В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
Действительно, ожидания операторов и пользователей сети не только не противоречат друг другу, но и являются взаимодополняющими. Любая правильно спроектированная сеть нуждается в реализации средств защиты каналов от несанкционированного доступа (НСД), которые могут быть обеспечены только совместными усилиями производителей оборудования, системных интеграторов и сетевых операторов.
Профиль IEEE 802.16e-2005 определяет безопасность в сети WiMAX, начиная с канального уровня (MAC), с помощью процедур аутентификации на основе алгоритмов AES, PKI, X.509. Шифрование данных на канальном уровне обеспечивает неприкосновенность частной информации и защищает трафик от перехвата.
На сетевом уровне обеспечивается защита посредством использования брандмауэров и ААА-процедур (Authentication, Authorization, Accounting). В приложениях Mobile WiMAX ААА-процедуры непосредственно задействованы в обеспечении роуминга. Для реализации ААА-процедур наиболее широко используется протокол RADIUS (Remote Authentication in Dial-In User Service), описанный в спецификациях RFC2865, RFC2866.
На транспортном уровне и уровне приложений обеспечиваются дополнительные защитные меры по желанию оператора сети или сервис-провайдера (Application Service Provider, ASP) или самого конечного пользователя с использованием протокола TLS и цифровых подписей и сертификатов соответственно.
Алгоритмы безопасности канального уровня реализуют важнейшие функции аутентификации, авторизации и шифрования, существующего между конечной станцией пользователя, то есть мобильной станцией (MS), но некоторые принципы вполне применимы к станции подписчика (SS – subscriber station) и базовой станции посредством интерфейса IEEE 801.16e-2005.
Здесь, говоря о безопасности сети, будем относить различные функции безопасности к базовой станции (BS). В действительности, как будет показано далее, все эти функции могут располагаться не только на стороне BS, но могут быть распределены между остальными узлами сети.
Существуют две формы процедуры аутентификации:
Каждая реализация WiMAX должна иметь одностороннюю аутентификацию. Эксперименты показали, что двухсторонняя аутентификация (обоюдная) также весьма полезна.
Аутентификация реализуется путем использования протокола обмена публичными ключами, при этом обеспечивается не только собственно аутентификация, но и создание ключей шифрования. В схемах обмена публичными ключами каждый участник должен иметь публичный и частный (закрытый) ключи. Публичный ключ известен всем, частный же держится в секрете.
Стандарт WiMAX IEEE 802.16e-2005 определяет протокол управления (Privacy Key Management – PKM), поддерживающий три типа аутентификации:
Протокол аутентификации PKM устанавливает общий секретный ключ, называемый ключом авторизации (AK) между BS и MS. Как только между BS и MS установлен общий AK, ключ шифрования ключей (KEK) выводится из использования. После этого KEK используется для шифрования в ходе PKM последующего обмена ключом шифрования трафика (TEK).
В аутентификации, основанной на RSA, BS аутентифицирует MS по ее уникальному цифровому сертификату, созданному производителем MS. Сертификат X.509 содержит публичный ключ (PK) MS и ее MAC-адрес. Когда появляется необходимость в AK, MS отправляет свой цифровой сертификат на BS, которая проверяет сертификат, и затем использует проверенный PK для шифрования AK. Зашифрованный AK передается обратно на MS. Все базовые станции, которые имеют RSA-аутентификацию, имеют фабрично установленные пару частный/публичный ключ (или алгоритм для динамической генерации этих ключей) и цифровой сертификат X.509.
В случае использования аутентификации, основанной на EAP, MS аутентифицируется либо посредством уникального фактора оператора, например SIM, либо также посредством цифрового сертификата X.509, как было описано выше.
Выбор метода аутентификации зависит от выбора оператором типа EAP:
BS ставит в соответствие MS и подписчика услуги и соответственно определяет список сервисов, к которым подписчику разрешен доступ. Таким образом, через обмен AK BS определяет подписчика и доступные для него сервисы.
После стадии аутентификации MS отправляет запрос на авторизацию базовой станции. Этот так называемый запрос AK, который также называют запросом Ассоциации безопасности сущности (SA identity – SAID). Запрос на идентификацию включает сертификат X.509 MS, алгоритм шифрования и криптографический ID.
В ответ BS проводит необходимую процедуру подтверждения доступа (запрашивая сервер AAA в сети) и отправляет обратно ответ авторизации (Authorization
reply), который содержит AK, зашифрованный на публичном ключе MS, ключ времени жизни (lifetime key) и SAID.
После прохождения стадии авторизации AAA посредством BS периодически проводит процедуру повторной инициализации MS.
Ассоциация безопасности (SA) определяется как набор защищенной информации, разделяемой между BS и одной или несколькими MS, подключенными к этой BS, для поддержания защищенного соединения через сеть доступа WiMAX.
Определены три типа SA – первичная, статическая и динамическая. Каждая MS устанавливает первичную SA на стадии инициализации MS. Статические SA обеспечиваются посредством BS. Динамические SA создаются и уничтожаются в реальном времени в соответствии с созданием и уничтожением потоков данных сервисов. Каждая MS может иметь несколько потоков данных сервисов в каждый период времени и соответственно несколько динамических SA. При авторизации MS базовая станция удостоверяется, что соответствующие SA совместимы с типами сервисов.
Топология сети Mobile WiMAX определена протоколом IEEE 802.16-2005 (см. рис.).
Один из узлов эталонной модели ASN-GW (Access Service Network Gateway) является логическим элементом сети, выполняющим агрегирование (объединение) сигнальных функций, а также, если необходимо, маршрутизацию потоков данных пользователей (см. табл.). Основное отличие стандарта Mobile WiMAX (IEEE 802.16-2005) от других стандартов беспроводной связи заключается в том, что канальный уровень терминации устройств, подключенных на CPE, осуществляет именно ASN-GW. Вся информация в ходе выполнения ААА-процедур также передается через ASN-GW, и именно на этот узел возлагаются функции анализа ответов ААА-сервера и полный контроль пользовательских сессий. Можно сказать, что ASN-GW выполняет функции NAS (Network Access Server).
Для подключения мобильных абонентских устройств (MS) и стационарных абонентов (SS) используются различные подходы. Для подключения MS чаще всего применяется модель ASN-GW IP model. В ней ASN-GW выступает IP-шлюзом для подключенных к нему мобильных терминалов через зарегистрированные на нем BS. Данная модель предусматривает реализацию QoS Per Customer. Для каждого мобильного абонента создается отдельный L3 GRE-туннель от BS до ASN-GW c соответствующим приоритетом. Может использоваться и модель per service flow model (PSFM), когда GRE-туннель создается по запросу конкретного сервиса. При ее использовании следует учитывать, какое максимальное число GRE-туннелей способны поддерживать BS и ASN. Обычно ASN-GW осуществляет аутентификацию и подгрузку и/или хранение политик для пользователей, участие в присвоении IP-адресов, а также может выступать в качестве DHCP-proxy. Проходя аутентификацию, мобильный абонент получает IP-адрес и права для доступа к ресурсам сети.
Если сопоставить процедуру передачи учетных данных пользователя
при аутентификации и авторизации абонента, то на первый взгляд не все очевидно. Например, именно протокол R2 показывает логическую связь между MS и Home CSN, но на практике маршруты следования данных по линии протокола R2 могут иметь отличия в зависимости от топологии сети, политик безопасности и поведения абонентского устройства. Рассмотрим несколько примеров.
О приложении FreeRADIUS, как об одном из самых мощных в функциональном плане RADIUS-приложений, читайте во второй части статьи, которая будет опубликована в следующем номере журнала "Технологии и средства связи".
Опубликовано: Журнал "Технологии и средства связи" #2, 2011
Посещений: 24120
Статьи по теме
Автор
| |||
В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций