Аутентификация Аутентификация ахборотни жўнатувчи ва олувчининг шахсини тасдиқлаш воситаси сифатида хизмат қилади. IEEE 802.16e стандартида PKM (ингл. Privacy and Key Management) калитларни бошқариш ва конфиденциаллиги протоколи қўлланган. У қуйидаги учта турдаги аутентификацияни қўллаб-қувватлайди:
EAP протоколи қўлланилганидан кейин RSA алгоритми ишлатилишига асосланган аутентификация.
PKM протоколи авторизация калити (МК) дейиладиган умумий калитни ТС ва АУ орасига ўрнатади. ТС ва АУ орасида умумий МК ўрнатилиши биланоқ, калитларни шифрлаш калити (КШК) фойдаланишдан чиқарилади ва трафикни шифрлаш калитларини (ТШК) кейинги алмаштирилишида шифрлаш учун қўлланилади. Аутентификация очиқ калитларни алмаштириш протоколидан фойдаланиш йўли билан ишлатилади, бунда фақат аутентификация эмас, шифрлаш калитларини яратиш ҳам таъминланади. Очиқ калитларни алмаштириш схемаларида ҳар бир қатнашувчи очиқ ва хусусий (ёпиқ) калитларга эга бўлиши керак. Очиқ калит барчага маълум, хусусий калит эса махфий сақланади.
RSA алгоритмига асосланган аутентификацияда ТС АУ ни уни ишлаб чиқарувчиси яратган Х.509 протоколи улкан рақамли сертификати бўйича аутентификациялайди. Бу сертификат АУ очиқ калити ва унинг МАС-манзилидан ташкил топган. МК га зарурат бўлганда АУ ўз рақамли сертификатини ТС га юборади, ТС сертификатни текширади ва ҳақиқийлиги тасдиқланса, МК ни шифрлаш учун текширилган очиқ калитни қайта АУ га узатади. RSA-аутентификациядан фойдаланадиган барча таянч станциялар заводда ўрнатилган хусусий/очиқ калитлар жуфтлигига (ёки бу калитларни динамик генерациялаш учун алгоритмга) ва Х.509 рақамли сертификатга эга бўлади.
EAP протоколига асосаланган аутентификациядан фойдаланишда АУ оператор улкан фактори (омили), масалан SIM-карта орқали ёки юқорида баён этилганидек, Х.509 рақамли сертификат орқали аутентификацияланади. EAP аутентификациялаш протоколи симсиз тармоқ инфратузилмаси элементларини ва фойдаланувчиларини шифрлаш калитларини динамик генерациялаш имкониятили марказлаштирилган аутентификацияни қўллаб-қувватлайди.
Аутентификациялаштириш усулини танлаш қуйидаги тарзда оператор томонидан EAP протоколини танлашга боғлиқ:
EAP-AKA (ингл. Authentication and Key Agreement) – калитларни аутентификациялаш ва мослаштириш, SIM-карталардан фойдаланишга асосланган;
EAP-TLS (ингл. Transport Layer Sekurity) – транспорт даражасидаги хавфсизлик, Х.509 рақамли сертификатлари асосида аутентификациялаш учун фойдаланилади;
EAP-TTLS (ингл. Tunneled Transport Layer Sekurity) – транспорт даражасидаги тунеллаштирилишли хавфсизлик, MS-CHAPv2 (ингл. Microsoft-Challenge Handshake Authentication Protocol) протоколидан фойдаланишга асосланган.
Кейин ТС мос абонентга (ва АУ га) хизматларни қўяди ва мос равишда абонентга рухсат этилган хизматлар рўйхатини аниқлайди. Шундай қилиб, КА орқали алмаштириш билан ТС абонентни ва унинг учун рухсат этилган хизматларни идентификациялайди.
Аутентификация икки турда мавжуд:
бир томонлама аутентификация, бунда ТС фақат АУ ни аутентификациялайди;
икки томонлама аутентификация, ҳам ТС, ҳам АУ бир-бирларини аутентификациялайди.
WiMAX тизимлари учун мажбурий талаб бир томонлама аутентификацияни ишлатиш ҳисобланади. Лекин, бунда тажрибалар шуни кўрсатдики, икки томонлама аутентификация тармоқ хавфсизлиги даражасини сезиларли оширади.
Авторизация
Аутентификациялаш босқичидан кейин авторизация босқичи бошланади. АУ таянч станцияга авторизацияга сўров (ингл. Authorisation Request) жўнатади. У МК авторизация калити ёки SAID (ингл. SA Identification) хавфсизлик уюшмасини идентификациялашга сўров бўлиши мумкин (5.32-расмга қаранг).
АУ уни ишлаб чиқарувчининг X.509-сертификатига эга сўровни жўнатади. Одатда бу сертификат фақат ишончли ишлаб чиқарувчилар АУ ларини авторизация учун ТС ни созлаш мумкин бўлсада, у ҳеч қанақасига ишлатилмаяпди.
Биринчи хабардан кейиноқ, АУ ўзининг X.509-сертификати, унинг криптиографик имкониятлари ва бирламчи DSA индикаторидан ташкил топган хабарни жўнатади.
ТС АУ нинг сертификати бўйича мос сервисларни тақдим этиш учун муаллифлаштирилганлигини аниқлайди (ААА серверни сўраш билан). Мусбат натижа бўлганида ТС АУ га авторизация жавобини (ингл. Authorization Reply) юборади. Бу жавоб шифрланган МК, бу МК нинг кетма-кет номери (ингл. SeqNo), унинг ҳаёт вақти, шунингдек, абонент муаллифлаштирилган статик DSA (SAID) идентификаторлар рўйхатидан ташкил топади.
Бинобарин, биринчи авторизация процедурасидан кейин ААА-сервер ТС орқали даврий равишда АУ ни такрорий авторизация процедурасини ўтказади.
Аутентификациялаш ва авторизация жараёнлари узунлиги 160 битга тенг бўлган МК авторизация калитидан фойдаланади.
Калитни шифрлаш калити (КШК) бевосита МК дан шакллантирилади, унинг узунлиги 128 битни ташкил этади ва у фақат МК ни шифрланган узатиш учун фойдаланилади. Трафикни шифрлаш учун трафикни шифрлаш калити (ТШК) талаб қилинади, у шифрлаш калити сифатида КШК ишлатиладиган ТШК ни шифрлаш алгоритмидан фойдаланишли тасодифий кетма-кетлик сифатида ТС га генерацияланади.
Трафикни шифрлаш
Трафикни шифрлаш учун IEEE 802.16 стандарти маълумотлар блокили шифрлар блоки уланиш режимида DES алгоритмидан фойдаланади. Лекин таъкидлаймизки, ҳозирги вақтда DES алгоритми етарли хавфсиз ҳисобланмайди ва шунинг учун IEEE 802.16е стандартига АES алгоритми қўшилган. Бу алгоритмларни атрофлича кўриб чиқамиз.
