Архитектура безопасности в стандартах семейства IEEE 802.16 – ЧАСТЬ 1

5.8.8.            Ассоциации безопасности

Одной из базовых категорий архитектуры обеспечения безопасности систем семейства стандартов IEEE 802.16 являются т.н. ассоциации безо­пасности (АБ), описывающие взаимоотношения между отправителем и по­лучателем данных в сети и характеризующие безопасность трафика. Стан­дартом предусмотрены два типа ассоциаций безопасности: АБ данных и АБ авторизации.

Первые призваны обеспечить информационную безопасность транс­портных подключений между базовой станцией, с одной стороны, и пользо­вательскими станциями (одной или несколькими), с другой. Параметры АБ данных сохраняют и те, и другие. Пользовательская станция, как правило, хранит две или три АБ данных. В первом случае одна АБ используется во вторичном канале управления, другая – для обеспечения транспортных под­ключений в прямом и обратном каналах. В случае трех АБ данных одна из них используется во вторичном канале управления, вторая и третья – для создания транспортных подключений в прямом и обратном канале, соответ­ственно. В базовой станции сохраняются ассоциации безопасности данных всех обслуживаемых ей ПС.

Другой тип ассоциаций безопасности, АБ авторизации, предназначен для формирования АБ данных пользовательских станций. Хранятся они только в БС. Состав и назначение элементов АБ в стандарте IEEE 802.16 приведен в табл. 5.22.

Авторизованный доступ к сети обеспечивается подключением ПС к сети по их MAC адресам под контролем оператора, аутентификацией пользовательских станций по маске идентификатора базовой станции (БС ID) и аутентификацией на базе цифровых сертификатов Х.509 [26].

Определенной проблемой для безопасности систем стандарта IEEE 802.16 оказывается отсутствие явного определения АБ авторизации, что приводит к возможности ее повторного использования (один экземпляр АБ авторизации неотличим от другого) [27]. Точно также пользовательская станция не может различить многократно используемые АБ данных. В итоге, схема шифрования стандарта IEEE 802.16 оказывается уязвимой к угрозе, вытекающей из повтор­ного использования ключа шифрования.

5.8.9.            Сертификат Х.509 и авторизация протокола конфи­денциальности и ключевого управления

Стандарт IEEE 802.16 определяет сертификаты двух типов: сертификат из­готовителя ПС и сертификат открытого ключа ПС. Первый позволяет иденти­фицировать производителя оборудования, второй – дает возможность проверки подлинности открытого ключа.

Состав ассоциаций безопасности

№ п/п

Элементы

Предназначение

 

АБ данных

1.

Идентификатор АБ данных (16 бит)

Для различения используемых АБ данных

2.

Шифр

Обеспечение конфиденциальности передаваемых данных (используется DES в режиме СВС [28], воз­можно использование других алгоритмов)

3.

Ключи шифрования трафика (К^.)

Два ключа, предназначенные для шифрования дан­ных: текущий операционный ключ и ключ, который будет использоваться после истечения срока служ­бы текущего ключа

4.

Два двухбитовых ключевых идентификатора

Предназначены для различения ТСщ1

5.

Параметр срока службы Кшт

Определяет период срока службы К^. Заданное по умолчанию значение -12 ч, может принимать зна­чение от 30 мин до семи дней

6.

64-битовые векторы инициализации стандарта шифрования данных DES

Конфиденциальная информация, используемая в процессе шифрования с использованием стандарта DES

7.

Идентификатор типа АБ данных

Указывает на тип АБ данных (первичные АБ, уста­новленные по умолчанию и используемые на про­тяжении инициализации связи; статические АБ, конфигурируемые на БС; динамические АБ, созда­ваемые по необходимости для динамических транс­портных подключений)

А]

Б авторизации

1.

Сертификаты Х.509

Позволяют однозначно идентифицировать ПС и выполнить проверку сертификата открытого ключа шифрования ПС

2.

Ключ шифрования ключей К,™ (128 бит)

Предназначен для шифрования К^. перед переда­чей их по открытому каналу связи

3.

Ключ КНМАСпр

Формирование кода аутентификации сообщения в прямом канале

4.

Ключ КНМАСобр

Формирование кода аутентификации сообщения в обиатном канале

5.

160-разрядный ключ авторизации (КА)

Используется для генерирования К^, КНМАСпр и К

НМАСобр—————————————————————————————-    

6.

4-битовый идентификатор

Предназначен для различения КА

7.

Параметр срока службы КА

Определяет период срока службы КА (от одного до 70 дней, по умолчанию – семь дней)

8.

Список АБ данных (авторизованных)

Перечень АБ данных, авторизованных данной БС

Обычно производитель оборудования WiMAX «подписывает» сертифи­кат изготовителя ПС. Используя сертифицированный производителем от­крытый ключ, БС проверяет сертификат изготовителя ПС, таким образом идентифицируя подлинность этого устройства. Возможность «самостоя­тельного» генерирования сертификатов Х.509 стандартом IEEE 802.16 не

предусматривается.

Процедура авторизации протокола конфиденциальности и ключевого управ­ления используется для осуществления авторизации пользовательской станции базовой станцией. Процесс авторизации инициирует ПС, посылающая БС два сообщения одно за другим (структура этих сообщений представлена на рис. 5.62). Та, в свою очередь, отвечает ПС третьим сообщением.

Рис. 5.62. Процесс авторизации протокола конфиденциальности

и ключевого управления

Сообщение №1 пользовательская станция использует для передачи базовой станции сертификата изготовителя ПС. С его помощью БС определяет, является ли ПС «доверенным устройством» (предполагается, что всем устройствам от признанного изготовителя можно доверять). Стандарт позволяет проигнориро­вать это сообщение (в противном случае это означало бы, что политика безопас­ности IEEE 802.16 разрешает доступ к сети только априори известным устрой­ствам). В действительности, доступ ПС к предоставляемым сервисам путем присвоения ее МАС-адресу соответствующих параметров доступа (скорость, QoS и т.д.) может санкционировать только оператор.

Для авторизации в базовой станции и подключения к сети пользователь­ская станция должна отправить на БС сертификат Х.509. Аутентифицирую- щие данные (сертификат ПС) формируются из информации, присвоенной ПС производителем. Базовая станция также имеет уникальный идентификатор (Base station ID mask). Идентификатор БС ID содержит 6 групп цифр (до трех в каждой). Три группы определяют ID оператора, две – ID соты (базовой стан­ции), одна – ID сектора.

Процедура аутентификации основана на использовании пары ключей – Certificate Public Key (CPuK) и Certificate Private Key (CPrK). Открытый ключ ПС, его сертификат Х.509, идентификатор АБ и список поддерживаемых ею средств обеспечения безопасности (алгоритмы аутентификации и шифрования данных) содержатся в сообщении №2.

После получения сертификационных данных процессорный блок базовой станции выполняет дешифрование их цифровой подписи с использованием СРгК. Если результат совпадает с ожидаемым, БС подтверждает полномочия ПС. Для этого она формирует сообщение №3, подтверждая им авторизацию АБ между ПС и БС. В состав сообщения №3 входит зашифрованный (крипто­алгоритмом RSA с помощью открытого ключа ПС) ключ авторизации К 32- битовый параметр, указывающий на срок его службы (в секундах), 4-битовый идентификатор КА и список дескрипторов АБ. Каждый такой дескриптор содер­жит идентификатор АБ, тип АБ (первичный, статический или динамический) и набор шифров АБ.

Получив это сообщение, ПС с помощью своего секретного ключа (который имеется только у нее) и криптоалгоритма RS А расшифровывает значение ключа КА. Смысл этой процедуры заключается в том, что лишь при использовании правильного значения КА, которым обладают только БС и ПС, можно получить доступ к каналу связи. Заметим, что требования к процедуре генерирования Кд в стандарте IEEE 802.16 не выдвигаются.

Получив от БС ключ КА, ПС генерирует «ключ шифрования ключей» Кшк и пару ключей КдМА , КНМАСо6р для формирования кода аутентификации сообще­ния в прямом и обратном канале. В дальнейшем эти ключи используются в про­токолах ключевого управления и конфиденциальности.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100