Решение задач идентификации и аутентификации в беспроводных сетях
Аннотация
В статье рассматриваются вопросы идентификации и аутентификации клиентов беспроводных сетей.
Abstract
The article deals with the identification and authentication of wireless clients.
Ключевые слова
Идентификация, аутентификация, беспроводные сети
Keywords
Wireless, authentication
УДК 004.75
Широкое распространение беспроводных информационных технологий сегодня уже стало реальностью. Беспроводные мобильные сети прочно вошли в нашу жизнь и успешно применяются в самых разных сферах - от локального соединения устройств на расстояние нескольких метров, до построения региональных (в масштабе города и региона) и глобальных широкополосных сетей. Для построения локальных сетей наиболее широко использутся технологии IEEE.802.11 (Wi-Fi), IEEE.802.15.1(Bluetooth) и IEEE.802.15.4(ZigBee) [1, 2].
Все они используют диапазоны частот от 2400 до 2483,5 МГц (Wi-Fi также может использовать диапазон 5725 до 5875 МГц) выделенные для использования "высокочастотными установками, предназначенными для промышленных, научных и медицинских целей". В России решением Государственной комиссии по радиочастотам (ГКРЧ) разрешено "строить локальные радиосети в частотном диапазоне 2400-2483,5 МГц на базе устройств с максимальной мощностью передатчика не более 100 мВт и максимальным коэффициентом усиления антенны 3,5 дБ только в пределах зданий, сооружений, закрытых промышленных и складских площадках". Без таковых ограничений разрешается строить локальные радиосети на базе устройств с максимальной мощностью передатчика не более 10 мВт [2].
Подобное решение позволяет на законных основаниях развернуть такие сети в научных и учебных заведениях с целью повышения эффективности и качества учебного процесса университетах и проведения широкомасштабных исследований применения новых беспроводных технологий на практике [1].
Однако, при доступе к информации во многих случаях возникает необходимость идентификации и аутентификации пользователей. Это необходимо как для предоставления пользователю таргетированной информации, так и для разграничения прав доступа к ресурсам сети.
Обычно в различных сетях всегда можно осуществить идентификацию по MAC-адресу устройства, однозначно его идентифицирующему. Так например стандартом IEEE 802.15.4, на котором базируется технология ZigBee, предусмотрен EUI-64 - 64-битный расширенный уникальный идентификатор, который создается путем объединения 24-битного OUI (Уникальный идентификатор организации, Organizationally Unique Identifier) производителя устройства с 40-битным дополнительным идентификатором, который назначается организацией, получившей OUI.
В соответствии с рекомендациями IEEE, первые 4 знака дополнительного идентификатора не могут быть FFFE16 или FFFF16 - они используются для поддержки инкапсуляции значений идентификаторов MAC-48 и EUI-48 в EUI-64.
При этом необходимо помнить, что существует возможность подделки MAC-адреса. Таким образом, идентификацию по MAC адресу можно использовать только там, где соответствующие злонамеренные действия (или же случайные стечения обстоятельств) не приведут к недопустимым последствиям. В остальных случаях необходимо использовать дополнительную систему идентификации с обязательной процедурой аутентификации.
Для решения данных задач в различных беспроводных сетях предлагается использовать схему, аналогичную включенной в стандарт ZigBee Pro службе безопасности (ZigBee Security Services) с аутентификацией с симметричным ключевым обменом (SKKE).
Данной службой безопасности предусмотрено:
- - Установление ключей - Передача ключей - Защита кадров данных - Авторизация устройств
Для функционирования такой схемы безопасности устройство всегда должно иметь возможность обрититься к другому устройству, которому оно может доверять, для получения ключей доступа.
Поэтому необходимо наличие в сети Доверенного Центра, который:
- - Хранит ключи для сети - Использует службы безопасности для конфигуирования устройств с ключами - Использует службы безопасности для авторизации устройств в сети
В качестве Доверенного Центра оправданно использование координатора сети. Безопасность ZigBee основана на симметричных ключах. Отправитель и получатель при защищенной транзакции должны иметь один общий ключ, который используется в шифровании.
