WiMAX, IEEE 802.16

Segurança

WiMAX - IEEE 802.16

4 Segurança

4.1 Visão Geral

O IEEE 802.16 especifica uma subcamada de segurança, localizada abaixo da subcamada MAC. Ela fornece privacidade às estações cliente, através da encriptação das conexões geradas. Além disso, a subcamada protege as estações base contra o acesso não autorizado a seus serviços, através de um protocolo de administração de chaves, de métodos de autenticação baseados em certificados digitais, e de criptografia. Diversas vulnerabilidades existentes no IEEE 802.11 original foram eliminadas. Um exemplo disso é a adição de suporte ao algoritmo de criptografia AES, sendo que o padrão de 2001 somente incluía criptografia DES.

4.2 Associações de Segurança (SAs)

Associações de segurança são informações de segurança compartilhadas entre uma estação base e um ou mais clientes. Elas mantêm o estado de segurança de uma conexão. Existem três tipos de SAs: Primárias, estáticas e dinâmicas. As primárias são estabelecidas pelas estações cliente durante seu processo de inicialização. As estáticas são fornecidas pela estação base. Finalmente, as dinâmicas são estabelecidas e eliminadas em resposta ao início e ao término de fluxos de serviço específicos. As SAs estáticas e dinâmicas podem ser compartilhadas por múltiplas estações cliente, sendo que cada SA é identificada através de um SAID (S ecurity Association Identifier ). As SAs incluem duas chaves de encriptação de tráfego (TEKs): a chave em operação e a chave a ser utilizada quando a atual expirar.

4.3 Autorização utilizando Gerenciamento Privado de Chaves (PKM)

O PKM proporciona uma sincronização segura dos dados relativos a chaves de segurança entre a estação base e seus clientes. Ele também serve como um meio de as estações cliente obterem autorização para a utilização dos serviços da estação base. O protocolo utiliza certificados digitais X.509, o algoritmo de criptografia de chave pública RSA e outros algoritmos, para que seja efetuada a troca de chaves entre a estação base e as estações cliente.

São especificados dois tipos de certificados X.509. O primeiro tipo identifica um fabricante específico de dispositivos IEEE 802.16, podendo ser assinado pelo próprio fabricante ou por terceiros. O outro tipo identifica uma estação cliente específica, e contém sua chave pública e seu endereço MAC. Este certificado é geralmente emitido pelo fabricante da estação.

A autorização PKM é composta de três mensagens, sendo as duas primeiras enviadas pela estação cliente e a última pela estação base. A primeira mensagem é utilizada para o envio do certificado do fabricante, assumindo que todos os dispositivos fabricados por ele são confiáveis. Esta mensagem é ignorada caso a política de segurança da estação somente permita o acesso a dispositivos previamente conhecidos.

A segunda mensagem é enviada imediatamente após a primeira. Ela inclui o certificado da estação cliente, uma descrição dos algoritmos de criptografia suportados por ela, e o identificador básico da conexão, que se tornará o SAID primário do cliente. Caso o nó cliente seja autorizado, a estação base responde com a terceira mensagem, que cria o SA de autorização entre as estações. Este inclui uma chave de autorização encriptada com a chave pública da estação cliente (presente no certificado X.509) e seu tempo de vida. Este protocolo assume que somente as estações em questão irão possuir a chave de autorização. Após a autorização inicial, a estação cliente busca periodicamente uma re-autorização com a estação base.

Como o cliente é autenticado, o processo previne ataques partindo de estações cliente clonadas. Porém, como nenhuma certificação é fornecida pela estação base, e sua resposta é construída utilizando informações públicas, os clientes podem sofrer ataques partindo de estações base piratas.

4.4 Troca de chaves de encriptação de tráfego (TEKs)

Após a autorização, a estação cliente mantém uma máquina de estados TEK para cada um de seus SAIDs. Periodicamente, uma mensagem de requisição de chave é enviada à estação base, solicitando a renovação das chaves em uso. A cada momento, existem duas chaves ativas, sendo que a chave mais antiga expira na metade do tempo de vida da chave mais recente. A estação base responde à requisição da estação cliente com as duas chaves TEK atuais e seu tempo de vida. As TEKs são encriptadas através de uma chave de encriptação de chaves, derivada da chave de autorização.

4.5 Criptografia

O primeiro padrão de criptografia de dados especificado pelo IEEE 802.16 é o DES (Data Encryption Standard) em modo CBC (Cipher-Block Chaining). O modo CBC indica que, antes de um bloco de dados ser encriptado, é realizada uma operação de ou exclusivo com o resultado da encriptação do bloco anterior a ele. Define-se ainda outro padrão mais seguro, o AES (Advanced Encryption Standard) em modo CCM (Counter with CBC-MAC). O modo CCM combina os modos Counter, que gera blocos keystream através da encriptação de valores sucessivos de um contador, e CBC-MAC (Cipher Block Chaining Message Authentication Code), que utiliza o modo CBC para a criação de um código de autenticação de mensagens.

Seção Anterior | Topo da Página | Próxima Seção