Authentification et contrôle d’accès dans Wimax
Le contrôle d’accès est le mécanisme de sécurité permettant de garantir que seuls les utilisateurs valides sont autorisés à accéder au réseau.
En termes les plus généraux, un système de contrôle d’accès comporte trois éléments : (1) une entité qui souhaite obtenir l’accès : le demandeur, (2) une entité qui contrôle la porte d’accès. : l’authentifiant, et (3) une entité qui décide si le demandeur doit être admis : le serveur d’authentification. La figure montre une architecture de contrôle d’accès typique utilisée par les fournisseurs de services. Les systèmes de contrôle d’accès ont d’abord été développés pour être utilisés avec des modems commutés, puis adaptés aux services à large bande. Les protocoles de base développés pour les services d’accès commuté étaient PPP (protocole point à point) et le service utilisateur d’appel à distance (RADIUS).
PPP est utilisé entre le demandeur et l’authentifiant, qui est dans la plupart des cas le routeur périphérique ou le serveur d’accès au réseau (NAS), et RADIUS est utilisé entre l’authentificateur et le serveur d’authentification. À l’origine, PPP ne prenait en charge que deux types de schémas d’authentification : PAP (protocole d’authentification par mot de passe) et CHAP (protocole d’authentification par prise de contact par défi), qui ne sont pas tous deux suffisamment robustes pour être utilisés dans les systèmes sans fil. Des schémas d’authentification plus sécurisés peuvent être pris en charge par PPP en utilisant EAP (protocole d’authentification extensible).
Protocole d’authentification extensible
EAP, un cadre flexible créé par l’IETF (RFC 3748), permet l’échange de protocoles d’authentification arbitraires et compliqués entre le demandeur et le serveur d’authentification. EAP est une simple encapsulation qui peut s’exécuter non seulement sur PPP mais également sur n’importe quelle liaison, y compris la liaison WiMAX. La figure illustre le cadre EAP. EAP comprend un ensemble de messages de négociation échangés entre le client et le serveur d’authentification. Le protocole définit un ensemble de messages de requête et de réponse, dans lesquels l’authentificateur envoie des requêtes au serveur d’authentification ; en fonction des réponses, l’accès au client peut être accordé ou refusé. Le protocole attribue des codes de type à diverses méthodes d’authentification et délègue la tâche de prouver l’identité de l’utilisateur ou de l’appareil à un protocole auxiliaire, une méthode EAP, qui définit les règles d’authentification d’un utilisateur ou d’un appareil.
Un certain nombre de méthodes EAP ont déjà été définies pour prendre en charge l’authentification, en utilisant diverses informations d’identification, telles que des mots de passe, des certificats, des jetons et des cartes à puce. Par exemple, EAP protégé (PEAP) définit une méthode EAP basée sur un mot de passe, EAP-transport-layer security (EAP-TLS) définit une méthode EAP basée sur un certificat et EAP-SIM (module d’identité de l’abonné) définit une méthode EAP basée sur une carte SIM. méthode. EAP-TLS fournit une authentification mutuelle forte, car il s’appuie sur des certificats à la fois sur le réseau et sur le terminal de l’abonné.
Dans les systèmes WiMAX, EAP s’exécute de la MS à la BS via le protocole de sécurité PKMv2 (Privacy Key Management) défini dans l’interface aérienne IEEE 802.16e-2005. Si l’authentifiant ne se trouve pas dans la BS, la BS relaie le protocole d’authentification à l’authentifiant dans le réseau de service d’accès (ASN). De l’authentificateur au serveur d’authentification, EAP est transmis via RADIUS.