[802.11] 802.11i (detailed)

 

802.11i 보안에 관해 한번 작성해보았습니다.

 

이 역시 뭐...마소...델...인텔 등등 여러 군데를 구글링하고..책보고 해서...나온..ㅋ..결과물입니다..

 

중요한 액기스만 썻으니ㅋ_ㅋ 잘봐주시고 잘못된 부분이 있으시면 지ㅋ적ㅋ 부탁드립니다

 

--------------------------------------------------------------------------

 

 

802.11i의 개요

 

802.11i 이란, 무선 랜의 합리적인 가격과 편리성에도 불구하고 WEP등의 취약한 보안이 문제가 되고있었는데

 

이 문제를 해결하기 위해 2004년 7월에 새롭게 등장한 무선 랜 보안 표준이다.

 

이는 사용자 인증, 데이터 무결성, 키 관리, 암호화 등의 방식들과 EAP등의 검증된 보안 기술들이 포함되어 있어,

 

보다 강력한 암호화 기능과 인증을 제공한다.

 

802.11i은 AP와 Station간의 인증과 키 교환 및 BSS 내의 무선 구간에서의 통신 보호를 위해 상이한 암호 키와 메세지 무결성 키에 의해 보호되는

 

신뢰성 있는 아주 튼튼한 무선 보안 망, 즉 RSN(Robust Security Network)을 구축하여 보호한다.

 

 

 

802.11i 표준 암호화 알고리즘

 

이는 무선 구간 데이터 보호를 하기 위한 방법을 뜻한다.

 

알고리즘 종류에는 station과 AP 사이에서 설립된 암호 키를 사용하는 TKIP과, CCMP 알고리즘이 있다.

 

 

 

1. TKIP(Temporal Key Integrity CBC-MAC Protocol)

 

=> TKIP 암호화 알고리즘은 기존 WEP를 확장하는 방법으로, 하드웨어를 교체하는 번거로움 없이 소프트웨어 업그레이드만으로 사용할 수 있도록 

 

구현되어 있으며, 메세지 무결성 코드인 MIC를 프레임에 포함시키고, WEP를 이용해 암호화를 하여 각 데이터 프레임마다 WEP에 적용되는 키가

 

변경되도록 설계되어 있다. 즉, 패킷 하나하나 마다 암호 키를 변경하여 암호화를 적용시켰다고 할 수 있다.

 

아래의 그림은 TKIP 알고리즘의 암 · 복호화 과정을 보여준다.

 

 

 

 

2.CCMP(Counter mode with CBC-MAC Protocol)

 

CCMP 알고리즘이란, counter mode with cipher-block chaining with message authentication code(CTR-CBC-MAC) 프로토콜이라고 하기도 하며,

 

CCM Mode(Counter mode with CBC-MAC Mode)를 사용하는 AES(Advanced Encryption Standard) 암호 알고리즘을 사용한다.

 

이는 AES 암호화가 그대로 포함되어 있어, 매우 강력한 보안성을 지니고 있다.

 

아래의 그림은 CCMP 알고리즘의 암 · 복호화 과정을 보여준다.

 

 

 

 

 

802.11 표준 인증 방식

 

사용자를 어떤 방식의 인증으로 엑세스 포인트에 연결시킬 것인지 정의한다.

 

이는 사용자 인증뿐만 아니라 station과 AP 사이에 교환하게 될 session key의 master key를 생성하는 키 관리 방식을 구분하기 때문에

 

섞여있는 인증과 키를 통틀어 AKM(Authentication Key Management) 방식이라고 부르기도 한다.

 

 

1.802.1x

 

802.1x는 다양한 인증 방식(프로토콜)을 제공하며 포트를 이용한 인증 접근 방식을 통해 포트 접근 제어 기능을 정의하고 있다.

 

이러한 포트 접근 제어 기능을 통해 인증과 무선 구간 보안에 필요한 PMK(Pairwise Master Key), 일명 마스터 키를 전달할 수 있는데,

 

이 마스터 키를 이용하여 일대일 대칭 키인 PTK(Pairwise Transient Key)교환을 하여 포트 제어를 수행하게 된다.

 

 

2.사전 공유 키 : PSK(Pre-Shared Key)

 

별도의 인증 서버는 없지만, 대신 키 값을 사전에 정의하여 Station과 AP에 입력하여 사용하는 인증방식이다.

 

이는 인증서버 설치의 부담이 있는 SOHO 또는 가정에서 활용 가능한 방식이다.

 

 

- 선인증(Pre-Authentication) 방식 및 마스터 키(PMK) 관련 정보의 캐시(cache) 기능 도입

 

선인증이란, 현재 접속되어 있는 AP 뿐만 아니라 근접한 모든 AP에게 인증을 요청하여 미리 다수의 AP들의 인증을 받아 놓는다는 것이다.

 

결과적으로, 목표 AP는 직접 접속되어 있지 않은 Station과 관련 PMK를 캐시에 저장하며, Station은 나중에 핸드오프(hand-off : AP 전이라고 생각하세요)

 

될 가능성이 있는 목표 AP에게 미리 인증 받음과 동시에 동일한 PMK를 캐시에 저장하게 되는 것이다.

 

그리고 결과적으로 생성된 PMK와 Station과의 관계는 PMK 식별자(PMKID : PMK IDentifier)로 확인할 수 있다.

 

 

 

802.11i 표준의 키 교환 방식

 

세션 키를 어떻게 하면 안전하게 전달할 수 있는지, 어떻게 하면 효율적으로 전달할 수 있는지에 따라 3가지로 분류된다.

 

 

1.일대 일(Unicast) 통신

 

하나의 Station과 하나의 AP가 통신하는 것을 의미한다.

 

통신 보호용 대칭 키인 PTK(Pairwise Transient Key) 교환을 위한 4 Way-Handshaking 방식을 사용한다.

 

 

2.일대 다(Broadcast) 통신

 

다수의 Station과 하나의 AP가 통신하는 것을 의미한다.

 

통신을 위해 필요한 그룹 키인 GTK(Group Transient Key) 교환을 위한 GKH(Group Key Handshake) 방식이다.

 

 

3.Station 대 Station

 

동일한 BSS 내에 존재하는 2개의 Station이 통신할때 사용하는 단말 대 단말 키(STA to STA Key) 교환을 위한 STAKey Handshake 방식이다.

 

 

 

 출처 - 옛날 블로그 2011/04/30 03:21