IEEE802.11:4.10.3 Infrastructure functional model overview

4.10.3.5 Disassociation

RSNAにSTAのどちらかによって開始された解離、非AP STAの両端とGTKSAの削除でPTKSAの削除を引き起こす。この関連付けのために作成さ制御と制御されていないポートも削除されます。

4.10.3.4 Alternate operations with PSK

次AKM操作はPSKを使用して代替の操作を表しています。低エントロピーのキーと一緒に使用してアカウントにそのを取った後にのみ使用することが推奨されている場合、この操作は、セキュリティ上の脆弱性を持っています。この操作が行われると、PMKはPSKである。

- STAは、(図4-17に示されている)プロービング受動的にビーコンフレームを監視するを介して、またはアクティブを通じてAPのセキュリティポリシーを検出します。 STAのAPに関連付けし、セキュリティポリシーをネゴシエートします。 PMKはPSKです。
- として存在するとき、EAPOL-キーフレームを使用して4ウェイハンドシェイクは、単にIEEE 802.1X認証と同様に、使用されています。図4-19を参照してください。
- GTKとGTKのシーケンス番号は、ASの場合に同様にオーセンティケータからサプリカントに送信されます。図4-19と図4-20を参照してください。
- 管理フレーム保護が交渉されている場合は、IGTKとIGTKパケット番号だけは、ASの場合にサプリカントに認証から送信されます。図4-19と図4-20を参照してください。
認証はパスワードまたはPSKを使用して実現されたとき、次のAKM操作が行われています:

- STAは受動的にビーコンフレームを監視するを介して、またはプロービングアクティブを通じてAPのセキュリティポリシーを検出します。発見後STAは(図4-21を参照)APとIEEE802.11認証フレームを使用してSAEの認証を実行します。
- SAEの成功裡の妥結後、STAとAPの両方がPMKを生成します。 STAその後関連付けAPに、セキュリティポリシーをネゴシエートします。 AKM協会リクエストで確認と応答は、SAEまたはFast BSS遷移のAKMです。
- として存在するときSAEによって生成されたPMKは、同様にIEEE802.1X認証を使用して、EAPOL-Keyのフレームを使用して4ウェイハンドシェイクで使用されています。図4-19を参照してください。
- GTKとGTKのシーケンス番号は、ASの場合に同様にオーセンティケータからサプリカントに送信されます。図4-19と図4-20を参照してください。

4.10.3.2 AKM operations with AS

IEEE 802.1XがAS使用すると、次AKM操作が行われている。

IEEE標準802.1X-2004のいずれかを使用する)前に、IEEE標準802.11認証およびASが保護されたチャネルが確立されていることを前提としています。オーセンティケータとの間のチャネルのセキュリティはASこの規格の範囲外である。認証資格情報は、サプリカントと協会へのAS前に配布されます。
b)はSTAは受動的にビーコンフレームを監視を通して、または(図4-17に示されている)プロービングアクティブを通じてAPのセキュリティポリシーを検出します。 IEEE 802.1X認証を使用する場合はAuthenticatorがEAP-Requestを(図4-18に示す)を送信するか、サプリカントはEAPOL-Startメッセージを送信した場合、EAP認証プロセスが開始されます。 EAP認証フレームは、サプリカント間及びASオーセンティケータとサプリカントの制御されていないポートを経由して渡す。これは、図4-18に示されている。
c)のサプリカントとASはお互いを認証し、PMKを生成します。 PMKは、セキュアなチャネルを介して認証にASから送信されます。図4-18を参照してください。

EAPOL-Keyのフレームを活用し、4ウェイハンドシェイクまたはFT 4ウェイハンドシェイクは、次の操作を実行するためにオーセンティケータによって開始されます:

- ライブピアがPMKを保持していることを確認します。
- PMKが最新であることを確認します。
- 高速BSS遷移の場合には、PMK-R0sとPMK-存在するR 1を導出する。
- PMK-R1から、高速BSS遷移の際に、PMKからの新鮮なペア過渡キー(PTK)を導出または。
- IEEE標準802.11に対暗号化と整合性のキーをインストールします。
- APで、既にインストールされていない場合は、オーセンティケータからサプリカントへのグループテンポラル鍵(GTK)とGTKシーケンス番号を輸送とSTAでGTKとGTKシーケンス番号をインストールして。
- 管理フレーム保護が交渉されている場合は、既にAPには、インストールされていない場合は、オーセンティケータからサプリカントへIGTKとIGTKパケット番号(IPN)輸送とSTAでこれらの値をインストールして、。
- 8.4.2.27.4で定義されているとして交渉RSN機能が有効であることを確認します。
- 暗号スイートの選択を確認します。

PTKをインストールし、該当する場合はGTKキー、MACは制御または制御されていないポートを経由して暗号化および復号化するためにそれらのパスに関係なく、すべての後続たMSDUを引き起こす。

4ウェイハンドシェイクが正常に完了すると、オーセンティケータとサプリカントは、互いを認証しました;とIEEE 802.1X制御ポートは一般的なデータトラフィックを許可するためのブロックが解除されます。図4-19を参照してください。

Authenticatorが後でGTKを変更する場合には、サプリカントは、個別にアドレスフレームを送信および受信するように、必要に応じて、グループ宛のメッセージを受信し続けるとできるようにするためにグループキーハンドシェイクを使用して、サプリカントに新しいGTKとGTKシーケンス番号を送信する。 EAPOLキーフレームはこの交換を行うために使用される。図4-20を参照してください。

管理フレーム保護が交渉されている場合、認証もIGTKを変更するために、関連付けられたすべてのSTAとグループキーハンドシェイクを使用しています。 11.6に記載されているようにオーセンティケータは、EAPOL-KeyフレームにGTKとIGTK値を暗号化します。

4.10.3.1 General

IEEE802.1Xは、ASオープンシステム認証の後に使用されている場合、パスワードまたはPSKは、IEEE802.11認証時に使用されている場合、およびPSKは、オープンシステムの後に使用されている場合:この節は、次の3つのケースでRSNのシステムのセットアップと操作をまとめたもの認証。 ESSについては、APは、オーセンティケータを含み、関連する各STAは、サプリカントを含む。

IEEE802.11 カテゴリー

ウェブページ