Đang tải... (xem toàn văn)
Khảo sát hiệu quả hoạt động của mạng WLAN 802 11b với một số cơ chế bảo mật thông dụng Khảo sát hiệu quả hoạt động của mạng WLAN 802 11b với một số cơ chế bảo mật thông dụng Khảo sát hiệu quả hoạt động của mạng WLAN 802 11b với một số cơ chế bảo mật thông dụng luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC LONG KHẢO SÁT HIỆU QUẢ HOẠT ĐỘNG CỦA MẠNG WLAN 802.11b VƠÍ MỘT SỐ CƠ CHẾ BẢO MẬT THÔNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH KỸ THUẬT ĐIỆN TỬ Hà Nội, 2006 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC LONG KHẢO SÁT HIỆU QUẢ HOẠT ĐỘNG CỦA MẠNG WLAN 802.11b VƠÍ MỘT SỐ CƠ CHẾ BẢO MẬT THÔNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH KỸ THUẬT ĐIỆN TỬ NGƯỜI HƯỚNG DẪN : TS.NGUYỄN HỮU THANH Hà Nội, 2006 MơC LơC Lêi cam ®oan MôC LôC DANH MụC CáC HìNH Vẽ, đồ thị 12 Mở đầu 14 CHƯƠNG TổNG QUAN Về M¹NG 802.11 16 1.1 Chuẩn không dây IEEE 802.11 18 1.1.1 LÞch sư cđa chuÈn 802.11 18 1.1.2 Các thành phần mạng WLAN IEEE 802.11 20 1.1.3 C¸c kiĨu m¹ng WLAN 23 1.1.4 HÖ thèng DS 28 1.1.5 Các ranh giới mạng 30 1.2 C¸c hoạt động mạng 802.11 31 1.2.1 Các dịch vụ mạng 32 1.2.2 Hỗ trợ di động 38 CHƯƠNG LớP VậT Lý IEEE 802.11 40 2.1 KiÕn tróc líp vËt lý 40 2.2 Liên kết vô tuyến 40 2.2.1 Vấn đề cấp phép (Licence) tần sè 40 2.2.2 Tr¶i phỉ (Spread Spectrum) 41 2.2.3 C¸c kü tht tr¶i phỉ 42 CHƯƠNG 802.11 MAC Và CấU TRóC KHUNG 802.11 47 3.1 C¸c th¸ch thøc víi líp MAC 48 3.1.1 ChÊt lỵng liên kết Vô tuyến (Radio Link Quality) 48 3.1.2 VÊn ®Ị Èn nót (Hidden node) 49 3.2 Các chế độ truy cập MAC vấn đề định thời (Timing) 52 3.2.1 Các chứng cảm nhận sóng mang véc tơ định vị mạng (NAV) 53 3.2.2 Khoảng cách khung 55 3.3 Khuông dạng khung 57 3.3.1 Trêng ®iỊu khiÓn khung (Frame Control) 57 3.3.2 Trêng Duration/ID 59 3.3.3 C¸c trêng ®Þa chØ 61 3.3.4 Trêng ®iỊu khiĨn thø tù (Sequence Control Field) 62 3.3.5 Trêng th©n khung (Frame Body) 63 3.3.6 Chuỗi kiểm tra khung (Frame Check Sequence – FCS) 63 CHƯƠNG chứng thực wep 65 4.1 C¬ së cho m· hãa WEP 65 4.2 Các hoạt động mà hãa WEP 66 4.2.1 Xư lý d÷ liƯu WEP 67 4.2.2 Sù më réng cđa khung cã sư dông WEP 68 4.2.3 Vấn đề phân phát khóa WEP 69 28T 28 T 28T 28 T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 4.3 Các vấn đề WEP 72 4.3.1 Lý WEP chọn dùng 73 4.3.2 Kỹ thuật bảo mật phương pháp lọc 74 4.4 C¶i tiÕn WEP 77 4.4.1 Quản lý chìa khóa WEP 77 4.4.2 Wireless VPNs 79 4.4.3 Temporal Key Integrity Protocol (TKIP) 80 4.4.4 802.1x vµ giao thøc chøng thùc më 80 CHƯƠNG BảO MậT 802.1X 82 5.1 ThuËt ng÷ 82 5.2 KiÕn tróc 802.1x 85 5.3 802.1x mạng WLAN 802.11 87 5.4 EAP- Giao thức chứng thức mở rộng 89 5.4.1 CÊu tróc khung EAP 90 5.4.2 Các khung yêu cầu tr¶ lêi 90 5.4.3 Các khung thành công thất bại 93 5.4.4 Ví dụ trình trao đổi EAP 94 5.5 EAP-TLS 95 5.6 Đôi điều 802.11i 96 CHƯƠNG THử NGHIệM KếT QUả - NHậN XÐT 102 6.1 Mét số nghiên cứu học giả nước 102 6.2 Mơc tiªu cđa thÝ nghiÖm 103 6.3 Phương pháp 103 6.3.1 ý ®å thiÕt kÕ 103 6.3.2 CÊu h×nh cđa hƯ thèng WLAN thư nghiƯm 106 6.3.3 Các lớp bảo mật 106 6.3.4 Bộ phát lưu lượng 107 6.4 Quy tr×nh tiÕn hµnh 111 6.5 KÕt qu¶ 112 6.5.1 ảnh hưởng chế bảo mật lên hiệu suất mạng 112 6.5.2 ảnh hưởng việc bổ sung thêm máy trạm truy cập vào mạng 114 6.5.3 ảnh hưởng gói có kích thước khác lên hiệu suất mạng 116 6.6 Mét sè kÕt luËn rót 117 6.7 Các hạn chế 118 CHƯƠNG kết luận HƯớNG PHáT TRIểN Đề TàI 120 TàI LIệU THAM KHảO 121 PHô LôC 123 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28 T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T 28T Danh mục ký hiệu, chữ viết tắt Chức viết Gốc Tiếng Anh tắt Giải nghĩa Tiếng Việt A AAA Authentication, Authorization, Chøng thùc, CÊp qun vµ Accounting TÝnh cíc ACK Acknowledgement B¶n tin tr¶ lêi AID Association ID – AID Nhận dạng liên kết AP Access Point Điểm truy cËp Wifi AU Authenticator Bé chøng thùc BSA Basic Serive Area Khu vực dịch vụ BSS Basic Service Set Bộ dịch vụ BSSID Basic Service Set Identifier Sè nhËn d¹ng BSS B C CCA Clear Channel Assessment Đánh giá mức độ sẵn sàng truyền kênh Mét giao thøc míi CCMP Counter Mode with CBC-MAC 802.11i, thực đếm gói Protocol để tránh hoạt động công kẻ nghe trộm Chế độ Không tranh chÊp CF Contention-Free cđa m«i trêng trun v« tun CRC Cycle Redundancy Check CSMA Carrier Sense Multiple Access ThuËt toán kiểm tra dư vòng Đa truy cập cảm nhận sóng mang Carrier Sense Multiple Đa truy cập cảm nhËn sãng Access/Collision Avoidance mang / Chèng xung ®ét Carrier Sense Multiple Đa truy cập cảm nhận sóng Access/Collision Detection mang / Phát xung đột Clear To Send Sẵn sàng gửi DA Destinatin Address Địa đích DCF Distributed Coordination Function CSMA/CA CSMA/CD CTS D DHCP Chức phối hợp phân tán Dynamic Host Configuration Giao thức cấu hình động cho Protocol máy trạm Khoảng cách khung DIFS DCF Interframe Space DS Distribution System DSSS Direct Sequence Spread Spectrum Tr¶i phỉ d·y trùc tiÕp Enxtensible Authentication Giao thức chứng thực Protocol mở rộng phân phối DCF Hệ thống phân phối gói tin E EAP EAPOL Enxtensible Authentication Protocol Over LAN Giao thøc chøng thực mở rộng áp dụng cho mạng LAN EAP- EAP Tunneled TLS Giao thøc chøng thùc EAP TTLS Authentication Protocol có tạo đường hầm TLS EIFS Extended Interframe Space ESA Extended Serive Area Khoảng cách khung mở rộng Khu vực dịch vụ mở rộng mạng WLAN ESS Extended Service Set Bé dÞch vơ më réng Frame Check Sequence Chuỗi kiểm tra khung Frequency Division Multiple §a truy cËp ph©n chia theo Access m· Frequency Hop Nhảy tần số F FCS FDMA FH FHSS FTP Frequency Hopping Spread Spectrum Trải phổ nhảy tần File Transfer Protocol Giao thøc truyÒn tËp tin Group Transient Key Khãa nhãm tạm thời (HR/DS or HR/DSSS High Trải phổ dÃy trùc tiÕp tèc ®é Rate DSSS) cao G GTK H HR/DS HTTP Hyper Text Transfer Protocol Giao thøc trun siªu văn I IBSS Independent Basic Service Set ICV Integrity Check Value ID Identifier IEEE Institute of Electrical and Electronic Engineers Bộ dịch vụ độc lập Giá trị kiểm tra toàn vẹn liệu Số nhận dạng Viện kỹ thuật điện điện tử IP Internet Protocol Giao thøc Internet IR Infrared light Hång ngo¹i ISM Industrial, Scientific, Medical Nhóm băng tần số không cấp phép ë Hoa Kú dïng trong: C«ng nghiƯp, Khoa häc, Y học IV Initialization Vector Vectơ khởi tạo KCK Key Confirmation Key Khãa x¸c nhËn khãa KEK Key Encryption Key Khãa m· hãa khãa KeyID Key Identifier Sè nhËn d¹ng khãa LAN Local Area Network M¹ng cơc bé LEAP Lightweight EAP LLC Layer Link Control K L Mét chuÈn nhËn thùc EAP Cisco sáng tạo Giao thức điều khiển lớp liên kết M Giao thức điều khiển truy MAC Media Access Control cập môi trường truyền liệu MAN Metropolitan Area Network Mạng đô thị MK Master Key Khóa chñ MIC Message Integrity Code MPDU MAC Protocol Data Unit MSDU MAC Service Data Unit Đơn vị liệu dịch vụ MAC Network Allocation Vector Vector định vị mạng Mà kiểm tra toàn vẹn liệu tin Đơn vị d÷ liƯu giao thøc MAC N NAV NIC Network Interface Card Card giao tiÕp m¹ng Orthogonal Frequency Division GhÐp kênh phân chia tần số Multiplexing trực giao PAN Personal Area Network Mạng cá nhân PC Personal computer Máy tính cá nhân PCF Point Coordination Function O OFDM P PCF IFS (PIFS) PCF Interframe Space Chức phối hợp tập trung Khoảng cách khung PCF Hiệp hội quốc tÕ vỊ card nhí PCMCIA Personal Computer Memory Card International Association cho máy tính cá nhân: đà xây dựng tiêu chuẩn cho thiết bị, modem ổ đĩa cứng lắp ngoài,v.v PEAP Protected EAP PHY Physical PLCP Physical Layer Convergence Procedure Giao thøc chøng thùc cã thÓ mở rộng bảo vệ Lớp vật lý 802.11 vµ OSI Thđ tơc héi tơ líp vËt lý Mét bé phËn thuéc líp vËt lý PMD Physical Medium Dependent 802.11, làm nhiệm vụ truyền gói tin vào kh«ng gian v« tun PMK Pairwise MK Khãa chđ Pairwise Bộ phát số giả ngẫu nhiên PRNG Pseudorandom Number Generator dùng thuật toán RC4 tạo mà WEP Chế độ tiết kiệm lượng PS Power Save máy trạm mạng Wifi PSK PPTP PTK Pre-shared key Point – to- point tunneling Protocol Khãa chia sỴ tríc Giao thức tạo đường hầm thông tin kết nối điểm tới điểm Pairwise Transient Key Khóa Pairwise tạm thời Receiver Address Địa nhận Remote Access Dial In User DÞch vơ ngêi dïng truy cËp Service tõ xa b»ng c¸ch quay sè RC4 Rivest Cipher Kü thuËt m· hãa Rivest RF Radio Frequency TÇn sè sãng vô tuyến RSN Robust Secure Network Mạng bảo mật cao RTS Request To Send Yêu cầu gửi SA Source Address Địa nguồn SIFS Short Interframe Space SSID Station Service Identifier STA Station R RA RADIUS S T Kho¶ng cách khung ngắn Số nhận dạng dịch vụ máy trạm Máy trạm mạng Wifi 10 TA Transmitter Address Địa truyền TCP Transmission Control Protocol TK1/TK2 Temporal Key & TKIP Temporal Key Integrity Protocol TLS Transport Layer Security B¶o mËt líp trun dÉn TSN Transition Security Network Mạng bảo mật truyền dẫn Giao thức điều khiển truyền dẫn Khóa tạm thời Giao thức kiểm tra tính toàn vẹn khóa tạm thời U UDP UNII User Datagram Protocol Unlicensed National Information Infrastructure bands Giao thức gói liệu người dùng Các băng tần không cấp phép Hòa Kỳ (từ 5GHz trở lên) V VPN Virtual Private network Mạng riêng ảo W Liªn minh kiĨm tra tÝnh WECA Wireless Ethernet Compability Alliance tương thích thiết bị Ethernet không dây cÊp chøng nhËn chÊt lỵng víi biĨu tỵng wi-fi Giao thức bảo mật WEP Wired Equivalent Privacy WLAN tương đương mạng LAN hữu tuyến Wifi Wireless Fidelity Một chứng nhận chất lượng WRAP cho sản 11 phẩm WLAN không dây WLAN Wireless Local Area Network WN Wireless Node WPA Wireless Protected Access WRAP Mạng LAN không dây Một máy trạm không dây mạng WLAN Giao thức bảo mật bảo vệ cho mạng không dây Wireless Robust Authentication Giao thøc chøng thùc rÊt Protocol m¹nh cho mạng không dây 12 DANH MụC CáC HìNH Vẽ, ®å thÞ 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU 28TU Hình 1-1: Tương quan mạng không dây 17 Hình 1-2: Các lớp mô hình OSI lớp 802.11 19 Hình 1-3: Các lớp 802.11 19 Hình 1-4: Các thành phần mạng WLAN 802.11 20 Hình 1-5: Các kiểu mạng WLAN 23 Hình 1-6: Cấu trúc mạng độc lập 24 H×nh 1-7: KiÕn trúc mạng sở 25 Hình 1-8: Bộ dịch vụ mở rộng (ESS) 27 H×nh 1-9: HƯ thèng DS 29 H×nh 1-10: Chång lÊn BSS ESS 30 Hình 1-11: Chồng lấn không gian 31 H×nh 1-12: Chun giao BSS 38 H×nh 1-13: Chun giao ESS 39 Hình 2-1: Phân lãp 802.11 40 Hình 2-2: Trải phổ nhảy tần (1) 43 H×nh 2-3: Trải phổ nhảy tần (2) 44 Hình 2-4: Trải phổ d·y trùc tiÕp (DSSS) 45 Hình 2-5 : Bố trí số kênh 46 Hình 3-1: Sơ đồ phân lớp giao thức 802.11 48 Hình 3-2: Trả lời tÝch cùc trun d÷ liƯu 49 Hình 3-3: ẩn nút nút 50 Hình 3-4: ẩn nút A C 50 H×nh 3-5: HiƯn nót D 51 H×nh 3-6: Quy tr×nh dän dẹp đường truyền trước truyên với RTS/CTS 51 Hình 3-7: Các chức phối hợp MAC 53 H×nh 3-8: Dïng NAV ®Ĩ c¶m nhËn sãng mang ¶o 54 Hình 3-9: Mối quan hệ khoảng cách khung 55 Hình 3-10: Khuôn dạng khung MAC 57 Hình 3-11: Trường điều khiển khung 58 H×nh 3-12: Trêng Duration / ID 60 Hình 3-13: Trường điều khiển thứ tự 62 H×nh 4-1: Hoạt động mà hóa luồng tin 65 H×nh 4-2: M· hãa luång cã sư dơng khãa 66 Hình 4-3: Hoạt động mà hóa WEP 68 H×nh 4-4: Më réng khung WEP 69 Hình 4-5: Giao diện nhập chìa khóa WEP máy trạm 70 Hình 4-6: AP hỗ trỵ sư dơng nhiỊu khãa WEP 71 Hình 4-7: Lọc địa MAC 76 H×nh 4-8: Läc giao thøc 77 Hình 4-9: Cấu hình quản lý ch×a khãa m· hãa tËp trung 78 U28T U28T U28 T U28T U 28T U28T U28T U28 T U28 T U28 T U 28T U28 T U28T U28 T U28T U28T U28 T U28T U28T U28T U28T U28T U28T U28 T U28T U28T U28T U28 T U2 8T U28 T U28 T U28 T U28T U28T U28T U 28T U28T U28T U28T U28T 13 H×nh 4-10: Wireless VPN 80 Hình 5-1: Mô hình 802.1x 82 H×nh 5-2: Cổng điều khiển cổng không điều khiển 83 Hình 5-3: Hoạt động b¶n 802.1x 86 H×nh 5-4: KiÕn tróc 802.1x 87 H×nh 5-5: 802.1x triĨn khai m¹ng 802.11 89 H×nh 5-6: KiÕn tróc EAP 90 H×nh 5-7: CÊu tróc gãi EAP 90 Hình 5-8: Các gói EAP Yêu cầu EAP Trả lời 91 Hình 5-9: Các khung EAP Thành công EAP Thất bại 93 Hình 5-10: Ví dụ trình trao đổi EAP 94 Hình 5-11: Ví dụ trao đổi tin EAP-TLS 96 Hình 5-12: Quá trình trao đổi khóa động 97 H×nh 5-13: H×nh mô tả sơ đồ phân cấp khóa 802.11i 99 H×nh 5-14: CÊu tróc khung TKIP (MPDU) 100 H×nh 5-15: CÊu tróc khung WEP (MPDU) 100 Hình 6-1: Cấu hình mạng WLAN dùng thực nghiệm 106 Hình 6-2: Công cụ IP Traffic phía máy trạm truy cập 108 Hình 6-3: Các tham số thiết lập cho kết nối 109 Hình 6-4: Thông lượng TCP UDP mạng không bị nghẽn 112 Hình 6-5: Thông lượng TCP UDP mạng nghẽn 113 Hình 6-6: Tổng thời gian đáp ứng hệ thống lưu lượng TCP UDP m¹ng nghÏn 113 Hình 6-7: Thông lượng trung bình trạm với lưu lượng TCP 115 Hình 6-8: Thông lượng trung bình trạm với lưu lượng UDP 115 Hình 6-9: Thông lượng TCP với kích thước gói khác 116 Hình 6-10: Thông lượng UDP với gói có kích thước khác 117 28TU U28 T 28TU U28T 28TU U28T 28TU U28T 28TU U28 T 28TU U28T 28TU U28 T 28TU U28 T 28TU U28T 28TU U28T 28TU U28 T 28TU U28 T 28TU U28 T 28TU U28T 28TU U 28T 28TU U28 T 28TU U28 T 28TU U28T 28TU U28T 28TU U28T 28TU U28T 28TU U28T 28TU U28T 28TU 28TU 28TU U28T U28T U28T 14 Mở đầu Trong năm gần đây, thị trường thông tin không dây đà có bước phát triển đáng kinh ngạc Các mạng cục vô tuyến (Wireless LAN WLAN hay tên gọi khác Wifi) đà nhanh chóng chiếm vị trí quan trọng ngày trở nên phổ biến ứng dụng doanh nghiệp ngành công nghiệp máy tính Các tiện ích WLAN tính mềm dẻo tính di động Không giống mạng LAN hữu tuyến truyền thống (người dùng cần có dây nối máy tính mạng), với WLAN người dùng gần truy cập mạng LAN từ đâu mà hạn chế Điều nguyên nhân khiến cho Wifi ngày trở nên phổ biến Khi mà thông tin vô tuyến trở nên phổ biến, giữ vai trò ngày quan trọng hình thức liên lạc người với người, yêu cầu việc bảo dưỡng tuyến thông tin an toàn đáng tin cậy lại trở nên cấp thiết Những rủi ro bảo mật mạng vô tun bao gåm c¸c rđi ro vèn cã viƯc vận hành mạng hữu tuyến cộng với rủi ro tính động thiết bị thông tin không dây tạo Để giảm rủi ro này, tổ chức có sử dụng wifi thông tin liên lạc cần phải tiến hành công tác đo đạc mức độ bảo mật tiến hành biện pháp cần thiết để giảm rủi ro xuống mức quản lý Để tài bên cạnh việc tìm hiểu kiến trúc hoạt động mạng WLAN IEEE 802.11 tập trung vào vấn đề bảo mật đánh giá hiệu suất m¹ng Wireless LAN theo chn IEEE 802.11 víi mét sè chế bảo mật thông dụng, sử dụng nhiều máy trạm Đề tài nghiên cứu ảnh hưởng chế mà hóa bảo mật liệu lên hiệu suất (được xét yếu tố thời gian đáp ứng (response time) thông lượng (throughput)) mạng có tắc 15 nghẽn mạng không tắc nghẽn Trên sở đó, ta rút ưu nhược điểm phương pháp bảo mật thông dụng, từ lựa chọn phương thức bảo mật phù hợp làm việc với mạng WLAN nhằm đạt hiệu kinh tế hiệu sử dụng cao Đề tài gồm nội dung sau: Chương giới thiệu chung mạng IEEE 802.11 Chương đề cập chi tiết lớp vật lý sử dụng chuẩn IEEE 802.11 phổ biến Chương trình bày 802.11 MAC cấu trúc khung sử dụng 802.11 Chương Chương giải thích chi tiết kiến trúc bảo mật WEP (một chuẩn bảo mật IEEE 802.11) giao thức chứng thực 802.1x (một tăng cường thêm cho phần chứng thực WEP) Chương trình bày mục tiêu nghiên cứu này, xem xét mô hình thiết kế chế bảo mật khác sử dụng trình thử nghiệm Đồng thời, chương trình bày kiến trúc mô hình hệ thống sử dụng thử nghiệm, phân tích kết đạt Chương trình bày số hướng phát triển đề tài tương lai số kết luận với nghiên cứu đề cập đề tài 16 CHƯƠNG TổNG QUAN Về MạNG 802.11 Trong năm gần đây, thị trường thông tin không dây đà có bước phát triển đáng kinh ngạc Các công nghệ không dây đà nhanh chóng chiếm vị trí quan trọng trở nên phổ biến lĩnh vực kinh doanh ngành công nghiệp máy tính Động lực lợi ích lớn mà công nghệ thông tin không dây mang lại tính tính di động tính mềm dẻo [1] Tính di động công nghệ thông tin không dây cho phép thực liên lạc lúc di chuyển mà không bị gián đoạn Tính linh hoạt, mềm dẻo công nghệ giúp cho việc mở rộng mạng, thêm số người truy cập mạng, triển khai mạng nơi mà kỹ thuật thông tin hữu tuyến gặp khó khăn trở nên dễ dàng hơn, nhanh chóng Bên cạnh hai công nghệ di động phổ biến GSM CDMA, thời gian gần đây, Việt Nam, đặc biệt thành phố lớn Hà Nội, Hồ Chí Minh, số lượng điểm truy cập Internet không dây, biết đến với tên gọi bình dân khác Cafe Wifi, đà đặc biệt nở rộ, ngày phát triển hứa hẹn đem lại nhiều lợi nhuận cho nhà cung cấp dịch vụ Internet Tuy nhiên vấn đề bảo mật hiệu suất hoạt động dịch vụ chưa quan tâm thích đáng nhiều vấn đề cần nghiên cøu Theo ph¹m vi phđ sãng ta cã thĨ chia công nghệ không dây thành bốn nhóm là: + Mạng thông tin cá nhân (Personal Area Network PAN) + Mạng thông tin cục (Local Area Network LAN) + Mạng thông tin đô thị (Metropolitan Area Network MAN) + Mạng thông tin diƯn réng (Wide Area Network – WAN) H×nh sau mô tả tương quan công nghệ mạng này: 17 Hình 1-1: Tương quan mạng không dây Chuẩn IEEE 802.11 chuẩn mạng không dây xây dựng cho môi trường mạng LAN, ban đầu với mục đích tạo mạng LAN phạm vi hộ gia đình doanh nghiệp nhỏ mà không cần phải dây Chuẩn biết đến với nhiều tên gọi khác [11] Một số người gọi 802.11 chuẩn Ethernet không dây họ muốn nhấn mạnh tính khác biệt so với mạng Ethernet hữu tuyến truyền thống (chuẩn 802.3) Ngoài ra, liên minh tương thích Ethernet không dây (Wireless Ethernet Compatibility Alliance WECA) đà triển khai chương trình cấp chứng Wifi (Wireless Fidelity) sản phẩm liên quan tới 802.11 nhà sản suất Các sản phẩm vượt qua kiểm tra chất lượng liên minh gán mác Wi-fi 18 1.1 Chuẩn không dây IEEE 802.11 1.1.1 Lịch sử chuẩn 802.11 Tæ chøc IEEE (Institute of Electrical and Electronic Engineers) chia thành nhiều ủy ban để nghiên cứu chuẩn khác ủy ban IEEE 802 tập trung nghiên cứu giải mạng LAN MAN ủy ban 802 tiếp tục chia nhỏ thành nhóm cộng tác (working group), nhóm tập trung giải vấn ®Ị thĨ ph¹m vi mét vÊn ®Ị chung LAN MAN Sau số nhóm cộng tác 802: o 802.1: Quản lý tạo cầu nèi (Bridging and Management) o 802.2: Giao thøc ®iỊu khiĨn liªn kÕt logic (LLC – Logic Link Control) o 802.3: Phương thức truy cập CSMA/CD o 802.7: LAN băng rộng (Broadband LAN) o 802.11: Vô tuyến Nhóm cộng tác 802.11 hình thành vào tháng năm 1990 Mục tiêu nhóm tạo tiêu chuẩn kỹ thuật cho mạng LAN không dây mà vận hành số băng tần dùng cho Công nghiệp (Industrial), Khoa häc (Scientific), vµ Y tÕ (Medical) (vµ gäi chung nhóm băng tần ISM) Chuẩn 802.11 công bố vào năm 1997 Các chuẩn 802 nhắm vào lớp thấp mô hình OSI Các giao thức 802.11 tập trung vào lớp điều khiển môi trường truy cËp (MAC) vµ líp vËt lý (PHY) Líp MAC điều khiển việc di chuyển liệu lớp liên kết môi trường vật lý Nhìn chung, lớp MAC 802.11 phức tạp lớp MAC biết tíi c¸c chn 802 kh¸c Chi tiÕt vỊ líp MAC vµ cÊu tróc khung IEEE 802.11 cđa MAC sÏ trình bày Chương Hình 1-2 mối liên hệ lớp thấp mô hình OSI khái niệm đề cập đến chuỗi giao thức 802 [ 19 Hình 1-2: Các lớp mô hình OSI lớp 802.11 Do sử dụng sóng vô tuyến để truyền thông tin nên lớp vật lý (PHY) 802.11 tương đối phức tạp Chuẩn chia lớp vật lý hai phần: PLCP (Physical Layer Convergence Procedure – Thđ tơc héi tơ lớp vật lý) để chuyển khung MAC xuống lớp vật lý (và ngược lại), hệ thống PMD (Physical Media Dependent – hƯ thèng phơ thc vËt lý) cã nhiệm vụ phát/thu khung PLCP nằm ranh giới lớp MAC lớp PHY Hình 1-3: Các líp 802.11 Ngµy nay, cã rÊt nhiỊu chn vËt lý (PHY) khác sử dụng Tiêu chuẩn kỹ thuật 802.11 đề cập chế vật lý khác sử dụng cho 802.11, là: hông ngoại (Infrared IR), Kỹ thuật trải phổ nhảy tần 2.4GHz (Frequency Hopping Spread Spectrum -FHSS) kỹ tht Tr¶i phỉ d·y trùc tiÕp 2.4GHz (Direct Sequence Spread Spectrum DSSS) Tất chế cung cấp tốc độ liệu từ Mbps tới Mbps tùy thuộc vào chất lượng tín hiệu Ta có thĨ tãm t¾t mét sè chn IEEE 802.11 nh sau: 802.11a: Tần số Ghz, tốc độ 54 Mbps, điều chế OFDM 20 802.11b: Tần số 2.4 Ghz, tốc độ 11 Mbps, điều chế DSSS, tên gọi cho dòng sản phẩm tương thích chuẩn Wifi đảm bảo WECA 802.11e: Tăng cường QoS cho 802.11 MAC 802.11f: Ph¸t triĨn cho Inter Access Point Protocol 802.11g: Tần số 2.4 Ghz, tốc độ 54 Mbps, điều chế OFDM Đây phiên mở rộng cho chuẩn 802.11b, cho phép truyền tốc độ cao cự ly ngắn 802.11h: Thêm tính lựa chọn kênh tự động (Dynamic Channel Select DCS) điều khiển công suất truyền (Transmit Power Control) 802.11x: Một chuẩn cập nhật, cung cấp điều khiển truy cập dựa cổng Đây bổ sung bảo mật cho 802.11 sở cung cấp chứng thực network máy trạm 802.11i: Một chuẩn giúp nâng cao đáng kể khả bảo mật líp MAC cho 802.11 Chi tiÕt vỊ líp vËt lý IEEE 802.11 đề cập Chương 1.1.2 Các thành phần mạng WLAN IEEE 802.11 Các mạng 802.11 gồm thành phần sau [11]: Hình 1-4: Các thành phần mạng WLAN 802.11 Các điểm truy cập mạng (Access Point AP): Các khung mạng 802.11 phải chuyển đổi sang loại khung khác để từ truyền phần lại mạng hữu tuyến Các thiết bị gọi AP có chức chuyển đổi qua lại cấu trúc khung 21 truyền cho mạng hữu tuyến khung truyền cho mạng vô tuyến Đây chức AP Hệ thống phân bố (Distribution System - DS) Khi có nhiều AP kết nối với để hình thành khu vực mạng không dây rộng AP phải trao đổi thông tin với cách để bám sát di chuyển trạm di động Hệ thống phân bố thành phần logic 802.11 có nhiệm vụ chuyển khung thông tin trao đổi AP đến đích 802.11 không định cụ thể loại công nghệ áp dụng cho DS Trong hầu hết sản phẩm đà thương mại hóa, DS gồm số thiết bị đóng vai trò cầu nối (bridging) môi trường truyền khung DS, tất hợp thành gọi mạng (backbone network) Thực tế, Ethernet xem công nghệ mạng chủ yếu áp dụng cho DS Môi trường truyền dẫn vô tuyến Để truyền khung từ trạm tới trạm kia, chuẩn 802.11 đà dùng môi trường truyền dẫn vô tuyến Chuẩn cho phép phát triển nhiều lớp vật lý khác để hỗ trợ MAC 802.11 Chuẩn đà định nghĩa vài kiểu lớp vật lý khác dùng cho truyền dẫn vô tuyến Ban đầu, chuẩn định hai kiểu lớp vật lý tần số vô tuyến RF (là kỹ thuật trải phổ nhảy tần (FHSS) kỹ thuật trải phổ dÃy trực tiếp (DSSS)), lớp vật lý dùng hồng ngoại (Infrared IR) Sau đó, chuẩn IR dùng cho 802.l1, người ta đà phát triển nhiều chuẩn vật lý tần số vô tuyến RF khác cho 802.11 Dưới chuẩn vật lý 802.11 phổ biến biết tới o 802.11b 802.11b, đời năm 1999, đưa chuẩn PHY cho phép truyền tin tốc độ cao hơn, sử dụng kỹ thuật DSSS băng tần 2.4Ghz 802.11b truyền liệu với tốc độ tới 11Mbps giảm xuống 1Mbps tùy điều kiện cụ thể Do tốc độ bit cao công 22 nghệ lại phức tạp nên chuẩn 802.11b đà triển khai nhanh chóng Tính tương tác phù hợp sản phẩm dùng chuẩn 802.11b kiểm tra cấp chứng nhận Liên minh tương thích Ethernet không dây (Wireless Ethernet Compatibility Alliance WECA) nh·n hiƯu chøng nhËn cđa hä lµ Wi-fi o 802.11a 802.11a , đời năm 2001, vận hành băng tần 5Ghz Chuẩn cung cấp tốc độ tới 54Mbps dùng phương thức điều chế OFDM (Orthogonal Frequency Division Multiplexing Ghép kênh phân chia tần số trực giao) Một vài nhà sản suất đà độc lập tung nghiên cứu đưa thị trường sản phẩm sử dụng chuẩn 802.11a cho phép tăng gấp đôi tốc độ thông tin lên tới 102 Mbps o 802.11g 802.11g , vận hành băng tần 2.4Ghz 802.11b dùng phương thức điều chế OFDM 802.11a Với tốc độ hỗ trợ tới 22Mbps, chuẩn xem chuẩn trung gian 802.11a 802.11b Bảng sau tổng kết lại tiêu chuẩn lớp PHY cho chuẩn 802.11 Chuẩn 802.11b chuẩn WLAN ®ang ®ỵc triĨn khai réng r·i nhÊt thùc tÕ sử dụng phần nghiên cứu thử nghiệm đề tài 802.11 PHY Tốc độ liệu tối đa Tần số 2.4 GHz & IR Phương thøc ®iỊu chÕ 802.11 Mbps FHDS & DSSS 802.11b 11 Mbps 2.4 GHz DSSS 802.11g 22 Mbps 2.4 GHz OFDM 802.11a 54 Mbps GHz OFDM 23 C¸c m¸y trạm (station) Các mạng tạo vốn để truyền liệu máy trạm với Các máy trạm thiết bị có khả tính toán (có chức máy tính) trang bị giao tiếp mạng không dây Thông thường, máy trạm hiểu máy tính xách tay vận hành pin thiết bị hỗ trợ cá nhân (PDA) Tuy nhiên, không bắt buộc máy trạm phải thiết bị có tính di động Trong nhiều trường hợp, để tránh vấn đề dây mạng, máy tính để bàn (desktop) trang bị card mạng không dây máy tính sau truy cập thông tin mạng WLAN 1.1.3 Các kiểu mạng WLAN Đơn vị cấu trúc mạng 802.11 BSS (Bộ dịch vụ Basic Service Set), hiểu đơn giản nhóm máy trạm trao đổi thông tin với Không gian địa lý mà việc trao đổi thông tin máy trạm thực gọi BSA (Khu vực dịch vụ Basic Service Area), định nghĩa đặc trưng truyền dẫn môi trường vô tuyến Khi máy trạm (STA station) nằm BSA trao đổi thông tin với máy khác BSS BSS chia làm hai loại BSS sở (Infrastructure BSS) BSS độc lập (Independent BSS) mô tả hình dưới: Hình 1-5: Các kiểu mạng WLAN 24 1.1.3.1 Các mạng độc lập (IBSS) Các trạm mạng IBSS thông tin trực tiếp với mà không cần tới điểm truy cập AP hay kết nối tới mạng hữu tuyến bắt buộc khoảng cách chúng phải nằm cự ly thông tin trực tiếp loại mạng mạng 802.11 nhỏ có gồm máy trạm Thông thường, IBSS gồm số nhỏ trạm thiÕt lËp víi mét mơc ®Ých sư dơng thĨ khoảng thời gian ngắn Một ứng dụng thường gặp chế độ tạo mạng ngắn hạn trình diễn họp phòng hội thảo Khi họp bắt đầu thành viên tạo IBSS để chia liệu.Khi họp kết thúc IBSS hủy Do đặc điểm diễn thời gian ngắn, số lượng trạm ít, cự ly bao quát nhỏ dùng có mục đích cụ thể, nên IBSS thường dùng để nói mạng ad-hoc (còn gọi mạng ngang hàng (peer-to-peer) 1.1.3.2 Hình 1-6: Cấu trúc mạng độc lập Các mạng sở Các mạng sở (Infrastructure BSS) phân biệt với mạng độc lập IBSS trước hết điểm mạng sở dùng tối thiểu điểm truy cập AP Các AP sử dụng cho việc thông tin mạng sở, bao gồm việc thông tin nút di động SSA 25 Hình 1-7: Kiến trúc mạng sở Nếu trạm di động BSS sở cần trao đổi thông tin với trạm di động thứ hai, thông tin phải diễn qua chặng (hop) Trước hết, trạm di ®éng gèc sÏ ph¶i gưi khung tin tíi AP Sau đó, AP truyền khung tin sang trạm di động đích Với việc tất luồng thông tin phải chuyển tiếp thông qua AP, khu vực dịch vụ (SSA) tương ứng với BSS cở sở định nghĩa tập hợp điểm mà nhận thông tin AP gửi Mặc dù dễ dàng nhận thấy việc truyền thông tin qua nhiều chặng tốn thời gian băng thông hệ thống so với cách truyền trực tiếp từ Trạm gửi đến Trạm nhận, nhiên, chế độ BSS sở có điểm lợi chính: o BSS sở định nghĩa cự ly mà AP bao phủ Tất trạm di động yêu cầu phải nằm phạm vi phủ sóng AP, hạn chế khoảng cách trạm di động với Phương pháp truyền thông trực tiếp trạm di động tiết kiệm băng thông truyền dẫn đổi lại chi phí đầu tư thiết bị cao tính phức tạp lớp vật lý tăng lên trạm di động cần thường xuyên trì mối liên lạc với tất trạm khác khu vực dịch vụ 26 o Các AP mạng sở có vai trò giúp đỡ trạm di động cố gắng tiết kiệm lượng (chuyển sang chế độ Power Save) Các AP biết trạm di động chuyển sang chế độ tiết kiệm lượng đưa khung thông tin cần truyền cho trạm di động vào nhớ đệm AP Các trạm di động vận hành pin tắt phận thu phát vô tuyến sau bật phận lên để truyền nhận khung đà ®ỵc lu bé nhí ®Ưm cđa AP gưi cho trạm Trong mạng sở, trạm phải liên kết (associate) với AP để có dịch vụ mạng Liên kết trình trạm gia nhập vào mạng, mặt logic liên kết tương đương với việc dùng cáp mạng để kết nối PC với mạng Ethernet Liên kết trình trao đổi thông tin đối xứng Các trạm di động phải khởi động trình liên kết, sau AP lựa chọn đồng ý từ chối truy cập dựa nội dung yêu cầu liên kết Ngoài ra, tính không đối xứng thể chỗ: trạm di động chØ cã thĨ liªn kÕt víi mét AP, đó, chuẩn 802.11 không quy định số lượng tối đa máy trạm mà AP phục vụ Trong thực tế, thông lượng mạng không dây hạn chế số lượng máy trạm truy cập mạng (do số lượng máy trạm tăng thông lượng mạng mà máy nhận giảm đi, đồng nghĩa với việc giảm hiệu suất thông tin) Vì hầu hết mạng LAN không dây doanh nghiệp tổ chức phải kết nối tới mạng LAN hữu tuyến để sử dụng dịch vụ (các máy in, máy chủ sở liệu, truy cập internet,v.v ) nên chúng vận hành chế độ sở Do đó, đề tài sử dụng chế độ sở phần nghiên cứu thực nghiƯm 27 1.1.3.3 Khu vùc dÞch vơ më réng (Extended Service Area) Các BSS bao phủ phạm vi nhà văn phòng doanh nghiệp nhỏ tạo vùng phủ sãng réng h¬n thÕ Chn 802.11 cho phÐp triĨn khai mạng không dây có kích thước phạm vi lớn cách liên kết BSS lại thành ESS (bé dÞch vơ më réng – Extended Service Set) Một ESS bao gồm chuỗi BSS (tối thiểu hai BSS) mạng backbone (như đà giải thích phần định nghĩa DS) Chuẩn không rõ loại công nghệ cần cho backbone mà ESS cần backbone để có số dịch vụ để đảm bảo chức hoạt động Hình 1-8 ví dụ bốn BSS (các AP cho BSS đà cấu hình để chúng cïng n»m mét ESS) Khi triÓn khai thùc tÕ, tượng chồng lấn (overlap) BSS lớn nhiều Trong thực tế, ta muốn vùng vủ sóng ESS liên tục Đương nhiên không muốn qua BSS3 định tuyến rõ từ nguồn BSS1 tới BSS2 Hình 1-8: Bộ dịch vụ mở rộng (ESS) Các trạm ESS thông tin với cho dù STA SSA khác chí di chuyển SSA Để trạm ESS thông tin với môi trường truyền dẫn 28 vô tuyến lúc hoạt động gièng nh mét liªn kÕt ë líp (líp Datalink) Do AP hoạt động với vai trò cầu nối (bridge) nên việc thông tin trực tiếp trạm với yêu cầu phần mạng truyền dẫn phải hoạt động liên kết lớp (ví dụ Ethernet, VLAN) ESS mức độ trừu tượng cao mà 802.11 hỗ trợ Các AP ESS hoạt động nhịp nhàng với phép thành phần mạng bên ESS trao đổi thông tin với trạm ESS cách sử dụng địa MAC hình 1-8, router đà dùng địa MAC để chuyển khung tới trạm ESS AP mà liên kết trực tiếp với trạm nhận nhiệm vụ chuyển khung tới trạm Router không cần quan tâm tới vị trí máy trạm mà muốn trao đổi thông tin, dựa vào AP để chuyển khung thông tin 1.1.4 Hệ thèng DS DS cã nhiƯm vơ t×m xem AP ë đâu chuyển khung thích hợp Khi khung gửi tới cho STA DS phải có nhiƯm vơ chun khung ®ã tíi ®óng AP ®ang phơc vụ STA đích ví dụ hình 1-8, Router cần biết địa MAC STA để gửi khung tới DS có nhiệm vụ xác định AP mà STA liên kết tới sau chuyển khung đến AP Rõ ràng phần mạng nhận trách nhiệm chuyển gói tin/khung phải mạng Ethernet (như đà đề cập trên), nhiên, Ethernet toàn DS làm để chọn AP phù hợp Theo cách định nghĩa 802.11 Ethernet phần DSM (DS medium môi trường DS), toàn DS Hầu hết AP bán thị trường nay, tối thiểu phải có giao tiếp với mạng Ethernet giao tiếp mạng không dây Phần giao tiếp mạng Ethernet nối tới mạng LAN có Phần giao tiếp với mạng không dây trở thành phần mở rộng cho mạng LAN Việc 29 chuyển tiếp khung hai môi trường mạng AP máy tạo cầu nối (bridge engine) thực Hình 1-9: Hệ thống DS Hình cho biết mối liên hệ STA, mạng backbone DS Hai giao diện (mạng không dây phần mạng backbone) AP kết nối với Bridge Các mũi tên luồng thông tin trao đổi Bridge thành phần khác Các khung gửi tới giao diện vô tuyến Tất khung gửi tới phần giao tiếp vô tuyến Brigde gửi tới STA có liên kết Các STA có liên kết gửi khung tới AP Cổng backbone Bridge cho phép truy cập trực tiếp vào mạng Backbone 1.1.4.1 Thông tin AP phần DS Một phần thiếu DS phần quản lý liên kết STA với AP Tại thời điểm, STA có liên kết với AP Trong mạng ESS, thiết bị mạng cần biết địa MAC STA mạng để gửi khung đến Để việc thực liên kết STA AP cần phải AP khác biết tới, hay nói cách khác, AP phải học liên kết hình 1-8, AP4 phải biết liên kết cđa AP1 Khi mét STA liªn kÕt víi AP4 gưi khung tới STA liên kết với AP1, máy tạo cầu nối AP4 phải 30 gửi khung qua mạng trục Ethernet tới AP1, nhờ mà khung đến đích Để đảm bảo hoạt động toàn ESS tất AP ESA phải trao đổi với thông tin liên kết chúng Do đó, thị trường có số loại AP có hỗ trợ Giao thức giao đổi thông tin AP (Inter-Access Point Protocol IAPP) thực qua mạng Ethernet Tuy nhiên chưa có phương pháp trao đổi thông tin liên kết AP ESS chuẩn hóa 1.1.5 Các ranh giới mạng Do đặc tính môi trường truyền dẫn vô tuyến, mạng 802.11 biên giới rõ ràng Trong thực tế, tính không rõ ràng ranh giới mạng mức độ chấp nhận Cũng giống công nghệ mạng không dây khác (nh GSM, CDMA,v.v ), viƯc cho phÐp biªn giíi cđa BSA chồng lấn lên (overlap) đà góp phần làm tăng khả chuyển giao thành công mét STA di chun tõ BSA nµy sang mét BSA khác hình ta thấy khu vực BSA bên phải bị chồng lấn nhiều (giữa BSS2, BSS3 BSS4) Hình 1-10: Chồng lấn BSS ESS Với chồng lấn STA từ BSS2 sang BSS4 gần không gặp vấn đề gián đoạn thông tin vùng phủ sóng kín Mặt khác, AP2 có cố mạng bị chia cắt hai phần: bên BSS1, bên BSS3 BSS4 Khi ®ã, mét STA ë BSS1 sÏ bÞ mÊt kÕt nèi từ BSS1 sang BSS4 31 Ngoài việc chồng lấn BSS mạng đà kể kiểu mạng khác không gian gây chồng lấn Hình trường hợp xuất mạng IBSS BSS AP (gọi chồng lấn không gian) 1.2 Hình 1-11: Chồng lấn không gian Các hoạt động mạng 802.11 Ngay từ đầu, 802.11 đà thiết kế lớp liên kết khác lớp mạng cao Tính kế thừa từ Ethernet mức độ gọi 802.11 Ethernet không dây Những thành phần Ethernet xuất 802.11 Trước tiên địa MAC Cả Ethernet 802.11 máy trạm phân biệt địa MAC 48 bit theo quy định chung cho chuẩn IEEE 802 Các khung gửi nhận sở địa MAC Tuy nhiên, việc truyền nhận khung 802.11 không đáng tin cậy vấn đề chất lượng tín hiệu 32 giao diện vô tuyến gây (giao thoa, nhiễu, suy hao,v.v ) cho dù 802.11 đà định vài chế để đảm bảo tính tin cậy thông tin Từ góc độ người sử dụng, ta muốn mạng 802.11 có chất lượng mạng Ethernet hữu tuyến Tuy nhiên, tõ gãc ®é kü tht, viƯc võa cung cÊp tÝnh di động lớp MAC, vừa phải đảm bảo chất lượng giống chuẩn 802 đà có trước đòi hỏi phải bổ sung thêm nhiều