Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

Коммуникации и связь->Реферат
Понятие паблик рилейшнз, еще недавно малоизвестное и непривычное для бывшей советской политической культуры и ментальности, в последние годы буквально...полностью>>
Коммуникации и связь->Реферат
Модели сетевого планирования и управления (модели СПУ) предназначены для планирования и управления сложными комплексами работ (проектами), направленны...полностью>>
Коммуникации и связь->Реферат
По оценкам специалистов DISCOVERY Research Group, объем российского парфюмерно-косметического рынка в 2006 году достиг $7,8 млрд. По данным Российской...полностью>>
Коммуникации и связь->Реферат
Основные типы проводов с эмалевой изоляцией, применяемые для изготовления обмоток различных электродвигателей и электрических аппаратов, - поливинилац...полностью>>

Главная > Реферат >Коммуникации и связь

Сохрани ссылку в одной из сетей:

Протокол IPSec.

Протокол IPSec — это набор открытых стандартов, разрабатываемых под эгидой IETF. Набор протоколов IPSec состоит из трех основных частей, которые определяют два режима его работы (АН и ESP):

  1. АН (Authentication Header — заголовок аутентификации) обеспечивает аутентификацию источника данных, целостность и защиту от воспроизведения;

  2. ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных, обеспечивает аутентификацию источника данных, целостность, защиту от воспроизведения, конфиденциальность данных и до некоторой степени скрытность управления потоком;

  3. IKE (Internet Key Exchange — схема обмена ключами через Интернет) предоставляет средства согласования криптографического алгоритма и отвечает за распределение ключей, используемых в АН и ESP.

В режиме аутентификации к стандартной дейтаграмме IP добавляется специальный заголовок аутентификации АН (рис. 3.5) . Поле «следующий заголовок» определяет тип данных после НА. Параметр безопасности SCI определяет тип профиля безопасности для данного пакета. Порядковый номер пакета служит для предотвращения атак повторением. В поле данных аутентификации содержится информация в соответствии с выбранной схемой обеспечения безопасности. Для проверки аутентичности вычисляется свертка в соответствии с механизмом НМАС (с MD5 или SHA-1).

Режим инкапсуляции зашифрованных данных ESP намного сложнее режима НА. Этот механизм обеспечивает не только аутентификацию, но и целостность и конфиденциальность передаваемых пакетов. Помимо собственно шифрования данных, к исходной дейтаграмме добавляются поля «Заголовок ESP» и «Трейлер ESP» (рис. 3.6).

Рис.3.5 Формат пакета с заголовком аутентификации НА, протокол IPSec.

Оба режима — АН и ESP — полагаются на механизм согласования сторонами параметров безопасного соединения (профиля безопасности — security association, SA) по алгоритму IKE. В SA хранятся параметры, о которых договорились оба участника обмена по сети VPN. К ним относятся криптографические ключи и время их жизни, используемые криптографические алгоритмы и режим работы IPSec.

Рис.3.6 Формат пакета с инкапсулированными данными ESP,протокол IPSec

Для каждого режима работы нужно два SA: для входящего и исходящего трафиков. Эти два набора параметров, описывающих данные, отправляемые и получаемые хостом, называются парой SA (SA bundle). В каждом SA явно указывается протокол АН или ESP, IP-адрес получателя для исходящего соединения или IP-адрес отправителя для входящего соединения и 32-разрядный уникальный идентификатор SPI. Еще одна важная характеристика SA — время жизни. Этот параметр определяет интервал времени, по истечении которого следует провести повторное согласование или считать SA недействительным. Время жизни задается либо как число обработанных байтов, либо как временной интервал; по достижении любого из этих порогов начинается повторное согласование SA. Существует два значения порога времени жизни SA: жесткий и мягкий. В случае если достигнут мягкий порог, то SA согласуется заново, по достижении же жесткого порога SA удаляется из памяти хоста.

Каждый хост-участник хранит SA в базе данных параметров безопасности (SA Database — SAD). Для работы IPSec необходима база данных политик безопасности (Security Policy Database — SPD), в которой хранятся сведения о политиках, применяемых к трафику. SPD содержит набор правил, которые, в свою очередь, состоят из селекторов, несущих информацию о типах выполняемых действий. Когда приходит пакет, по базе данных SPD определяется дальнейшее действие над ним: отбросить, пропустить дальше или передать для обработки протоколу IPSec. В отличие от SPD, база данных SAD хранит только необходимые параметры соединения.

Чтобы определить необходимые действия над пакетом, из его заголовка извлекаются три поля, которые сопоставляются с информацией, хранящейся в SAD (протокол IPSec, IP-адрес и SPI). Если соответствие найдено, то далее параметры сравниваются с полями АН или ESP. Если соответствие не найдено, пакет отбрасывается.

Традиционно в IPSec использовался шифр DES или 3DES. Шифр DES считается слабым и может быть вскрыт за несколько дней или даже часов, поэтому его использование не рекомендуется. Шифр 3DES гораздо более стоек, но требует большого объема вычислений и медленно работает на маломощных устройствах, таких как точки доступа и карманные компьютеры. Возможны и другие шифры, например Rijndael.

Добавление новых заголовков к IP-пакету после инкапсуляции ведет к увеличению размера пакета, т. е. к накладным расходам на организацию туннеля. В случае протокола ESP пакет может вырасти на 300 байт, что негативно сказывается на производительности. В протоколе IPSec предпринята попытка решения этой проблемы посредством встроенного протокола сжатия IP-пакетов (IPComp), в котором обычно применяются алгоритмы DEFLATE или LZS.DEFLATE. Сжатие выполняется до модификации в соответствии с IPSec и до фрагментации. Обычно сжатие случайных или уже сжатых данных неэффективно, более того, иногда применение избыточного сжатия приводит даже к увеличению размера IP-пакета. Применение протокола IPComp должно быть согласовано обеими сторонами с помощью механизма IKE. Следует отметить, что IPComp достаточно гибок, он позволяет выборочно применять сжатие только к конкретному протоколу транспортного уровня или лишь на одном конце соединения.

Протокол обмена и управления ключами в IPSec (IPSec Key Exchange and Management Protocol — ISAKMP) входит в набор протоколов IPSec и определяет процедуры согласования, создания, модификации и удаления SA, а также форматы соответствующих пакетов. Он спроектирован так, чтобы не зависеть ни от какого конкретного метода обмена ключами или генерации ключей, криптографического алгоритма или механизма аутентификации. ISAKMP описывает лишь общий каркас в довольно абстрактных терминах.

Internet Key Exchange (IKE) — это протокол общего назначения для обмена информацией, относящейся к безопасности. Он предоставляет вспомогательный сервис для аутентификации узлов в протоколе IPSec, согласования параметров безопасности (SA) и ключей алгоритмов шифрования.

В IPSec есть внутренний механизм, который позволяет посылать по протоколу IKE сообщение с извещением об удалении, когда одна из сторон уничтожает SA. К сожалению, хост обычно не посылает такое извещение, например, из-за неожиданной остановки по причине сбоя электропитания или в беспроводных сетях — из-за выхода из зоны покрытия. Для решения этой проблемы предусмотрен механизм обнаружения неработающего хоста (Dead Peer Discovery — DPD). Идея в том, что сообщение с извещением посылается раньше данных, если период неактивности продлился дольше заранее установленного порогового значения. Работающий хост на поступившее извещение должен ответить своим собственным.

Отметим, что в беспроводных сетях вероятна ситуация, когда клиент соединяется по беспроводному каналу и получает новый IP-адрес от DHCP-сервера, который изменяется время от времени. Поскольку один из IP-адресов динамический, его нельзя использовать для идентификации данной стороны. Для аутентификации таких хостов необходимо применять другие методы, например сертификаты Х.509.

4. Оценка пропускной способности Wi-Fi (физический уровень).

Системные компромиссы – это неотъемлемая часть всех разработок цифровых систем связи. Разработчик должен стремиться к :

  1. увеличению скорости передачи бит R до максимально возможной;

  2. минимизации вероятности появления битовой ошибки Pb;

  3. минимизации потребляемой мощности, или, что то же самое, минимизации требуемого отношения энергии одного бита к спектральной плотности мощности шума zb2;

  4. минимизации ширины полосы пропускания W;

  5. максимизации интенсивности использования системы, т.е. к обеспечению надежного обслуживания максимального числа пользователей с минимальными задержками и максимальной устойчивостью к возникновению конфликтов;

  6. минимизации конструктивной сложности системы, вычислительной нагрузки и стоимости системы.

Конечно, разработчик системы может попытаться удовлетворить всем требованиям одновременно. Однако очевидно, что требования 1 и 2 противоречат требованиям 3 и 4; они предусматривают одновременное увеличение скорости R и минимизацию Pb, zb2, W.

