IEEE 802.11i: Difference between revisions
From IT위키
No edit summary |
No edit summary |
||
Line 33: | Line 33: | ||
** 별도의 인증 서버가 필요 없는 대신에, 무선단말 및 엑세스포인트 간에 사전에 특정 키를 공유하여야 함 | ** 별도의 인증 서버가 필요 없는 대신에, 무선단말 및 엑세스포인트 간에 사전에 특정 키를 공유하여야 함 | ||
** 통상, 256 비트 길이로 사용자/관리자가 입력한 암호 및 SSID로부터 생성됨 | ** 통상, 256 비트 길이로 사용자/관리자가 입력한 암호 및 SSID로부터 생성됨 | ||
** Supplicant | ** 무선단말(Supplicant), AP(Authenticator) 사이에서 인증메세지를 직접 주고받게됨 | ||
** | ** 무선단말과 AP에 동일한 Pre Shared Key가 셋팅되고, 정적인 PMK로부터 무선구간 세션용 암호화 키 유도 | ||
** aka. WPA/WPA2-Personal Pre-Shared Key, WPA/WPA2-Passphrase, WPA/WPA2-PSK, WPA/WPA2-Preshared Key 등 | ** aka. WPA/WPA2-Personal Pre-Shared Key, WPA/WPA2-Passphrase, WPA/WPA2-PSK, WPA/WPA2-Preshared Key 등 |
Revision as of 22:03, 3 May 2019
- IEEE 802.11i-2004
- Amendment 6: Medium Access Control (MAC) Security Enhancements
- IEEE 802.11에서의 무선 LAN 보안의 취약성을 해결하기 위한 표준
개선점
- 강화된 암호화 방식: 무선 구간에서 데이터 보호(기밀성,무결성) 능력 강화
- 강화된 인증 방식: '인증'과 '암호화' 두 기능이 완벽하게 분리
- 인증이 성공한 후, 인증 서버는 세션 암호화키를 생성·배포
암호화 방식
- CCMP/AES(필수사항)
- 그 이전 장비와는 다른 새로운 하드웨어 필요
- 암호 방식: CCMP (CTR with CBC-MAC Protocol)
- CTR(Counter Mode) : 기밀성 제공
- CBC-MAC(Cipher Block Chaining - Message Authentication Code) : 인증,무결성 제공
- 암호 알고리즘 : 블록 암호화 방식인 AES (Authentication Encryption Standard)
- 키 길이 128 비트, 블록 크기 128 비트를 사용
- 기존의 WEP,TKIP는 RC4 스트림 암호화 방식을 사용
- TKIP/RC4(선택 옵션)
- 역호환(backward compatibility) 가능
- 보안에 매우 취약한 기존 WEP/RC4 를 한시적으로나마 대체하기 위한 개선 확장판
- 기존에 사용중인 WLAN 장비에 단지 펌웨어 업그레이드 정도 만으로 구현 가능
- 스트림 암호화 방식인 RC4 에 이미 맞추어 제작된 하드웨어를 그대로 쓸 수 있음
- 암호 방식: TKIP(Temporary Key Integrity Protocol)
- 암호 알고리즘: 스트림 암호화 방식인 RC4(Rivest Cipher 4)
인증 방식
- 802.1X/EAP 방식(기업용,대규모)
- 사용자 인증 및 키 교환을 위해서 별도의 인증 서버 필요
- 실제 인증 수행은 주로 EAP 라는 인증 프레임워크 상에서 이루어짐
- 사전 공유 키(Pre Shared Key) 방식(개인용,소규모)
- 별도의 인증 서버가 필요 없는 대신에, 무선단말 및 엑세스포인트 간에 사전에 특정 키를 공유하여야 함
- 통상, 256 비트 길이로 사용자/관리자가 입력한 암호 및 SSID로부터 생성됨
- 무선단말(Supplicant), AP(Authenticator) 사이에서 인증메세지를 직접 주고받게됨
- 무선단말과 AP에 동일한 Pre Shared Key가 셋팅되고, 정적인 PMK로부터 무선구간 세션용 암호화 키 유도
- aka. WPA/WPA2-Personal Pre-Shared Key, WPA/WPA2-Passphrase, WPA/WPA2-PSK, WPA/WPA2-Preshared Key 등