Механизмы аутентификации стандарта. Спецификация стандарта 802.11 оговаривает два механизма, которые могут приме¬няться для аутентификации клиентов WLAN. • Открытая аутентификация (open authentication). • Аутентификация с совместно используемым ключом (shared key authentication). Открытая аутентификация по сути представляет собой алгоритм с нулевой аутентифи¬кацией (null authentication algorithm). Точка доступа принимает любой запрос на аутенти¬фикацию.
Это может быть просто бессмысленный сигнал, используемый для указания на применение именно этого алгоритма аутентификации, тем не менее, открытая аутентифи¬кация играет определенную роль в сетях стандарта 802.11. Столь простые требования к ау¬тентификации позволяют устройствам быстро получить доступ к сети. Контроль доступа при открытой аутентификации осуществляется с использовани¬ем заранее сконфигурированного WEP-ключа в точке доступа и на клиентской стан¬ции. Эта станция и точка доступа должны иметь одинаковые ключи, тогда они могут связываться между собой.
Если станция и точка доступа не поддерживают алгоритм WEP, в BSS невозможно обеспечить защиту. Любое устройство может подключиться к такому BSS, и все фреймы данных передаются незашифрованными. После выполнения открытой аутентификации и завершения процесса ассоциирования клиент может начать передачу и прием данных.
Если клиент сконфигурирован так, что его ключ отличается от ключа точки доступа, он не сможет правильно зашифровывать и рас¬шифровывать фреймы, и такие фреймы будут отброшены как точкой доступа, так и кли¬ентской станцией. Этот процесс предоставляет собой довольно-таки эффективное средство контроля доступа к BSS (рис. 8). Рис. 8. Процесс открытой аутентификации при различии WEP-ключей В отличие от открытой аутентификации, при аутентификации с совместно исполь¬зуемым ключом требуется, чтобы клиентская станция и точка доступа были способны поддерживать WEP и имели одинаковые WEP-ключи.
Процесс аутентификации с со¬вместно используемым ключом осуществляется следующим образом. 1. Клиент посылает точке доступа запрос на аутентификацию с совместно исполь¬зуемым ключом. 2. Точка доступа отвечает фреймом вызова (challenge frame), содержащим откры¬тый текст. 3. Клиент шифрует вызов и посылает его обратно точке доступа. 4. Если точка доступа может правильно расшифровать этот фрейм и получить свой исходный вызов, клиенту посылается сообщение об успешной аутентификации. 5. Клиент получает доступ к WLAN. Предпосылки, на которых основана аутентификация с совместно используе¬мым ключом, точно такие же, как и те, которые предполагались при открытой ау¬тентификации, использующей WEP-ключи в качестве средства контроля доступа.
Разница между этими двумя схемами состоит в том, что клиент не может ассо¬циировать себя с точкой доступа при использовании механизма аутентификации с совместно используемым ключом, если его ключ не сконфигурирован должным образом.
На рис. 9 схематично представлен процесс аутентификации с совместно используемым ключом. Рис. 9. Процесс аутентификации с совместно используемым ключом Аутентификация с использованием МАС-адресов Аутентификация с использованием МАС-адресов не специфицирована стан¬дартом 802.11. но обеспечивается многими производителями.
В ходе аутентифи¬кации с использованием МАС-адресов проверяется соответствие МАС-адреса клиента локально сконфигурированному списку разрешенных адресов или спи¬ску, хранящемуся на внешнем аутентификационном сервере (рис. 10). Аутенти¬фикация с использованием МАС-адресов усиливает действие открытой аутенти¬фикации и аутентификации с совместно используемым ключом, обеспечиваемы¬ми стандартом 802.11, потенциально снижая тем самым вероятность того, что неавторизованные устройства получат доступ к сети. Например, администратор сети может пожелать ограничить доступ к определенной точке доступа для трех конкретных устройств.
Если все станции и все точки доступа BSS используют одинаковые WEP-ключи, при использовании открытой аутентификации и аутен¬тификации с совместно используемым ключом такой сценарий реализовать труд¬но. Чтобы усилить действие механизма аутентификации стандарта 802.11, он мо¬жет применить аутентификацию с использованием МАС-адресов.
Рис. 10. Процесс аутентификации с использованием МАС-адресов