Chuẩn IEEE 802.1i định nghĩa các cải
tiến cho wired equivalent privacy (WEP), một dạng bảo mật dữ liệu bằng
khóa mã hóa tĩnh, tương đối yếu cho các thiết bị không dây. Sự bảo mật
mạnh mẽ là một điều mà các sản phẩm LAN không dây hiện hành thiếu. Rất
nhiều bài báo đã phơi bầy kết quả nghiên cứu về điểm yếu của phương thức
WEP hiện có sẵn trong hầu hết các sản phẩm không dây, và cách crack các
khóa mã hóa 64 bit và 128 bit.
Với đủ dữ liệu theo thời gian, những hacker có thể giải mã dữ liệu được mã hóa trên các mạng không dây.
Bất kể WEP, nhiều tập đoàn đã chọn cách triển khai những sản phẩm bảo mật của hãng thứ ba nhằm siết chặt các mạng của họ thay vì sử dụng một hoặc nhiều tính năng bảo mật sẵn có của các hệ điều hành mạng. Đối với người dùng gia đình, các nhà cung cấp dịch vụ Internet không dây (WISP), các tiệm cà phê và những người khác vốn có thể không có các server hoặc muốn quản lý chúng, không có lựa chọn kinh tế hoặc cài sẵn thay thế cho WEP yếu. Chuẩn 802.1i và việc thực thi nó trong các sản phẩm không dây sắp tới sẽ giúp giải quyết vấn đề này.
Các sản phẩm thực thi IEEE 802.1i sẽ sử dụng các chuẩn IEEE 802.1x và sự mã hóa mạnh hơn. Một kỹ thuật như vậy là chuẩn mã hóa cao cấp (AES; http://csrc.nist.gov/encryption/aes), một chuẩn xử lý thông tin (FIPS) vốn xác định một thuật toán mật mã được sử dụng bởi các tổ chức chỉnh phủ Mỹ nhằm bảo vệ thông tin không được phân loại.
Thật may, việc tận dụng chính 802.1i sẽ không đòi hỏi các thay đổi thiết bị. Các bản nâng cấp cho các access point hiện có có thể có sẵn từ nhà cung cấp thiết bị. Tuy nhiên, sử dụng AES có thể đòi hỏi thiết bị mới. Một số nhà cung cấp chuẩn bị bắt đầu sự bảo mật như 802.1x thông qua một phương thức truy cập bảo vệ bằng WiFi (WPA) được khởi xướng bởi ngành công nghệ vào đầu năm 2003. WPA là 802.1x có một TKIP (temporal key integrity protocol ) mới nhưng không có AES.
TKIP bắt đầu với một giá trị khóa tạm 128 bit vốn được chia sẻ giữa các client và access point. Khóa được kết hợp với địa chỉ MAC (media access control) của thiết bị. Sau đó một giá trị 16 octet lớn được thêm, tạo một khóa mã hóa duy nhất cho mỗi thiết bị cần được sử dụng để thực hiện thêm các cuộc giao tiếp. TKIP sử dụng cùng một phương thức RC4 như WEP để cung cấp sự mã hóa.
Đối với người dùng gia đình hoặc trong những tình huống không cung cấp một sử dụng bảo mật dưới dạng bộ cung cấp back-end cho các phương thức 802.1i, WPA cung cấp một chế độ PSK (pre-shared key) vốn sử dụng một khóa chính có thể được nhập bằng tay vào các hệ thống access point và các hệ thống client. Kiểm tra Web site của nhà cung cấp thiết bị không dây để biết thêm thông tin về các bản cập nhật firmware hoặc driver.
Việc sử dụng IEEE 802.1x là một chuẩn công nghiệp sắp tới xác định một phương tiện dựa vào access point để chuyển khóa mã hóa động cho các client và có thể được sử dụng cho dù WEP có được sử dụng hay không. IEEE đã đặt cho 802.1x cái tên là "Port Based Network Access Control", nghĩa là các cổng TCP (Transission control protocol) và UDP (User Datagram Protocol) không mở để chuyển dữ liệu cho đến khi tiến trình xác thực thành công. Trong khi 802.1x không phải là một phần của chuẩn 802.11, 802.1x được đề nghị là một phần của 802.1i và chuẩn 802.11. Nó đã được thực thi trong Windows XP và nhiều access point. Nhiều nhà cung cấp khác nhau đưa ra khả năng quản lý khóa động bằng cách sử dụng 802.1x.
802.1x không cung cấp những phương thức xác thực. Bạn vẫn cần thực thi một giao thức xác thực mở rộng (EAP) chẳng hạn như bảo mật lớp vận chuyển (EAP-TLS) hoặc bảo mật lớp vận chuyển được tạo đường hầm bởi EAP (EAP-TTLS), vốn xác định sự xác thực. Vì access point là một phương tiện để chuyển lưu lượng 802.1x, bạn có thể chọn EAP tại cấp điều hành, server và client mà bạn chọn mà không cần phải thay đổi thiết bị. Sau đó sự xác thực có thể là RADIUS hay bất kỳ phương thức nào được sử dụng bởi hệ điều hành của mạng.
