Wimax’ta Kimlik Doğrulama ve Erişim Kontrolü
Erişim kontrolü, yalnızca geçerli kullanıcıların ağa erişmesine izin verilmesini sağlayan güvenlik mekanizmasıdır.
En genel anlamda, bir erişim kontrol sisteminin üç unsuru vardır: (1) erişim elde etmek isteyen bir varlık: istekte bulunan kişi, (2) erişim kapısını kontrol eden bir varlık: kimlik doğrulayıcı ve (3) erişim sağlayan bir varlık istekte bulunanın kabul edilip edilmeyeceğine karar verir: kimlik doğrulama sunucusu. Şekil, servis sağlayıcılar tarafından kullanılan tipik bir erişim kontrolü mimarisini göstermektedir. Erişim kontrol sistemleri ilk olarak çevirmeli modemlerle kullanılmak üzere geliştirildi ve daha sonra geniş bant hizmetlerine uyarlandı. Çevirmeli bağlantı hizmetleri için geliştirilen temel protokoller PPP (noktadan noktaya protokol) ve uzaktan çevirmeli kullanıcı hizmeti (RADIUS) idi.
PPP, istek sahibi ile kimlik doğrulayıcı arasında (çoğu durumda uç yönlendirici veya ağ erişim sunucusu (NAS)) kullanılır ve RADIUS, kimlik doğrulayıcı ile kimlik doğrulama sunucusu arasında kullanılır. PPP başlangıçta yalnızca iki tür kimlik doğrulama şemasını destekledi: PAP (şifre kimlik doğrulama protokolü) ve CHAP (el sıkışma kimlik doğrulama protokolüne meydan okuma), her ikisi de kablosuz sistemlerde kullanılacak kadar sağlam değil. Daha güvenli kimlik doğrulama şemaları, EAP (genişletilebilir kimlik doğrulama protokolü) kullanılarak PPP tarafından desteklenebilir.
Genişletilebilir Kimlik Doğrulama Protokolü
IETF (RFC 3748) tarafından oluşturulan esnek bir çerçeve olan
EAP, istek sahibi ile kimlik doğrulama sunucusu arasında keyfi ve karmaşık kimlik doğrulama protokollerinin değiş tokuş edilmesine olanak tanır. EAP, yalnızca PPP üzerinde değil aynı zamanda WiMAX bağlantısı da dahil olmak üzere herhangi bir bağlantı üzerinde çalışabilen basit bir kapsüllemedir. Şekil EAP çerçevesini göstermektedir. EAP, istemci ile kimlik doğrulama sunucusu arasında alınıp verilen bir dizi anlaşma mesajını içerir. Protokol, kimlik doğrulayıcının kimlik doğrulama sunucusuna istek gönderdiği bir dizi istek ve yanıt mesajını tanımlar; yanıtlara göre müşteriye erişim izni verilebilir veya reddedilebilir. Protokol, çeşitli kimlik doğrulama yöntemlerine tür kodları atar ve kullanıcı veya aygıt kimliğini kanıtlama görevini, bir kullanıcının veya aygıtın kimliğini doğrulamak için kuralları tanımlayan bir EAP yöntemi olan yardımcı bir protokole devreder.
Şifreler, sertifikalar, belirteçler ve akıllı kartlar gibi çeşitli kimlik bilgilerini kullanarak kimlik doğrulamayı desteklemek için bir dizi EAP yöntemi zaten tanımlanmıştır. Örneğin, korumalı EAP (PEAP) şifreye dayalı bir EAP yöntemini tanımlar, EAP aktarım katmanı güvenliği (EAP-TLS) sertifikaya dayalı bir EAP yöntemini tanımlar ve EAP-SIM (abone kimlik modülü) SIM kart tabanlı bir EAP’yi tanımlar. yöntem. EAP-TLS, hem ağ hem de abone terminalindeki sertifikalara dayandığından güçlü bir karşılıklı kimlik doğrulama sağlar.
WiMAX sistemlerinde EAP, IEEE 802.16e-2005 hava arayüzünde tanımlanan PKMv2 (Gizlilik Anahtar Yönetimi) güvenlik protokolü üzerinden MS’ten BS’ye çalışır. Kimlik doğrulayıcı BS’de değilse, BS kimlik doğrulama protokolünü erişim hizmeti ağındaki (ASN) kimlik doğrulayıcıya aktarır. EAP, kimlik doğrulayıcıdan kimlik doğrulama sunucusuna RADIUS üzerinden taşınır.