Стандарты IEEE 802.11 и WPA – стандарты для беспроводных сетей
IEEE 802 –стандарт для беспроводных локальных сетей WLAN. Работы по созданию стандарта начались в 1990 году и были завершены через 7 лет. В 1997 году была ратифицирована первая спецификация беспроводного стандарта IEEE 802.11.
Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей. Основные из них – протокол управления доступом к среде MAC (Medium Accsess Control – нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.
В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и из нескольких ячеек. Каждая сота управляется базовой станцией, называемой точкой доступа, которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания BSS (Basic Service Set). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему DS (Distribution System), представляющую собой эквивалент магистрального сегмента кабельных линий связи. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания ESS (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняется непосредственно рабочими станциями.
Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения, однако строгих спецификаций по реализации роуминга стандарт 802.11 не предусматривает.
Для защиты WLAN стандартом IEEE 802.11 предусмотрен алгоритм WEP (Wired Equivalent Privacy). Он включает средства противодействия несанкционированному доступу к сети, а также шифрование для предотвращения перехвата информации. Однако алгоритм WEP страдал рядом существенных недостатков: отсутствие управления ключом, использование общего статического ключа, малые разрядности ключа и вектора инициализации, сложности использования алгоритма RC4.
Чтобы сделать технологию WLAN недорогой, популярной и удовлетворяющей жестким требованиям бизнес-приложений, разработчики были вынуждены создать семейство новых спецификаций стандарта IEEE 802.11 a, b, ..., i. Стандарты этого семейства, по сути, являются беспроводными расширениями протокола Ethernet, что обеспечивает хорошее взаимодействие с проводными сетями Ethernet.
Стандарты IEEE 802.11 a, b, g отличаются от базового стандарта IEEE 802.11 скоростью передачи данных (802/11 – 1 Мбит/с, 802.11a – 54 Мбит/с, 802.11b – 11 Мбит/c, 802.11g – 54 Мбит/с), радиотехнологией (способом передачи информации с помощью радиосигнала), частотой сигнала(802.11, 802.11b. 802.11g – 2.4 ГГц. 802.11a – 5 ГГц), потребляемой мощностью, радиусом действия (802.11, 802.11a. 802.11b – 100 м, 802.11g – 300 м).
В 2004 году вышел стандарт обеспечения безопасности в беспроводных сетях IEEE 802.11i. Этот стандарт решил существовавшие проблемы в области аутентификации и протокола шифрования, обеспечив значительно более высокий уровень безопасности. Стандарт 802.11i может применяться в сетях Wi-Fi, независимо от используемого стандарта -802.11 a, b или g.
В настоящее время существует два очень похожих стандарта – WPA и 802.11i. Они оба применяют механизм 802.1х для обеспечения надежной аутентификации, оба используют сильные алгоритмы шифрования, оба предназначены для замены протокола WEР.
Стандарт WPA был разработан как решение, которое можно применить немедленно, не дожидаясь завершения длительной процедуры ратификации 802.11i.
Основное отличие двух стандартов заключается в использовании различных механизмов шифрования. В WPA применяется протокол TKIP (Temporal Key Integrity Protocol), который, так же как и WEP, использует шифр RC4, но значительно более безопасным способом. Обеспечение конфиденциальности данных в стандарте IEEE 802.11i основано на использовании алгоритма шифрования AES. Использующий его защитный протокол получил название ССМР (Counter-Mode СВС MAC Protocol). Алгоритм AES обладает высокой криптостойкостью. Длина ключа AES равна 128, 192 или 256 бит, что обеспечивает наиболее надежное шифрование из доступных сейчас.
Стандарт 802.11i предполагает наличие трех участников процесса аутентификации. Это сервер аутентификации AS (Authentication Server), точка доступа АР (Access Point) и рабочая станция STA (Station). В процессе шифрования данных участвуют только АР и STA (AS не используется). Стандарт предусматривает двустороннюю аутентификацию (в отличие от WEP, где аутентифицируется только рабочая станция, но не точка доступа). При этом местами принятия решения о разрешении доступа являются сервер аутентификации AS и рабочая станция STA, а местами исполнения этого решения – точка доступа АР и STA.
Для работы по стандарту 802.11i создается иерархия ключей, включающая мастер-ключ МК (Master Key), парный мастер-ключ РМК (Pairwise Master Key), парный временный ключ РТК (Pairwise Transient Key), а также групповые временные ключи GTK (Group Transient Key), служащие для защиты широковещательного сетевого трафика.
МК – это симметричный ключ, реализующий решение STA и AS о взаимной аутентификации. Для каждой сессии создается новый МК.
РМК – обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. РМК создается на основе МК. Для каждой пары STA и АР в каждой сессии создается новый РМК.
РТК – это коллекция операционных ключей, которые используются для привязки РМК к данным STA и АР, для распространения GTK и шифрования данных.
Процесс аутентификации и доставки ключей определяется стандартом 802.1х.
Транспортом для сообщений 802.1х служит протокол ЕАР (Extensible Authentication Protocol). ЕАР позволяет легко добавлять новые методы аутентификации. Точке доступа не требуется знать об используемом методе аутентификации, поэтому изменение метода никак не затрагивает точку доступа.
Можно выделить пять фаз работы 802.11i.
Первая фаза – обнаружение. В этой фазе рабочая станция STA находит точку доступа АР, с которой может установить связь, и получает от нее используемые в данной сети параметры безопасности. Таким образом, STA узнает идентификатор сети SSID и методы аутентификации, доступные в данной сети. Затем STA выбирает метод аутентификации и между STA и АР устанавливается соединение. После этого STA и АР готовы к началу второй фазы. 802.1х.
Вторая фаза – аутентификация. В этой фазе выполняется взаимная аутентификация STA и сервера AS, создаются МК и РМК. В данной фазе STA и АР блокируют весь трафик, кроме трафика 802.1х.
В третьей фазе AS перемещает ключ РМК на АР. Теперь STA и АР владеют действительными ключами РМК.
Четвертая фаза – управление ключами 802.1х. В этой фазе происходит генерация, привязка и верификация ключа РТК.
Пятая фаза – шифрование и передача данных. Для шифрования используется соответствующая часть РТК.
Стандартом 802.11i предусмотрен режим совместно используемого ключа PSK (Pre-Shared Key), который позволяет обойтись без сервера аутентификации AS. При использовании этого режима на STA и на АР вручную вводится PSK, который используется в качестве РМК. Дальше генерация РТК происходит в описанном выше порядке. Режим PSK может использоваться в небольших сетях, где нецелесообразно устанавливать сервер AS.