Криптографическая защита беспроводных сетей стандартов IEEE 802.11

Рис. 3.1 Неплановая (ad-hoc) сеть (IBSS)

Специальная сеть, или независимая  базовая зона обслуживания (IBSS), возникает, когда отдельные устройства  - клиенты формируют самоподдерживающуюся сеть без использования отдельной точки доступа. При создании таких сетей не разрабатывают какие-либо карты места их развертывания и предварительные планы,  потому что они обычно невелики и имеют ограниченную протяженность, достаточную для передачи совместно используемых данных при возникновении такой необходимости. В отличие от варианта использования расширенной зоны обслуживания, клиенты непосредственно устанавливают соединения друг с другом, в результате чего создается только одна база обслуживания, не имеющая интерфейса для подключения к проводной локальной сети (т.е. отсутствует какая-либо распределительная система, которая необходима для объединения BSS  и организации таким образом ESS). Не существует каких-либо  оговоренных стандартом ограничений на количество устройств, которые могут входить в одну  независимую базовую зону обслуживания. Но, поскольку каждое устройство является клиентом, зачастую определенное число членов IBSS не может связываться один с другим вследствие проблемы скрытого узла (hidden node issue). Несмотря на это в IBSS не существует какого-либо механизма для реализации функции ретрансляции.

              Поскольку в IBSS отсутствует точка доступа, распределение времени осуществляется нецентрализованно. Клиент, начинающий передачу в IBSS, задает сигнальный (его еще называют маячковый) интервал для создания набора моментов времени передачи маячкового сигнала (set of target beacon transmission time, TBTT). Когда завершается TBTT, каждый клиент IBSS выполняет следующее:

• Приостанавливает все несработавшие таймеры задержки из предыдущего TBTT
• Определяет новую случайную задержку.
• Если маячковый сигнала поступает до окончания случайной задержки, возобновляет работу приостановленных таймеров задержки. Если никакой маячковый сигнал не поступает до окончания случайной задержки, посылает маяковый сигнал и возобновляет работу  приостановленных таймеров задержки.

Мы видим, что распределение  времени для передачи маячковых  сигналов осуществляется в специальных сетях не точкой доступа и никаким-то одним из клиентов.  Поскольку такой схеме связи присуща проблема скрытого узла, вполне возможно, что в течение сигнального интервала будет передано множество маячковых сигналов. Однако стандарт вполне допускает такую ситуацию и никаких проблем не возникает, поскольку клиенты ожидают приема только первого маячкового сигнала, относящегося к их собственному таймеру случайной задержки.

       В маячковые  сигналы встроена функция синхронизации  таймера(timer synchronization function, TCF). Каждый клиент сравнивает TCF в маячковом сигнале со своим собственным таймером и, если полученное значение больше, считает, что часы передающей станции идут быстрее и подстраивает свой собственный таймер в соответствии с полученным значением. Это имеет долговременный эффект синхронизации работы всей неплановой сети по клиенту с самым быстрым таймером. В больших распределенных неплановых сетях, когда многие клиенты не могут связаться напрямую, может понадобиться некоторое время для достижения синхронизации всех клиентов.

3.2 Базовые зоны  обслуживания BSS

BSS – это группа работающих по стандарту 802.11 станций, связывающихся одна с другой. Технология BSS  предполагает наличие особой станции, которая называется точка доступа(access point). Точка доступа – это центральный пункт связи для всех станций BSS. Клиентские станции не связываются непосредственно одна  с другой. Вместо этого они связываются с точкой доступа, а уже она направляет фреймы станции-адресату. Точка доступа может иметь порт восходящего канала (uplink port), через который BSS подключается к проводной сети ( например, восходящий канал Ethernet). Поэтому BSS иногда называют инфраструктурой BSS.  На рис. 3.2  представлена типичная инфраструктура BSS.

Рис. 3.2 Инфраструктура беспроводной локальной сети BSS

 

 

 

 

3.3 Расширенные зоны обслуживания  ESS

Несколько инфраструктур  BSS могут быть соединены через их интерфейсы восходящего канала. Там, где действует стандарт 802.11, интерфейс восходящего канала соединяет BSS с распределительной системой (distribution system, DS). Несколько BBS, соединенных между собой через распределительную систему, образуют расширенную зону обслуживания (ESS). Восходящий канал УК распределительной системе не обязательно должен использовать проводное соединение. На рис. 3.3 представлен пример практического воплощения ESS. Спецификация стандарта 802.11 оставляет возможность реализации этого канала в виде беспроводного. Но чаще восходящие каналы к распределительной системе представляют собой каналы проводной Ethernet.

Рис. 3.3 Расширенная зона обслуживания ESS беспроводной локальной сети

3.4 Типы и разновидности  соединений

3.4.1 Соединение  Ad-Hoc(точка-точка)

 Все компьютеры оснащены  беспроводными картами (клиентами)  и соединяются напрямую друг  с другом по радиоканалу работающему  по стандарту 802.11b и обеспечивающих  скорость обмена 11 Mбит/с, чего  вполне достаточно для нормальной  работы.

 

 

3.4.2 Инфраструктурное  соединение

Все компьютеры оснащены беспроводными  картами и подключаются к точке  доступа. Которая, в свою очередь, имеет  возможность подключения к проводной  сети. Данная модель используется когда  необходимо соединить больше двух компьютеров. Сервер с точкой доступа может  выполнять роль роутера и самостоятельно распределять интернет-канал.

 

3.4.3 Точка доступа,  с использованием роутера и  модема.

 Точка доступа включается  в роутер, роутер - в модем (эти  устройства могут быть объединены  в два или даже в одно). Теперь  на каждом компьютере в зоне  действия Wi-Fi, в котором есть адаптер Wi-Fi, будет работать интернет.

3.4.4 Клиентская  точка

В этом режиме точка доступа работает как  клиент и может соединятся с точкой доступа работающей в инфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесь задача состоит в том, чтобы объединить только два компьютера. Два Wi-Fi-адаптера могут работать друг с другом напрямую без центральных антенн.

3.4.5 Соединение мост

 Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.

3.4.6 Репитер

Точка доступа просто расширяет  радиус действия другой точки доступа, работающей в инфраструктурном режиме.

4 Обзор механизмов  доступа к среде

4.1 Функция распределенной  координации DCF

На первый взгляд организовать совместный доступ к среде  передачи данных достаточно просто. Для  этого необходимо лишь обеспечить, чтобы все узлы передавали данные только тогда, когда среда является свободной, то есть когда ни один из узлов не производит передачу данных. Однако такой механизм неизбежно  приведет к коллизиям, поскольку  велика вероятность того, что два  или более узлов одновременно, пытаясь получить доступ к среде  передачи данных, решат, что среда  свободна и начнут одновременную  передачу. Именно поэтому необходимо разработать алгоритм, способный  снизить вероятность возникновения  коллизий и в то же время гарантировать  всем узлам сети равноправный доступ к среде передачи данных.

Одним из вариантов  организации такого равноправного  доступа к среде передачи данных является функция распределенной координации (DCF). Эта функция основана на методе коллективного доступа с обнаружением несущей и механизмом избежания  коллизий (Carrier Sense Multiple Access/Collision Avoidance, CSMA/CA). При такой организации каждый узел, прежде чем начать передачу, «прослушивает» среду, пытаясь обнаружить несущий сигнал, и только при условии, что среда свободна, может начать передачу данных.

Однако, как мы уже  отмечали, в этом случае велика вероятность  возникновения коллизий: когда два  или более узлов сети одновременно (или почти одновременно) решат, что  среда свободна, и начнут предавать  данные. Для того чтобы снизить  вероятность возникновения подобных ситуаций, используется механизм избежания  коллизий (Collision Avoidance, CA). Суть данного механизма заключается в следующем. Каждый узел сети, убедившись, что среда свободна, прежде чем начать передачу, выжидает в течение определенного промежутка времени. Этот промежуток является случайным и складывается из двух составляющих: обязательного промежутка DIFS (DCF Interframe Space) и выбираемого случайным образом промежутка обратного отсчета (backoff time). В результате каждый узел сети перед началом передачи выжидает в течение случайного промежутка времени, что, естественно, значительно снижает вероятность возникновения коллизий, поскольку вероятность того, что два узла сети будут выжидать в течение одного и того же промежутка времени, чрезвычайно мала.

Для того чтобы  гарантировать всем узлам сети равноправный доступ к среде передачи данных, необходимо соответствующим образом  определить алгоритм выбора длительности промежутка обратного отсчета (backoff time). Промежуток обратного отсчета  хотя и является случайным, но в то же время определяется на основании  множества некоторых дискретных промежутков времени, то есть, равен  целому числу элементарных временных  промежутков, называемых тайм-слотами (SlotTime). Для выбора промежутка обратного  отсчета каждый узел сети формирует  так называемое окно конкурентного  доступа (Contention Window, CW), использующееся для определения количества тайм-слотов, в течение которых станция  выжидала перед передачей. Фактически окно CW – это диапазон для выбора количества тайм-слотов, причем минимальной  размер окна определяется в 31 тайм-слот, а максимальный размер — в 1023 тайм-слота. Промежуток обратного отсчета определяется как количество тайм-слотов, определяемое исходя из размера окна CW:

Когда узел сети пытается получить доступ к среде передачи данных, то после обязательного промежутка ожидания DIFS запускается процедура  обратного отсчета, то есть включается обратный отсчет счетчика тайм-слотов начиная от выбранного значения окна CW. Если в течение всего промежутка ожидания среда оставалась свободной (счетчик обратного отсчета равен  нулю), то узел начинает передачу.

После успешной передачи окно CW формируется вновь. Если же за время ожидания передачу начал другой узел сети, то значение счетчика обратного  отсчет останавливается и передача данных откладывается. После того как  среда станет свободной, данный узел снова начинает процедуру обратного  отсчета, но уже с меньшим размером окна CW, определяемого предыдущим значением  счетчика обратного отсчета и  соответственно с меньшим значением  времени ожидания. При этом очевидно, что чем большее число раз  узел откладывает передачу по причине  занятости среды, тем выше вероятность  того, что в следующий раз он получит доступ к среде передачи данных (рис. 4.1).

Рассмотренный алгоритм реализации коллективного доступа к среде  передачи данных гарантирует равноправный доступ всех узлов сети к среде. Однако при таком подходе вероятность  возникновения коллизий хотя и мала, но все-таки существует. Понятно, что  снизить вероятность возникновения  коллизий можно путем увеличения максимального размера формируемого окна CW. В то же время это увеличит времена задержек при передачи и  тем самым снизит производительность сети. Поэтому в методе DCF для минимизации  коллизий используется следующий алгоритм. После каждого успешного приема кадра принимающая сторона через  короткий промежуток SIFS (Short Interframe Space) подтверждает успешный прием, посылая  ответную квитанцию – кадр ACK (ACKnowledgement) (рис. 4.2). Если в процессе передачи данных возникла коллизия, то передающая сторона не получает кадр ACK об успешном приеме. В этом случае размер CW-окна для передающего узла увеличивается почти вдвое. Так, если для первой передачи размер окна равен 31 слоту, то для второй попытки передачи он уже составляет 63 слота, для третьей – 127 слотов, для четвертой – 255, для пятой – 511, а для всех последующих – 1023 слота. То есть для каждой i-й передачи (если все предыдущие оказались безуспешными) размер CW-окна увеличивается по следующему правилу:

Таким образом, увеличение размера  окна происходит динамически по мере роста числа коллизий, что позволяет, с одной стороны, уменьшить временные  задержки и, с другой стороны, снизить  вероятность возникновения коллизий.

Рис. 4.2. Кадры квитанции, отсылаемые в случае успешной передачи данных.

Говоря об алгоритме реализации равноправного доступа к среде  передачи данных, необходимо также  учитывать и размер кадра данных. Действительно, если кадры данных будут  слишком большими, то при возникновении  коллизий придется повторно передавать большой объем информации, что  приведет к снижению производительности сети. Кроме того, при большом  размере кадров данных узлы сети вынуждены  простаивать в течение довольно продолжительного времени, прежде чем  начать передачу.

В то же время использование  кадров данных небольшого размера, хотя и позволяет гарантировать равноправный доступ всех узлов к среде передачи данных и минимизирует издержки при  возникновении коллизий, не может  не отразиться негативно на полезном сетевом трафике. Дело в том, что  каждый кадр наряду с полезной информацией  содержит информацию служебную (заголовок  кадра). При уменьшении размера кадра  сокращается величина именно полезной информации (пользовательских данных), что обусловливает передачу по сети избыточного количества служебной  информации. Поэтому размер кадра  — это своего рода золотая середина, от правильного выбора которой зависит  эффективность использования среды  передачи данных.