Беспроводные сети передачи данных
Обеспечение секретности абонента Для исключения определения (идентификации) абонента путем перехвата сообщений, передаваемых по радиоканалу, каждому абоненту системы связи присваивается «временное удостоверение личности» — временный международный идентификационный номер пользователя (TMSI — Temporary Mobile Subscriber Identify), который действителен только в пределах зоны расположения (LA… Читать ещё >
Беспроводные сети передачи данных (реферат, курсовая, диплом, контрольная)
ВВЕДЕНИЕ
Исследование технологий сетей является очень важным в современных условиях рыночной экономики, в особенности в сфере информационных технологий. Так как на выбор сети оказывают влияние много факторов, я продемонстрировал наиболее важные из них: расстояние, качество связи, кодек и контейнер в котором закодирован файл. Приложение позволяет рассчитать приблизительное время передачи данных, так как заявленная в сети скорость не всегда является фактической. Таким образом можно подобрать оптимальную технологию для передачи данных в нужных условиях.
Беспроводная связь — в первую очередь — возможность передачи информации на расстояния без кабельной системы. Преимущество беспроводной связи — простота установки. Когда не требуется прокладывать физические провода до офиса, процедура установки может быть быстрой и экономически эффективной. Беспроводная связь упрощает также подключение труднодоступных объектов, таких как складские и заводские помещения. Затраты на построение беспроводной связи обходятся дешевле, поскольку при этом ликвидируются проблемы с организацией прокладки проводов и затраты, связанные с этим процессом.
В беспроводной связи наиболее распространенными и известными на сегодняшний день являются три семейства технологий передачи информации, такие как Wi — Fi, GSM, Bluetooth. Эти технологии детально рассматриваются в плане защищенности от возможных атак.
Технология Wi-Fi (сокращение от wireless fidelity — «Беспроводная надёжность») применяется при соединении большого количества компьютеров. Другими словами, это беспроводное подключение к сети. Одна из самых перспективных технологий на сегодняшний день в области компьютерной связи.
GSM — (Global System for Mobile Communications — глобальная система связи с подвижными объектами). Технология GSM родилась в недрах компании Group Special Mobile, от которой и получила сокращение GSM, однако со временем сокращение получило другую расшифровку Global System for Mobile.
Bluetooth — это технология беспроводной передачи данных малой мощности, разрабатываемая с целью замены существующих проводных соединений персональных офисной и бытовой техники с широким спектром переносных устройств, таких, как мобильные телефоны и гарнитуры к мобильным телефонам, датчики сигнализации и телеметрии, электронные записные книжки и карманные компьютеры.
1. АНАЛИЗ БЕЗПРОВОДНЫХ СЕТЕЙ
1.1 Беспроводная связь технологии WI — FI
Wi-Fi — это современная технология беспроводного доступа в интернет. Доступ в интернет по технологии Wi-Fi осуществляется посредством специальных радиоточек доступа.(AP Access Point).
Существует такие разновидности Wi — Fi сетей:
801.11a;
801.11b;
801.11g;
801.11n.
Первая работает на частоте 5 ГГц, остальные на частоте 2.4ГГц. Каждый тип имеет разную пропускную способность (максимально теоретически возможную скорость):
для 801.11a это 54 Мбит/c;
для 801.11b это 11 Мбит/c;
для 801.11g это 54 Мбит/с;
для 801.11n это 600 Мбит/с.
Любая беспроводная сеть состоит как минимум из двух базовых компонентов — точки беспроводного доступа, клиента беспроводной сети (режим ad-hoc, при котором клиенты беспроводной сети общаются друг с другом напрямую без участия точки доступа). Стандартами беспроводных сетей 802.11a/b/g предусматривается несколько механизмов обеспечения безопасности, к которым относятся различные механизмы аутентификации пользователей и реализация шифрования при передаче данных. Подключиться к сети Wi-Fi можно с помощью ноутбуков, карманных компьютеров, смартфонов, оснащенных специальным оборудованием. На сегодняшний день практически все современные портативные и карманные компьютеры являются Wi-Fi-совместимыми.
Если же ноутбук не оснащен специальным оборудованием, то можно легко использовать эту удобную технологию, необходимо, лишь в PCMCIA-слот компьютера установить специальную Wi-Fi-карточку, или через USB-порт подключить внешнее Wi-Fi-устройство. Для подключения к Wi-Fi сети, достаточно просто попасть в радиус действия (100−300 м.) беспроводной точки доступа Wi-Fi.
Преимущества Wi-Fi:
простой и удобный способ подключения к услуге;
отсутствие необходимости подключения дополнительных устройств — модемов, телефонных линий, выделенных каналов для соединения с сетью Интернет;
простой способ настройки компьютера;
нет зависимости от времени использования услуги, оплата только за используемый Интернет — трафик;
скорость приема/передачи данных — до 54 Мбит/с;
защищенность передачи данных;
постоянно расширяемая сеть точек доступа Wi-Fi.
Рассмотрим недостатки Wi-Fi. Частотный диапазон и эксплуатационные ограничения в различных странах неодинаковы. Во многих европейских странах разрешены два дополнительных канала, которые запрещены в США; В Японии есть ещё один канал в верхней части диапазона, а другие страны, например Испания, запрещают использование низкочастотных каналов. Более того, некоторые страны, например Россия, Беларусь и Италия, требуют регистрации всех сетей Wi-Fi, работающих вне помещений, или требуют регистрации Wi-Fi-оператора.
В России точки беспроводного доступа, а также адаптеры Wi-Fi с ЭИИМ, превышающей 100 мВт (20 дБм), подлежат обязательной регистрации.
На Украине использование Wi-Fi без разрешения Украинского государственного центра радиочастот «Український державний центр радіочастот», возможно лишь в случае использования точки доступа со стандартной всенаправленной антенной (<6 Дб, мощность сигнала? 100 мВт на 2.4 ГГц и? 200 мВт на 5 ГГц). Для внутренних (использование внутри помещения) потребностей организации (Решение Национальной комиссии по регулированию связи Украины № 914 от 2007.09.06) В случае сигнала большей мощности либо предоставления услуг доступа в Интернет, либо к каким-либо ресурсам, необходимо регистрировать передатчик и получить лицензию.
