IEEE 802.11

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 17:27, 21 июня 2017.
Данная статья была согласована с её автором Р.А. Бельферым 28 апреля 2012 года.

__NUMBEREDHEADINGS__

Архитектура сети стандарта 802.11

Рис. 1. Режим с точкой доступа

Стандарт IEEE 802.11 является базовым для всех последующих спецификаций (802.11a, 802.11b, 802.11g, 802.11n). Коммерческое название этих сетей — Wi-Fi (Wireless Fidelity). Эта технология используется в таких областях, как беспроводной доступ в интернет, беспрородное телевидение. Различные стандарты семейства Wi-Fi определяют физический уровень (PHY) и подуровень управления доступом к среде (каналу) MAC (Medium Access Control). Верхние уровни cовпадают по своей структуре как для беспроводных, так и для проводных локальных сетей. Физический уровень определяет способ работы со средой передачи, скорость и методы модуляции. Подуровень MAC отвечает за распределение канала, т.е. за то, какая станция будет передавать следующей. На MAC-уровне определён принцип, по которому устройства используют (делят) общий канал, механизм аутентификации пользователя, механизм шифрования данных. Поскольку стандарт 802.11 разрабатывался как «беспроводный Ethernet», он предусматривает пакетную передачу с 48-битовыми адресами пакетов, как и любая сеть Ethernet. Комитет IEEE 802 обеспечил совместимость всех своих стандартов. Беспроводные сети 802.11 легко сопрягаются с проводными сетями Ethernet.

Стандарт 802.11 предусматривает два основные способа (режима) организации сети[1][2]:

  1. с базовой станцией, называемой в терминологии 802.11 точкой доступа AP (Access Point). Связь между устройствами происходит только через AP. Через AP может быть выход во внешние проводные сети. Такие сети называют также структурированными или работающими в режиме инфраструктуры. Такой режим позволяет транслировать мультимедийную информацию для работы в Интернете (рис. 1,а). В сети 802.11 может быть несколько точек доступа, объединённых проводной сетью Ethernet (рис. 1,б). Фактически такая сеть представляет набор базовых станций с перекрывающимися зонами охвата. Точки доступа АР могут быть доступны к Интернету также через беспроводную сеть WiMAX (cм. следующую главу).
  2. без базовой станции (т.е. без точки доступа), по принципу «равный с равным». Такие сети называют беспроводными самоорганизующимися сетями Ad Hoc (рис. 2). WMN стандарт 802.11s называют также IBSS (Independent Basis Service Set). Термин Ad Hoc - по английски - for this purpuse (целевые). Мобильная Ad Hoc сеть (MANET, Mobile Ad Hoc Network) является распределённой системой из мобильных терминалов, снабженных приемо-передатчиком[3]. Они могут динамически организовывать временные сети. В сетях MANET мобильные устройства выполняют функции не только оконечных станций,
    Рис. 2. Режим без точки доступа (сеть Ad Hoc)
    но и сетевых узлов, выполняющих функции маршрутизаторов. Как правило, такие сети не требуют администрирования. Терминалы, которые не находятся в радиусе действия приемо-передатчиков, осуществляют передачу через последовательность промежуточных маршрутизаторов. Сеть MANET является многошаговой (multihop) в отличии от сети с точкой доступа и может быть подключена с помощью шлюзов к фиксированной сети.

Подуровень MAC стандартов сетей Wi-Fi

Протокол подуровня управления доступом к среде (MAC) в стандарте 802.11 отличается от аналогичного протокола в проводной сети Ethernet. В Ethernet используется механизм множественного доступа к общему каналу связи с контролем несущей и обнаружением конфликтов CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Станция может начать передачу, если канал свободен. Если шумовой всплеск не приходит обратно в течение определённого времени, то кадр доставлен корректно. Таким образом, даже при передаче устройство должно контролировать канал, т.е. работать на приём. В беспроводных сетях такой способ не годится. Существуют в беспроводной сети проблемы скрытой и засвеченной станции. В результате не получается прослушать эфир и осуществить передачу только тогда, когда он никем не занят. Эти проблемы рассмотрим на участках сети, приведенных на рис. 3 и 4. Мощность передатчиков такова, что радиус действия ограничен только соседними станциями, т.е. A и B, C и B, C и D.

Рассмотрим проблему скрытой станции (рис. 3). Станция А передает сообщение станции В. Станция C передаёт сообщение станции B. Если станция С опрашивает канал, то она не будет слышать станцию А, находящуюся вне ее зоны действия. В результате станция С не слышит, что станция В уже занята и начнет передавать сообщение ей. В результате это сообщение исказит сообщение, принимаемое В от А.

