IEEE802.11:4.10.4 IBSS functional model description

4.10.4.4 IBSS IEEE 802.1X example

IEEE802.1X認証が使用される場合、各STAは、IEEE802.1X認証プロバイダとASを含める必要がある。 STAは、ピアSTAがビーコンやプローブ応答フレームから(例えば、AKMPはPSKやIEEE 802.1X認証であるかどうか)RSNAイネーブルおよびピアのセキュリティポリシーにされていることを学習します。

各サプリカントは、認証するために意図する他のすべてのSTAにEAPOL-Startメッセージを送信し、各STAのオーセンティケータは、それが使用しようとする資格のIDで応答します。

保護されたデータフレーム(MLME-PROTECTEDFRAMEDROPPED.indicationプリミティブを介して示されている)、IEEE802.1Xメッセージ、ビーコンフレーム、またはプローブ応答フレームでMACアドレスから受信したときに、EAPOL-StartとEAP要求メッセージが開始されそのSTAは、IEEE 802.1X認証を完了していない。ピアSTAにセキュリティアソシエーションを設定する前に、そのセキュリティポリシーを見つけることがピアSTAにプローブ要求フレームを送信することができるピアのセキュリティポリシーを知らないピアSTA、中小企業へのセキュリティアソシエーションを設定するために。

図4-23は、シリアル化された2 IEEE802.1Xの交流を示しているが、彼らは、インターリーブされた可能性があります。

4.10.4.3 Sample IBSS 4-Way Handshakes

S1、S2、S3:この例では(図4-22を参照)、3のSTAがあります。 S1が送信したグループ宛てのフレームはB1により保護されています、同様にS2用B2、およびS3のためのB3。

復号化基にS2とS3 STAはS1からフレームをアドレス指定するため、B1は、S2及びS3に送られる。これは、最初に4ウェイハンドシェイクを使用してGTK更新のためのグループ鍵ハンドシェイクを使用して行われます。

S2にS1から4ウェイハンドシェイクは、S2にグループ宛てのフレームを送信するためにS1ができますが、S2はGTKを送信する別のを持っているので、S1にグループ宛てのフレームを送信するためにS2を許可しません。の解読S2グループ宛てのフレームにS1可能にするためにS1に4ウェイハンドシェイクを開始するため、S2ニーズ。同様に、S2もS3はS2からグループ宛てのメッセージを受信できるようにS3に4ウェイハンドシェイクを開始する必要があります。

同様S3ではS1とS1とS2にB3を提供するS2と4ウェイハンドシェイクを完了する必要があります。

この例では、6 4ウェイハンドシェイクがある。一般的に、Nカントは、N(N-1)の4ウェイハンドシェイクが必要です。

NOTEイン原則単4ウェイハンドシェイクからKCKとKEKは両方向にグループキーハンドシェイクのために使用されますが、2つの4ウェイハンドシェイクを使用して認証キーステートマシンはIBSSとESSの間で異なっている必要はないことを意味することができます。

グループキーハンドシェイクが正しいのSTAにGTKsを送信するために使用することができる。 4ウェイハンドシェイクは、ペアワイズキーを導出するために、初期GTKを送信するために使用される。 IBSS内の任意の2つのサプリカントとオーセンティケータの間に2つの4ウェイハンドシェイクがあるため、任意の2つのSTAの間で使用されるペアワイズキーが高いMACアドレス(のための11.6.1を参照してくださいとSTAの認証によって開始された4ウェイハンドシェイクからのものであるアドレス比較の概念)。グループ鍵ハンドシェイクに使用KCKとKEKはグループキーハンドシェイクを開始しているのと同じ認証によって開始された4ウェイハンドシェイクによって派生KCKとKEKです。

両方の4ウェイハンドシェイクが正常に完了したときIBSSでセキュアリンクは、2つのSTAの間に存在する。サプリカントとオーセンティケータ4ウェイハンドシェイク·ステート·マシンは、4ウェイハンドシェイクの両方が完了するまで、IEEE 802.1X変数portValidが1に設定されていないので、対話します。

第四のSTAは範囲内に入るとその中小企業は、3つのピアとのセキュリティアソシエーションを開始することを決定し、その認証は、他の3カントのそれぞれと4ウェイハンドシェイクを開始します。場合同様に、IBSSで元の3 STAの認証プロバイダは、第四のSTAカントに4ウェイハンドシェイクを開始する必要があります。 STAは、ピアSTAがビーコンやプローブ応答フレームから(認証と鍵管理プロトコル(AKMP)はSAE、PSK、またはIEEE 802.1X認証であるかどうかなど)RSNAイネーブルおよびピアのセキュリティポリシーにされていることを学習します。開始は、いくつかの理由で始めるかもしれません:

a)は、第四のSTAは、4ウェイハンドシェイクを完了していないものとMACアドレスからビーコンまたはプローブ応答フレームを受信する。
b)の中小企業は、それが4ウェイハンドシェイクを完了していないもので、MACアドレスからプリミティブMLME-PROTECTEDFRAMEDROPPED.indicationを受け取ります。これは、STAのいずれかによって送信グループ宛のデータフレームである可能性があります。ピアSTAにセキュリティアソシエーションを設定する前に、そのセキュリティポリシーを見つけることがピアSTAにプローブ要求フレームを送信することができるピアのセキュリティポリシーを知らないピアSTA、中小企業へのセキュリティアソシエーションを設定するために。
イニシエータが放送データフレーム、ビーコンフレーム、またはそのSTAからプローブ応答フレームを受信したためC)SMEは、STAに送信された4ウェイハンドシェイクのメッセージ1を受け取る。ピアSTA、4ウェイハンドシェイクを受信したが設定する前に、そのセキュリティポリシーを見つけることがピアSTAにプローブ要求フレームを送信することができるピアのセキュリティポリシーを知らないSTAにセキュリティアソシエーションを設定するためにピアSTAにセキュリティアソシエーション。

4.10.4.2 Key usage

IBSS内に2つのSTAの間で個別にアドレス指定されたデータフレームは、ペアワイズキーで保護されている。鍵は、4ウェイハンドシェイク中に導かれるPTK、の一部です。 IBSSで4ウェイハンドシェイクでは、別のSTAのIEEE802.11認証に従うことができる。
 そのような認証はPTKSAの欠失を引き起こし、したがって、以前のハンドシェイクをリセット制御ポートをブロックするためにピアが使用されてもよい。

IBSSグループでアドレス指定されたデータフレームは、グループフレームを宛送信STAによって生成されたB1という名前のキー、例えば、、により保護されています。解読グループに他のSTAがフレームを対処できるようにするには、B1がIBSS内の他のすべてのSTAに送信されます。 B1は、EAPOL-Keyフレームで送信されたEAPOL-Keyの暗号化キー(KEK)PTKの一部で暗号化、およびEAPOL-Keyの確認キー(KCK)PTKの一部によって変更から保護されています。

IBSSでSMEはそのSTAに関連付けられたPTKSAを削除することにより、STAからの認証解除フレームに応答します。

4.10.4.1 General

この副次句は、IBSSでRSNAのシステムセットアップと操作をまとめたものです。 IBSS RSNAは11.5.10で指定されます。

IEEE802.11 カテゴリー

ウェブページ