1.1.1 Описание протоколов безопасности беспроводной сети WiFi
Все современные беспроводные устройства (точки доступа, беспроводные адаптеры и маршрутизаторы) поддерживают протокол безопасности WEP (Wired Equivalent Privacy), который был изначально заложен в спецификацию беспроводных сетей IEEE 802.11.Протокол WEP используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различаются только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться. Для безопасности в сетях Wi-Fi рекомендуется использовать WPA.
В протоколе безопасности WEP есть множество слабых мест:
механизмы обмена ключами и проверки целостности данных;
малая разрядность ключа и вектора инициализации;
способ аутентификации;
алгоритм шифрования.
Данный протокол, является своего рода протоколом, аналогом проводной безопасности (во всяком случае, расшифровывается он именно так), однако реально никакого эквивалентного проводным сетям уровня безопасности он, конечно же, не предоставляет. Протокол WEP позволяет шифровать поток передаваемых данных на основе алгоритма RC 4 с ключом размером 64 или 128 бит. Данные ключи имеют так называемую статическую составляющую длиной от 40 до 104 бит и дополнительную динамическую составляющую размером 24 бита, называемую вектором инициализации (Initialization Vector, IV).
Процедура WEP-шифрования выглядит следующим образом: первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32), после чего контрольная сумма (integrity check value, ICV) добавляется в служебное поле заголовка пакета. Далее генерируется 24-битный вектор инициализации, (IV) и к нему добавляется статический (40-или 104-битный) секретный ключ. Полученный таким образом 64-или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, использующегося для шифрования данных. Далее данные шифруются с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра (рис. 1.1).
Рисунок 1.1 — Формат кадра WEP
Кадр WEP включает в себя следующие поля:
незашифрованная часть;
вектор инициализации (англ. Initialization Vector) (24 бита);
пустое место (англ. Pad) (6 бит);
идентификатор ключа (англ. Key ID) (2 бита);
зашифрованная часть;
данные;
контрольная сумма (32 бита).
Инкапсуляция данных в WEP происходит следующим образом (рис. 1.2.):
контрольная сумма от поля «данные» вычисляется по алгоритму CRC32 и добавляется в конец кадра;
данные с контрольной суммой шифруются алгоритмом RC4, использующим в качестве ключа SEED;
проводится операция XOR над исходным текстом и шифртекстом;
в начало кадра добавляется вектор инициализации и идентификатор ключа.
Рисунок 1.2 — Инкапсуляция WEP
Декапсуляция данных в WEP происходит следующим образом (рис. 1.3):
к используемому ключу добавляется вектор инициализации;
происходит расшифрование с ключом, равным SEED;
проводится операция XOR над полученным текстом и шифротекстом;
проверяется контрольная сумма.
Рисунок 1.3 — Декапсуляция WEP
Протокол безопасности WEP предусматривает два способа аутентификации пользователей: открытая и общая аутентификация. При использовании открытой аутентификации, любой пользователь может получить доступ в беспроводную сеть. Однако даже при использовании открытой системы допускается использование WEP-шифрования данных. Протокол WEP имеет ряд серьёзных недостатков и не является для взломщиков труднопреодолимым препятствием.
В 2003 году был представлен следующий протокол безопасности — WPA (Wi-Fi Protected Access). Главной особенностью этого протокола является технология динамической генерации ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC4. WPA поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ над используемым в WEP RC4, например, гораздо более стойкий криптоалгоритм.
Некоторые отличительные особенности WPA:
обязательная аутентификация с использованием EAP;
система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.
Суть протокола WPA можно выразить определенной формулой:
WPA = 802.1X + EAP + TKIP + MIC
WPA, по сути, является суммой нескольких технологий. В протоколе WPA используется расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях, как правило, расположены на специальном сервере (чаще всего RADIUS). Но следует отметить, что WPA имеет упрощённый режим. Этот режим получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети (беспроводные маршрутизаторы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.
Стандарт 'IEEE 802.1X' определяет процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (RADIUS).
EAP (англ. Extensible Authentication Protocol, расширяемый протокол аутентификации) — в телекоммуникациях расширяемая инфраструктура аутентификации, которая определяет формат посылки и описана документом RFC 3748. Протоколы WPA и WPA2 поддерживают пять типов EAP как официальные инфраструктуры аутентификации (всего существует порядка 40 типов EAP); для беспроводных сетей актуальны EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP и EAP-TTLS.
TKIP — протокол целостности временного ключа (англ. Temporal Key Integrity Protocol) в протоколе защищённого беспроводного доступа WPA (Wi-Fi Protected Access). Был предложен Wi-Fi Alliance для замены уязвимого протокола WEP при сохранении инсталлированной базы беспроводного оборудования заменой программного обеспечения. TKIP вошел в стандарт IEEE 802.11i как его часть. TKIP, в отличие от протокола WEP использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных. Согласно протоколу TKIP, сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора инициализации протокола WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей и осуществление replay-атак. В протоколе TKIP предусмотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей атакующему изменять содержимое передаваемых пакетов (forgery-атака).
1.2 Технология GSM
GSM относится к сетям второго поколения (2 Generation), хотя на 2010 год условно находится в фазе 2,75G благодаря многочисленным расширениям (1G — аналоговая сотовая связь, 2G — цифровая сотовая связь, 3G — широкополосная цифровая сотовая связь, коммутируемая многоцелевыми компьютерными сетями, в том числе Интернет). Сотовые телефоны выпускаются для 4 диапазонов частот: 850 МГц, 900 МГц, 1800 МГц, 1900 МГц. В зависимости от количества диапазонов, телефоны подразделяются на классы и вариацию частот в зависимости от региона использования:
Однодиапозонные — телефон может работать на одной из частот. В настоящее время не выпускаются, но существует возможность ручного выбора определённой частоты в некоторых моделях телефонов, например MotorolaC115, или с помощью инженерного меню телефона;
двухдиапазонные (DualBand) _ для Европы, Азии, Африки, Австралии 900/1800 и 850/1900 для Америки и Канады;
трёхдиапазонные (TriBand) _ для Европы, Азии, Африки, Австралии 900/1800/1900 и 850/1800/1900 для Америки и Канады;
четырехдиапазонные (QuadBand) _ поддерживают все диапазоны 850/900/1800/1900.
В стандарте GSM применяется GMSK модуляция с величиной нормированной полосы ВТ _ 0,3, где В _ ширина полосы фильтра по уровню минус 3 дБ, Т — длительность одного бита цифрового сообщения.
На сегодняшний день GSM является наиболее распространённым стандартом связи. По данным ассоциации GSM (GSMA) на данный стандарт приходится 82% мирового рынка мобильной связи, 29% населения земного шара использует глобальные технологии GSM. В GSMA в настоящее время входят операторы более чем 210 стран и территорий. Изначально GSM обозначало «Groupe Spйcial Mobile», по названию группы анализа, которая создавала стандарт. Теперь он известен как «Global System for Mobile Communications» (Глобальная Система для Мобильной Связи), хотя слово «Cвязь» не включается в сокращение. Разработка GSM началась в 1982 году группой из 26 Европейских национальных телефонных компаний. Европейская конференция почтовых и телекоммуникационных администраций (CEPT), стремилась построить единую для всех европейских стран сотовую систему диапазона 900 MГц.
Достижения GSM стали «одними из наиболее убедительных демонстраций, какое сотрудничество в Европейской промышленности может быть достигнуто на глобальном рынке». В 1989 году Европейский Телекоммуникационный Институт Стандартов (ETSI) взял ответственность за дальнейшее развитие GSM. В 1990 году были опубликованы первые рекомендации. Спецификация была опубликована в 1991 году. Коммерческие сети GSM начали действовать в Европейских странах в середине 1991 г. GSM разработан позже, чем обычная сотовая связь и во многих отношениях лучше был сконструирован. Северо-Американский аналог — PCS, вырастил из своих корней стандарты, включая TDMA и CDMA цифровые технологии, но для CDMA реально возросшая возможность обслуживания так и не была никогда подтверждена.
1.2.1 Механизмы защиты от НСД в технологии GSM
В технологии GSM определены следующие механизмы обеспечения безопасности;
аутентификация;
секретность передачи данных;
секретность абонента;
секретность направлений соединения абонентов;
секретность при обмене сообщениями между Н1. К VIК и МSС;
защита модуля подлинности абонента;
защита от НСД в сети передачи данных GPRS.
Защита сигналов управления и данных пользователя осуществляем только по радиоканалу. В линиях проводной связи информация передается без шифрования.
1.2.2 Механизмы аутентификации Для исключения несанкционированного использования ресурсов системы связи вводятся и определяются механизмы аутентификации — удостоверения подлинности абонента.
Каждый подвижный абонент (абонентская станция) на время пользования системой связи получает стандартный модуль подлинности абонента (SIM-карту), который содержит:
международный идентификационный номер подвижного абонента (ISMI);
свой индивидуальный ключ аутентификации (Ki);
алгоритм аутентификации (А3).
С помощью, заложенной в SIM информации в результате взаимного обмена данными между абонентской станцией и сетью, осуществляется полный цикл аутентификации и разрешается доступ абонента к сети. Аутентификация абонента показана на рис. 2.1.
Центр коммутации сети передает случайный номер RAND на абонентскую станцию, которая вычисляет значение отклика SRES, вычисленного сетью. Если оба значения совпадают, АС может осуществлять передачу сообщений. В противном случае связь прерывается, и индикатор АС должен показать, что опознавание не состоялось.
Для повышения стойкости системы к прямым атакам вычисление SRES происходит внутри SIM — карты. Несекретная информация (такая как Ki) не подвергается обработке в модуле SIM.
Рисунок 2.1 — Аутентификация абонента
1.2.3 Обеспечение секретности абонента Для исключения определения (идентификации) абонента путем перехвата сообщений, передаваемых по радиоканалу, каждому абоненту системы связи присваивается «временное удостоверение личности» — временный международный идентификационный номер пользователя (TMSI — Temporary Mobile Subscriber Identify), который действителен только в пределах зоны расположения (LA). В другой зоне расположения ему присваивается новый TMSI. Если абоненту еще не присвоен временный номер (например, при первом включении АС), то идентификация проводится через международный идентификационный номер (TMSI). После окончания процедуры аутентификации и начала режима шифрования временный идентификационный номер TMSI передается на АС только в зашифрованном виде. Этот TMSI будет использоваться при всех последующих доступах к системе. Если АС переходит в новую область расположения, то ее TMSI должен передаваться вместе с идентификационным номером зоны (LAI), в которой TMSI был присвоен абоненту.
1.3 Технология ближней беспроводной радиосвязи bluetooth
Технология Bluetooth получила свое название в честь датского короля X-го века Гаральда II Блатана. В переводе с датского «Блатан» — Синий Зуб, соответственно в английском варианте — Bluetooth. Этот король прославился своей способностью находить общий язык с князьями-вассалами и в свое время объединил Данию и Норвегию. Через 1000 лет его имя предложила в качестве названия для новой технологии шведская компания Ericsson, которая выступила инициатором проекта Bluetooth. Bluetooth _ технология беспроводной передачи данных, позволяющая соединять друг с другом любые устройства, в которых имеется встроенный микрочип Bluetooth. Наиболее активно технология применяется для подключения к мобильным телефонам всевозможных внешних устройств: беспроводных гарнитур handsfree, беспроводных модемом, приемников спутниковой навигации, и собственно для подключения к персональному компьютеру.
Bluetooth может общаться с несколькими (до семи) устройствами Bluetooth: одно устройство при этом будет активным, а остальные находятся в режиме ожидания. Радиоволны, которые используются в Bluetooth, могут проходить через стены и неметаллические барьеры и соединяться с Bluetooth-устройствами на расстоянии от 10 до 100 метров в зависимости от спецификации устройства. Для спецификации 1.1 класс 1 радиус действия составляет до 100 метров, для класса 2 (применяемого в мобильных телефонах) _ до 10 — м. Так как во всем мире Bluetooth работает на не лицензируемой и единой частоте промышленного, научного и медицинского применения ISM 2,45 ГГц, то пространственных границ для использования Bluetooth не существует. Как не существует и проблемы несовместимости Bluetooth-устройств различных производителей, поскольку технология стандартизирована. Так что никаких препятствий для распространения Bluetooth нет.
Каждое Bluetooth _ устройство имеет свой уникальный адрес и имя, поэтому после процедуры регистрации соединяется только с зарегистрированным с ним телефоном. Для настройки необходимо зарядить гарнитуру, включить оба устройства (телефон и гарнитуру) и поместить поблизости друг от друга.
После запуска процедуры поиска гарнитуры на дисплее телефона высветится ее спецификация и будет запрошен пароль (обычно требуется ввести пароль 0000). После его введения гарнитура считается зарегистрированной за вашим телефоном. Однако при всех плюсах Bluetooth, есть у него 3 огромных минуса: невысокая дальность действия, низкая (в сравнении с тем же Wi-Fi) скорость и огромное количество мелких и не очень «ошибок». И если с первыми двумя недостатками можно мириться или бороться, то количество недоработок заставляет поразиться любого, даже далёкого от высоких технологий человека.
Радиоизлучение Bluetooth может создавать помехи для различных технических устройств, поэтому в больницах и в местах, где используются слуховые аппараты и кардиостимуляторы следует его отключать.
1.3.1 Спецификации Bluetooth
Устройства версий 1.0 (1998) и 1.0B, имели плохую совместимость между продуктами различных производителей. В 1.0 и 1.0B была обязательной передача адреса устройства (BD_ADDR) на этапе установления связи. И делало невозможной реализацию анонимности соединения на протокольном уровне и, было основным недостатком данной спецификации.
Bluetooth 1.1 было исправлено множество ошибок, найденных в 1.0B, добавлена поддержка для нешифрованных каналов, индикация уровня мощности принимаемого сигнала (RSSI). В версии 1.2 была добавлена технология адаптивной перестройки рабочей частоты (AFH), что улучшило сопротивляемость к электромагнитной интерференции (помехам) путём использования разнесённых частот в последовательности перестройки. Также увеличилась скорость передачи и добавилась технология eSCO, которая улучшала качество передачи голоса путём повторения повреждённых пакетов. В HCI добавилась поддержка трёх-проводного интерфейса UART.
Главные улучшения включают следующее:
быстрое подключение и обнаружение;
адаптивная перестройки частоты с расширенным спектром (AFH), которая повышает стойкость к радиопомехам;
более высокие, чем в 1.1, скорости передачи данных, практически до 721 кбит/с;
расширенные Синхронные Подключения (eSCO), которые улучшают качество передачи голоса в аудио потоке, позволяя повторную передачу повреждённых пакетов, и при необходимости могут увеличить задержку аудио, чтобы оказать лучшую поддержку для параллельной передачи данных.
Bluetooth версии 2.0 был выпущен 10 ноября 2004 г. Имеет обратную совместимость с предыдущими версиями 1.x. Основным нововведением стала поддержка EDR (Enhanced Data Rate) для ускорения передачи данных. Номинальная скорость EDR около 3 Мбит/с, однако, на практике это позволило повысить скорость передачи данных только до 2,1 Мбит/с. Дополнительная производительность достигается с помощью различных радио технологий для передачи данных. Стандартная (или Базовая) скорость передачи данных использует Гауссово Кодирование со сдвигом частот (GFSK) модуляцию радиосигнала, при скорости передачи в 1 Мбит/с. EDR использует сочетание GFSK и PSK-модуляцию с двумя вариантами, р/4-DQPSK и 8DPSK. Они имеют большие скорости передачи данных по воздуху 2 и 3 Mбит/с соответственно. Bluetooth SIG издала спецификацию как «Технология Bluetooth 2.0 + EDR», которая подразумевает, что EDR является дополнительной функцией. Кроме EDR есть и другие незначительные усовершенствования к 2.0 спецификации, и продукты могут соответствовать «Технологии Bluetooth 2.0», не поддерживая более высокую скорость передачи данных. По крайней мере, одно коммерческое устройство, HTC TyTNPocket PC, использует «Bluetooth 2.0 без EDR» в своих технических спецификациях. Согласно 2.0 + EDR спецификации, EDR обеспечивает следующие преимущества:
увеличение скорости передачи в 3 раза (2,1 Мбит/с) в некоторых случаях;
уменьшение сложности нескольких одновременных подключений из-за дополнительной полосы пропускания;
более низкое потребление энергии благодаря уменьшению нагрузки.
Bluetooth 3.0 + HS спецификация была принята Bluetooth SIG 21 апреля 2009 года. Она поддерживает теоретическую скорость передачи данных до 24 Мбит/с. Её основной особенностью является добавление AMP (Асимметричная Мультипроцессорная Обработка) (альтернативно MAC/PHY), дополнение к 802.11 как высокоскоростное сообщение. Две технологии были предусмотрены для AMP: 802.11 и UWB, но UWB отсутствует в спецификации.
Модули с поддержкой новой спецификации соединяют в себе две радиосистемы: первая обеспечивает передачу данных в 3 Мбит/с (стандартная для Bluetooth 2.0) и имеет низкое энергопотребление; вторая совместима со стандартом 802.11 и обеспечивает возможность передачи данных со скоростью до 24 Мбит/с (сравнима со скоростью сетей Wi-Fi). Выбор радиосистемы для передачи данных зависит от размера передаваемого файла. Небольшие файлы передаются по медленному каналу, а большие _ по высокоскоростному. Bluetooth 3.0 использует более общий стандарт 802.11 (без суффикса), то есть не совместим с такими спецификациями Wi-Fi, как 802.11b/g или 802.11n.
Bluetooth 4.0 пропускная способность осталась на уровне Bluetooth 3.0 со значением 24 Мбит/с, но дальность действия повысилась до 100 метров.
Одновременно с этим произошло снижение энергопотребления, что позволяет использовать технологию в устройствах на батарейках. Разработка также поддерживает шифрование AES-128 и предоставляет еще более низкое время отклика, повышая безопасность и становясь более удобной для пользователей.
1.3.2 Инициализация соединения Bluetooth
Инициализацией, касательно Bluetooth, принято называть процесс установки связи. Её можно разделить на три этапа:
генерация ключа Kinit;
генерация ключа связи (он носит название linkkey и обозначается, как Kab);
аутентификация.
Первые два пункта входят в так называемую процедуру паринга. Паринг (PAIRING) — или сопряжениепроцесс связи двух (или более) устройств с целью создания единой секретной величины Kinit, которую они будут в дальнейшем использовать при общении. В некоторых переводах официальных документов по Bluetooth можно также встретить термин «подгонка пары». Перед началом процедуры сопряжения на обеих сторонах необходимо ввести PIN-код. Обычная ситуация: два человека хотят связать свои телефоны и заранее договариваются о PIN-коде. Далее соединяющиеся устройства будут обозначаться A и B, более того, одно из устройств при сопряжении становится главным (Master), а второе _ ведомым (Slave). Будем считать устройство A главным, а B _ ведомым. Создание ключа Kinit начинается сразу после того, как были введены PIN-коды.
Kinit формируется по алгоритму E22, который оперирует следующими величинами:
BD_ADDR _ уникальный адрес BT-устройства. Длина 48 бит (аналог MAC-адреса сетевой карты PC);
PIN-код и его длина;
IN_RAND. Случайная 128-битная величина.
На выходе E22 алгоритма получаем 128-битное слово, именуемое Kinit. Число IN_RAND отсылается устройством A в чистом виде. В случае если PIN неизменяем для этого устройства, то при формировании Kinit используется BD_ADDR, полученное от другого устройства. В случае если у обоих устройств изменяемые PIN-коды, будет использован BD_ADDR (B) _ адрес slave-устройства. Первый шаг сопряжения пройден. За ним следует создание Kab. После его формирования Kinit исключается из использования.
Для создания ключа связи Kab устройства обмениваются 128-битными словами LK_RAND (A) и LK_RAND (B), генерируемыми случайным образом. Далее следует побитовый XOR с ключом инициализации Kinit. И снова обмен полученным значением. Затем следует вычисление ключа по алгоритму E21. Для этого необходимы величины:
BD_ADDR;
128-битный LK_RAND (каждое устройство хранит своё и полученное от другого устройства значение). Алгоритм Е21 представлен на рис. 3.1.
На данном этапе pairing заканчивается и начинается последний этап инициализации Вluetooth _ Mutual authentication или взаимная аутентификация. Основана она на схеме «запрос-ответ». Одно из устройств становится верификатором, генерирует случайную величину AU_RAND (A) и засылает его соседнему устройству (в plaintext), называемому предъявителем (claimant в оригинальной документации).
Рисунок 1.3.1 — Вычисление ключа по алгоритму Е21
Как только предъявитель получает это «слово», начинается вычисление величины SRES по алгоритму E1, и она отправляется верификатору. Соседнее устройство производит аналогичные вычисления и проверяет ответ предъявителя. Если SRES совпали, то, значит, всё хорошо, и теперь устройства меняются ролями, таким образом, процесс повторяется заново. E1-алгоритм представлен на рис. 3.2 и оперирует такими величинами:
случайно созданное AU_RAND;
linkkey Kab;
свой собственный BD_ADDR.
1.3.3 Механизмы безопасности Bluetooth
Спецификация BT основана на модели обеспечения безопасности, предусматривающей три механизма: аутентификация (опознавание), авторизация (разрешение доступа) и шифрование (кодирование). Суть опознавания состоит в том, чтобы удостовериться, является ли устройство, инициирующее сеанс связи, тем, за кого оно себя выдает.
Рисунок 1.3.2 — Алгоритм Е1
Основан это процесс на посылке 48-битового идентификатора Bluetooth Device Address (BDA) (он присваивается каждому устройству его производителем). Результатом обычно является «предварительная» договоренность устройств (создается временный или инициализационный ключ связи) либо отказ в установлении связи. О какой-либо безопасности здесь говорить нечего, BDA всегда передается в открытом виде, и любой владелец антенны с хорошей чувствительностью может «видеть» работающих BT-пользователей и даже опознавать их по этому идентификатору. Так что уникальность BDA _ понятие весьма скользкое.
Процесс авторизации подразумевает установление полномочий для подключаемого устройства, причем возможен выбор одного из трех допустимых уровней доступа: trusted (неограниченный доступ к ресурсам), non-trusted (нет доступа к ресурсам, но есть возможность его открытия) и unknown (неизвестное устройство, доступ запрещен при любых обстоятельствах).
Установленный уровень доступа соответствует уровню доверия к соответствующему устройству и может варьироваться. В любом BT-устройстве есть сервис менеджера безопасности (составная часть протокола), который позволяет устанавливать эти уровни не только для конкретных устройств, но и для видов обслуживания или групп сервисов. Так, например, здесь можно установить, что передача файлов может осуществляться только после аутентификации и авторизации.
Шифрование. Осуществляется при помощи ключа (длина его варьируется от 8 до 128 бит), который, в свою очередь, генерируется на основе 128-битового ключа аутентификации. Другими словами, расшифровывающий ключ основан на ключе связи; с одной стороны, это упрощает процесс генерации ключа, но в то же время упрощает и процесс взлома системы. К тому же при аутентификации код может быть введен вручную либо автоматически предоставлен процессом прикладного уровня. Критическим случаем можно считать обнуление этого кода самим пользователем (это означает, что разрешено подключение любого устройства), что резко снижает эффективность системы безопасности.
Все перечисленные механизмы являются встроенными, следовательно они предназначены для аутентификации самих BT-устройств, а не пользователей. Поэтому для некоторых устройств, например для чипов идентификации пользователя, должна быть предусмотрена комплексная защита (дополнительный пароль, использование смарт-карт и т. п.). Не случайно некоторые модели сотовых телефонов, карманных компьютеров и ноутбуков, ориентированные на корпоративный сектор, оснащаются биометрической защитой. Устройства могут быть потеряны или украдены, и еще одно лишнее звено в цепи безопасности только улучшает общую защищенность системы.
1.4. Выводы по разделу В заключении, Wi-Fiэто современная технология беспроводной связи, которая является мобильной и практичной, но ее защищенность оставляет желать лучшего.
Из вышесказанного можно заключить, что WEP — устаревший протокол защиты беспроводного соединения. Рекомендуется не использовать WEP, если циркулирующая информация в сети имеет коммерческую важность.
Говоря о протоколе WPA, пришедшему на замену WEP протоколу, следует сказать, что его плюсами являются усиленная безопасность данных и усиленный контроль доступа к беспроводным сетям. Но в практическом примере реализации атаки на протокол WPA видно, что протокол WPA, так же, как и WEP, имеет ряд недостатков. Для безопасного использования протокола WPA необходимо при выборе пароля использовать слова, не имеющие смысла (axdrtyh5nuo275bgdds — случайную или псевдослучайную последовательность символов), используя такие слова, вероятность успешного выполнения словарной атаки сводится к нулю.
Для создания надёжной системы безопасности беспроводных сетей разработано немало методов. К примеру, самым надёжным способом считается использование виртуальных частных сетей VPN (Virtual Private Network). Создание беспроводной виртуальной частной сети предполагает установку шлюза непосредственно перед точкой доступа и установку VPN-клиентов на рабочих станциях пользователей сети. Путём администрирования виртуальной частной сети осуществляется настройка виртуального закрытого соединения (VPN-туннеля) между шлюзом и каждым VPN-клиентом сети. Впрочем, VPN-сети редко используются в небольших офисных сетях и практически не используются в домашних условиях. Как и стандарт 802.1x, VPN-сети — прерогатива корпоративных сетей.
Комплекс мероприятий по защите устройств Bluetooth тривиален. Стоит отключать функцию обнаружения устройства и включать ее только при необходимости сопряжения с новым устройством. В некоторых телефонах это реализовано следующим образом: функция обнаружения активизируется только на 60 секунд, после чего автоматически отключается. Эта контрмера не является абсолютной защитой, но достаточно эффективна в большинстве случаев. На более интеллектуальных, чем сотовые телефоны, устройствах, как правило, имеется возможность настройки предоставляемых сервисов. Стоит отключать те из них, которые не используются на данном конкретном устройстве.
Для тех сервисов, которые активно используются, необходимо требовать использования режима 3 (Mode 3) и, возможно, дополнительной авторизации. Что касается процесса сопряжения, его желательно проводить только с доверенными устройствами в приватных местах. Периодически нужно проверять список сопряженных устройств на предмет наличия незнакомых записей и удалять те записи, которые не узнали с первого раза. Не забывать про управление обновлениями безопасности. Патчи выходят не только для Windows, но и для сотовых телефонов и КПК. Следует отключить функцию ответов на широковещательное сканирование.
Как можно заметить, многие уязвимости присущи любым устройствам, однако не стоит волноваться по этому поводу. На это есть 2 причины:
первая — радиус действия Вluetooth слишком мал, соответственно для атаки необходимо быть в зоне прямой видимости;
вторая — все устройства позволяют включить защиту Вluetooth или по крайней мере стать «невидимым» для остальных.
Проведен обзор технологии сотовой подвижной связи GSM. Определена структура СПС и рассмотрены механизмы информационной безопасности, реализованные в стандарте GSM. Проведен анализ реализованных механизмов ИБ и представлен прогноз перспектив развития механизмов обеспечения ИБ в сетях 3G. Проведен анализ существующих угроз ИБ и уязвимостей в сетях СПС.
По результатам проведенного анализа можно сделать вывод, что сети СПС технологии GSM представляют собой интегрированную структуру и включают в себя механизмы обеспечения ИБ абонентов сети. При этом, как было отмечено, технологии связи, применяемые в сетях СПС, продолжают развиваться, в том числе и механизмы обеспечения ИБ. Однако, как показал анализ угроз и уязвимостей сетей СПС GSM, их безопасность может быть нарушена.
В целом реализация атак на GSM требует огромных денежных средств. Определяется количеством от нескольких сотен тысяч долларов до миллионов, необходим широкий штат сотрудников, поддержка силовых структур. Если же у нарушителя будет стоять задача на некоторое время заглушить мобильную связь в определенном месте, будь то здание, офисное помещение, особого труда и денежных затрат такая операция не потребует. Оборудование на такую операцию стоит от нескольких сотен долларов до пару тысяч.
Все эксперты в области защиты информации сходятся во мнении, что разработка мер безопасности для широко используемых систем втайне от общественности это в корне порочный путь. Единственный способ гарантировать надежную безопасность это дать возможность проанализировать систему всему сообществу специалистов.
2. ПРОПУСКНАЯ СПОСОБНОСТЬ БЕЗПРОВОДНЫХ СЕТЕЙ Скорость беспроводной сети зависит от нескольких факторов.
Производительность беспроводных локальных сетей определяется тем, какой стандарт Wi-Fi они поддерживают. Максимальную пропускную способность могут предложить сети, поддерживающие стандарт 802.11n — до 600 Мбит/сек (при использовании MIMO). Пропускная способность сетей, поддерживающих стандарт 802.11a или 802.11g, может составить до 54 Мбит/сек. (Сравните со стандартными проводными сетями Ethernet, пропускная способность которых составляет 100 или 1000 Мбит/сек.)
На практике, даже при максимально возможном уровне сигнала производительность Wi-Fi сетей никогда не достигает указанного выше теоретического максимума. Например, скорость сетей, поддерживающих стандарт 802.11b, обычно составляет не более 50% их теоретического максимума, т. е. приблизительно 5.5 Мбит/сек. Соответственно, скорость сетей, поддерживающих стандарт 802.11a или 802.11g, обычно составляет не более 20 Мбит/сек. Причинами несоответствия теории и практики являются избыточность кодирования протокола, помехи в сигнале, а также изменение расстояния Хемминга с изменением расстояния между приемником и передатчиком. Кроме того, чем больше устройств в сети одновременно участвуют в обмене данными, тем пропорционально ниже пропускная способность сети в расчёте на каждое устройство, что естественным образом ограничивает количество устройств, которое имеет смысл подключать к одной точке доступа или роутеру (другое ограничение может быть вызвано особенностями работы встроенного DHCP-сервера, у устройств из нашего ассортимента итоговая цифра находилась в диапазоне от 26 до 255 устройств).
Ряд производителей выпустили устройства, с поддержкой фирменных расширений протоколов 802.11b и 802.11g, с теоретической максимальной скоростью работы 22Мбит/сек и 108Мбит/сек соответственно, однако радикальной прибавки в скорости по сравнению с работой на стандартных протоколах в данный момент от них не наблюдается.
Кроме того, скорость работы любой пары устройств существенно падает с уменьшением уровня сигнала, поэтому зачастую наиболее эффективным средством поднятия скорости для удалённых устройств является применение антенн с большим коэффициентом усиления.
Эфир — и, соответственно, радиоканал — в качестве среды передачи существует лишь в единственном экземпляре и ведет себя так же, как раньше концентратор в сети Ethernet: при попытке передачи данных несколькими сторонами одновременно сигналы мешают друг другу. Поэтому стандартами WLAN предусматривается, что перед передачей станция проверяет, свободна ли среда. Однако это отнюдь не исключает ситуацию, когда две станции одновременно идентифицируют среду как свободную и начинают передачу. В «разделяемом» Ethernet соответствующий эффект называется коллизией.
В проводной сети отправители могут распознать коллизии уже в процессе передачи, прервать ее и повторить попытку после случайного интервала времени. Однако в радиосети таких мер недостаточно. Поэтому 802.11 вводит «пакет подтверждения» (ACK), который получатель передает обратно отправителю; на эту процедуру отводится дополнительное время ожидания. Если сложить все предусмотренные протоколом периоды ожидания — короткие межкадровые интервалы (Short Inter Frame Space,
SIFS) и распределенные межкадровые интервалы функции распределенной координации (Distributed Coordination Function Inter Frame Space, DIFS) для беспроводной сети стандарта 802.11а, то накладные расходы составляют 50 мкс на пакет (см. Рисунок 1).
Рисунок 1. Если станция WLAN собирается начать передачу и находит среду занятой, то ей придется подождать некоторое время. Доступ к среде регулируется при помощи «межкадровых интервалов» разной длины (DIFS и SIFS)
Помимо этого, при вычислении издержек следует учесть, что каждый пакет данных содержит не только полезные данные, но и необходимые заголовки для многих протокольных уровней (см. Рисунок 2). В случае пакета длиной 1500 байт, передаваемого по стандарту 802.11 со скоростью 54 Мбит/с, появляются «лишние» 64 байт с издержками в 20 мкс. Пакет АСК обрабатывается физическим уровнем так же, как и пакет данных, в нем отсутствуют лишь части от порядкового номера до контрольной суммы. Вдобавок заголовок укорочен, поэтому для пакета АСК необходимо всего 24 мкс.
В общей сложности передача 1500 байт полезной нагрузки со скоростью 54 Мбит/с занимает 325 мкс, поэтому фактическая скорость передачи составляет 37 Мбит/с.
С учетом издержек на ТСР/IP (еще 40 байт на пакет, пакеты подтверждения TCP) и повторов из-за сбоев в передаче достигаемая на практике скорость будет равна 25 Мбит/с — такое же соотношение значений номинальной/фактической скоростей получается и при использовании 802.11b (от 5 до 6 при 11 Мбит/с).
Для 802.11g, наследника 11b, принцип работы которого мало чем отличается от 802.11а, требование обратной совместимости с IEEE 802.11b может привести к тому, что скорость передачи окажется еще меньше. Проблема возникает, когда в диалог двух станций 11g может вмешаться карта 802.11b: последняя не способна распознать, что среда в данный момент занята, поскольку в 802.11g используется отличный от 11b метод модуляции.
3. АЛГОРИТМЫ В БЕЗПРОВОДНЫХ СЕТЯХ беспроводная сеть bluetooth
В данной работе предлагается оптимизированный вариант — алгоритм альтернативной маршрутизации, разработанный на основе существующих решений. Он использует принципы построения кратчайших путей, которые применяются в алгоритмах Дейкстри и Беллмана-Форда, и методы определения средней задержки, традиционные для сетей с пакетной коммутацией.
Разработанный для ретрансляторов алгоритм альтернативной маршрутизации основан на минимизации средней задержки на всех кратчайших маршрутах, причем определение задержек на участках включает анализ статических характеристик сети (топологии и пропускных способностей каналов связи) и характера передаваемого трафика (учет оптимальных показателей задержек для разных видов трафика).
В алгоритме предусмотрены механизмы анализа пропускных способностей каналов связи с точки зрения их оптимальности, расчет оптимального веса путей на основании этой информации и минимизации функции задержки у сети на основании анализа потока по маршрутам, при котором размер задержки мог бы соответствовать общепринятым характеристикам передачи определенных видов трафика.
Алгоритм использует принципы построения кратчайших путей, которые используются в алгоритмах Дейкстры и Беллмана-Форда, и способы определения средней задержки, традиционные для сетей с пакетною коммутацией. Функциональная блок-схема алгоритма приведена на рисунке и включает следующие составляющие:
1. Блок определения оптимальных пропускных способностей — анализирует базовую топологию сети и определяет оптимальность пропускных способностей. На основании полученных данных подсчитывает вес каналов связки сети для дальнейшего анализа.
2. Блок анализа среднего времени задержки — отвечает за расчет среднего времени задержки в сети на основании оптимальных пропускных способностей и начальных потоков в сети.
3. Блок определения маршрутов — отвечает за построение кратчайших маршрутов между всеми узлами сети.
4. Блок построения допустимого потока — обеспечивает распределение потоков по кратчайшим путям.
5. Блок минимизации средней задержки — обеспечивает расчет девиации потоку на основе минимизированной функции значения средней задержки в сети.
6. Тело алгоритма — объединяет работу каждого из блоков и обеспечивает последовательное функционирование алгоритма.
Рисунок — блок-схема алгоритма Сформулируем задачи, которые должны быть решены с помощью спроектированного алгоритма:
наиболее рациональное использование каналов для решения задачи используются следующие приемы:
а) анализ пропускных способностей каналов связи в сети и расчет оптимальных меток;
б) использование альтернативных маршрутов;
в) распределение трафика между альтернативными маршрутами исходя не из соотношения суммарных метрик маршрутов, а из соотношения максимальных метрик каналов данного маршрута;
г) выбор доступных для использования альтернативных маршрутов только по критерию максимального времени передачи (маршрут может быть принят к использованию, если время передачи по маршруту не превышает установленного для данного типа трафика максимально допустимого).
2) соблюдение требований к параметрам сетевой передачи.
Далее рассмотрим приемы решения указанных задач. Задача соблюдения требований к параметрам сетевой передачи решается таким способом:
а) минимизация задержки передачи сообщений в сетях сложной топологии;
б)минимизация СКВ задержки.
Сделаем оценку оптимальности функционирования по алгоритму.
Введем обозначения:
где і - номер пары узел-адресат — узел-получатель; первая формула — поток пакетов, которые поступают в і-ый канал; вторая — поток пакетов, поступающих из узла в сеть.
Нагрузку і-ого канала пакетами считаем по следующей формуле:
где первый множитель — средняя длина пакета, Di — пропускная способность
і-ого канала.
Среднее количество пакетов в і-ом канале составляет:
Учитывая общее количество узлов в сети, среднее количество пакетов у сети в целом составляет:
В соответствии с формулой Литтла где Т — средняя задержка в сети. Таким образом, получаем формулу Клейнрока для анализа средней задержки в сети:
Полученная формула для оценки времени задержки эффективно используется для решения различных оптимизационных задач. К таким задачам относят оптимизацию пропускной способности каналов и выбор маршрутов передачи сообщений.
4. ПОСТАНОВКА ЗАДАЧИ Предположим, что имеется некоторое количество видео-файлов, объем которых не превышает 10 Гигабайт. Эти файлы нужно передать абоненту на расстояние, на котором сигнал способен передаваться на максимально допустимой скорости. Из предлагаемых сетей 3G, LTE, VANet, WiMax необходимо выбрать оптимальную беспроводную сеть для передачи видеоконтента на расстояние, которое задает пользователь.
Специфика использования радиоэфира в качестве среды передачи данных накладывает свои ограничения на топологию сети. Если сравнивать ее с топологией проводной сети, то наиболее близкими вариантами оказываются топология «звезда» и комбинированная топология «кольцо» и «общая шина». Следует упомянуть, что развитие беспроводных сетей, как и многое другое, проходит под неусыпным контролем соответствующих организаций. И са мой главной среди них является Институт инженеров электротехники и элек троники (Institute of Electrical and Electronic Engineers, IEEE). В частности, беспроводные стандарты, сетевое оборудование и все, что относится к бес проводным сетям, контролирует Рабочая группа по беспроводным локаль ным сетям (Working Group for Wireless Local Area Networks, WLAN), в состав которой входят более 100 представителей из разных университетов и фирмразработчиков сетевого оборудования. Эта комиссия собирается несколько раз в год с целью совершенствования существующих стандартов и создания новых, базирующихся на последних исследованиях и компьютерных дости жениях.
В России также организована ассоциация БЕспроводных СЕтей передачи ДАнных («БЕСЕДА»), которая занимается ведением единой политики в области беспроводных сетей передачи данных. Она же и контролирует развитие рынка беспроводных сетей, предоставляет различные услуги при подключении, создает и развивает новые центры беспроводного доступа и т. д. Теперь что касается непосредственно топологии беспроводных сетей. На сегодняшний день используют два варианта беспроводной архитектуры или, проще говоря, варианта построения сети: независимая конфигурация (Ad-Hoc) и инфраструктурная конфигурация. Отличия между ними незначительные, однако они кардинально влияют на такие показатели, как количество подключаемых пользователей, радиус сети, помехоустойчивость и т. д.
НЕЗАВИСИМАЯ КОНФИГУРАЦИЯ
Режим независимой конфигурации (рис. 9.1), часто еще называемый «точка-точка», или независимый базовый набор служб (Independent Basic Service Set, IBSS), — самый простой в применении. Соответственно такая беспроводная сеть является самой простой в построении и настройке.
Чтобы объединить компьютеры в беспроводную сеть, достаточно, чтобы каж-дый из них имел адаптер беспроводной _связи. Как правило, такими адаптерами изначально оснащают переносные компьютеры, что вообще сводит построение сети только к настройке доступа к ней. Обычно такой способ организации используют, если сеть строится хаотично или временно, а также если другой способ построения не подходит по каким-либо причинам. Режим независимой конфигурации, хоть и прост в построении, имеет некоторые недостатки, главными из которых являются малый радиус действия сети и низкая помехоустойчивость, что накладывает ограничения на расположение компьютеров сети. Кроме того, если нужно подключиться к внешней сети или к Интернету, то сделать это будет непросто.
ИНФРАСТРУКТУРНАЯ КОНФИГУРАЦИЯ
Инфраструктурная конфигурация, или, как ее еще часто называют, режим «клиент/сервер» , — более перспективный и быстроразвивающийся вариант беспроводной сети.