Рассмотрим проблему засвеченной станции (рис. 4). Станция В передает станции А сообщение. Станция С при опросе канала слышит выполняемую передачу и может ошибочно предположить что она не в состоянии передавать данные станции D. В действительности такая передача создала бы только помехи в зоне от станции В до станции С, где в данный момент не ведется прием. Для устранения этих проблем в стандарте 802.11 для режима Ad Hoc без точки доступа принят режим CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) - множественный доступ с контролем несущей и предотвращением коллизий. Сети Ad Hoc должны поддерживать этот протокол[4]. На рис. 5 и 6 показан пример использования режима CSMA/CA, основанного на протоколе MACAW. Станция D входит в зону действия B, но не входит в зону действия А. Станция С находится в зоне действия А, а также возможно в зоне действия В.

Рис. 5. Расположение станций примера использования протокола MACAW

На рис. 6. показан принцип работы протокола MACAW для предотвращения коллизий. Станция А посылает станции В кадр RTS запроса разрешения на передачу. Рассмотрим процесс с точки зрения станции А. Если В может принять данные, она отправляет в А подтверждение готовности приема – кадр CTS. После приема CTS станция А запускает таймер АСК и начинает передачу данных. В случае приема неискаженного сообщения станция В передает в А кадр о конце передачи данных АСК.

Рассмотрим процесс с точки зрения станций C и D. Станция С находится в зоне действия А, поэтому она также принимает кадр RTS, в котором указано, сколько времени займет передача данных из А в В. В течение этого времени С считает, что канал занят, и она не должна передавать данные. Индикацией такого состояния является состояние NAV. Станция D не охвачена зоной действия А, а поэтому кадр RTS не поступает к ней. Зато кадр CTS, посланный станцией В поступает в D, которая также выставляет состояние NAV. В результате D считает канал занятым и не передает в течение определенного времени данные в адрес станции В.

Приведем основные поля кадра 802.11:
Рис. 6. Принцип работы протокола MACAW для предотвращения коллизий
  • поле управления кадром. Указывает тип кадра (информационный, контрольный, управления). Примером информационного кадра являются данные или сообщение о переходе станции в режим работы с пониженным энергопотреблением. Примером контрольного кадра являются приведенные выше кадры RTS, CTS, ACK. Кадры управления используются для управления связью станций и точек доступа (например, кадры аутентификации пользователя или отмены аутентификации)
  • поле идентификатор длительности. (например, приведенное выше поле NAV);
  • поле адресов. Возможны следующие типы адресов: отправителя, получателя, исходящей ячейки точки доступа, входящей ячейки точки доступа;
  • поле данные. Длина данных кадра может достигать 2312 байт. Коэффициент ошибок в канале беспроводных локальных вычислительных сетях БЛВС значительно хуже, чем в проводных ЛВС. Для повышения производительности БЛВС применяется разбиение кадров на фрагменты, которые содержат собственную контрольно-проверочную сумму. Фрагментация повышает производительность путем принудительной повторной пересылки коротких фрагментов, в которых произошла ошибка, а не кадров целиком;
  • поле номер позволяет нумеровать фрагменты. Из 16 бит поля 12 идентифицируют кадр, а 4 – фрагмент;
  • поле контрольно проверочная комбинация циклического кода.

Физический уровень стандартов сетей Wi-Fi

Рассмотрим физические уровни стандартов группы 802.11, которые различаются технологиями и достижимыми скоростями:

  • базовый 802.11;
  • 802.11b;
  • 802.11a;
  • 802.11g;
  • 802.11n.

Важной проблемой в развитии сетей Wi-Fi является выделение соответствующей полосы рабочих частот. Быстрое развитие сетей обеспечивается при выделении диапазона частот, не требующего лицензирования. В России разрешено нелицензионное использование диапазона частот 2,4 ГГц и 5,5 Ггц. Диапазон 2,4 ГГц предусмотрен всеми стандартами рассматриваемой группы, кроме 802.11а, который допускает работу только в нелицензионном диапазоне 5 ГГц. Нелицензионный диапазон частот используется для промышленных, медицинских и научных нужд ISM (Industrial, Scientific, Medical), включая домашние радиотелефоны, СВЧ- печи и др.). Поэтому высокий уровень помех потребовал отмеченную в разделе 2 фрагментацию кадров на подуровне MAC.

Базовый стандарт 802.11

В базовом (изначальном) стандарте 802.11 регламентируется работа оборудования на центральной частоте 2,4 ГГц с максимальной скоростью до 2 Мбит/с. На физическом уровне базового протокола 802.11 реализовано 2 метода передачи данных, позволяющие передать кадр подуровня МАС с одной станции на другую:

  • метод перескока частоты FHSS (Frequency Hopping Spread Spectrum);
  • опционно метод расширение спектра методом прямой последовательности DSSS (Direct Sequence Spread Spectrum).

