802.11i, 802.11i-2004   Institute of Electrical and Electronic Engineers 802.11i, IEEE 802.11i  

(2021-07-06)

PSK , Pre-Shared Key, Pre Shared Key, 사전 공유 키, CCMP, CTR with CBC-MAC Protocol, TKIP/RC4, CCMP/AES, 802.11i AKM


1. 802.11i 표준

  ㅇ 기존 802.11에서의 무선 LAN 보안의 취약성을 해결하기 위한 표준 (2004년 비준됨)
     -  `IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements`


2. 802.11i 특징 (기존 보다)

  ㅇ 강화된 암호화 방식  :  무선 구간에서 데이터 보호(기밀성,무결성) 능력 강화

  ㅇ 강화된 인증 방식  :  `인증`과 `암호화` 두 기능이 완벽하게 분리됨
     - 즉, 인증이 성공한 후에야, 인증 서버세션 암호화키를 생성,배포하는 등

  ※ 주요 특징
     - 암호화 방식 : TKIP/RC4 (선택), CCMP/AES (필수)
     - 인증 구조 : 802.1X/EAP, Pre Shared Key
     - 동적 암호 키 생성 (generation of Dynamic Encryption Key)
        . 사실상, 동적 암호 키는, 
        . 802.1X/EAP 또는 Pre Shared Key 인증 과정 중 부산물로써 생성됨


3. 802.11i 암호화 방식 AES - CCMP 또는 CCMP/AES  :  (필수 의무)
     * 그 이전 장비와는 다른 새로운 하드웨어 필요
     - 암호화 프로토콜 : CCMP (CTR with CBC-MAC Protocol)
        . CTR (Counter Mode) : 기밀성 제공                                  ☞ 암호운영모드 참조
        . CBC-MAC (Cipher Block Chaining - Message Authentication Code) : 인증,무결성 제공
     - 암호화 알고리즘 : AES (Authentication Encryption Standard)
        . 블록 암호화 방식
        . 키 길이 128 비트, 블록 크기 128 비트를 사용
        . 한편, 기존의 WEP,TKIPRC4 스트림 암호화 방식을 사용

  ㅇ TKIP - RC4 또는 TKIP/RC4  :  (선택 옵션)
     * 역호환(backward compatibility) 가능 
        . 보안에 매우 취약한 기존 WEP - RC4 를 한시적으로나마 대체하기 위한 개선 확장판
        . 기존에 사용중인 WLAN 장비에 단지 펌웨어 업그레이드 정도 만으로 구현 가능
           .. 스트림 암호화 방식인 RC4 에 이미 맞추어 제작된 하드웨어를 그대로 쓸 수 있음
     - 암호화 프로토콜 : TKIP (Temporary Key Integrity Protocol)
     - 암호화 알고리즘 : RC4 (Rivest Cipher 4)
        . 스트림 암호화 방식

  ※ CCMP, TKIP 방식에서는,
     - 비밀 키 생성을 양단 간에, 4-Way Handshake에 의해 동적으로 생성하는 것이 가능함 


4. 802.11i 인증 구조802.1X/EAP 방식                   :  (기업용,대규모)
     - 사용자 인증키 교환을 위해서 별도의 인증 서버 필요
        . 실제 인증 수행은 주로 EAP 라는 인증 프레임워크 상에서 이루어짐

  ㅇ 사전 공유 키(Pre Shared Key) 방식  :  (개인용,소규모)
     - 별도의 인증 서버가 필요 없는 대신에, 
        . 무선단말엑세스포인트 간에 사전에 특정 키를 공유하여야 함 
        . 통상, 256 비트 길이로 사용자/관리자가 입력한 암호SSID로부터 생성됨
     - Supplicant(무선단말),Authenticator(AP) 사이에서 만 인증메세지를 직접 주고받게됨
        . Supplicant,Authenticator에 동일한 Pre Shared Key가 셋팅되고,
        . 이를 그대로 사용하는 정적인 PMK로부터 무선구간 세션암호화 키가 유도됨
     - 사전 공유 키 방식은, 
        . WPA/WPA2-Personal Pre-Shared Key, WPA/WPA2-Passphrase, WPA/WPA2-PSK, 
          WPA/WPA2-Preshared Key 등 여러 명칭으로도 불리움

  ※ [기타] 무선 LAN의 이동 보안        :  (802.11 로밍 보안)
     - AP 간에 핸드오프 환경하에서도 견고한 실시간 보안 제공 등
        . 무선 단말이 여러 AP를 거치며 핸드오프 시에도 보안 제공
        . 위장 AP 및 위장 단말 차단 등


5. 802.11i 단계별 구분 : 인증 및 키 관리 단계 (AKM, Authentication and Key Management)인증 단계                                                          ☞ 802.11 인증 참조
     - 상대방 신원주장의 유효성을 성립시키는 것
        . 무선 네트워크로의 접근 권한이 있는지, 신분 확인

     - 키 교환 등을 통한 마스터 키 성립(Master Key Establishment)
        . 수동적(사전 공유키) 또는 동적(802.1X/EAP)으로 성립

  ㅇ 키 관리 단계 : Key Exchange/Key Agreement (4-Way Handshake)       ☞ 802.11 키 관리 참조
     - 인증 단계에서 마스터 키가 성립된 후에, 
     - 임시 키(Transient Key ☞ 802.11 키 종류) 생성을 위한 키 교환/키 합의 단계 
        . 이 과정은 키 교환 보다는 협상 및 합의에 가까운 절차임
     - 주로, 세션암호 키의 생성/분배 등의 관리를 말함

RSN
   1. RSN, RSNA   2. RSN 인증   3. 802.11i   4. WPA,WPA2  
무선 LAN 관련 표준
   1. 802.11   2. 802.11a   3. 802.11b   4. 802.11g   5. 802.11i   6. 802.11n   7. 802.11ac   8. 802.11p   9. HiperLAN  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"