Authentifizierung und Zugriffskontrolle in Wimax
Zugriffskontrolle ist der Sicherheitsmechanismus, um sicherzustellen, dass nur gültigen Benutzern Zugriff auf das Netzwerk gewährt wird.
Im allgemeinsten Sinne besteht ein Zugangskontrollsystem aus drei Elementen: (1) einer Entität, die Zugang erhalten möchte: dem Supplicant, (2) einer Entität, die das Zugangstor kontrolliert: dem Authentifikator, und (3) einer Entität, die entscheidet, ob der Supplicant zugelassen werden soll: der Authentifizierungsserver. Die Abbildung zeigt eine typische Zugangskontrollarchitektur, die von Dienstanbietern verwendet wird. Zugangskontrollsysteme wurden zunächst für den Einsatz mit Einwahlmodems entwickelt und dann für Breitbanddienste angepasst. Die für Einwahldienste entwickelten Grundprotokolle waren PPP (Punkt-zu-Punkt-Protokoll) und Remote Dial-In User Service (RADIUS).
PPP wird zwischen dem Supplicant und dem Authentifikator verwendet, bei dem es sich in den meisten Fällen um den Edge-Router oder Netzwerkzugriffsserver (NAS) handelt, und RADIUS wird zwischen dem Authentifikator und dem Authentifizierungsserver verwendet. PPP unterstützte ursprünglich nur zwei Arten von Authentifizierungsschemata: PAP (Password Authentication Protocol) und CHAP (Challenge Handshake Authentication Protocol), die beide nicht robust genug sind, um in drahtlosen Systemen verwendet zu werden. Sicherere Authentifizierungsschemata können von PPP mithilfe von EAP (Extensible Authentication Protocol) unterstützt werden.
Erweiterbares Authentifizierungsprotokoll
EAP, ein flexibles Framework der IETF (RFC 3748), ermöglicht den Austausch beliebiger und komplizierter Authentifizierungsprotokolle zwischen dem Supplicant und dem Authentifizierungsserver. EAP ist eine einfache Kapselung, die nicht nur über PPP, sondern auch über jede Verbindung, einschließlich der WiMAX-Verbindung, ausgeführt werden kann. Die Abbildung zeigt das EAP-Framework. EAP umfasst eine Reihe von Verhandlungsnachrichten, die zwischen dem Client und dem Authentifizierungsserver ausgetauscht werden. Das Protokoll definiert eine Reihe von Anforderungs- und Antwortnachrichten, mit denen der Authentifikator Anforderungen an den Authentifizierungsserver sendet. Basierend auf den Antworten kann der Zugriff auf den Client gewährt oder verweigert werden. Das Protokoll weist verschiedenen Authentifizierungsmethoden Typcodes zu und delegiert die Aufgabe, die Benutzer- oder Geräteidentität nachzuweisen, an ein Hilfsprotokoll, eine EAP-Methode, die die Regeln für die Authentifizierung eines Benutzers oder eines Geräts definiert.
Es wurde bereits eine Reihe von EAP-Methoden zur Unterstützung der Authentifizierung definiert, die verschiedene Anmeldeinformationen wie Passwörter, Zertifikate, Token und Smartcards verwenden. Protected EAP (PEAP) definiert beispielsweise eine passwortbasierte EAP-Methode, EAP-Transport-Layer Security (EAP-TLS) definiert eine zertifikatbasierte EAP-Methode und EAP-SIM (Subscriber Identity Module) definiert ein SIM-Karten-basiertes EAP Methode. EAP-TLS bietet eine starke gegenseitige Authentifizierung, da es auf Zertifikaten sowohl im Netzwerk als auch im Teilnehmerterminal basiert.
In WiMAX-Systemen läuft EAP von der MS zur BS über das Sicherheitsprotokoll PKMv2 (Privacy Key Management), das in der Luftschnittstelle IEEE 802.16e-2005 definiert ist. Wenn sich der Authentifikator nicht in der BS befindet, leitet die BS das Authentifizierungsprotokoll an den Authentifikator im Access Service Network (ASN) weiter. Vom Authentifikator zum Authentifizierungsserver wird EAP über RADIUS übertragen.