Метод FHSS аналогичен ранее рассматриваемому перескоку частоты в сети GSM и EDGE, а метод DSSS во многом напоминает ранее рассматриваемый метод в системе кодового разделения CDMA. Устройства FHSS делят предназнченную для их работы полосу частот от 2,402 до 2,480 Ггц на 79 неперекрывающихся каналов. Ширина каждого из 79 каналов составляет 1МГц. Отправитель и получатель согласовывают схему переключения каналов, и данные пересылаются последовательно по различным каналам с использованием выбранной схемы. Частота перескока должна быть не менее 2,5 раза в секунду между шестью каналами. Технология FHSS и DSSS обеспечивает максимальную скорость передачи данных лишь 2Мбит/с, в то время как сейчас имеются более быстродействующие сети на основе стандартов 802.11b, 802.11a, 802.11g, 802.11n.

Стандарт 802.11b

На физическом уровне 802.11b реализован метод высокоскоростной передачи широкополосного канала по методу прямой последовательности HR-DSSS (High Rate Direct Sequence Spread Spectrum). Каждый информационный бит замещается чиповой последовательностью 11 бит, равной скалярному произведению информационного бита на поледовательность Баркера длиной 11 бит B1=(10110111000). Далее сигнал кодируется посредством дифференциальной двух- или четырехпозиционной фазовой модуляции (DBPSK или DQPSK, один или два чипа на символ). При частоте модуляции несущей 11МГц общая скорость составляет в зависимости от типа модуляции 1 или 2 Мбит/с. Стандарт 802.11b предусматривает скорости передачи 11 и 5,5 Мбит/с. Для этого используется кодирование комплементарным кодом (ССК-модуляция, Complementary Code Keying), которое позволяет кодировать 8 бит на один символ, что соответствует скорости передачи 11 Мбит/с. При скорости передачи 5,5 Мбит/с в одном символе кодируется 4 бита. В протоколе также предусмотрена коррекция ошибок FEC. В расширенном варианте стандарта 802.11b+ скорость передачи данных может достигать 22 Мбит/с. В стандарте 802.11b используется мониторинг качества канала, позволяющий автоматически изменять скорость передачи данных в зависимости от уровня сигнал/помеха. Поэтому теоретическая скорость не однозначно соответствует реальной скорости передачи данных. За последние годы во всем мире резко возросло количество беспроводных устройств, использование которых иногда создавало проблему помех и перегруженности диапазона 2,4 ГГц. Сети стандарта 802.11b работают в этом нелицензионном диапазоне. Чтобы разгрузить диапазон 2,4 ГГц был разработан стандарт 802.11a для частот 5 ГГц. В этом диапазоне уровень совокупности шумов меньше. В стандарте 802.11b принят в качестве дополнительного еще один способ модуляции — пакетное бинарное сверточное кодирование РВССС. Этот механизм позволяет добиваться в сетях пропускную способность 5,5; 11 и 22 Мбит/с.

Стандарт 802.11a

В стандарте 802.11а используются две центральные частоты в районе 5 ГГц и максимальная скорость передачи составляет до 54 Мбит/с. Эта спецификация основана на принципиально ином механизме множественного доступа, чем в рассмотренных ранее в настоящих материалах стандартов беспроводных систем сотовой связи и Wi-Fi. В 802.11а в качестве основного метода расширения спектра принято мультиплексирование с ортогональным частотным разделением сигналов OFDM (Orthogonal Frequency Division Multiplexing). В соответствии с приказом Министерства связи и массовых коммуникаций РФ №124 (2010 год) на территории РФ для стандарта 802.11a выделены две частотные полосы: 5,150-5,350 и 5,650-6,425 ГГц. В стандарте 802.11a каждый диапазон разбивается на пять рабочих поддиапазонов в зависимости от накладываемого ограничения на мощность передатчика. Рабочий поддиапазон (далее будем называть диапазоном) разбивается на поднесущие, которые ортогональны друг к другу. Ортогональность несущих сигналов обеспечивается в том случае, когда за время длительности одного символа несущий сигнал будет совершать целое число колебаний. Там, где одна поднесущая будет иметь максимум амплитуды, соседняя поднесущая будет иметь нулевое значение. Перед символом постоянно вносится префикс. Для защиты от возникновения межсимвольных коллизий в технологии OFDM вводится понятие защитного интервала GI (Guard Interval), в течение которого будет идти циклическое повторение OFDM. Префикс добавляется к передаваемому символу в передатчике и удаляется при приеме символа в приемнике. Защитный интервал снижает скорость передачи данных. В стандарте 802.11a диапазон разбивается с частотным разносом каналов 20 МГц. При этом в каждом канале имеется 52 поднесущие частоты. Из них 48 используются для передачи данных, а остальные четыре- для кодов коррекции ошибок. Разнос поднесущих частот составлет 312,5 кГц. Ширина сигнальной полосы — 16,66 МГц. Скорость сверхточного кодирования: , , , . Максимальная скорость сверхточного кодирования составляет ¾, когда к каждым трем входным битам добавляется еще один. При использовании бинарной фазовой модуляции BPSK пропускная способность подканала 125 кбит/с. Пропускная способность всего канала с 48 информационными подканалами составляет 6 Мбит/с (48*125 кбит/с.). Квадратурная фазовая модуляция QPSK позволяет удвоить пропускную способность до 12 Мбит/с. 16-уровневая квадратурная амплитудная модуляция QAM-16, кодирующая 4 бит на один Герц несущей частоты, обеспечивает 24 Мбит/с. При использовании 64-уровневой квадратурной амплитудной модуляции QAM-64, кодирующей 8 или 10 бит на один Герц несущей частоты, обеспечивается максимальная для этого стандарта скорость - 54 Мбит/с. В таблице 1 приведены скорости кодирования и скорости передачи для видов модуляции сети 802.11а.

Таблица 1. Скорость кодирования и скорость передачи для видов модуляции сети 802.11а
Модуляция Скорость кодирования Скорость передачи Мбит/с
BPSK 1/2 6
BPSK 3/4 9
QPSK 1/2 12
QPSK 3/4 18
QAM-16 1/2 24
QAM-16 3/4 36
QAM-64 2/3 48
QAM-64 3/4 54

К недостаткам технологии 802.11а относятся более высокая потребляемая мощность для частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300 метров, а для 5 ГГц- около 100 м).

Стандарт 802.11g

Стандарт 802.11g является улучшенной версией 802.11b. Он предназначен для работы на частотах 2,4 ГГц с максимальной скоростью 54 Мбит/с. Он аналогичен стандарту 802.11a по частоте и стандарту 802.11a по максимальной скорости. В нем допускается расширение спектра DSSS и OFDM. Выделенная для 802.11g полоса частот в РФ составляет 2400-2483,5 МГц.

Стандарт 802.11n

Стандарт 802.11n предназначен для повышения скорости передачи данных и увеличения дальности передачи информации. Он основывается, как и стандарт 802.11a на технологии OFDM и предусматривает с конца 2010 года использование в России обоих центральных частот (2,4 и 5 ГГц). При этом в РФ выделены следующие полосы частот:

  • 2400-2483,5 МГц;
  • 5150-5350 МГц;
  • 5650-6425 МГц.

Повышение скорости передачи информации в этом стандарте достигается за счет следующих мер.

  1. Удвоение полосы пропускания канала с 20 до 40 МГц, при этом режим 20 МГц — обязательный и для него установлен базовый режим скоростей передачи. В табл. 2. приведены скорости кодирования и скорости передачи для видов модуляции сети 802.11n при полосе 20 МГц<refНемировский М.С. Беспроводные технологии от последней мили до последнего дюйма. М.:Эко-Трендз, 2009, 400с.></ref>[5]. При полосе канала 40 МГц пропускная способность канала почти удваивается, поскольку при прочих равных условиях почти удваивается и число поднесущих (вместо 52 их становится 108). Уменьшение защитного интервала с 800 нс до 400 нс также увеличивает скорость передачи информации.
  2. Применение технологии многоканальных антенных систем MIMO (Multiple Input Multiple Output), т.е. множественные входы и множественные выходы. В основу положено применение нескольких передающих и приемных антенн. Передаваемый поток данных разбивается на независимые последовательности битов, которые пересылаются одновременно с использованием разных антенн. С помощью нескольких антенн система MIMO позволяет осуществлять пространственное мультиплексирование потоков, что обеспечивает повышение скорости передачи данных. Система МIМО позволяет также по нескольким антеннам передавать одновременно один и тот же поток данных. По причине многоуровневого распространения приёмник получает несколько сигналов. С помощью технологии MIMO эти сигналы обрабатываются и из них восстанавливается исходный сигнал, что способствует улучшению соотношения сигнал/помеха. Так оборудование стандарта 802.11n с несколькими передающими и принимающими антеннами позволяет повысить скорость передачи данных, улучшая при этом соотношение сигнал/помеха.
Таблица 2. Скорость кодирования и скорость передачи для видов модуляции сети 802.11n
при полосе 20МГц
Модуляция
Скорость кодирования
Скорость передачи Мбит/с
BPSK 1/2 7.2
QPSK 1/2 14.4
QPSK 3/4 21.7
QAM-16 1/2 28.9
QAM-16 3/4 43.3
QAM-64 2/3 57.8
QAM-64 3/4 65.0
QAM-64 5/6 72.2

Mesh-сети стандарта 802.11s

Стандарт 802.11s предназначен для беспроводных mesh – сетей WMN (Wireless mesh network). Их называют ячеистыми сетями. Беспроводные mesh-сети называют также MBSS (Mesh BSS, Mesh Basis Service Set). Mesh-сети - новый перспективный класс широкополосных беспроводных сетей передачи мультимедийной информации, который находит широкое применение при построении локальных и распределенных городских беспроводных сетей. Для WMN характерен принцип самоорганизации построения архитектуры, самоконфигурации, самовосстановления, высокой масштабируемости и надежности[6]. WMN отличает от MANET в том, что включает дополнительно отдельную опорную сеть (backbone) из маршрутизаторов, которая и предоставляет ей преимущества перед MANET. На рис. 7 приведена архитектура мesh-сети стандарта 802.11s, включающая такие маршрутизаторы (mesh-routers)[7]. Сеть backbone обычно является фиксированной. Она также, как и MANET является многошаговой (multihops) и может быть использована для быстрого развертывания в чрезвычайных экстренных ситуациях. По сравнению с мобильными сетями Ad Hoc mesh-сети имеют преимущества в отношении надежности, пропускной способности, подверженности зашумлению. WMN обеспечивает такие возможности, как устойчивость сети при отказе отдельных компонентов, масштабируемость сети, увеличение зоны информационного покрытия в режиме самоорганизации, динамическую маршрутизацию трафика; ретрансляцию кадров между устройствами, не имеющими между собой прямой видимости[8]. Достоинства мesh - сети: минимальное время и простота развёртывания благодаря самоорганизации, самоадаптации и самовосстановления в обход повреждённого участка, способность обеспечить связь на территории, где традиционные системы не могут это выполнить.

Отметим, что изменения в стандарте IEEE 802.11s не затрагивают физический уровень. Все нововведения относятся к МАС-уровню. Кроме того, в стандарте IEEE 802.11s рассматриваются вопросы маршрутизации пакетов в рамках mesh-сети (фактически - сетевой и транспортный уровень модели OSI).

Структура пакетов МАС-уровня в mesh-сети отличается от стандартного формата пакетов сетей 802.11 наличием mesh-заголовка. Для каждого установления соединения предусмотрено отдельное поле в заголовке - время жизни пакета при многошаговой пересылки. Это помогает бороться с зацикливанием. Для борьбы с дубликатами при пересылке предусмотрено поле нумерации пакетов.

Рис. 7. Архитектура mesh-сети 802.11s

Приведенные на рис. 7 устройства выполняют следующие функции.

Mesh-router. Маршрутизатор сети маршрутизаторов, выполняющий функцию маршрутизации. Имеют несколько интерфейсов и дополнительные источники питания.

Mesh SТА. Терминальные mesh-станции, выполняющие трансляцию и маршрутизацию в соседние узлы.

SТА. Терминальные станции сети стандартов группы 802.11 в режиме инфраcруктуры.

Mesh AP. Выполняет функцию точки доступа инфраструктурного режима для подключенных клиентов и функцию маршрутизации с узлами сети маршрутизаторов.

Mesh portal (МР). Выполняет функцию Mesh STA по обеспечению моста к различным сетям. Например, МР может быть шлюзом к WiMAX или UMTS для доступа к Интернету. Для МР характерны большие потоки трафика от пользователей mesh-сетью. Механизм установки соединений IEEE 802.11s основан на периодической посылке стандартного сообщения «открыть соединение». В ответ на него может быть получено сообщение «подтверждение соединения» или «закрытие соединения». Соединение между двумя соседними MP считается установленным тогда и только тогда, когда оба MP послали друг другу команды «открыть соединение» и ответили подтверждением соединения (в любой последовательности). Для каждого установления соединения предусмотрено время жизни, в течение которого оно должно быть использовано. Сеть стандарта определена для малых ячеистых размеров с максимальным числом узлов 64 [78].

Стандарты информационной безопасности сети Wi-Fi

В процессе совершенствования технологии информационной безопасности сети Wi-Fi последовательно были разработаны стандарты WEP, WPA и 802.11i для режима с точкой доступа.

Протокол безопасности WEP

Протокол WEP (Wired Equivalent Privacy - секретность эквивалентная проводным сетям) является частью стандартов группы 802.11 и предназначен для обеспечения информационной безопасности сетей Wi-Fi.

На рис. 8 представлен процесс шифрования/дешифрования и контроль целостности сообщений по этому протоколу. Контрольно-проверочная комбинация (КПК) - это 32-битовая последовательность циклического кода, присоединённая к концу кадра с целью обнаружения искажений данных в канале. Для процесса шифрования 40-битовый секретный ключ делится между двумя общающимися сторонами. К секретному ключу присоединяется вектор инициализации (IV) длиной 24 бит, на основании которых по протоколу RC4 образуется начальное число для генератора псевдослучайной последовательности (ПСП). На рис. 8 это ключевая последовательность обозначена через Z.

Побитовое сложение по модулю 2 этой ключевой последовательности Z и открытого текста P с КПК создаёт зашифрованное поточным шифром сообщение Z (P КПК), которое передаётся в канал (рис. 8,а). Вектор инициализации передается по каналу незашифрованным. Вектор инициализации периодически меняется (при каждой новой передаче), следовательно, меняется и псевдослучайная последовательность, что усложняет задачу расшифровки перехваченного текста.

Рис. 8. Шифрование/дешифрование и контроль целостности сообщений по протоколу WEP

После получения сообщения (рис. 8,б) приёмник извлекает вектор инициализации, присоединяет его к совместно используемому секретному ключу, после чего генерирует ту же псевдослучайную последовательность, что и источник. К полученному таким образом ключу и поступившим данным побитно применяется операция сложения по модулю 2, результатом которой является исходный текст:

PКПК  Z  Z=PКПК. 

Таким образом, если взять исходный текст, применить к нему и ключевой последовательности операцию исключающего «ИЛИ», а затем применить операцию исключающего «ИЛИ» к результату и той же ключевой последовательности, то в итоге получится исходный текст. В заключение приёмник сравнивает поступившую последовательность КПК и КПК, вычисленную по восстановленным данным. Если величины совпадают, данные считаются неповреждёнными. Основным недостатком WEP является отсутствие методов создания и распространения ключей шифрования. Эти ключи должны распространятся по какому-либо секретному каналу, не использующему протокол 802.11. На самом деле, ключи шифрования WEP представляют собой обычные текстовые строки, вводимые с клавиатуры и используемые равно для беспроводных точек доступа и беспроводных клиентов. Недостатком протокола управления ключами WEP является принципиальное ограничение в предоставлении безопасности 802.11, особенно в режиме инфраструктуры с большим количеством станций. Примерами таких сетей являются корпоративные сети или сети аэропортов и других подобных заведений. Все точки доступа и беспроводные клиенты используют один и тот же вручную сконфигурированный ключ для всех сессий. При наличии множества беспроводных клиентов, передающих большое количество данных, атакующий может удалённо перехватить эти зашифрованные данные и использовать криптоаналитические методы для определения ключа шифрования WEP.

Но даже, если всем пользователям раздать разные ключи, WEP всё равно может быть взломан. Так как ключи не изменяются в течение больших периодов времени, стандарт WEP рекомендует изменять вектор инициализации при передаче каждого пакета во избежание атак посредством повторного использования. Однако ограниченная длина вектора инициализации (24 бита) позволяет злоумышленнику раскрыть зашифрованные сообщения. Прослушивая канал, злоумышленник сможет захватить два сообщения с одинаковыми векторами инициализации и ключами. Складывая их по модулю 2, он получит сумму открытых текстов, которая может быть использована для восстановления исходных данных каждого сообщения. Существуют способы для реализации такой атаки злоумышленника. Протокол WEP также выполняет функцию аутентификации оконечной станции, однако её нельзя считать не лишённой больших недостатков. К ним, в частности, относятся следующие:

  1. Так как общий ключ вводится на беспроводном участке для каждого беспроводного клиента вручную, этот метод не подходит для больших и сложных (корпоративных) сетей.
  2. Другой серьезной проблемой данного метода является то, что для простоты один и тот же ключ используется как для аутентификации, так и для шифрования всех данных, которыми обмениваются аутентифицирующийся клиент и аутентифицирующий компьютер. Аутентификация включает передачу текста от клиента в открытом (незашифрованном) и клиенту в зашифрованном виде по протоколу WEP. Атакующий может перехватить оба варианта текста и с помощью криптоанализа вычислить общий ключ, который является также и шифрующим ключом WEP. Ну а после определения шифрующего ключа WEP атакующий получит полный доступ к беспроводной сети и сможет атаковать станции.
  3. Обычно ключ WEP применяется всеми пользователями беспроводной сети, что не позволяет аутентификацию отдельных пользователей.
  4. Аутентификации подлежат только оконечные станции. Это позволяет злоумышленнику использовать атаки с фальшивыми точками доступа.

Учитывая недостатки протокола WEP , был разработан новый протокол информационной безопасности для сетей группы стандартов IEEE 802.11 – протокол WPA.

Протокол безопасности WPA

Стандарт WPA (Wi-Fi Protected Access) представляет собой подмножество спецификаций из принятого в 2004 году стандарта IEEE 802.11i. Весь же набор спецификаций стандарта IEEE 802.11i Wi-Fi Alliance называется WPA2. Спецификации WPA были призваны дать пользователям альтернативу для WEP и стали переходной ступенью между ним и новым стандартом IEEE 802.11i. Структуру WPA можно представить в виде формулы WPA = IEEE 802.1Х + ЕАР + TKIP + MIC, т. е. WPA является суммой нескольких элементов, рассмотренных ниже.

Аутентификация

Протоколы IEEE 802.1Х и ЕАР (Extensible Authentication Protocol расширяемый протокол аутентификации) обеспечивают механизм аутентификации пользователей, которые должны предъявить мандат или свидетельство для доступа в сеть. В больших корпоративных сетях для аутентификации часто используют сервер RADIUS. Название сервера и одноименного протокола RADIUS складывается из первых букв слов — Remote Authentication Dial in User Service (услуга удаленной аутентификации вызывающего пользователя). В иерархии сети он находится выше точки доступа и содержит базу данных со списком пользователей, которым разрешен доступ к сети. В базе данных содержится необходимая для аутентификации законных пользователей информация.

Для аутентифицированного доступа в сеть Ethernet cтандарт 802.1Х определяет управление доступом, основанное на сетевых портах. Стандарт 802.1Х включает следующие понятия: аутентификатор (точка доступа в режиме инфраструктуры), аутентифицирующийся (беспроводный клиент), сервер аутентификации (его функцию обычно выполняет RADIUS- сервер). В стандартах 802.1Х аутентификация пользователей выполняется по протоколу EAP (Extensible Authentication Protocol). Существует несколько протоколов EAP[9]. Одним из них является EAP-TLS, основанный на протоколе защиты транспортного уровня TLS. EAP-TLS обеспечивает взаимную аутентификацию беспроводного клиента и сервера аутентификации, а также создает общие ключи беспроводного пользователя и точки доступа. Протокол EAP-TLS основан на сертификатах, что обеспечивает сравнительно сильную схему аутентификации (гл. 13, раздел 2.2; гл.17, раздел 5) . Ниже приводится процесс аутентификации беспроводного пользователя Wi-Fi в режиме инфраструктуры. На рис. 9 приведены компоненты аунтентификации пользователя.

  1. Точка доступа AP посылает запрос беспроводному пользователю запрос на установление соединения EAP-Request/Identity. Если же беспроводный пользователь начинает утановление соединение с беспроводной точкой доступа, то, наоборот, он посылает сообщение EAP-Start. Беспроводная точка доступа в ответ передает сообщение EAP-Request/Identity.
  2. Пользователь посылает в ответ сообщение EAP-Responce/Identity, содержащее имя компьютера. Точка доступа переправляет это сообщение RADIUS-серверу в виде сообщения RADIUS Account-Request.
    Рис. 9. Компоненты аутентификации пользователя
  3. Сервер RADIUS посылает сообщение RADIUS Access-Challenger, содержащее сообщение EAP-Request и указывающее тип EAP, что означает начало аутентификации. В данном примере этот тип EAP-TLS. Точка доступа переправляет сообщение беспроводному пользователю (в виде сообщения EAP-Request).
  4. Беспроводный пользователь подтверждает начало аутентификации по протоколу TLS, посылая сообщение EAP-Response с типом EAP-TLS. Точка доступа переправляет это сообщение EAP RADIUS-серверу (в виде сообщения RADIUS Access-Request).
  5. Сервер RADIUS посылает сообщение RADIUS Access-Challenger, содержащее сертификат (цепочку сертификатов, см. Приложение Г, раздел Г.4) сервера RADIUS. Точка доступа переправляет это сообщение беспроводному пользователю (в виде сообщения EAP-Request).
  6. Беспроводный пользователь посылает сообщение EAP-Response с типом EAP-TLS, содержащее свой сертификат (цепочку сертификатов). Точка доступа переправляет это сообщение серверу RADIUS.
  7. Сервер RADIUS посылает сообщение о завершении обмена аутентифицирующими сообщениями по протоколу TLS. Точка доступа переправляет это сообщение беспроводному пользователю.
  8. Беспроводный пользователь посылает сообщение подтверждения приема, которое транслируется в RADIUS-сервер.
  9. RADIUS-сервер, исходя из данных на предыдущих этапах, вычисляет сессионный ключ для данного пользователя и ключ для обеспечения целостности сообщений. Затем он посылает беспроводной точке доступа сообщение об аутентификации пользователя (RADIUS Access-Accept), содержащее сообщение EAP-Success и зашифрованные эти ключи. В сообщении EAP-Success об успешном приеме ключей отсутствуют ключ для шифрования данных и ключ для обеспечения целостности данных. После получения от точки доступа сообщения EAP-Success пользователь, исходя из данных на предыдущих этапах, вычисляет сессионный ключ для данного пользователя и ключ для обеспечения целостности сообщений. Следовательно, и пользователь и беспроводная точка доступа имеют одинаковые ключи для шифрования и обепечения целостности данных.
  10. Беспроводная точка доступа посылает пользователю сообщение EAPOL (EAP over LAN)-KEY, содержащее широковещательный/глобальный ключ, зашифрованный сессионным ключом пользователя по протоколу RC4. Отдельные части сообщения EAPOL подписываются с помощью протокола (не использующего шифрование [10]) НМАС посредством ключа пользователя, обеспечивающего целостность. После приема сообщения EAPOL-KEY пользователь проверяет его целостность и расшифровывает широковещательный/глобальный ключ.
    Рис. 10. Шифрование по протоколу TKIP

Конфиденциальность и целостность данных

Протокол TKIP (Temporal Key Integrity Protocol — протокол временной целостности ключа) выполняет функции обеспечения конфиденциальности и целостности данных. Функционально TKIP является расширением WEP (рис. 10) Аналогично WEP, он использует алгоритм шифрования RC4, но более эффективный механизм управления ключами. Протокол TKIP генерирует новый секретный ключ для каждого передаваемого пакета данных. Изменен и сам механизм генерации ключа. Он получается из трех компонентов: базового ключа длиной в 128 бит (TK), номера передаваемого пакета (TSC) и МАС-адреса устройства-передатчика (ТА). Также в TKIP используется 48-разрядный вектор инициализации, чтобы избежать повторного использования IV, на котором основана выше описанная атака.

Алгоритм TKIP использует сквозной счетчик пакетов (TSC) длиной 48 бит. Он постоянно увеличивается, сбрасываясь в 1 только при генерации нового ключа. Базовый ключ для шифрования, а также для аутентификации создаётся с помощью асимметричной криптографии с использованием протокола TLS (глава 13). EAP-TLS основан на сертификатах и является надежным методом, обеспечивающим взаимную аутентификацию, определение шифрующих ключей, целостность сообщений.

Как следует из названия, механизм MIC (Message Integrity Check) обеспечивает в WPA проверку целостности сообщений. MIC с помощью алгоритма Michael позволяет вычислить хеш-функцию длиной 64 бит, используя для этого, кроме данных сообщения MAC адреса источника и пункта назначения. Этот механизм более защищён от атак злоумышленника по подделке сообщения, чем используемое циклическое кодирование в протоколе WEP .

Протокол безопасности 802.11i

Принятый в 2004 году, стандарт 802.11i во многом сходен с WPA , однако обеспечивает более высокий уровень ИБ. Протокол 802.11i использует в качестве основного более надежный протокол CCMP (Counter – Mode CBC MAC Protocol) на базе блочного шифра стандарта AES (Advanced Encryption Standart). Протокол CCMP выполняет правила, по которым производит шифрование блочный протокол AES (подобно тому, что протокол TKIP использует протокол шифрования RC4 в WPA) [75].

Для работы по стандарту 802.11i создается иерархия ключей. После аутентификации беспроводного клиента сервер аутентификации и беспроводный клиент создают общий мастер ключ МК. Затем МК создает обновляемый мастер ключ РТК длиной 256 бит. Для каждой сессии пары клиент и точка доступа создают новый ключ РМК, который предназначен для усиления защиты канала доступа и создания набора ключей РТК. РТК состоит из трех ключей: ключ целостности сообщений, ключ шифрования и ключ однонаправленной связи между беспроводным клиентом и точкой доступа.

Примечания

  1. Вишневский В.М., Портной С.Л., Шахнович И.В. Энциклопедия WiMAX. Путь к 4G. М.: Техносфера, 2009, 472с.
  2. Дэвис Д. Создание защищенных беспроводных сетей 802.11 в Microsoft Windows. Справочник профессионала. М.: ЭКОМ, 2006, 400с.
  3. Молчанов Д.А. Самоорганизующиеся сети и проблемы их построения. Электросвязь, 2006, №6, С.20-22.
  4. Таненбаум Э. Компьютерные сети, 4-е изд. СПБ.: Питер, 2010. 992с.
  5. David Tung Chongs Wong [and others]. Wireless Broadband Networks, «John Willey & Sons» Ltd, 2009, Р. 527.
  6. Ping Yi [and others]. A Survey on Security in Wireless Mesh Networks, IETE Technical Review, v.27, 2010, №1, Р.6-14
  7. S. Glass, M. Portmann, V. Muthukkumarasamy. Securing Route and Path Integrity I Multihop Wireless Networks. 25-29 p. Security of Self-Organizing Networks. MANET, WSN, WMN, VANET. CRC Press, 2011, P.595.
  8. Молчанов Д.А. Самоорганизующиеся сети и проблемы их построения. Электросвязь, 2006, №6, С.20-22.
  9. Rong-Hong Jan, Huel-Ru Tseng, Wuu Yang. Wireless LAN Security. P.399-418, Wireless Ad Hoc Netwoking. Auerbach Publications, 2007, P.640.