dịch vụ phức tạp cấu trúc khung MAC 1.2.1 Các dịch vụ mạng Có cách để định nghĩa topo mạng định nghĩa dịch vụ mà topo mạng cung cấp cho phép nhà sản xuất thiết bị thực cách mà họ thấy phù hợp để có dịch vụ 802.11 cung cấp chín dịch vụ Chỉ có ba số dùng để di chuyển liệu Các dịch vụ lại dành cho hoạt động quản lý cho phép mạng bám theo thay đổi nút mạng di động từ chuyển khung cho Phần mô tả dịch vụ Phân phát (Distribution): Đây dịch vụ STA mạng sở sử dụng chúng muốn gửi liệu Khi mét AP nhËn mét khung th× nã sÏ dïng dịch vụ phân phát liệu để chuyển khung đến đích Tất hoạt động trao đổi thông tin có sử dụng AP phải dùng dịch vụ phân phát, bao gồm việc trao đổi thông tin hai STA mạng sở có chung AP Tích hợp (Integration) Tích hợp dịch vụ sử dụng DS, cho phép tạo kết nối DS mạng không dùng 802.11 (thường mạng Ethernet hữu tuyến) Dịch vụ dùng thiết bị nhận máy mạng LAN hữu tuyến tích hợp vào mạng 802.11 (để tạo thành ESS), lúc DS sÏ chun gãi tin qua cỉng giao tiÕp víi mạng Backbone thay qua giao diện vô tuyến Chức tích hợp sử dụng DS 33 không định 802.11, ngoại trừ việc loại dịch vụ mà phải cung cấp Liên kết (Association) Việc chuyển phát khung tới STA thực nhờ việc STA đăng ký, liên kết (associate) với AP Sau đó, DS sử dụng thông tin đăng ký để xác định cần phải sử dụng AP cần thông tin với STA Các STA không đăng ký với AP không diện mạng, điều tương tự việc không cắm cáp kết nối máy trạm mạng Ethernet hữu tuyến thông thường Tại thời điểm, STA liên kết với AP, nhờ DS nhận câu trả lời cho câu hỏi: AP phục vụ STA X ? Tái liên kết (đăng ký lại) (Reassociation) Khi STA di chuyển BSA phạm vị ESA, phải đánh giá cường độ tín hiệu phải rời liên kết với AP thiết lập liên kết với AP có cường độ tín hiệu mạnh Việc bắt đầu tái thiết lập liên kết STA thực AP Sau việc tái liên kết hoàn tất, DS cập nhật lại ghi vị trí để biết STA ®· thc vỊ mét AP míi Hđy liªn kÕt (Diassociation) Để kết thúc liên kết tại, STA phải sử dụng dịch vụ hủy liên kết Khi trạm bắt đầu kích hoạt dịch vụ hủy liên kết tất liệu di động trạm đà gửi lưu trữ DS bị hủy Khi việc hủy liên kết hoàn tất, STA không thuộc mạng Việc tương tự việc rút cáp kích hoạt tính disable card mạng LAN mạng Ethernet thông thường Dịch vụ hủy liên kết tự động sử dụng STA trạm tắt IEEE 802.11 không nói rõ cách thức mà DS phân phối tin, tất mà DS cần có đủ thông tin để xác định đầu tương 34 ứng với máy nhận tin Các thông tin cung cấp dịch vụ nêu trên, là: Liên kết, Tái liên kết, Hủy liên kết Chứng thực (Authentication) Bảo mật lớp vật lý phận quan trọng giải pháp bảo mật cho mạng LAN hữu tuyến Khi so sánh ta thấy mạng LAN hữu tuyến có lớp vật lý dây nối (điện quang), chúng có tính chất đóng khó bị xâm nhập từ bên Còn mạng 802.11 lớp vật lý môi trường vô tuyến, có tính chất mở dễ bị xâm nhập từ bên Đà có nhiều giải pháp bảo mật khác áp dụng cho mạng LAN hữu tuyến Thông thường số điểm kết nối vào mạng giới hạn, phổ biến khu vực văn phòng, phía sau khu vực thiết bị điều khiển truy cập Các thiết bị chứa liệu quan trọng kết nối vào mạng cần Tuy nhiên mạng không dây có mức bảo mật giống mạng hữu tuyến, đó, mạng không dây phụ thuộc vào phương thức chứng thực bổ sung để đảm bảo người truy cập vào mạng phép truy cập tới liệu mạng Chuẩn IEEE 802.11 định nghĩa hai loại dịch vụ để mang lại tính bảo mật tương tự mạng LAN hữu tuyến: Chứng thực (Authentication) Riêng tư (Privacy) Trong đó, Chứng thực dùng để thay kết nối hữu vật lý môi trường truyền dẫn hữu tuyến Riêng tư dùng để cung cấp khía cạnh bảo mật môi trường mạng hữu tun IEEE 802.11 cho phÐp ®iỊu khiĨn truy cËp LAN dịch vụ chứng thực Dịch vụ tất STA dùng để thiết lập nhận dạng chúng với STA mà chúng muốn trao đổi thông tin Dịch vụ áp dụng cho mạng ESS mạng IBSS Nếu hai STA không chứng thực thành công liên kết không thiết lập Chuẩn cung cấp chứng thực mức liên kết (link-level) STA với Nó không cung cấp chứng thực đầu cuối đầu cuối, người dung-người dùng Chứng thực lớp hoàn toàn độc 35 lập với chế chứng thực thực lớp mô hình phân lớp OSI IEEE 802.11 định nghÜa hai dÞch vơ chøng thùc: Chøng thùc hƯ thèng mở (Open system) Khóa mà chia sẻ (Shared Key) Chứng thực hệ thống mở cách chứng thực đơn giản Đây hình thức chứng thực qua việc xác định xác SSID Bất kỳ STA SSID hợp lệ không truy nhập tới ESS Đây chế chứng thực mặc định Còn chứng thực Khóa mà chia sẻ kiểu chứng thực cho phép kiểm tra xem khách hàng không dây chứng thực có biết bí mật chung không Tuy nhiên, hình thức chứng thực qua Khoá chia sẻ nói chung không an toàn không khuyến nghị sử dụng Với hình thức chứng thực Khãa m· chia sỴ, IEEE 802.11 cung cÊp tïy chän WEP Một STA chứng thực nhiều STA khác thời điểm Hủy chứng thực Hđy chøng thùc sÏ kÕt thóc mét mèi liªn hƯ đà chứng thực Vì chứng thực việc cần phải làm trước việc sử dụng mạng chấp thn, viƯc hđy chøng thùc cịng ®ång thêi kÕt thóc tất liên kết thời AP STA Hủy chứng thực bắt đầu AP STA Khi AP gửi thông báo hủy chứng thực tới STA liên kết STA với AP bị hủy Riêng tư (Privacy) Trong mạng LAN hữu tuyến, việc kiểm soát chặt chẽ lớp vật lý góp phần ngăn cản đáng kể công bất hợp pháp từ bên tới liệu riêng tư mạng Những kẻ công phải truy cập cách vật lý vào môi trường mạng trước xem trộm lưu lượng mạng Từ góc độ thiết kế, việc truy cập vật lý vào mạng không dây đơn giản nhiều, cần có anten phương pháp điều chế phù hợp Để có tính riêng tư 36 mạng LAN hữu tuyến, 802.11 cung cấp dịch vơ riªng t tïy chän víi tªn gäi WEP (Wired Equivalent Privacy), chế bảo mật tuyệt đối an toàn- thực tế đà cho thấy không khó khăn để phá WEP Mục đích đưa WEP để có tính riêng tư tương tự mạng hữu tuyến cách mà hóa khung chúng truyền giao diện vô tuyến 802.11 WEP đơn giản ngăn cản người dùng lạ xuất mạng Phân phát MSDU Người ta sử dụng mạng khả đưa liệu tới thiết bị nhận phù hợp Các STA cung cấp dịch vụ phân phát MSDU (MAC Service Data Unit Đơn vị liệu dịch vụ MAC) để đẩy liệu tới thiết bị nhận thích hợp 1.2.1.1 Các dịch vụ trạm (station services) Các dịch vụ trạm phần tất trạm tương thích chuẩn 802.11 Chúng cung cấp trạm di động giao diện không dây AP Các trạm cung cấp dịch vụ phát khung (và nhờ phát tin), để hỗ trợ cho công việc này, trạm cần dùng dịch vụ chứng thực để thiết lập kết nối Các trạm muốn dùng dịch vụ Riêng tư để bảo vệ tin chúng truyền qua môi trường vô tuyến 1.2.1.2 Các dịch vụ hệ thống phân phối (DS services) Các dịch vụ DS kết nối AP tới DS Vai trò AP mở rộng dịch vụ mạng hữu tuyến sang mạng vô tuyến Việc thực cách cung cấp dịch vụ phân phát tích hợp cho phía mạng vô tuyến Việc quản lý liên kết trạm di động vai trò khác DS Để trì thông tin vị trí trạm liệu liên kết, DS cung cấp dịch vụ Liên kết, Tái liên kết Hủy liên kết 37 Tên dịch vụ Phân phát (Distribution) Tích hợp (Integration) Dịch vụ trạm hay Mô tả ý nghĩa Dịch vụ phân phát Dịch vụ dùng để phát khung Dịch vụ phân phát tin để xác định địa đích mạng sở Dịch vụ phân phát Phân phát khung tới LAN 802 bên mạng vô tuyến Dịch vụ để thiết lập mối liên hệ Liên kết (Association) Dịch vụ phân phát AP (hoạt động gateway) với máy trạm di động cụ thể Dịch vụ để thay đổi mối liên hệ Tái liên kết (Reassociation) Dịch vụ phân phát AP (hoạt động gateway) với máy trạm di động cụ thể Hđy liªn kÕt (Deassociation) Chøng thùc (Authentication) Hđy chøng thùc (Deauthentication) Dịch vụ phân phát Dịch vụ trạm Dịch vụ trạm Riêng tư (Privacy) Dịch vụ trạm Phân phát MSDU Dịch vụ trạm Loại bỏ trạm không dây khỏi mạng Thiết lập nhận dạng (ID) trước thiết lập liên kết Dùng để kết thúc việc chứng thực Bảo vệ chống lại việc xem trộm liệu Đưa liệu tới máy nhận 38 1.2.2 Hỗ trợ di động Di động động lực để triển khai mạng 802.11 Các trạm di chuyển kết nối tới mạng truyền khung ®ang di chun TÝnh di ®éng cã thĨ dïng ba cách chuyển giao sau: Không chuyển giao (No transitiion) Khi mét tr¹m chØ di chun khu vực phục vụ AP mà trạm có liên kết tới chuyển giao tiến hành Chuyển giao BSS (BSS transitiion) Các trạm liên tục giám sát chất lượng độ lớn tín hiệu đến từ tất AP phạm vi ESS mà trạm ë Trong pham vi ®ã, 802.11 cung cÊp tÝnh di động lớp MAC Các trạm gắn với DS gửi khung tới địa MAC trạm khác ESS AP làm nốt phần việc lại đưa khung tới trạm đích Hình mô chuyển giao BSS Cả ba AP hình thuộc ESS Ban đầu, gọi thời điểm t=1, laptop cã card 802.11 vÉn ë BSA cđa AP1 vµ cã liªn kÕt víi AP1 Khi laptop di chun BSA AP1 bắt đầu vào BSA AP2 thời điểm t=2, phép chuyển giao BSS xảy Trạm di động sử dụng dịch vụ tái liên kết để kết nối tới AP2, sau AP2 gửi khung tới trạm di động Hình 1-12: Chuyển giao BSS 39 Việc chuyển giao BSS yêu cầu phải có học hỏi lẫn AP Trong ví dụ này, AP2 phải thông báo với AP1 trạm di động liên kết với AP2 Chuẩn IEEE 802.11 không định rõ loại thông tin trao đổi AP trình chuyển giao BSS, đó, tính di động AP thuộc nhà sản xuất khác không đảm bảo Chuyển giao ESS (ESS transitiion) Chuyển giao ESS hiểu di chuyển từ ESS tới ESS thứ hai 802.11 không hoàn toàn hỗ trợ kiểu chuyển giao này, nhiên cho phép trạm phép liên kết với AP cđa ESS thø hai mét nã tíi BSA cđa AP Lý 802.11 hỗ trợ kiểu chuyển giao tính chất dễ dàng việc trạm di động cố gắng thiết lập liên kết với AP mạng ESS Hình mô chuyển giao ESS Bốn BSA chia thành hai ESS Việc chuyển giao liên tục từ ESS bên trái sang ESS bên phải không hỗ trợ Các chuyển giao ESS hỗ trợ STA nhanh chóng liên kết với AP gặp ESS thứ hai Bất kỳ kết nối mạng sử dụng bị rớt trạm rời ESS Hình 1-13: Chuyển giao ESS 40 CHƯƠNG LớP VậT Lý IEEE 802.11 2.1 KiÕn tróc líp vËt lý Líp vật lý 802.11 chia làm hai lớp con: PLCP (Physical Layer Convergence Procedure) vµ PMD (Physical Medium Dependent) PLCP nằm MAN truyền dẫn vật lý thực PLCP có nhiệm vụ thêm phần mào đầu (header) cho khung MAN đưa xuống, chủ yếu phần Preamble (với tất khung) có tác dụng lấy đồng với luồng đầu vào PMD có trách nhiệm truyền bit vào môi trường không gian thông qua anten Lớp vật lý có chức CCA (Clear Channel Assessment) để thông báo với MAC phát có tín hiệu Hình 2-1: Phân lóp 802.11 2.2 Liên kết vô tuyến Năm 1997, thời điểm IEEE 802.11 chÝnh thøc m¾t, cã líp vËt lý đà chuẩn hóa dùng cho 802.11: ã Trải phổ nhảy tần (FHSS Frequency Hopping Spread Spectrum) ã Tr¶i phỉ dÉy trùc tiÕp (DSSS – Direct Sequence Spread Spectrum) ã Hồng ngoại (IR Infrared light) Đến năm 1999, có thêm hai chuẩn lớp vật lý chuẩn hóa: ã Ghép kênh phân chia tần số trực giao (OFDM – Orthogonal Frequency Division Multiplexing), dïng cho chuÈn 802.11a ã Trải phổ dÃy trực tiếp tốc độ cao (HR/DS hay HR/DSSS – High Rate DSSS), dïng cho chuÈn 802.11b 2.2.1 Vấn đề cấp phép (Licence) tần số 41 Hoa Kỳ, có băng tần định nghĩa chưa cấp phép, chúng biết với tên gọi băng tần ISM (Industrial, Scientific, Medical) Các băng tần ISM cụ thể sau: ã 900 MHz (902 – 928 MHz) • 2.4 GHz (2.4 – 2.4835 GHz) IEEE 802.11 ã GHz (5.15 5.35 5.725 5.825 GHz) IEEE 802.11a, băng có tên gọi băng UNII Mỗi tần số có đặc tính riêng Các tần số thấp có cự ly thông tin xa (do suy hao thấp hơn) bị hạn chế băng thông, hạn chế tốc độ Còn tần số cao có cự ly thông tin ngắn (do suy hao tần số cao lớn) lại có ưu băng thông ®ã tèc ®é trun sÏ cao 2.2.2 Tr¶i phỉ (Spread Spectrum) Công nghệ trải phổ dùng để giúp truyền liệu băng tần ISM Công nghệ thông tin vô tuyến băng hẹp truyền thống cố gắng truyền nhiều tín hiệu tốt vào băng Còn kỹ thuật trải phổ vận hành dựa hàm tóan học để phân tán công suất tín hiệu lên dải tần số rộng Tại phía thu, tín hiệu đà trải lúc trước khôi phục lại có dạng giống tín hiệu băng hẹp, điều quan trọng nhiễu băng hẹp bị lọc khỏi tín hiệu khôi phục Khi tín hiệu cần truyền trải băng tần rộng thu tín hiệu băng hẹp trông giống nhiễu Một vài nhà sản xuất thiết bị trải phổ cho việc trải phổ đà góp phần làm tăng tính bảo mật thu tín hiệu băng hẹp lấy thông tin băng gốc Nhưng thu trải phổ đà chuẩn hóa sử dụng, nguy bị trộm thông tin tăng lên Do đó, phép đo bảo mật trở thành vấn ®Ị cùc kú quan träng bÊt kú m«i trêng truyền dẫn 42 Tuy nhiên, thiết bị trải phổ nhiễu với hệ thống thông tin khác nhiễu lẫn Ngoài ra, thiết bị vô tuyến băng hẹp truyền thống gây nhiễu lên thiết bị trải phổ Mặc dù, so với kỹ thuật băng hẹp, việc trải phổ băng rộng đà giúp giải nhiều vấn đề nhiễu giao thoa sở áp dụng thêm công nghệ điều chế, vấn đề giao thoa không biến Khi có thêm nhiều thiết bị vô tuyến (có thể thiết bị trải phổ thiết bị khác) xuất phạm vi không gian mà mạng không dây bao phủ ta thấy mức nhiễu tăng lên, tỷ số SNR giảm xuống, cự ly thông tin tin cậy giảm xuống Để giảm tối đa nhiễu gioa thoa thiết bị hoạt động băng tần chưa cấp phép, FCC (Federal Communications Commission) đà hạn chế mức công suất phát thiết bị truyền dẫn dùng kỹ thuật trải phổ Giới hạn hợp pháp 1W với công suất đầu phát W với công suất xạ hiệu dụng (Effective Radiated Power ERP) W ERP tương đương với 1W hệ thống anten có độ lợi dB, 500mW hệ thống anten có độ lợi 9dB (ở đây, cần lưu ý rằng: hệ thống anten thêng gåm anten vµ fider Fider thêng cã suy hao, đó, anten có độ lợi 7.5 dB, suy hao fider 1.5 dB, độ lợi hệ thống anten dB Do đó, nên đặt khuếch đại gần anten tốt) 2.2.3 Các kỹ thuật trải phổ Khi tài nguyên vô tuyến ngày trở nên cạn kiệt, người ta bắt đầu phải áp dụng kỹ thuật trải phổ nhằm nâng cao hiệu sử dụng tần số Có hai kỹ thuật trải phổ thông dụng FHSS DSSS Băng thông cho STA không dải hẹp mà toàn băng tần số, việc xác định STA thông qua mà code STA - mà giả ngẫu nhiên (PN sequence) 43 Lớp vật lý dựa tần số vô tuyến 802.11 sử dụng kỹ thuật trải phổ khác nhau: 2.2.3.1 Trải phổ nhảy tần (Frequency Hopping FH/FHSS) Việc nhảy tần phụ thuộc vào tốc độ thay đổi tần số truyền dẫn theo thứ tự giả ngẫu nhiên, đà biết trước Cả tần số thời gian chia thành khe Hình ví dụ nhảy tần số khe tần {2, 8, 4, 7} Vấn đề định thời cho xác cốt lõi kỹ thuật nhảy tần đây, phát thu phải liên tục đồng với để bên thu biết tần số thời bên phát Hình 2-2: Trải phổ nhảy tần (1) Điểm khác biệt nhảy tần FH kỹ thuật FDMA là: FDMA, thiết bị cấp tần số cố định suốt thời gian thông tin, thiết bị chia sẻ phổ tần cách thiết bị làm việc tần số riêng Còn FH, tần số thay đổi theo thời gian, tần số sử dụng khoảng thời gian nhỏ, có tên dwell time (tạm dịch là: thời gian dừng lại tần số đó) Nếu hai hệ thống nhảy tần cần chia sẻ băng tần, chúng cấu hình để có thứ tự nhảy khác nhau, ®ã, tr¸nh viƯc giao thoa lÉn Trong tõng khe thời gian, hệ thống phải khe tần số khác Hình ví dụ việc không bị chồng lấn hai hệ thống nhảy tần 44 băng tần.Các khe tần hệ thống {2, 8, 4, 7} Các khe tần hệ thống {6,3, 7, 2} Khi đó, ta gọi hai hệ thống nhảy tần trực giao (orthogonal) Hình 2-3: Trải phổ nhảy tần (2) Chuẩn 802.11 chia băng ISM thành lọat kênh 1MHz Tới 99% lượng vô tuyến nằm kênh Các kênh định nghĩa tần số trung tâm kênh, 2.400 GHz cho kênh Các kênh sau cộng thêm 1MHz: kênh có tần số trung tâm 2.401 GHz, kênh 2.402 GHz, kênh 95 2.495 GHz Thời gian dwell time FH dïng cho 802.11 lµ 390ms Khi nhảy hai kênh liên tiếp thi yêu cầu thời gian nhảy phải không lớn 224 ms Kỹ thuật FH cho tốc độ liệu khoảng Mbps 2.2.3.2 Tr¶i phỉ d·y trùc tiÕp DSSS (Direct Sequence Spread Strectrum) DSSS cịng thùc hiƯn viƯc tr¶i phỉ tÝn hiệu theo kỹ thuật hoàn toàn khác Băng thông tín hiệu thay truyền băng hẹp (narrow band) truyền thông vi ba, truyền khoảng tần số lớn kỹ thuật mà hóa giả ngẫu nhiên (Pseudo-Noise sequence) 45 Tín hiệu băng hẹp tín hiệu trải phổ phát với công suất dạng thông tin mật độ phổ công suất (power density) tín hiệu trải phổ lớn nhiều so với tín hiệu băng hẹp Tín hiệu liệu kết hợp với chuỗi mà giả ngẫu nhiễn trình mà hóa cho tín hiệu với băng thông mở rộng nhiều so với tín hiệu ban đầu với mức công suất lại thấp Hình 2-4: Trải phổ dÃy trực tiếp (DSSS) Môt ưu điểm mạnh DSSS khả chống nhiễu cao Sau trải phổ, tín hiệu bên phát chí thấp mức nhiễu Đến đầu thu, sau thuật tóan (ngược với trình trải mÃi bên phát) thu tín hiệu gốc với biên độ lớn nhiều so với tín hiệu nhiễu DSSS 802.11 có 14 kênh, kênh 5MHz Kªnh ë 2.412 GHz, kªnh hai ë 2.417 GHz., kênh 14 2.484 GHz So sánh FHSS DSSS FH trình xử lý độ lợi tín hiệu không trải phổ Vì phải dùng nhiều công xuất để trun tÝn hiƯu víi cïng møc S/N so víi tÝn hiệu DS Tuy nhiên ISM band theo quy định có mức giới hạn công xuất phát, FH đạt S/N giống DS Bên cạnh việc dùng FH khó khăn việc đồng máy phát thu thời gian tần số yêu cầu cần phải đồng Trong DS cần đồng thời gian chip Chính FH phải nhiều thời gian để tìm tín hiệu hơn, làm tăng độ trễ việc truyền liệu so víi DS Nh vËy chóng ta cã thĨ thÊy DSSS kỹ thuật trải phổ có nhiều đặc điểm ưu việt hẳn FHSS Theo chuẩn 802.11b, sử dụng 14 kênh DS (Direct Sequence) dải tần số 2,402GHz 2,483GHz, kênh truyền rộng 22MHz, 46 kênh cách 5MHz, kênh cạnh gây giao thoa lẫn nhau, khu vực người ta bố chí kênh truyền cho miền tần số chúng không trồng lên nhau, hệ thống 14 kênh DS có kênh đảm bảo không chồng lấn, ví dụ hình sau kênh 1, 6, 11 sử dụng để phát khu vực mà không gây nhiễu giao thoa cho nhau: Hình 2-5 : Bố trí số kênh Khả sử dụng lại tần số phương pháp DSSS Như vùng đơn tốc độ bit vận chuyển đến lên tới: 11Mbps x = 33Mbps, thay v× 11Mbps nh có kênh truyền sử dụng khu vực 2.2.3.3 Đa truy cập Phân chia theo tần sè trùc giao (OFDM) Kü thuËt OFDM sÏ chia nhá kênh thành kênh con, mà hóa phần liệu qua kênh Công nghệ xem tương đương DMT (Discrete Multi Tone) Do đề tài lần tập trung vào chuẩn 802.11b nên không đề cập chi tiết OFDM 47 CHƯƠNG 802.11 MAC Và CấU TRúC KHUNG 802.11 Lớp PHY định nghĩa băng tần, tốc độ liệu, chi tiết khác liên quan tới truyền dẫn vô tuyến Phía lớp PHY lớp MAC có nhiệm vụ điều khiển việc truy cập tới băng tần vô tuyến chia sẻ để cho truyền dẫn trạm không gây nhiễu lẫn với Líp MAC chia lµm hai líp con: líp thấp gọi DCF (Distributed Coordination Function chức phối hợp phân tán) lớp cao gọi PCF (Point Coordination Function chức phèi hỵp tËp trung) Líp DCF sư dơng tht toán tranh chấp kiểu Ethernet phép truy cập tới tất lưu lượng Thông thường, lưu lượng không đồng (ví dụ: ứng dụng liƯu nh mail, trun file,…) sÏ sư dơng c¸ch phèi hợp Lớp PCF sử dụng thuật toán MAC tập trung trạm truy cập cách Loại lưu lượng có mức ưu tiên cao loại lưu lượng có yêu cầu mặt thời gian cao (ví dụ: ứng dụng thoại, video,) thường sử dụng chức phối hợp Cuối cùng, lớp điều khiển liên kết logic có vai trò cung cấp giao diện với lớp cao thực chức lớp liên kết điều khiển lỗi Chuẩn 802.11 không khác biệt lớn so với chuẩn 802 trước Chuẩn thực thích ứng hoàn toàn với vai trò chuyển đổi từ cấu trúc mạng kiểu Ethernet sang liên kết vô tuyến Tương tự Ethernet, 802.11 sử dụng chế đa truy cập cảm nhận sãng mang (Carrier Sense Multiple Access – CSMA) ®Ĩ ®iỊu khiển truy cập tới môi trường truyền dẫn Tuy nhiên, xung đột Ethernet gây lÃng phí băng thông truyền dẫn cách đáng kể, đó, thay dùng cách Phát xung đột (Collision Detection CSMA/CD) Ethernet 802.11 sử dụng cách loại bỏ xung đột (Collision Avoidance CSMA/CA) 48 Hình 3-1: Sơ đồ phân lớp giao thức 802.11 3.1 Các thách thức với lớp MAC Chính khác biệt môi trường truyền hữu tuyến vô tuyến đà đặt thách thức nhà thiết kế giao thức mạng Sau số thách thức lớn mà nhà thiết kế IEEE 802.11 đà gặp phải 3.1.1 Chất lượng liên kết Vô tuyến (Radio Link Quality) Với mạng hữu tuyến, khung truyền người ta giả thiết khung đến đích Nhưng với liên kết vô tuyến khác, đặc biệt băng tần sử dụng lại băng tần ISM không cấp phép (unlicensed) Các nhà thiết kế 802.11 đà xem xét nhiều cách để hệ thống mạng làm việc môi trường xạ loại sóng sóng vi ba nguồn RF khác vấn đề fading Không giống giao thức lớp liên kết khác, 802.11 sử dụng phương pháp trả lời tích cực Tất khung gửi phải nhận trả lời từ phía nhận, hình 3-2 Thời gian truyền khung xác nhận nhận trả lời từ bên nhận Nếu không nhận trả lời coi khung đà bị Với phương pháp này, trạm không bị ngắt trạm khác cố gắng sử dụng môi trường truyền dẫn 49 Hình 3-2: Trả lời tích cực truyền liệu 3.1.2 Vấn đề ẩn nút (Hidden node) Trong mạng Ethernet hữu tuyến, máy trạm dựa vào tín hiệu điện đường dây để thực chức cảm nhận sãng mang CSMA/CD tríc nã trun tÝn hiƯu vµo đường dây Cách thức thực nghe thấy đường truyền bị chiếm, trạm tính toán khoảng thời gian trễ lặp lại ngẫu nhiên Và trạm truyền tin thấy đường truyền rỗi Đây lý mà mạng xảy xung đột nhiều khả hai nút mạng truyền lúc Trên mạng lớn, thời gian truyền từ đầu cáp nầy đến đầu đủ để trạm truy cập đến cáp có trạm khác vừa truy cập đến Va chạm xảy ra, hai thiết bị ngưng truyền, chờ khoảng thời gian ngẫu nhiên, sau truyền lại Đây kỹ thuật dùng để truy cập mạng Ethernet IEEE 802.3 Phương pháp xử lý va chạm xảy ra, bus bận, va chạm xảy thường xuyên hiệu suất giảm đáng kể Người ta ước tính lượng giao thông mạng phải nhỏ 40% dung lượng bus để vận hành hiệu Nếu khoảng cách dài, thời gian chậm trễ dẫn đến va chạm Trong mạng hữu tuyến, tín hiệu chạy dây tất nút nhận biết Trong đó, mạng không dây biên giới rõ ràng, nhiều lúc nút mạng thông tin với nút khác mạng hình 3-3 50 Hình 3-3: ẩn nút nút Trong hình, nút thông tin với nút nút 3, nhiều nút nút thông tin trực tiếp với (ví dụ: khoảng cách nút lớn cự ly thông tin sóng vô tuyến) Đối với nút nút ẩn (hidden) Theo cách truyền tin thông thường nút đồng thời gửi tin tới nút 2, làm cho nút không cảm nhận Hơn nữa, nút xung đột xung đột xảy nút Các xung đột ẩn nút gây khó phát mạng không dây nói chung thu phát mạng hoạt động chế độ bán song công (half-duplex); chúng không truyền nhận tin lúc Hình 3-4: ẩn nút A C + A nói chuyện với B + C cảm nhận kênh truyền + C không nghe thấy A thông tin với B A nằm vùng phủ sóng C + C định nói chuyện với B + Tại B xảy xung đột Còn có trường hợp liên quan đến cảm nhận kênh truyền chế truyền tin không dây, Hiện nút 51 Hình 3-5: Hiện nút D Tình là: + B nói chuyện với A + C mn nãi chun víi D + C cảm nhận kênh truyền thấy bận (vì B ë ph¹m vi phđ sãng cđa C) + C giữ im lặng (trong hoàn toàn nói chuyện với D) Để ngăn chặn xung đột, 802.11 cho phép trạm sử dụng tín hiệu RTS (Request To Send Yêu cầu gửi) CTS (Clear To Send Sẵn sàng để gửi) để làm đường truyền trước thực truyền Hình sau mô tả cách sử dụng tín hiệu Hình 3-6: Quy trình dọn dẹp đường truyền trước truyên với RTS/CTS hình trên, nút muốn gửi tin cho nút Nó khởi đầu trình gửi cách phát khung RTS Việc gửi khung có vài mục đích: (1) đăng ký giành quyền sử dụng liên kết vô tuyến; (2) nút khác 52 nhận khung chuyển sang trạng thái im lặng Khi nút nhận khung này, trả lời lại khung CTS Khung có tác dụng làm cho nút nhận (kể nút bên vùng phủ sóng trạm gửi tin (ví dụ: nút ẩn nút 1) im lặng Khi trình RTS/CTS hoàn thành, nút đà yên tâm gửi liệu tới nút mà lo lắng việc bị xung đột với nút bị ẩn Khi dùng thủ tục này, tất khung đà gửi phải nhận trả lêi tõ phÝa nhËn C¬ chÕ trun RTS/CTS cịng chiÕm lượng đáng kể băng thông truyền tạo thêm lưu lượng vào hệ thống trước liệu thực truyền Do đó, nên sử dụng chế hệ thống có dung lượng lớn nơi thường xuyên có tranh chấp lớn việc truyền dẫn Còn hệ thống dung lượng thấp không nên dùng Nhiều card LAN không dây cho phép đặt ngưỡng RTS, đó, khung lớn ngưỡng dùng RTS/CTS để gửi đi, khung nhỏ gửi mà không cần dùng RTS/CTS 3.2 Các chế độ truy cập MAC vấn đề định thời (Timing) Việc truy cập vào môi trường truyền dẫn không dây điều khiển chức phối hợp (coordination function) Cách truy cập CSMA/CA giống Ethernet cung cấp chức phối hợp phân tán (Distributed Coordination Function -DCF) Nếu yêu cầu dịch vụ không tranh chấp (contention-free service) dùng chức phối hợp tập trung (Point Coordination Function PDCF) Các chức phối hợp mô tả phần sau minh họa hình 3-7 o DCF: DCF së cđa c¬ chÕ truy cËp CSMA/CA chn T¬ng tù Ethernet, trước hết kiểm tra tính sẵn sàng liên kết trước truyền tin Để tránh xung đột, trạm sử dụng thuật toán định thời ngẫu nhiên quay trở lại kiểm tra đường truyền sau khung, quy tắc 53 phát quay trở lại đường truyền trước chiếm kênh truyền Trong mét sè trêng hỵp, DCF cã thĨ sư dơng kỹ thuật RTS/CTS (đà đề cập trên) để loại bỏ khả xung đột o PCF: Chức phối hợp tập trung cung cấp dịch vụ không tranh chấp Các trạm đặc biệt gọi phối hợp tập trung sử dụng để đảm bảo môi trường truyền dẫn có không bị tranh chấp Các phối hợp tập trung nằm AP, đó, PCF giới hạn mạng sở Để có ưu tiên cao dịch vụ dựa tranh chấp, PCF cho phép trạm truyền khung sau khoảng thời gian ngắn PCF chưa triển khai thị trường Hình 3-7: Các chức phối hợp MAC 3.2.1 Các chứng cảm nhận sóng mang véc tơ định vị mạng (NAV) Chức cảm nhận sóng mang sử dụng để xác định xem môi trường truyền dẫn có sẵn sàng để truyền liệu hay không Chuẩn 802.11 sử dụng hai phương pháp cảm nhận sóng mang: cảm nhận sóng mang kiểu vật lý, cảm nhận sóng mang ảo Nếu môi trường truyền bận thông tin báo lên lớp Cách cảm nhận sóng mang kiểu vật lý thực lớp vật lý phục thuộc vào loại tần số phương thức điều chế sử dụng Cách 54 tốn thiết bị dùng để cảm nhận sóng mang môi trường sóng vô tuyến đòi hỏi phải vận hành song công (thu/phát đồng thời) nên đắt Hơn nữa, nút xa cách không mang lại đủ thông tin trạm muốn truy cập mạng Cách cảm nhận sóng mang ảo thực Vector định vị mạng (NAV -Network Allocation Vector) Hầu hết khung 802.11 có trường Khoảng thời gian (Duration) dùng để trạm giành quyền kiểm soát môi trường vô tuyến khoảng thời gian xác định NAV chất định thời, trạm muốn chiếm đường truyền Các trạm khác nhận thông tin bắt đầu đếm ngược thời gian từ giá trị NAV đến Khi NAV khác chức cảm nhận sóng mang mạng bận Khi NAV = có nghĩa mạng đà trạng thái rỗi (idle) Nhờ có NAV mà hoạt động mạng không bị ngắt quÃng Hình sau ví dụ hoạt động mạng sử dụng NAV Hình 3-8: Dùng NAV để cảm nhận sóng mang ảo Để bảo đảm thông tin không bị ngắt quÃng, trạm phát thiết lập NAV cho RTS để trạm khác không chiếm truy cập môi trường lúc RTS gửi Tất trạm khác nghe thấy RTS hoÃn lại việc truy cập mạng cho ®Õn thêi gian NAV kÕt thóc C¸c khung RTS không thiết phải tất trạm mạng biết tới, thiết bị nhận, đặt NAV cho CTS với giá trị nhỏ 55 nhiều so với RTS Giá trị NAV có tác dụng ngăn trạm khác truy cập môi trường trước trình truyền tin kết thúc Sau NAV CTS kết thúc, môi trường bắt đầu sử dụng trạm khác sau khoảng thời gian DIFS (Distributed Interframe Space), lúc bắt đầu cửa sổ tranh chấp Việc sư dơng RTS/CTS sÏ rÊt hiƯu qu¶ khu vùc có mật độ truy cập cao, mạng chồng lần nhiều Khi đó, tất trạm dùng chung kênh (thậm chí chúng thuộc mạng khác nhau) sÏ nhËn NAV vµ ho·n viƯc truy cËp cđa chúng NAV kết thúc 3.2.2 Khoảng cách khung Giống mạng Ethernet hữu tuyến, khoảng cách khung đóng vai trò quan trọng việc phối hợp để truy cập môi trường truyền 802.11 áp dụng bốn khoảng cách khung khác nhau, ba số dùng để xác định việc truy cập môi trường Hình 3-9: Mối quan hệ khoảng cách khung Như đà biết từ trước, để tránh xung đột mạng 802.11, trạm hoÃn việc truy cập mạng mạng rỗi Việc sử dụng tới bốn khoảng cách khung khác có liên quan tới loại lưu lượng có mức độ ưu tiên khác Rõ ràng loại lưu lượng có mức ưu tiên cao đợi lâu truyền đi, chúng cần truyền mạng rỗi, trước loại liệu có mức độ ưu tiên thấp kịp truyền mạng Để giúp cho tính tương tác tốc độ liệu khác 56 truyền mạng, khoảng cách khung lượng thời gian xác định, độc lập với tốc độ truyền Short Interframe Space (SIFS): SIFS sử dụng cho việc truyền khung có thứ tự ưu tiên cao nhất, ví dụ khung RTS, CTS khung trả lời ACK Việc truyền tin có thứ tự ưu tiên cao bắt đầu sau SIFS kết thúc Khi môi trường truyền bận Do đó, khung truyền sau SIFS kết thúc có ưu tiên cao so với khung truyền sau khoảng thời gian dài PCF IFS (PIFS): PIFS, gọi khoảng thời gian khung ưu tiên, sử dụng PCF hoạt động không tranh chấp Trạm gửi khung thời gian PIFS kết thúc có ưu tiên cao liệu dựa tranh chấp DCF IFS (DIFS): DIFS khoảng thời gian rỗi nhỏ môi trường dịch vụ dựa xung đột Các trạm gửi tin môi trường rỗi sau khoảng thời gian dài DIFS Extended IFS (EIFS): EIFS không mô tả hình khoảng thời gian cố định Nó thường sử dụng có lỗi truyền dẫn xảy mạng Như ví dụ ta thấy, trước tiên, trạm muốn truy cập môi trường, phải đợi DIFS kết thúc Nhưng tất bước SIFS đảm nhận Với SIFS NAV trạm chiếm đường truyền Kể từ lúc nhận RTS, sau SIFS trạm thu gửi CTS Sau nhận CTS, trạm phát đợi SIFS gửi liệu Sau nhận khung liệu này, trạm thu đợi SIFS gửi ACK lại 57 phía phát Quá trình tiếp diễn hai bên gửi xong liệu Sau đó, trạm khác lại phải đợi DIFS trước gửi liệu 3.3 Khuông dạng khung Để vượt qua thách thức môi trường truyền dẫn vô tuyến tạo ra, lớp MAC 802.11 phải có điểm khác biệt riêng có so với lớp MAC mạng 802 khác Hình khuôn dạng khung tổng quát cho lớp MAC mạng 802.11 Hình 3-10: Khuôn dạng khung MAC Điểm dễ nhận thấy so với khuôn dạng khung cũ khuôn dạng khung MAC 802.11 có tới 04 trường địa Không phải tất khung dùng đủ bốn trường địa này, chúng tùy thuộc vào loại khung truyền MAC 802.11 trường Preamble Length/Type Thay vào đó, trường Preamble trở thành phần lớp vật lý Những chi tiết việc đóng vỏ liệu (như Length/Type) đưa vào phần mào đầu liệu mang khung 802.11 3.3.1 Trường điều khiển khung (Frame Control) Mỗi khung bắt đầu trường điều khiển khung (Frame Control) dài bytes Các thành phần trường mô tả hình dưới: Phiên giao thức (Protocol) Hai bit phiên MAC 802.11 sử dụng phần lại khung Hiện có phiên MAC 802.11, giá trị dùng Trong tương lai, IEEE nghiên cứu tiếp tục chuẩn hóa cho phiên MAC 802.11 khác trường thay đổi theo 58 Hình 3-11: Trường điều khiển khung Các trường Kiểu (Type) Kiểu phụ (SubType) Các trường Kiểu Kiểu phụ sử dụng để loại khung dùng Để đối phó với vấn đề nhiễu tính không tin cậy, lớp MAC 802.11 có nhiều chức quản lý Có thể kể chức RTS, CTS, ACK đà lấy ví dụ phần Các bit ToDS FromDS Bit ToDS set khung kiểu liệu gởi tới DS Nó gồm tất loại khung liệu gửi STA tới AP mà chúng có liên kết Bit ToDS set với loại khung khác Bit FromDS set khung kiểu liệu gửi từ DS, set tất loại khung khác Bảng sau giải thích ý nghĩa kết hợp hai Bit Bit More Fragements Khi gói lớp cao chia nhỏ nhiều phần lớp MAC với phân đoạn với tất đoạn (mà chưa phải đoạn cuối cùng), bit có giá trị Bit Retry Theo thời gian, khung phải truyền lại Với khung truyền lại bit set Bit có tác dụng giúp cho trạm thu loại bỏ khung bị trùng Bit Power Management (Bit quản lý lượng) 59 Bit quản lý lượng có tác dụng thông báo bên gửi khung chuyển sang chế độ tiết kiệm lượng sau hoàn tất phiên truyền tin thời Bit có nghĩa trạm chuyển sang trạng thái tiết kiệm lượng, bit = trạm kích hoạt hoạt động chế độ thông thường Với AP đặc thù phải thực hàng loạt chức quản lý thông tin nên không phép trạng thái này, khung gửi từ AP để bit More Data bit Để phục vụ trạm chế độ tiết kiệm lượng, AP cần lưu trữ tạm khung từ DS cần phải gửi tới trạm nhớ AP AP đặt bit để thông báo khung nhớ đệm (các) khung cần gửi tới trạm ngủ WEP bit Do chất mạng không dây dễ bị nghe trộm thông tin mạng hữu tuyến mà IEEE 802.11 đà định nghĩa quy trình mà hóa tin tức, gọi WEP, để bảo vệ liệu chứng thực chúng Khi khung xử lý WEP bit set Order bit Các khung đoạn (fragment) hoàn toàn truyền theo thứ tự,.Khi yêu cầu phân phát khung phải theo thứ tự nghiêm ngặt bit có giá trị 3.3.2 Trêng Duration/ID Trêng nµy n»m sau trêng Frame Control Trường dài 16 bit có dạng h×nh 3-12 Duration: thiÕt lËp NAV Khi bit 15 b»ng trường Duration/ID dùng để đặt thời gian NAV Giá trị trường tương đương với tổng số giây mà hệ thống 60 phải trạng thái bận để trình truyền tin thời hoàn thành Tất trạm mạng phải đọc phần mào đầu khung mà chúng nhận cập nhật liên tục giá trị NAV Khi trạm truyền cần thêm thời gian để truyền xong tin đưa lượng thời gian tăng thêm vào trường cập nhật giá trị cho NAV, từ tiếp tục chiếm giữ môi trường truyền thêm khoảng thời gian 3.3.2.1 Các khung truyền thời gian tranh chấp mạng Trong thời gian tranh chấp mạng (Contention free period), bit 14 = bit 15 = Tất bit khác 0, giá trị trường Duration/ID 32,768 Giá trị hiểu NAV Nó giúp cho trạm không nhận tin dẫn đường Beacon thông báo thời gian không tranh chấp mạng cập nhật giá trị NAV với lượng phù hợp để tránh bị nhiễu với hoạt động truyền thông có tranh chấp Hình 3-12: Trường Duration / ID 3.3.2.2 Các khung PS-Poll Các bit 14 15 set khung PS-Poll Các trạm di động tiết kiệm lượng cách tắt ănten thu / phát Tuy nhiên, trạm cần phải định kỳ tỉnh giấc, để đảm bảo khung thông tin không bị mất, trạm phải truyền khung PS-Poll để nhận 61 thông tin dành cho trạm lưu tạm AP Trong khung có trường nhận dạng liên kết (Association ID AID) để báo cho AP biết thuộc BSS Giá trị AID nằm dải từ tới 2007 3.3.3 Các trường địa Khung 802.11 chứa tới trường địa chỉ, địa dài 48 bit Các trường địa đánh số trường khác dùng với mục đích khác tùy vào Kiểu khung Nguyên tắc chung là: Địa dành cho Bên thu (Receiver) Địa dành co Bên phát (Transmitter), Địa dùng cho tính lọc Bên thu Địa đích (Destinatin Address DA) Như Ethernet, địa đích địa MAC 48 bit tương ứng với trạm nhận cuối cùng, trạm nhận khung chuyển lên lớp cao để xử lý Địa nguồn (Source Address SA) Đây địa MAC 48 bit để nguồn phát khung Do có trạm phát khung nên bit Individual/Group set giá trị để trạm đơn Địa nhận (Receiver Address RA) Đây địa MAC 48 bit trạm vô tuyến xử lý khung Nếu trạm không dây RA DA trùng Nếu DA địa máy trạm mạng Ethernet (mà có kết nối tới AP) RA giao diện vô tuyến AP DA router gắn vào mạng Ethernet Địa truyền (Transmitter Address TA) Đây địa MAC 48 bit giao diện vô tuyến đà truyền khung vào môi trường truyền Địa dùng cầu nối không dây (Wireless Bridging) Số nhận dạng BSS (BSSID) 62 Để nhận dạng WLAN khác khu vực địa lý, trạm gán với BSS định Trong mạng sở, BSSID địa MAC sử dụng giao diện vô tuyến AP Trong mạng ad-hoc, mạng sinh BSSID ngẫu nhiên với bit Universal/Local set để tránh xung đột với địa MAC gán cách quy Số lượng trường địa sử dụng tùy thuộc vào loại khung Hầu hết khung liệu dùng ba trường địa là: SA, DA, BSSID Đó lý có trường địa xếp liên tiếp cấu tróc khung MAC 3.3.4 Trêng ®iỊu khiĨn thø tù (Sequence Control Field) Trường dài 16 bit dùng cho việc ghép khung đà chia nhỏ (defragmentation) loại bỏ khung trùng Trường chia làm hai phần: Số đoạn (Fragment Number) dài bit, Số thứ tự (Sequence Number) dài 12 bit Hình 3-13: Trường điều khiển thứ tự Các khung lớp cao cấp số thứ tự chúng chuyển qua MAC để truyền Trường nhỏ Sè thø tù häat ®éng nh mét bé ®Õm sè khung truyền (đếm tới 4096) Nó bắt đầu tăng thêm có gói lớp MAC điều khiển Nếu gói lớp chia nhỏ tất đoạn nhỏ có chung số thứ tự Khi khung cần phải truyền lại số thứ tự không đổi Các đoạn khác số đoạn Đoạn có số đoạn Với 63 đoạn gửi thành công số đoạn tăng thêm Các đoạn phải truyền lại giữ nguyên số thứ tự gốc để dễ dàng tái hợp lại 3.3.5 Trường thân khung (Frame Body) Phần thân khung, gọi trường liệu, có nhiệm vụ đưa liệu lớp cao từ trạm sang trạm khác 802.11 truyền khung với phần tải tối đa 2304 bytes liệu từ lớp (Khi có sử dụng WEP hệ thống phải hỗ trợ tải tối đa 2312 bytes có thêm phần mào đầu WEP) Phần mào đầu 802.2 LLC sử dụng bytes để hỗ trợ phần tải giao thức mạng tối đa 2296 bytes Việc chống chia nhỏ gói cần phải tiến hành líp giao thøc Trong m¹ng IP, Path MTU Discovery (RFC 1191) ngăn việc truyền khung với trường liệu lớn 1500 bytes 3.3.6 Chuỗi kiểm tra khung (Frame Check Sequence – FCS) Gièng nh víi Ethernet, khung 802.11 kết thúc với trường FCS FCS thường hiểu kiểm tra lỗi dư vòng (Cycle Redundancy Check CRC) tht to¸n nã ¸p dơng FCS cho phÐp c¸c trạm kiểm tra tính toàn vẹn khung nhận Tất trường phần đầu thân khung MAC đưa vào tính toán FCS Mặc dù 802.3 802.11 sử dụng phương pháp tính FCS phần đầu khung 802.11 khác so với khung 802.3 nên FCS phải tính toán lại AP Khi khung gửi tới giao diện vô tuyến, AP tính toán FCS trước gửi khung qua RF IR Phía nhận tính toán FCS theo khung nhận so sánh với FCS khung Nếu hai kết trùng nhiều khả khung đà không bị phá hủy truyền Trong mạng Ethernet, khung có FCS tồi bị loại bỏ, khung có FCS tốt chuyển lên lớp Trong mạng 802.11, khung qua phần kiểm tra tính toàn vẹn (kiểm tra FCS) yêu cầu phía nhận gửi 64 tin trả lời Ack Ví dụ, khung liệu nhận cần trả lời tin Ack chúng gửi lại Các trạm phải đợi thời gian chờ Ack kết thúc bắt đầu việc truyền lại 65 CHƯƠNG chứng thực wep 4.1 Cơ sở cho m· hãa WEP WEP (WIRED EQUIVALENT PRIVACY) sư dơng m· hãa RC4 (Rivest Cipher 4) nh mét nỊn t¶ng cèt lâi RC4 lµ mét kü thuËt m· hãa luång tin đối xứng (sử dụng khóa bảo mật) Nói chung kỹ thuật mà hóa sử dụng chuỗi bit, gọi chuỗi khóa Sau đó, chuỗi khóa kết hợp với tin cần truyền để sinh chuỗi ký tự mà hóa (ciphertext) Để khôi phục lại tin gốc, bên nhận phải xử lý chuỗi ký tự mà hóa nhận chuỗi khóa đà biết RC4 dùng thuật toán XOR để kết hợp Chuỗi khóa với chuỗi ký tự mà hóa Hình 4-1: Hoạt động mà hóa luồng tin Hầu hết bé m· hãa lng tin ®Ịu sư dơng mét khãa bảo mật tương đối ngắn sau mở rộng thành chuỗi khóa giả ngẫu nhiên có chiều dài chiều dài tin cần gửi Quá trình mô hình 66 H×nh 4-2: M· hãa lng cã sư dơng khãa Bộ phát số giả ngẫu nhiên (Pseudorandom Number Generator PRNG) tập hợp quy tắc dùng để mở rộng từ khóa bảo mật thành chuỗi bảo mật Để khôi phục lại liệu bên thu hai phía phải sử dụng chung khóa bảo mật dùng thuật toán để biến khóa bảo mật thành chuỗi bảo mật giả ngẫu nhiên Với phương pháp tính bảo mật mạng dùng chế mà hóa luồng hoàn toàn phụ thuộc vào tính ngẫu nhiên chuỗi khóa, đó, phần chuyển khóa bảo mật thành chuỗi khóa khâu quan trọng 4.2 Các hoạt động mà hóa WEP Nghe trộm thông tin vô tuyến đà trở thành vấn đề phải quan tâm sóng vô tuyến bắt đầu dùng để truyền thông tin nhạy cảm Do việc truyền dẫn thông tin vô tuyến thực môi trường không bảo mật, việc bị kẻ công nghe tín hiệu vô tuyến đà thực trở thành mối đe dọa Bảo mật thông tin có ba đối tượng phải quan tâm: + Tính bí mật (confidentiality): liệu bảo vệ để chống lại xâm nhập không hợp pháp từ bên + Tính toàn vẹn (Integrity): liệu không bị sửa đổi + Chứng thực (authentication): phần bắt buộc có tất chiến lược bảo mật mạng, phần tính tinh cậy liệu nằm phần 67 Cấp quyền Điều khiển truy cập tiến hành trước chứng thực Trước cho phép người dùng sử dụng tài nguyên mạng, hệ thống phải xác định xem người (chứng thực) việc truy cập họ có phép hay không (cấp phép) Tiêu chuẩn kỹ thuật 802.11 MAC đà đưa giao thức mà hóa với tên gọi WEP (Wired Equivalent Privacy Tính riêng tư tương đương với mạng LAN hữu tuyến) Mục đích WEP, tên gọi nó, làm cho việc truyền dẫn thông tin qua WLAN có độ bảo mật tương đương truyền tin mạng LAN hữu tuyến WEP đưa vào kiến trúc bảo mật mạng không dây hai thành phần quan trọng: Tính bí mật (confidentiality) chứng thực (authentication) Phần thân khung mà hóa để đảm bảo tính bí mật Quy trình kiểm tra tính toàn vẹn giúp bảo vệ liệu truyền phía nhận nhận thấy liệu đà không bị sửa đổi truyền 4.2.1 Xử lý liệu WEP Tính bí mật toàn vẹn tiến hành đồng thời Trước mà hóa, toàn phần thân khung cho qua thuật toán kiểm tra tính toàn vẹn, từ sinh ICV (Integrity Check Value) ICV bảo vệ nội dung cần truyền không bị can thiệp từ bên Cả ICV phần thân khung sau mà hóa, đó, ICV không bị kẻ công mạng nhìn thấy WEP sử dụng khóa bảo mật 40 bit Khóa sau kết hợp với vectơ khởi động (Initialization Vector IV) dài 24 bit để tạo khóa RC4 64 bit (24 bit đầu IV, 40 bit sau WEP) Thuật toán RC4 lấy 64 bit làm nguồn đầu vào, sinh một chuỗi khóa có chiều dài chiều dài thân khung cộng với IV Chuỗi khóa sau thực XOR với phần thân khung IV để mà hóa chúng Để phía thu giải mà được, IV đặt đầu khung 68 Hình 4-3: Hoạt động mà hóa WEP Chuẩn 802.11 định khóa mà dài 40 bit (và nhà sản xuất gọi theo nhiều tên khác nhau: 40-bit WEP, standard WEP, hc thËm chÝ 64bit WEP), nhiên, hầu hết nhà sản xuất thiết bị áp dụng khóa mà dài 104 bit để có tính bảo mật cao (và lúc có cách gäi 128-bit WEP mµ thùc chÊt lµ khãa WEP dµi 104 bit cộng với 28 bit IV) Microsoft XP hỗ trợ khóa 40 bit khóa 104 bit Phần thực nghiệm đề tài sử dụng khóa WEP 40 bit ViƯc m· hãa lng d÷ liƯu mang tới tin cẩn cho liệu truyền hai thiết bị WLAN Cơ chế mà hóa dùng WEP mà hóa đối xứng, điều có nghĩa khóa sử dụng để mà hóa liệu khóa dùng để giải mà liệu phải trùng Nếu hai thiết bị WLAN chung khóa mà hóa việc truyền liệu chóng sÏ thÊt b¹i 4.2.2 Sù më réng cđa khung cã sư dơng WEP Khi khung trun ®i cã sử dụng WEP phần thân khung mở rộng thêm bytes, bytes dành cho đầu IV thân khung, bytes khác phần đuôi ICV 69 Hình 4-4: Mở rộng khung WEP Phần đầu IV dùng bytes cho IV 24 bit, byte thứ tư dành cho phần đệm m· nhËn d¹ng khãa (Key ID) Do WEP cung cÊp không mà tới khóa mặc định (Default Key, gọi khóa đà ánh xạ Mapped Key) Khóa chia sẻ tất trạm SS Để hai trạm thông tin với với mức bảo mật cao chúng dùng loại khóa khác mà chia hai trạm có nhu cầu trao đổi thông tin với nhau, chúng hình thành Quan hệ chia sẻ khóa (key mapping relationship) Khi khóa mặc định sư dơng thi KeyID sÏ chØ ®iỊu ®ã (KeyID bốn giá trị: 00, 01, 10, 11) Nếu Quan hệ chia sẻ khóa sử dụng KeyID=0, bit đệm có giá trị b»ng Trêng kiĨm tra tÝnh toµn vĐn ICV lµ giá trị CRC 32 bit khung liệu, gắn vào phần thân khung bảo vệ RC4 4.2.3 Vấn đề phân phát khóa WEP Giống phương pháp mà hóa sử dụng khóa đối xứng, WEP phải phân phát khóa cho trạm nhận khung Tuy nhiên, 802.11 không đưa phương phát phân phát khóa mà cụ thể Khi máy trạm sử dụng WEP cố gắng thực xác thực liên kết tới điểm truy cập AP (Access Point) AP xác thực xem Máy trạm có chìa khóa có xác thực hay không Nếu có, có nghĩa Máy trạm phải có từ khóa phần chìa khóa WEP, chìa khóa WEP phải so khớp kết nối cuối WLAN Nhà quản trị mạng WLAN (Admin), phân phối WEP key tay phương pháp tiên tiến khác Hệ thống phân bố WEP key đơn giản thực khóa tĩnh (nhập khóa tay ví dụ 70 hình 4-5), tiên tiến sử dụng Server quản lí chìa khóa mà hóa tập trung Hệ thống WEP tiên tiến, ngăn chặn khả bị phá hoại, hack Hầu hết máy trạm AP đưa đồng thời WEP key, nhằm hỗ trợ cho việc phân đoạn mạng Ví dụ, hỗ trợ cho mạng có 100 trạm khách: đưa WEP key thay phân số người dùng làm nhóm riêng biệt, nhóm 25, WEP key bị mất, phải thay đổi 25 trạm đến hai AP thay toàn mạng Hình 4-5: Giao diện nhập chìa khóa WEP máy trạm Một lí cho việc dùng nhiều WEP key, Card tích hợp khóa 64 bit khóa 128 bit, dùng phương án tối ưu nhất, đồng thời hỗ trợ 128 bit làm việc với chìa khóa 64 bit 71 Hình 4-6: AP hỗ trợ sử dụng nhiều khóa WEP Theo chuẩn 802.11, chìa khóa Wep sử dụng chìa khóa Wep tĩnh Nếu chọn khóa Wep tĩnh phải tự gán khóa cho AP máy trạm liên kế với nó, khóa không thay đổi trình liên lạc Việc dẫn đến số vấn đề: - Các khóa xem an toàn trước hết chúng phải nhập cố định tay vào phần mềm điều khiển vi chương trình card WLAN - Khi khóa mà người dùng biết tới có nhân viên không làm việc công ty toàn khóa mà phải đổi lại Khi biÕt khãa WEP th× mét ngêi cã thĨ thiÕt lËp trạm 802.11 hoàn toàn giám sát giải mà lưu lượng mạng 72 WEP bảo vệ mạng trước người bên mạng (người đà có tay khóa mÃ) - Xét trường hợp người làm card WLAN họ, card có chứa chương trình sở để truy cập vào mạng WLAN đó, đó, có tay card truy cập vào mạng WLAN khóa tĩnh WLAN thay đổi - Với tổ chức lớn, với số lượng lớn người dùng cấp quyền truy cập khóa mà WEP phải phổ biến rộng rÃi cho tất gần tính bảo mật Có thể nói, WEP với khóa tĩnh phương pháp bảo mật đơn giản, bản, thích hợp cho mạng WLAN nhỏ, không phù hợp cho mạng WLAN lớn 4.3 Các vấn đề WEP Thuật toán RC4 không thực thích hợp cho WEP, không đủ để làm phương pháp bảo mật cho mạng 802.11 Cả hai loại 64 bit 128 bit có vector khởi tạo, Initialization Vector (IV), 24 bit Vector khởi tạo chuỗi số 0, sau tăng thêm sau gói dược gửi Với mạng hoạt động liên tục, khảo sát rằng, chuỗi mà bị tràn vòng nửa ngày, mà vector cần khởi động lại lần ngày, tức bit lại trở Khi WEP sử dụng, vector khởi tạo (IV) truyền mà không mà hóa với gói mà hóa Việc phải khởi động lại truyền không mà hóa nguyên nhân cho vài kiểu công sau: o Tấn công chủ ®éng ®Ĩ chÌn gãi tin míi: Mét tr¹m di ®éng không phép chèn gói tin vào mạng mà hiểu được, mà không cần giải mà o Tấn công chủ động để giải mà thông tin: Dựa vào đánh lừa điểm truy nhập 73 o Tấn công nhờ vào từ điển công xây dựng: Sau thu thập đủ thông tin, chìa khóa WEP co thể bị crack công cụ phần mềm miễn phí Khi WEP key bị crack, việc giải mà gói thời gian thực thùc hiƯn b»ng c¸ch nghe c¸c gãi Broadcast, sư dơng chìa khóa WEP o Tấn công bị động để giải mà thông tin: Sử dụng phân tích thống kê để giải mà liệu WEP 4.3.1 Lý WEP chọn dùng WEP không thực an toàn, lý để WEP sử dụng 802.11 Chuẩn 802.11 đưa tiêu chí công cụ bảo mật cho mạng 802.11, [1]: o Khá mạnh: Đối với WEP chiều dài khóa bí mật tần số thay đổi khóa mà định tính tin cậy WEP WEP cho phép thay đổi khóa bí mật tần sè thay ®ỉi IV o Tù ®ång bé (self-synchronizing): WEP tự thực đồng cho tin gửi o Hiệu quả: WEP thực phần mềm phần cứng o Có thể xuất được: người ta đà nỗ lực việc tìm kiếm ủng hộ phòng thương mại Hoa Kú viƯc cho phÐp xt khÈu ngoµi níc Mỹ sản phẩm có tích hợp WEP bên o Không bắt buộc: Việc dùng WEP tùy chän cđa IEEE 802.11 Ngêi ta thÊy r»ng WEP kh«ng phải giải pháp bảo mật đầy đủ cho WLAN, nhiên thiết bị không dây hỗ trợ khả dùng WEP, điều đặc biệt họ bổ sung biện pháp an toàn cho WEP Mỗi nhà sản xuất sử dụng WEP víi c¸c c¸ch kh¸c Nh chn Wi-fi cđa WECA chØ sư dơng tõ khãa WEP 40 bit, mét vài hÃng sản xuất lựa chọn cách tăng cường cho WEP, vài hÃng khác lại sử dụng chuẩn 802.1X với EAP VPN 74 4.3.2 Kỹ thuật bảo mật phương pháp lọc Lọc chế bảo mật mà có thĨ dïng bỉ sung cho WEP Läc theo nghÜa ®en chặn không mong muốn cho phép mong muốn Bộ lọc làm việc giống danh sách truy nhập định tuyến cách xác định tham số mà trạm phải gán vào để truy cập mạng Với WLAN việc xác định xem máy trạm phải cấu Có ba cách lọc thực WLAN: - Lọc SSID - Lọc địa MAC - Lọc giao thức 4.3.2.1 Lọc SSID Lọc SSID phương pháp lọc sơ đẳng, nên dùng cho hầu hết điều khiển truy nhập Số nhận dạng dịch vụ SSID (Service Set Identifier) thuật ngữ khác cho tên mạng SSID trạm WLAN phải khớp với SSID AP (chế độ sở) trạm khác (chế độ Ad-hoc) để chứng thực liên kết máy trạm để thiết lập dịch vụ SSID phát quảng bá tin dẫn đường mà AP máy trạm gửi nên dễ dàng tìm SSID mạng nhờ sử dụng phân tích mạng Nhiều AP có khả lấy SSID khung thông tin dẫn đường (beacon frame) Trong trường hợp máy trạm phải so khớp SSID để liên kết với AP Khi hệ thống cấu hình theo kiểu này, gọi hệ thống đóng, closed system Lọc SSID k hông đủ tin cậy việc hạn chế người sử dụng trái phép WLAN Có vài lỗi chung người sử dụng WLAN tạo thực SSID là: 75 o Sử dụng SSID mặc định: Sự thiết lập cách khác để đưa thông tin WLAN bạn Nó đủ đơn giản để sử dụng phân tích mạng để lấy địa MAC khởi nguồn từ AP, sau xem MAC bảng OUI IEEE, bảng liệt kê tiền tố địa MAC khác mà gán cho nhà sản xuất Cách tốt để khắc phục lỗi là: Luôn thay đổi SSID mặc định o Làm cho SSID có liên quan đến công ty: Loại thiết lập mạo hiểm bảo mật làm đơn giản hóa trình hacker tìm thấy vị trí vật lý công ty Khi tìm kiếm WLAN vùng địa lý đặc biệt việc tìm thấy vị trí vật lý công ty đà hoàn thành nửa công việc Khi người quản trị sử dụng SSID mà đặt tên liên quan đến tên công ty tổ chức, việc tìm thấy WLAN dễ dàng Do cần: luôn sử dụng SSID không liên quan đến Công ty o Sử dụng SSID phương tiện bảo mật mạng WLAN: SSID phải người dùng thay đổi việc thiết lập cấu hình để vào mạng Nó nên sử dụng phương tiện để phân đoạn mạng để bảo mật, cần: coi SSID tên mạng o Không cần thiết quảng bá SSID: Nếu AP có khả chuyển SSID từ thông tin dẫn đường thông tin phản hồi để kiểm tra khuyến nghị nên cấu hình chúng theo cách Cấu hình ngăn cản người nghe vô tình khỏi việc gây rối sử dụng WLAN 4.3.2.2 Lọc địa MAC WLAN lọc dựa vào địa MAC máy trạm Hầu hết tất AP có chức lọc MAC Người quản trị mạng biên tập, 76 phân phối bảo trì danh sách địa MAC phép lập trình chúng vào AP Nếu Card PC máy trạm khác với địa MAC mà không danh sách địa MAC AP, đến điểm truy nhập Hình 4-7: Lọc địa MAC Tất nhiên, lập trình địa MAC Máy trạm mạng WLAN vào AP mạng rộng không thực tế Bộ lọc MAC thực vài RADIUS Server thay điểm truy nhập Cách cấu hình làm cho lọc MAC giải pháp an toàn, có khả lựa chọn nhiều Xét ví dụ, người làm thuê bỏ việc mang theo Card WLAN họ Card WLAN chứa chìa khóa WEP lọc MAC để họ quyền sử dụng Khi người quản trị loại bỏ địa MAC máy khách khỏi danh sách cho phép Mặc dù Lọc MAC trông phương pháp bảo mật tốt, chúng dễ bị ảnh hưởng thâm nhập sau: - Sự ăn trộm Card PC cã mét bé läc MAC cña AP - Việc thăm dò WLAN sau giả mạo với địa MAC để thâm nhập vào mạng 77 Với mạng gia đình mạng văn phòng nhỏ, nơi mà có số lượng nhỏ trạm khách, việc dùng lọc MAC giải pháp bảo mật hiệu qủa Vì không hacker thông minh lại tốn hàng để truy nhập vào mạng có giá trị sử dụng thấp 4.3.2.3 Lọc giao thức Mạng WLAN lọc gói qua mạng dựa giao thức lớp 2-7 Trong nhiều trường hợp, nhà sản xuất làm lọc giao thức định hình độc lập cho đoạn mạng hữu tuyến vô tuyến AP Hình minh họa lọc giao thøc SMTP, POP3, HTTP, HTTPS, FTP H×nh 4-8: Läc giao thức 4.4 Cải tiến WEP Bảo mật lớp liên kết chuẩn 802.11 hoàn toàn dễ bị công Do đó, hệ thống cần phải áp dụng thêm chế bảo mật cấp cao điều khiển truy cập, mà hóa đầu cuối đầu cuối, bảo vệ mật khẩu, chứng thực, mạng riêng ảo tường lửa coi WEP lớp bảo mật 4.4.1 Quản lý chìa khóa WEP 78 Thay sử dụng chìa khóa WEP tĩnh, mà dễ dàng bị phát hacker WLAN bảo mật việc thực chìa khóa phiên gói, sử dụng hệ thống phân phối chìa khóa tập trung Với mạng WLAN quy mô lớn sử dụng WEP phương pháp bảo mật bản, server quản lý chìa khóa mà hóa tập trung nên sử dụng lí sau: - Quản lí sinh chìa khóa tập trung - Quản lí việc phân bố chìa khóa cách tập trung - Thay đổi chìa khóa luân phiên - Giảm bớt công việc cho nhà quản lý Bình thường, sử dụng WEP, chìa khóa (được tạo người quản trị) thường nhập tay vào trạm AP Khi sử dụng server quản lý chìa khóa mà hóa tập trung, trình tự động trạm, AP server quản lý thực việc trao chìa khóa WEP Hình sau mô tả cách thiết lập hệ thống Hình 4-9: Cấu hình quản lý chìa khóa mà hóa tập trung Máy chủ quản lý chìa khóa mà hóa tập trung cho phép sinh chìa khóa gói, phiên, phương pháp khác, phụ thuộc vào thực nhà sản xuất 79 Khi phân phối chìa khóa WEP gói chìa khóa gán vào phần cuối kết nối cho gói gửi Trong đó, phân phối chìa khóa WEP phiên sử dụng chìa khóa cho phiên nút mạng Trong phân phối khóa động làm tăng số byte phần mào đầu khung giảm bớt lưu lượng, chúng làm cho việc công vào mạng thông qua đoạn mạng không dây trở nên khó khăn nhiều Tin tặc phải dự đoán chuỗi chìa khóa mà máy chủ phân phối chìa khóa dùng, điều khó Việc đầu tư máy chủ quản lý chìa khóa mà tập trung tốn đầu tư ban đầu, lâu dài lại đầu tư hợp lý ngăn ngừa phí tổn thiệt hại hacker gây (những tổn hại nhiều lúc giá trị lớn gấp nhiều lần so với chi phí triển khai máy chủ nói trên) 4.4.2 Wireless VPNs Những nhà sản xuất WLAN ngày tăng chương trình phục vụ mạng riêng ảo, VPN, c¸c AP, Gateway, cho phÐp dïng kü thuËt VPN ®Ĩ b¶o mËt cho kÕt nèi WLAN Khi VPN server xây dựng vào AP, máy trạm sử dụng phần mềm VPN, sử dụng giao thức PPTP IPsec để hình thành đường hầm trực tiếp tới AP Trước tiên máy trạm liên kết tới điểm truy nhập, sau quay số kết nối VPN, yêu cầu thực để máy trạm qua AP Tất lưu lượng qua thông qua đường hầm, mà hóa để thêm lớp an toàn Hình sau mô tả cấu hình mạng vậy: 80 Hình 4-10: Wireless VPN 4.4.3 Temporal Key Integrity Protocol (TKIP) TKIP thùc chÊt lµ mét cải tiến WEP mà giữ vấn đề bảo mật đà biết WEP với kỹ thuật mà hóa RC4 So với WEP, TKIP đà bổ sung thêm phần IV mở rộng, phần MIC nên đà chống lại việc nghe thụ động gói cách hiệu Bên cạnh đó, TKIP cung cấp kiểm tra tính toàn vẹn thông báo để giúp xác định liệu có phải người sử dụng không hợp pháp đà sửa đổi gói tin cách chèn vào lưu lượng để phá chìa khóa TKIP rõ quy tắc sử dụng vector khởi tạo, thủ tục tạo lại chìa khóa dựa 802.1x, trộn chìa khóa gói mà toàn vẹn thông báo TKIP thực thông qua việc nâng cấp vi chương trình cho AP bridge phần mềm vi chương trình nâng cấp cho thiết bị máy trạm không dây Hiệu suất hệ thống giảm bù lại tính bảo mật tăng cường đáng kể, tạo cân hợp lý 4.4.4 802.1x giao thức chứng thực mở Như đà đề cập trên, vấn đề bảo mật WEP thách thức phương diện phân bố quản lý khóa mà hóa Chuẩn 802.1x đà giới thiệu để cung cấp chứng thực tập trung phân bố 81 khóa mà hóa động cho kiến trúc mạng 802.11 sư dơng chn 802.1x víi RADIUS 802.1x – lµ kÕt cộng tác hiệu nhà sản xuất phần mềm, máy chủ ngành công nghiệp máy tính chuẩn chứng thực cho mạng LAN dựa 802 sử dụng cách điều khiển truy cập mạng dựa cổng Nó sử dụng để trao đổi thông tin máy khách (máy trạm) điểm truy cập AP, RADIUS vận hành AP máy chủ chứng thực Những nhà sản suất hàng đầu làng CNTT thÕ giíi ®· ®Ị st sư dơng 802.1x ®Ĩ khắc phục nhược điểm WEP dễ bị công cách cung cấp điều khiển truy cập khãa m· hãa tíi bÊt kú cỉng Ethernet nµo (cho dù Hữu tuyến hay Vô tuyến) Chuẩn 802.1x trình bày chi tiết chương 82 CHƯƠNG BảO MậT 802.1X Cấu trúc bảo mật 802.11, bao gồm WEP chứng thực dựa WEP, không thiết kế để đáp ứng cho mạng công cộng, cỡ lớn Thiết kế khóa chia sẻ WEP yêu cầu nhà quản trị mạng phải xác thực nhiều người dùng với quy trình chøng thùc gièng víi mét bé AP mµ có 802.1x, chuẩn IEEE thông qua, giải vài vấn đề WEP tất 802.1x giao thức chứng thực dựa cổng mở rộng Nó thiết kế để ngăn chặn tin tặc công mạng 5.1 Thuật ngữ Hình sau mô tả kiến trúc mạng không dây 802.1x, bao gồm: yêu cầu truy cập (supplicant), hệ thống chứng thực (authenticator system) máy chủ chứng thực (authentication server) 802.1x yêu cầu phải có chứng thực cổng (port) Cổng điều khiển (được vẽ hình dưới) cổng không chứng thực liệu truyền qua cổng Hình 5-1: Mô hình 802.1x 83 Cổng (Port): cổng điểm liên kết đơn tới LAN Cổng cổng vËt lý hc cỉng logic (mét cỉng vËt lý cã thể có nhiều cổng logic khác nhau) Trong trường hợp 802.11, AP quản lý cổng logic Mỗi cổng logic trao đổi thông tin một-tới-một với cổng trạm di động Hình 5-2: Cổng điều khiển cổng không điều khiển Hình mô hệ thống chứng thực, hệ thống có điểm kết nối vật lý tới mạng LAN (còn gọi cổng vật lý), cổng kết nối tới hai cổng logic khác nhau: cổng điều khiển cổng không điều khiển Cổng không điều khiển cho phép trao đổi gói tin PDU hệ thống với hệ thống khác mà không cần biết tới trạng thái cổng phép hay không Trong đó, cổng điều khiển, việc trao đổi gói tin PDU hệ thống thực trạng thái cổng đà cho phép (authorized) Khi liệu tới cổng vật lý hoàn toàn chuyển qua cổng logic đó, tùy thuộc vào trạng thái cổng mà Thông thường, cổng tạo liên kết thông tin mét – tíi – mét tõ hƯ thèng nµy tíi hệ thống khác Nhưng hệ thống LAN ®Þa chØ cỉng MAC cung cÊp mèi quan hƯ nhiỊu 84 Authenticator (AU) Supplicant, đó, việc tạo phiên (session) riêng biệt để liên lạc hai hệ thống điều kiên tiên cho việc áp dụng chế điều khiển truy cập Trong 802.11 điển hình cho phiên STA AP Hệ thống chứng thực (authenticator system): Bộ chứng thực yêu cầu tiÕn hµnh chøng thùc tríc cho phÐp truy cËp tới dịch vụ thực thông qua cổng Bộ chứng thực có trách nhiệm trao đổi thông tin với yêu cầu truy cập chuyển thông tin nhận từ thiết bị muốn truy cập tới máy chủ chứng thực thích hợp Việc cho phép kiểm tra thông tin xác thực người dùng để từ làm xác định trạng thái chứng thực cổng Cần lưu ý chức chứng thực hoàn toàn độc lập với phương pháp chứng thực sử dụng Bộ làm việc trạm trung chuyển (pass-through) cho trình trao đổi thông tin chứng thực Bộ yêu cầu truy cập (supplicant): yêu cầu truy cập truy cập vào dịch vụ truy cập thông qua chứng thực Thiết bị có trách nhiệm phải trả lời yêu cầu chứng thực thông tin có liên quan đến thông tin xác thực (credential) cña nã EAP (Extensible Authentication Protocol): Giao thøc chøng thùc mở rộng phương pháp dẫn dắt phiên trao đổi thông tin chứng thực (authentication conservation) người dùng máy chủ chứng thực Các thiết bị trung gian AP, máy chủ proxy không tham gia vào phiên thông tin Vai trò chúng chuyển tiếp tin EAP bên tham gia vào trình chứng thực 802.1x xem EAP nh mét khung chøng thùc Chi tiÕt thêm EAP trình bày phần sau EAPOL (Enxtensible Authentication Protocol Over LAN) – giao thøc chøng thực mở rộng áp dụng cho mạng LAN: 802.1x định nghĩa 85 chuẩn cho việc đóng gói tin EAP để chúng điều khiển trực tiếp dịch vụ MAC mạng LAN Cách đóng gói tạo khung EAP với tên gọi EAPOL Ngoài việc mang tin EAP, EAPOL cung cấp chức bắt đầu, kết thúc, phân phối khóa mà RADIUS: RADIUS viết tắt cđa Remote Access Dial In User Service ( DÞch vơ ngêi dïng truy cËp tõ xa b»ng c¸ch quay sè): Đây phương pháp đà chuẩn hóa để cung cấp dịch vụ Chứng thực, Cấp phép TÝnh cíc (Authentication, Authorization, Accounting – AAA) cho mét m¹ng Mặc dù thông thường RADIUS hỗ trợ phạm vi 802.1x, nhiªn, ngêi ta vÉn mn nhiỊu bé chứng thực 802.1x hoạt động máy trạm (máy trạm) RADIUS 5.2 Kiến trúc 802.1x Giao thức điều khiển dựa cổng 802.1x có hiệu việc tạo hai điểm truy cập khác biệt tới phần liên kết với mạng LAN chứng thực Trong ®ã, mét ®iĨm truy cËp cho phÐp trao ®ỉi c¸c khung hệ thống hệ thống khác mạng LAN Thông thường, cổng không điều khiển cho phép tin chứng thực (các tin EAP) qua Còn cổng (cổng ®ỵc ®iỊu khiĨn) chØ cho phÐp trao ®ỉi khung nÕu cổng đà cấp phép 86 Hình 5-3: Hoạt động 802.1x Khi máy máy trạm không dây (Wireless Node WN) yêu cầu truy cập tới tài nguyên mạng LAN, AP yêu cầu WN cung cấp mà số nhận dạng (ID) Trong thời gian này, WN chứng thực xong , có gói EAP trao đổi WN AP Lúc này, cổng AP coi đóng WN gửi yêu cầu chứng thực thường gọi Supplicant, nói WN có chứa Supplicant Tương tự vậy, Bộ chứng thực AP mà AP chøa mét bé chøng thùc Bé chøng thùc còng không bắt buộc phải nằm AP, hoàn toàn cã thĨ n»m ngoµi AP Sau m· ID đà gửi đi, trình chứng thực bắt đầu Giao thức sử dụng Supplicant chứng thực EAPOL (EAP encapsulation Over LAN) Giao thức sử dụng Bộ chứng thực Máy chủ chứng thực AAA (các gói giao thức có khuôn dạng riêng, khác với EAPOL) Do đó, chứng thực có nhiệm vụ chuyển đổi qua lại khuôn dạng AAA khuôn dạng EAPOL gói tin cần trao đổi Supplicant AS Còn tin trao 87 đổi nội Bộ chứng thực AS không cần thiết phải chuyển đổi dạng khung Vai trò Bộ chứng thực chủ yếu chuyển tiếp khung Supplicant AS Khi trình chứng thực kết thúc, thành công AS gửi tin Success tới Supplicant cổng Bộ chứng thực mở cho Supplicant Còn trường hợp chứng thực không thành công tin Failure gửi tới Supplicant cổng đóng Sau trình lặp lại chøng thùc diƠn cho tíi thêi gian lỈp lại chứng thực kết thúc Nếu hết thời gian mà chứng thực chưa thành công cổng trạng thái đóng Sau chứng thực thành công, Supplicant đà truy cập vào tài nguyên mạng LAN Internet Hình 5-4: Kiến trúc 802.1x 5.3 802.1x mạng WLAN 802.11 áp dụng cấu trúc 802.1x vào kiến trúc mạng 802.11 ta có mạng không dây điều khiển với khả quản lý khóa mà động, chứng thực tập trung nhận dạng người dùng Cơ chế quản lý khóa mà động 802.1x đà khắc phục nhược điểm chế bảo mật WEP cách cung cấp khóa mà phiên công tác cho người dùng 88 802.1x không loại trừ yêu cầu WEP hay thuật toán mà hóa Nó đưa chế phân bổ thông tin khóa mà từ AP tới máy trạm (máy trạm) nhờ sử dụng tin EAPOL-Key Một trạm truy cập đà kết hợp với AP trao đổi tin EAP với máy chủ chứng thực để tiến hành chøng thùc cỉng mµ nã mn truy cËp Tríc cổng logic chứng thực có tin EAP qua cổng Các khung EAPOL-Key cho phÐp gưi c¸c khãa m· tõ AP tíi m¸y trạm ngược lại Thường có hai khóa WEP sử dụng cho trạm liên kết với AP: khóa để mà hóa lưu lượng từ AP tới máy trạm, khóa để mà hóa lưu lượng từ trạm truy cập lên AP Việc trao đổi khung chứa khóa mà tiến hành chứng thực thành công, điều giúp hạn chế tác động xấu lên thông tin khóa mà Các khung EAPOL-Key sử dụng để định kỳ cập nhật thay đổi khóa cách tự động Một vài điểm yếu WEP có nguyên nhân từ việc khóa mà dùng khoảng thời gian dài Nhiều chuyên gia bảo mật đà khuyến nghị nên thường xuyên thay đổi khóa mà cho WEP đà chưa có chế để thực việc ®ã cho ®Õn ®êi 802.1x Khãa m· cho phiên truy cập cấp cho người dùng phiên xác định Tuy nhiên, khóa mà chung (global key) sử dụng (các khóa mà WEP) khóa mà cho phiên truy cập máy chủ chứng thực gửi tới AP dïng ®Ĩ m· hãa khãa m· chung ®ã; nhê ®ã, cung cấp tính toàn vẹn chứng thực theo gói tin Gói EAPOW-key sử dụng cho khóa mà chung 89 Hình 5-5: 802.1x triển khai mạng 802.11 5.4 EAP- Giao thức chứng thức mở rộng Chuẩn 802.1x dựa EAP (Extensible Authentication Protocol), giao thức truyền dẫn thiết kế tối ưu hóa cho việc nhận thực không hoàn toàn phương pháp nhận thực EAP (được RFC3748) tảng chứng thực hỗ trợ nhiều phương pháp chứng thực khác EAP làm việc qua c¸c giao thøc ë líp Data link (vÝ dơ PPP) không đòi hỏi phải có IP Bản thân EAP hỗ trợ hạn chế việc trùng lặp khung thực chế truyền lại (retransmission) Nhưng giờ, EAP đà hỗ trợ tất loại lớp liên kết hỗ trợ nhiều chế bảo mật khác Hình sau cho thấy kiến trúc EAP 90 Hình 5-6: Kiến tróc EAP 5.4.1 CÊu tróc khung EAP H×nh 5-7: CÊu trúc gói EAP Trường mà (Code) Xác định loại gói EAP dùng để biên dịch phần liệu khung Trường ID (Identifier) Trường nhận dạng khung Cơ chế truyền lại tái sử dụng lại ID, nhng viƯc trun míi khung tin th× dïng ID míi Trường Chiều dài (Length) Xác định tổng số byte khung EAP ngầm định liệu dài Length bị loại Trường Dữ liệu (Data) Đây trường có chiều dài thay đổi Trường dài bytes khác 0, tùy vào loại khung 5.4.2 Các khung yêu cầu trả lời Quá trình trao đổi EAP tập hợp yêu cầu trả lời Bộ chứng thực gửi khung yêu cầu tới trạm muốn truy cập, sau dựa khung trả lời mà hệ thống định cho phép từ chối Cấu trúc khung yêu cầu từ chối hình 91 Hình 5-8: Các gói EAP Yêu cầu EAP Trả lời Trường Code có giá trị với Khung yêu cầu giá trị với Khung trả lời Điểm khác biệt so với khung EAP tổng quát trường Dữ liệu có phần: Type Type-Data Trường Type: Trường xác định khung Khung yêu cầu hay khung trả lời nói chung trường Type khung tr¶ lêi sÏ gièng víi trêng Type khung yêu cầu Trường Type-Data: Trường thay đổi nội dung theo kiểu khung mà liệt kê STT Tên Type Ghi Dùng ®Ĩ nhËn d¹ng ngêi dïng Néi dung trêng Identity Type-Data chứa chuỗi ký tự dùng để hỏi người dùng Thông báo từ chứng thực gửi tới ngêi dïng (vÝ Notification dơ: mËt khÈu ®· hÕt thời hạn) Khung trả lời đơn giản ACK Dùng để gợi ý phương pháp nhận thùc míi (New Authentication) Th«ng thêng, bé chøng NAK thực gửi chuỗi thử thách (challenge), với kiểu chứng thực (Authentication Type) (như kiểu liệt kê từ mục đến bảng này) 92 Nếu hƯ thèng ngêi dïng kh«ng chÊp nhËn kiĨu chøng thùc ban đầu sử dụng NAK để gợi với Bộ chứng thực kiểu chứng thực mà hỗ trợ (đây nội dung trường Type-data) Phương pháp yêu cầu Username/Password thương đương với giao thức PPP CHAP (RFC 1994) Phương pháp khả chống MD-5 challenge lại công kiểu xây dựng từ điển, không hỗ trợ chứng thực đối xứng tạo khóa (key drivation), sử dụng môi trường chứng thực không dây One-time password (OTP) Định nghĩa RFC 1938 Thực chất kiểu EAP sử dụng ngẫu nhiên Generic Token OTP Khung yêu cầu chứa thông tin GTC cần Card để chứng thực Khung tr¶ lêi sÏ mang GTC cđa ngêi dïng Gëi thông tin kết hợp Username/Password tới Máy Lightweight EAP (LEAP) chủ nhận thực (RADIUS) để chứng thực Đây phương pháp độc quyền Cisco Tuy nhiên tính bảo mật không cao Cisco muốn thay LEAP PEAP Với EAP-TLS máy trạm bên chủ động tiến hành xác thực AP, nhờ giúp đảm bảo TLS (Transport máy trạm trao đổi thông tin chứng thực Layer Security) vốn nhạy cảm với AP đáng tin cậy thay với AP giả kẻ công mạng ®ang mn thu thËp th«ng tin EAP-TLS cịng cho phÐp 93 trao đổi khóa mà phiên truy cập máy trạm AP Đây phương pháp chứng thực hai chiều EAP-TLS mô tả RFC 2716 Phương pháp thiết lập đường hầm ®· EAP-TTLS ®ỵc m· hãa TLS ( TLS Tunnel) để truyền liệu chứng thực Trong đường hầm TLS áp dụng phương pháp chứng thực Sử dụng tương tự EAP-TLLS, chøng chØ PEAP (Protected 10 EAP) cđa Supplicant ®èi víi EAP-TTLS PEAP không bắt buộc, AS bắt buộc Đây phương pháp phát triển Microsoft, Cisco, Ngoài số phương pháp chứng thực kể có nhiều phương 28TU pháp chứng thực khác đà định nghĩa trang: http://www.iana.org/assignments/eap-numbers U28T 5.4.3 Các khung thành công thất bại Khi chứng thực nhận thấy trinh trao đổi EAP đà kết thúc gửi tới máy trạm khung Thành công (Success) hay thất bại (Failure) để kết thúc Thực tế, hệ thống cho phép gửi nhiều Khung yêu cầu trước đánh Fail với trình nhận thực phép người dùng nhận liệu chứng thực Hình 5-9: Các khung EAP Thành công EAP Thất bại 94 5.4.4 Ví dụ trình trao đổi EAP Hình 5-10: Ví dụ trình trao đổi EAP Bộ chứng thực gửi gói Yêu cầu tới người dùng ®Ĩ nhËn d¹ng T¹i hƯ thèng cđa ngêi dïng, người dùng nhập thông tin ID họ sau gói Trả lời chứa thông tin Víi ID ngêi dïng, bé chøng thùc sÏ t¹o chuỗi thách thức để chứng thực ví dơ nµy bé chøng thùc dïng MD5-challenge HƯ thèng người dùng đà cấu hình để sử dụng Token Card nên trả lời NAK với gợi ý Generic Token Card Hệ thống đưa chuỗi thách thức Token Card yêu cầu nhập chuỗi thứ tự card Người dùng trả lời Người dùng nhập chưa nên chứng thực chưa thành công Tuy nhiên, EAP cho phép nhiều lần gửi yêu cầu chứng thực, vậy, Yêu cầu chứng thực lần hai gửi với Generic Token Card Người dùng trả lời 95 lần trả lời thứ 2, người dùng trả lời đúng, chứng thực đưa thông báo Thành công 5.5 EAP-TLS EAP-TLS loại giao thức EAP sử dụng phổ biến mạng WLAN Nó cung cấp cách chứng thực bảo mật chung mà sử dụng giấy chứng nhận số hóa (digital certificate) Khi máy trạm yêu cầu truy cập, máy chủ chứng thực đáp lại giÊy chøng nhËn sè hãa cđa nã (server certificate) M¸y trạm có giấy chứng nhận riêng nó, ký đơn vị có thẩm quyền chứng nhận ký, đà cấu hình từ trước người quản trị mạng Máy trạm trả lời yêu cầu máy chđ chøng thùc b»ng giÊy chøng nhËn cđa nã vµ lúc tiến hành xác định tính hợp lệ giấy chứng nhận máy chủ Căn vào giá trị giấy chứng nhận, thuật toán EAP-TLS tạo khóa WEP động máy chủ chứng thực gửi máy trạm khóa WEP để sử dụng cho phiên truy cập Các thuật toán dựa giấy chứng nhận thuật toán EAP-TLS có tính bảo mật cao, gần làm giả mạo giấy chứng nhận số hóa ký đơn vị có thẩm quyền Mặt khác, việc quản lý giấy chứng nhận phức tạp tốn Do đó, tùy thuộc vào kích cỡ mạng doanh nghiệp, tổ chức mà nhiều gánh nặng cho việc quản trị mạng tốn mà chế bảo mật đem lại Hình 5-11 mô tả trình chứng thực 96 Hình 5-11: Ví dụ trao đổi tin EAP-TLS 5.6 Đôi điều 802.11i Chuẩn bảo mật thông qua năm 2004 đà khắc phục điểm u cđa WEP Cã thĨ chia chn nµy thµnh nội dung bản: TKIP (Temporary Key Integrity Protocol) giải pháp tình để khắc phục tất hạn chế WEP TKIP sử dụng cho thiết bị 802.11 cũ (sau đà nâng cấp phần mềm) mang lại tính toàn vẹn liệu tính bảo mật liệu cao CCMP (Counter Mode with CBC-MAC Protocol) lµ mét giao thức hoàn toàn, dùng AES làm thuật toán mà hóa đòi hỏi xử lý phải làm việc nhiều so với RC4 (được dùng WEP TKIP), cần phải cã phÇn cøng 802.11 míi Mét sè h·ng triĨn khai 97 giao thức giải pháp phần mềm CCMP cung cấp tính toàn vẹn liệu bảo mật liệu cao 802.1x, giao thức điều khiển truy cËp dùa trªn cỉng: dï sư dơng TKIP hay CCMP 802.11i dùng 802.1x làm công cụ chứng thực Ngoài ra, phương pháp mà hóa tùy chọn cã tªn gäi WRAP (Wireless Robust Authentication Protocol) cã thĨ sử dụng thay cho CCMP WRAP dựa AES việc sử dụng không bắt buộc, sử dụng CCMP bắt buộc với thiết bị dùng chuẩn 802.1i Ngoài ra, 802.11i đà mở rộng thêm phương pháp lý khóa tạo khóa 5.6.1 Quản lý trao đổi khóa động Về nguyên tắc, để tăng cường sức mạnh bảo mật nhờ sử dụng thuật toán mà hóa toàn vẹn liệu cần phải sử dụng khóa để trao đổi trình chứng thực truyền liệu 802.11i cung cấp chế quản lý tạo khóa Hình 5-12: Quá trình trao đổi khóa động 98 Khi WN AS chứng thực, tin gửi từ AP tới WN sau nhận thực thành công Khóa chủ (Master Key MK) Khóa WN AS biết Cả WN AS sử dụng MK để tạo khãa míi, cã tªn Pairwise MK (PMK) Khãa PMK sau chuyển từ AS tới AP Do ó AS WN tạo khóa PMK nên lúc AP điều khiển truy cập thay AS PMK trở thành khóa đối xứng biết phạm vi WN AP 802.11i định nghĩa giao thức sử dụng khung 802.1x EAPOLkeys gọi Bắt tay theo bốn bước (4-way handshake) Thủ tục kết thúc trình chứng thực 802.1x tiến hành nhờ việc trao đổi tin WN AP PMK thủ tục bắt tay bước sử dụng WN AP để tạo, liên kết kiểm tra PTK (Pairwise Transient Key) PTK tập hợp khãa: a Khãa x¸c nhËn khãa (Key Confirmation Key KCK): khóa sử dụng để kiểm tra tÝnh toµn vĐn cđa khung EAPOL-Key b Khãa m· hãa khóa (Key Encryption Key KEK): khóa dùng để mà hóa trường liệu khung EAPOL-Key Khóa sử dụng để phân phối GTK (Group Trainsient Key) c Khãa t¹m thêi TK1/TK2 (Temporal key & 2): sử dụng để mà hóa Sau đó, KEK thủ tục bắt tay bốn bước sử dơng ®Ĩ trun GTK (Group Transient Key) tõ AP tíi WN Khóa GTK chia sẻ tất c¸c Supplicants cã kÕt nèi tíi cïng mét Bé chøng thực sử dụng để bảo mật lưu lượng multicast broadcast 99 Hình 5-13: Hình mô tả sơ đồ phân cấp khóa 802.11i 5.6.2 Mối liên hệ chuẩn mà hóa WPA WPA2 Khi 802.11i chưa xuất hiện, hạn chế WEP đà rõ ràng cần sửa gấp, Wifi Alliance đà tạo WPA (Wireless Protected Access) sở thảo thứ chuẩn 802.11i WPA thiết kÕ ®Ĩ sư dơng víi mét AS 802.1x (cã nhiƯm vụ cung cấp khóa khác cho người dùng) Tuy nhiên, sử dụng chế độ bảo mật thấp hơn, gọi khóa chia sẻ trước (pre-shared key PSK) PSK thiết kế cho mạng gia đình doanh nghiệp nhỏ, nơi đủ chi phí để đầu tư cho mét m¸y chđ nhËn thùc 802.1x (vÝ dơ RADIUS) Trong PSK, người dùng cấp chuỗi mật (passphrase) Chuỗi dài từ tới 63 ký tự ASCII 64 chữ số hexa (tương đương 256 bit) Khi dùng ký tự ASCII hệ thống dùng thuật toán Hash để ép từ 504 bits (63 ký tù x bits/ký tù) xuèng 256 bits Chuỗi mà lưu máy tính người dùng bắt buộc phải nằm AP 100 WPA dïng tht to¸n m· hãa RC4 víi khóa 128 bit vectơ khởi tạo (IV) 48 bit (với WEP 128 bit IV 24 bit) Cải tiến đáng kể WPA so với WEP TKIP, giao thức cho phép thay đổi khóa động hệ thống sử dụng Khi kết hợp TKIP với IV lớn hơn, WPA đà chế ngự công khôi phục khóa phổ biến WEP [8] Hình 5-14: Cấu tróc khung TKIP (MPDU) H×nh 5-15: CÊu tróc khung WEP (MPDU) Bên cạnh thay đổi chứng thực mà hóa liệu, WPA có thay đổi đáng kể việc đảm bảo tính toàn vẹn liệu phần tải Kỹ thuật Kiểm tra lỗi dư vòng (CRC) WEP tính bảo mật cao kẻ công hoàn toàn phá phần tải lấy CRC mà không cần biết khóa WEP Trong WPA, mà nhận thực tin bảo mật (có tên Message Integrity Code MIC) sử dụng, thuật toán gọi tên Michael Bằng việc tăng kích thước khóa IV, giảm số gói gửi với 101 khóa có liên quan, bổ sung thêm hệ thống xác minh tin bảo mật, WPA đà làm cho công vào WLAN trở nên khó khăn Một yêu cầu bắt buộc thiết kế WPA để thiết bị 802.11 có sử dụng Tóm lại, WPA TKIP + 802.1x Khi 802.11i ®êi, víi viƯc sư dơng CCMP kết hợp với 802.1x đời mạng có bảo mật mạnh, gọi Robust Secure Network (RSN), có cách gọi khác WPA2 Còn mạng WLAN sử dụng TKIP với 802.1x có tên gọi Transition Security Network (TSN) Có thể phân biệt WPA vµ WPA2 nh sau: TSN = TKIP + 802.1x = WPA (1) RSN = CCMP + 802.1x = WPA2 102 CHƯƠNG THử NGHIệM KếT QUả - NHậN XéT 6.1 Một số nghiên cứu học giả nước Hai học giả Arunchandar Vasan A Udaya Shankar khoa Khoa học máy tính trường đại học Maryland đà tiến hành thực nghiệm đánh giá hiệu suất hoạt động mạng 802.11b với năm máy trạm AP theo mô hình mạng sở [2] Nhóm sử dụng máy trạm cài phần mềm Ethereal để thu khung liệu máy trạm khác truyền qua mạng tới AP Thử nghiệm với gói có kích thước khác nhau, số máy trạm tăng dần, nhãm ®· rót mét sè kÕt ln sau: + Thông lượng trung bình mạng với máy trạm đạt khoảng Mbps với độ biến động thông lượng khoảng 0.024 Mbps + Khi số máy trạm tăng lên thông lượng trung bình toàn mạng giảm độ biến động thông lượng lớn lên + Thông lượng trạm phụ thuộc chủ yếu vào loại card WLAN mà không phụ thuộc nhiều vào khả xử lý máy tính có chứa card + Khi thay ®ỉi kÝch thíc gãi UDP tõ 100 tíi 2000 đo thông lượng trạm, kết thông lượng UDP đạt tối đa khoảng 1470 bytes (tương ứng với MTU 1500 bytes, phần mào đầu gói IP 20 bytes phần mào đầu gói UDP bytes) Sau giá trị thông lượng giảm mạnh kích thước gói MTU > 1500 bytes bị phân nhỏ lớp giao thức Nhóm học giả Leena Chandran-Wadia, Shruti Mahajan, Sridhar Iyer trường Công nghệ thông tin K.R phòng Kỹ thuật điện tử thuộc Viện công nghệ ấn Độ đà tiến hành sử dụng phần mềm mô network simulator ns2 để đánh giá hiệu suất hoạt động mạng 802.11 với chế độ DCF vµ 103 PCF [10] KÕt ln rót lµ: chế độ PCF cho mức thông lượng cao lượng tải lớn lại có trễ lớn trường hợp lượng tải nhỏ Khuyến nghị rút là: sử dụng DCF với mức tải nhỏ sử dụng PCF với mức tải lớn Ngoài có nhiều học giả khác đà tiến hành nhiều nghiên cứu khác mạng 802.11 số tài liệu mà đà tiếp cận chưa gặp tài liệu đánh giá tác động chế bảo mật lên hiệu suất hoạt động mạng Do đó, đà chọn nội dung thí nghiệm đề tài 6.2 Mục tiêu thí nghiệm Chương đà đề cấp đến chế bảo mật phổ biến dùng mạng WLAN Về bản, chế bảo mật cấu trúc chủ yếu gồm chế chứng thực chế mà hóa liệu Mục tiêu nghiên cứu lần tập trung vào việc đánh giá hiệu suất họat động mạng WLAN IEEE 802.11b (vì chuẩn WLAN sử dụng phổ biến nhất) số chế bảo mật phổ biến với nhiều máy trạm (máy trạm) truy cập, nảy sinh vấn đề tranh chấp môi trường truyền dẫn Sau số vấn đề đặt cần giải quyết: o Các chế bảo mật khác ảnh hưởng tới hiệu suất (xét hai yếu tố thông lượng thời gian đáp ứng) mạng WLAN bị tắc nghẽn với nhiều máy trạm truy cập? o Các gói có chiều dài khác ảnh hưởng tới hiệu suất mạng WLAN dùng chế bảo mật khác nhau? o Bảo mật có ảnh hưởng tới kiểu lưu lượng khác nhau? o Hiệu suất mạng bảo vệ thay đổi tăng thêm số lượng máy trạm truy cập vào mạng? 6.3 Phương pháp 6.3.1 ý đồ thiết kế 104 Tôi đà suy nghĩ nhiều vài ý tưởng thiết kế chương trình thử nghiệm trước thực Lúc đầu, định dùng chương trình mô mạng máy tính (ví dụ: NetSimulation 2.0), nhiên thấy việc thực nghiệm cho nhiều kinh nghiệm giá trị thực tiễn nên cuối đà chọn cách thực nghiệm với máy tính thật, AP thật, tạo mạng Wifi nhỏ Và đặt ba đối tượng cần quan tâm thử nghiệm là: chế độ bảo mật, phát giả lập lưu lượng phép đo hiệu suất mạng Sau mô tả đối tượng này: Những chế độ bảo mật (còn gọi lớp bảo mật) dùng thử nghiệm Là phần đối tượng nghiên cứu, muốn biết hiệu thực tế viƯc ¸p dơng chøng thùc WEP (víi m· hãa RC4) chứng thực WPAPSK (với mà hóa TKIP) Bộ phát lưu lượng Như đà đề cập phần 6.1, đề tài tập trung vào việc đánh giá hiệu suất mạng WLAN bị nghẽn Bộ phát lưu lượng phải có tính linh hoạt có khả gây tải mạng WLAN Tôi đà suy ghĩ yêu cầu kỹ thuật cụ thể phát lưu lượng trước chọn dùng sau: o Nó phải phù hợp (áp dụng được) với mạng không dây (trong có WLAN 802.11) o Nó phải có khả gây tải (overload) mạng LAN 802.11 o Nã ph¶i cho phÐp ngêi dïng thay ®ỉi kÝch thíc gãi o Nã ph¶i cho phÐp ngêi dùng lựa chọn thuật toán tạo lưu lượng Đo hiệu suất mạng Có nhiều nhân tố ảnh hưởng tới hiệu suất mạng vài nhân tố tương tác với để gây ảnh hưởng tới hiệu suất toàn mạng Các kết đo hiệu suất mạng thay đổi tùy thuộc vào việc lựa chọn cấu 105 hình phần cứng, ứng dụng phần mềm topo mạng Có thể kể số phép đo hiệu suất mạng thường gặp: Thời gian đáp ứng (response time), Thông lượng (throughput), Diện tích khu vực địa lý mà sóng vô tuyến mạng bao phủ (coverage area), Tính di động (mobility), Băng thông (Bandwidth), Độ trễ (Latency), Cường độ tín hiệu vô tuyến (Radio signal strength),v.v Hai tham số đo Thời gian đáp ứng Thông lượng đo lần thử nghiệm cung cấp nhìn dễ hiểu hiệu suất mạng Nhóm học giả Arunchandar Vasan A Udaya Shankar đà trích dẫn định nghĩa [2]: Thông lượng tức thời thời điểm t K/T, đó: K số gói tin truyền qua môi trường khoảng thời gian [t, t+T], T khoảng thời gian để truyền gói tin. Từ có định nghĩa: Thông lượng tức thời trạm thời điểm t tính theo số gói tin gửi trạm khoảng thời gian [t, t+T]. Tuy nhiên, định nghĩa có hạn chế chưa bao quát trường hợp gói phát chưa hoàn thành thời gian T Do vậy, học giả tới định nghĩa: Thông lượng tức thời trạm tính dựa số gói tin cố định (đà biết trước) thời gian cần để truyền hết số gói tin Trên sở đó, ta có định nghĩa thông lượng thời gian đáp ứng dùng thí nghiệm sau: o Thời gian đáp ứng: Thời gian đáp ứng tổng thời gian lưu lượng di chuyển hai điểm Thời gian đà bao gồm thời gian mà hóa giải mà liệu thời gian truyền liệu thực tế o Thông lượng: Thông lượng số byte trung bình truyền qua mạng khoảng thời gian đà biết (chính thời gian đáp ứng) 106 6.3.2 Cấu hình hệ thống WLAN thử nghiệm Mạng WLAN thử nghiệm gồm có thành phần sau: o Một máy tính để bµn (Desktop) o Windows XP Professional SP2 o Celeron 2.13 GHz, 512 MB RAM o Ba m¸y s¸ch tay IBM T43(Laptop) o Windows XP Professional SP2 o Intel Pentium M 2.0 GHz, 512 MB RAM, Intel Wireless 2000BG card o Mét Access Point o D-Link 2100AP H×nh 6-1: CÊu h×nh mạng WLAN dùng thực nghiệm Tốc độ truyền 11Mbps với kết nối không dây máy trạm AP Tốc độ kết nối Ethernet AP máy chủ 100Mbps Phần mềm Phân tích mạng Ethereal đà sử dụng để ghi lại thống kê lưu lượng mạng Các phép đo tiến hành từ máy để bàn 6.3.3 Các lớp bảo mật Bốn lớp bảo mật sau đà chọn để thể thứ tự phân cấp số chế bảo mật nêu chuẩn IEEE 802.11: 107 Không bảo mật: thiết lập bảo mật mặc định nhà sản xuất thiết bị Không có chế bảo mật kích hoạt với cấu hình mặc định Chứng thực địa MAC: lớp cung cấp chứng thực địa MAC thực AP Chứng thực WEP víi m· hãa WEP 40 bit: líp nµy kÕt hợp với thuật toán mà hóa để cung cấp tính riêng tư cho liệu Chứng thực WPA-PSK/TKIP: lớp bảo mật thường áp dụng cho hộ gia đình doanh nghiệp nhỏ (do họ thường đủ khả tài để đầu tư RADIUS Server thường đòi hỏi lớp bảo mật khác như: EAP-TLS, EAPTTLS, ) 6.3.4 Bộ phát lưu lượng Đề tài tập trung vào khả mạng WLAN truyền gói IP với số lượng gói, kích thước gói, nội dung gói băng thông đà định nghĩa trước để đo thayđổi hiệu suất mạng triển khai chế bảo mật khác Sau thời gian tìm kiếm mạng Internet để có phát lưu lượng phù hợp, cuối đà chọn dùng công cụ IP traffic (xem chi tiết thêm http://www.zti-telecom.com/pages/iptraffic-test-measure.htm) Phần mềm đà đáp ứng tất yêu cầu mà đà đặt từ đầu IP Traffic công cụ đo kiểm dạng phần mềm thiết kế cho mạng cố định (các mạng hữu tuyến) mạng IP không dây Nó chạy hệ điều hành Windows Nó phát, thu, ghi lại chạy lại (replay) lưu lượng IP, đo hiệu suất mạng từ đầu cuối tới đầu cuối đánh giá Chất lượng dịch vụ (QoS) với mạng IP cố định IP không dây Bộ phát lưu lượng 108 quản lý cïng lóc nhiỊu kÕt nèi IP (h×nh 6-2) Tuy nhiên, đà dùng kết nối cho máy trạm (máy trạm) để mô hình giống thực tế Tôi đà sử dụng thống kê thời gian thực IP Traffic thực với liệu thu thập phần mềm Ethereal phía máy chủ để đánh giá hiệu suất mạng không dây Hình 6-2: Công cụ IP Traffic phía máy trạm truy cập Phần sau mô tả giải thích chi tiết tham số thiết lập cho phát lưu lượng trình tiến hành thí nghiệm (hình 6-3) 109 Hình 6-3: Các tham số thiết lập cho kết nối Tổng sè gãi tin Sau nhiỊu lÇn thư nghiƯm víi sè lượng gói tin khác (từ 1000 tới 40000) thấy tương quan kết nhận tương đương Ngoài ra, với số lượng gói tin lớn đo có máy trạm truy cập chương trình Ethereal máy tính để bàn cần khoảng từ 25 đến 30 phút để phân tích số liệu đưa kết cuối mà cần thu thập (đó thời gian đap ứng thông lượng) Hơn nữa, học giả khác [2] đà thử nghiệm với số gói tin từ 200 tới 2000 cho kết tốt Do đó, cuối đà chọn số gói tin 5000 Băng thông đầu Băng thông đầu vào điểm truy cập AP 802.11b 11Mbps (theo khuyến nghị chuẩn) Vì muốn kiểm tra phản ứng mạng điều kiện mạng nghẽn nên định đặt băng thông đầu máy 110 trạm 12Mbps giá trị vượt xa ngưỡng tối đa quy định 802.11 nên đảm bảo gây nghẽn mạng Kiểu lưu lượng Có nhiều kiểu lưu lượng mà phần mềm IP Traffic cung cấp, TCP, UDP gói IMCP (hỗ trợ Ping) Tôi đà chọn dùng giao thức TCP UDP giao thức tất ứng dụng chạy giao thức IP Đà cã mét sè nghiªn cøu trªn thÕ giíi vỊ hiƯu suất giao thức TCP UDP mạng không dây [2], [10] Tuy nhiên chưa gặp nghiên cứu ảnh hưởng chế bảo mật khác lên mạng Nội dung lưu lượng giả lập IP Traffic cung cấp tới cách khác để lựa chọn phần nội dung lưu lượng cần giả lập Đó là: Fix (nội dung không đổi), Random (ngẫu nhiên), Alternate (luân phiên hai giá trị value-1 value-2), số tăng/giảm Tôi đà chọn cách tạo nội dung lưu lượng ngẫu nhiên, cách phù hợp với thực tế (nơi mà liệu, thoại, video truyền qua giao diện vô tuyến mà trước, xuất loại lưu lượng khác mạng có tính ngẫu nhiên) Hơn nữa, nghiên cứu lần không tập trung vào loại liệu cụ thể nên tham số ý nghĩa quan trọng nghiên cứu Chiều dài gói Tôi đà chọn chiều dài gói số nguyên ngẫu nhiên nằm khoảng [40, 1500] chuỗi thử nghiệm Lý chọn khoảng chiều dài gói nã cho phÐp bao qu¸t c¸c kÝch thíc gãi IP, đà số nghiên cứu giới sử dụng [2, 10] Việc phát gói với chiều dài ngẫu nhiên khác dùng để so sánh với gói có chiều dài cố định (dùng chuỗi thử nghiệm đầu tiên) giúp có mạng có tính xát thực tế 111 phần thử nghiệm thứ hai (nghiên cứu thông lượng mối liên hệ với kích thước gói khác nhau), bốn kích thước gói cố định (gồm:100, 500, 1000 1500 bytes) đà chọn thực nghiệm tiến hành sử dụng giá trị 6.4 Quy trình tiến hành Nghiên cứu có nhiệm vụ đánh giá ảnh hưởng chế bảo mật thông dụng kích thước gói khác lên hiệu suất mạng WLAN bị nghẽn với nhiều máy trạm muốn truy cập Thí nghiệm nghiên cứu chia làm phần phần thí nghiệm đầu tiên, thông lượng thời gian đáp ứng hai kiểu lưu lượng (TCP UDP) đà đo điều kiện chế bảo mật khác Thí nghiệm sau lặp lại với máy trạm truy cập để từ nghiên cứu ảnh hưởng việc có thêm máy trạm muốn truy cập mạng Có hai mức băng thông đà dùng: 12Mbps (tương ứng với mạng bị nghẽn) 500 Kbps (tương ứng với mạng chưa bị bÃo hòa) Chiều dài gói chọn lấy số nguyên ngẫu nhiên khoảng [40, 1500] đà nói phần thí nghiệm thứ hai, thông lượng đà nghiên cứu hàm số gói kích thước khác nhau, chế bảo mật khác Kích thước gói chia làm nhóm cố đinh, bao gồm: 100, 500, 1000, 1500, mô tả Thí nghiệm dùng máy trạm chế bảo mật khác thông lượng đo với hai loại lưu lượng TCP UDP Mỗi phần thí nghiệm lặp lại 10 lần Do không tránh khỏi yếu tố ảnh hưởng phần cứng hệ thống (bộ nhớ đệm, dung lượng ổ đĩa cứng,) nên để đảm bảo đà loại bỏ kết đo (việc giúp loại trừ ảnh hëng tõ c¸c tham sè cđa hƯ thèng) 112 6.5 Kết Các phép đo hiệu suất thực cách chạy lần kiểm tra lặp lặp lại với cấu hình bảo mật Các thí nghiệm để đánh giá hiệu suất mạng với kiểu lưu lượng TCP tiến hành độc lập với kiểu UDP, phần thí nghiệm tiến hành với số lượng máy trạm khác Các kết lấy từ công cụ giám sát lưu lượng mạng Ethereal Dữ liệu sau phân tích với độ tin cậy tới 95% [11] 6.5.1 ảnh hưởng chế bảo mật lên hiệu suất mạng + Với thử nghiệm băng thông thiết lập máy trạm 500 Kbps, tương ứng với mức tải vừa phải mạng 802.11 (nói cách khác mạng không bị nghẽn) Hình cho thấy thay đổi thông lượng với chế bảo mật khác Kết cho thấy: với chế bảo mật khác thay khác biệt thông lượng không lớn số máy truy cập mạng máy Ngoài ta thấy: với xuất chế mà hóa khác (cụ thể ë thÝ nghiƯm nµy lµ WEP 64 bit vµ TKIP) thông lượng mạng giảm chút, kỹ thuật mà hóa mạnh giảm thông lượng rõ ràng Thụng lng mng (KB/s) 80 60 40 TCP 20 UDP TCP 69.4 69.6 69.4 69.5 UDP 65.6 65.7 65.7 65.7 Lớp bo mt Hình 6-4: Thông lượng TCP UDP mạng không bị nghẽn 113 + Các hình thông lượng thời gian đáp ứng loại lưu lượng TCP UDP điều kiện mạng nghẽn (băng thông thiết lập Thụng lng (KB/s) 560.000 550.000 540.000 530.000 520.000 510.000 505.000 504.000 503.000 502.000 501.000 500.000 499.000 498.000 497.000 496.000 Thụng lng (KB/s) máy trạm 12 Mbps) TCP UDP TCP 551 539 528 525 UDP 503 501 501 499 Lớp bảo mật Thời gian đáp ứng (s) H×nh 6-5: Thông lượng TCP UDP mạng nghẽn 7.8 7.6 7.4 7.2 7.78 7.76 7.74 7.72 7.7 7.68 7.66 7.64 7.62 7.6 TCP UDP TCP 7.4 7.6 7.6 7.8 UDP 7.8 7.7 7.7 7.7 Lp bo mt Hình 6-6: Tổng thời gian đáp ứng hệ thống lưu lượng TCP UDP mạng nghẽn hình ta thấy, mạng nghẽn thông lượng lớp bảo mật nhỏ so với lớp bảo mật Để xác định lượng giảm thông lượng TCP UDP có dùng chế mà hóa liệu, ta áp dụng cách tính trung bình sau: 114 1) Gọi Thru_12 Thông lượng trung bình không mà hóa (với lớp bảo mật 2), ta có: Thru_12 = (Thru_1+Thru_2)/2, đó, Thru_1 Thru_2 thông lượng trung bình đo lớp bảo mật cho loại lưu lượng 2) Goi Delta_Thru3 Delta_Thru4 thay đổi thông lượng lớp bảo mật cho loại lưu lượng, ta có: Delta_Thru3 = (Thru_12 Thru3)*100%/Thru_3, với Thru_3 thông lượng trung bình đo lớp bảo mật Delta_Thru4 = (Thru_12 Thru4)*100%/Thru_4, với Thru_4 thông lượng trung bình đo lớp bảo mật Với cách tính toán nh trªn ta thÊy, sư dơng m· hãa WEP, thông lượng giảm khoảng 3% với lưu lượng TCP giảm không đáng kể với lưu lượng UDP Khi sử dụng mà hóa TKIP, thông lượng giảm khoảng 4% với lưu lượng TCP giảm 1% với lưu lượng UDP Nguyên nhân việc giảm việc áp dụng chế mà hóa liệu Bên cạnh đó, đồ hình cho thấy thời gian đáp ứng hệ thống tăng lên dùng chế bảo mật 6.5.2 ảnh hưởng việc bổ sung thêm máy trạm truy cập vào mạng + Để đánh giá hiệu suất mạng có nhiều máy trạm truy cập, thử nghiệm đà tiến hành lặp lại với hai ba máy trạm Hai bảng sau thống kê thông lượng trung bình trạm lưu lượng TCP UDP Lớp bảo mật Thông lượng trung bình trạm (KB/s) (TCP) máy trạm máy trạm máy trạm 551.964 316.379 227.213 539.887 321.675 226.950 528.610 314.920 226.094 525.628 304.465 221.783 Thông lượng (KB/s) 115 600 500 400 300 Máy 200 Máy 100 Máy Lp bo mt Hình 6-7: Thông lượng trung bình trạm với lưu lượng TCP Lớp bảo mật Thông lượng trung bình trạm (KB/s) (UDP) máy trạm máy trạm máy trạm 503.898 319.496 227.244 501.127 317.550 225.722 501.050 312.618 223.757 499.192 311.936 222.523 Thông lượng (KB/s) 600 500 400 300 Máy 200 Máy Máy 100 Lớp bảo mật H×nh 6-8: Thông lượng trung bình trạm với lưu lượng UDP Với lưu lượng UDP xét tất lớp bảo mật đà sử dụng, thông lượng trung bình trạm giảm 37% với hai máy trạm tham gia mạng giảm 55.15% với ba máy trạm tham gia mạng 116 Ta có kết tương tự với lưu lượng TCP, thông lượng trung bình trạm giảm 41.4% với hai máy trạm tham gia mạng giảm 57.97% có ba máy tham gia mạng Kết lần kiểm chứng kết hai học giả Arunchandar Vasan Udaya Shankar thuộc phòng khoa học máy tính trường đại học Marylan thực [2] 6.5.3 ảnh hưởng gói có kích thước khác lên hiệu suất mạng Như đà đề cập phần 6.3, bốn loại kích thước gói 100, 500, 1000 1500 bytes đà chọn để đánh giá ảnh hưởng thay đổi kích thước gói thông lượng mạng WLAN với chế bảo mật phæ biÕn 600 500 400 MAC 300 WPA-PSK 200 100 100 500 1000 1500 KÝch thíc gãi Chøng thùc MAC Chøng thùc WPA vµ m· hãa TKIP 100 439.140 417.206 500 489.648 485.946 1000 550.695 556.326 1500 508.98 469.129 Hình 6-9: Thông lượng TCP với kích thước gói khác Như đồ hình, thông lượng TCP đạt tối đa kích thước gói 1000 bytes (trong trường hợp thực nghiệm lớp bảo mật MAC WPA-PSK) Hình cho ta kết tương tự lưu lượng UDP 117 700 600 500 400 MAC 300 WPA-PSK 200 100 100 500 1000 1500 KÝch thíc gãi Chøng thùc MAC Chøng thùc WPA vµ m· hãa TKIP 100 172.258 164.141 500 454.221 413.387 1000 618.329 602.259 1500 530.681 521.628 H×nh 6-10: Thông lượng UDP với gói có kích thước khác 6.6 Mét sè kÕt luËn rót Tõ quan sát thực nghiệm ta thấy hiệu suất mạng đà giảm điều kiện mạng nghẽn có sử dụng chế mà hóa liệu Tại lớp bảo mật thứ 4, thông lượng TCP giảm 3% với mà hóa WEP giảm 4% với mà hóa TKIP WPA-PSK ta thấy có hai nhân tố gây thay đổi trên, nân tố thứ có ảnh hưởng lớn hơn: o Cơ chế mà hóa liệu: WEP sử dụng thuật toán RC4 để có tính bảo mật toàn vẹn liệu Khi dùng WEP, phần thân khung mở rộng thêm bytes (với bytes đầu dùng cho phần mào đầu IV thân khung bytes sau dùng cho ICV) Việc thêm bytes không ảnh hưởng nhiều tới mạng chưa bị bÃo hòa (hay gọi mạng chưa bị nghẽn) Tuy nhiên, mạng nghẽn không đủ băng thông để truyền cho tất máy trạm, đo dó, với gói có kích thước dài khả AP đánh rớt gói dễ xảy Hiệu suất mạng giảm So với WEP, TKIP có chiều dài khung lớn 118 (do thêm trường mở rộng IV (4 octets) trường MIC (8 octets)), quy trình thuật toán mà hóa phức tạp [22] đo TKIP làm giảm hiệu suất mạng nhiều so với WEP o Phần cứng phần mềm sử dụng: WEP TKIP mà hóa khung khung truyền qua môi trường truyền dẫn vô tuyến Mặt khác, việc mà hóa/giải mà thực máy trạm AP Các card WLAN laptop dùng thí nghiệm đề tài thực mà hóa/giải mà gói tin vi chương trình AP mà hóa/giải mà chúng phần cứng Khi đủ băng thông mạng, đệm AP đầy đánh rớt gói tin CPU tải phải xử lý thêm liệu Khi số máy trạm tăng lên, thông lượng chung giảm đi, ảnh hưởng xung đột mạng Thông lượng trung bình (tính trung bình cho UDP TCP) giảm 39.2% thử nghiệm với hai máy trạm 56.56% thử nghiệm với ba máy trạm Với thử nghiệm chọn dùng bốn kích thước gói cố định (100, 500, 1000, 1500) kích thước gói 1000 bytes cho thông lượng tốt với hai loại lưu lượng TCP UDP với hai lớp bảo mật đà chọn tríc (MAC, WPA-PSK) Theo chuÈn RFC 894 [23], kÝch thíc gãi IP tèi ®a (Maximum Data Unit – MDU) ®Ĩ truyền qua Ethernet 1500 bytes Do đó, kích thước gói TCP UDP gần xát giá trị 1500 bytes gói IP có nhiều khả bị chia nhỏ trước truyền, làm giảm hiệu suất truyền dẫn hệ thống 6.7 Các hạn chế Nhìn chung, thử nghiệm thực tiễn đề tài có số hạn chế định Trước hết, thí nghiệm đo đạc tiến hành với số lượng trang thiết bị hạn chế (không ba máy trạm) hầu hết thiết bị nhà sản xuất Intel Bên cạnh đó, thí nghiệm đo phòng, đà bỏ qua ảnh hưởng yếu tố môi trường truyền dẫn vô tuyến (như giao thoa, 119 fading, suy hao truyÒn dÉn cù ly xa, yếu tố thời tiết, vật cản tòa nhà, tường) Mục đích thử nghiệm tìm hiểu ảnh hưởng số chế bảo mật tới hiệu suất mạng WLAN bị nghẽn số lượng máy trạm tăng dần Ngoài ra, điều kiện tài không cho phép nên đề tài hạn chế số lượng chế bảo mật đem vào thực nghiệm Thực nghiệm với số lượng ba máy trạm theo đủ để tạo nghẽn mạng Thực nghiệm giới hạn kiểu mạng 802.11 chế độ sở, kết không với chế độ ad-hoc Hơn nữa, nghiên cứu tập trung vào chuẩn 802.11b (do chuẩn mạng WLAN phổ biến biết đến nay, đặc biệt Việt Nam) chưa có điều kiện để đánh giá hiệu suất mạng chuẩn khác như: 802.11a hay 802.11g 120 CHƯƠNG kết luận HƯớNG PHáT TRIểN Đề TàI Thực nghiệm đề tài dừng lại chế độ bảo mật thường sử dụng Wifi hotpot phổ biến Hà Nội Các chế độ bảo mật sâu hơn, phức tạp hơn, đòi hỏi đầu tư tốn chứng thực EAP-TLS (sử dụng chứng để chứng thực người dùng, có sử dụng RADIUS server để cung cấp dịch vụ truy cập Wifi phải trả phí); chứng thực PEAP (chứng thực đối xứng tạo khóa, hỗ trợ tái chứng thực nhanh chóng) Những nghiên cứu tương lai thực tập trung vào việc tìm hiểu ảnh hưởng EAP-TLS PEAP tới hiệu suất mạng Wifi có nghẽn không nghẽn Trong thực tế, máy trạm Wifi thường xuyên di chuyển từ AP tới AP khác việc chuyển vùng (roaming) xảy thường xuyên Việc chuyển vùng đòi hỏi phải có trao đổi thông tin qua lại liên tục AP Hệ thống phân phối Khi xảy chuyển vùng, việc truyền thông tin mật (ví dụ khóa mÃ,v.v ) cần phải diễn kết nối bảo mật tốt Nghiên cứu lần giới hạn Trong tương lai, nghiên cứu hiệu suất mạng WLAN với nhiều AP, nhấn mạnh tới vấn đề chuyển vùng AP kiểm tra khả trì kết nối bảo mật lúc chuyển vùng Như đà đề cập phần 6.6, nghiên cứu thực với mạng chuẩn 802.11b chế độ sở Các kết không với chuẩn mạng WLAN khác 802.11a, 802.11g chế độ ad-hoc Việc đánh giá hiệu suất chuẩn 802.11 công việc tương lai 121 TàI LIệU THAM KHảO Tiếng Anh [1] ANSI/IEEE Std 802.11, 1999 Edition (R2003), Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications IEEE, Inc [2] Arunchandar Vasan & A Udaya Shankar An Empirical Chacterization of Instantaneous Throughput in 802.11b WLANs Department of Computer Science, University of Maryland http://www.cs.umd.edu/~shnakar/Papers/802-11b-profile-1.pdf [3] Cisco System, Cisco AVVID Wireless LAN Design, pp 2-1 – 2-18 [4] Ethereal Software: http://www.ethereal.com [5] IEEE Std 802.11a-1999 (R2003) Supplement to ANSI/IEEE Std 802.11, 1999 Edition Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Higher Speed Physical Layer in the GHz band IEEE, Inc [6] IEEE Std 802.11b-1999 (R2003) Supplement to ANSI/IEEE Std 802.11, 1999 Edition Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Higher Speed Physical Layer (PHY) Extension in the 2.4 GHz band IEEE, Inc [7] IEEE Std 802.11g-2003 Amendment to IEEE Std 802.11, 1999 Edition (Reaff 2003) Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Admendment 4: Futher Higher Data Rate Extension in the 2.4 GHz band IEEE, Inc [8] IEEE Std 802.11i-2004 Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications 122 Amendment 6: Medium Access Control (MAC) Security Enhancements IEEE, Inc Pages: 35-45 [9] IP Traffic Software: http://zti-telecom.com/pages/iptraffic-test-measure.htm [10] Leena Chandran-Wadia, S.Mahajan, & S.Iyer Throughput Performance of the Distributed and Point Coordination Functions of an IEEE 802.11 Wireless LAN http://www.it.iitb.ac.in/~sri/papers/dot11-iccc02.pdf [11] Matthew Gast (2002), 802.11 Wireless Networks: The Definition Guide O’Reilly [12] RFC894: A Standard for Transmisson of IP Datagrams over Ethernet Networks http://www.rfc-editor.org/rfc/rfc894.txt 123 PHơ LơC C¸C KếT QUả ĐO Lớp bảo mật 1 1 2 2 3 3 4 4 Líp b¶o mËt 1 1 2 2 Máy trạm Trong điều kiện mạng bình thường (500kbps) TCP UDP Thời gian đáp Thời gian đáp Thông lượng Thông lỵng øng TCP øng UDP TCP (Bytes/s) UDP (Bytes/s) (sec) (sec) 69544 58,48 65751 58,365 69526 58,491 65752 58,363 69526 58,508 65722 58,39 69586 58,48 65719 58,393 68772 59,155 65019 59,021 69390,8 58,6228 65592,6 58,5064 69548 58,479 65719 58,393 69485 58,555 65753 58,363 69565 58,477 65068 58,978 69599 58,462 65751 58,365 69589 58,495 66035 58,114 69557,2 58,4936 65665,2 58,4426 69439 58,567 65719 58,393 68727 59,196 65753 58,363 69512 58,508 65720 58,392 69547 58,479 65719 58,393 69534 58,51 65663 58,442 69351,8 58,652 65714,8 58,3966 69563 58,486 65751 58,365 69558 58,508 65758 58,358 69580 58,48 65753 58,361 69593 58,466 65655 58,45 69428 58,581 65672 58,455 69544,4 58,5042 65717,8 58,3978 Trong ®iỊu kiƯn mạng nghẽn (12Mbps) TCP UDP Thời gian đáp Thời gian đáp Thông lượng Thông lượng ứng TCP ứng UDP TCP (Bytes/s) UDP (Bytes/s) (sec) (sec) 553469 7,379 498921 7,692 552538 7,258 503868 7,616 563314 7,248 509534 7,787 548935 7,437 504270 7,868 541567 7,537 502897 7,88 551964,6 7,3718 503898 7,7686 555476 7,347 480219 7,991 553797 7,373 505046 7,598 524780 7,781 495324 7,748 535272 7,626 511016 7,51 530112 7,702 514030 7,466 124 3 3 4 4 Líp b¶o mËt 1 1 2 2 3 3 4 4 Líp b¶o mËt 539887,4 543073 538846 519404 525948 515781 528610,4 523012 536641 525758 524499 518230 525628 7,5658 7,448 7,498 7,684 7,513 7,718 7,5722 7,805 7,607 7,763 7,781 7,879 7,767 501127 485990 504563 509344 498950 506403 501050 485889 504564 510344 488956 506209 499192,4 7,6626 7,896 7,608 7,49 7,84 7,581 7,683 7,898 7,606 7,52 7,848 7,584 7,6912 M¸y trạms Trong điều kiện mạng nghẽn (12Mbps) TCP UDP Thời gian đáp Thời gian đáp Thông lượng Thông lượng ứng TCP øng UDP TCP (Bytes/s) UDP (Bytes/s) (sec) (sec) 632128 12,914 634938 12,088 629242 13,276 637587 12,038 646239 12,728 629360 12,195 614935 12,499 638954 12,012 641250 12,418 654129 11,733 632758,8 12,767 638993,6 12,0132 640527 12,748 650389 11,796 634398 12,866 632139 12,141 645371 12,651 637040 12,048 649212 12,574 629940 12,184 647250 12,611 626000 12,238 643351,6 12,69 635101,6 12,0814 634071 12,874 632215 12,14 630007 12,964 625142 12,277 617140 13,231 640015 11,988 623858 13,078 626281 12,269 644123 12,671 602529 12,738 629839,8 12,9636 625236,4 12,2824 641107 12,745 628693 12,208 606322 13,478 632932 12,126 619408 13,19 624425 12,291 589088 13,893 597670 12,842 588730 13,864 635649 12,074 608931 13,434 623873,8 12,3082 Máy trạms Trong điều kiện mạng nghẽn (12Mbps) TCP UDP Thời gian đáp Thời gian đáp Thông lượng Thông lượng ứng TCP ứng UDP TCP (Bytes/s) UDP (Bytes/s) (sec) (sec) 125 1 1 682287 680262 681720 682368 681560 681639,4 682698 680577 679653 681379 679953 680852 679918 679973 675889 675681 679954 678283,00 666786 663957 665570 666473 663962 665349,6 17,945 681236 16,881 18,002 679692 16,938 17,978 686414 16,772 17,899 677679 16,988 17,997 683642 16,84 17,9642 681732,6 16,8845 17,995 675825 16,981 18,003 679682 16,948 18,007 681414 16,871 17,998 675009 17,083 18,005 673902 17,064 18,0016 677166,4 16,9894 18,016 671726 17,139 18,005 673586 17,092 18,017 668696 17,208 18,018 670742 17,164 18,015 671617 17,141 18,0142 671273,40 17,1488 18,268 668472 17,222 18,459 666417 17,219 18,409 670626 17,167 18,173 670470 17,171 18,453 661862 17,344 18,3524 667569,4 17,2246 Máy trạm Throughput điều kiện mạng nghẽn (12Mbps) với kích thước gói khác TCP UDP Thời gian đáp Thời gian đáp Lớp bảo mật Thông lượng Thông lượng ứng TCP ứng UDP TCP (Bytes/s) UDP (Bytes/s) (sec) (sec) Lo¹i 100 438051 1,265 177,497 439743 1,26 167,61 4,236 430088 1,29 173,185 4,1 442077 1,256 175,634 4,042 445740 1,242 167,366 4,242 439139,8 1,2626 172,2584 4,124 413604 1,343 165356 4,294 409154 1,158 161360 4,4 414354 1,34 166352 4.268 415678 1,332 161591 4,394 433242 1,279 166049 4,276 417206,4 1,2904 164141,6 857,0728 Lo¹i 500 497760 5,567 466397 5,81 499232 5,55 442567 6,123 472523 5,863 459944 5,892 478692 5,788 450035 6,022 126 4 4 Lo¹i 1000 2 2 4 4 Lo¹i 1500 2 2 4 4 500037 489648,8 472676 497278 488421 497244 474115 485946,8 5,541 5,6618 5,861 5,573 5,673 5,572 5,844 5,7046 452165 454221,6 431693 414245 416065 403610 401323 413387,2 5,993 5,968 6,278 6,542 6,513 6,714 6,753 6,56 532346 565552 556498 557006 542074 550695,2 553298 551479 560333 557104 559420 556326,8 10,156 9,559 9,716 9,706 9,973 9,822 9,771 9,803 9,649 9,704 9,664 9,7182 617974 610430 627273 615951 620021 618329,8 602558 602341 600050 606551 599796 602259,2 8,431 8,535 8,306 8,458 8,403 8,4266 8,646 8,65 8,683 8,59 8,686 8,651 510607 502954 511182 514112 506044 508979,8 477469 460881 461910 480265 465120 469129 16,277 16,526 16,259 16,166 16,425 16,3306 17,406 17,69 17,995 17,306 17,869 17,6532 525857 538703 532777 533780 522291 530681,6 523492 510086 524791 523877 525894 521628 14,986 14,628 14,79 14,763 15,087 14,8508 15,05 15,448 15,015 15,042 14,984 15,1078 127 Mét sè h×nh ảnh minh họa Minh họa cách thiết lập lọc địa MAC AP D-Link 2100AP Màn hình thu thập liệu TCP chương trình Ethereal 128 Màn hình thu thập liệu TCP IP Traffic cửa sổ Ethereal Màn hình thu thập liệu UDP cđa IP Traffic vµ mét cưa sỉ cđa Ethereal ... ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC LONG KHẢO SÁT HIỆU QUẢ HOẠT ĐỘNG CỦA MẠNG WLAN 802. 11b VƠÍ MỘT SỐ CƠ CHẾ BẢO MẬT THÔNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH KỸ THUẬT ĐIỆN TỬ NGƯỜI HƯỚNG... chn IEEE 802. 11 với số chế bảo mật thông dụng, sử dụng nhiều máy trạm Đề tài nghiên cứu ảnh hưởng chế mà hóa bảo mật liệu lên hiệu suất (được xét yếu tố thời gian đáp ứng (response time) thông lượng... (throughput)) mạng có tắc 15 nghẽn mạng không tắc nghẽn Trên sở đó, ta rút ưu nhược điểm phương pháp bảo mật thông dụng, từ lựa chọn phương thức bảo mật phù hợp làm việc với mạng WLAN nhằm đạt hiệu kinh