Кучер П.А.

Национальный Горный Университет, Украина

Безопасность в Wi-Max сетях

С появлением  компьютеров  и другой электроники появилась необходимость взаимодействия между всей этой электроникой. Так возникли проводные интерфейсы. Со временем, по мере развития технологий, появились беспроводные.

Первым шагом к созданию беспроводных сетей было возникновение отдельных точек доступа Wi-Fi с подключением к проводным сетям. Затем появился совершенно новый класс провайдеров, развернувших многочисленные коммерческие сети и за короткий промежуток времени сети Wi-Fi выросли в серьёзные инфраструктуры- корпоративные и публичные.

Внедрение Wi-Fi стало революцией в мире беспроводных технологий.  Однако ряд недостатков ( радиус действия, ограничения по скорости обмена данными, количеству каналов и т.п. ) не позволили стать Wi-Fi полноценной заменой проводным технологиям.

С целью устранения недостатков была разработана технология Wi-Max. В 2003 году компаниями  Harris Corp., Ensemble, Crosspan и Nokia был основан консорциум Worldwide Interoperability for Microwave Access Forum (WiMAX Forum). Forum занимается определением и гармонизацией стандартов, сертификацией взаимодействия оборудования различных поставщиков, продвижением технологии Wi-Max.  Сегодня термин WiMAX стал коммерческим именем стандарта IEEE 802.16.

В стандарте IEEE 802.16  используется технология TDMA- множественный доступ с разделением по времени. Базовая станция выделяет временные интервалы абонентским станциям для передачи данных не случайным образом, а в определенной очередности.

Дуплексный режим обмена данными реализуется двумя технологиями:  TDD-дуплексный режим с разделением по времени нисходящего и восходящего потоков и FDD-дуплексный режим с разделением по частотам.

Для предотвращения несанкционированного доступа и защиты данных осуществляется шифрование всего передаваемого трафика.

Базовая станция представляет собой модульный конструктив, в который можно установить несколько модулей со своими типами интерфейсов, но при этом обязательно должно поддерживаться административное программное обеспечение для управления сетью. Это обеспечивает централизованное управление всей сетью.

Через эту функцию осуществляется и логическое добавление абонентских комплектов в существующую сеть. Абонентская станция-устройство, имеющее серийный номер, Mac-адрес, цифровую подпись X.509 для аутентификации. Цифровая подпись абонентской станции действительна в течении десяти лет.

После установки, абонентская станция, используя определенную частоту радиосигнала, авторизируется на базовой станции. Затем базовая станция, основываясь на идентификационных данных, передает абоненту по TFTP-протоколу конфигурационный файл, в котором находиться информация о типе трафика и доступной полосе, поддиапазоне передачи/приема данных и другая, необходимая информация. После занесения администратором абонентской станции в базу абонентов и назначением определенных параметров доступа, конфигурационный файл создается автоматически.

Аутентификация абонентской станции на базовой происходит так:

Сначала абонентская станция посылает запрос на авторизацию, содержащий сертификат X.509, описание поддерживаемых методов шифрования и дополнительную информацию. В случае достоверности запроса, базовая станция присылает ответ , в котором содержится ключ на аутентификацию, зашифрованный открытым ключом абонента, четырехбитный ключ для определения последовательности, необходимый для определения следующего ключа на авторизацию и время жизни ключа.

Во время работы абонентской станции через некоторое время происходит повторная аутентификация и авторизация и в случае прохождения этих процедур  поток данных не прерывается.

Использование протокола PKM(Privacy Key Management) в стандарте,  определяет   несколько видов ключей для шифрования информации:

ü                 Ключ для авторизации на базовой станции- AK(Authorization Key)

ü                 Ключ для криптозащиты трафика-TEK(Traffic Encryption Key)

ü                 Ключ для криптозащиты, передавемых в эфире ключей-KEK(Key Encryption Key)

 В каждый момент времени используется два ключа одновременно, с перекрывающимися кременами жизни. Это обеспечивает бесперебойную работу в сети.

 

В Wi-Max есть много достаточно длинных динамически меняющихся ключей, при этом установление безопасных соединений происходит с помощью цифровой подписи.

Криптозащита выполняется в соответствии с алгоритмом 3-DES и отключить шифрование нельзя. Также предусмотрено шифрование по более надежному алгоритму AES.

 

Существующие средства безопасности в современном беспроводном оборудовании при правильной настройке обеспечивают надлежащий уровень защиты передаваемой информации. В дополнение к этому возможно применение дополнительных средств защиты для сетей IP, например VPN.

 

 

 

 

Литература

 

1.     Поправка к стандарту IEEE 802.16e-2005.

2.     www.wimaxforum.org

3.     «Сети и системы связи» № 08 2005 г.

4.     Журнал «МТК» № 04 2006 г.