Key Management trong Wi-Fi – Vì sao quan trọng? -

Trong một mạng Wi-Fi, key chính là “bí mật” để xác thực và mã hóa dữ liệu. Nếu key bị lộ, toàn bộ hệ thống có nguy cơ bị nghe lén (eavesdropping). Do đó, cơ chế quản lý key (Key Management) là yếu tố sống còn trong bảo mật WLAN.

Có hai loại key thường được sử dụng:

1. Common Key – Khoá chung

Đặc điểm:
Mọi client và Access Point (AP) dùng chung một key.

Ứng dụng:
Có thể dùng cho authentication, encryption hoặc cả hai.

Ưu điểm:
Đơn giản, dễ triển khai.

Nhược điểm:
Chỉ cần một thiết bị bị compromise, hacker có thể giải mã traffic của toàn bộ người dùng kết nối cùng AP.

Ví dụ:
Trong WEP (Wired Equivalent Privacy), toàn bộ client dùng chung một key tĩnh. Đây là lý do vì sao WEP nhanh chóng bị khai tử: chỉ cần sniff vài trăm packet là key có thể bị crack.

2. Individual Key – Khoá riêng cho từng user

Để tăng cường bảo mật, mỗi user được cấp một key riêng biệt.

Có hai cách triển khai:

Cấp khoá riêng ngay từ đầu:
Yêu cầu hệ thống có cơ chế lưu trữ và quản lý key (thường thông qua RADIUS Server – ví dụ WPA2-Enterprise với 802.1X).

Bắt đầu với một common key, sau đó sinh ra individual key:
Common key chỉ đóng vai trò khởi tạo, còn session key (PTK – Pairwise Transient Key) được tạo động khi client thực hiện quá trình 4-way handshake.
Session key này chỉ có hiệu lực trong thời gian phiên kết nối (user session).

Lưu ý:

Individual key chỉ dùng cho unicast traffic.

Với broadcast và multicast, vẫn cần một common key gọi là GTK – Group Temporal Key.

Ví dụ:
Trong WPA2-Personal, tất cả client nhập cùng một Pre-Shared Key (PSK). Nhưng sau quá trình handshake, mỗi client sẽ sinh ra session key riêng. Hacker không thể chỉ dựa vào PSK để giải mã traffic của user khác.

3. Vấn đề Broadcast/Multicast

Không thể dùng individual key cho broadcast/multicast vì AP sẽ phải mã hoá gói tin nhiều lần (cho từng key của từng user) → không khả thi.

Do đó, Wi-Fi sử dụng GTK (Group Temporal Key) – một common key để mã hóa broadcast/multicast.

Như vậy, mỗi client sẽ có 2 loại key:

Individual key (PTK): cho unicast traffic.

Common key (GTK): cho broadcast/multicast.

4. Thực hành bảo mật – Key Rotation

Để giảm nguy cơ bị nghe lén:

Individual key và common key cần được thay đổi định kỳ.

Cơ chế này gọi là key rotation hoặc rekeying.

Trong WPA/WPA2, AP có thể tự động refresh GTK và yêu cầu client cập nhật.

5. Tóm tắt ba nguyên tắc quan trọng

Common key được dùng để mã hóa broadcast/multicast.

Individual key được dùng cho unicast.

Cả hai loại key phải thay đổi định kỳ để tránh bị compromise.

Kết luận

Key Management chính là điểm khác biệt giữa một mạng Wi-Fi yếu kém (WEP) và một mạng Wi-Fi bảo mật cao (WPA3).

Trong thực tế:

WPA2-Enterprise (802.1X + RADIUS): mỗi user có key riêng, quản lý tập trung.

WPA3-SAE: cải thiện hơn nữa bằng chống dictionary attack và forward secrecy.

Nếu bạn đang vận hành WLAN trong doanh nghiệp, hãy luôn ưu tiên triển khai WPA2-Enterprise hoặc WPA3, đồng thời bật tính năng xoay tua khóa key rotation để đảm bảo an toàn tối đa.

Thông tin khác

» Đánh Giá Lỗ Hổng Wi-Fi với Các Công Cụ Phổ Biến (27.08.2025)
» [ccna] NAT (Network Address Translation) (26.08.2025)
» [ccnp encor] Quản lý nghẽn traffic trong mạng (QoS) (26.08.2025)
» [ccna] VPN - Mạng riêng ảo (26.08.2025)
» [ccnp encor] Các cơ chế QoS (26.08.2025)
» [ccnp encor] Phân loại lưu lượng trong QoS (26.08.2025)
» [ccna] Enterprise-Managed VPNs – Tổng quan và các mô hình triển khai VPN cho mạng doanh nghiệp. (26.08.2025)
» [ccna] WAN protocols (26.08.2025)