Разработка инфокоммуникационной сети с использованием технологий беспроводного доступа
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
й станции до абонентской и одну - для обратного.
1.2.2 ЗАЩИЩЕННАЯ СВЯЗЬ ДЛЯ АВТОРИЗАЦИИ
Абонентская станция и базовая станция разделяют одну защищенную связь для авторизации . Базовая станция использует защищенную связь для авторизации для конфигурирования защищенной связи для данных.
Защищенная связь для авторизации определяется:
.сертификатом X.509 , идентифицирующим абонентскую станцию, а также сертификатом X.509, идентифицирующим производителя абонентской станции.
.60-битовым ключом авторизации (authorization key, AK). Используется для аутентификации во время обмена ключами TEK.
.4-битовым идентификатором ключа авторизации.
.Временем жизни ключа авторизации. Может принимать значение от 1 дня до 70 дней. Значение по умолчанию 7 дней.
.128-битовым ключом шифрования ключа (Key encryption key, KEK). Используется для шифрования и распределения ключей TEK.
.Ключом HMAC для нисходящих сообщений (downlink) при обмене ключами TEK.
.Ключом HMAC для восходящих сообщений (uplink) при обмене ключами TEK.
.Списком data SA, для которого данная абонентская станция авторизована.
KEK вычисляется следующим образом:
-Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза. Получаются 512 бит.
Справа приписывается ключ авторизации.
Вычисляется хэш-функция от этого числа. Получаются 160 бит на выходе.
Первые 128 бит берутся в качестве KEK, остальные отбрасываются.
Ключи HMAC вычисляются следующим образом:
-Проводится конкатенация шестнадцатеричного числа 0x3A (uplink) или 0x5C (downlink) с самим собой 64 раза.
-Справа приписывается ключ авторизации.
Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе. Это и есть ключ HMAC.
.2.3 УЯЗВИМОСТИ В СТАНДАРТЕ IEEE 802.16
1.Атаки физического уровня, такие как глушение передачи сигнала, ведущее к отказу доступа или лавинный наплыв кадров (flooding), имеющий целью истощить батарею станции. Эффективных способов противостоять таким угрозам на сегодня нет.
2.Самозваные базовые станции, что связано с отсутствием сертификата базовой станции. В стандарте проявляется явная несимметричность в вопросах аутентификации. Предложенное решение этой проблемы - инфраструктура управления ключом в беспроводной среде (WKMI, wireless key management infrastructure), основанная на стандарте IEEE 802.11i. В этой инфраструктуре есть взаимная аутентификация с помощью сертификатов X.509.
3.Уязвимость, связанная с неслучайностью генерации базовой станцией ключей авторизации. Взаимное участие базовой и абонентской станции, возможно, решило бы эту проблему.
4.Возможность повторно использовать ключи TEK, чей срок жизни уже истек. Это связано с очень малым размером поля EKS индекса ключа TEK. Так как наибольшее время жизни ключа авторизации 70 суток, то есть 100800 минут, а наименьшее время жизни ключа TEK 30 минут, то необходимое число возможных идентификаторов ключа TEK - 3360. А это означает, что число необходимых бит для поля EKS - 12.
5.Еще одна проблема связана, как уже упоминалось, с небезопасностью использования шифрования DES. При достаточно большом времени жизни ключа TEK и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Эта проблема была устранена с введением шифрования AES в поправке к стандарту IEEE 802.16e. Однако, большое число пользователей до сих пор имеет оборудование, поддерживающее лишь старый стандарт IEEE 802.16.
.3 АНАЛИЗ ТОПОЛОГИЙ ПОСТРОЕНИЯ СЕТЕЙ
.3.1 ВАРИАНТЫ ПОСТРОЕНИЯ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ
Локальная вычислительная сеть (ЛВС) - группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными (не арендуемыми) высокоскоростными каналами передачи цифровых данных (в том числе проводными, волоконно-оптическими, радио-СВЧ или ИК-диапазона) в пределах одного или нескольких близлежащих зданий. Служит для решения комплекса взаимосвязанных функциональных и/или информационных задач (например, в рамках какой-либо организации или ее автоматизированной системы), а также совместного использования объединенных информационных и вычислительных ресурсов. В зависимости от принципов построения ЛВС подразделяются на типа "клиент-сервер" и "файл-сервер", а также "одноранговые ". ЛВС могут иметь в своем составе средства для выхода в распределенные и глобальные вычислительные сети.
1.3.1.1 КЛИЕНТ - СЕРВЕР
Архитектура или организация построения сети (в том числе локальной и распределенной), в которой производится разделение вычислительной нагрузки между включенными в ее состав ЭВМ, выполняющими функции "клиентов" (рисунок 2а), и одной мощной центральной ЭВМ - " сервером". В частности, процесс наблюдения за данными отделен от программ, использующих эти данные. Например, сервер может поддерживать центральную базу данных, расположенную на большом компьютере, зарезервированном для этой цели. Клиентом будет обычная программа, расположенная на любой ЭВМ, включенной в сеть, а также сама ЭВМ, которая по мере необходимости запрашивает данные с сервера. Производительность при использовании клиент-серверной архитектуры выше обычной, поскольку как клиент, так и сервер делят между собой нагрузку по обраб