Системибездротового комп’ютерного зв’язку 802.1х
Характеристикисімейства
Різнихспецифікацій стандартів бездротових мереж сімейства 802.1х існує досить багато.Всі вони поділяються на чотири великі категорії: WPAN, WLAN, WMAN, WWAN.
WLAN – ця категорія бездротовоїмережі призначена для зв”язку між собою різних пристроїв, подібно LAN на основі витої пари чи оптоволокнаі при цьому характеризується високою швидкістю передачі даних на відносноневеликі відстані. Взаємодія пристроїв описується сімейством стандартів ІЕЕЕ802.11, що включає в себе 20 специфікацій.
У зв”язку з цим,у багатьох складається враження, що ІЕЕЕ 802.11 і Wi-Fi одне й те ж. На даний час, під Wi-Fi розуміється торгова марка, якапоказує, що конкретний пристрій відповідає специфікаціям 802.11а, 802.11b, 802.11g.
Таким чином,сімейство ІЕЕЕ 802.11 можна розділити на три класи: 802.11а, 802.11b, 802.11 і/е/.../w.
IEEE 802.11a одинзі стандартів бездротових локальних мереж, що описує принципи функціонуванняпристроїв в частотному діапазоні ISM ( смуга частот 5, 125, 825 ГГц ) по принципу OFDM ( мультиплексування з розподілом поортогональним частотам ). Смуга поділяється на три робочі зони шириною 100 МГці для кожної зони визначена максимальна потужність випромінення 50 мВт, 250мВт, 1 Вт. Планується, що остання зона частот буде використатись дляорганізації каналів зв”язку між будівлями чи зовнішніми об”єктами, а дві іншізони – всередині них. Редакцією стандарту, затвердженою в 1999 році, визначенітри обов”язкові швидкості 6, 12 і 24 Мб/с і п”ять необов”язкових 9, 18, 36, 48і 54 Мб/с. Однак цей стандарт не прийняли в Росії внаслідок використаннячастини цього діапазону відомчими структурами. Можливим вирішенням цієїпроблеми може стати специфікація 802.11h, яка доповнена алгоритмами ефективноговибору частот лдя бездротових мереж, а також засобами управління використаннямспектру, контролю над потужністю випромінювання, а також генерації відповіднихвідліків. Радіус дії пристроїв у закритих приміщеннях складає близько 12 метрівна швидкості 54 Мб/с і до 90 метрів при швидкості 6Мб/с, у відкритихприміщеннях чи в зоні прямої видимості близько 30 метрів ( 54 Мб/с ) і до 300метрів при 6 Мб/с. Крім того, деякі виробники впроваджують свої пристроїтехнології прискорення, завдяки яким можливий обмін даними в Turbo 802.11a на швидкостях до 108Мб/с.
До переваг даногостандарту належить якість сигналу і підвищена пропускна здатність каналу,оскільки OFDM дозволяє паралельну передачукорисного сигналу одночасно по кільком частотам діапазону, в той час яктехнології розширення спектру передають сигнали послідовно.
До недоліків802.11а відносяться більш висока потужність живлення радіопередавачів длячастот 5 ГГц, а також менший радіус дії.
Підводячикороткий підсумок слід відмітити, що дана версія є так би мовити “боковою віхою” основного стандарту 802.11. Длязбільшення пропускної здатності каналу тут використовується діапазон частотпередачі 5,5 ГГц. Для передачі у 802.11а використовується метод множининесучих, коли діапазон частот розбивається на підканали з різними несучимичастотами ( OFDM ), по яким потік передаєтьсяпаралельно, розбитий на частини. Використання методу квадратурної фазноїмодуляції дозволяє досягти пропускної здатності каналу 54 Мбіт/сек.
ІЕЕЕ 802.11b перший стандарт, що отримав широкепоширення і дозволив створити бездротові локальні мережі в офісах, домах,квартирах. Ця специфікація описує принципи взаємодії пристроїв у діапазоні 2,4ГГц ( 2, 42, 4835 ГГц ), розділеному на три канали, що не перекриваються потехнології DSSS ( широкосмугова модуляція зпрямим розширенням спектру ) і використовує РВСС ( двійкове згорткове кодування). Згідно цієї технології модуляції, здійснюється генерування збиткового наборубіт на кожен переданий біт корисної інформації, завдяки цьому здійснюється більшвисока імовірність відновлення переданої інформації і краща завадостійкість (шуми і завади ідентифікуються як сигнал з неоднаковим набором біт і томувідфільтровуються ). Стандарт не чіпає канальний рівень і вносить зміни в ІЕЕЕ802.11 лише на фізичному рівні. Стандартом визначені чотири обов”язковішвидкості 1, 2, 5,5 і 11 Мб/с. Стосовно можливого радіуса взаємодії пристроїв,то він складає у закритих приміщеннях близько 30 метрів на швидкості 11 Мб/с ідо 90 метрів при швидкості 1 Мб/с, у відкритих приміщеннях чи в зоні прямоївидимості близько 120 метрів ( 11 Мб/с ) і до 460 метрів при 1 Мб/с. Оскількиобладнання, що працює на максимальній швидкості 11Мб/с має менший радіус дії,ніж на більш низьких швидкостях, то стандартом передбачено автоматичне пониженняшвидкості при погіршенні якості сигналу.
