Исследование сети передачи информации на основе стека протоколов ZigBee. Структура и безопасность
Механизм создания и обмена пакетами в сети передачи информации на основе стека протоколов ZigBee. Принцип действия, особенности работы и коммутации с другими протоколами, определение основных методов и способов защиты информации, передаваемой в сети.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 12.09.2012 |
Размер файла | 2,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Реферат
Отчет по практике ____с., 4 ч., 10 рис., 0 табл., 11 источников, 2 прил.
СТАНДАРТ РАДИОСВЯЗИ IEEE 802.15.4, СТЕК ПРОТОКОЛОВ СВЯЗИ ZIGBEE, СЕТЬ ПЕРЕДАЧИ ДАННЫХ НА ОСНОВЕ УСТРОЙСТВ, ПОДДЕРЖИВАЮЩИХ ZIGBEE, БЕЗОПАСНОСТЬ ИНФОРМАЦИИ, ЦИРКУЛИРУЮЩЕЙ В ЭТОЙ СЕТИ.
Объектом исследования является сеть передачи информации на основе стека протоколов ZigBee.
Цель работы: исследование принципа действия, особенностей работы и коммутации с другими протоколами, определение методов и способов защиты информации, передаваемой в сети, а также реализация возможных методов защиты в конечных устройствах. Настройка параметров безопасности на АРМ, предназначенных для работы с устройствами на базе стека протоколов ZigBee.
Метод проведения работы - экспериментальное исследование с использованием устройств, работа которых основана на стеке протоколов ZigBee.
Результаты работы: изучен механизм работы сети, механизм ее создания и обмена пакетами.
Степень внедрения: на базе сети строится система сбора данных со счетчиков услуг ЖКХ, оконечные устройства и маршрутизаторы внедрены в виде модулей в АСКУЭ "Интелекон" производства НПП "Горизонт". Возможны другие применения сети.
Область применения - передача информации на определенной территории без прокладки проводов с интеграцией в считывающие, управляющие устройства.
Экономическая эффективность и значимость работы: созданная сеть позволяет заметно ускорить процесс обмена информацией без финансовых и временных затрат на прокладку кабеля, обеспечить передачу данных в тех местах, где проводная связь невозможна, а использование других средств беспроводной связи нерационально или экономически невыгодно.
стек протокол сеть безопасность
Содержание
- Реферат
- Обозначения и сокращения
- Введение
- 1. Общие сведения о стеке протоколов ZB
- 1.1 Стандарт IEEE 802.15.4
- 2. Создание сети и ее топологические особенности
- 3.Безопасность информации в сетях ZB
- 4. Настройка параметров безопасности учетных записей пользователей на арм для работы с утройствами zigbee
- Заключение
- Список используемой литературы
- Приложения
Обозначения и сокращения
ZB - ZigBee
DD - Designated Device
SDK - Software Development Kit
RREQ - Route Request
RREP - Route Reply
НСД - несанкционированный доступ
Введение
В период с 2 июля по 29 июля 2012 года я проходил производственную практику в Научно-производственном предприятии "Горизонт" расположенного по адресу ул. Мамина-Сибиряка, д.145.
Целью практики является:
· освоение приемов организации сети беспроводной передачи информации на основе стека протоколов ZigBee для применения в различных сферах деятельности;
· освоение приемов обеспечения информационной безопасности в сетях беспроводной передачи информации на основе стека протоколов ZigBee;
· закрепление на практике знаний по настройке параметров безопасности учетных записей пользователей стандартными средствами Windows на АРМ для работы с устройствами на базе стека протоколов ZigBee.
· закрепление на практике теоретических знаний по организации сети передачи данных и использованию алгоритмов шифрования.
Общим заданием на производственную практику является изучение комплексного применения методов и средств обеспечения информационной безопасности объекта защиты и изучение системы оценок эффективности применяемых мер обеспечения защиты информации.
Частным заданием, поставленным на производственной практике, является ознакомление с разработанными предприятием устройствами на базе стека протоколов ZigBee, изучение стека протоколов ZigBee, изучение вопросов безопасности передачи данных в сетях ZigBee, настройка параметров безопасности учетных записей пользователей стандартными средствами Windows на АРМ для работы с устройствами на базе стека протоколов ZigBee.
За время прохождения производственной практики были решены следующие задачи:
· Изучен стандарт радиосвязи IEEE 802.15.4
· Изучен стек протоколов ZigBee
· Рассмотрены способы защиты информации в сети на основе таких устройств
· Проведены практические мероприятия по созданию сети передачи данных с использованием АСКУЭ "Интелекон"
· реализованы механизмы защиты от НСД учетных записей пользователей на АРМ для работы с устройствами ZigBee.
