Вторая составляющая: алгоритм аутентификации. Стандарт 802.11i и WPA обеспечивают механизм, поддерживающий работу алгоритма аутентификации с целью обеспечения связи между клиентом, точкой доступа и сервером аутентификации с использованием механизма базовой аутентификации стандарта 802.1X. Ни стандарт 802.11i, ни WPA не регламентируют применение особого алгоритма аутентификации, но оба рекомендуют использовать алгоритм, который поддерживал бы взаимную аутентификацию, генерацию динамических ключей шифрования и аутентификацию пользователя.
Примером такого алгоритма является алгоритм EAP-Cisco. Этот алгоритм, более известный как Cisco LEAP, представляет собой простой и эффективный алгоритм, разработанный специально для использования в беспроводных LAN. Алгоритм EAP-Cisco является патентованным алгоритмом, который работает по¬верх алгоритма базовой открытой аутентификации. По этой причине детали алгорит¬ма EAP-Cisco, касающиеся содержимого генерируемых вызова и ответа на вызов, а также распределения ключей шифрования, не могут быть разглашены.
Алгоритм EAP-Cisco перевыполняет требования, предъявляемые к защищенной аутентифика¬ции пользователя в беспроводной LAN, за счет применения следующих мер. • Аутентификация, ориентированная на пользователя. • Взаимная аутентификация. • Динамические ключи шифрования.
Если какому-либо пользователю нужно запретить доступ к сети, достаточно уда¬лить его учетную запись на централизованном сервере аутентификации.
В результате пользователь не сможет успешно пройти процесс аутентификации, а его устройство — сгенерировать правильный динамический ключ шифрования.