Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Стандарт 802.11r для безопасной Wi-Fi-мобильности

Дэйв Молта

Чтобы сети Wi-Fi стали хорошей платформой для мобильных приложений и систем телефонии, они должны обеспечивать безопасную и стабильную мобильную связь. А для этого в указанных сетях необходимо реализовать надежно работающие функции аутентификации пользователей, шифрования данных, быстрого роуминга клиентов между точками доступа (ТД) и обеспечения нужного качества обслуживания (Quality of Service — QoS) трафика.

Корпоративным ИТ-профессионалам стоит обратить внимание на деятельность проблемной группы IEEE 802.11r, которая разрабатывает одноименный стандарт на функции быстрого и безопасного роуминга. Процесс разработки этого стандарта должен быть закончен в конце текущего или начале следующего года, а производители оборудования для корпоративных беспроводных ЛВС (БЛВС) широко поддерживать его начнут в 2008 г.

Стандарт IEEE 802.11r будет весьма востребованным. Дело в том, что в связи с распространением двухрежимных трубок, способных работать в сотовых сетях и БЛВС, ожидается значительный рост интереса пользователей к услугам передачи голоса по технологиям Wi-Fi (Voice over Wi-Fi — Vo-Fi). Сегодня многие компании уже перешли с каналов VPN и перехватывающих порталов (captive portals) на архитектуры безопасности БЛВС, соответствующие стандартам 802.11i и WPA2. Не лишне также отметить, что производители давно предлагают фирменные решения для безопасной мобильной связи по БЛВС, и многие базовые элементы стандарта 802.11r уже прошли проверку в действующих сетях.

Учитывая необходимость в интеграции функций быстрого роуминга с функциями обеспечения информационной безопасности и QoS по стандартам 802.11i и 802.11e соответственно, разработка стандарта 802.11r представляет собой непростую задачу. Поэтому неудивительно, что его авторы проектируют сложную сетевую архитектуру, причем хорошо то, что для ее реализации не потребуется модернизировать или заменять все имеющееся на предприятии сетевое оборудование. Однако с конфигурированием ПО быстрого и безопасного роуминга придется повозиться.

Безопасность и качество связи

Стимулом к разработке стандарта 802.11r стало прогнозируемое аналитиками распространение приложений и сервисов (включая Vo-Fi), чувствительных к времени задержки передачи пакетов. Большинство производителей средств Vo-Fi выступают за организацию предназначенных для голосовой связи виртуальных БЛВС с WEP-шифрованием (ненадежный метод защиты данных) и разнообразными функциями (по большей части фирменными) приоритизации голосового трафика.

Но это уже вчерашний день. В Vo-Fi-системах завтрашнего дня будут использоваться передовые методы аутентификации пользователей и генерации динамических ключей шифрования, описанные в стандарте 802.11i, а также механизмы QoS, определенные в стандарте 802.11e. К сожалению, модернизация сети для поддержки указанных стандартов при сохранении быстрого роуминга между ТД может оказаться весьма сложной задачей. При роуминге клиента выполнение полной процедуры аутентификации по стандарту 802.11i создает задержку с подключением его к новой ТД (а значит, и прерывание связи) в несколько сот миллисекунд. В новом методе Fast BSS Transition, определенном стандартом 802.11r, процесс подключения существенно упрощен.

Стандарт 802.11r призван обеспечить время роуминга около 50 мс, гарантируя информационную безопасность и необходимый уровень QoS. Можно сказать, что он эффективно адаптирует функции обеспечения информационной безопасности и механизмы QoS, определенные стандартами 802.11i и 802.11e соответственно, к нуждам пользователей мобильной связи. Компании, которые уже начали или завершили внедрение у себя решений, соответствующих стандартам 802.11i и WPA2, наверняка захотят воспользоваться всеми достоинствами средств нового стандарта.