Характеристика предприятия
Научно-производственное предприятие "Горизонт" на рынке средств автоматизации технологических процессов c 1992 года. Профиль НПП ООО "Горизонт" - разработка и производство средств автоматизации, их внедрение на основе комплексных инженерных решений в области АСУ ТП. Одно из направлений деятельности НПП ООО "Горизонт" - деятельность в области АСУ ТП, локальных и интегрированных систем управления [1].
1. Общие сведения о стеке протоколов ZB
ZigBee - название набора сетевых протоколов верхнего уровня, использующих маленькие, маломощные радиопередатчики, основанные на стандарте IEEE 802.15.4 Этот стандарт описывает беспроводные персональные вычислительные сети (WPAN). ZigBee нацелена на приложения, которым требуется длительное время автономной работы от батарей и высокая безопасность передачи данных, при небольших скоростях передачи данных. [2]
Основная особенность технологии ZigBee заключается в том, что она при относительно невысоком энергопотреблении поддерживает не только простые топологии беспроводной связи ("точка-точка" и "звезда"), но и сложные беспроводные сети с ячеистой топологией с ретрансляцией и маршрутизацией сообщений.
Альянс ZigBee является органом, обеспечивающим и публикующим стандарты ZigBee, он также публикует профили приложений, что позволяет производителям изначальной комплектации создавать совместимые продукты. Текущий список профилей приложений, опубликованных, или уже находящихся в работе:
· Домашняя автоматизация
· Рациональное использование энергии (ZigBee Smart Energy 1.0/2.0)
· Автоматизация коммерческого строительства
· Телекоммуникационные приложения
· Персональный, домашний и больничный уход
· Игрушки
Сотрудничество между IEEE 802.15.4 и ZigBee подобно тому, что было между IEEE 802.11 и альянсом Wi-Fi. Спецификация ZigBee 1.0 была ратифицирована 14 декабря 2004 и доступна для членов альянса ZigBee. Сравнительно недавно, 30 октября 2007 г., была размещена спецификация ZigBee 2007. О первом профиле приложения - "Домашняя автоматизация" ZigBee, было объявлено 2 ноября 2007. ZigBee работает в промышленных, научных и медицинских (ISM-диапазон) радиодиапазонах: 868 МГц в Европе, 915 МГц в США и в Австралии, и 2.4 ГГц в большинстве стран в мире (под большинством юрисдикций стран мира). Как правило, в продаже имеются чипы ZigBee, являющиеся объединёнными радио - и микроконтроллерами с размером Flash-памяти от 60К до 128К таких производителей, как Jennic JN5148, Freescale MC13213, Ember EM250, Texas Instruments CC2430, Samsung Electro-Mechanics ZBS240 и Atmel ATmega128RFA1. Радиомодуль также можно использовать отдельно с любым процессором и микроконтроллером. Как правило, производители радиомодулей предлагают также стек программного обеспечения ZigBee, хотя доступны и другие независимые стеки.
Так как ZigBee может активироваться (то есть переходить от спящего режима к активному) за 15 миллисекунд или меньше, задержка отклика устройства может быть очень низкой, особенно по сравнению с Bluetooth, для которого задержка, образующаяся при переходе от спящего режима к активному, обычно достигает трёх секунд. Так как ZigBee большую часть времени находится в спящем режиме, уровень потребления энергии может быть очень низким, благодаря чему достигается длительная работа от батарей.
Первый выпуск стека сейчас известен под названием ZigBee 2004. Второй выпуск стека называется ZigBee 2006, и, в основном, заменяет структуру MSG/KVP, использующуюся в ZigBee 2004 вместе с "библиотекой кластеров". Стек 2004 года сейчас более или менее вышел из употребления. Реализация ZigBee 2007 в настоящее время является текущей, она содержит два профиля стека, профиль стека № 1 (который называют просто ZigBee) для домашнего и мелкого коммерческого использования, и профиль стека № 2 (который называют ZigBee Pro). ZigBee Pro предлагает больше функций, таких как широковещание, маршрутизацию вида "многие-к-одному" и высокую безопасность с использованием симметричного ключа (SKKE), в то время как ZigBee занимает меньше места в оперативной и Flash-памяти. Оба профиля позволяют развернуть полномасштабную сеть с ячеистой топологией и работают со всеми профилями приложений ZigBee. Протоколы ZigBee снижают время включения радиопередатчиков и сокращают энергопотребление. В маячковых сетях узлы должны быть активными только во время осуществления маячком передачи. В безмаячковых сетях расход энергии решительно ассиметричен, некоторые устройства всегда активны, в то время как другие проводят большую часть своего времени в спящем режиме.
1.1 Стандарт IEEE 802.15.4
IEEE 802.15.4 - стандарт, который определяет физический слой и управление доступом к среде для беспроводных персональных сетей с низким уровнем скорости. Стандарт поддерживается рабочей группой IEEE 802.15. Является базовой основой для протоколов ZigBee, WirelessHART, и MiWi, каждый из которых, в свою очередь, предлагает решение для построения сетей посредством постройки верхних слоёв, которые не регламентируются стандартом. [3]
Цель стандарта IEEE 802.15 - предложить нижние слои основания для сетей, ориентированных на низкую стоимость, низкую скорость повсеместной связи между устройствами (по контрасту с многими более конечно-ориентированными на пользователя сетями, как например Wi-Fi). Акцент делается на очень низкой стоимости связи с ближайшими устройствами, совсем без (или с небольшой) базовой структурой, с целью эксплуатации на очень низком уровне энергии.
Основной предел приёма - 10-метровая область связи со скоростью передачи 250 кбит/с. Компромиссы возможны в пользу более радикально встраиваемых устройств с ещё более низкой потребностью в энергии, путём определения не одного, а нескольких физических уровней. Первоначально были определены низкие скорости передачи в 20 и 40 кбит/с, скорость в 100 кбит/с была добавлена в текущем перевыпуске. Ещё более низкие скорости передачи могут быть рассмотрены с результирующим эффектом снижения энергопотребления. Как уже упоминалось, главной отличительной особенностью стандарта 802.15.4 среди беспроводных персональных сетей важным является низкая стоимость производства и расходов по эксплуатации, простота технологии.
Физический слой, в конечном счете, предоставляет услуги передачи данных и обеспечивает базу данных информации соответствующей персональной сети. Таким образом физический слой управляет трансиверной радиостанцией и выполняет выбор каналов, уровня энергии, сигналы управления в зависимости от режима построения сети. Он действует в одной из трёх возможных радиочастотных полосах, не мешая другим устройствам работать на этой частоте.
· 868.0-868.6 МГц: Европа, разрешается один канал связи (2003, 2006)
· 902-928 МГц: Северная Америка свыше десяти каналов (2003), расширено до тридцати (2006)
· 2400-2483.5 МГц: используется во всём мире около шестнадцати каналов (2003, 2006)
Первоначальная версия 2003 стандарта определяет два физических слоя, основанных на широкополосной модуляции с прямым расширением спектра, один работает на полосе 868/915 МГц со скоростью передачи в 20 и 40 кбит/с, а другой на полосе 2450 МГц со скоростью 250 кбит/с. Перевыпуск 2006 повышает максимальные скорости передачи данных на частотах 868/915 МГц, также придавая им скорости в 100 и 250 кбит/с. Кроме того, перевыпуск вносит некоторые дополнения, определяя четыре физических уровня в зависимости от метода модуляции. Три из них основаны на широкополосной модуляции, в диапазоне 868/915 МГц используется как двоичная так и квадратурная фазовая манипуляция. В диапазоне 2450 МГц используется квадратурная фазовая манипуляция. Оптимальный слой на частоте 868/915 МГц определяется используя комбинацию двоичного кодирования и амплитудной манипуляции (таким образом, на основе параллельного, а не последовательного расширения спектра). Возможно динамическое переключение между поддерживаемыми слоями 868/915 МГц. Слой механизма доступа (Media Access Control, МАС) позволяет передачу фрагментов данных структуры МАС. Кроме информационных услуг он сам управляет размещением маячков на каналах. Он также контролирует проверку фрагментов структуры, гарантирует множественный доступ с разделением по времени и управляет связями узлов. Метод доступа к среде передачи CSMA/CA (множественный доступ с контролем несущей и избеганием коллизий). Что касается защиты связей, подуровень MAC предлагает возможности, которые могут быть использованы в верхних слоях для достижения желаемого уровня безопасности. Процессы в высших слоях могут определять ключи для выполнения симметричной криптографии для защиты сети и ограничения её для определенной группы устройств или просто для одноранговой сети связи, группы устройств могут быть описаны в списках контроля доступа. Кроме того, на подуровне MAC проверяется давность приема-передачи для предотвращения возможного ошибочного приема старых кадров, либо данных, которые больше не считаются действительными. В дополнение к этому защищённому режиму защиты есть другой незащищённый режим MAC, который предоставляет списки контроля доступа только в качестве средства для решения о принятии фрагментов в соответствии с их предполагаемым источником.
2. Создание сети и ее топологические особенности
В сетях ZB используется 2 типа маршрутизации:
1. Distance Vector.
2. Link state.
В первом случае каждый узел объявляет свою таблицу маршрутизации только для своих соседей.
Во втором случае узел распространяет свою таблицу маршрутизации на всю сеть. При совпадениях адресов в нескольких присланных таблицах узлы периодически обновляют свои таблицы.
Рассмотрим алгоритмы маршрутизации:
1) Алгоритм маршрутизации AODV (Ad hoc On Demand Distance Vector)
AODV является алгоритмом маршрутизации "по требованию": узлы, которые не лежат на "активном" пути не несут какую-либо информацию о маршрутизации и не участвуют в любых периодических обменах таблицами маршрутизации. Когда узел должен начать взаимодействие с другим узлом, для которого нет информации о маршрутизации в таблице, запускается процесс "Path Discovery". Каждый узел поддерживает два отдельных счетчика: номер последовательности и идентификатор трансляции. Источник узел инициирует "Path Discovery" вещанием маршрут-запроса (RREQ) для своих соседей, который включает в себя адрес отправителя, номер последовательности отправителя, идентификатор трансляции, адрес получателя, счетчик ретрансляций. (Номер исходной последовательности для сохранения актуальности информации об обратном маршруте).
Пара адрес источника и идентификатор трансляции однозначно определяет RREQ, где идентификатор трансляции увеличивается каждый раз, когда источник выпускает новый RREQ. Если промежуточный узел получает RREQ, при условии, что он уже получил RREQ с тем же идентификатором трансляции и адресом источника, то этот RREQ сбрасывается и не ретранслируется. В противном случае, ретранслирует его своим соседям после увеличения счетчика ретрансляций.
RREQ, следуя от источника к получателю, автоматически составляет обратный путь из всех узлов обратно к источнику. Чтобы составить обратный путь, узел сохраняет адрес соседа, от которого он получил первый экземпляр RREQ. Эти записи временные, но хранятся достаточно долго, чтобы информацию между двумя узлами передалась без искажений. Время сохранения записей об обратном маршруте может быть настроено.
После получения RREQ узлом-получателем происходит проверка счетчика ретрансляций, сверка адресов ретрансляторов. В случае совпадения отправляется необходимый ответ, в случае ошибки отправляется ответ RREP с кодами ошибок.
Рисунок 2.1 - Процесс Path Discovery [4]
2) Алгоритм Cluster-Tree
Дерево кластеров - это протокол логической связи сетевого уровня, который использует служебные пакеты "link-state" для формирования либо отдельного кластера, либо целого древа кластеров.
Сеть в основном самоорганизующаяся и имеет некоторую избыточность в количестве путей передачи пакетов для достижения определенной степень устойчивости и имеет возможность самовосстановления. Узлы выбирают корень кластера и сами организуют кластер.
Созданные кластеры соединяются друг с другом посредствам "назначенных устройств" (DD).
Процесс формирования кластеров начинается с выбора корня. После этого корень начинает обмен с другими узлами кластера.
Рисунок 2.2 - Процесс установления соединения корня и узла [5]
Если все узлы расположены в пределах корня, топология становится звездой. Кластер может выйти на связь с многозвенными структурами, т.к. каждый узел поддерживает несколько соединений.
Рисунок 2.3 - Процесс установления соединения корня и узла с использованием "наследования" [6]
Для формирования межкластерного взаимодействия требуется DD, который несет информацию о идентификаторе своего кластера и имеет таблицу маршрутизации. Когда DD подключается к сети, он отправляет запрос на подключение корню другого кластера. Если подключение одобрено, то происходит процесс синхронизации
Рисунок 2.4 - Процесс формирования межкластерного взаимодействия [7]
Если узел получил приветственное сообщение с DD, он сообщает об этом корню кластера. Если подключение DD одобряется корнем кластера то обмен информацией с другим кластером будет осуществлен через тот узел, который сообщил о подключении DD.
Рисунок 2.5 - Процесс формирования межкластерного взаимодействия через граничный узел [8]
Сеть передачи данных на основе стека протоколов ZigBee построена по базовой эталонной модели взаимодействия открытых систем (OSI), что включает в себя наличие функций 7 уровней взаимодействия. Стандарт IEEE 802.15.4 определяет канальный и физический уровни взаимодействия, спецификация стека протоколов ZigBee требует объединения сетевого и транспортного уровней под общим названием "Сетевой уровень". Сеансовый уровень назван уровнем поддержки приложений, что не изменяет его назначения. Функции уровня представления поделены на два уровня "транспортный шлюз ZB" и "Шлюз для приложений ZB". Верхний прикладной уровень идентичен уровню эталонной модели. Все устройства в сети ZB должны иметь уникальные 64-битные адреса. Для обмена информации только внутри своей сети возможно использование коротких 16 битных адресов. Поля адреса зависят от топологии сети: в случае топологии "Звезда" адрес состоит информации о сети и идентификатора устройства, в случае топологии "Дерево" или ячеистой топологии поля адреса состоят из идентификаторов отправителя и получателя. Примечательно то, что с помощью координаторов сети возможно подключение к сети ZB устройств, не поддерживающих стек протоколов ZB. Это осуществимо благодаря функциям анализа и пересобирания пакетов в координаторах сети. Наглядно на рисунке:
Рисунок 2.6 - Блок-схема трансляции IP пакетов [9]
Когда координатор получает IP пакет, он анализирует его и в случае понятных ему инструкций внутри пакета переводит его в кадр ZB. В процессе перевода пакет должен быть переведен на прикладной уровень, где запущена программа непосредственно по переводу кадров.
Рисунок 2.7 - Модель взаимодействия систем [10]
3.Безопасность информации в сетях ZB
Теперь непосредственно о защите информации в сетях ZigBee. К вопросам адекватности защиты передаваемой информации достаточно привести список возможных применений устройств на базе стека протоколов ZB, как сразу становится ясной необходимость защиты информации. Для начала стоит отметить, что в спецификации ZB определены два метода защиты - программный (шифрование) и аппаратный (контроль списка доступа устройств к сети на канальном уровне). Стандарт позволяет реализовать защиту на прикладном уровне по желанию и возможностям пользователей. Например, в системе "Бумиз" производства НПП "Горизонт" реализован дополнительный механизм защиты пин-кодами на прикладном уровне, о чем будет сказано ниже.
В качестве алгоритма шифрации использован алгоритм Rijndael, больше известный как AES - победитель конкурса объявленного Американским Национальным Институтом Стандартов на лучший криптографический алгоритм 2000-го года.
AES отличает достаточная простота и возможность распараллеливания операций при аппаратной реализации. Алгоритм относится к классу блочных с симмеричным ключом. Это означает, что информация шифруется блоками, в данном случае по 128 бит и для шифрования и дешифрования используется один и тот же секретный ключ. Ключ - это 16, 24 или 32 байта данных, сгенерированых генератором случайных чисел, либо заданными пользователем, в случае, когда имеется возможность попасть из прикладного уровня с помощью программы в сеансовый уровень для ввода ключа. Чем меньше длина ключа, тем быстрее выполняется алгоритм, но также уменьшается и криптоскойкость алгоритма. [11]
Кроме самого алгоритма шифрования, важен режим работы блочного шифра. Поскольку поставлена цель не только не дать расшифровать пакет, но и не дать его подменить, то изменение хотя бы одного бита в потоке должно привести к сбою при дешифровании и искажению всей последующей информации. Т.е. злоумышленник не должен иметь возможности преднамеренно исказить информацию в одном определенном маленьком блоке. Это достигается введением взаимосвязи шифрования одних блоков с другими. В загрузчике применен режим под названием "Сцепление шифрованных блоков" (cipher block chaining - CBC). В этом режиме каждый блок открытой информации складывается с помощью операции XOR с предыдущим блоком шифрованной информации.
Блочный шифр требует, чтобы длина информационных блоков была кратна размеру шифруемого блока, когда это условие не соблюдается, то необходимо блоки информации дополнять до заданной длины. После дешифрования пакетов с информацией загрузчик устройства проверяет корректность специальной сигнатуры в начале пакета. Сигнатура - это 4 заранее определенных байта, которые вставляются в пакет при шифровании. Сохранность сигнатуры означает, что пакет был расшифрован правильно.
Теперь стоит сказать об аппаратной защите сети от несанкционированного доступа. Механизм доступа устройств к сети может быть реализован двумя способами.
Первый способ заключается в хранении списка всех легально подключенных устройств у координатора сети. Каждое устройство имеет уникальный адрес, при создании сети устройства обмениваются паролями, таким образом, координатор имеет определенный список устройств. Из прикладного уровня с помощью специального ПО список можно зафиксировать, например, запретив добавление устройств, что при недоступности злоумышленнику координатора сети, обеспечивает защиту от несанкционированных подключений. В связи с тем, что список не будет передаваться на конечные устройства сети (важно не путать список легально подключенных устройств с таблицей маршрутизации), то при попытках подключения неизвестного устройства через конечное в сети, последнее отправит запрос и координатор, просматривая список, отклонит это несанкционированное подключение, а конечные устройства не будут добавлять новое устройство в свою таблицу маршрутизации, что предотвратит утечку информации из сети. В данном способе контроля за подключениями к сети важно защитить координатор от несанкционированного доступа, например, через работу с ним с помощью приложения из прикладного уровня. Также этот способ удобно использовать при контроле за вышедшими из строя устройствами, т.к. в случае, если устройство при запросе не выходит на связь, значит, в нем имеется неисправность, что своевременно отражается в прикладном ПО, которое работает вместе с координатором. Это позволяет, в случае с различными датчиками учета воды, газа, электроэнергии, бороться с нерадивыми, но очень умными жильцами, пытающимися "скрутить" данные путем подмены передаваемых данных с конечного устройства. Также при использовании этого способа контроля за подключениями сохраняется основной принцип сети - пониженное энергопотребление конечных устройств. Координатор выполняет все работу по организации сети и часто питается от обычной сети 220 В 50 Гц, в то время как конечные устройства могут быть запитаны от батареек, что сохраняет их мобильность. К достоинствам данного метода стоит отнести более высокую надежность за счет защиты списка, быструю настройку сети за счет выполнения основных функций координатором, гибкую настройку сети в реальном времени посредствам прикладного ПО, запущенного на координаторе без необходимости перепрошивки конечных устройств. К недостаткам стоит отнести более высокую стоимость за счет покупки координатора, привязанность координатора к сети питания в случае его постоянной работы с прикладным ПО, необходимость самостоятельной разработки прикладного ПО, т.к. далеко не все производители поставляют готовое ПО для работы с узким кругом задач, чаще доступен набор SDK.
Второй способ контроля доступа позволяет построить сеть без координатора. Здесь используется механизм самоорганизации сети, когда конечные устройства образуют кластер, образуя корень кластера и создавая таблицу маршрутизации путем множественных запросов-ответов "Path Discovery". Список подключенных устройств "циркулирует внутри сети" и каждое устройство имеет копию этого списка. При подключении незнакомого устройства через конечное устройство в кластере (не через корень) последнее проверяет наличие первого в списке, в случае отсутствия спрашивает разрешения у корня на подключение. В данном случае процесс длится дольше, т.к. зачастую конечные устройства не обладают большой вычислительной мощностью. Также этот способ обладает следующими недостатками: во-первых, в процессе передачи списка доступа есть вероятность перехвата и расшифровки этого списка злоумышленником, в результате чего становится возможна подмена конечного устройства на другое, которое может представлять собой сниффер трафика, спам-бот сети и прочие неприятности. Во-вторых, такой способ заставляет устройства чаще производить обмен, что приводит к повышенному энергопотреблению, что критично для устройств, питающихся от батареек. В-третьих, т.к. координатор, который следит за сетью, будет отсутствовать, то многие эти функции будут выполняться корнем кластера, что потребует реализации этих функций в "прошивках" всех конечных устройств, т.к. корень выбирается в процессе создания сети, а не при записи микропрограммы в память устройств. К достоинствам данного метода можно отнести низкую стоимость в реализации данного метода в сравнении с первым способом, сохранение мобильности всех устройств сети, возможность использовать устройства по принципу "включил и все работает", т.к. многие производители записывают прошивки с достаточным набором функций для работы без дополнительных настроек, необходимость перепрошивки устройств в случае существенных изменений в работе сети.
Стоит также отметить процесс подключения в случае защиты сети от несанкционированного подключения в обоих случаях. Как правило, при организации сети задается пароль, хэш-сумма которого хранится у координатора (корня). Устройство при попытке подключения проходит процесс идентификации, аутентификации и авторизации, после чего либо получает ключ к дешифрации пакетов, либо сразу приступает к обмену, если ключ уже записан в программу устройства. В процессе создания сети важно исключить разглашение пароля, а также нахождение рядом несанкционированных устройств, чтобы координатор (корень) не ввел это устройство в список доступа в случае утечки пароля для подключения. При попытке подключения пароль передается в открытом виде, что не влияет на безопасность зашифрованных пакетов, т.к. в случае отказа от подключения координатором (корнем) несанкционированное устройство не получит ключ к дешифрованию пакетов.
Стоит сказать также про возможность защиты информации на прикладном уровне. Так как зачастую прикладное ПО разрабатывается пользователем, то механизм защиты ограничивается вычислительной мощностью устройства и фантазией разработчика прикладного ПО. В счетчике-регистраторе "Бумиз" производства НПП "Горизонт" реализован модифицированный протокол обмена (под модифицированным понимается такой протокол, который отличается от заводского), т.к. использование альтернативных протоколов обмена поддерживается стандартом ZigBee. Протокол обмена закрытый, что усложняет внедрение несанкционированных устройств в сеть ZB. Для доступа к координатору введена авторизация с помощью "пинкодов". Пинкод представляет собой 4-байтную последовательность символов в шестнадцатеричной системе счисления. Код может быть записан в прошивку сразу, либо внесен через прикладное ПО.
4. Настройка параметров безопасности учетных записей пользователей на арм для работы с утройствами zigbee
Для разработки прикладного ПО по управлению координаторами сети, а так же для создания микропрограмм конечных устройств в НПП "Горизонт" выделено 3 АРМ. Были выдвинуты требования по обеспечению безопасности учетных записей пользователей, непосредственно связанных с созданием ПО для сетей ZigBee. Стоит отметить, что никаких дополнительных программных продуктов по защите АРМ от НСД применено не было, обеспечение безопасности произведено с помощью стандартных средств Windows XP. На каждом АРМ создано по 1 учетной записи с ограниченными правами. Запись администратора отключена не была по просьбе администратора компьютерной сети предприятия. Настройки учетных записей пользователей на всех АРМ одинаковы, отличие состоит в названиях записей и паролях. Создание записи было произведено через консоль оснасток Windows (MMC).
Рисунок 4.1 - Пользователи АРМ №1
Список групп не изменялся относительно стандартных настроек Windows. Учетная запись "Владимир_ZB" входит только в группу пользователи. Далее была проведена настройка политики паролей с помощью оснастки групповая политика.
Рисунок 4.2 - Окно политики паролей
Стоит отметить, что политика блокировки записей пользователей не была затронута, следовательно, учетные записи пользователей не блокируются при неправильных попытках ввода пароля, что также сделано по просьбе администратора. Последним действием была настройка аудита системы в оснастке групповой политики.
Рисунок 4.3 - Окно политики аудита
Важным фактом является то, что установлен параметр, при котором в случае невозможности внесения изменений в журнал аудита ОС аварийно завершает работу. К конкретным файлам и каталогам никаких особенных требований по ограничению доступа/ ведению аудита предъявлено на предприятии не было. В качестве защитного ПО от вредоносных программ используется Kaspersky Antivirus 6.0 for Workstations.
Заключение
В ходе выполнения задания на производственную практику получены следующие результаты:
1. Выполнен анализ публикаций по проблеме развертывания беспроводной сети, анализ методов решения проблем взаимодействия двух и более сетей с устройствами на базе стека протоколов ZigBee.
2. Проведены экспериментальные исследования технологии самоорганизации сети с устройствами на базе стека протоколов ZigBee.
3. Изучены способы защиты передаваемых данных с использованием методов контроля от НСД, рассмотрен алгоритм шифрования данных. При попытке подключения стороннего устройства к сети, координатор сети отверг это подключение.
4. Выполнено обеспечение безопасности учетных записей пользователей от НСД на АРМ для работы с устройствами ZigBee на основе использования стандартных механизмов защиты в Windows XP. Защита работает при попытках ввода пароля, журнал аудита следит за запуском приложений и процессами авторизации пользователей, но она не является непреодолимой преградой, т.к., например, не используется шифрование диска с данными, что может способствовать нарушению конфиденциальности данных путем загрузки сторонней ОС со сменных носителей.
Список используемой литературы
1. http://www.intelecon.ru/about/
2. http://ru. wikipedia.org/wiki/ZigBee
3. http://ru. wikipedia.org/wiki/IEEE_802.15.4
4. Trchalik, R. ZigBee Routing Layer, 2001, c.2, рис.1
5. Trchalik, R. ZigBee Routing Layer, 2001, c.4, рис.1
6. Trchalik, R. ZigBee Routing Layer, 2001, c.4, рис.2
7. Trchalik, R. ZigBee Routing Layer, 2001, c.5, рис.1
8. Trchalik, R. ZigBee Routing Layer, 2001, c.6, рис.1
9. Ocenasek, P ZigBee Gateways, 2001, c.3, рис.1
10. Ocenasek, P ZigBee Gateways, 2001, c.4, рис.1
11. http://indemsys.ru/theoretical-electronics/62-wireless-networks/69-zigbee-project-embedded
Приложения
Приложение 1
Пример конфигурации модулей ZigBee для одной сети Бумиз
1. Устройство управления.
ats01=005
ats02=PID
ats03=EPID
ats05=NetID
ats08=NwKey: pass
ats09=TCKey: pass
ats0b=InteleconAddr: pass
ats0e=fddc
ats0f=01ad
ats10=0001
ats12=0000
ats0c=newpassword: password
2. Пульт.
ats01=023
ats02=PID
ats03=EPID
ats05=NetID
ats08=NwKey: pass
ats09=TCKey: pass
ats0a=43f0h
ats0b=InteleconAddr: pass
ats0e=bfac
ats0f=01fd
ats10=1011
ats12=0110
ats0c=newpassword: pass
3. Шлюз
ats00=0025
ats01=041
ats02=PID
ats03=EPID
ats05=NetID
ats08=NwKey: pass
ats09=TCKey: pass
ats0a=0344h
ats0b=InteleconAddr: pass
ats0e=edda
ats0f=01fa
ats10=0101
ats12=0111
ats0c=newpassword: pass
Приложение 2
Блок-схема устройства сети ZB:
это комбинированное устройство, представляющее собой функционально законченный узел ZigBee-сети. Устройство включает в себя трансивер диапазона 2,4 ГГц, предназначенный для работы в сетях стандарта IEEE802.15.4, 32-разрядный RISC-микропроцессор, постоянную память (ROM) емкостью 64 кБ для программного обеспечения, 96 кБ оперативной памяти (RAM), схемы аппаратной поддержки сетевых протоколов MAC-уровня и набор периферии для связи с внешними устройствами. В зависимости от состава и конфигурации программного обеспечения, схема может использоваться в качестве оконечного устройства, маршрутизатора или координатора в составе ZigBee-сетей любой архитектуры.
Размещено на Allbest.ru
Подобные документы
Сравнительные характеристика протоколов организации беспроводных сетей. Структура и топология сети ZigBee, спецификация стандарта IEEE 802.15.4. Варианты аппаратных решений ZigBee на кристаллах различных производителей и технология программирования.
дипломная работа [3,0 M], добавлен 25.10.2013Особенности организации передачи данных в компьютерной сети. Эталонная модель взаимодействия открытых систем. Методы передачи данных на нижнем уровне, доступа к передающей среде. Анализ протоколов передачи данных нижнего уровня на примере стека TCP/IP.
курсовая работа [1,0 M], добавлен 07.08.2011Локальная вычислительная сеть управления систем связи и телекоммуникаций автомастерской. Пропускная способность каналов между клиентами сети и серверами. Отличия стека протоколов 100Base-T от стека протоколов 10Base-T. Расчет работоспособности сети.
курсовая работа [572,5 K], добавлен 18.01.2016Технология построения сетей передачи данных. Правила алгоритма CSMA/CD для передающей станции. Анализ существующей сети передачи данных предприятия "Минские тепловые сети". Построение сети на основе технологии Fast Ethernet для административного здания.
дипломная работа [2,5 M], добавлен 15.02.2013Изучение понятия локальной вычислительной сети, назначения и классификации компьютерных сетей. Исследование процесса передачи данных, способов передачи цифровой информации. Анализ основных форм взаимодействия абонентских ЭВМ, управления звеньями данных.
контрольная работа [37,0 K], добавлен 23.09.2011Исследование методов и средств передачи информации на расстояния. Описания компьютерной сети, узлы которой осуществляют функции генерации, преобразования, хранения и потребления информации. Классификация вычислительных сетей по территориальному признаку.
презентация [277,4 K], добавлен 13.08.2013Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа [2,3 M], добавлен 18.04.2014Система сбора данных. Скорость передачи данных. Ячеистая структура сети ZigBee. Основные технические характеристики для ZigBee-модемов компании Telegesis. Изменение состояния цифровых выводов модема. Удаленные маршрутизаторы и конечные устройства.
дипломная работа [1,4 M], добавлен 05.06.2011Архитектура клиент-сервер на основе сокетов Windows. Описание утилиты Ipconfig. Конфигурирование стека TCP/IP. Реализация сокетов через классы NET. Структура библиотечных и пользовательских классов. Схема интерфейса пользователя и работы приложения.
курсовая работа [419,5 K], добавлен 13.12.2012Передача информации между компьютерами. Анализ способов и средств обмена информацией. Виды и структура локальных сетей. Исследование порядка соединения компьютеров в сети и её внешнего вида. Кабели для передачи информации. Сетевой и пакетный протоколы.
реферат [1,9 M], добавлен 22.12.2014