moneyandlove_you_choncainao
New Member
Link tải luận văn miễn phí cho ae Kết Nối
Đồ án Mạng nội hạt vô tuyến WLAN
MỤC LỤC
THUẬT NGỮ VIẾT TẮT 1
LỜI NÓI ĐẦU 5
CHƯƠNG I. TỔNG QUAN VỀ MẠNG WLAN 1
1.1 Sự cần thiết của mạng WLAN 1
1.2 Quá trình phát triển của mạng WLAN 3
1.3 Các thành phần của mạng WLAN 4
1.3.1 Các card giao diện mạng vô tuyến 4
1.3.2 Các điểm truy nhập vô tuyến 4
1.3.3 Các cầu nối vô tuyến từ xa 5
1.4 Kiến trúc giao thức WLAN 5
1.5 Cấu hình WLAN 7
1.6 Phân loại mạng WLAN 9
1.6.1 Các LAN vô tuyến 9
1.6.1.1 Trải phổ chuỗi trực tiếp (DSSS) 9
1.6.1.2 Trải phổ nhảy tần (FHSS) 11
1.6.1.3 So sánh các mạng WLAN DSSS và FHSS 13
1.6.1.4 Cảm biến sóng mang 15
1.6.2 Các mạng LAN hồng ngoại 16
1.6.3 Các mạng LAN trực tiếp và khuyếch tán 17
1.6.4 Các đặc tính của các mạng LAN hồng ngoại 18
CHƯƠNG II. CÁC TIÊU CHUẨN CỦA MẠNG WLAN 19
2.1 Giới thiệu về các tiêu chuẩn 19
2.2 Tiêu chuẩn IEEE 802.11 21
2.2.1 Kiến trúc mạng IEEE 802.11 21
2.2.2 Mô hình tham chiếu IEEE 802.11 cơ sở 22
2.3 Lớp vật lý IEEE 802.11 23
2.3.1 Các khuôn dạng gói dữ liệu chung 23
2.3.2 Lớp vật lý DSSS 24
2.3.3 Lớp vật lý FHSS 25
2.3.4 Lớp vật lý hồng ngoại 27
2.4 Lớp điều khiển truy nhập môi trường IEEE 802.11 29
2.4.1 Đơn vị dữ liệu giao thức MAC 802.11 tổng quát 29
2.4.2 Các khoảng trống liên khung 30
2.4.3 Chức năng phối hợp phân tán 31
2.4.4 Chức năng phối hợp điểm 37
2.4.5 Kết hợp và tái kết hợp 39
2.4.6 Nhận thực và bảo mật 39
2.4.7 Đồng bộ hoá 40
2.4.8 Quản lý công suất 41
2.4.9 Quá trình phân mảnh gói 42
2.5 Tiêu chuẩn HIPERLAN Type I 43
2.5.1 Lớp vật lý 43
2.5.2 So sánh các đặc tính kỹ thuật giữa IEEE 802.11 và HIPERLAN 45
2.5.3 Lớp điều khiển truy nhập môi trường HIPERLAN Type I 45
2.5.4 Chuyển tiếp nội bộ 47
2.5.5 Nút ẩn 49
2.5.6 Chất lượng dịch vụ 49
2.5.7 Quản lý công suất 49
2.5.8 An ninh 50
2.6 Chuẩn WLIF OpenAir 50
2.7 Chuẩn HomeRF SWAP 50
2.7.1 Cấu hình mạng 51
2.7.2 Ứng dụng 52
2.8 Chuẩn Bluetooth 52
2.8.1 Tính cần thiết của chuẩn Bluetooth 52
2.8.2 Các đặc tả kỹ thuật Bluetooth 53
2.8.3 Các kiểu kết nối 53
2.8.4 Nhận thực và bảo mật 54
2.8.5 Tiêu thụ công suất 54
2.8.6 Sửa lỗi 54
2.8.7 Các phát triển trong tương lai 55
2.9 Các chuẩn W3C và WAP 55
2.9.1 W3C 55
2.9.2 Diễn đàn WAP-WAP Forum 56
2.10 Chuẩn kết hợp dữ liệu hồng ngoại 56
2.11 Tổng kết 58
CHƯƠNG III. CÁC VẤN ĐỀ CỦA MẠNG WLAN 59
3.1 Các vấn đề khi triển khai WLAN 59
3.1.1 Nút ẩn 59
3.1.2 Theo dõi công suất 61
3.1.3 Các vật cản LAN truyền tín hiệu 62
3.1.4 Các nguồn nhiễu vô tuyến 63
3.2 Các phương pháp nâng cao chất lượng WLAN 63
3.2.1 Cấu hình đa kênh 63
3.2.2 Hoạt động đa kênh đối với các WLAN DSSS 2.4 GHz 64
3.2.3 Hoạt động đa kênh đối với WLAN FHSS 2.4 GHZ 64
3.2.4 Lọc lưu lượng mạng 65
3.2.5 Giảm tốc độ dữ liệu (Fall back) 66
3.2.6 Chuyển vùng và chuyển giao 66
3.2.7 Cân bằng tải 67
3.2.8 Đảm bảo truy nhập vô tuyến 67
3.2.9 Quản lý công suất 68
3.3 An ninh mạng WLAN 68
3.3.1 Giới thiệu 68
3.3.2 Các tập giải pháp an ninh mạng cho WLAN 69
3.3.2.1 Mã hoá 69
3.3.2.2 Giao thức WEP 70
3.3.2.3 Các tiêu chuẩn mã hoá dữ liệu 70
3.3.2.4 Nhận thực 71
3.3.2.5 Lớp khe cắm an ninh SSL 71
3.3.2.6 Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập) 72
3.3.2.7 Giao thức nhận thực mở rộng (EAP) 72
3.3.2.8 802.1x 72
3.3.2.9 Nhận thực 73
3.3.2.10 Mạng riêng ảo 73
3.3.3 Các kiểu tấn công an ninh vô tuyến điển hình 73
3.3.3.1 WEP Cr-acking - bẻ gãy WEP 74
3.3.3.2 Tấn công địa chỉ MAC 74
3.3.3.3 Các tấn công gây ra bởi một người ở vị trí trung gian 74
3.3.3.4 Các tấn công dạng từ điển 75
3.3.3.5 Tấn công phiên 75
3.3.3.6 Từ chối dịch vụ (DoS) 75
3.3.3.7 Các giải pháp tương lai ngăn chặn các tấn công vào mạng WLAN 76
3.3.4 An ninh trong thực tế 76
3.3.4.1 Khu vực nhà ở và văn phòng nhỏ – Yêu cầu an ninh thấp 77
3.3.4.2 Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh trung bình 78
3.3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao 78
3.3.4.4 An ninh truy nhập công cộng 80
3.3.5 Các hướng phát triển trong tương lai 80
3.3.6 Kết luận 81
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh 81
3.3.7.1 Nhận thực 81
3.3.7.2 Kiểm tra dư chu trình CRC 81
3.3.7.3 Chữ ký số/ chứng chỉ số 81
3.3.7.4 Tường lửa 82
3.3.7.5 Kerberos 82
3.3.7.6 Tính toàn vẹn 82
3.3.7.7 Chuyển đổi khoá Internet (IKE) 83
3.3.7.8 IPSec 83
3.3.7.9 LEAP 83
3.3.7.10 Điều khiển truy nhập môi trường (MAC) 83
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP) 83
3.3.7.12 Hạ tầng khoá chung (PKI) 84
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS) 84
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID) 84
3.3.7.15 An ninh lớp truyền tải (TLS) 84
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS) 84
KẾT LUẬN 85
TÀI LIỆU THAM KHẢO 86
CHƯƠNG I. TỔNG QUAN VỀ MẠNG WLAN
1.1 Sự cần thiết của mạng WLAN
Các mạng LAN sử dụng cáp để kết nối các máy tính, các file server, các máy in và các thiết bị mạng khác. Các mạng này cho phép người sử dụng trao đổi thông tin với nhau qua thư điện tử và truy nhập các chương trình ứng dụng đa người sử dụng và các cơ sở dữ liệu dùng chung. Để kết nối tới một mạng LAN, thiết bị người sử dụng phải được kết nối vật lý tới một lối ra hay một khe cắm cố định, vì thế mà tạo ra một mạng có ít hay nhiều nút cố định. Việc di chuyển từ một vị trí này đến một vị trí khác cần ngắt kết nối khỏi mạng LAN và thực hiện tái kết nối ở một vị trí mới. Việc mở rộng mạng LAN bắt buộc phải lắp đặt thêm cáp, quá trình này tốn nhiều thời gian, chiếm nhiều không gian hơn và làm tăng đáng kể chi phí ban đầu. Các yếu tố này làm cho mạng LAN hữu tuyến có chi phí cao và khó khăn khi lắp đặt, bảo dưỡng và nhất là khi sửa chữa.
Các mạng WLAN đem lại lợi ích cho người sử dụng di động và cho quá trình triển khai mạng linh hoạt trong các mạng tính toán nội hạt. Khi di động, người sử dụng di chuyển giữa các vị trí khác nhau trong môi trường mạng LAN mà không làm mất kết nối. Một điểm thuận lợi của WLAN là khả năng linh hoạt trong việc cấu hình lại hay bổ sung nút mới vào mạng mà không phải quy hoạch lại mạng và không mất chi phí cho việc tái lắp đặt cáp, vì vậy mà làm cho việc nâng cấp trong tương lai trở nên đơn giản và không tốn kém. Khả năng đối phó với các thành phần của một mạng LAN động được tạo ra bởi các người sử dụng di động và các thiết bị tính toán cầm tay là một yếu tố quan trọng khác cần xem xét đến khi lựa chọn một mạng WLAN. Vì thế, việc sử dụng rộng rãi các máy tính xách tay và các thiết bị kỹ thuật số cá nhân cầm tay đã dẫn tới mức độ phụ thuộc càng tăng lên vào các mạng WLAN trong những năm gần đây. Hiện nay có khoảng 40 sản phẩm WLAN có mặt trên thị trường. Người ta hy vọng là nó sẽ còn tăng hơn nữa với sự xuất hiện gần đây của các tiêu chuẩn WLAN HIPERLAN và IEEE 802.11.
Mạng WLAN khác với các mạng vô tuyến diện rộng ở chỗ quá trình truyền thông tin số bằng vô tuyến tế bào hay vô tuyến gói. Vì các hệ thống này phủ sóng ở khoảng cách lớn, chúng đòi hỏi cơ sở hạ tầng đắt tiền, chúng cho phép các tốc độ dữ lỉệu thấp và yêu cầu người sử dụng trả tiền theo thời gian sử dụng độ rộng băng thông hay việc sử dụng cơ sở. Tuy nhiên ở trong nhà hay khu vực địa lý bị giới hạn các mạng WLAN không yêu cầu chi phí sử dụng và cho phép tốc độ số liệu cao hơn.
Các mạng WLAN cho phép tốc độ dữ liệu cao hơn 1Mbps và thường được sử dụng để truyền dữ liệu giữa các máy tính trong một toà nhà. Với khả năng quảng bá, các mạng WLAN cũng cho phép thực hiện các dịch vụ phát quảng bá và dịch vụ truyền từ điểm tới đa điểm mặc dù các dịch vụ này phải được bảo vệ để tránh khỏi các truy nhập trái phép.
Trong cấu hình của một mạng WLAN điển hình (Hình 1.1), một thiết bị phát/thu (bộ thu phát) gọi là điểm truy nhập kết nối tới một mạng hữu tuyến từ một vị trí cố định. Điểm truy cập thực hiện thu, lưu đệm và phát các gói số liệu giữa mạng WLAN và cơ sở hạ tầng mạng hữu tuyến. Một điểm truy cập riêng lẻ có thể hỗ trợ một nhóm các nút di động và có thể thực hiện chức năng trong phạm vi vài trăm mét. Anten gắn với điểm truy nhập thường được đặt cao nhưng cũng có thể được đặt bất cứ chỗ nào có thể được miễn là đảm bảo được vùng phủ sóng theo yêu cầu. Các thiết bị đầu cuối người sử dụng trao đổi thông tin với điểm truy nhập qua các bộ thích ứng WLAN, các bộ thích ứng này được thực hiện như là các card PC trong các máy tính xách tay, các card PCI hay các card ISA trong các máy tính để bàn hay các thiết bị tích hợp toàn bộ trong các máy tính cầm tay (các thiết bị hỗ trợ cá nhân kỹ thuật số, các máy tính cá nhân cầm tay dùng bút điều khiển) và các máy in. Các bộ thích ứng WLAN cung cấp một giao diện giữa hệ điều hành mạng khách và đường kết nối vô tuyến thông qua một anten. Điều này cho phép các đặc tính vật lý của kết nối vô tuyến trở nên trong suốt đối với hệ điều hành mạng. Các mạng WLAN sử dụng các thiết bị máy tính di động được gọi là các mạng LAN không dây. Thuật ngữ ‘không dây’ nhấn mạnh thực tế rằng các mạng LAN này bỏ đi dây nguồn cũng như cáp mạng.
Hình 1.1: Cấu hình một mạng WLAN điển hình
1.2 Quá trình phát triển của mạng WLAN
Lịch sử phát triển của các mạng WLAN được sơ lược qua 3 thế hệ:
• Thế hệ đầu: Hoạt động tại các băng tần 900-928 MHz (băng tần ISM), với tốc độ thấp hơn 860Kbps. Do hạn chế về băng tần (nhiều ứng dụng vô tuyến khác từng chạy trên băng tần này) nên các công nghệ ở giai đoạn này không phát triển mạnh.
• Thế hệ thứ hai: Hoạt động tại băng tần 2,4-2,483 GHz, tốc độ đạt 2 Mbps, sử dụng kỹ thuật trải phổ và ghép kênh nhưng cũng bị hạn chế về băng tần.
• Thế hệ thứ ba: Hoạt động tại các băng tần 2,4 GHz (sử dụng các phương pháp điều chế phức tạp hơn) đạt tốc độ 11 Mbps, 5 GHz và 17 GHz, tốc độ lên tới 54 Mbps.
Hình 1.2: Quá trình phát triển của mạng WLAN
Các tổ chức tiêu chuẩn lớn như IEEE và ETSI liên tục đưa ra và cập nhật các tiêu chuẩn cho WLAN 802.11, và HIPERLAN của mình.
Dải tần 900 MHz 2.4 GHz 5 GHz
Ưu điểm Vùng phủ sóng rộng hơn, sử dụng cho các mạng LAN trong nhà - Được sử dụng rộng rãi hiện nay
- Theo chuẩn IEEE 802.11
- Tốc độ dữ liệu cao hơn (khoảng 10 Mbps) - Đã có trên thị trường
- Theo chuẩn IEEE 802.11
- Tốc độ dữ liệu cao (khoảng 20 Mbps)
Nhược điểm - Tốc độ dữ liệu tối đa là 1 Mbps
- Băng thông hẹp - Dải băng tần ‘đông đúc’ - Vùng phủ sóng gần hơn
- Dải băng tần ngày càng ‘đông đúc’ - Vùng phủ sóng gần nhất
- Chi phí cho các thiết bị vô tuyến cao hơn
Bảng 1: So sánh các dải băng tần đang hoạt động
1.3 Các thành phần của mạng WLAN
Các thành phần của mạng WLAN bao gồm các card giao diện mạng vô tuyến, các điểm truy nhập vô tuyến, và các cầu nối vô tuyến từ xa.
1.3.1 Các card giao diện mạng vô tuyến
Các card giao diện mạng vô tuyến không khác nhiều so với các card thích ứng sử dụng cho mạng LAN hữu tuyến. Giống như các card thích ứng mạng hữu tuyến, card giao diện mạng vô tuyến trao đổi thông tin với hệ điều hành mạng thông qua một trình điều khiển dành riêng vì thế mà cho phép các ứng dụng sử dụng mạng vô tuyến cho quá trình truyền dữ liệu. Tuy nhiên, không giống như các card thích ứng của mạng hữu tuyến các card này không cần bất kỳ dây cáp nào kết nối chúng tới mạng và điều này cho phép tái lắp đặt các nút mạng mà không cần chuyển đổi cáp mạng hay thay đổi các kết nối tới các bảng mạch hay các bộ tập trung (hub).
1.3.2 Các điểm truy nhập vô tuyến
Hình 1.3: Điểm truy nhập vô tuyến
Các điểm truy nhập tạo ra các vùng phủ vô tuyến, các vùng này kết nối các nút di động tới các cơ sở hạ tầng mạng hữu tuyến hiện có. Điều này cho phép một mạng WLAN trở thành một phần mở rộng của mạng hữu tuyến. Bởi vì các điểm truy nhập cho phép khả năng mở rộng một vùng phủ sóng vô tuyến, các mạng WLAN là rất ổn định và các điểm truy nhập bổ sung có thể được triển khai trong một toà nhà hay khuôn viên trường đại học nhằm tạo ra các vùng truy nhập vô tuyến rộng lớn. Các điểm truy nhập không những cho phép quá trình truyền thông với mạng hữu tuyến mà còn thực hiện lọc lưu lượng và thực hiện các chức năng cầu nối tiêu chuẩn. Chức năng lọc giúp cho việc đảo băng thông trên liên kết vô tuyến bằng cách xoá bỏ lưu lượng dư thừa. Do băng thông không đối xứng giữa phương tiện truyền thông vô tuyến và hữu tuyến, nên điều quan trọng đối với điểm truy nhập là cần có các tài nguyên bộ nhớ và một bộ đệm thích hợp. Các bộ đệm cần thiết cho việc lưu trữ các gói dữ liệu tại điểm truy nhập khi một nút di động tạm thời di chuyển ra khỏi một vùng phủ vô tuyến hay khi một nút di động hoạt động ở chế độ công suất thấp.
Các điểm truy nhập truyền thông với nhau qua mạng hữu tuyến để quản lý các nút di động. Một điểm truy nhập không cần điều khiển truy nhập từ các nút di động khác (tức là nó có thể hoạt động với một giao thức truy nhập ngẫu nhiên phân bố như là CDMA chẳng hạn). Tuy nhiên, sẽ thuận lợi hơn khi sử dụng một giao thức đa truy nhập tập trung hoá được điều khiển bởi một điểm truy nhập. Các tuỳ chọn giao diện mạng hữu tuyến nói chung tới một điểm truy nhập bao gồm 10Base2, 10BaseT, modem cáp, modem ADSL và ISDN. Một số card giao diện mạng vô tuyến có thể sử dụng kết hợp với các điểm truy nhập vô tuyến.
1.3.3 Các cầu nối vô tuyến từ xa
Các cầu nối vô tuyến từ xa tương tự như các điểm truy nhập ngoại trừ việc chúng được sử dụng chủ yếu cho các kết nối bên ngoài. tuỳ từng trường hợp vào khoảng cách và vùng phủ có thể có thêm các anten ngoài. Các cầu như vậy được thiết kế để liên kết các mạng với nhau, đặc biệt là trong các toà nhà và ở khoảng cách xa khoảng 32 km. Chúng cho phép khả năng lựa chọn nhanh chóng và kinh tế so với việc lắp đặt cáp hay triển khai các đường điện thoại dùng riêng và thường được sử dụng khi các kết nối hữu tuyến truyền thống là không khả thi (chẳng hạn khi triển khai qua sông suối, qua địa hình gồ ghề, qua các khu vực riêng, qua đường cao tốc). Không giống như các kết nối bằng cáp và các mạch điện thoại dành riêng, các cầu nối vô tuyến có khả năng lọc lưu lượng và đảm bảo rằng các mạng được kết nối không bị chồng lấp bởi các lưu lượng không cần thiết. Các cầu nối này cũng có thể làm việc như là các thiết bị an ninh nội bộ bởi vì chúng chỉ đọc các địa chỉ đã được mã hoá vào trong các bộ thích ứng LAN (tức là các địa chỉ MAC), vì vậy mà ngăn chặn thành công các quá trình truyền thông giả mạo.
1.4 Kiến trúc giao thức WLAN
Các mạng WLAN khác với các mạng hữu tuyến truyền thống cơ bản ở lớp vật lý và ở phân lớp điều khiển truy nhập môi trường (MAC) trong mô hình OSI (Open System Interconnection - mô hình tham chiếu các hệ thống mở). Những khác biệt này cho phép khả năng sử dụng hai phương pháp cung cấp điểm giao diện vật lý cho các mạng WLAN. Nếu điểm giao diện vật lý ở lớp điều khiển liên kết logic LLC thì phương pháp này thường yêu cầu một trình điều khiển người dùng để hỗ trợ các phần mềm mức cao hơn như là hệ điều hành mạng chẳng hạn. Một giao diện như vậy cho phép các nút di động truyền thông trực tiếp với một nút khác sử dụng các card giao diện mạng vô tuyến. Điểm giao diện logic khác ở phân lớp MAC và được sử dụng bởi các kết nối vô tuyến. Vì lý do này, các điểm truy nhập vô tuyến thực hiện các chức năng cầu nối và các chức năng không định tuyến. Mặc dù giao diện MAC đòi hỏi kết nối hữu tuyến, nó vẫn cho phép bất cứ một hệ điều hành mạng nào hay một trình điều khiển nào làm việc với mạng WLAN. Một giao diện như vậy cho phép một mạng LAN hữu tuyến hiện có có thể được mở rộng dễ dàng bằng việc cho phép truy nhập đối với các thiết bị mạng vô tuyến mới. Kiến trúc giao thức của một giao diện mạng WLAN điển hình được cho trên Hình 1.4. Các lớp thấp hơn của một card giao diện vô tuyến thường được thực hiện bằng phần mềm chạy trên các bộ xử lý nhúng. Các lớp cao hơn của ngăn xếp giao thức mạng được cung cấp bởi hệ điều hành và các chương trình ứng dụng. Một trình điều khiển mạng cho phép hệ điều hành giao tiếp với phần mềm lớp thấp hơn được nhúng trong các card giao diện mạng vô tuyến. Ngoài ra nó còn thực thi các chức năng LLC chuẩn. Đối với hệ điều hành Window, trình điều khiển nói chung chỉ tương thích với một số phiên bản của của giao diện trình điều khiển mạng (NDIS).
Ngăn xếp giao thức vô tuyến
Lớp các ứng dụng
Lớp vận hành mạng/ hệ thống truyền tải (TCP/IP)
Lớp điều khiển liên kết logic
Lớp điều khiển truy nhập môi trường
Lớp vật lý vô tuyến
Card giao diện mạng
Ngăn xếp giao thức hữu tuyến Ngăn xếp giao
thức vô tuyến
Lớp điều khiển truy nhập môi trường (802.3, 802.5) Lớp điều khiển truy nhập môi trường (có phân mảnh hoá, tái kết hợp, đăng ký, điều khiển lỗi)
Lớp vật lý hữu tuyến Lớp vật lý vô tuyến
Điểm truy nhập
Hình 1.4: Kiến trúc giao thức của các thành phần WLAN
Trong Hình 1.4, các lớp gồm: lớp ứng dụng. lớp vận hành mạng/ hệ thống truyền tải (TCP/IP), lớp điều khiển liên kết logic thuộc về hệ điều hành và trình điều khiển; các lớp điều khiển truy nhập môi trường, lớp vật lý logic thuộc về phần mềm máy tính.
1.5 Cấu hình WLAN
Các mạng WLAN thường có hai kiểu cấu hình mạng hay còn gọi là topo mạng, chúng bao gồm cấu hình độc lập và cấu hình cơ sở như được miêu tả tương ứng trên Hình 1.5 và Hình 1.6.
Hình 1.5: Mạng WLAN độc lập (mạng ad-hoc)
Hình 1.6: Mạng WLAN cơ sở
Cấu hình độc lập hỗ trợ kết nối điểm tới điểm (peer-to-peer) nơi mà các nút di động truyền thông trực tiếp với nhau sử dụng các bộ thích ứng vô tuyến. Bởi vì các mạng độc lập có thể được thực hiện một cách nhanh chóng và đơn giản, chúng thường được tạo ra mà không cần các công cụ hay khả năng đặc biệt nào. Chúng cũng không cần thực hiện việc quản trị mạng. Những cấu hình mạng kiểu như vậy là lý tưởng để đáp ứng các yêu cầu trong kinh doanh hay trong việc thiết lập các nhóm làm việc tạm thời. Tuy nhiên, chúng cũng gặp phải nhiều bất lợi khi vùng phủ sóng bị giới hạn. Một điểm truy nhập có thể mở rộng phạm vi của hai mạng WLAN độc lập bằng cách hoạt động như một bộ lặp, nhân đôi một cách hiệu quả khoảng cách giữa các nút di động.
Các mạng WLAN có cấu hình cơ sở cho phép các nút di động có thể được tích hợp vào trong một mạng hữu tuyến (xem Hình 1.6). Quá trình chuyển đổi từ các phương tiện vô tuyến sang các phương tiện hữu tuyến phải thông qua một điểm truy nhập. Việc thiết kế một mạng WLAN có thể được đơn giản hoá một cách đáng kể nếu các thông tin về mạng và các hiểu biết cần thiết để quản lý mạng được thu thập tại cùng một vị trí. Một điểm truy nhập được định vị ở chính giữa có thể điều khiển và phân quyền truy nhập giữa các nút đang có tranh chấp, cho phép truy nhập dễ dàng tới mạng đường trục, dễ dàng thực hiện gán địa chỉ và các mức ưu tiên, thuận lợi trong việc quản lý quá trình chuyển đi các gói dữ liệu, và theo dõi được đường đi của cấu hình mạng hiện thời. Tuy nhiên, một giao thức đa truy nhập tập trung hoá không cho phép một nút truyền thông tin trực tiếp tới một nút khác mà nút này đang được định vị trong vùng phủ sóng của cùng điểm truy nhập ấy (xem Hình 1.7). Trong trường hợp này, một gói dữ liệu sẽ phải được truyền đi hai lần (lần đầu từ nút nguồn và lần sau là từ điểm truy nhập) trước khi nó đi tới nút đích, quá trình này làm giảm hiệu quả truyền dẫn và làm tăng trễ truyền sóng. Tuy nhiên, các hệ thống như vậy nói chung thường cho phép năng suất truyền dữ liệu lớn hơn, các vùng phủ sóng lớn hơn, và có khả năng cung cấp lưu lượng theo thời gian bao gồm video và thoại. Ngoài ra, một điểm truy nhập được định vị trước theo kế hoạch cũng có thể tối thiểu hoá công suất truyền dẫn và giải quyết các vấn đề về nút ẩn một cách hiệu quả. Lưu ý rằng hầu hết các mạng WLAN sử dụng giao thức phân bố như CSMA dùng cho đa truy nhập, các nút trong mạng cơ sở có thể truyền thông trực tiếp với các nút khác. Tuy nhiên, một vài mạng WLAN cơ sở yêu cầu quá trình truyền dẫn gói phải được đánh địa chỉ duy nhất tới điểm truy nhập ngay cả khi CSMA được chấp nhận. Điểm truy nhập sau đó sẽ chuyển tiếp gói tới đúng nút đích.
Hình 1.7: Mạng WLAN cơ sở được điều khiển tập trung
1.6 Phân loại mạng WLAN
Các mạng WLAN có thể được phân loại thành mạng LAN vô tuyến và LAN hồng ngoại. Các mạng LAN vô tuyến có thể dựa trên quá trình truyền dẫn băng hẹp hay truyền dẫn trải phổ trong khi đó đối với các LAN hồng ngoại có thể là khuyếch tán hay được định hướng. Dưới đây đề cập đến các loại cơ bản của các mạng LAN vô tuyến và hồng ngoại có đánh giá điểm mạnh cũng như điểm yếu của mỗi loại.
1.6.1 Các LAN vô tuyến
Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phổ. Khái niệm về trải phổ đã xuất hiện hơn 50 năm và được khởi xướng từ trong quốc phòng để đảm bảo quá trình truyền thông là tin cậy và an toàn. Trải phổ đề cập đến các sơ đồ tín hiệu dựa trên một số dạng mã hoá (độc lập với thông tin được phát đi) và chúng sử dụng băng thông lớn hơn nhiều so với yêu cầu để truyền tín hiệu. Băng thông lớn hơn có nghĩa là nhiễu và các hiệu ứng fading đa đường chỉ ảnh hưởng một phần đến quá trình truyền dẫn trải phổ. Vì vậy mà năng lượng tín hiệu thu hầu như không đổi theo thời gian. Điều này cho phép tách sóng dễ dàng khi máy thu được đồng bộ với các tham số của tín hiệu trải phổ. Các tín hiệu trải phổ có khả năng hạn chế nhiễu và gây khó khăn cho quá trình phát hiện và chặn tín hiệu trên đường truyền. Có hai kỹ thuật trải phổ: Trải phổ chuỗi trực tiếp (DSSS) và trải phổ nhảy tần (FHSS).
1.6.1.1 Trải phổ chuỗi trực tiếp (DSSS)
Các hệ thống DSSS cho phép truyền dẫn tin cậy với tỷ số tín hiệu trên tạp âm tương đối nhỏ. DSSS trải rộng năng lượng (công suất) của tín hiệu trên một băng thông lớn. Năng lượng trên mỗi đơn vị tần số giảm đi một cách tương ứng. Vì vậy, nhiễu tạo ra bởi các hệ thống DSSS nhỏ hơn đáng kể khi so sánh với các hệ thống băng hẹp. Điều này cho phép các tín hiệu DSSS có thể sử dụng chung một băng tần. Đối với một máy thu không xác định trước, các tín hiệu DSSS xuất hiện như là tạp âm băng rộng công suất thấp và bị loại bỏ bởi hầu hết các bộ thu băng hẹp. Trái lại, kỹ thuật này làm giảm bớt ảnh hưởng của các nguồn nhiễu băng hẹp bằng việc trải rộng chúng ra ở phía máy thu.
DSSS kết hợp luồng số liệu với một mã số tốc độ cao hơn. Mỗi bit số liệu được biến đổi thành một mẫu bit chung mà chỉ có máy phát và máy thu chủ định được biết. Mẫu bit gọi là mã giả tạp âm và mỗi bit trong mã gọi là ‘chip’. Thuật ngữ ‘chip’ được sử dụng để nhấn mạnh rằng một bit trong một mã giả tạp âm tạo thành một phần của bit số liệu thật. Chuỗi các chip trong một chu kỳ chip là ngẫu nhiên nhưng một chuỗi giống như vậy được lặp lại trong mỗi chu kỳ bit, vì vậy mà làm nó trở thành giả ngẫu nhiên hay là ngẫu nhiên một phần. Tốc độ chip của một mã giả tạp âm n-bit cao hơn n lần tốc độ dữ liệu. Tốc độ cao của chuỗi chip dẫn đến kết quả là có một băng thông rất rộng. Tiêu chuẩn 802.11 sử dụng mã 11-chip, tốc độ chip nhanh hơn 11 lần tốc độ số liệu. Mã giả tạp âm càng dài, xác suất khôi phục được tín hiệu ban đầu càng lớn, nhưng khi đó sẽ cần băng thông lớn hơn vì yêu cầu tốc độ dữ liệu cao hơn. Thông thường độ rộng băng thông trải phổ vào khoảng hai lần tốc độ chip. Vì vậy, tốc độ chip 11 Mchip/s chuyển thành độ rộng băng thông trải phổ 22 MHz.
Ở máy thu các chip được giải trải phổ bởi cùng một mã giả tạp âm và được biến đổi ngược lại thành dữ liệu gốc. Tuy nhiên, năng lượng của tạp âm và nhiễu có thể đã được bổ sung thêm trong lúc quá trình truyền dẫn bị trải rộng và do đó bị khử bỏ bởi mã giả tạp âm. Ngoài việc biết được mã giả tạp âm được dùng bởi máy phát thì máy thu cũng phải được đồng bộ một cách chính xác với pha đúng của mã cũng như tốc độ chip của nó. Vì vậy, chức năng quan trọng của cơ chế định thời trong phần mở đầu của một gói DSSS là phải cho phép máy thu đồng bộ với pha đúng của mã giả tạp âm của một gói trong thời gian ngắn nhất có thể được. Vì quá trình truyền dẫn các gói là không đồng bộ, nên mỗi gói DSSS phải được khởi đầu bởi phần mở đầu dành cho các mục đích đồng bộ.
Khi mã giả ngẫu nhiên được tạo ra bởi máy thu được đồng bộ chính xác với tín hiệu thu quá trình giải trải phổ tạo ra đỉnh cực trị của quá trình tự tương quan cao. Nếu mã giả ngẫu nhiên được dịch đi một hay nhiều khoảng cách chip, ta có quá trình tự tương quan thấp. Tương tự như vậy, tạp âm và nhiễu có thể được thêm vào tín hiệu thu tạo ra quá trình tự tương quan thấp bởi vì chúng không tương quan với mã giả ngẫu nhiên. Điều này tạo ra một đỉnh cực trị đơn lẻ giữa khoảng cách mỗi bit. Khi truyền dẫn qua đường truyền vô tuyến có rất ít trải trễ, đường bao sóng của tín hiệu thu hay là được tăng cường hay là bị giảm đi nhưng đỉnh cực trị không bị ảnh hưởng. Bởi vì đỉnh cực trị tự tương quan xuất hiện định kỳ các máy thu DSSS có thể khoá các đỉnh cực trị này một cách đơn giản khi mã hoá dữ liệu sau khi chúng đạt được quá trình đồng bộ hoá ban đầu. Điều này ngụ ý rằng ngay cả khi một hay nhiều chip bị phá huỷ trong quá trình truyền dẫn, thuộc tính tự tương quan trong tín hiệu DSSS có thể khôi phục dữ liệu ban đầu mà không cần yêu cầu truyền dẫn lại. Ngoài ra, các đỉnh cực trị của nhiễu gây ra bởi các quá trình phản xạ từ hiệu ứng đa đường hay là việc truyền dẫn một gói mới có thể bị loại bỏ làm cho các đỉnh cực trị này là không đồng nhất với các đỉnh cực trị yêu cầu. Khả năng chống chịu các đỉnh cực trị nhiễu phụ thuộc vào quá trình phân giải thời gian của tín hiệu DSSS. Một quá trình phân giải cao hơn yêu cầu độ trải phổ rộng hơn nhưng lại cho phép các đỉnh cực trị nhiễu có thể được phân giải dễ dàng hơn. Một máy thu DSSS đồng bộ với một trong số các quá trình phản xạ từ hiệu ứng đa đường thu được. Các quá trình phản xạ khác bị trễ đi lâu hơn một khoảng thời gian của một chip bị suy giảm đáng kể.
Một tham số quan trọng đối với các hệ thống DSSS là số lượng các chip trên mỗi bit được gọi là độ lợi xử lý hay tỷ số trải phổ. Độ lợi xử lý cao làm tăng khả năng loại
truyền sóng, và trễ xử lý lớp MAC. SIFS là hàm của độ trễ thời gian, trễ xuất hiện trong quá trình giải mã phần tiêu đề/phần mào đầu PLCP, thời gian quay vòng máy thu, và thời gian trễ xử lý lớp MAC. Chuẩn 802.11 xác định các giá trị khác nhau của khe thời gian và SIFS cho các lớp vật lý khác nhau. Ví dụ, trong các mạng LAN DSSS, chuẩn 802.11 xác định SIFS=10 và khe thời gian TS=20 . Đối với các mạng LAN FHSS, SIFS=28 và khe thời gian TS=50 . DIFS được xác định bằng SIFS+2xTS trong khi PIFS được xác định bằng SIFS+TS. Như ở trong Bảng 2.4, IFS ở các hệ thống DSSS nhỏ hơn ít nhất hai lần so với IFS ở các hệ thống FHSS. Điều này có nghĩa là một quá trình truyền dẫn DSSS chứa ít thông tin phụ hơn do các khoảng trống thời gian liên khung. Khe thời gian ở chuẩn Ethernet 10 Mbps được xác định bằng thời gian của 512 bit hay 51,2 . Tuy nhiên, độ rộng khe thời gian này cũng tính đến thời gian cần thiết cho quá trình phát hiện xung đột.
2.4.3 Chức năng phối hợp phân tán
Phương pháp truy nhập cơ sở trong chuẩn 802.11 gọi là chức năng phối hợp phân tán (DCF) cần thiết cho quá trình đa truy nhập cảm biến sóng mang tránh xung đột (CSMA/CA). CSMA/CA hoạt động tương tự như giao thức đa truy nhập cảm biến sóng mang phát hiện xung đột (CSMA/CD) sử dụng trong các mạng Ethernet hữu tuyến. Trong cả hai giao thức, tính khả dụng của môi trường truyền dẫn phát hiện nhờ cảm biến sóng mang và vấn đề tranh chấp môi trường truyền dẫn được giải quyết bằng việc sử dụng thuật toán lùi chờ theo hàm mũ. Vì thế, các nút có thể phát dữ liệu nếu cần miễn là chúng tuân thủ các quy tắc giao thức.
Đa truy nhập cảm biến sóng mang
Trong các hệ thống CSMA, một nút có gói tin cần truyền trước tiên thực hiện cảm biến môi trường vô tuyến xem có quá trình truyền dẫn vô tuyến nào đang xảy ra hay không. Nếu đường truyền vô tuyến bận (tức là một nút nào đó đang phát dữ liệu), nút này hoãn quá trình truyền dẫn của nó đến thời điểm sau đó. Nếu môi trường truyền dẫn rỗi trong một khoảng thời gian lớn hơn khoảng thời gian của khoảng trống liên khung DCF (DIFS), gói sẽ được phát đi ngay lập tức. Lớp MAC hoạt động kết hợp với lớp vật lý để đánh giá các điều kiện của môi trường. Phương pháp dùng để xác định độ dài tín hiệu thu được có liên quan đến việc đo năng lượng của tín hiệu vô tuyến. Nếu độ dài tín hiệu thu nhỏ hơn một ngưỡng cho trước, môi trường được xem là rỗi và lớp MAC được gán cho trạng thái của phép đánh giá kênh rỗi CCA đối với quá trình truyền dẫn gói. Có một phương pháp khác tương quan với tín hiệu thu sử dụng mã Baker 11-chip để xác định sự xuất hiện của một tín hiệu DSSS hợp lệ. Cả hai phương pháp này cũng có thể được kết hợp với nhau để đưa ra một phép đánh giá trạng thái môi trường đáng tin cậy hơn.
CSMA rất hiệu quả khi môi trường truyền dẫn ít tải truyền dẫn bởi vì giao thức này cho phép các nút truyền dữ liệu đi với độ trễ nhỏ nhất. Do có trễ truyền sóng trong môi trường truyền, xác suất có hai hay nhiều nút ngay lập tức cùng cảm biến được trạng thái rỗi của môi trường và phát dữ liệu đồng thời là do có sự xung đột. Rõ ràng là, các miền xung đột như vậy thường xuyên xảy ra khi mạng bị quá tải với nhiều nút cùng phát dữ liệu. Tỷ số giữa độ rộng khe thời gian và thời gian truyền dẫn gói cũng ảnh hưởng đến hiệu năng của CSMA.
Đặc tả của IEEE đối với tiêu chuẩn 802.11i còn gọi là mạng an ninh tăng cường (RSN) là một phương pháp được tiêu chuẩn hoá tiếp theo sử dụng cho quá trình mật mã hoá và bảo mật mạnh hơn. Nó sẽ liên kết quá trình mật mã hoá với quá trình nhận thực. Hai phương pháp mã hoá thay thế cho giao thức WEP: TKIP và AES. TKIP là giải pháp tạm thời, nó hỗ trợ khách hàng và điểm truy nhập thông qua việc cập nhật phần mềm. Một sơ đồ dựa trên AES sẽ cho phép khả năng an ninh mạnh hơn.
Các hệ thống vô tuyến kế thừa hay đang tồn tại có thể được nâng cấp lên một tập con của công nghệ được đặc tả trong chuẩn 802.11i. Các tuỳ chọn mã khác của 802.11i như AES sẽ không được nâng cấp vì chúng yêu cầu nâng cấp phần cứng. Người ta hy vọng là có thể công bố đặc tả IEEE 802.11 vào cuối năm 2003.
3.3.6 Kết luận
Trong khi các tuỳ chọn cho an ninh vô tuyến được trình bày ở đây sẽ giúp cho các tổ chức lựa chọn chính sách an ninh và công nghệ hợp lý đối với các môi trường mạng WLAN của họ. NETGEAR cung cấp phạm vi toàn diện của vấn đề an ninh mạng WLAN cần hỗ trợ cho tất cả các lớp an ninh.
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh
Vấn đề an ninh thông tin có rất các tiêu chuẩn, các khái niệm, các cơ chế áp dụng cho an ninh mạng được định nghĩa rõ ràng. Hầu như tất cả các mạng thông tin doanh nghiệp đều sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh nghiệp. Công nghệ an ninh đã phát triển qua một vài năm, chúng đã đem lại những khả năng quan trọng. Các công nghệ an ninh riêng biệt cung cấp các khối kiến trúc để xây dựng đề xây dựng hạ tầng vô tuyến an ninh mạng.
3.3.7.1 Nhận thực
Nhận thực là quyền cho phép một người sử dụng làm việc gì hay đạt được điều gì. Trong các hệ thống máy tính đa người sử dụng, người quản trị hệ thống xác định những người sử dụng nào được phép truy nhập vào hệ thống và xác định đặc quyền của mỗi người sử dụng (quyền truy nhập tới các thư mục chứa dữ liệu, thời gian truy nhập, số lượng không gian bộ nhớ được cấp phát, ...).
3.3.7.2 Kiểm tra dư chu trình CRC
Là một kỹ thuật chung để phát hiện lỗi truyền dẫn dữ liệu.
3.3.7.3 Chữ ký số/ chứng chỉ số
Nó tương tự như hộ chiếu hay bằng lái của tài xế, nó chứng tỏ nhận dạng của người sử dụng, mục tiêu của nó là ngăn ngừa quá trình mạo nhận trái phép. Các chứng chỉ số được công bố bởi một CA (Certificates Authority)– quyền cấp chứng chỉ. Nó bao gồm một tên, số seri, ngày hết hạn, bản sao của khoá chung của chứng chỉ người dùng (được sử dụng để mã hoá các bản tin và các chữ ký số), và chữ ký số bản quyền công bố chứng chỉ vì thế mà một người nhận có thể kiểm tra được một chứng chỉ là thật hay giả. Một vài chứng chỉ số theo chuẩn X.509.
Một chữ ký số (không xung đột với chứng chỉ số) là một chữ ký điện tử có thể được sử dụng để nhận thực định danh của người gửi bản tin hay người ký một văn bản và đảm bảo rằng nột dung ban đầu của văn bản hay bản tin không bị thay đổi.
3.3.7.4 Tường lửa
Là khả năng ngăn chặn lưu lượng mạng thông qua một cổng Gateway theo một tập các quy tắc. Nó thường được đặt ở Gateway hay điểm truy nhập, nó điều khiển luồng lưu lượng mạng, ngăn chặn người sử dụng bên trong và bên ngoài truy nhập dữ liệu và các dịch vụ được xác định bởi người quản trị hệ thống. Các tường lửa cấp cao sử dụng khả năng kiểm tra gói trạng thái hơn là công nghệ lọc gói. Các mạng WLAN có thể bị cô lập với mạng hữu tuyến bằng một tường lửa.
3.3.7.5 Kerberos
Được thiết kế để điều khiển truy nhập tới các nguồn tài nguyên thông tin bằng cách sử dụng một mã khoá bí mật. Sau khi một khách hàng và server nhận thực được nhau sử dụng Kerberos, chúng trao đổi một khoá mã dùng chung, khoá này mã hoá tất cả thông tin của họ, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu. Kerberos điều khiển truy nhập tới tất cả các nguồn tài nguyên, dịch vụ được bảo vệ trong mạng, bảo vệ chúng tránh khỏi người sử dụng khác, những người này có thể cố sử dụng quyền truy nhập của một ai đó để đạt được quyền truy nhập dữ liệu hay các dịch vụ khác.
Kerberos là một quá trình 3 hướng, phụ thuộc vào dịch vụ thứ 3 gọi là trung tâm phân bổ khoá (KDC) để kiểm tra nhận dạng của một máy tính và thiết lập các khoá mật mã để tạo ra một kết nối an toàn giữa chúng.
Bằng việc thay đổi chuỗi các bản tin mã hoá hay các “vé” của khách hàng, KDC tạo ra các khoá mật mã mới đối với mỗi giai đoạn của quá trình nhận thực. Sau khi một “vé” được tạo ra, khách hàng có thể sử dụng nó để đạt được quyền truy nhập tới server đích không giới hạn số lần truy nhập cho đến khi “vé” hết hạn. Khách hàng hay bất cứ ai khác can thiệp vào mạng đều không thể đọc hay sửa đổi “vé” mà không làm hỏng nó.
3.3.7.6 Tính toàn vẹn
Là phương pháp đảm bảo cho dữ liệu, hệ thống, hay các file ứng dụng không bị xâm nhập nhất là khi chúng được gửi đi qua mạng.
3.3.7.7 Chuyển đổi khoá Internet (IKE)
Là một phương pháp tự động hoá sử dụng cho các khoá mật mã quản lý và trao đổi giữa hai thiết bị mạng VPN. IKE sử dụng mật mã khoá chung cho phép truyền dẫn đảm bảo an ninh khi truyền khoá bí mật tới người nhận, vì thế dữ liệu đã được mã hoá có thể được giải mã tại một đầu cuối khác. IKE là một phần của IPSec.
3.3.7.8 IPSec
IPSec là một giao thức lớp mạng sử dụng cho an ninh mức cao, nó cung cấp một khung các tiêu chuẩn mở đảm bảo các quá trình truyền thông riêng đảm bảo an ninh thông qua các mạng IP. Nó có thể cho phép bảo mật, bảo vệ tránh khỏi các đe doạ và điều khiển truy nhập host đối với lưu lượng mạng thông qua các cơ chế nhận thực và mã hoá chuẩn.
Bởi vì IPSec mã hoá và nhận thực ở mức IP-dưới lớp truyền dẫn-nên nó trong suốt đối với tất cả các ứng dụng như thư điện tử, truyền file, truy nhập Web, … Và bởi vì IPSec trong suốt với người dùng đầu cuối nên không cần đưa chúng vào các cơ chế an ninh, công bố các tài liệu khoá tại một người dùng cơ sở, thu hồi các khoá khi người dùng rời khỏi tổ chức.
Vì IPSec được thiết kế cho giao thức IP nên nó hỗ trợ rộng rãi trong công nghiệp và là chuẩn trên thực tế sử dụng cho các mạng VPN trên mạng Internet.
3.3.7.9 LEAP
Là phần triển khai độc quyền của 802.1x bởi Cisco.
3.3.7.10 Điều khiển truy nhập môi trường (MAC)
Mỗi địa chỉ phần cứng 48 bit duy nhất được gán cho mỗi nút Ethernet, thường được viết dưới dạng 01:23:45:67:89:ab. Để tăng khả năng an ninh cho mạng vô tuyến, người quản trị hệ thống có thể lập trình điểm truy nhập chỉ chấp nhận các địa chỉ MAC xác định và lọc bỏ các phần khác ra khỏi mạng. Bảng điều khiển dùng giao thức MAC sẽ thực hiện khoá một địa chỉ MAC không được biết khi nó đang cố gắng kết nối và không cho phép truy nhập đối với địa chỉ này.
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP)
PEAP là một phần của giao thức EAP. Nó sử dụng an ninh mức truyền dẫn TLS để tạo ra một kênh mã hoá giữa khách hàng và server nhận thực. PEAP không xác định một phương pháp nhận thực nào nhưng cho phép khả năng an ninh bổ sung đối với các giao thức EAP. PEAP được sử dụng như một giao thức nhận thực đối với các khách hàng vô tuyến 802.11 nhưng không hỗ trợ các mạng VPN. PEAP tương tự như TTLS.
3.3.7.12 Hạ tầng khoá chung (PKI)
Là một phương pháp mà người sử dụng VPN có hiệu lực sử dụng để nhận thực thông qua các quyền cấp chứng chỉ. PKI cho phép người sử dụng tương tác với nhau và với các ứng dụng, đạt được và kiểm tra các nhận dạng và các khoá và đăng ký với các thành phần thứ 3 đáng tin cậy.
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS)
RADIUS cho phép một công ty duy trì các lý lịch người dùng trong một cơ sở dữ liệu trung tâm mà mọi server ở xa có thể chia sẻ với nhau. RADIUS là một giao thức khách hàng-server cho phép các server truy nhập ở xa liên lạc với server trung tâm, thực hiện nhận thực người sử dụng quay số, ban quyển truy nhập tới dịch vụ hay hệ thống yêu cầu. Nó cung cấp khả năng an ninh, cho phép một công ty thiết lập chính sách có thể áp dụng được ở điểm mạng quản lý đơn giản.
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID)
Một bộ nhận dạng đi kèm với các gói tin gửi đi qua mạng WLAN đóng vai trò như một mật khẩu để tham gia vào một mạng vô tuyến riêng biệt hay dịch vụ hỗ trợ phát quảng bá (BSS). Tất cả các điểm truy nhập và điểm vô tuyến trong cùng một BSS phải dùng chung một SSID, nếu không các gói của chúng sẽ bị bỏ qua.
3.3.7.15 An ninh lớp truyền tải (TLS)
Chuẩn IETF được đề xuất đã thay thế cho giao thức SSL của Netscape. TLS cho phép mã hoá và chứng nhận ở lớp truyền tải, vì thế dữ liệu có thể chuyển qua kênh an ninh mà không yêu cầu những thay đổi đáng kể về phía các ứng dụng khách hàng hay server. TLS cho phép hai khả năng:
• Một giao thức bắt tay cho phép server và khách hàng nhận thực nhau và thảo luận để đưa ra một thuật toán mã hoá;
• Một giao thức bản ghi báo cáo cung cấp kết nối an ninh với một thuật toán mã hoá đã được lựa chọn
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS)
Là một giao thức an ninh vô tuyến được đề xuất và phát triển bởi Funk Software and Certicom, kết hợp các chứng chỉ mạng cơ sở với quá trình nhận thực khác như là các thẻ (token) hay mật khẩu. Nó còn có tên là EAP-TTLS. TTLS cho phép nhận thực hai chiều mà không cần phân bổ hay quản lý các chứng chỉ.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Đồ án Mạng nội hạt vô tuyến WLAN
MỤC LỤC
THUẬT NGỮ VIẾT TẮT 1
LỜI NÓI ĐẦU 5
CHƯƠNG I. TỔNG QUAN VỀ MẠNG WLAN 1
1.1 Sự cần thiết của mạng WLAN 1
1.2 Quá trình phát triển của mạng WLAN 3
1.3 Các thành phần của mạng WLAN 4
1.3.1 Các card giao diện mạng vô tuyến 4
1.3.2 Các điểm truy nhập vô tuyến 4
1.3.3 Các cầu nối vô tuyến từ xa 5
1.4 Kiến trúc giao thức WLAN 5
1.5 Cấu hình WLAN 7
1.6 Phân loại mạng WLAN 9
1.6.1 Các LAN vô tuyến 9
1.6.1.1 Trải phổ chuỗi trực tiếp (DSSS) 9
1.6.1.2 Trải phổ nhảy tần (FHSS) 11
1.6.1.3 So sánh các mạng WLAN DSSS và FHSS 13
1.6.1.4 Cảm biến sóng mang 15
1.6.2 Các mạng LAN hồng ngoại 16
1.6.3 Các mạng LAN trực tiếp và khuyếch tán 17
1.6.4 Các đặc tính của các mạng LAN hồng ngoại 18
CHƯƠNG II. CÁC TIÊU CHUẨN CỦA MẠNG WLAN 19
2.1 Giới thiệu về các tiêu chuẩn 19
2.2 Tiêu chuẩn IEEE 802.11 21
2.2.1 Kiến trúc mạng IEEE 802.11 21
2.2.2 Mô hình tham chiếu IEEE 802.11 cơ sở 22
2.3 Lớp vật lý IEEE 802.11 23
2.3.1 Các khuôn dạng gói dữ liệu chung 23
2.3.2 Lớp vật lý DSSS 24
2.3.3 Lớp vật lý FHSS 25
2.3.4 Lớp vật lý hồng ngoại 27
2.4 Lớp điều khiển truy nhập môi trường IEEE 802.11 29
2.4.1 Đơn vị dữ liệu giao thức MAC 802.11 tổng quát 29
2.4.2 Các khoảng trống liên khung 30
2.4.3 Chức năng phối hợp phân tán 31
2.4.4 Chức năng phối hợp điểm 37
2.4.5 Kết hợp và tái kết hợp 39
2.4.6 Nhận thực và bảo mật 39
2.4.7 Đồng bộ hoá 40
2.4.8 Quản lý công suất 41
2.4.9 Quá trình phân mảnh gói 42
2.5 Tiêu chuẩn HIPERLAN Type I 43
2.5.1 Lớp vật lý 43
2.5.2 So sánh các đặc tính kỹ thuật giữa IEEE 802.11 và HIPERLAN 45
2.5.3 Lớp điều khiển truy nhập môi trường HIPERLAN Type I 45
2.5.4 Chuyển tiếp nội bộ 47
2.5.5 Nút ẩn 49
2.5.6 Chất lượng dịch vụ 49
2.5.7 Quản lý công suất 49
2.5.8 An ninh 50
2.6 Chuẩn WLIF OpenAir 50
2.7 Chuẩn HomeRF SWAP 50
2.7.1 Cấu hình mạng 51
2.7.2 Ứng dụng 52
2.8 Chuẩn Bluetooth 52
2.8.1 Tính cần thiết của chuẩn Bluetooth 52
2.8.2 Các đặc tả kỹ thuật Bluetooth 53
2.8.3 Các kiểu kết nối 53
2.8.4 Nhận thực và bảo mật 54
2.8.5 Tiêu thụ công suất 54
2.8.6 Sửa lỗi 54
2.8.7 Các phát triển trong tương lai 55
2.9 Các chuẩn W3C và WAP 55
2.9.1 W3C 55
2.9.2 Diễn đàn WAP-WAP Forum 56
2.10 Chuẩn kết hợp dữ liệu hồng ngoại 56
2.11 Tổng kết 58
CHƯƠNG III. CÁC VẤN ĐỀ CỦA MẠNG WLAN 59
3.1 Các vấn đề khi triển khai WLAN 59
3.1.1 Nút ẩn 59
3.1.2 Theo dõi công suất 61
3.1.3 Các vật cản LAN truyền tín hiệu 62
3.1.4 Các nguồn nhiễu vô tuyến 63
3.2 Các phương pháp nâng cao chất lượng WLAN 63
3.2.1 Cấu hình đa kênh 63
3.2.2 Hoạt động đa kênh đối với các WLAN DSSS 2.4 GHz 64
3.2.3 Hoạt động đa kênh đối với WLAN FHSS 2.4 GHZ 64
3.2.4 Lọc lưu lượng mạng 65
3.2.5 Giảm tốc độ dữ liệu (Fall back) 66
3.2.6 Chuyển vùng và chuyển giao 66
3.2.7 Cân bằng tải 67
3.2.8 Đảm bảo truy nhập vô tuyến 67
3.2.9 Quản lý công suất 68
3.3 An ninh mạng WLAN 68
3.3.1 Giới thiệu 68
3.3.2 Các tập giải pháp an ninh mạng cho WLAN 69
3.3.2.1 Mã hoá 69
3.3.2.2 Giao thức WEP 70
3.3.2.3 Các tiêu chuẩn mã hoá dữ liệu 70
3.3.2.4 Nhận thực 71
3.3.2.5 Lớp khe cắm an ninh SSL 71
3.3.2.6 Lọc địa chỉ MAC (hay danh sách điều khiển truy nhập) 72
3.3.2.7 Giao thức nhận thực mở rộng (EAP) 72
3.3.2.8 802.1x 72
3.3.2.9 Nhận thực 73
3.3.2.10 Mạng riêng ảo 73
3.3.3 Các kiểu tấn công an ninh vô tuyến điển hình 73
3.3.3.1 WEP Cr-acking - bẻ gãy WEP 74
3.3.3.2 Tấn công địa chỉ MAC 74
3.3.3.3 Các tấn công gây ra bởi một người ở vị trí trung gian 74
3.3.3.4 Các tấn công dạng từ điển 75
3.3.3.5 Tấn công phiên 75
3.3.3.6 Từ chối dịch vụ (DoS) 75
3.3.3.7 Các giải pháp tương lai ngăn chặn các tấn công vào mạng WLAN 76
3.3.4 An ninh trong thực tế 76
3.3.4.1 Khu vực nhà ở và văn phòng nhỏ – Yêu cầu an ninh thấp 77
3.3.4.2 Văn phòng nhỏ và người dùng ở xa – Yêu cầu an ninh trung bình 78
3.3.4.3 Người sử dụng của các tổ chức/tập đoàn – Yêu cầu an ninh cao 78
3.3.4.4 An ninh truy nhập công cộng 80
3.3.5 Các hướng phát triển trong tương lai 80
3.3.6 Kết luận 81
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh 81
3.3.7.1 Nhận thực 81
3.3.7.2 Kiểm tra dư chu trình CRC 81
3.3.7.3 Chữ ký số/ chứng chỉ số 81
3.3.7.4 Tường lửa 82
3.3.7.5 Kerberos 82
3.3.7.6 Tính toàn vẹn 82
3.3.7.7 Chuyển đổi khoá Internet (IKE) 83
3.3.7.8 IPSec 83
3.3.7.9 LEAP 83
3.3.7.10 Điều khiển truy nhập môi trường (MAC) 83
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP) 83
3.3.7.12 Hạ tầng khoá chung (PKI) 84
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS) 84
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID) 84
3.3.7.15 An ninh lớp truyền tải (TLS) 84
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS) 84
KẾT LUẬN 85
TÀI LIỆU THAM KHẢO 86
CHƯƠNG I. TỔNG QUAN VỀ MẠNG WLAN
1.1 Sự cần thiết của mạng WLAN
Các mạng LAN sử dụng cáp để kết nối các máy tính, các file server, các máy in và các thiết bị mạng khác. Các mạng này cho phép người sử dụng trao đổi thông tin với nhau qua thư điện tử và truy nhập các chương trình ứng dụng đa người sử dụng và các cơ sở dữ liệu dùng chung. Để kết nối tới một mạng LAN, thiết bị người sử dụng phải được kết nối vật lý tới một lối ra hay một khe cắm cố định, vì thế mà tạo ra một mạng có ít hay nhiều nút cố định. Việc di chuyển từ một vị trí này đến một vị trí khác cần ngắt kết nối khỏi mạng LAN và thực hiện tái kết nối ở một vị trí mới. Việc mở rộng mạng LAN bắt buộc phải lắp đặt thêm cáp, quá trình này tốn nhiều thời gian, chiếm nhiều không gian hơn và làm tăng đáng kể chi phí ban đầu. Các yếu tố này làm cho mạng LAN hữu tuyến có chi phí cao và khó khăn khi lắp đặt, bảo dưỡng và nhất là khi sửa chữa.
Các mạng WLAN đem lại lợi ích cho người sử dụng di động và cho quá trình triển khai mạng linh hoạt trong các mạng tính toán nội hạt. Khi di động, người sử dụng di chuyển giữa các vị trí khác nhau trong môi trường mạng LAN mà không làm mất kết nối. Một điểm thuận lợi của WLAN là khả năng linh hoạt trong việc cấu hình lại hay bổ sung nút mới vào mạng mà không phải quy hoạch lại mạng và không mất chi phí cho việc tái lắp đặt cáp, vì vậy mà làm cho việc nâng cấp trong tương lai trở nên đơn giản và không tốn kém. Khả năng đối phó với các thành phần của một mạng LAN động được tạo ra bởi các người sử dụng di động và các thiết bị tính toán cầm tay là một yếu tố quan trọng khác cần xem xét đến khi lựa chọn một mạng WLAN. Vì thế, việc sử dụng rộng rãi các máy tính xách tay và các thiết bị kỹ thuật số cá nhân cầm tay đã dẫn tới mức độ phụ thuộc càng tăng lên vào các mạng WLAN trong những năm gần đây. Hiện nay có khoảng 40 sản phẩm WLAN có mặt trên thị trường. Người ta hy vọng là nó sẽ còn tăng hơn nữa với sự xuất hiện gần đây của các tiêu chuẩn WLAN HIPERLAN và IEEE 802.11.
Mạng WLAN khác với các mạng vô tuyến diện rộng ở chỗ quá trình truyền thông tin số bằng vô tuyến tế bào hay vô tuyến gói. Vì các hệ thống này phủ sóng ở khoảng cách lớn, chúng đòi hỏi cơ sở hạ tầng đắt tiền, chúng cho phép các tốc độ dữ lỉệu thấp và yêu cầu người sử dụng trả tiền theo thời gian sử dụng độ rộng băng thông hay việc sử dụng cơ sở. Tuy nhiên ở trong nhà hay khu vực địa lý bị giới hạn các mạng WLAN không yêu cầu chi phí sử dụng và cho phép tốc độ số liệu cao hơn.
Các mạng WLAN cho phép tốc độ dữ liệu cao hơn 1Mbps và thường được sử dụng để truyền dữ liệu giữa các máy tính trong một toà nhà. Với khả năng quảng bá, các mạng WLAN cũng cho phép thực hiện các dịch vụ phát quảng bá và dịch vụ truyền từ điểm tới đa điểm mặc dù các dịch vụ này phải được bảo vệ để tránh khỏi các truy nhập trái phép.
Trong cấu hình của một mạng WLAN điển hình (Hình 1.1), một thiết bị phát/thu (bộ thu phát) gọi là điểm truy nhập kết nối tới một mạng hữu tuyến từ một vị trí cố định. Điểm truy cập thực hiện thu, lưu đệm và phát các gói số liệu giữa mạng WLAN và cơ sở hạ tầng mạng hữu tuyến. Một điểm truy cập riêng lẻ có thể hỗ trợ một nhóm các nút di động và có thể thực hiện chức năng trong phạm vi vài trăm mét. Anten gắn với điểm truy nhập thường được đặt cao nhưng cũng có thể được đặt bất cứ chỗ nào có thể được miễn là đảm bảo được vùng phủ sóng theo yêu cầu. Các thiết bị đầu cuối người sử dụng trao đổi thông tin với điểm truy nhập qua các bộ thích ứng WLAN, các bộ thích ứng này được thực hiện như là các card PC trong các máy tính xách tay, các card PCI hay các card ISA trong các máy tính để bàn hay các thiết bị tích hợp toàn bộ trong các máy tính cầm tay (các thiết bị hỗ trợ cá nhân kỹ thuật số, các máy tính cá nhân cầm tay dùng bút điều khiển) và các máy in. Các bộ thích ứng WLAN cung cấp một giao diện giữa hệ điều hành mạng khách và đường kết nối vô tuyến thông qua một anten. Điều này cho phép các đặc tính vật lý của kết nối vô tuyến trở nên trong suốt đối với hệ điều hành mạng. Các mạng WLAN sử dụng các thiết bị máy tính di động được gọi là các mạng LAN không dây. Thuật ngữ ‘không dây’ nhấn mạnh thực tế rằng các mạng LAN này bỏ đi dây nguồn cũng như cáp mạng.
Hình 1.1: Cấu hình một mạng WLAN điển hình
1.2 Quá trình phát triển của mạng WLAN
Lịch sử phát triển của các mạng WLAN được sơ lược qua 3 thế hệ:
• Thế hệ đầu: Hoạt động tại các băng tần 900-928 MHz (băng tần ISM), với tốc độ thấp hơn 860Kbps. Do hạn chế về băng tần (nhiều ứng dụng vô tuyến khác từng chạy trên băng tần này) nên các công nghệ ở giai đoạn này không phát triển mạnh.
• Thế hệ thứ hai: Hoạt động tại băng tần 2,4-2,483 GHz, tốc độ đạt 2 Mbps, sử dụng kỹ thuật trải phổ và ghép kênh nhưng cũng bị hạn chế về băng tần.
• Thế hệ thứ ba: Hoạt động tại các băng tần 2,4 GHz (sử dụng các phương pháp điều chế phức tạp hơn) đạt tốc độ 11 Mbps, 5 GHz và 17 GHz, tốc độ lên tới 54 Mbps.
Hình 1.2: Quá trình phát triển của mạng WLAN
Các tổ chức tiêu chuẩn lớn như IEEE và ETSI liên tục đưa ra và cập nhật các tiêu chuẩn cho WLAN 802.11, và HIPERLAN của mình.
Dải tần 900 MHz 2.4 GHz 5 GHz
Ưu điểm Vùng phủ sóng rộng hơn, sử dụng cho các mạng LAN trong nhà - Được sử dụng rộng rãi hiện nay
- Theo chuẩn IEEE 802.11
- Tốc độ dữ liệu cao hơn (khoảng 10 Mbps) - Đã có trên thị trường
- Theo chuẩn IEEE 802.11
- Tốc độ dữ liệu cao (khoảng 20 Mbps)
Nhược điểm - Tốc độ dữ liệu tối đa là 1 Mbps
- Băng thông hẹp - Dải băng tần ‘đông đúc’ - Vùng phủ sóng gần hơn
- Dải băng tần ngày càng ‘đông đúc’ - Vùng phủ sóng gần nhất
- Chi phí cho các thiết bị vô tuyến cao hơn
Bảng 1: So sánh các dải băng tần đang hoạt động
1.3 Các thành phần của mạng WLAN
Các thành phần của mạng WLAN bao gồm các card giao diện mạng vô tuyến, các điểm truy nhập vô tuyến, và các cầu nối vô tuyến từ xa.
1.3.1 Các card giao diện mạng vô tuyến
Các card giao diện mạng vô tuyến không khác nhiều so với các card thích ứng sử dụng cho mạng LAN hữu tuyến. Giống như các card thích ứng mạng hữu tuyến, card giao diện mạng vô tuyến trao đổi thông tin với hệ điều hành mạng thông qua một trình điều khiển dành riêng vì thế mà cho phép các ứng dụng sử dụng mạng vô tuyến cho quá trình truyền dữ liệu. Tuy nhiên, không giống như các card thích ứng của mạng hữu tuyến các card này không cần bất kỳ dây cáp nào kết nối chúng tới mạng và điều này cho phép tái lắp đặt các nút mạng mà không cần chuyển đổi cáp mạng hay thay đổi các kết nối tới các bảng mạch hay các bộ tập trung (hub).
1.3.2 Các điểm truy nhập vô tuyến
Hình 1.3: Điểm truy nhập vô tuyến
Các điểm truy nhập tạo ra các vùng phủ vô tuyến, các vùng này kết nối các nút di động tới các cơ sở hạ tầng mạng hữu tuyến hiện có. Điều này cho phép một mạng WLAN trở thành một phần mở rộng của mạng hữu tuyến. Bởi vì các điểm truy nhập cho phép khả năng mở rộng một vùng phủ sóng vô tuyến, các mạng WLAN là rất ổn định và các điểm truy nhập bổ sung có thể được triển khai trong một toà nhà hay khuôn viên trường đại học nhằm tạo ra các vùng truy nhập vô tuyến rộng lớn. Các điểm truy nhập không những cho phép quá trình truyền thông với mạng hữu tuyến mà còn thực hiện lọc lưu lượng và thực hiện các chức năng cầu nối tiêu chuẩn. Chức năng lọc giúp cho việc đảo băng thông trên liên kết vô tuyến bằng cách xoá bỏ lưu lượng dư thừa. Do băng thông không đối xứng giữa phương tiện truyền thông vô tuyến và hữu tuyến, nên điều quan trọng đối với điểm truy nhập là cần có các tài nguyên bộ nhớ và một bộ đệm thích hợp. Các bộ đệm cần thiết cho việc lưu trữ các gói dữ liệu tại điểm truy nhập khi một nút di động tạm thời di chuyển ra khỏi một vùng phủ vô tuyến hay khi một nút di động hoạt động ở chế độ công suất thấp.
Các điểm truy nhập truyền thông với nhau qua mạng hữu tuyến để quản lý các nút di động. Một điểm truy nhập không cần điều khiển truy nhập từ các nút di động khác (tức là nó có thể hoạt động với một giao thức truy nhập ngẫu nhiên phân bố như là CDMA chẳng hạn). Tuy nhiên, sẽ thuận lợi hơn khi sử dụng một giao thức đa truy nhập tập trung hoá được điều khiển bởi một điểm truy nhập. Các tuỳ chọn giao diện mạng hữu tuyến nói chung tới một điểm truy nhập bao gồm 10Base2, 10BaseT, modem cáp, modem ADSL và ISDN. Một số card giao diện mạng vô tuyến có thể sử dụng kết hợp với các điểm truy nhập vô tuyến.
1.3.3 Các cầu nối vô tuyến từ xa
Các cầu nối vô tuyến từ xa tương tự như các điểm truy nhập ngoại trừ việc chúng được sử dụng chủ yếu cho các kết nối bên ngoài. tuỳ từng trường hợp vào khoảng cách và vùng phủ có thể có thêm các anten ngoài. Các cầu như vậy được thiết kế để liên kết các mạng với nhau, đặc biệt là trong các toà nhà và ở khoảng cách xa khoảng 32 km. Chúng cho phép khả năng lựa chọn nhanh chóng và kinh tế so với việc lắp đặt cáp hay triển khai các đường điện thoại dùng riêng và thường được sử dụng khi các kết nối hữu tuyến truyền thống là không khả thi (chẳng hạn khi triển khai qua sông suối, qua địa hình gồ ghề, qua các khu vực riêng, qua đường cao tốc). Không giống như các kết nối bằng cáp và các mạch điện thoại dành riêng, các cầu nối vô tuyến có khả năng lọc lưu lượng và đảm bảo rằng các mạng được kết nối không bị chồng lấp bởi các lưu lượng không cần thiết. Các cầu nối này cũng có thể làm việc như là các thiết bị an ninh nội bộ bởi vì chúng chỉ đọc các địa chỉ đã được mã hoá vào trong các bộ thích ứng LAN (tức là các địa chỉ MAC), vì vậy mà ngăn chặn thành công các quá trình truyền thông giả mạo.
1.4 Kiến trúc giao thức WLAN
Các mạng WLAN khác với các mạng hữu tuyến truyền thống cơ bản ở lớp vật lý và ở phân lớp điều khiển truy nhập môi trường (MAC) trong mô hình OSI (Open System Interconnection - mô hình tham chiếu các hệ thống mở). Những khác biệt này cho phép khả năng sử dụng hai phương pháp cung cấp điểm giao diện vật lý cho các mạng WLAN. Nếu điểm giao diện vật lý ở lớp điều khiển liên kết logic LLC thì phương pháp này thường yêu cầu một trình điều khiển người dùng để hỗ trợ các phần mềm mức cao hơn như là hệ điều hành mạng chẳng hạn. Một giao diện như vậy cho phép các nút di động truyền thông trực tiếp với một nút khác sử dụng các card giao diện mạng vô tuyến. Điểm giao diện logic khác ở phân lớp MAC và được sử dụng bởi các kết nối vô tuyến. Vì lý do này, các điểm truy nhập vô tuyến thực hiện các chức năng cầu nối và các chức năng không định tuyến. Mặc dù giao diện MAC đòi hỏi kết nối hữu tuyến, nó vẫn cho phép bất cứ một hệ điều hành mạng nào hay một trình điều khiển nào làm việc với mạng WLAN. Một giao diện như vậy cho phép một mạng LAN hữu tuyến hiện có có thể được mở rộng dễ dàng bằng việc cho phép truy nhập đối với các thiết bị mạng vô tuyến mới. Kiến trúc giao thức của một giao diện mạng WLAN điển hình được cho trên Hình 1.4. Các lớp thấp hơn của một card giao diện vô tuyến thường được thực hiện bằng phần mềm chạy trên các bộ xử lý nhúng. Các lớp cao hơn của ngăn xếp giao thức mạng được cung cấp bởi hệ điều hành và các chương trình ứng dụng. Một trình điều khiển mạng cho phép hệ điều hành giao tiếp với phần mềm lớp thấp hơn được nhúng trong các card giao diện mạng vô tuyến. Ngoài ra nó còn thực thi các chức năng LLC chuẩn. Đối với hệ điều hành Window, trình điều khiển nói chung chỉ tương thích với một số phiên bản của của giao diện trình điều khiển mạng (NDIS).
Ngăn xếp giao thức vô tuyến
Lớp các ứng dụng
Lớp vận hành mạng/ hệ thống truyền tải (TCP/IP)
Lớp điều khiển liên kết logic
Lớp điều khiển truy nhập môi trường
Lớp vật lý vô tuyến
Card giao diện mạng
Ngăn xếp giao thức hữu tuyến Ngăn xếp giao
thức vô tuyến
Lớp điều khiển truy nhập môi trường (802.3, 802.5) Lớp điều khiển truy nhập môi trường (có phân mảnh hoá, tái kết hợp, đăng ký, điều khiển lỗi)
Lớp vật lý hữu tuyến Lớp vật lý vô tuyến
Điểm truy nhập
Hình 1.4: Kiến trúc giao thức của các thành phần WLAN
Trong Hình 1.4, các lớp gồm: lớp ứng dụng. lớp vận hành mạng/ hệ thống truyền tải (TCP/IP), lớp điều khiển liên kết logic thuộc về hệ điều hành và trình điều khiển; các lớp điều khiển truy nhập môi trường, lớp vật lý logic thuộc về phần mềm máy tính.
1.5 Cấu hình WLAN
Các mạng WLAN thường có hai kiểu cấu hình mạng hay còn gọi là topo mạng, chúng bao gồm cấu hình độc lập và cấu hình cơ sở như được miêu tả tương ứng trên Hình 1.5 và Hình 1.6.
Hình 1.5: Mạng WLAN độc lập (mạng ad-hoc)
Hình 1.6: Mạng WLAN cơ sở
Cấu hình độc lập hỗ trợ kết nối điểm tới điểm (peer-to-peer) nơi mà các nút di động truyền thông trực tiếp với nhau sử dụng các bộ thích ứng vô tuyến. Bởi vì các mạng độc lập có thể được thực hiện một cách nhanh chóng và đơn giản, chúng thường được tạo ra mà không cần các công cụ hay khả năng đặc biệt nào. Chúng cũng không cần thực hiện việc quản trị mạng. Những cấu hình mạng kiểu như vậy là lý tưởng để đáp ứng các yêu cầu trong kinh doanh hay trong việc thiết lập các nhóm làm việc tạm thời. Tuy nhiên, chúng cũng gặp phải nhiều bất lợi khi vùng phủ sóng bị giới hạn. Một điểm truy nhập có thể mở rộng phạm vi của hai mạng WLAN độc lập bằng cách hoạt động như một bộ lặp, nhân đôi một cách hiệu quả khoảng cách giữa các nút di động.
Các mạng WLAN có cấu hình cơ sở cho phép các nút di động có thể được tích hợp vào trong một mạng hữu tuyến (xem Hình 1.6). Quá trình chuyển đổi từ các phương tiện vô tuyến sang các phương tiện hữu tuyến phải thông qua một điểm truy nhập. Việc thiết kế một mạng WLAN có thể được đơn giản hoá một cách đáng kể nếu các thông tin về mạng và các hiểu biết cần thiết để quản lý mạng được thu thập tại cùng một vị trí. Một điểm truy nhập được định vị ở chính giữa có thể điều khiển và phân quyền truy nhập giữa các nút đang có tranh chấp, cho phép truy nhập dễ dàng tới mạng đường trục, dễ dàng thực hiện gán địa chỉ và các mức ưu tiên, thuận lợi trong việc quản lý quá trình chuyển đi các gói dữ liệu, và theo dõi được đường đi của cấu hình mạng hiện thời. Tuy nhiên, một giao thức đa truy nhập tập trung hoá không cho phép một nút truyền thông tin trực tiếp tới một nút khác mà nút này đang được định vị trong vùng phủ sóng của cùng điểm truy nhập ấy (xem Hình 1.7). Trong trường hợp này, một gói dữ liệu sẽ phải được truyền đi hai lần (lần đầu từ nút nguồn và lần sau là từ điểm truy nhập) trước khi nó đi tới nút đích, quá trình này làm giảm hiệu quả truyền dẫn và làm tăng trễ truyền sóng. Tuy nhiên, các hệ thống như vậy nói chung thường cho phép năng suất truyền dữ liệu lớn hơn, các vùng phủ sóng lớn hơn, và có khả năng cung cấp lưu lượng theo thời gian bao gồm video và thoại. Ngoài ra, một điểm truy nhập được định vị trước theo kế hoạch cũng có thể tối thiểu hoá công suất truyền dẫn và giải quyết các vấn đề về nút ẩn một cách hiệu quả. Lưu ý rằng hầu hết các mạng WLAN sử dụng giao thức phân bố như CSMA dùng cho đa truy nhập, các nút trong mạng cơ sở có thể truyền thông trực tiếp với các nút khác. Tuy nhiên, một vài mạng WLAN cơ sở yêu cầu quá trình truyền dẫn gói phải được đánh địa chỉ duy nhất tới điểm truy nhập ngay cả khi CSMA được chấp nhận. Điểm truy nhập sau đó sẽ chuyển tiếp gói tới đúng nút đích.
Hình 1.7: Mạng WLAN cơ sở được điều khiển tập trung
1.6 Phân loại mạng WLAN
Các mạng WLAN có thể được phân loại thành mạng LAN vô tuyến và LAN hồng ngoại. Các mạng LAN vô tuyến có thể dựa trên quá trình truyền dẫn băng hẹp hay truyền dẫn trải phổ trong khi đó đối với các LAN hồng ngoại có thể là khuyếch tán hay được định hướng. Dưới đây đề cập đến các loại cơ bản của các mạng LAN vô tuyến và hồng ngoại có đánh giá điểm mạnh cũng như điểm yếu của mỗi loại.
1.6.1 Các LAN vô tuyến
Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phổ. Khái niệm về trải phổ đã xuất hiện hơn 50 năm và được khởi xướng từ trong quốc phòng để đảm bảo quá trình truyền thông là tin cậy và an toàn. Trải phổ đề cập đến các sơ đồ tín hiệu dựa trên một số dạng mã hoá (độc lập với thông tin được phát đi) và chúng sử dụng băng thông lớn hơn nhiều so với yêu cầu để truyền tín hiệu. Băng thông lớn hơn có nghĩa là nhiễu và các hiệu ứng fading đa đường chỉ ảnh hưởng một phần đến quá trình truyền dẫn trải phổ. Vì vậy mà năng lượng tín hiệu thu hầu như không đổi theo thời gian. Điều này cho phép tách sóng dễ dàng khi máy thu được đồng bộ với các tham số của tín hiệu trải phổ. Các tín hiệu trải phổ có khả năng hạn chế nhiễu và gây khó khăn cho quá trình phát hiện và chặn tín hiệu trên đường truyền. Có hai kỹ thuật trải phổ: Trải phổ chuỗi trực tiếp (DSSS) và trải phổ nhảy tần (FHSS).
1.6.1.1 Trải phổ chuỗi trực tiếp (DSSS)
Các hệ thống DSSS cho phép truyền dẫn tin cậy với tỷ số tín hiệu trên tạp âm tương đối nhỏ. DSSS trải rộng năng lượng (công suất) của tín hiệu trên một băng thông lớn. Năng lượng trên mỗi đơn vị tần số giảm đi một cách tương ứng. Vì vậy, nhiễu tạo ra bởi các hệ thống DSSS nhỏ hơn đáng kể khi so sánh với các hệ thống băng hẹp. Điều này cho phép các tín hiệu DSSS có thể sử dụng chung một băng tần. Đối với một máy thu không xác định trước, các tín hiệu DSSS xuất hiện như là tạp âm băng rộng công suất thấp và bị loại bỏ bởi hầu hết các bộ thu băng hẹp. Trái lại, kỹ thuật này làm giảm bớt ảnh hưởng của các nguồn nhiễu băng hẹp bằng việc trải rộng chúng ra ở phía máy thu.
DSSS kết hợp luồng số liệu với một mã số tốc độ cao hơn. Mỗi bit số liệu được biến đổi thành một mẫu bit chung mà chỉ có máy phát và máy thu chủ định được biết. Mẫu bit gọi là mã giả tạp âm và mỗi bit trong mã gọi là ‘chip’. Thuật ngữ ‘chip’ được sử dụng để nhấn mạnh rằng một bit trong một mã giả tạp âm tạo thành một phần của bit số liệu thật. Chuỗi các chip trong một chu kỳ chip là ngẫu nhiên nhưng một chuỗi giống như vậy được lặp lại trong mỗi chu kỳ bit, vì vậy mà làm nó trở thành giả ngẫu nhiên hay là ngẫu nhiên một phần. Tốc độ chip của một mã giả tạp âm n-bit cao hơn n lần tốc độ dữ liệu. Tốc độ cao của chuỗi chip dẫn đến kết quả là có một băng thông rất rộng. Tiêu chuẩn 802.11 sử dụng mã 11-chip, tốc độ chip nhanh hơn 11 lần tốc độ số liệu. Mã giả tạp âm càng dài, xác suất khôi phục được tín hiệu ban đầu càng lớn, nhưng khi đó sẽ cần băng thông lớn hơn vì yêu cầu tốc độ dữ liệu cao hơn. Thông thường độ rộng băng thông trải phổ vào khoảng hai lần tốc độ chip. Vì vậy, tốc độ chip 11 Mchip/s chuyển thành độ rộng băng thông trải phổ 22 MHz.
Ở máy thu các chip được giải trải phổ bởi cùng một mã giả tạp âm và được biến đổi ngược lại thành dữ liệu gốc. Tuy nhiên, năng lượng của tạp âm và nhiễu có thể đã được bổ sung thêm trong lúc quá trình truyền dẫn bị trải rộng và do đó bị khử bỏ bởi mã giả tạp âm. Ngoài việc biết được mã giả tạp âm được dùng bởi máy phát thì máy thu cũng phải được đồng bộ một cách chính xác với pha đúng của mã cũng như tốc độ chip của nó. Vì vậy, chức năng quan trọng của cơ chế định thời trong phần mở đầu của một gói DSSS là phải cho phép máy thu đồng bộ với pha đúng của mã giả tạp âm của một gói trong thời gian ngắn nhất có thể được. Vì quá trình truyền dẫn các gói là không đồng bộ, nên mỗi gói DSSS phải được khởi đầu bởi phần mở đầu dành cho các mục đích đồng bộ.
Khi mã giả ngẫu nhiên được tạo ra bởi máy thu được đồng bộ chính xác với tín hiệu thu quá trình giải trải phổ tạo ra đỉnh cực trị của quá trình tự tương quan cao. Nếu mã giả ngẫu nhiên được dịch đi một hay nhiều khoảng cách chip, ta có quá trình tự tương quan thấp. Tương tự như vậy, tạp âm và nhiễu có thể được thêm vào tín hiệu thu tạo ra quá trình tự tương quan thấp bởi vì chúng không tương quan với mã giả ngẫu nhiên. Điều này tạo ra một đỉnh cực trị đơn lẻ giữa khoảng cách mỗi bit. Khi truyền dẫn qua đường truyền vô tuyến có rất ít trải trễ, đường bao sóng của tín hiệu thu hay là được tăng cường hay là bị giảm đi nhưng đỉnh cực trị không bị ảnh hưởng. Bởi vì đỉnh cực trị tự tương quan xuất hiện định kỳ các máy thu DSSS có thể khoá các đỉnh cực trị này một cách đơn giản khi mã hoá dữ liệu sau khi chúng đạt được quá trình đồng bộ hoá ban đầu. Điều này ngụ ý rằng ngay cả khi một hay nhiều chip bị phá huỷ trong quá trình truyền dẫn, thuộc tính tự tương quan trong tín hiệu DSSS có thể khôi phục dữ liệu ban đầu mà không cần yêu cầu truyền dẫn lại. Ngoài ra, các đỉnh cực trị của nhiễu gây ra bởi các quá trình phản xạ từ hiệu ứng đa đường hay là việc truyền dẫn một gói mới có thể bị loại bỏ làm cho các đỉnh cực trị này là không đồng nhất với các đỉnh cực trị yêu cầu. Khả năng chống chịu các đỉnh cực trị nhiễu phụ thuộc vào quá trình phân giải thời gian của tín hiệu DSSS. Một quá trình phân giải cao hơn yêu cầu độ trải phổ rộng hơn nhưng lại cho phép các đỉnh cực trị nhiễu có thể được phân giải dễ dàng hơn. Một máy thu DSSS đồng bộ với một trong số các quá trình phản xạ từ hiệu ứng đa đường thu được. Các quá trình phản xạ khác bị trễ đi lâu hơn một khoảng thời gian của một chip bị suy giảm đáng kể.
Một tham số quan trọng đối với các hệ thống DSSS là số lượng các chip trên mỗi bit được gọi là độ lợi xử lý hay tỷ số trải phổ. Độ lợi xử lý cao làm tăng khả năng loại
truyền sóng, và trễ xử lý lớp MAC. SIFS là hàm của độ trễ thời gian, trễ xuất hiện trong quá trình giải mã phần tiêu đề/phần mào đầu PLCP, thời gian quay vòng máy thu, và thời gian trễ xử lý lớp MAC. Chuẩn 802.11 xác định các giá trị khác nhau của khe thời gian và SIFS cho các lớp vật lý khác nhau. Ví dụ, trong các mạng LAN DSSS, chuẩn 802.11 xác định SIFS=10 và khe thời gian TS=20 . Đối với các mạng LAN FHSS, SIFS=28 và khe thời gian TS=50 . DIFS được xác định bằng SIFS+2xTS trong khi PIFS được xác định bằng SIFS+TS. Như ở trong Bảng 2.4, IFS ở các hệ thống DSSS nhỏ hơn ít nhất hai lần so với IFS ở các hệ thống FHSS. Điều này có nghĩa là một quá trình truyền dẫn DSSS chứa ít thông tin phụ hơn do các khoảng trống thời gian liên khung. Khe thời gian ở chuẩn Ethernet 10 Mbps được xác định bằng thời gian của 512 bit hay 51,2 . Tuy nhiên, độ rộng khe thời gian này cũng tính đến thời gian cần thiết cho quá trình phát hiện xung đột.
2.4.3 Chức năng phối hợp phân tán
Phương pháp truy nhập cơ sở trong chuẩn 802.11 gọi là chức năng phối hợp phân tán (DCF) cần thiết cho quá trình đa truy nhập cảm biến sóng mang tránh xung đột (CSMA/CA). CSMA/CA hoạt động tương tự như giao thức đa truy nhập cảm biến sóng mang phát hiện xung đột (CSMA/CD) sử dụng trong các mạng Ethernet hữu tuyến. Trong cả hai giao thức, tính khả dụng của môi trường truyền dẫn phát hiện nhờ cảm biến sóng mang và vấn đề tranh chấp môi trường truyền dẫn được giải quyết bằng việc sử dụng thuật toán lùi chờ theo hàm mũ. Vì thế, các nút có thể phát dữ liệu nếu cần miễn là chúng tuân thủ các quy tắc giao thức.
Đa truy nhập cảm biến sóng mang
Trong các hệ thống CSMA, một nút có gói tin cần truyền trước tiên thực hiện cảm biến môi trường vô tuyến xem có quá trình truyền dẫn vô tuyến nào đang xảy ra hay không. Nếu đường truyền vô tuyến bận (tức là một nút nào đó đang phát dữ liệu), nút này hoãn quá trình truyền dẫn của nó đến thời điểm sau đó. Nếu môi trường truyền dẫn rỗi trong một khoảng thời gian lớn hơn khoảng thời gian của khoảng trống liên khung DCF (DIFS), gói sẽ được phát đi ngay lập tức. Lớp MAC hoạt động kết hợp với lớp vật lý để đánh giá các điều kiện của môi trường. Phương pháp dùng để xác định độ dài tín hiệu thu được có liên quan đến việc đo năng lượng của tín hiệu vô tuyến. Nếu độ dài tín hiệu thu nhỏ hơn một ngưỡng cho trước, môi trường được xem là rỗi và lớp MAC được gán cho trạng thái của phép đánh giá kênh rỗi CCA đối với quá trình truyền dẫn gói. Có một phương pháp khác tương quan với tín hiệu thu sử dụng mã Baker 11-chip để xác định sự xuất hiện của một tín hiệu DSSS hợp lệ. Cả hai phương pháp này cũng có thể được kết hợp với nhau để đưa ra một phép đánh giá trạng thái môi trường đáng tin cậy hơn.
