Dada a importância da segurança em um meio aberto como o espectro de
rádio, o WiMAX define em sua camada MAC uma subcamada de segurança.
São dois os protocolos componentes principais: um protocolo PKM (Privacy
Key Management), responsável pela transferência de chaves da estação base
para a estação móvel e utilizado para autenticação de usuário, e um protocolo
de encapsulamento de dados, que define um conjunto de suítes criptográficas
a serem utilizadas – algoritmos de encriptação e regras de aplicação destes
algoritmos ao payload das PDUs. Os algoritmos de encriptação incluídos na
especificação WiMAX são o RSA, utilizado para encriptar a mensagem de
resposta de autorização e, opcionalmente, as chaves de encriptação de
tráfego, o DES e o 3-DES, utilizados para encriptar os dados que serão
transmitidos, e o AES, que também pode ser utilizado para encriptar dados.
O protocolo PKM utiliza chave pública para efetuar a autenticação do usuário.
Existem duas mensagens genéricas de gerenciamento no PKM: a mensagem
de pedido (PKM Request – PKM REQ), enviada sempre da estação móvel
para a estação base, e a mensagem de resposta (PKM Response – PKM
RSP), enviada sempre da estação base para a estação móvel. O
procedimento de autenticação mútua é composto de quatro passos:
autenticação da estação móvel pela estação base, autenticação da estação
base pela estação móvel (estas autenticações são feitas utilizando pares de
chaves RSA geradas dinamicamente ou configuradas na fábrica),
fornecimento de uma chave de autenticação à estação móvel e fornecimento
das informações de segurança, como métodos de encriptação, à estação
móvel. As chaves de autenticação fornecidas pela estação base possuem
tempo de expiração e cabe à estação móvel solicitar uma nova chave quando
necessário. Após receber esta solicitação, a estação base envia uma nova
chave à estação móvel. Neste momento, a estação móvel possui duas chaves
de autenticação válidas, até que o tempo da chave antiga expire.
A encriptação de dados é opcionalmente aplicada ao payload dos PDUs – os
cabeçalhos MAC nunca são encriptados. Em cada momento, a estação base
mantém dois conjuntos de chaves ativas por SA (security association –
conjunto de informações de segurança, como métodos de encriptação de
dados, autenticação, etc.), que incluem uma chave de encriptação de tráfego
(traffic encryption key – TEK), privada, e os vetores de inicialização. Estas
chaves são solicitadas pela estação móvel após receber sua chave de
autenticação. A estação base irá encriptar o tráfego downlink sempre com a
chave de encriptação mais antiga, e decriptar o tráfego uplink com a chave que
a estação estiver utilizando no momento.