В умовахпостійного зростання потоків даних ця специфікація практично вичерпала себе іна зміну їй прийшов стандарт ІЕЕЕ 802.11g.
ІЕЕЕ 802.11d – для розширення географіїрозповсюдження мереж стандарту 802.11, ІЕЕЕ розробляє універсальні вимоги дофізичного рівня 802.11 ( процедури формування каналів, псевдо випадковіпослідовності частот, додаткові параметри тощо ). Відповідний стандарт 802.11d поки що знаходиться у стадіїрозробки.
Стандарт визначаєвимоги до до фізичних параметрів каналів ( потужність випромінювання ідіапазони частот ) і пристроїв бездротових мереж з метою забезпечення їхвідповідності законодавчим нормам різних країн.
802.11е –специфікація цього стандарту дозволяє створювати мультисервісні бездротовілінії зв”язку ( ЛЗ ), орієнтовані на різні категорії користувачів яккорпоративних, так і індивідуальних. При збереженні повної сумісності з ужеприйнятими стандартами 802.11а і b, він дозволить розширити їх функціональність за рахунок підтримкипотокових мультимедіа – даних і гарантованої якості послуг ( QoS ).
Створення даногостандарту пов”язане з використанням засобів мультимедіа. Він визначає механізмпризначення пріоритетів різним видам трафіку, таким як аудіо- і відеодоповнення.
Специфікації802.11f описують протокол обміну службовоюінформацією між точками доступу ( Inter-Access Point Protocol – IAPP ), що необхідно для побудовирозподілених бездротових мереж передачі даних. Для затвердження цихспецифікацій в якості стандарту поки – що не визначена.
Даний стандарт,пов”язаний з аутентифікацією, визначає механізм взаємодії точок зв”язку міжсобою при переміщенні клієнта між сегментами мережі. Інша назва стандарту — Inter-Access Point Protocol.
ІЕЕЕ 802.11g – стандарт бездротової мережі, якийє логічним розвитком 802.11b, в тому сенсі, що використовує той же частотний діапазон і припускаєзворотню сумісність з пристроями, що відповідають стандарту 802.11b. Одночасно з цим, цей представниксімейства специфікацій, як і має бути, намагався взяти все краще від піонерів802.11b і 802.11а. Так основнийпринцип модуляції взятий у 802.11а OFDM сумісно з технологією ССК ( кодування комплементарним кодом), а додатково передбачено використання технології РВСС. Завдяки цьому встандарті передбачено шість обов”язкових швидкостей 1, 2, 5,5, 6, 11, 12, 24Мб/с і чотири додаткових 33, 36, 48 і 54 Мб/с. Радіус зони дії збільшено взакритих приміщеннях до 30 метрів ( 54 Мб/с ) і до 91 метра при швидкості 1 Мб/с, а при віддаленні на 460 метрів можлива робота зі швидкістю 1 Мб/с.
802.11h – визначає правила вибору частотнихканалів у 5 ГГц діапазоні в Європі.
802.11і –специфікує функції забезпечення інформаційної безпеки бездротових ЛЗ,покращуючи їх захищеність у порівнянні з застосуванням базового захисногопротоколу WEP ( WAP 1.0 ), описаного в стандарті 802.11( стандарт 802.11і прийнято в липні 2004 року).
802.11k – визначає методи вимірюванняхарактеристик радіочастотного випромінення (корисного сигналу і завади).
802.11n – описує бездротову мережу повиробітку в порівнянні з проводовою мережею Ethernet 100Base – T.
Порівняльнахарактеристика основних стандартів наведена у таблиці 1
Таблиця 1Порівняльна характеристика основних стандартівСтандарт 802.11a 802.11b 802.11g 802.11i 802.11n Частота (GHz)
5.150-5.350
5.470-5.850 2.400-2.483 2.400-2.483 2.400-2.483 2.400-2.483 Дальність (м) 10-100 30-300 30-300 30-300 50-400
Швидкість
( Мбит/с) 54 11 54 108 540 Технології шифрувания WEP WEP WEP WPA WPA2 WEP WPA WPA2 AES WEP WPA WPA2 AES
802.11v –специфікує протокол управліннябездротових ЛЗ ( БЛЗ ).
