Autenticação e Controle de Acesso em Wimax
O controle de acesso é o mecanismo de segurança para garantir que apenas usuários válidos tenham acesso à rede.
Em termos mais gerais, um sistema de controle de acesso tem três elementos: (1) uma entidade que deseja obter acesso: o suplicante, (2) uma entidade que controla o portão de acesso : o autenticador e (3) uma entidade que decide se o suplicante deve ser admitido: o servidor de autenticação. A figura mostra uma arquitetura típica de controle de acesso usada por provedores de serviços. Os sistemas de controle de acesso foram desenvolvidos inicialmente para uso com modems dial-up e depois adaptados para serviços de banda larga. Os protocolos básicos desenvolvidos para serviços dial-up foram PPP (protocolo ponto a ponto) e serviço de usuário de discagem remota (RADIUS).
O PPP é usado entre o suplicante e o autenticador, que na maioria dos casos é o roteador de borda ou o servidor de acesso à rede (NAS), e o RADIUS é usado entre o autenticador e o servidor de autenticação. O PPP originalmente suportava apenas dois tipos de esquemas de autenticação: PAP (protocolo de autenticação de senha) e CHAP (protocolo de autenticação de handshake de desafio), ambos não robustos o suficiente para serem usados em sistemas sem fio. Esquemas de autenticação mais seguros podem ser suportados pelo PPP usando EAP (protocolo de autenticação extensível).
Protocolo de autenticação extensível
EAP, uma estrutura flexível criada pela IETF (RFC 3748), permite a troca de protocolos de autenticação arbitrários e complicados entre o suplicante e o servidor de autenticação. EAP é um encapsulamento simples que pode ser executado não apenas em PPP, mas também em qualquer link, incluindo o link WiMAX. A figura ilustra a estrutura do EAP. O EAP inclui um conjunto de mensagens de negociação que são trocadas entre o cliente e o servidor de autenticação. O protocolo define um conjunto de mensagens de solicitação e resposta, onde o autenticador envia solicitações ao servidor de autenticação; com base nas respostas, o acesso ao cliente pode ser concedido ou negado. O protocolo atribui códigos de tipo a vários métodos de autenticação e delega a tarefa de provar a identidade do usuário ou dispositivo a um protocolo auxiliar, um método EAP, que define as regras para autenticar um usuário ou dispositivo.
Vários métodos EAP já foram definidos para suportar autenticação, usando uma variedade de credenciais, como senhas, certificados, tokens e cartões inteligentes. Por exemplo, EAP protegido (PEAP) define um método EAP baseado em senha, EAP-transport-layer security (EAP-TLS) define um método EAP baseado em certificado e EAP-SIM (módulo de identidade do assinante) define um EAP baseado em cartão SIM. método. O EAP-TLS fornece autenticação mútua forte, pois depende de certificados na rede e no terminal do assinante.
Em sistemas WiMAX, o EAP é executado do MS para o BS através do protocolo de segurança PKMv2 (Privacy Key Management) definido na interface aérea IEEE 802.16e-2005. Se o autenticador não estiver na BS, a BS retransmite o protocolo de autenticação para o autenticador na rede de serviço de acesso (ASN). Do autenticador para o servidor de autenticação, o EAP é transportado pelo RADIUS.