Bảo mật được tăng thêm với 802.1x bởi vì client có khả năng thay đổi định kỳ các khóa mã hóa, do đó giảm thời gian có sẵn để các hacker giải mã các khóa và giảm đi tính dễ bị tấn công của các cuộc giao thức.
Bất kể WEP, nhiều tập đoàn đã chọn cách triển khai những sản phẩm bảo mật của hãng thứ ba nhằm siết chặt các mạng của họ thay vì sử dụng một hoặc nhiều tính năng bảo mật sẵn có của các hệ điều hành mạng. Đối với người dùng gia đình, các nhà cung cấp dịch vụ Internet không dây (WISP), các tiệm cà phê và những người khác vốn có thể không có các server hoặc muốn quản lý chúng, không có lựa chọn kinh tế hoặc cài sẵn thay thế cho WEP yếu. Chuẩn 802.1i và việc thực thi nó trong các sản phẩm không dây sắp tới sẽ giúp giải quyết vấn đề này.
Các sản phẩm thực thi IEEE 802.1i sẽ sử dụng các chuẩn IEEE 802.1x và sự mã hóa mạnh hơn. Một kỹ thuật như vậy là chuẩn mã hóa cao cấp (AES; http://csrc.nist.gov/encryption/aes), một chuẩn xử lý thông tin (FIPS) vốn xác định một thuật toán mật mã được sử dụng bởi các tổ chức chỉnh phủ Mỹ nhằm bảo vệ thông tin không được phân loại.
Thật may, việc tận dụng chính 802.1i sẽ không đòi hỏi các thay đổi thiết bị. Các bản nâng cấp cho các access point hiện có có thể có sẵn từ nhà cung cấp thiết bị. Tuy nhiên, sử dụng AES có thể đòi hỏi thiết bị mới. Một số nhà cung cấp chuẩn bị bắt đầu sự bảo mật như 802.1x thông qua một phương thức truy cập bảo vệ bằng WiFi (WPA) được khởi xướng bởi ngành công nghệ vào đầu năm 2003. WPA là 802.1x có một TKIP (temporal key integrity protocol ) mới nhưng không có AES.
TKIP bắt đầu với một giá trị khóa tạm 128 bit vốn được chia sẻ giữa các client và access point. Khóa được kết hợp với địa chỉ MAC (media access control) của thiết bị. Sau đó một giá trị 16 octet lớn được thêm, tạo một khóa mã hóa duy nhất cho mỗi thiết bị cần được sử dụng để thực hiện thêm các cuộc giao tiếp. TKIP sử dụng cùng một phương thức RC4 như WEP để cung cấp sự mã hóa.
Đối với người dùng gia đình hoặc trong những tình huống không cung cấp một sử dụng bảo mật dưới dạng bộ cung cấp back-end cho các phương thức 802.1i, WPA cung cấp một chế độ PSK (pre-shared key) vốn sử dụng một khóa chính có thể được nhập bằng tay vào các hệ thống access point và các hệ thống client. Kiểm tra Web site của nhà cung cấp thiết bị không dây để biết thêm thông tin về các bản cập nhật firmware hoặc driver.
Việc sử dụng IEEE 802.1x là một chuẩn công nghiệp sắp tới xác định một phương tiện dựa vào access point để chuyển khóa mã hóa động cho các client và có thể được sử dụng cho dù WEP có được sử dụng hay không. IEEE đã đặt cho 802.1x cái tên là "Port Based Network Access Control", nghĩa là các cổng TCP (Transission control protocol) và UDP (User Datagram Protocol) không mở để chuyển dữ liệu cho đến khi tiến trình xác thực thành công. Trong khi 802.1x không phải là một phần của chuẩn 802.11, 802.1x được đề nghị là một phần của 802.1i và chuẩn 802.11. Nó đã được thực thi trong Windows XP và nhiều access point. Nhiều nhà cung cấp khác nhau đưa ra khả năng quản lý khóa động bằng cách sử dụng 802.1x.
802.1x không cung cấp những phương thức xác thực. Bạn vẫn cần thực thi một giao thức xác thực mở rộng (EAP) chẳng hạn như bảo mật lớp vận chuyển (EAP-TLS) hoặc bảo mật lớp vận chuyển được tạo đường hầm bởi EAP (EAP-TTLS), vốn xác định sự xác thực. Vì access point là một phương tiện để chuyển lưu lượng 802.1x, bạn có thể chọn EAP tại cấp điều hành, server và client mà bạn chọn mà không cần phải thay đổi thiết bị. Sau đó sự xác thực có thể là RADIUS hay bất kỳ phương thức nào được sử dụng bởi hệ điều hành của mạng.
Bảo mật được tăng thêm với 802.1x bởi vì client có khả năng thay đổi định kỳ các khóa mã hóa, do đó giảm thời gian có sẵn để các hacker giải mã các khóa và giảm đi tính dễ bị tấn công của các cuộc giao thức.
