Uwierzytelnianie i kontrola dostępu w Wimax
Kontrola dostępu to mechanizm bezpieczeństwa zapewniający, że tylko uprawnieni użytkownicy mają dostęp do sieci.
Najbardziej ogólnie rzecz biorąc, system kontroli dostępu składa się z trzech elementów: (1) podmiotu, który pragnie uzyskać dostęp: suplikanta, (2) podmiotu kontrolującego bramę dostępu: podmiotu uwierzytelniającego oraz (3) podmiotu, który decyduje, czy suplikant powinien zostać przyjęty: serwer uwierzytelniający. Rysunek przedstawia typową architekturę kontroli dostępu stosowaną przez dostawców usług. Systemy kontroli dostępu zostały najpierw opracowane do użytku z modemami telefonicznymi, a następnie zostały przystosowane do usług szerokopasmowych. Podstawowymi protokołami opracowanymi dla usług dial-up były PPP (protokół punkt-punkt) i usługa zdalnego połączenia telefonicznego (RADIUS).
PPP jest używane pomiędzy suplikantem a podmiotem uwierzytelniającym, którym w większości przypadków jest router brzegowy lub serwer dostępu do sieci (NAS), a protokół RADIUS jest używany pomiędzy podmiotem uwierzytelniającym a serwerem uwierzytelniającym. Pierwotnie protokół PPP obsługiwał tylko dwa typy schematów uwierzytelniania: PAP (protokół uwierzytelniania hasłem) i CHAP (protokół uwierzytelniania typu Challenge Handshake), oba nie są wystarczająco solidne, aby można je było stosować w systemach bezprzewodowych. Bardziej bezpieczne schematy uwierzytelniania mogą być obsługiwane przez PPP przy użyciu protokołu EAP (rozszerzalny protokół uwierzytelniania).
Rozszerzony protokół uwierzytelniania
EAP, elastyczna platforma stworzona przez IETF (RFC 3748), umożliwia wymianę dowolnych i skomplikowanych protokołów uwierzytelniania pomiędzy suplikantem a serwerem uwierzytelniającym. EAP to prosta enkapsulacja, która może działać nie tylko przez PPP, ale także przez dowolne łącze, w tym łącze WiMAX. Rysunek ilustruje ramy EAP. Protokół EAP zawiera zestaw komunikatów negocjujących wymienianych pomiędzy klientem a serwerem uwierzytelniającym. Protokół definiuje zestaw komunikatów żądań i odpowiedzi, w których podmiot uwierzytelniający wysyła żądania do serwera uwierzytelniającego; na podstawie odpowiedzi można udzielić lub odmówić dostępu do klienta. Protokół przypisuje kody typów różnym metodom uwierzytelniania i deleguje zadanie potwierdzania tożsamości użytkownika lub urządzenia protokołowi pomocniczemu, metodzie EAP, która definiuje zasady uwierzytelniania użytkownika lub urządzenia.
Zdefiniowano już wiele metod EAP obsługujących uwierzytelnianie przy użyciu różnych poświadczeń, takich jak hasła, certyfikaty, tokeny i karty inteligentne. Na przykład chroniony protokół EAP (PEAP) definiuje metodę EAP opartą na haśle, zabezpieczenia warstwy transportowej EAP (EAP-TLS) definiuje metodę EAP opartą na certyfikatach, a EAP-SIM (moduł tożsamości subskrybenta) definiuje EAP oparty na karcie SIM metoda. EAP-TLS zapewnia silne wzajemne uwierzytelnianie, ponieważ opiera się na certyfikatach zarówno w sieci, jak i na terminalu abonenckim.
W systemach WiMAX protokół EAP działa od MS do BS poprzez protokół bezpieczeństwa PKMv2 (Privacy Key Management) zdefiniowany w interfejsie powietrznym IEEE 802.16e-2005. Jeśli podmiot uwierzytelniający nie znajduje się w stacji bazowej BS, stacja bazowa BS przekazuje protokół uwierzytelniania do jednostki uwierzytelniającej w sieci usług dostępowych (ASN). Od uwierzytelniacza do serwera uwierzytelniającego protokół EAP jest przenoszony przez RADIUS.