Ўқув қулланма Тошкент 2011 йил

Download 9,38 Mb.

bet	138/157
Sana	13.05.2022
Hajmi	9,38 Mb.
	#602765

1 ... 134 135 136 137 138 139 140 141 ... 157

Bog'liq
Kitob-DD-2-last latin edin izmer

i номер 0 дан n гача ўзгариши мумкин, бу ерда n – бутун хабарни ва хабарни аутентификациялаш коди MAC-кодни (ингл. Message Authentication Code) қамраш учун зарур бўлган CTR блоклар сони.
Кейин МАС-код яратилади, бунинг учун хабарнинг ахборот қисми бошланишига IV инициализациялаш вектори ўрнига бошланғич (нолинчи) СВС блок қўйиладиган модификацияланган СВС усулидан фойдаланилади (5.37-расм).

Рис. 5.37. AES - CCM режимида МАС-код яратиш ва щифрлаш

Кейин бу жуфтлик СВС усули ва ТШК калити қўлланиладиган AES алгоритми билан шифрланади. Шифрланган матннинг охирги 128 бити МАС-код сифатида олинади. Кейин МАС-код AES-CTR режимда шифрланган бошланғич (нолинчи) CTR блок билан (ёки Counter-блок билан) “XOR” қўшишга олиб келинади.

Якунда қолган CTR блоклардан ҳар бир n блоклар (нолинчи МАС-кодни шифрлашда ишлатилган) ТШК калит қўлланиладиган AES-CTR режимда шифрланади. Кейин натижа хабарнинг ахборот қисмидан “XOR” операцияда қўшилади (5.38-расм).

5.38-расм. Хабарни ахборот қисмини шифрлаш

Шифрланган МАС-кодли, маълумотлар пакети номерили, GMH сарлавҳали ва CRC назорат йиғиндили шифрланган матн PHY физик даражага жўнатилади. Бунда DES даги каби GMH сарлавҳада ЕС майданда 1 ўрнатилади, EKS майдонда эса фойдаланилган ТШК калитнинг (ингл. TEK) индекси кўрсатилади.

Хавфсизликнинг тармоқ аспектлари

Тармоқ даражасида бўлиб ўтадиган хавфсизлик функцияларини кўриб чиқамиз. 5.39-расмда уланишни назорат қилишнинг архитектураси кетирилган.
EAP кенгайтирилган аутентификациялаш протоколи охирги фойдаланувчи ва аутентификатор орасида мураккаб аутентификация протоколларини алмаштиришга имкон берадиган ихчам каркас ҳисобланади. WiMAX (IEEE 802.16e) тизимларида ТС ва АУ орасида EAP протокол PKMv2 протоколидан фойдаланиш билан PHY ва MAC даражаларнинг устида ишлайди. Агар аутентификациялаш функцияси ТС нинг ўзида кўзда тутилмаган бўлса, унда ТС аутентификациялаш протоколини аутентификаторга (ASN-шлюзга) қайта юборади. Аутентификатордан EAP протоколи RADIUS протоколи бўйича аутентификациялаш серверига узатилади. RADIUS протоколи кенг фойдаланиладиган стандарт ҳисобланади, «клиент-сервер» архитектурага эга ва UDP протоколдан фойдаланади. Шундай қилиб, аутентификациялаш сервери RADIUS-сервер ҳисобланади, аутентификатор эса RADIUS-клиент ролини бажаради. Аутентификациялашга қўшимча равишда RADIUS-сервер авторизация ва ҳисобга олиш функцияларини қўллаб-қувватлайди.

5.39-расм. Уланишни назорат қилишнинг архитектураси

ASN профиллари и хавфсизлик

NWG тармоғини ташкил этиш бўйича ишчи гуруҳ томонидан мос равишда A, B ва С дейиладиган ASN уланиш тармоғининг учта профили аниқланди. Ускуналар ишлаб чиқарувчилари ва хизматлар провайдерлари бу профиллардан бирини танлаши мумкин. A ва С профиллар марказлаштирилган ASN-шлюзлардан фойдаланади, бунда С профилда таянч станциялар RRM радиоресурсларни бошқариш ва «хэндовер» функцияларини ишлатилишига бевосита жавобгар ҳисобланади. B профил таянч станциялар даражасида ASN тармоғининг калит функционаллигини бажаради, бу марказлаштирилган ASN-шлюзнинг заруратини олиб ташлайди. Шунингдек, таъкидлаймизки, сўнги вақтларда фақт В ва С профилларни қўллаш билан А профилдан фойдаланиш кўпинча инкор қилинмоқда.
С профил қўлланиладиган хавфсизлик функцияларини бажарилишини кўриб чиқамиз.
5.17-жадвалда С профил ишлатилганда ТС ва ASN-шлюз орасида ASN тармоғи функцияларининг (хавфсизлик функцияси қўшилганда) бўлиниши келтирилган.
С профил учун ASN тармоғи хавфсизлиги архитектураси 5.40-расмда кўрсатилганидек, таянч станция ва ASN-шлюз орасида R6 таянч нуқтаси орқали ўзаро таъсирлашишга асосланган.
5.17-жадвал

С профил ишлатилганда ASN тармоғи функцияларининг бўлиниши

Тоифа	Функция	ASN тармоғи – C профили
Тоифа	Функция	ТС	ASN-шлюз
Хавфсизлик	Аутентификатор		+
	Аутентификацияни кечиктириш	+
	Калитлар тақсимлагичи		+
	Калитлар олувчиси	+
Фойдаланувчи таянч станциялар орасида ҳаракатланганида бошқариш, «хэндовер»	Маълумотлар йўллари функцияси	+	+
	Ҳаракатда назорат қилиш	+
	Контекст сервери ва клиенти	+	+
	Бегона Mobile IP агенти		+
Радиоресурсларни бошқариш	Радиоресурслар контроллери	+
Радиоресурсларни бошқариш	Радиоресурслар агенти	+
Пейджинг	Пейджинг контроллери	+
Пейджинг	Пейджинг агенти		+
Хизмат кўрсатиш сифати	SF-авторизация		+
Хизмат кўрсатиш сифати	SF-менежер	+

Юқорида баён этилганидек, CSN коммутация тармоғи WiMAX тармоғи ядроси ҳисобланади ва ASN тармоғини бошқаради ва ААА, DHCP-сервер ва бошқа функцияларни бажаради. CSN шунингдек, бошқа операторлар тармоқлари билан уланишга, шунингдек, оператор тармоғи ичида ва турли операторлар тармоқлари орасида «роуминг» ни таъминлашга жавобгар.

5.41-расмда WiMAX тармоғида ААА функцияларни бажарилиши учун протоколлар стеки келтирилган. EAP протоколи R1/R3/R5 таянч нуқталари устида, AKA и TLS/TTLS каби EAP протоколлари эса R2 таянч нуқтаси устида ишлайди.

5.40-расм. С профили учун ASN тармоғи хавфсизлиги архитектураси

5.41-расм. WiMAX тизимида ААА учун протоколлар стеки

Ҳам АУ ни, ҳам фойдаланувчининг ўзини аутентификациялаш талаб қилинган ҳолларда ва бунда аутентификация ААА-серверга боғланган бўлса, бир неча PKMv2 усуллари ўзаро аутентификациялашдан мустақил равишда EAP-TTLS дан фойдаланади. Иккиланган аутентификацияда олдин АУ аутентификацияланади, кейин фойдаланувчини EAP-аутентификациялаш бўлиб ўтади, ундан кейин АУ IP-хизматларга уланишни олади. EAP-TTLS аутентификацияда иккиланган аутентификация мос ААА-серверга туннеллаштиришсиз бўлиб ўтади (ҳар иккала ҳолда ўша бир ААА-сервердан фойдаланилади), бунинг натижасида аутентификация жараёни тезлашади.

Сервис оқимларга қўлланиладиган бошқариш ва авторизация функциялари

SFM (ингл. Service Flow Management) сервис оқимларни бошқариш ва SFA (ингл. Service Flow Authorisation) сервис оқимларни авторизация бу QoS хизмат кўрсатиш сифати боғлиқ ва ASN тармоғида жойлашган мантиқий функциялардир. ASN тармоғининг С профили ТС да SFM функцияни, SFM функция эса ASN-шлюзда бажарилишини регламентлайди.
SFM тугуни IEEE 802.16e стандарти сервис оқимларини яратиш, уланиш, активлаштириш, модификациялаш ва ўчиришга жавобгар. У AC (ингл. Admission Control) уланишни назорат қилиш функцияси, маълумотлар йўллари функциялари ва ассоцирланган локал ресурслар ҳақида ахборотлардан иборат.
SFM тугуни абонент QoS профилига нисбатан исталган сервис сўровларини баҳолашга жавобгар. Агар абонент QoS профили мавжуд бўлса, SFA уларга баҳолаш учун фойдаланилади. Агар абонент QoS профили мавжуд бўлмаса, у ҳолда SFA қарор қабул қилиш учун сиёсат функциясига (ингл. Policy Function, PF) сўров жўнатади. Сиёсат функцияси WIMAX тармоғи тақдим этадиган турли хизматлар учун иловаларнинг бажарилиши сценарийларидан иборат маълумотлар базаси ҳисобланади. Сиёсат функцияси ва унга мос база CSN да ҳам уй тармоғи, ҳам меҳмон тармоғи учун қўллаб-қуватланади.
WiMAX тармоқларида ахборот хавфсизлиги масалаларига бағишланган нимсарлавҳага якун ясаб, ягона 5.18-жадвалга IEEE 802.16 стандартида фойдаланиладиган ахборот хавфсизлиги бўйича қўйиладиган талабларни қониқтириш учун усулларни киритамиз.
Бобни тугашида таъкидлаймизки, WIMAX катта имкониятларни, юқори алоқа сифатини ва хавфсиз уланишни тақдим этишга қодир симсиз кенг полосали уланишнинг тўлақонли вакили ҳисобланади. Буларнинг барчаси бу стандартнинг кейинги ривожланишини ва унинг амалда кенг тарқалишини кўзда тутишга асос бўлади.
Лекин, шу билан бирга WiMAX тизимларининг келажаги мавжуд ва пессимистик тахминлар, аввало, LTE мобил алоқа тизимлари билан бошланган рақобатга уринишга боғлиқ. Ҳақиқатан, LTE тармоқларининг кенг қурилиши фақат 2010 йилнинг охирида бошланди, шунинг учун аниқлаш керакки, қайси бир технология кўпроқ “яшовчанликка” эгалигини номоён этади.
5.18-жадвал

IEEE802.16. стандартида хавфсизлик талабларини таъминлаш

Download 9,38 Mb.

Do'stlaringiz bilan baham:

1 ... 134 135 136 137 138 139 140 141 ... 157