Есть три основных метода получения ключей обоими участниками передачи данных:
- - Предустановка - Передача - Создание
В случае предустановки ключи помещаются в устройства заранее способами, отличными от открытой передачи по сети (зенесение их в прошивку устройства, передача по кабелю и т. д.).
В случае передачи Доверенный Центр пересылает ключи устройствам (настолько безопасным методом, насколько это возможно).
В случае создания устройства ведут взаимодействие с Доверенным Центром и ключи устанавливаются на обоих концах без непосредственной передачи по сети. При этом могут использоваться три способа:
- - Симметричный обмен ключами SKKE (Symmetric Key Key Establishment) - Обмен ключами на основе сертификатов CBKE (Certificate-based Key Establishment) - Альфа-безопасный обмен ключами ASKE (Alpha-secure Key Establishment)
Есть следующие основные типы ключей:
- - Мастер-ключ MK (Master key) * Общий ключ SK (Shared key) только для SKKE - Ключ соединения LK (Link key) - Ключ сети NK (Network key)
Ключ соединения, LK, это ключ, который имею два и только два устройства для защиты кадров на APS (Application Support Sublayer) уровне. Одно из этих устройтв обычно доверенный центр.
Обычно он создается динамически, при использовании службы обмена ключами. Но также может быть предустановлен или передан от Доверенного Центра.
Ключ сети, NK, это глобальный ключ, который используется всеми устройствами сети. Набор сетевых ключей хранится в Доверенном Центре, и текущий ключ сети идентифицируется по номеру последовательности ключа. Обычно он передается с Доверенного Центра, но может быть также предустановлен. Механизм обновления включает в себя две стадии:
- - Обновление нового ключа и номера последовательности ключа. - Переключение на новый номер последовательности ключа
Теперь рассмотрим более подробно (Табл. 1) механизм SKKE (Рис. 1). Инициатор (И) начинает процедуру установки LK с получателем, отсылая в ДЦ сообщение (1) с запросом ключа, включающее адрес назначения (т. е. ДЦ), тип ключа (MK) и адрес партнера (П), для соединения с которым необходимы ключи. После этого ДЦ генерирует MK и передает его каждому из двух участников взаимодейстия - И (2) и П (3). Поле "тип ключа", соответственно, содержит MK, а отличаются сообщения помимо адреса только значением булевога поля "инициатор". Все эти сообщения шифруются с использованием либо Trust Center Link Key (TCLK), либо Trust Center Master Key (TCMK).
Шаг |
Участники |
Сообщение |
1 |
И>ДЦ |
{ДЦ, AppKey, П} |
2 |
ДЦ>И |
{И, AppMK, П, TRUE, MK} |
3 |
ДЦ>П |
{П, AppMK, И, FALSE, MK} |
4 |
И>П |
{П, FALSE, Zero, SKKE} |
5 |
П>И |
{И, TRUE}M K |
6 |
И>П |
{NИ} |
7 |
П>И |
{NП} |
8 |
И>П |
MAC{3,И, П, NИ, NП} |
9 |
П>И |
MAC{2,П, И, NП, NИ} |
Таргетированный информация доступ сеть
После этого И посылает П запрос на начало SKKE(4). Значения False и Zero указывают на то, что нет родителя и родительского адреса. Пятое сообщение это ответ П на SKKE-запрос И. Заметим, что два эти сообщения зашифрованы при помощи MK, который был получен в предыдущих двух сообщениях. Оставшиеся четыре сообщения как раз и представляют собой SKKE протокол. Сообщения 6 и 7 включают в себя опросы (NИ, NП) участников обмена. Сообщения 8 и 9 - это сложные сообщения, которые могут быть вычислены обоими сторонами для проверки друг друга. И и П создают два кода аутентификации сообщений (MAC - message authentication codes), используя имеющиеся у них данные, помимо своего MAC хэш (H) MAC другого участника, который вычисляется на основе тех же данных. После верификации новый LK будет иметь вид H(MAC{A, B, NA, NB}M K,1), что является небольшим изменением MAC, который использовался в двух предыдущих сообщениях.
Благодаря описанной выше схеме, есть возможность получить изображенную на рисунке схему шифрования данных. Данные защищены как на сетевом (NWK) уровне, так и на уровне поддержки приложений (APS).
Таким образом, данную схему шифрования можно признать достаточной для многих нужд, в том числе и для применения в беспроводных сетях ВУЗов для процедуры идентификации и аутентификации абонентов в университетских беспроводных сетях.
Библиографический список
- 1. Финогеев А. Г., Маслов В. А., Финогеев А. А. "Гетерогенное информационое пространство для поддержки учебного процесса на базе технологий беспроводной связи" // научно-методический журнал "Информатизация образования и науки" №1(9) январь 2011, ISSN 2073-7572 / М.: ФГУ ГНИИ ИТТ "Информика, 2011. С. 44-55. 2. Финогеев А. Г., Дильман В. Б., Маслов В. А., Финогеев А. А. "Оперативный дистанционный мониторинг в системе городского теплоснабжения на основе беспроводных сенсорных сетей." // Известия высших учебных заведений. Поволжский регион. Технические науки. 2010. № 3. С. 27-36.
Похожие статьи
-
Введение, Постановка задачи - Моделирование беспроводных сенсорных сетей
Данная квалификационная работа посвящена моделированию беспроводных сенсорных сетей (БСС) на базе современных маломощных модулей. Рассматриваются...
-
Характеристики ЛВС Используемый стандарт: IEEE 802.3ab -- стандарт, использующий витую пару категорий 5e. 1000BASE-T, стандарт Gigabit Ethernet....
-
Описание стандарта IEEE 802.15.4 - Моделирование беспроводных сенсорных сетей
Стандарт 802.15.4 предназначен для организации двух нижних уровней эталонной модели OSI в беспроводной сенсорной сети - физический (PHY) и канальный...
-
Выбор стандарта - Моделирование беспроводных сенсорных сетей
Различных стандартов беспроводных сетей существует великое множество, однако их всех можно подразделить на три группы: WPAN (Wireless Personal Area...
-
1 Беспроводная сенсорная сеть В настоящее время бурно развивается технология беспроводных сенсорных сетей. Беспроводные сенсорные сети - это...
-
Оценка эффективности принятых решений - Разработка корпоративной сети на основе технологий xDSL
Три ключевых преимущества технологий xDSL: - использование существующей абонентской линии; - передача по этой одной АЛ всего разнообразного трафика КС -...
-
Как уже упоминалось в предыдущих лекция, .Net Access Control Services обеспечивает управление доступом к приложениям и сервисам и интеграцию с имеющимися...
-
Расчет энергопотребления и времени работы, Выводы - Моделирование беспроводных сенсорных сетей
Энергопотребление - один из ключевых вопросов для сенсорных сетей, так как устройства питаются в основном от батареек. Информация о потреблении энергии в...
-
Стандарт Bluetooth (802.15.1) на сегодняшний день хорошо развит и применяется для связи мобильных телефонов, КПК, периферии. Однако он не рассчитан на...
-
Необходимо отметить специальный класс приложений - систем поддержки принятия решений, позволяющие моделировать правила и стратегии бизнеса и иметь...
-
Методы разработки вычислительной сети: 1. Экспериментальный метод - персонал предприятия закупает "новинки" рынка компьютерной техники. Такой метод -...
-
OPNET Modeler (Optimized Network Engineering Tools) - Моделирование беспроводных сенсорных сетей
OPNET Modeler - мощная среда имитационного моделирования дискретных событий и состояний. Она включает множество библиотек сетевых технологий и протоколов...
-
Эффективная скорость передачи данных - Моделирование беспроводных сенсорных сетей
В стандарте 802.15.4 для частот в диапазоне 2,4 ГГц определена максимальная скорость передачи 250 Кбит/с. На практике она оказывается меньше из-за...
-
В данной главе будут описаны подходы и технологии, использованные в проекте, а так же технические детали его реализации. Используемые решения и...
-
1 Характеристика технологий xDSL - Разработка корпоративной сети на основе технологий xDSL
HDSL (High-bit-rate DSL) , или технология высокоскоростной цифровой абонентской линии, - это первенец семейства xDSL, разработанный в конце 80-х гг....
