Д.т.н. Юдін О.К., студ. Шерепенко А. В.

Національний авіаційний університет, Україна

Аналіз протоколів захисту сімейства стандартів IEEE 802.16

Вступ

Впровадження бездротових мереж Wi-Fi стало революційним рішенням «зв’язку останньої милі». Проте, обмеження по швидкості обміну даними, радіусу дії, кількості каналів та дороговизні інфраструктури, не дозволили стати Wi-Fi мережам тотальною загрозою стільниковим мережам з однієї сторони та дротовим мережам з іншої. Навіть не дивлячись на значні переваги и впровадження нових, більш сучасних версій стандарту (IEEE 802.11n) «природні обмеження» Wi-Fi можуть бути подолані за допомогою нових магістральних стандартів обміну даних, таких як WiMAX (Worldwide Interoperability for Microwave Access).

WiMAXце комерційна назва сімейства стандартів бездротового зв’язку IEEE 802.16. WiMAX покликаний забезпечити персональний широкополосний доступ до мережі Internet для широкого кола клієнтських пристроїв. Основними діючими стандартами на сьогодні є: 802.16d-2004 та 802.16e-2005, що визначають відповідно технології фіксованого та мобільного доступу.

Проте, як і в мережах Wi-Fi, гостро стоїть питання безпеки бездротових мереж IEEE 802.16.

Актуальність

Дане дослідження присвячене розгляду забезпечення захисту бездротових мереж WiMAX, вразливості таких мереж та криптографічні алгоритми захисту даних, що циркулюють у мережі.

За думкою аналітиків та експертів в області мобільних технологій, WiMAX є більш перспективним для України, ніж Wi-Fi. Цього висновку дійшли, виходячи із специфіки ринку: розміру території, густоти населення, співвідношення міського та сільського населення і т.д. На даний момент основний акцент у дослідженнях стандарту IEEE 802.16 зроблений на його переваги над Wi-Fi, проте, не вказано, які ж загрози для даних, що циркулюють у мережі, несе його впровадження. Метою даної роботи є дослідження методів та протоколів захисту, що реалізовані у WiMAX, вразливостей у забезпеченні безпеки даних та можливих шляхів їх подолання.

Протоколи захисту, переваги та вразливості WiMAX

Технологія WiMAX передбачає використання захищених зв’язків (Security Association, SA) – односторонніх з’єднань для забезпечення захищеної передачі даних між пристроями мережі. Захищені зв’язки бувають двох типів:

·        Data Security Association, захищений зв'язок для даних;

·        Authorization Security Association, захищений зв'язок для авторизації.

Захищений зв'язок для даних буває трьох типів:

·       Первинний (основний) (Primary Security Association);

·       Статичний (Static Security Association);

·       Динамічний (Dynamic Security Association).

Первинний захищений зв'язок встановлюється абонентською станцією на час процесу ініціалізації. Після чого базова станція надає статичний захищений зв'язок. Що стосується динамічних захищених зв’язків, то вони встановлюються та ліквідуються за потребою для сервісних потоків.

Абонентська та базова станції розділяють один зв'язок для авторизації. Базова станція використовує захищений зв'язок для авторизації для конфігурування захищеного зв’язку для даних.

Стандарт IEEE 802.16 визначає протокол PKM (Privacy and Key Management Protocol) – це протокол для отримання авторизації і ключів шифрування трафіку ТЕK (Traffic Encryption Key).

Протокол PKM передбачає авторизацію абонента, обмін ключами та шифрування даних.

Авторизація

·       Абонентська станція починає обмін, посилаючи повідомлення, що містить X.509 сертифікат виробника абонентської станції.

·       Одразу після першого повідомлення, абонентська станція відправляє повідомлення, що містить Х.509 сертифікат самої абонентської станції, її криптографічні можливості та ідентифікатор Primary Security Association.

·       Базова станція по сертифікату визначає стан його авторизації. Якщо абонент авторизований, базова станція посилає повідомлення, що містить зашифрований ключ авторизації, порядковий номер  даного ключа, його час існування (Time-to-Live, TTL), а також список ідентифікаторів Static Security Association, в яких абонент авторизований. Ключ авторизації шифрується алгоритмом RSA з публічним ключем, що отримується із сертифікату абонентської станції.

Обмін ключами

·       Базова станція посилає повідомлення, що змушує абонентську станцію оновити ключ шифрування трафіку TEK. Дане повідомлення містить: порядковий номер ключа авторизації; ідентифікатор того захищеного зв’язку, ТЕK якого необхідно оновити; хеш-код ідентифікації повідомлення (Hash-based Massage Authentication Code, HMAC) для перевірки автентичності повідомлення абонентською станцією.

·       У відповідь на перше повідомлення (при успішній перевірці HMAC), або ж за власною ініціативою абонентська станція посилає запит на оновлення ключа TEK з відповідним змістом.

·       Якщо попереднє повідомлення пройде аутентифікацію HMAC, базова станція відправить повідомлення, що містить: порядковий номер ключа авторизації, ідентифікатор захищеного з’єднання, для якого проводиться оновлення ключа TEK; поточний ключ TEK; новий ключ TEK, тобто ключ, що буде використовуватись після закінчення TTL поточного TEK; HMAC для перевірки автентичності повідомлення.

Обидва ключі TEK передаються в зашифрованому вигляді.

Шифрування даних

B IEEE 802.16 для цього використовується алгоритм Triple DES в режимі електронної кодової книги з ключем шифрування ключа (Key Encryption Key, KEK).

Сьогодні алгоритм DES вважається таким, що не забезпечує надійного захисту потоків даних, тому в доповнення до стандарту IEEE 802.16e для шифрування даних був доданий алгоритм AES.

Стандарт 802.16е регламентує використання шифрування AES в чотирьох режимах:

·       Режим зціплення блоку шифрів (Cipher Block Chaining, CBC);

·       Шифрування лічильника (Counter Encryption, CTR);

·       Шифрування лічильника з кодом аутентифікації повідомлення, отриманим зціпленням блоку шифрів (Counter Encryption with Cipher Block Chaining message authentication code, CCM) – додає можливість перевірки достовірності зашифрованого повідомлення до режиму CTR;

·       Режим електронної кодової книги (Electronic Code Book, ECB) – використовується для шифрування ключів TEK.

         Достоїнства сімейства стандартів IEEE 802.16:

·       Висока продуктивність за рахунок спектральної ефективності технології OFDMA (множинного доступу на ортогональних частотних піднесучих)  та підтримки MIMO.

·       Гнучкість в різних моделях використання, включаючи фіксований та мобільний доступ до єдиної інфраструктури, та використання мереж, що працюють у різних частотних діапазонах.

·       Використання IP протоколу з підтримкою IMS, що дозволяє швидко і без додаткових затрат розгортати нові сервіси, а також забезпечити інтеграцію із 3G мережами.

         Вразливості WiMAX та можливі шляхи їх подолання:

·        Атаки фізичного рівня, такі як глушіння передачі сигналу, що ведуть до відмови доступу або лавинний наплив кадрів (flooding), що має за мету розрядити батарею станції. Ефективних способів протистояти таким загрозам немає.

·        Підставні базові станції, поява яких пов’язано з відсутністю сертифіката базової станції. Можливе рішення даної проблеми – інфраструктура управління ключем у бездротовому середовищі (WKMI), основана на стандарті IEEE 802.11i.

·        Вразливість, пов’язана із невипадковістю генерації базовою станцією ключів авторизації. Взаємна участь базової та абонентської станції, можливо, вирішило б цю проблему.

·        Можливість повторно використовувати ключі ТЕK, час існування  (TTL) яких вже вичерпано.

·        Неможливість забезпечення надійного захисту при шифруванні даних алгоритмом DES. Ця проблема була вирішена із введенням шифрування за допомогою алгоритму AES в поправці до стандарту IEEE 802.16e. Однак, велика кількість користувачів до сьогодні використовує обладнання, що підтримує лише старий стандарт IEEE 802.16.

Висновки

Слід сказати, що впровадження WiMAX на українському ринку здається більш доцільним та перспективним, ніж використання Wi-Fi, виходячи із кон’юнктури ринку, розміру території, співвідношенням між міським та сільським населенням. Треба зауважити, що технологія WiMAX не є альтернативою (або заміною) технології Wi-Fi. Ці технології не повинні конкурувати, а скоріше, мають доповнювати одна одну. Побудова захищеної бездротової мережі передбачає використання обох стандартів: IEEE 802.11 та IEEE 802.16 з усіма їх перевагами та недоліками.

Однією з найбільш слабких сторін взагалі бездротових технологій є  безпечність передачі даних з їхнім використанням. Недоліків у забезпеченні цілісності та конфіденційності даних, що циркулюють у мережі, не позбавлений і WiMAX, проте більшість із них сьогодні знаходять рішення або з використанням нових алгоритмів шифрування і нового обладнання. Якщо говорити про атаки фізичного рівня, то від них не є застрахованими і дротові мережі.

Загалом, сімейство стандартів IEEE 802.16 вимальовує чудові перспективи побудови бездротових мереж локального та регіонального призначення.

Література:

1.     Д. Гейер. Беспроводные сети. Первый шаг. – М.: Издательский дом «Вильямс», 2005. – 189 с.

2.     И. В. Шахнович. Современные технологии беспроводной связи. – М.: Техносфера, 2006. – 285 с.

3.     М. Максим, Д. Полино. Безопасность беспроводных сетей – М.: Компания АйТи; ДМК Пресс, 2004. – 288 с.