CSMA rất hiệu quả khi môi trường truyền dẫn ít tải truyền dẫn bởi vì giao thức này cho phép các nút truyền dữ liệu đi với độ trễ nhỏ nhất. Do có trễ truyền sóng trong môi trường truyền, xác suất có hai hay nhiều nút ngay lập tức cùng cảm biến được trạng thái rỗi của môi trường và phát dữ liệu đồng thời là do có sự xung đột. Rõ ràng là, các miền xung đột như vậy thường xuyên xảy ra khi mạng bị quá tải với nhiều nút cùng phát dữ liệu. Tỷ số giữa độ rộng khe thời gian và thời gian truyền dẫn gói cũng ảnh hưởng đến hiệu năng của CSMA.
Đặc tả của IEEE đối với tiêu chuẩn 802.11i còn gọi là mạng an ninh tăng cường (RSN) là một phương pháp được tiêu chuẩn hoá tiếp theo sử dụng cho quá trình mật mã hoá và bảo mật mạnh hơn. Nó sẽ liên kết quá trình mật mã hoá với quá trình nhận thực. Hai phương pháp mã hoá thay thế cho giao thức WEP: TKIP và AES. TKIP là giải pháp tạm thời, nó hỗ trợ khách hàng và điểm truy nhập thông qua việc cập nhật phần mềm. Một sơ đồ dựa trên AES sẽ cho phép khả năng an ninh mạnh hơn.
Các hệ thống vô tuyến kế thừa hay đang tồn tại có thể được nâng cấp lên một tập con của công nghệ được đặc tả trong chuẩn 802.11i. Các tuỳ chọn mã khác của 802.11i như AES sẽ không được nâng cấp vì chúng yêu cầu nâng cấp phần cứng. Người ta hy vọng là có thể công bố đặc tả IEEE 802.11 vào cuối năm 2003.
3.3.6 Kết luận
Trong khi các tuỳ chọn cho an ninh vô tuyến được trình bày ở đây sẽ giúp cho các tổ chức lựa chọn chính sách an ninh và công nghệ hợp lý đối với các môi trường mạng WLAN của họ. NETGEAR cung cấp phạm vi toàn diện của vấn đề an ninh mạng WLAN cần hỗ trợ cho tất cả các lớp an ninh.
3.3.7 Phụ lục: Các công nghệ và các sáng kiến an ninh
Vấn đề an ninh thông tin có rất các tiêu chuẩn, các khái niệm, các cơ chế áp dụng cho an ninh mạng được định nghĩa rõ ràng. Hầu như tất cả các mạng thông tin doanh nghiệp đều sử dụng một số hay tất cả các khái niệm sau đây. Các nhà cung cấp sản phẩm mạng WLAN nắm bắt các khái niệm này khi họ phát triển các sản phẩm cho doanh nghiệp. Công nghệ an ninh đã phát triển qua một vài năm, chúng đã đem lại những khả năng quan trọng. Các công nghệ an ninh riêng biệt cung cấp các khối kiến trúc để xây dựng đề xây dựng hạ tầng vô tuyến an ninh mạng.
3.3.7.1 Nhận thực
Nhận thực là quyền cho phép một người sử dụng làm việc gì hay đạt được điều gì. Trong các hệ thống máy tính đa người sử dụng, người quản trị hệ thống xác định những người sử dụng nào được phép truy nhập vào hệ thống và xác định đặc quyền của mỗi người sử dụng (quyền truy nhập tới các thư mục chứa dữ liệu, thời gian truy nhập, số lượng không gian bộ nhớ được cấp phát, ...).
3.3.7.2 Kiểm tra dư chu trình CRC
Là một kỹ thuật chung để phát hiện lỗi truyền dẫn dữ liệu.
3.3.7.3 Chữ ký số/ chứng chỉ số
Nó tương tự như hộ chiếu hay bằng lái của tài xế, nó chứng tỏ nhận dạng của người sử dụng, mục tiêu của nó là ngăn ngừa quá trình mạo nhận trái phép. Các chứng chỉ số được công bố bởi một CA (Certificates Authority)– quyền cấp chứng chỉ. Nó bao gồm một tên, số seri, ngày hết hạn, bản sao của khoá chung của chứng chỉ người dùng (được sử dụng để mã hoá các bản tin và các chữ ký số), và chữ ký số bản quyền công bố chứng chỉ vì thế mà một người nhận có thể kiểm tra được một chứng chỉ là thật hay giả. Một vài chứng chỉ số theo chuẩn X.509.
Một chữ ký số (không xung đột với chứng chỉ số) là một chữ ký điện tử có thể được sử dụng để nhận thực định danh của người gửi bản tin hay người ký một văn bản và đảm bảo rằng nột dung ban đầu của văn bản hay bản tin không bị thay đổi.
3.3.7.4 Tường lửa
Là khả năng ngăn chặn lưu lượng mạng thông qua một cổng Gateway theo một tập các quy tắc. Nó thường được đặt ở Gateway hay điểm truy nhập, nó điều khiển luồng lưu lượng mạng, ngăn chặn người sử dụng bên trong và bên ngoài truy nhập dữ liệu và các dịch vụ được xác định bởi người quản trị hệ thống. Các tường lửa cấp cao sử dụng khả năng kiểm tra gói trạng thái hơn là công nghệ lọc gói. Các mạng WLAN có thể bị cô lập với mạng hữu tuyến bằng một tường lửa.
3.3.7.5 Kerberos
Được thiết kế để điều khiển truy nhập tới các nguồn tài nguyên thông tin bằng cách sử dụng một mã khoá bí mật. Sau khi một khách hàng và server nhận thực được nhau sử dụng Kerberos, chúng trao đổi một khoá mã dùng chung, khoá này mã hoá tất cả thông tin của họ, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu. Kerberos điều khiển truy nhập tới tất cả các nguồn tài nguyên, dịch vụ được bảo vệ trong mạng, bảo vệ chúng tránh khỏi người sử dụng khác, những người này có thể cố sử dụng quyền truy nhập của một ai đó để đạt được quyền truy nhập dữ liệu hay các dịch vụ khác.
Kerberos là một quá trình 3 hướng, phụ thuộc vào dịch vụ thứ 3 gọi là trung tâm phân bổ khoá (KDC) để kiểm tra nhận dạng của một máy tính và thiết lập các khoá mật mã để tạo ra một kết nối an toàn giữa chúng.
Bằng việc thay đổi chuỗi các bản tin mã hoá hay các “vé” của khách hàng, KDC tạo ra các khoá mật mã mới đối với mỗi giai đoạn của quá trình nhận thực. Sau khi một “vé” được tạo ra, khách hàng có thể sử dụng nó để đạt được quyền truy nhập tới server đích không giới hạn số lần truy nhập cho đến khi “vé” hết hạn. Khách hàng hay bất cứ ai khác can thiệp vào mạng đều không thể đọc hay sửa đổi “vé” mà không làm hỏng nó.
3.3.7.6 Tính toàn vẹn
Là phương pháp đảm bảo cho dữ liệu, hệ thống, hay các file ứng dụng không bị xâm nhập nhất là khi chúng được gửi đi qua mạng.
3.3.7.7 Chuyển đổi khoá Internet (IKE)
Là một phương pháp tự động hoá sử dụng cho các khoá mật mã quản lý và trao đổi giữa hai thiết bị mạng VPN. IKE sử dụng mật mã khoá chung cho phép truyền dẫn đảm bảo an ninh khi truyền khoá bí mật tới người nhận, vì thế dữ liệu đã được mã hoá có thể được giải mã tại một đầu cuối khác. IKE là một phần của IPSec.
3.3.7.8 IPSec
IPSec là một giao thức lớp mạng sử dụng cho an ninh mức cao, nó cung cấp một khung các tiêu chuẩn mở đảm bảo các quá trình truyền thông riêng đảm bảo an ninh thông qua các mạng IP. Nó có thể cho phép bảo mật, bảo vệ tránh khỏi các đe doạ và điều khiển truy nhập host đối với lưu lượng mạng thông qua các cơ chế nhận thực và mã hoá chuẩn.
Bởi vì IPSec mã hoá và nhận thực ở mức IP-dưới lớp truyền dẫn-nên nó trong suốt đối với tất cả các ứng dụng như thư điện tử, truyền file, truy nhập Web, … Và bởi vì IPSec trong suốt với người dùng đầu cuối nên không cần đưa chúng vào các cơ chế an ninh, công bố các tài liệu khoá tại một người dùng cơ sở, thu hồi các khoá khi người dùng rời khỏi tổ chức.
Vì IPSec được thiết kế cho giao thức IP nên nó hỗ trợ rộng rãi trong công nghiệp và là chuẩn trên thực tế sử dụng cho các mạng VPN trên mạng Internet.
3.3.7.9 LEAP
Là phần triển khai độc quyền của 802.1x bởi Cisco.
3.3.7.10 Điều khiển truy nhập môi trường (MAC)
Mỗi địa chỉ phần cứng 48 bit duy nhất được gán cho mỗi nút Ethernet, thường được viết dưới dạng 01:23:45:67:89:ab. Để tăng khả năng an ninh cho mạng vô tuyến, người quản trị hệ thống có thể lập trình điểm truy nhập chỉ chấp nhận các địa chỉ MAC xác định và lọc bỏ các phần khác ra khỏi mạng. Bảng điều khiển dùng giao thức MAC sẽ thực hiện khoá một địa chỉ MAC không được biết khi nó đang cố gắng kết nối và không cho phép truy nhập đối với địa chỉ này.
3.3.7.11 Giao thức nhận thực mở rộng được bảo vệ (PEAP)
PEAP là một phần của giao thức EAP. Nó sử dụng an ninh mức truyền dẫn TLS để tạo ra một kênh mã hoá giữa khách hàng và server nhận thực. PEAP không xác định một phương pháp nhận thực nào nhưng cho phép khả năng an ninh bổ sung đối với các giao thức EAP. PEAP được sử dụng như một giao thức nhận thực đối với các khách hàng vô tuyến 802.11 nhưng không hỗ trợ các mạng VPN. PEAP tương tự như TTLS.
3.3.7.12 Hạ tầng khoá chung (PKI)
Là một phương pháp mà người sử dụng VPN có hiệu lực sử dụng để nhận thực thông qua các quyền cấp chứng chỉ. PKI cho phép người sử dụng tương tác với nhau và với các ứng dụng, đạt được và kiểm tra các nhận dạng và các khoá và đăng ký với các thành phần thứ 3 đáng tin cậy.
3.3.7.13 Dịch vụ người sử dụng quay số nhận thực từ xa (RADIUS)
RADIUS cho phép một công ty duy trì các lý lịch người dùng trong một cơ sở dữ liệu trung tâm mà mọi server ở xa có thể chia sẻ với nhau. RADIUS là một giao thức khách hàng-server cho phép các server truy nhập ở xa liên lạc với server trung tâm, thực hiện nhận thực người sử dụng quay số, ban quyển truy nhập tới dịch vụ hay hệ thống yêu cầu. Nó cung cấp khả năng an ninh, cho phép một công ty thiết lập chính sách có thể áp dụng được ở điểm mạng quản lý đơn giản.
3.3.7.14 Bộ nhận dạng tập dịch vụ (SSID)
Một bộ nhận dạng đi kèm với các gói tin gửi đi qua mạng WLAN đóng vai trò như một mật khẩu để tham gia vào một mạng vô tuyến riêng biệt hay dịch vụ hỗ trợ phát quảng bá (BSS). Tất cả các điểm truy nhập và điểm vô tuyến trong cùng một BSS phải dùng chung một SSID, nếu không các gói của chúng sẽ bị bỏ qua.
3.3.7.15 An ninh lớp truyền tải (TLS)
Chuẩn IETF được đề xuất đã thay thế cho giao thức SSL của Netscape. TLS cho phép mã hoá và chứng nhận ở lớp truyền tải, vì thế dữ liệu có thể chuyển qua kênh an ninh mà không yêu cầu những thay đổi đáng kể về phía các ứng dụng khách hàng hay server. TLS cho phép hai khả năng:
• Một giao thức bắt tay cho phép server và khách hàng nhận thực nhau và thảo luận để đưa ra một thuật toán mã hoá;
• Một giao thức bản ghi báo cáo cung cấp kết nối an ninh với một thuật toán mã hoá đã được lựa chọn
3.3.7.16 An ninh lớp truyền tải đường ống (TTLS)
Là một giao thức an ninh vô tuyến được đề xuất và phát triển bởi Funk Software and Certicom, kết hợp các chứng chỉ mạng cơ sở với quá trình nhận thực khác như là các thẻ (token) hay mật khẩu. Nó còn có tên là EAP-TTLS. TTLS cho phép nhận thực hai chiều mà không cần phân bổ hay quản lý các chứng chỉ.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links
Last edited by a moderator: