IEEE802.11:4.5.4 Access control and data confidentiality services

4.5.4.9 Robust management frame protection

堅牢な管理フレームは、管理フレーム保護サービスで保護することができ、管理フレームのセットである。堅牢な管理フレームは、アソシエーション解除、認証解除、および堅牢なアクションフレームです。表8-38の"堅牢"の欄に"いいえ"で指定されたアクションフレームは堅牢な管理フレームではなく、保護されていません。

インフラストラクチャBSSまたはIBSSにおける管理フレーム保護プロトコルが個別にアドレスフレームを保護するためのRSNA PTKの確立後堅牢な管理フレームに適用が完了し、IGTKの配達後グループ宛てのフレームを保護する。堅牢な管理フレーム保護はCCMP、BIP、およびSA照会手続きによって実装されます。

MBSSにおける管理フレーム保護プロトコルはRSNA MTKの確立後に個別にアドレスフレームに適用され、グループは、表8-38で"グループは個人情報保護に対処"として示されているフレームに対処する。堅牢な管理フレーム保護はCCMPによって実装されます。

4.5.4.8 Fast BSS transition

FTメカニズムは前再アソシエーションに新しいAPへのセキュリティおよびQoSパラメータを設定するには、STAのための手段を定義しています。このメカニズムは、時間のかかる操作は、タイムクリティカルな再アソシエーションプロセスから除去することができる。

4.5.4.7 Replay detection

リプレイ検出機構は、他のSTAからのデータまたは保護された堅牢な管理フレームを受信したSTAは、受信したフレームが許可されていない再送であるかどうかを検出することができる手段を定義する。このリプレイ保護機構は、拡張データ暗号カプセル化機構を使用する端末(STA)のデータフレームのために設けられている。リプレイ保護機構はまた、CCMP及びブロードキャスト/マルチキャストインテグリティ·プロトコル(BIP)を使用する無線局のための堅牢な管理フレームのために設けられている。

4.5.4.6 Data origin authenticity

データ発信元の真正機構は、データまたは保護された堅牢な管理フレームを受信したSTAはSTAは、MACプロトコルデータユニット(MPDU)を送信したかを判断することができる手段を定義する。

この機能は、異なるSTAになりすましから一STAを防ぐために、RSNAに必要とされています。

データ発信元の真正性は、個別にアドレス指定されたデータフレームにのみ適用され、個別に堅牢な管理フレームを取り上げた。プロトコルは、これは対称鍵と公開鍵の方法を用いて達成することができないように、グループ宛のフレームのためにあまりにも計算コストが高いデータ発信元の信頼をしている保証するものではありません。

4.5.4.5 Key management

強化されたデータの機密性、データ認証、およびリプレイ保護メカニズムは、新鮮な暗号鍵とそれに対応するセキュリティアソシエーションを必要とする。プロトコルによって、新鮮なキーを提供する、この規格で定義された手順は、FT4ウェイハンドシェイク、FTプロトコル、FTリソース·リクエスト·プロトコル、およびグループキー握手、4ウェイハンドシェイクと呼ばれる。

4.5.4.4 Data confidentiality

有線LANで、物理的に配線に接続だけSTAがLANトラフィックを送信または受信することができます。無線共有媒体と、そこには物理的な接続がなく、LAN内や付近のすべてのSTAおよびその他の一定のRFデバイスは、LANトラフィック、送信、受信、および/または妨害することができるかもしれません。 IEEE 802.11準拠のSTAは、範囲内にあるかのように-PHY IEEE 802.11トラフィックを受信することができますし、範囲内の任意の他のIEEE 802.11 STAに送信することができます。したがって、既存の有線LANへの単一の無線リンク(データの機密性なし)の接続は、真剣に有線LANのセキュリティレベルが低下することがあります。

有線LAN設計の暗黙のレベルにWLANのセキュリティを起動するために、IEEE標準802.11は、メッセージの内容を保護する機能を提供します。この機能は、データの機密性サービスによって提供されます。データの機密性はSSです。

WEP、TKIP、およびCCMP:IEEE規格802.​​11を含め、データトラフィックを保護するために、いくつかの暗号化アルゴリズムを提供します。 WEPおよびTKIPはARC419アルゴリズムに基づいており、CCMPは、高度な暗号化標準(AES)に基づいています。手段は、所定のアソシエーションに使用されるアルゴリズム(複数可)を選択するためのSTAために設けられている。

IEEE標準802.11は、個別に対処堅牢な管理フレームを保護するための1つのセキュリティプロトコル、CCMPを提供します。グループは堅牢な管理フレームを対処するためのこの標準は、データの機密性を提供しません。

IEEE標準802.11は、メッシュのSTA間で個別にアドレスやグループがアドレス指定されたデータフレームの保護のための1つのセキュリティプロトコル、CCMPを提供します。

すべてのIEEE 802.11のSTAのデフォルトのデータの機密性の状態は保護なしで、すなわち "明確に"です。データ機密性サービスが呼び出されていない場合は、すべてのフレームが保護されていない送信されます。このポリシーを送信者に受け入れられない場合、それは、データフレームを送信しないと、ポリシーが受信機に受け入れられない場合は、それが受信したデータフレームを破棄する。保護されていないデータフレームと保護されていない堅牢な管理フレームは、必須のデータの機密性のために設定STAだけでなく、保護されたデータフレームで受信し、受信STAで使用できないキーを使用して保護された堅牢な管理フレームは、LLC(以下に表示せずに、または表示することなく破棄されAPで受信されたフレーム "DSへ"の場合は配信サービスへ)。これらのフレームは、WM [フレームチェックシーケンスなしで受信する場合(FCS)エラー]廃棄されたフレームの再試行にWM帯域幅を無駄にしないように認められている。

4.5.4.3 Deauthentication

既存のオープンシステム、共有キー、またはSAE認証が終了するときに認証解除サービスが呼び出されます。認証解除はSSです。

このSAE認証に関わる認証解除サービスはSAEの認証を終了しています任意のPTKSA、GTKSA、メッシュTKSA、またはメッシュGTKSAは破棄されます。 PMKキャッシュが有効になっていない場合、認証解除もこの成功したSAE認証の結果として作成された任意のPMKSAを破棄します。

認証に関連するための前提条件であるため、ESSでは、認証解除の行為はSTAが引き離されるようにします。認証解除サービスは、認証されたパーティ(非AP STAまたはAP)のいずれかによって呼び出されるかもしれません。認証解除はリクエストではなく、通知である。 STAは、関連するSTAに認証解除通知を送信するときに送信STAで関連付けが終了します。認証解除、および関連付けられた場合、解離は、管理フレーム保護が交渉されている場合を除き、受信STAによって拒否され、メッセージの整合性チェックが失敗することはできません。

RSNのESSでは、オープンシステム802.11認証が必要です。 RSNのESSで、認証​​解除STAための任意団体の終了で認証解除結果。そのSTA無効になっていると、削除対過渡キーセキュリティアソシエーション(PTKSA)のIEEE 802.1x制御ポートでまた結果。認証解除通知は、MAC層を介して標準IEEE 802.1X-2004に提供される。

RSNAでは、認証解除はまた、任意の関連する対過渡キーセキュリティアソシエーション(PTKSA)、グループテンポラルキーセキュリティアソシエーション(GTKSA)、ステーション間のリンク(STSL)マスターキーセキュリティアソシエーション(SMKSA)、STSL一過キーセキュリティアソシエーション(破壊するSTKSA)、及びSTA内に存在すると、関連するIEEE 802.1X制御ポートを閉じ整合性グループテンポラルキーセキュリティアソシエーション(IGTKSA)。ペアワイズマスターキー(PMK)のキャッシュが有効になっていない場合、認証解除も削除PTKSAが導出されたペアワイズマスターキーセキュリティアソシエーション(PMKSA)を破壊します。

RSNのIBSSでは、オープンシステム認証はオプションですが、STAが認証解除フレームを認識する必要があります。そのSTAのIEEE 802.1x制御ポートで認証解除結果はPTKSAを無効にして削除されている。

4.5.4.2 Authentication

IEEE 802.11認証は、IEEE 802.11のSTAの間のリンクレベルで動作します。 IEEE 802.11標準は、エンドツーエンド(メッセージ送信先にメッセージの発信元)又はユーザツーユーザ認証を提供しない。

認証サービスを介して、LANへのアクセスを制御するためのIEEE標準802.11試みる。 IEEE 802.11認証はSSです。このサービスは、ESSとIBSSネットワークの両方において、それらが通信するとSTAのに身元を確立するために、すべてのSTAによって使用されてもよい。認証の相互に許容されるレベルは2つのSTAの間で確立されていない場合は、アソシエーションが確立されていない。

オープンシステム認証、共有キー認証、FT認証、および等しいの同時認証(SAE):IEEE標準802.11 4 802.11認証方式を定義します。オープンシステム認証では、DSへのSTAを認めている。共有鍵認証は、WEP暗号鍵の知識を証明するWEPに依存する。 FT認証は、箇条12に定義されているステーションを認証するための最初のモビリティドメインの関連付けの間に引き出されたキーに依存しています。 SAE認証は、共有パスワードの知識を証明するために有限体暗号化を使用しています。 IEEE 802.11認証機構はまた、新たな認証方式の定義を可能にする。

RSNAは、SAEの認証をサポートする場合があります。 RSNAはまた、オープンシステム認証後に802.1X-2004、または事前共有キー(PSKs)IEEE規格に基づく認証をサポートしています。 IEEE 802.1X認証は、互いにASのSTAとの認証にEAPを利用する。この規格は、実装するために義務的であるEAP方式を指定しません。 IEEE 802.11 IBSS内でIEEE 802.1X認証とPSKの使用の詳細については、11.5.5を参照してください。

RSNA、IEEE 802.1XサプリカントとIEEE 802.1X非制御ポートを経由してオーセンティケータ交換プロトコル情報で。 IEEE 802.1X制御ポートは、IEEE 802.1X認証手順は、IEEE 802.1X非制御ポートを介して正常に完了するまで2つのSTAの間の一般的なデータトラフィックを渡すからブロックされます。

SAE認証またはオープンシステム802.11認証はインフラBSS用RSNで使用されています。 SAE認証、オープンシステム802.11認証、または全く802.11認証がIBSS用RSNで使用されています。

SAE認証がMBSSで使用される。 RSNAを禁止共有キー802.11認証の使用。

STAは、任意の時点で、他の多くのSTAで認証することもできる。

IEEE 802.1X認証プロセスは、(使用中の認証プロトコルに応じて)時間がかかる可能性があるため、認証サービスは、独立アソシエーションサービスを呼び出すことができる。

それが既にAP(それが以前に認証されている)に関連付けられている間に事前認証このタイプの典型的STAによって行われる。 IEEE標準802.11 STAがAPと事前認証を必要としません。

アソシエーションの確立が完了する前にただし、認証が必要である。

認証が再アソシエーション時まで放置されている場合、これはSTAがBSS遷移モビリティ性能を制限する、AP間の再アソシエートする速度に影響を与える可能性がある。事前認証の使用は、タイムクリティカルな再アソシエーションプロセスのうち認証サービスのオーバーヘッドがかかります。

SAE認証は、アソシエーションに先立って行われ、STAは、それがIEEE 802.11さらに別のAPに関連付けてAPの任意の数のSAEプロトコルを実行して、同時に多数のAPに認証することができるという事実を利用することができる。 RSNAセキュリティは協会が結果共有キーを使用した後に確立することができます。

4.5.4.1 General

二つのサービスは、有線のLANに固有のものに同等の機能を提供するために、IEEE標準802.11に必要とされる。有線LANの設計は、ワイヤの物理属性を前提としています。具体的には、有線LAN設計が有線媒体の物理的に閉じられ、制御性を前提としています。 IEEE802.11無線LANの物理的に開いている媒質の性質はそれらの仮定に違反します。

RSNA、二つのサービス、認証、およびデータの機密性をサポートしていないWLANでは、定義されています。 IEEE802.11認証ではなく有線媒体の物理的な接続に使用されます。 WEP暗号化は、閉じた有線媒体のデータの機密性の側面を提供するために定義されました。

RSNAは、アクセス制御を提供するために、例えばTKIPとCCMPのような強化されたデータの暗号化封止機構とともにIEEE802.1X認証サービスを使用する。 IEEE802.11ステーション管理エンティティ(SME)は、IEEE802.1X EAPOL-Keyのフレームの交換を介して鍵管理を提供します。

データの機密性とデータの整合性が強化されたデータの暗号化、カプセル化メカニズムとともにRSN鍵管理によって提供されています。

IEEE802.11 カテゴリー

ウェブページ