Authenticatie en toegangscontrole in Wimax
Toegangscontrole is het beveiligingsmechanisme om ervoor te zorgen dat alleen geldige gebruikers toegang krijgen tot het netwerk.
In de meest algemene termen bestaat een toegangscontrolesysteem uit drie elementen: (1) een entiteit die toegang wil krijgen: de aanvrager, (2) een entiteit die de toegangspoort controleert: de authenticator, en (3) een entiteit die beslist of de aanvrager moet worden toegelaten: de authenticatieserver. De afbeelding toont een typische toegangscontrolearchitectuur die door serviceproviders wordt gebruikt. Toegangscontrolesystemen werden eerst ontwikkeld voor gebruik met inbelmodems en vervolgens aangepast voor breedbanddiensten. De basisprotocollen die voor inbeldiensten zijn ontwikkeld, zijn PPP (point-to-point protocol) en remote dial-in user service (RADIUS).
PPP wordt gebruikt tussen de aanvrager en de authenticator, wat in de meeste gevallen de edge-router of netwerktoegangsserver (NAS) is, en RADIUS wordt gebruikt tussen de authenticator en de authenticatieserver. PPP ondersteunde oorspronkelijk slechts twee soorten authenticatieschema’s: PAP (password authenticatieprotocol) en CHAP (challenge handshake authenticatieprotocol), die beide niet robuust genoeg zijn om in draadloze systemen te worden gebruikt. Veiliger authenticatieschema’s kunnen door PPP worden ondersteund met behulp van EAP (extensible authenticatieprotocol).
Uitbreidbaar authenticatieprotocol
EAP, een flexibel raamwerk gecreëerd door de IETF (RFC 3748), maakt het mogelijk dat willekeurige en gecompliceerde authenticatieprotocollen worden uitgewisseld tussen de aanvrager en de authenticatieserver. EAP is een eenvoudige inkapseling die niet alleen over PPP kan lopen, maar ook over elke link, inclusief de WiMAX-link. Figuur illustreert het EAP-framework. EAP omvat een reeks onderhandelingsberichten die worden uitgewisseld tussen de client en de authenticatieserver. Het protocol definieert een reeks verzoek- en antwoordberichten, waarbij de authenticator verzoeken naar de authenticatieserver stuurt; op basis van de reacties kan toegang tot de cliënt worden verleend of geweigerd. Het protocol kent typecodes toe aan verschillende authenticatiemethoden en delegeert de taak van het bewijzen van de identiteit van de gebruiker of het apparaat aan een hulpprotocol, een EAP-methode, dat de regels definieert voor het authenticeren van een gebruiker of een apparaat.
Er is al een aantal EAP-methoden gedefinieerd om authenticatie te ondersteunen, waarbij gebruik wordt gemaakt van een verscheidenheid aan inloggegevens, zoals wachtwoorden, certificaten, tokens en smartcards. Beveiligde EAP (PEAP) definieert bijvoorbeeld een op een wachtwoord gebaseerde EAP-methode, EAP-transport-layer security (EAP-TLS) definieert een op certificaten gebaseerde EAP-methode, en EAP-SIM (subscriber Identity Module) definieert een op een simkaart gebaseerde EAP. methode. EAP-TLS biedt sterke wederzijdse authenticatie, omdat het afhankelijk is van certificaten op zowel het netwerk als de abonneeterminal.
In WiMAX-systemen loopt EAP van de MS naar de BS via het PKMv2-beveiligingsprotocol (Privacy Key Management) dat is gedefinieerd in de IEEE 802.16e-2005 air-interface. Als de authenticator zich niet in het BS bevindt, geeft het BS het authenticatieprotocol door aan de authenticator in het toegangsservicenetwerk (ASN). Van de authenticator naar de authenticatieserver wordt EAP overgedragen via RADIUS.