи
шифрования
. (
недостаток
WEP)
Аутентификация
пользователей
WPA
и
WPA2
используют
стандарт
IEEE 802.1x
и
протокол
EAP (Extensible Authentication
Protocol)
для
аутентификации
беспроводных
клиентов
с
использованием
базы
данных
внешнего
сервера
RADIUS. WPA2
уменьшает
число
сообщений
об
обмене
ключами
с
шести
до
четырех
(4-
стороннее
согласование
CCMP)
и
сокращает
время
,
необходимое
для
подключения
к
сети
. WPA2
включает
в
себя
еще
две
функции
,
которых
нет
в
WPA –
кэширование
ключей
и
предварительную
аутентификацию
.
Обе
названные
функции
являются
опциональными
,
и
не
все
беспроводные
устройства
могут
их
поддерживать
.
Кэширование
ключей
позволяет
беспроводному
клиенту
хранить
ключ
PMK,
созданный
в
результате
успешной
аутентификации
на
точке
доступа
.
Беспроводной
клиент
использует
этот
ключ
PMK
при
попытке
подключения
к
той
же
точке
доступа
,
при
этом
клиент
не
должен
проходить
процесс
аутентификации
повторно
.
Предварительная
аутентификация
(pre-authentication)
создает
условия
для
быстрого
роуминга
за
счет
того
,
что
беспроводной
клиент
(
уже
подключающийся
к
одной
точке
доступа
)
может