Subcamada de segurança
Dada a importância da segurança em um meio aberto como o espectro de rádio, o WiMAX define em sua camada MAC uma subcamada de segurança. São dois os protocolos componentes principais: um protocolo PKM (Privacy Key Management), responsável pela transferência de chaves da estação base para a estação móvel e utilizado para autenticação de usuário, e um protocolo de encapsulamento de dados, que define um conjunto de suítes criptográficas a serem utilizadas – algoritmos de encriptação e regras de aplicação destes algoritmos ao payload das PDUs. Os algoritmos de encriptação incluídos na especificação WiMAX são o RSA, utilizado para encriptar a mensagem de resposta de autorização e, opcionalmente, as chaves de encriptação de tráfego, o DES e o 3-DES, utilizados para encriptar os dados que serão transmitidos, e o AES, que também pode ser utilizado para encriptar dados.
O protocolo PKM utiliza chave pública para efetuar a autenticação do usuário. Existem duas mensagens genéricas de gerenciamento no PKM: a mensagem de pedido (PKM Request – PKM REQ), enviada sempre da estação móvel para a estação base, e a mensagem de resposta (PKM Response – PKM RSP), enviada sempre da estação base para a estação móvel. O procedimento de autenticação mútua é composto de quatro passos: autenticação da estação móvel pela estação base, autenticação da estação base pela estação móvel (estas autenticações são feitas utilizando pares de chaves RSA geradas dinamicamente ou configuradas na fábrica), fornecimento de uma chave de autenticação à estação móvel e fornecimento das informações de segurança, como métodos de encriptação, à estação móvel. As chaves de autenticação fornecidas pela estação base possuem tempo de expiração e cabe à estação móvel solicitar uma nova chave quando necessário. Após receber esta solicitação, a estação base envia uma nova chave à estação móvel. Neste momento, a estação móvel possui duas chaves de autenticação válidas, até que o tempo da chave antiga expire.
A encriptação de dados é opcionalmente aplicada ao payload dos PDUs – os cabeçalhos MAC nunca são encriptados. Em cada momento, a estação base mantém dois conjuntos de chaves ativas por SA (security association – conjunto de informações de segurança, como métodos de encriptação de dados, autenticação, etc.), que incluem uma chave de encriptação de tráfego (traffic encryption key – TEK), privada, e os vetores de inicialização. Estas chaves são solicitadas pela estação móvel após receber sua chave de autenticação. A estação base irá encriptar o tráfego downlink sempre com a chave de encriptação mais antiga, e decriptar o tráfego uplink com a chave que a estação estiver utilizando no momento.