Autenticación y control de acceso en Wimax
El control de acceso es el mecanismo de seguridad para garantizar que solo los usuarios válidos tengan acceso a la red.
En los términos más generales, un sistema de control de acceso tiene tres elementos: (1) una entidad que desea obtener acceso: el solicitante, (2) una entidad que controla la puerta de acceso : el autenticador, y (3) una entidad que decide si el solicitante debe ser admitido: el servidor de autenticación. La figura muestra una arquitectura de control de acceso típica utilizada por los proveedores de servicios. Los sistemas de control de acceso se desarrollaron primero para su uso con módems de acceso telefónico y luego se adaptaron para servicios de banda ancha. Los protocolos básicos desarrollados para los servicios de acceso telefónico fueron PPP (protocolo punto a punto) y servicio de usuario de acceso telefónico remoto (RADIUS).
PPP se usa entre el solicitante y el autenticador, que en la mayoría de los casos es el enrutador perimetral o el servidor de acceso a la red (NAS), y RADIUS se usa entre el autenticador y el servidor de autenticación. PPP originalmente admitía solo dos tipos de esquemas de autenticación: PAP (protocolo de autenticación de contraseña) y CHAP (protocolo de autenticación por desafío mutuo), los cuales no son lo suficientemente robustos para ser utilizados en sistemas inalámbricos. PPP puede admitir esquemas de autenticación más seguros utilizando EAP (protocolo de autenticación extensible).
Protocolo de autenticación extensible
EAP, un marco flexible creado por el IETF (RFC 3748), permite intercambiar protocolos de autenticación arbitrarios y complicados entre el solicitante y el servidor de autenticación. EAP es una encapsulación simple que puede ejecutarse no solo en PPP sino también en cualquier enlace, incluido el enlace WiMAX. La figura ilustra el marco EAP. EAP incluye un conjunto de mensajes de negociación que se intercambian entre el cliente y el servidor de autenticación. El protocolo define un conjunto de mensajes de solicitud y respuesta, donde el autenticador envía solicitudes al servidor de autenticación; En base a las respuestas se podrá conceder o denegar el acceso al cliente. El protocolo asigna códigos de tipo a varios métodos de autenticación y delega la tarea de probar la identidad del usuario o dispositivo a un protocolo auxiliar, un método EAP, que define las reglas para autenticar a un usuario o dispositivo.
Ya se han definido varios métodos EAP para admitir la autenticación, utilizando una variedad de credenciales, como contraseñas, certificados, tokens y tarjetas inteligentes. Por ejemplo, EAP protegido (PEAP) define un método EAP basado en contraseña, EAP-transport-layer-security (EAP-TLS) define un método EAP basado en certificado y EAP-SIM (módulo de identidad del suscriptor) define un EAP basado en tarjeta SIM. método. EAP-TLS proporciona una autenticación mutua sólida, ya que se basa en certificados tanto en la red como en el terminal del suscriptor.
En los sistemas WiMAX, EAP se ejecuta desde la MS hasta la BS a través del protocolo de seguridad PKMv2 (Administración de claves de privacidad) definido en la interfaz aérea IEEE 802.16e-2005. Si el autenticador no está en la BS, la BS retransmite el protocolo de autenticación al autenticador en la red de servicio de acceso (ASN). Desde el autenticador al servidor de autenticación, EAP se transmite a través de RADIUS.