-
Безопасность работы в сети Интернет
Введение Одной из главных проблем работы в сети Интернет является безопасность. Неподготовленный пользователь, находясь в сети Интернет может нажать на...
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
ОСНОВНЫЕ ПОЛОЖЕНИЯ, ОПРЕДЕЛЕНИЯ И ПОНЯТИЯ Совокупность управляющих воздействий, направленных на то, чтобы действительный ход процесса соответствовал...
-
Для защиты от напряжения прикосновения используется защитное зануление. Занулением называется преднамеренное соединение нетоковедущих частей с нулевым...
-
Необходимо построить базу данных, содержащую информацию о ПО, используемом в ЦЗН. В результате анализа предметной области выявляются документы -...
-
Как уже отмечалось в разделе "Различимость входных данных" числовые сигналы рекомендуется масштабировать и сдвигать так, чтобы весь диапазон значений...
-
Актуальность Сегодня всемирная популярность социальных информационных сетей продолжает набирать обороты, все большее пользователей не может отказать себе...
-
Предложенный подход к решению задач исследования Используя в качестве основы присутствующее в наличии программное обеспечение, которое применимо к...
-
Устойчивость, Восстанавливаемость, Готовность - Моделирование беспроводных сенсорных сетей
Устойчивость к дефектам и ошибкам - свойство ПО автоматически поддерживать заданный уровень качества функционирования при проявлениях дефектов и ошибок...
-
Создание конфигурационного файла - Моделирование беспроводных сенсорных сетей
Для моделирования сети необходимо создать файл конфигурации omnetpp. ini: [General] Network = SN Include../Parameters/Castalia. ini Sim-time-limit =...
-
Сеть хранения данных - Выбор оптимального решения для виртуализации
Является архитектурным решением для подключения внешних устройств хранения данных, например ленточные библиотеки, массивы итд, для того чтобы...
-
Возможность использования формул и функций является одним из важнейших свойств программы обработки электронных таблиц. Это, в частности, позволяет...
-
Producteev Первым из рассмотренных продуктов является Producteev. Это приложение обладает богатым набором функций. Каждый проект является единым рабочим...
-
Табличный процессор Excel фирмы Microsoft предназначен для ввода, хранения, обработки и выдачи больших объемов, данных в виде, удобном для анализа и...
-
В качестве доступного инструментария были рассмотрены две открытые кроссплатформенные библиотеки для разработки C++ приложений WxWidgets и Boost ,...
-
Широкое распространение в операционной системе Windows имеет множество стандартных программ обеспечивающих работу устройств компьютера и служащих для...
-
Перспективы развития сети - Построение локальной компьютерной сети
В ближайшее время планируется подключение к оптоволокну, что позволит получить более высокую скорость интернет-соединений, а также модернизация...
-
Корпоративная интеграционная подсистема на базе IBM WebSphere Business Integration Message Broker [28] отвечает за выстраивание корпоративной...
-
Назначение и структура комплекса технических средств АСУ АТП Для информатизации бизнеса необходим широкий спектр программно-аппаратных средств, в том...
-
Построение сетей, Альтернативы - Многопротокольная коммутация по меткам
Технология MPLS используется для построения IP-сетей. На практике MPLS используется для передачи трафика IP и Ethernet. Основными областями применения...
-
Первая проблема, которую приходится решать при создании корпоративной сети - организация каналов связи. Каналы связи -- создаются по Линиям связи при...
-
Обзор сетей передачи данных, Определение локальных сетей - Сеть абонентского доступа
Определение локальных сетей Способов и средств обмена информацией за последнее время предложено множество: от простейшего переноса файлов с помощью...
-
Введение, Что такое Internet - Глобальная вычислительная сеть Internet
Что такое Internet Internet -- глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 30 миллионов абонентов в более чем 180...
-
Физическая среда передачи в локальных сетях - Методы доступа к передающей среде в ЛВС
Весьма важный момент - учет факторов, влияющих на выбор физической среды передачи (в ЛВС - кабельной системы). Среди них можно перечислить следующие:...
-
Базы данных (БД) составляют в настоящее время основу компьютерного обеспечения информационных процессов, входящих практически во все сферы человеческой...
Решение задач идентификации и аутентификации в беспроводных сетях