Необхідність урозробці стандарту 802.11v обумовлена труднощами, які виникають при спробах управляти БЛЗ попротоколу SNMP. Справа у тому, що на ринкупредставлено досить мало пристроїв Wi-Fi з підтримкою цього протоколу. Крімтого, для використання захищеного протоколу SNMP необхідно виконати непроступроцедуру конфігурації цього пристрою, а також нерідко необхідно управляти їмдо встановлення ІР – зв”язку з ним.
2. Характеристикисистеми безпеки у 802.11
З самого початкуу сімействі протоколів був передбачений комплекс мір безпеки, об”єднанийзагальною назвою WEP(безпека, еквівалентна проводовій мережі ). Незважаючи на те, що WEP підтримується більшістю обладнання802.11, виявилось, що він має найнижчий рівень захисту. Причина уразливості WEP заключається у використанністатичних ключів шифрування, відомих усим станціям, а також у тому, що непередбачений процес перевірки справжності користувача. Для оновлення ключівнеобхідно внести відповідні зміни на кожному компьютері, а якщо залишитикриптографічні ключі незмінними, то зламати мережу достатньо просто. На деякихсайтах для ілюстрації уразливості WEP навіть приводяться покрокові інструкції для злому.
Враховуючивразливість WEP, була розроблена новатехнологія захисту WPА. Цятехнологія врахувала недоліки WEP і згідно специфікації включає в себе протокол ТКІР, який працює взв”язкі з механізмами 802.1х. Підвищення рівня безпеки забезпечуєтьсяперіодичним генеруванням унікального ключа для кожного користувача. Тим неменше, стандарт WEP, якзазначалось раніше, схильний атакам типу DoS. Для цього достатньо, щоб на сервердоступу кожну секунду приходило кілька невірних запитів на ідентифікацію, прицьому сервер визначає спробу несанкціонованого доступу і здійснює розрив усіхз”єднань на деякий час ( близько хвилини ).
Таким чином,постійна відправка невірних даних може призвести до нестабільної роботи.
Наступнийрозроблений стандарт WPА2. Його відмінність від WPА заключається у більш стійкому до зламу алгоритмі шифрування AES (Advanced Encryption Standard ) і модифікованому алгоритміуправління ключами.
/>
Рис.1 Структурастандарту WPA2
WPAN бездротова мережа, призначена дляорганізації бездротового зв”язку між різнотипними пристроями на обмеженій площі( наприклад, в рамках квартири, офісного робочого місця ). Стандарти, яківизначають методи функціонування мережі, описані в сімействі специфікацій ІЕЕЕ802.15. Один з них, наприклад, Bluetooth ( ІЕЕЕ 802.15.1 ). Пропоную розглянути два найбільшперспективних стандарти ZigBee і 802.15.3.
ІЕЕЕ 802.15.3розроблявся як високошвидкісний стандарт WPAN-мереж для високотехнологічнихпобутових пристроїв ( призначених як правило для передачі мультимедійних даних). Використання смуги 2,4 ГГц і технології модуляції OQPSH (Offset Qadrature Phase Shift Keying, квадратурна маніпуляція з фазовимзсувом ) дозволяє досягти швидкості передачі у 255 Мб/с на відстань до 100метрів. Захист даних може здійснюватись по стандарту AES. В модифікації стандарта 802.15.3апланується збільшити пропускну здатність до 480 Мб/с, а в специфікації 802.15.3b пропускна здатність складатиме від100 до 400 Мб/с.
Стандарт ZigBee, затверджений у кінці минулогороку, розроблявся більше двох років і за цей час змінив кілька назв, серед якихHomeRF, RF-EasyLink i Firefly. Зроблю уточнення. В ряді джерелспецифікації 802.15.4 і ZigBee ототожнюються, але насправді, консорціумкомпаній ZigBee Allianceрозширив і вніс ряд змін до стандарту 802.15.4, що описує фізичний рівень зв”язкуі основні способи взаємодії між пристроями. У випадку з ZigBee передбачуєтьсяопис додаткових вимог для відкритості і сумісності пристроїв. Слід відмітити,що до сих пір не має загальнодоступної специфікації стандарту ZigBee, навідмінувід широкодоступних характеристик 802.15.4.
До ключовихмоментів, по словам розробників, слід віднести більш низьке енергоживлення,можливість використання 64-бітної адресації ( до 65 тис. вузлів у мережі ),меншу вартість аналогічних пристроїв. Так, ZigBee-пристрої можуть працюватиблизько трьох років без заміни елементу живлення, в той час як Bluetoothблизько неділі, а автономні Wi-Fi не більше п”яти діб. Зофіційних заяв, відстань між взаємодіючими пристроями може досягати 75 метрівпри швидкості передачі до 250 Кб/с, однак враховуючи еволюцію в дальності діїїBluetooth ( з 10 до 100 метрів ), це не здається границею.
В залежності відрівня складності ZigBee-пристрої можуть виступати як координатори, управляючироботою комплексної мережі, так і прийомопередавачами даних ( не тільки своїх,але і чужих ), чи в простішому випадку, обмінюватись інформацією тільки зкоординатором. Слід відмітити, що в стандарті передбачається використання128-бітного AES-шифрування даних.
До основних сферзастосування слід віднести обслуговування різноманітних датчиків, взаємодіяохоронних, пожежних і інших сигналізацій з відповідними службами, в майбутньомустворення розумного будинку. Без сумніву, реалізація таких можливостейпроводиться і без допомоги ZigBee, але ZigBee забезпечує повну незалежність відвиробника, а необхідність у встановленні перетворюючого інтерфейсу відпадаєсама собою.
ІЕЕЕ 802.15.4а/bстандарт так званої технології UWB, яка основана на передачі множинизакодованих імпульсів негармонічної форми невеликої потужності ( 0,05 мВт ) імалої протяжності в широкому діапазоні частот ( від 3,1 до 10,6 ГГц ). Передачаданих на відстанях до 5 метрів здійснюється зі швидкістю від 400 до 500 Мб/с.
Таблиця 1 Порівняльнахарактеристика бездротових технологій
/>
3.Удосконналений механізм управління ключами
Алгоритмиаутентифікації стандартів 802.11 і ЕАР можуть забезпечити сервер RADIUS і клієнта динамічними,орієнтованими на користувача ключами. Але той ключ, який створюється в процесіаутентифікації, не є ключем, що використовується для шифрування фреймів чиперевірки цілісності повідомлень. В стандарті 802.11і WPA для отримання усіх ключіввикористовується так званий майстер – ключ (парний майстер – ключ — РТК) іпарний перехідний ключ (РТК), що генерується клієнтом у процесі аутентифікації,являються одно адресатними по своїй природі. Вони тільки шифрують і дешифруютьодно адресатні фрейми і призначені для єдиного користувача. Широкомовні фреймипотребують окремої ієрархії ключів тому, що використання з цією метою одно — адресних ключів призведе до різкого зростання трафіка мережі. Точці доступу(єдиному об’єкту, що має право нарозсилку широкомовних чи багато адресних повідомлень) довелося б відправлятиодин і той же широкомовний чи багатоадресний фрейм, зашифрований відповіднимипофреймованими ключами, кожному користувачу.
Широкомовні чибагато адресні фрейми використовують ієрархію групових ключів. Груповий майстер– ключ (GMK) знаходиться на вершині цієїієрархії і виводиться у точці доступу. Вивід GMK оснований на застосуванні PRF, в результаті чого утворюється256-розрядний GMK. Вхідними даними для PRF-256 є шифрувальне секретне випадковечисло (чи nonce), рядок тексту, МАС – адресаточки доступу і значення часу в форматі синхронізуючого мережевого протокола (NTP). На рисунку 2 представленаієрархія групових ключів.
/>
Рис.2 Ієрархіягрупових ключів
Груповий майстер– ключ, рядок тексту, МАС – адреса точки доступу і Gnonce (значення, яке береться ізлічильника ключа точки доступу) об’єднуються і обробляються з допомогою PRF, в результаті отримуємо 256 –розрядний груповий перехідний ключ (GTK). GTK ділиться на 128 – розрядний ключ шифрування широкомовних/багатоадреснихфреймів, 64 – розрядний ключ передачі МІС і 64 – розрядний ключ прийому МІС. Здопомогою цих ключів широкомовні і багато адресні фрейми шифруються ідешифруються точно так же, як з допомогою одно адресних ключів, отриманих наоснові парного майстер – ключа (РМК).
Клієнтобновляється з допомогою групових ключів шифрування через повідомлення ЕАРоL-Key. Точка доступу посилає такомуклієнту повідомлення ЕАРоL, зашифроване з допомогою одноадресного ключа шифрування. Групові ключізнищуються і регенеруються кожен раз, коли яка – небудь станція дисоціюється чидезаутентифікується в BSS. Якщо утворюється помилка МІС, однією з мір протидії також є видаленнявсих ключів, що зв’язані з помилкою у приймальної станції, включаючи груповіключі.
Таким чином,алгоритми аутентифікації, визначені у стандарті 802.11 розробки 1997 року маютьбагато недоліків. Система аутентифікації можуть бути зламані за короткий час.Протокол ТКІР обіцяє ліквідувати недоліки попередніх розробок і системаутентифікації в недалекій перспективі, а стандарт 802.1х і AES надають довгострокове вирішенняпроблеми безпеки бездротових мереж.