Решение задач идентификации и аутентификации в беспроводных сетях

Размещено на http://www.allbest.ru/

решение задач идентификации и аутентификации в беспроводных сетях

Маслов Владимир Алексеевич

к.т.н.

Пензенский государственный университет

доцент

Аннотация

В статье рассматриваются вопросы идентификации и аутентификации клиентов беспроводных сетей.

Abstract

The article deals with the identification and authentication of wireless clients.

Ключевые слова

идентификация, аутентификация, беспроводные сети

Keywords

wireless, authentication

УДК 004.75

Широкое распространение беспроводных информационных технологий сегодня уже стало реальностью. Беспроводные мобильные сети прочно вошли в нашу жизнь и успешно применяются в самых разных сферах - от локального соединения устройств на расстояние нескольких метров, до построения региональных (в масштабе города и региона) и глобальных широкополосных сетей. Для построения локальных сетей наиболее широко использутся технологии IEEE.802.11 (Wi-Fi), IEEE.802.15.1(Bluetooth) и IEEE.802.15.4(ZigBee) [1, 2].

Все они используют диапазоны частот от 2400 до 2483,5 МГц (Wi-Fi также может использовать диапазон 5725 до 5875 МГц) выделенные для использования "высокочастотными установками, предназначенными для промышленных, научных и медицинских целей". В России решением Государственной комиссии по радиочастотам (ГКРЧ) разрешено "строить локальные радиосети в частотном диапазоне 2400-2483,5 МГц на базе устройств с максимальной мощностью передатчика не более 100 мВт и максимальным коэффициентом усиления антенны 3,5 дБ только в пределах зданий, сооружений, закрытых промышленных и складских площадках". Без таковых ограничений разрешается строить локальные радиосети на базе устройств с максимальной мощностью передатчика не более 10 мВт [2].

Подобное решение позволяет на законных основаниях развернуть такие сети в научных и учебных заведениях с целью повышения эффективности и качества учебного процесса университетах и проведения широкомасштабных исследований применения новых беспроводных технологий на практике [1].

Однако, при доступе к информации во многих случаях возникает необходимость идентификации и аутентификации пользователей. Это необходимо как для предоставления пользователю таргетированной информации, так и для разграничения прав доступа к ресурсам сети.

Обычно в различных сетях всегда можно осуществить идентификацию по MAC-адресу устройства, однозначно его идентифицирующему. Так например стандартом IEEE 802.15.4, на котором базируется технология ZigBee, предусмотрен EUI-64 - 64-битный расширенный уникальный идентификатор, который создается путём объединения 24-битного OUI (Уникальный идентификатор организации, Organizationally Unique Identifier) производителя устройства с 40-битным дополнительным идентификатором, который назначается организацией, получившей OUI.

В соответствии с рекомендациями IEEE, первые 4 знака дополнительного идентификатора не могут быть FFFE16 или FFFF16 - они используются для поддержки инкапсуляции значений идентификаторов MAC-48 и EUI-48 в EUI-64.

При этом необходимо помнить, что существует возможность подделки MAC-адреса. Таким образом, идентификацию по MAC адресу можно использовать только там, где соответствующие злонамеренные действия (или же случайные стечения обстоятельств) не приведут к недопустимым последствиям. В остальных случаях необходимо использовать дополнительную систему идентификации с обязательной процедурой аутентификации.

Для решения данных задач в различных беспроводных сетях предлагается использовать схему, аналогичную включенной в стандарт ZigBee Pro службе безопасности (ZigBee Security Services) с аутентификацией с симметричным ключевым обменом (SKKE).

Данной службой безопасности предусмотрено:

- Установление ключей

- Передача ключей

- Защита кадров данных

- Авторизация устройств

Для функционирования такой схемы безопасности устройство всегда должно иметь возможность обрититься к другому устройству, которому оно может доверять, для получения ключей доступа.

Поэтому необходимо наличие в сети Доверенного Центра, который:

- Хранит ключи для сети

- Использует службы безопасности для конфигуирования устройств с ключами

- Использует службы безопасности для авторизации устройств в сети

В качестве Доверенного Центра оправданно использование координатора сети. Безопасность ZigBee основана на симметричных ключах. Отправитель и получатель при защищенной транзакции должны иметь один общий ключ, который используется в шифровании.

Есть три основных метода получения ключей обоими участниками передачи данных:

- Предустановка

- Передача

- Создание

В случае предустановки ключи помещаются в устройства заранее способами, отличными от открытой передачи по сети (зенесение их в прошивку устройства, передача по кабелю и т.д.).

В случае передачи Доверенный Центр пересылает ключи устройствам (настолько безопасным методом, насколько это возможно).

В случае создания устройства ведут взаимодействие с Доверенным Центром и ключи устанавливаются на обоих концах без непосредственной передачи по сети. При этом могут использоваться три способа:

- Симметричный обмен ключами SKKE (Symmetric Key Key Establishment)

- Обмен ключами на основе сертификатов CBKE (Certificate-based Key Establishment)

- Альфа-безопасный обмен ключами ASKE (Alpha-secure Key Establishment)

Есть следующие основные типы ключей:

- Мастер-ключ MK (Master key)

* Общий ключ SK (Shared key) только для SKKE

- Ключ соединения LK (Link key)

- Ключ сети NK (Network key)

Ключ соединения, LK, это ключ, который имею два и только два устройства для защиты кадров на APS (Application Support Sublayer) уровне. Одно из этих устройтв обычно доверенный центр.

Обычно он создается динамически, при использовании службы обмена ключами. Но также может быть предустановлен или передан от Доверенного Центра.

Ключ сети, NK, это глобальный ключ, который используется всеми устройствами сети. Набор сетевых ключей хранится в Доверенном Центре, и текущий ключ сети идентифицируется по номеру последовательности ключа. Обычно он передается с Доверенного Центра, но может быть также предустановлен. Механизм обновления включает в себя две стадии:

- Обновление нового ключа и номера последовательности ключа.

- Переключение на новый номер последовательности ключа

Теперь рассмотрим более подробно (Табл. 1) механизм SKKE (Рис. 1). Инициатор (И) начинает процедуру установки LK с получателем, отсылая в ДЦ сообщение (1) с запросом ключа, включающее адрес назначения (т.е. ДЦ), тип ключа (MK) и адрес партнера (П), для соединения с которым необходимы ключи. После этого ДЦ генерирует MK и передает его каждому из двух участников взаимодейстия - И (2) и П (3). Поле "тип ключа", соответственно, содержит MK, а отличаются сообщения помимо адреса только значением булевога поля "инициатор". Все эти сообщения шифруются с использованием либо Trust Center Link Key (TCLK), либо Trust Center Master Key (TCMK).

таргетированный информация доступ сеть

После этого И посылает П запрос на начало SKKE(4). Значения False и Zero указывают на то, что нет родителя и родительского адреса. Пятое сообщение это ответ П на SKKE-запрос И. Заметим, что два эти сообщения зашифрованы при помощи MK, который был получен в предыдущих двух сообщениях. Оставшиеся четыре сообщения как раз и представляют собой SKKE протокол. Сообщения 6 и 7 включают в себя опросы (NИ, NП) участников обмена. Сообщения 8 и 9 - это сложные сообщения, которые могут быть вычислены обоими сторонами для проверки друг друга. И и П создают два кода аутентификации сообщений (MAC - message authentication codes), используя имеющиеся у них данные, помимо своего MAC хэш (H) MAC другого участника, который вычисляется на основе тех же данных. После верификации новый LK будет иметь вид H(MAC{A,B,NA,NB}M K,1), что является небольшим изменением MAC, который использовался в двух предыдущих сообщениях.

Благодаря описанной выше схеме, есть возможность получить изображенную на рисунке схему шифрования данных. Данные защищены как на сетевом (NWK) уровне, так и на уровне поддержки приложений (APS).

Таким образом, данную схему шифрования можно признать достаточной для многих нужд, в том числе и для применения в беспроводных сетях ВУЗов для процедуры идентификации и аутентификации абонентов в университетских беспроводных сетях.

Библиографический список

1. Финогеев А.Г., Маслов В.А., Финогеев А.А. "Гетерогенное информационое пространство для поддержки учебного процесса на базе технологий беспроводной связи" // научно-методический журнал "Информатизация образования и науки" №1(9) январь 2011, ISSN 2073-7572 / М.: ФГУ ГНИИ ИТТ "Информика, 2011. С. 44-55.

2. Финогеев А.Г., Дильман В.Б., Маслов В.А., Финогеев А.А. "Оперативный дистанционный мониторинг в системе городского теплоснабжения на основе беспроводных сенсорных сетей." // Известия высших учебных заведений. Поволжский регион. Технические науки. 2010. № 3. С. 27-36.

Размещено на Allbest.ru