Анализ дистаннционных и трассовых методов

Сразу после первого сообщения, абонентская станция отправляет сообщение, содержащее X.509 сертификат самой абонентской станции, ее криптографические  возможности и идентификатор  первичной SA (Primary SA).

Базовая станция по сертификату  абонента определяет, авторизован ли он. Если он авторизован, она посылает сообщение, содержащее зашифрованный  ключ авторизации, последовательный номер  данного ключа авторизации, его  время жизни, а также список идентификаторов  статических SA, в которых абонент  авторизован. Ключ авторизации шифруется  алгоритмом RSA с публичным ключом, получаемым из сертификата абонентской станции.

Однажды авторизовавшись, абонентская  станция будет периодически переавторизовываться.

 

 

Рисунок 1.4 - Обмен ключами

 

Базовая станция посылает сообщение, принуждающее абонентскую  станцию обновить ключ шифрования трафика TEK. Сообщение содержит:

- последовательный номер  ключа авторизации, который был  использован при генерации HMAC.

- идентификатор того SA, TEK которого необходимо обновить

- HMAC для того, чтобы абонентская  станция могла проверить подлинность  этого сообщения.

В ответ на первое сообщение (при успешной проверке HMAC), или же по собственной инициативе абонентская  станция посылает запрос на обновление ключа TEK, содержащий:

- последовательный номер  ключа авторизации, который был  использован при генерации HMAC.

- идентификатор того SA, TEK которого необходимо обновить (совпадает  с идентификатором из первого  сообщения, если оно было)

- HMAC для того, чтобы базовая  станция могла проверить подлинность  этого сообщения.

Если предыдущее сообщение  пройдет аутентификацию HMAC, базовая  станция посылает сообщение, содержащее:

- последовательный номер  ключа авторизации, который был  использован при генерации HMAC.

- идентификатор SA, для  которого проводится обновление  ключа TEK

- прежний TEK, то есть  текущий TEK того SA, для которого  запрошено обновление

- новый TEK, то есть TEK, который  будет использоваться, когда истечет  срок жизни текущего TEK.

HMAC для проверки подлинности  данного сообщения.

Оба ключа TEK передаются в  зашифрованном виде. В IEEE 802.16 для  этого используется тройной DES в режиме электронной кодовой книги c ключом KEK:

Рисунок 1.5 - тройной DES в режиме электронной кодовой книги c ключом KEK

 

Здесь KEK 1 — это первые 64 бит ключа KEK, а KEK 2 — последние 64 бит ключа KEK.

Шифрование данных

Стандарт IEEE 802.16 использует алгоритм DES в режиме сцепления блока  шифров для шифрования данных. В  настоящее время DES считается небезопасным, поэтому в дополнении к стандарту IEEE 802.16e для шифрования данных был  добавлен алгоритм AES.

Рисунок 1.6 – Алгоритм DES

 

Шифрование данных проходит следующим образом. Вектор инициализации  из данного data SA и поле синхронизации  проходят побитовую операцию исключающего ИЛИ и подаются как инициализирующий вектор алгоритму DES в режиме сцепления  блока шифров (CBC, cipher block chaining). Также  на вход схемы подается ключ TEK для  шифрования и открытый текст сообщения. Алгоритм выдает зашифрованный текст. Заголовок Generic MAC header (GMH) не меняется за исключением битового поля EC, а концевик CRC, если он имеется, меняется под зашифрованный текст.

Стандарт 802.16e определяет использование  шифрования AES в четырех режимах:

- Cipher Block Chaining (CBC, режим сцепления блока шифров)

- Counter Encryption (CTR, шифрование счетчика)

- Counter Encryption with Cipher Block Chaining message authentication code (CCM, счетчиковое шифрование с message authentication code, полученным сцеплением блока шифров). Добавляет возможность проверки подлинности зашифрованного сообщения к режиму CTR.

Electronic Code Book (ECB, режим электронной кодовой книги). Используется для шифрования ключей TEK.

Nonce

В режиме CCM, для шифрования полезной информации передающая станция  генерирует на каждый пакет nonce — байтовую последовательность, первые 5 байт которой представляют собой начало Generic MAC Header. Далее идут 4 зарезервированных байта, имеющих нулевые значения. Затем следует 4-байтовый номер пакета Packet Number (PN) в данном data SA. Значение Packet Number ставится в 1 при установлении нового data SA или нового TEK.

Блок CBC

Блок CBC состоит из однобайтового  флага, имеющего значение 00011001, последовательности nonce и поля, содержащего длину  информационной части сообщения.

Блок Counter

Блок Counter состоит из однобайтового  флага, имеющего значение 00000001, последовательности nonce и поля, содержащего номер i Counter-блока. Число i может меняться от нуля до n, где n — количество Counter-блоков, необходимых для покрытия всего сообщения и кода message authentication code.

Рисунок 1.7 - Создание и шифрование message authentication code в AES — CCM

 

При создании message authentication code используется модифицированный режим CBC, в котором вместо инициализирующего  вектора IV, к началу информационной части сообщения присоединяется начальный (нулевой) блок CBC. Далее эта  пара зашифровывается алгоритмом AES в режиме CBC с ключом TEK. Последние 128 бит зашифрованного текста берутся  в качестве message authentication code (кода аутентичности). Далее message authentication code шифруется побитовым сложением по модулю два исходного message authentication code и зашифрованного с помощью алгоритма AES в режиме CTR начального (нулевого) Counter-блока.

Рисунок 1.8 - Шифрование информационной части сообщения

 

Каждый из n оставшихся Counter-блоков (нулевой уже был задействован в шифровании message authentication code) зашифровывают  методом AES в режиме CTR с ключом TEK. Затем результат складывают побитовым  сложением по модулю два с информационной частью сообщения. Полученный зашифрованный  текст вместе с зашифрованным message authentication code, номером пакета данных, заголовком Generic MAC Header и CRC-концевиком отправляется на физический уровень. При  этом в заголовке GMH поле EC (Encryption Control) устанавливают в единицу, поскольку  данные были зашифрованы, а в двухбитовом  поле EKS (Encryption Key Sequence) стоит индекс использованного при этом ключа TEK (traffic encryption key).

 

 

1.4 Защищенные связи

 

 

Защищенная связь (Security Association, SA) — одностороннее соединение для обеспечения защищенной передачи данных между устройствами сети. SA бывают двух типов:

- Data Security Association - защищенная  связь для данных.

- Authorization Security Association, защищенная связь для авторизации.

- защищенная связь для  данных.

Защищенная связь для  данных бывает трех типов:

- первичная(основная) (Primary SA);

- статическая (Static SA);

- динамическая (Dynamic SA).

Первичная защищенная связь  устанавливается абонентской станцией на время процесса инициализации. Базовая станция затем предоставляет статическую защищенную связь. Что касается динамических защищенных связей, то они устанавливаются и ликвидируются по мере необходимости для сервисных потоков. Как статическая, так и динамическая защищенные связи могут быть одной для нескольких абонентских станций.

Защищенная связь для  данных определяется:

- 16-битным идентификатором  связи.

- методом шифрования, применяемым для защиты данных в соединении.

- двумя Traffic Encryption Key (TEK, ключ  шифрования трафика), текущий и  тот, который будет использоваться, когда у текущего TEK закончится  срок жизни.

- двумя двухбитными идентификаторами, по одному на каждый TEK.

- временем жизни TEK. Может  иметь значение от 30 минут до 7 дней. Значение по умолчанию 12 часов.

- двумя 64-битными векторами  инициализации, по одному на TEK (требуется для алгоритма шифрования DES).

- индикатором типа связи  (первичная, статическая или динамическая).

Абонентские станции обычно имеют одну защищенную связь для  данных для вторичного частотного канала управления (secondary management channel); и либо одну защищенную связь для данных для соединения в обе стороны (uplink и downlink), либо одну защищенную связь  для данных для соединения от базовой  станции до абонентской и одну — для обратного.

Абонентская станция и  базовая станция разделяют одну защищенную связь для авторизации. Базовая станция использует защищенную связь для авторизации для конфигурирования защищенной связи для данных.

Защищенная связь для  авторизации определяется:

- сертификатом X.509, идентифицирующим абонентскую станцию, а также сертификатом X.509, идентифицирующим производителя абонентской станции.

- 160-битовым ключом авторизации  (authorization key, AK). Используется для аутентификации во время обмена ключами TEK.

- 4-битовым идентификатором  ключа авторизации.

- временем жизни ключа  авторизации. Может принимать  значение от 1 дня до 70 дней. Значение  по умолчанию 7 дней.

- 128-битовым ключом шифрования  ключа (Key encryption key, KEK). Используется  для шифрования и распределения  ключей TEK.

- ключом HMAC для нисходящих сообщений (downlink) при обмене ключами TEK.

- ключом HMAC для восходящих  сообщений (uplink) при обмене ключами  TEK.

- списком data SA, для которого  данная абонентская станция авторизована.

KEK вычисляется следующим  образом:

- проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза. Получаются 512 бит.

- справа приписывается  ключ авторизации.

- вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе.

Первые 128 бит берутся  в качестве KEK, остальные отбрасываются.

Ключи HMAC вычисляются следующим  образом:

- проводится конкатенация  шестнадцатеричного числа 0x3A (uplink) или 0x5C (downlink) с самим собой  64 раза.

- справа приписывается  ключ авторизации.

- вычисляется хэш-функция  SHA-1 от этого числа. Получаются 160 бит на выходе. Это и есть  ключ HMAC.

Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) — это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ). Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.

 

 

 

 

 

 

 

2 ИССЛЕДОВАНИЕ ХАРАКТЕРИСТИК  СЕТЕЙ СВЯЗИ

 

2.1Структура сети WiMAX

 
      

  Сеть WiMAX по своей архитектуре  строится подобно сотовой сети. По городу устанавливается сеть базовых  станций (BS). Каждая базовая станция  по схеме "точка-многоточка" может  обслуживать с помощью всенаправленных  антенн свою группу зданий в радиусе 6—8 км, образуя подобие ячейки сот.  
        При необходимости связи между удаленными ячейками базовые станции могут иметь направленные антенны и выполнять роль ретрансляторов по схеме "точка-точка" по радиоканалу на расстояниях до 50 км. С помощью ретрансляторов можно создавать региональные сети, состоящие как бы из островков локальных сетей. Доступ к глобальным сетям (например, общегородским, региональным и интернет-сетям) обеспечивается тем, что либо каждая базовая станция, либо одна из них, к которой через ретрансляторы или направленные антенны имеют доступ все остальные базовые станции, подключается проводным соединением или оптоволокном к магистральной сети. Такую базовую станцию называют точкой доступа к магистрали Backhaul. На первом этапе на обслуживаемых зданиях устанавливаются фиксированные наружные антенны, подключенные к блоку трансивера — станции клиентов (SS), находящемуся внутри здания. В блоке трансивера имеются стандартные проводные Ethernet-интерфейсы для подключения оборудования клиентов. Имеющиеся внутри здания ноутбуки, поддерживающие беспроводной стандарт 802.11, имеют в здании общую точку доступа (хотспот). Для организации выхода во внешнюю сеть трафики пользователей от различного оборудования объединяются с помощью мультиплексора, выход которого подключается к блоку трансивера клиентов и далее передается по сети Wi-МАХ.  
        Значительно более функциональное решение подключения к магистральной сети с гораздо большими скоростями для образования сетей MAN-уровня предлагает WiMAX-технология. Она поддерживает и ячеистые структуры, и большее число пользователей, и обладает значительно большей производительностью, а главное, решает проблемы мобильной связи. Технология WiMAX в части решения проблемы "последней мили" и организации доступа к магистрали для удаленных сетей во многих чертах подобна технологии Wi-Fi. Нетрудно увидеть, что WiMAX является как бы естественным развитием Wi-Fi на более высоком уровне.  
        В этой технологии также используется модуляция OFDM, но количество поднесущих увеличено до 256 (против 64 в Wi-Fi). В условиях многолучевого распространения прямой и отраженные сигналы приходят в точку приема с разными задержками. При прерывистом характере передачи (передача пачками) длительность задержки, соизмеримая с длительностью символа или даже превышающая его, приводит к наложению соседних символов и их неверному декодированию. Чем на меньшую долю времени длительности передаваемого символа задержана его отраженная копия, тем меньше искажается сигнал и тем точнее его восстановить. Чем выше длительность передаваемого символа, тем большие величины задержки времени прихода отраженного сигнала допустимы. В целях компенсации задержек применяют либо технически сложные устройства — эквалайзеры, либо вводят защитные интервалы времени, в течение которых передача не ведется, либо передаются разделительные биты — циклические префиксы (СР— cyclic prefix). В качестве циклических префиксов используется часть общего количества поднесущих. Чем больше их количество, тем надежнее декодируются переданные символы, но тем меньше остается поднесущих под трафик.  
        В стандарте 802.11 под префиксы используется 1/4 часть от всех поднесущих. В основе технологии OFDM важным является то, что передаваемая пачка длиной N битов (где N равно числу поднесущих) из последовательного потока преобразуется в параллельный, в котором каждый бит растягивается по времени на длительность всей пачки (т. е. в N раз). Далее каждый бит модулирует свою поднесущую. В стандарте 802.16 длительность символов в 4 раза (256/64) больше, чем в стандарте 802.11, поэтому и допустимы более длительные времена задержек отраженных копий. Следовательно, допустимо иметь меньшее значение отношения числа поднесущих к общему их числу.  
        Стандарт 802.16 предусматривает полосы частот 20, 25 и 28 МГц в диапазонах от 10 до 66 ГГц. Этим стандартом предусматривается применять метод прямого расширения спектра с использованием одной несущей SC (Single Carrier). Стандарты 802.16—2004 и 802.16e предназначены для работы на частотах от 2 ГГц до 11 ГГц и позволяют гибко устанавливать полосы от 1,25 МГц до 20 МГц. Стандартом 802.16—2004 предусматривается или применение метода с прямым расширением спектра (только в условиях прямой видимости), или применение OFDM, наиболее подходящее для условий существования прямой и непрямой видимости. В стандарте 802.16e используется технология ортогонального частотного уплотнения OFDMA с динамическим распределением частотных поднесущих между терминалами пользователей, как более приспособленная для мобильной связи.  
        Доступ на передачу данных в сети WiMAX организуется применением механизма множественного доступа по запросу DAMA (Demand Assignment Multiple Access).  
        Скорость передачи в системе с технологией WiMAX может достигать 136 Мбит/с для стационарных пользовательских станций и 2 Мбит/с для мобильных терминалов при скорости их движения до 155 миль/час

 

 

2.2 Wi-Fi и WiMAX

 

 

Сопоставления WiMAX и Wi-Fi далеко не редкость — термины созвучны, название стандартов, на которых основаны эти технологии, похожи (стандарты разработаны IEEE, оба начинаются с «802.»), а также обе технологии используют беспроводное соединение и используются для подключения к Интернету (каналу обмена данными). Но, несмотря на это, эти технологии направлены на решение совершенно различных задач.

Таблица 2.1 - Сравнение стандартов беспроводной связи
Технология	Стандарт	Использование	Пропускная способность	Радиус действия	Частоты
Wi-Fi	802.11a	WLAN	до 54 Мбит/с	до 300 метров	5,0 ГГц
Wi-Fi	802.11b	WLAN	до 11 Мбит/с	до 300 метров	2,4 ГГц
Wi-Fi	802.11g	WLAN	до 54 Мбит/с	до 300 метров	2,4 ГГц
Wi-Fi	802.11n	WLAN	до 450 Мбит/с (в перспективе  до 600 Мбит/с)	до 300 метров	2,4 — 2,5 или 5,0 ГГц
WiMax	802.16d	WMAN	до 75 Мбит/с	25-80 км	1,5-11 ГГц
WiMax	802.16e	Mobile WMAN	до 40 Мбит/с	1-5 км	2,3-13,6 ГГц
WiMax 2	802.16m	WMAN, Mobile WMAN	до 1 Гбит/с (WMAN), до 100 Мбит/с (Mobile WMAN)	120-150 км (стандарт в разработке)	н\д (стандарт в разработке)
Bluetooth v. 1.1	802.15.1	WPAN	до 1 Мбит/с	до 10 метров	2,4 ГГц
Bluetooth v. 2.0	802.15.3	WPAN	до 2,1 Мбит/с	до 100 метров	2,4 ГГц
Bluetooth v. 3.0	802.11	WPAN	от 3 Мбит/с до 24 Мбит/с	до 100 метров	2,4 ГГц
UWB	802.15.3a	WPAN	110-480 Мбит/с	до 10 метров	7,5 ГГц
ZigBee	802.15.4	WPAN	от 20 до 250 Мбит/с	1-100 м	2,4 ГГц (16 каналов), 915 МГц  (10 каналов), 868 МГц (один канал)
Инфракрасная линия связи	IrDa	WPAN	до 16 Мбит/с	от 5 до 50 сантиметров, односторонняя  связь — до 10 метров	Инфракрасное излучение