Vous êtes sur la page 1sur 2

Scurit des rseaux mesh sans fil Omar Cheikhrouhou

3. une fois quil a obtenu une adresse IP, le client initie le protocole IKE avec le routeur
mesh pour crer une association de scurit pour le protocole IPsec.
4. le trafic du client sera ensuite protg grce au tunnel IPsec cr. Ainsi la
confidentialit des donnes est assure grce au protocole ESP dIPsec et le contrle daccs
au niveau de routeur mesh peut tre fourni par le mcanisme dauthentification de lorigine de
message soit IPsec/AH [RFC2402] soit IPsec/ESP [RFC2406].
3.2 Extension
Afin de permettre lutilisation du mcanisme dauthentification du protocole 802.1X dans les
rseaux mesh sans fil nous proposons dajouter un nouveau composant : le relais. Comme son
nom lindique, le rle du relais est de relayer les messages dauthentification changs entre le
client (supplicant) et le routeur mesh (authentificateur).
Contrairement aux rseaux WLAN, o le client est directement attach au point daccs, dans
un rseau mesh, un ou plusieurs relais peuvent participer la procdure dauthentification
dun nud distant. Par consquent, un mcanisme de routage doit tre mis en place afin
dacheminer ces messages. Rappelons que le client authentifier ne possde pas encore
dadresse IP, de plus pour que le mcanisme dauthentification soit indpendant de la couche
MAC (Medium Access Control) utilise (802.11, 802.15, 802.16 ), il est ncessaire que
cette fonctionnalit soit ajoute au dessus de la couche MAC et donc dans la couche EAPOL.
Effectivement, nous avons ajout deux champs dans la trame EAPOL pour indiquer la source
et la destination du paquet EAP.
De plus nous avons ajout deux champs TimeStamp et MIC pour lutter contre lattaque DoS
dcrite dans [Mishra02]. La trame EAPOL modifie est illustre dans la figure 9.
Type Version Code Length
Destination
Address
Proposed fields to add
Source
Address
TimeStamp MIC
EAP
Packet
Figure 9. Format du paquet EAPOL pour les rseaux mesh
La signification de chaque champ est dcrite comme suit :
Type : de longueur 2 octets, il indique le type de la couche liaison entre le supplicant et
lauthentificateur.
Version : de longueur 1 octet, il spcifie la version du protocole EAPOL utilis.
Code : de longueur 1 octet, il indique le type de paquet EAP. Le champ Code peut prendre
plusieurs valeurs dcrites dans Tableau 2.
Tableau 2. Codes des paquets EAP
Code Valeur Description
EAP-Packet 0000 0000 Indique que la trame transporte un paquet
EAP.
EAPOL-Start 0000 0001 Commence la procdure dauthentification.
EAPOL-Logoff 0000 0010 Utiliser pour se dconnecter.
EAPOL-Key 0000 0011 Indique que la trame transporte des
changes des cls.
18
Scurit des rseaux mesh sans fil Omar Cheikhrouhou
EAPOL-Encapsulated-ASF-Alert 0000 0100 Indique que la trame transporte une alerte.
Length : de longueur 2 octets, il indique la longueur en octets du champ EAP packet
(contenant un paquet EAP).
Destination address : ce champ contient une adresse MAC identifiant la destination de la
trame EAPOL. Cette adresse est en gnral ladresse du supplicant en cas de requte EAP et
ladresse de lauthentificateur (routeur mesh) en cas de rponse EAP.
Source address : ce champ contient une adresse MAC identifiant lmetteur de la trame
EAPOL. Cette adresse est soit ladresse du supplicant en cas de rponse EAP ou ladresse de
lauthentificateur en cas de requte EAP.
Timestamp : cest un nombre alatoire utilis dans le calcul du champ MIC (Message
Integrity Code) pour assurer la protection anti-rejeu.
MIC (Message Integrity Code) : ce champ est calcul en fonction de la trame EAPOL et de
la cl de session partage entre le client et le routeur mesh (exemple MIC=HMAC-
SHA1(trame EAPOL, cl)). Il permet de dtecter la modification des paquets EAP. Le
premier MIC est calcul par le routeur mesh pour protger le message EAP success. Ensuite
ce champ est prsent dans les messages critiques comme EAPOL-Logoff.
EAP packet : ce champ est prsent seulement dans le cas o le champ code est gal EAP-
Packet, EAPOL-Key, et EAPOL-Encapsulated-ASF-Alert.
3.3 Fonctionnement gnral du protocole
Comme dans les rseaux WLAN, quand un nud rejoint le rseau, il doit sauthentifier. Pour
cela le nouveau nud initie la procdure dauthentification en envoyant une trame EAPOL-
Start destine au routeur mesh. Cette premire trame peut tre diffuse dans le cas o le nud
ne connat aucun voisin (Figure 10).
EAP-Success, TimeStamp, MIC
EAPOL Start
EAP Identity Request
RADIUS Access Accept (EAP)
Derived key
EAPOL Start
Authentication message exchanges
1
2
3
4
EAPOL (EAP Over LAN) EAP Over RADIUS
Authentication server
(e.g. RADIUS)
Authenticator
(802.1X mesh router )
Internet
Intermediate node
(802.1X relay)
Supplicant
( 802.1X client)
MACi1 MACs
Destination Next_hop others

MACs MACi1
.. ...
5
Figure 10. Procdure dauthentification dans un rseau mesh sans fil multi-sauts
19

Vous aimerez peut-être aussi