Существует несколько сдерживающих факторов и теоретических ограничений, которые неизбежно влекут за собой компромиссы в любых системных требованиях:

  • Минимальная теоретически требуемая ширина полосы частот по Найквисту

  • Теорема о пропускной способности Шеннона-Хартли (и предел Шеннона)

  • Государственное регулирование (например, распределение частот)

  • Технологические ограничения (например, современные комплектующие)

  • Другие системные требования (например, орбиты спутников)

Некоторые реализуемые компромиссы между кодированием и модуляцией можно лучше показать через изменение положения рабочей точки на одной из двух плоскостей – характеристике вероятности появления ошибки и характеристике эффективности использования полосы частот. Чтобы получить зависимость вероятности битовой ошибки Pb от битового отношения сигнал/шум zb для стандарта IЕЕЕ 802.11, найдем сначала зависимость вероятности символьной ошибки Pe от символьного отношения сигнал/шум z. Так как в стандарте IЕЕЕ 802.11 используются модуляции QPSK и QAM,воспользуемся методикой:

Зависимости Pe от z для модуляции QPSK при различном количестве сигналов изображены на рисунке 4.1; для модуляции QAM – на рисунке 4.2.

Рис. 4.1.

Рис. 4.2.

Для пересчета Pe и z в Pb и zb воспользуемся формулами

, где

На рисунках 4.3 и 4.4 показаны семейства кривых зависимости Рb от zb для модуляций QPSK и QAM. Для представления каждой k-битовой последовательности модулятор использует один из M=2k сигналов, где М – размер набора символов. На рисунках 4.3 и 4.4 показано повышение частоты появления ошибок с увеличением k (или М) при передаче неортогональных сигналов. Для наборов неортогональных сигналов, расширение набора символов может снизить требования к полосе пропускания за счет повышения Рb, или требуемого значения zb. Далее эти семейства кривых (рис.4.3 и 4.4) будем называть кривыми характеристик вероятности появления ошибок, а плоскость, в которой они лежат, – плоскостью вероятности появления ошибок. Такие характеристики показывают, где может располагаться рабочая точка для конкретных схем модуляции и кодирования.

Рис. 4.3.

Рис. 4.4.

Для системы с данной скоростью передачи информации каждую кривую на плоскости можно связать с различными фиксированными значениями минимально необходимой полосы пропускания; а значит, некое множество кривых можно представить как множество кривых равной полосы пропускания. При передвижении по кривой в направлении возрастания ординаты, ширина полосы пропускания, необходимая для передачи, увеличивается; и напротив, если перемещаться в обратном направлении, то требуемая полоса пропускания уменьшится. После выбора схемы модуляции и кодирования, а также номинального значения zb функционирование системы характеризуется конкретной точкой на плоскости вероятности появления ошибок. Возможные компромиссы можно рассматривать как изменение рабочей точки на одной из кривых или как переход с рабочей точки одной кривой семейства в рабочую точку другой. Эти компромиссы изображены на рис. 4.3 как смещения рабочей точки системы в направлении, указанном стрелками. Перемещение рабочей точки вдоль линии 1 между точками а и b можно считать компромиссом между Рb и характеристикой zb (при фиксированном значении W). Аналогично сдвиг вдоль линии 2, между точками c и d, является поиском компромисса между Рb и W (при фиксированном значении zb). И, наконец, перемещение вдоль линии 3, между точками e и f, представляет собой поиск компромисса между W и zb (при фиксированном значении Рb). Сдвиг вдоль линии 1 – это снижение или повышение номинального значения zb. Этого можно достичь, например, путем повышения мощности передатчика; это означает, что компромисс можно осуществить просто "поворотом регулятора" даже после завершения конфигурации системы. В то же время другие компромиссы (сдвиги вдоль линий 2 или 3) включают изменения в схеме модуляции или кодирования, а значит, их следует осуществлять на этапе разработки системы.

Шеннон показал, что пропускная способность канала С с аддитивным белым гауссовым шумом, является функцией средней мощности принятого сигнала S, средней мощности шума N0 и ширины полосы пускания W. Выражение для пропускной способности (теорема Шеннона-Хартли) можно записать следующим образом:

(4.1)

Если W измеряется в герцах, а логарифм берется по основанию 2, то пропускная способность будет иметь размерность бит/с. Теоретически (при использовании достаточно сложной схемы кодирования) информацию по каналу можно передавать с любой скоростью R (R < С) со сколь угодно малой вероятностью возникновения ошибки. Если же R > С, то кода, на основе которого можно добиться сколь угодно малой вероятности возникновения ошибки, не существует. В работе Шеннона показано, что величины S, N0 и W устанавливают пределы скорости передачи, а не вероятности появления ошибки.

Выражение (4.1) можно преобразовать к виду

. (4.2)

C/W – нормированная пропускная способность канала, измеряемая в бит/с/Гц.

Существует нижнее предельное значение Eb/N0, при котором ни при какой скорости передачи нельзя осуществить безошибочную передачу информации. С помощью соотношения

можно рассчитать граничное значение Eb/N0.

Пусть

Тогда, из уравнения (4.2) получаем

и .

В пределе, при C/W→0, получаем

или .

Это значение zb называется пределом Шеннона. На рис. 4.3 и 4.4 предел Шеннона – это кривая, которая при zb=1.177 скачкообразно изменяет свое значение с lg(Рb)=-0.301 (Рb=1/2) на lg(Рb)=-∞ (Рb=0).

Из рисунков 4.3 и 4.4 видно, что QAM имеет большую помехоустойчивость по сравнению с QPSK, а при одинаковой помехоустойчивости квадратурная модуляция обладает большей пропускной способностью.

Заключение.

Стандарты WPA и 802.11i в достаточной степени надежны и обеспечивают высокий уровень защищенности беспроводных сетей. Тем не менее одного протокола защиты недостаточно — следует также уделять внимание правильному построению и настройке сети.

Физическая защита. При развертывании Wi-Fi-сети необходимо физически ограничить доступ к беспроводным точкам.

Правильная настройка. Парадокс современных беспроводных сетей заключается в том, что пользователи не всегда включают и используют встроенные механизмы аутентификации и шифрования.

Защита пользовательских устройств. Не следует полностью полагаться на встроенные механизмы защиты сети. Наиболее оптимальным является метод эшелонированной обороны, первая линия которой — средства защиты, установленные на стационарном ПК, ноутбуке или КПК.

Традиционные меры. Эффективная работа компьютера в сети немыслима без классических мер защиты — своевременной установки обновлений, использования защитных механизмов, встроенных в ОС и приложения, а также антивирусов. Однако этих мер на сегодня недостаточно, так как они ориентированы на защиту от уже известных угроз.

Мониторинг сети. Слабое звено в корпоративной сети — самовольно установленные точки доступа. Актуальной является задача локализации несанкционированных точек доступа. Специальные средства локализации точек доступа позволяют графически отображать место расположения «чужого» терминала на карте этажа или здания. Если классические методы не спасают от вторжения, следует применять системы обнаружения атак.

VPN-агенты. Многие точки доступа работают в открытом режиме, поэтому необходимо использовать методы защиты передаваемых данных. На защищаемом компьютере должен быть установлен VPN-клиент, который возьмет на себя решение этой задачи. Практически все современные ОС (например, Windows ХР) содержат в своем составе такие программные компоненты.

Литература.

  1. Вишневский В.М, Портной С.Л, Шахнович И.В. “Энциклопедия WiMAX. Путь к 4 G”.Москва:Техносфера,2009г.

  1. Шахнович И.В. “Современные технологии беспроводной связи”.Издание второе, исправленное и дополненное. Москва:Техносфера,2006г.

  1. “Системы мобильной связи”. Учебное пособие для вузов/ В.П. Ипатов, В.К. Орлов, И.М.Самойлов, В.Н.Смирнов. под ред. В.П. Ипатова.

М.:Горячая линия-Телеком,2003г.



Загрузить файл

Похожие страницы:

  1. Технологии беспроводных сетей. Канальный уровень протоколов IEEE 802.11

    Практическая работа >> Информатика, программирование
    ... беспроводных сетях семейства IEEE 802.11 b/g На физическом уровне семейства протоколов IEEE 802 ... наряду с полезной информацией содержит информацию служебную (заголовок кадра ... A скрыт от узла D. В подобной сети алгоритм RTS/CTS позволяет справиться с проблемой ...
  2. Сети связи и системы коммутации

    Шпаргалка >> Информатика, программирование
    ... сетью и проводной или беспроводной сетью доступа, передает сигнальную информацию к SoftSwitch, преобразует пользовательскую информацию ... сети определенного стандарта. В пределах одного стандарта ... М(Х): Алгоритм расчета ... защиты данных в ОКС № 7: защита ...
  3. Беспроводные сети (3)

    Реферат >> Коммуникации и связь
    ... сети). Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802 ... прибору? Информацию, передаваемую по беспроводной сети, легко перехватить. Да, сейчас используются алгоритмы, которые ...
  4. Сети следующего поколения. Конспект лекций

    Конспект >> Коммуникации и связь
    ... и услуг. Стандарты глобальной информационной инфраструктуры ... компьютера и инфракрасную (беспроводную) клавиатуру, пользователь ... является высокая степень защиты информации и ее сохранность ... алгоритмов работы сети, повышающих качество доставки информации. ...
  5. Вычислительные системы, сети и телекоммуникации

    Книга >> Информатика, программирование
    ... семейство стандартов IEEE 802.x, которые содержат рекомендации по проектированию сетей и сетевых устройств. Стандарты подкомитета 802.1 носят ... операции по шифрации и дешифрации информации), доставка данных. В беспроводных сетях используются две топологии – « ...

Хочу больше похожих работ...

Generated in 0.0029699802398682