Технология беспроводных сетей WLAN (Wireless LAN) развивается довольно быстро. Эти сети удобны для подвижных средств в первую очередь, но находят применение и в других областях (динамичные сети фирм, больницы и т.д.). Наиболее перспективным представляется проект IEEE 802.11, который должен играть для радиосетей такую же интегрирующую роль как 802.3 для сетей Ethernet и 802.5 для Token Ring. В протоколе 802.11 используется алгоритм доступа и подавления cтолкновений, похожий на 802.3, но здесь вместо соединительного кабеля используются радиоволны (Рис. 4.1.8.1.) Применяемые здесь модемы могут работать и в инфракрасном диапазоне, что бывает привлекательно, если все машины размещены в общем зале. Применение 802.11 в больнице описано в [7] и [8] (рассмотрены и аспекты безопасности).

Рис. 4.1.8.1. Схема беспроводной локальной сети

DSSS в 802.11 используют DBPSK (Differential Binary Phase Shift Keying) для 1 Мбит/с и DQPSK (Differential Quadrature Phase Shift Keying) для 2 Мбит/с, а высокоскоростное DSSS (DSSS/HR применяемое в IEEE 802.11b) использует схему модуляции ССК (Complementary Code Keying), которая допускает скорости передачи 5,5 и 11 Мбит/с. В случае DSSS каждый бит передается в виде 11 элементарных сигналов, которые называются последовательностью Баркера. Все эти три вида модуляции могут сосуществовать. В протоколе предусмотрена коррекция ошибок FEC (смотри описание в статье о Bluetooth). IEEE 802.11a специфицирует систему кодирования OFDM скорости передачи 6, 9, 12, 18, 24, 36, 48 и 54 Мбит/с. В последнее время широкое распространение получила модификации IEEE 802.11b (WiFi - Wireless Fidelity), которая может обеспечить скорость 1, 2, 5,5 и 11 Мбит/с (модуляция DSSS). Здесь применен алгоритм доступа к сетевой среде CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Для стандарта IEEE 802.11b доступно 11-14 радиоканалов в частотном диапазоне 2,4 ГГц. Здесь все зависит от местных регламентаций и ограничений.

Возможно использование всенаправленных и узконаправленных антенн (последние для стационарных соединений точка-точка). Всенаправленная антенная система гарантирует связь для расстояний до 45 метров, а узконаправленная - до 45 км. При скорости 1 Мбит/с расстояние надежной связи может достигать нескольких сот метров. Предельно возможная скорость обмена определяется автоматически. Одновременно может обслуживаться до 50 клиентов. Важной особенностью является возможность работы с мобильными клиентами. Улучшенная версия 802.11b называется 802.11g. Этот стандарт принят в 2001 году, в нем применяется метод модуляции OFDM. Теоретически максимальная скорость передачи составляет 54 Мбит/c.

Следует учитывать, что беспроводные каналы шумны и малонадежны, этому способствуют наводки от СВЧ-печей, работающих практически в том же частотном диапазоне. Если вероятность искажения одного бита равна р, вероятность того, что n-битовый кадр будет принят корректно, равна ~(1-p)ⁿ. Для Ethernet кадра максимальной длины при p=10^-4 вероятность безошибочной доставки составит менее 30%. При p=10^-5 будет искажаться один из 9 кадров. По этой причине при работе с радиоканалами следует ориентироваться на короткие кадры.

Топологически локальная сеть IEEE 802.11b строится вокруг базовой станции (смотри описание стандарта bluetooth), через которую производится связь с Интернет. Но возможны схемы с несколькими базовыми станциями. В этом случае используется протокол STP (Spanning-Tree Protocol), чтобы исключить возможность формирования циклических структур. Базовые станции могут работать на одних и техже или на разных частотных диапазонах. Для организации совместной работы базовых станций используются сигнальные кадры (beacon), которые служат для целей синхронизации. Некоторые современные ноутбуки имеют встроенный Wi-Fi-адаптер. Родоначальником системы Wi-Fi считается Вик Хэйз. Точки доступа к Wi-Fi устанавливаются в библиотеках, кафе, аэропортах, магазинах и т.д.

Протокол Wi-Fi уязвим для различных сетевых атак. Чтобы гарантировать безопасность на приемлемом уровне был разработан стандарт IEEE 802.11i.

Стандарт IEEE 802.11i (см. http://en.wikipedia.org/wiki/IEEE_802.11i), известен под названием WPA2 (Wi-Fi Protected Access), является дополнением к стандарту 802.11 и специфицирует механизмы обеспечения безопасности для беспроводных сетей. Проект стандарта был принят 24 июня 2004, и заменяет предыдущую спецификацию WEP (Wired Equivalent Privacy), которая имела определенные слабости. Алгоритм защищенного доступа Wi-Fi (WPA) был разработан альянсом Wi-Fi в качестве промежуточного решения проблемы безопасности. WPA использует подмножество регламентаций 802.11i. Альянс Wi-Fi одобрил регламентации WPA2, как полностью совместимые с 802.11i. Стандарт 802.11i использует блочный шифр AES (Advanced Encryption Standard); WEP и WPA используют поточный шифр RC4.

Архитектура 802.11i содержит следующие компоненты: 802.1X для аутентификации, RSN (Robust Security Network) для отслеживания ассоциаций, и CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol), базирующийся на алгоритме шифрования AES. Другим важным элементом процесса аутентификации является четырехходовой диалог.

Аутентификационный процесс предполагает аутентификацию точки доступа (AP) по отношению к станции клиента (STA), и наличие ключей для шифрования трафика. Начальный обмен в рамках EAP позволяет получить общий секретный ключ PMK (Pairwise Master Key). Этот ключ сохраняется на протяжении всей сессии и должен использоваться как можно реже. Четырехходовой диалог используется для фиксации другого ключа, называемого PTK (Pairwise Transient Key). Ключ PTK генерируется путем объединения следующих атрибутов: PMK, ANonce, SNonce, MAC- адрес AP и MAC-адрес STA. Полученный результат подвергается преобразованию с помощью криптографической хэш-функции.

В процессе диалога определяется также GTK (Group Temporal Key - групповой временный ключ), используемый для дешифрования мультикастного и широковещательного трафика.

Подобно WPA, 802.11i имеет режим pre-shared key (режим PSK, известен также как персональный режим), который предназначен для применения дома и в небольших офисных сетях, которые не могут себе позволить применение аутентификационного сервера 802.1X. Каждый пользователь для получения доступа в сеть должен ввести пароль. Пароль обычно запоминается в машине пользователя, так что его достаточно ввести лишь один раз. Пароли должны иметь не менее 8 символов, однако рекомендуется 20 символов. Стандарт IEEE 802.11i допускает более строгие PSK, содержащие до 63 шестнадцатеричных символов.

В 1992 году страны члены ЕС выделили диапазон частот 1,89-1,9 ГГц для целей построения сетей, базирующихся на применение радиосигналов (стандарт DECT - Digital European Cordless Telecommunications). Этот стандарт был разработан для целей передачи данных и голоса в системах сотовой связи. В США для этих же целей используются широкополосные системы с шумоподобным сигналом (SST - ШПС). Для подобных же целей выделены также частотные диапазоны 18 и 60ГГц (диапазон 2,4 ГГц сильно перегружен и “засорен” шумами). Существуют уже системы базирующиеся на Ethernet и Token Ring. Окончательная версия протокола IEEE 802.11 была утверждена в 1997 году.

При относительно малых расстояниях проблем обычно не возникает и работу беспроводной сети действительно можно аппроксимировать алгоритмом CSMA. Но в случае, когда расстояние между передатчиком и приемником сравнимо с радиусом надежной связи, отличие от традиционных сетей становится значительным. Ведь для радиосетей важна интерференция на входе приемника, а не на выходе передатчика (как в CSMA). Рассмотрим вариант сети, изображенный на рис. 4.1.8.2. Если передачу осуществляет узел А, узел С находится вне его радиуса действия и может решить, что можно начать передачу. Излучение передатчика С может вызвать помехи на входе узла В (проблема скрытой станции).

Рис. 4.1.8.2. Схема взаимодействия узлов в беспроводной сети (MACA)

В случае, когда передачу ведет узел В, узел С может решить, что начало передачи сообщения узлу D не возможно, так как в зоне С детектируется излучение станции В (проблема засвеченной станции). Таким образом, в радиосетях, прежде чем начать передачу данных надо знать, имеется ли радио активность в зоне приемника-адресата.

Ранние протоколы беспроводных локальных сетей базировались на схеме MACA (Multiple Access with Collision Avoidance), разработанной Ф. Карном в 1990 году. Эта схема является основой стандарта IEEE 802.11. В этой схеме отправитель запрашивает получателя послать короткий кадр, будучи принят соседями, предотвратит их передачу на время последующей передачи сообщения адресату. На рис. 4.1.8.2 узел В посылает кадр RTS (Request To Send) узлу C. Этот кадр имеет всего 30 октетов и содержит поле длины последующего сообщения. Узел C откликается посылкой кадра CTS (Clear To Send), куда копируется код длины последующего обмена из кадра RTS. После этого узел В начинает передачу. Окружающие станции, например D или E, получив CTS, воздерживаются от начала передачи на время, достаточное для передачи сообщения оговоренной длины. Станция A находится в зоне действия станции B, но не станции C и по этой причине не получит кадр CTS. По этой причине станция A может начинать передачу, если хочет и не имеет других причин, препятствующих этому. Несмотря на все предосторожности коллизия может иметь место. Например, станции A и C могут одновременно послать кадры RTS станции B. Эти кадры будут неизбежно потеряны, после псевдослучайной выдержки эти станции могут совершить повторную попытку передачи (как в ETHERNET). Стандарт 802.11 не может использовать алгоритм доступа CSMA/CD, работающий в Ethernet.

В 1994 году схема MACA была усовершенствована и получила название MACAW. Было отмечено, что без подтверждения на канальном уровне потерянные кадры не будут переданы повторно, пока транспортный уровень много позднее не обнаружит их отсутствия. В усовершенствованной схеме требуется подтверждение получения любого информационного кадра, добавлен также механизм оповещения о перегрузке. Стандарт 802.11 поддерживает два режима работы: DCF (Distributed Coordination Function) и PCF (Point Coordination Function). Первый не имеет средств централизованного управления, второй - предполагает, что базовая станция берет на себя функцию управления локальной субсетью (см. рис. 4.1.8.4). В протоколе 802.11 используется алгоритм доступа CSMA/CA (CSMA with Collision Avoidance). При этом производится прослушивание физического и виртуального каналов. CSMA/CA может работать в двух режимах. В первом - станция перед до начала передачи прослушивает канал. Если канал свободен, она начинает передачу данных. При передаче канал не прослушивается и станция передает кадр полностью. Если канал занят, отправитель ждет его освобождения и только после этого начинает передачу. В случае коллизии станции, участвующие в этом событии, смогут начать передачу через псевдослучайный интервал времени (как в Ethernet). Второй режим CSMA/CA базируется на протоколе MACAW и использует контроль виртуального канала, как это показано на рис. 4.1.8.3. В показанном на рисунке примере станция А намеревается передать данные станции В Станция С находится в зоне доступности стации А и, возможно, станции В. Станция D входит в зону доступности станции В, но пребывает в вне зоны досягаемости станции А.

Рис. 4.1.8.3. Прослушивание виртуального канала в протоколе CSMA/CA

Когда станция А решает, что ей необходимо передать данные станции В, она посылает ей кадр RTS, запрашивая разрешение на передачу. Если В может принимать данные, она пришлет отклик в виде кадра CTS. После приема CTS станция А запускает таймер ACK и начинает пересылку данных. При успешном приеме станция В формирует кадр ACK, который посылается А, свидетельствуя о завершении обмена. Если время таймаута ACK истечет раньше, алгоритм повторяется с самого начала. Станция С также принимает кадр RTS и поэтому знает, что по каналу будут передаваться данные, и по этой причине следует воздержаться от попыток передачи. Из данных, содержащихся в RTS станция С знает, сколько времени будет продолжаться передача и пребывает в пассивном состоянии. Индикацией этого состояния является последовательность NAV (Network Allocation Vector) (см. рис. 4.1.8.3). Станция D не слышит RTS, передаваемый А, зато воспринимает CTS, посланный станцией В, и также выдает NAV. Следует учитывать, что сигналы NAV не передаются, а являются лишь внутренними напоминаниями хранить радиомолчание. При фрагментировании каждый фрагмент имеет свою контрольную сумму и его получение подтверждается индивидуально. Посылка фрагмента k+1 невозможна пока не получено подтверждение получения фрагмента k. После получения доступа к каналу отправитель может послать несколько кадров подряд. Если фрагмент доставлен с искажением, он пересылается повторно.

Режимы PCF и DCF могут сосуществовать в пределах одной сотовой ячейки. Это достигается путем точного определения межкадрового интервала. Самый короткий интервал SIFS (Short Interframe Interval) используется для того, чтобы одна из сторон, ведущих диалог посредством кадров управления, могла получить возможность начать передачу первой. Всего регламентировано 4 разных типов межкадровых интервалов (SIFS, PIFS, DIFS и EIFS).

Помимо WLAN в настоящее время разработаны стандарты для беспроводных региональных сетей WMAN (Wireless Metropolitan-Area Networks, например WiMAX = IEEE802.16d или 802.16-2004) и WWAN (Wireless Wide-Area Networks) со скоростями обмена в десятки килобит в сек. Существует также мобильный WiMAX = IEEE802.16e или 802.16е-2005 (быстродействие - 2-4Мбит/c). Технология WiMAX начинает применяться для мониторинга и управления парковочными автоматами, домашними электрическими счетчиками, уличными семафорами и торговыми автоматами, игрушками, телевизорами, цифровыми камерами, медицинским оборудованием и т.д. Этому способствует быстрое удешевление WiMAX-чипов. В США к концу 2008 года WiMAX стал доступен примерно 100 миллионам пользователей. В текущий момент насчитывается более полудюжины различных типов беспроводных сетей (смотри также разделы 4.1.8.5 (3G) и 4.1.8.6 (Zigbee и IEEE 802.15):

Беспроводные сети LPWAN

Для передачи данных на большие расстояния при ограниченногй полосе предлагаются сети типа LPWAN (Low Power Wide Area Network). Они пока не стандартизованы (см. табл. ниже). Приложение для LPWAN мобильного телефона может, например, помочь вам найти свободное парковочное место. Скорость передачи данных в LPWAN много ниже, чем в стандартных WLAN. Пример сети LPWAN показан на рис. 4.1.8.3А. К сетям со средним дальнодействием относятся 5G, SmartHome, UMTS, GSM и LTE. Малый радиус охвата обеспечивают сети WLAN ac, ad, а также WLAN g, Bluetooth и RFID/NFC. Одна базовая станция может обеспечивать соединение с большим числом устройств. Шлюзы получают данные от датчиков и транслируют их в сервер для дальнейшей обработки и записи. Они могут длительное время работать от батарей или аккумуляторов.

Рис. 4.1.8.3A. Пример сети LPWAN

Таблица параметров сетей LPWAN

Систему называют также улучшенным GPRS, по основным параметрам совпадает со своим прототипом.

Защищенный доступ WPA или WPA2 является одной из услуг, используемых в Wi-Fi сетях. Эта техника была разработана в связи с выявлением серьезных слабостей в WEP (Wired Equivalent Privacy) для беспроводных сетей. WPA в значительной мере реализует стандарт IEEE 802.11i, и является промежуточным решением на время, пока 802.11i не будет готов окончательно. WPA предназначен для работы с беспроводными интерфейсными картами. WPA2 ориентирован на работу с полной спецификацией стандарта, но не поддерживает некоторые старые сетевые карты. Оба варианта обеспечивают хорошую безопасность:

• WPA или WPA2 должны быть активированы и иметь больший приоритет, чем WEP. WEP обычно представляет собой первый вариант конфигурации в большинстве инсталляционных инструкций.
• в "персональном" режиме, наиболее часто используемом дома и в небольших офисных сетях, длина пароля должна быть больше 6 - 8 символов.

WPA спроектирован для работы с аутентификационным сервером IEEE 802.1X, который рассылает разные ключи всем пользователям; однако, он может использоваться и в менее безопасном режиме PSK (pre-shared key), где каждому пользователю дан один и тот же пароль.

Альянс Wi-Fi создал WPA, для того чтобы разрешить внедрение продуктов, основанных на стандарте, прежде чем группа IEEE 802.11i закончит свою работу.

Данные шифруются с привлечением потокового алгоритма RC4, с 128-битовым ключом и 48-битовым вектором инициализации (IV). Одним из главных улучшений WPA по отношению WEP является внедрение протокола TKIP (Temporal Key Integrity Protocol), который динамически изменяет ключи.

В дополнение к аутентификации и шифрованию WPA предоставляет также улучшен6ный уровень целостности данных. CRC, используемая в WEP не является достаточно безопасным средством; можно изменить данные и зная ключ WEP обновить CRC сообщения. Более безопасный аутентификационный код используется в WPA, алгоритм "Michael" (MIC - Message Integrity Code). Используемый в WPA MIC базируется на счетчике кадров, который предотвращает атаки воспроизведения.

Алгоритм Michael может работать с большинством старых сетевых карт. В связи с имеющимися уязвимостями алгоритма Michael, в WPA предусмотрены специальные меры для детектирования попыток взлома TKIP (Temporal Key Integrity Protocol).

WPA2

WPA2 использует обязательные элементы 802.11i. В частности, в дополнение к TKIP и алгоритму Michael, здесь вводится новый алгоритм, базирующийся на AES, CCMP, который считается вполне безопасным.

Безопасность в режиме pre-shared key

Режим Pre-shared key (PSK, называемый также персональным режимом) разработан для применения в домашних условиях и для небольших офисных сетей, которые не могут позволить использования аутентификационного сервера 802.1X. Каждый пользователь должен вводить пароль для входа в сеть. Пароль может содержать от 8 до 63 ASCII символов или 64 шестнадцатеричных чисел (256 бит). Если вы выбрали использование ASCII символов, хэш функция сокращает его с 504 бит (63 символов * 8 бит) до 256 бит. Пароль может быть запомнен в машине пользователя при отключении, чтобы исключить необходимость повторного ввода. Пароль должен храниться в точке доступа Wi-Fi.

Новаая архитектура доступа к сети