Разработка стандарта 802.11r была инициирована в 2004 г. с целью устранения связанных с роумингом ограничений, характерных для стандарта 802.11i. Институт IEEE одобрил стандарт 802.11i и создал проблемную группу 802.11r. В ее работе активно участвуют представители компаний Aruba, Broadcom, Cisco, Intel, Motorola, Nokia, SpectraLink, Texas Instruments и др. В проблемной группе Enterprise Voice over Wi-Fi организации Wi-Fi Alliance изучаются вопросы организации тестирования оборудования на совместимость при быстром роуминге. План сертификационных испытаний предполагается разработать в начале 2008 г.

Быстрый роуминг

Процесс аутентификации пользователей по стандарту 802.11i быстрым не назовешь. И хотя для уменьшения времени роуминга в этом стандарте предусмотрены такие механизмы, как кеширование парного главного ключа и предварительная аутентификация, они не получили широкой поддержки со стороны производителей оборудования для БЛВС. Согласно стандарту 802.11i, если клиенту нужно подключиться к новой ТД, он должен обменяться с нею ассоциирующими сообщениями. После аутентификации пользователя генерируется главный сеансовый ключ. В стандарте же 802.11r определено, что процедуры аутентификации и распределения ключей должны осуществляться до роуминга.

В этом стандарте введено понятие «быстрый роуминг» (fast hand-off), для осуществления которого аутентификация осуществляется только один раз — при входе клиента в мобильный домен. Последующие переходы его внутри этого домена делаются с использованием криптографического материала, полученного в результате первоначальной аутентификации. Тем самым уменьшается время роуминга и снижается нагрузка на серверы аутентификации.

В стандарте 802.11r для безопасного кеширования и распределения ключей шифрования предусмотрена новая иерархическая система управления ключами. В этой многоуровневой системе держатель ключей самого верхнего уровня (например, контроллер БЛВС) имеет доступ к исходному криптографическому материалу и отвечает за генерацию ключей более низкого уровня для их держателей (ТД). Алгоритмы генерации ключей по стандарту 802.11r базируются на использовании односторонней хеш-функции, гарантирующей, что при определении злоумышленником ключа низкого уровня он не сможет с его помощью взломать исходный главный ключ.

В стандарте, о котором идет речь, уделено внимание и вопросам обеспечения QoS. Ведь, даже если устройство Wi-Fi при подсоединении к сети резервирует определенные ресурсы с целью достижения нужного уровня QoS, при переходе к новой ТД параметры QoS автоматически не сохраняются. Стандартом 802.11r предусмотрен опциональный механизм, позволяющий клиенту запросить ресурсы QoS на целевой ТД, прежде чем принимать решение о роуминге.

Представители большинства фирм-производителей, с которыми мы разговаривали, заявили, что они реализуют поддержку стандарта 802.11r в своих продуктах. Однако компании Aruba, Cisco и Meru уже разработали свои собственные (фирменные) механизмы быстрого роуминга, и не ясно, как скоро они перейдут на стандартизированный механизм. Также ничего нельзя сказать о темпах модернизации клиентских устройств. Можно предположить, что, включив поддержку стандарта 802.11r в свои спецификации CCX, компания Cisco сыграет ключевую роль в расширении применения средств этого стандарта..


сайт пакетов упаковочных полипропиленовых




  
12 '2007
СОДЕРЖАНИЕ

инфраструктура

• Стандарт 802.11r для безопасной Wi-Fi-мобильности

• Отвод тепла от стоичного оборудования в ЦОДах

• Удаленное управление по дополнительному каналу

сети связи

• Качество речи в IP-сетях

• Гладкий межсетевой роуминг-почти реальность

кабельные системы

• Оптические инфраструктуры: волокна и кабели

• Кабельные каналы для сетей 10-Gigabit Ethernet

• Прокладка кабелей в ЦОДе: под фальшполом или у потолка?

информационные системы

• Здравствуй бизнес-интеллект!

• "Вытягиваем" производительность виртуальных машин

защита данных

• Контроль за безопасностью приложений Ajax

новые продукты

• MetroScope - комплексное решение для тестирования сетей Ethernet/IP;ИБП серии ITYS компании Socomec UPS


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх