Autenticazione e controllo degli accessi in Wimax
Il controllo degli accessi è il meccanismo di sicurezza per garantire che solo gli utenti validi possano accedere alla rete.
In termini più generali, un sistema di controllo degli accessi è composto da tre elementi: (1) un’entità che desidera ottenere l’accesso: il richiedente, (2) un’entità che controlla il cancello di accesso: l’autenticatore, e (3) un’entità che decide se il richiedente deve essere ammesso: il server di autenticazione. La figura mostra una tipica architettura di controllo degli accessi utilizzata dai fornitori di servizi. I sistemi di controllo degli accessi sono stati inizialmente sviluppati per l’uso con modem dial-up e poi sono stati adattati per i servizi a banda larga. I protocolli di base sviluppati per i servizi dial-up erano PPP (protocollo punto a punto) e il servizio utente dial-in remoto (RADIUS).
PPP viene utilizzato tra il richiedente e l’autenticatore, che nella maggior parte dei casi è il router perimetrale o il server di accesso alla rete (NAS), mentre RADIUS viene utilizzato tra l’autenticatore e il server di autenticazione. PPP originariamente supportava solo due tipi di schemi di autenticazione: PAP (protocollo di autenticazione con password) e CHAP (protocollo di autenticazione challenge handshake), entrambi non abbastanza robusti per essere utilizzati nei sistemi wireless. Schemi di autenticazione più sicuri possono essere supportati da PPP utilizzando EAP (protocollo di autenticazione estensibile).
Protocollo di autenticazione estensibile
EAP, un framework flessibile creato da IETF (RFC 3748), consente lo scambio di protocolli di autenticazione arbitrari e complicati tra il richiedente e il server di autenticazione. EAP è un semplice incapsulamento che può essere eseguito non solo su PPP ma anche su qualsiasi collegamento, incluso il collegamento WiMAX. La figura illustra il quadro EAP. EAP include una serie di messaggi di negoziazione scambiati tra il client e il server di autenticazione. Il protocollo definisce un insieme di messaggi di richiesta e risposta, in cui l’autenticatore invia richieste al server di autenticazione; in base alle risposte l’accesso al client potrà essere concesso o negato. Il protocollo assegna codici di tipo a vari metodi di autenticazione e delega il compito di dimostrare l’identità dell’utente o del dispositivo a un protocollo ausiliario, un metodo EAP, che definisce le regole per l’autenticazione di un utente o di un dispositivo.
Sono già stati definiti numerosi metodi EAP per supportare l’autenticazione, utilizzando una varietà di credenziali, come password, certificati, token e smart card. Ad esempio, EAP protetto (PEAP) definisce un metodo EAP basato su password, EAP-transport-layer security (EAP-TLS) definisce un metodo EAP basato su certificato e EAP-SIM (subscriber Identity Module) definisce un EAP basato su scheda SIM. metodo. EAP-TLS fornisce una forte autenticazione reciproca, poiché si basa su certificati sia sulla rete che sul terminale dell’abbonato.
Nei sistemi WiMAX, l’EAP viene eseguito dalla MS alla BS tramite il protocollo di sicurezza PKMv2 (Privacy Key Management) definito nell’interfaccia aerea IEEE 802.16e-2005. Se l’autenticatore non è nella BS, la BS inoltra il protocollo di autenticazione all’autenticatore nella rete del servizio di accesso (ASN). Dall’autenticatore al server di autenticazione, EAP viene trasferito su RADIUS.