Bảo mật trong trong WiMAX bao gồm:
- Bảo mật dữ liệu người dùng qua đường truyền không dây.
- Chống các truy nhập không cho phép (unauthorized) vào luồng dịch vụ (chống đánh cắp dịch vụ) bằng cách mật mã hóa trên các luồng dịch vụ.
- Mật mã hóa kết nối giữa trạm gốc BS và trạm thuê bao SS. - Cơ cấu bảo mật
+ Nhận thực
+ Điều khiển truy nhập + Mật mã hóa bản tin
+ Phát hiện sự thay đổi trong bản tin (đảm bảo tính toàn vẹn dữ liệu)
+ Quản lý khóa bảo mật: tạo khóa, vận chuyển khóa, bảo vệ khóa, sử dụng khóa.
Trong kiến trúc giao thức WiMAX, kiến trúc bảo mật được định nghĩa trong lớp con bảo mật MAC-PS. Kiến trúc bảo mật trong WiMAX gồm có hai giao thức thành phần là:
- Giao thức mã mật hóa dữ liệu sử dụng chuẩn mã mật dữ liệu DES (Data Encryption Standard) và có thể sử dụng thêm chuẩn mã mật tiên tiến AES (Advance Encryption Standard).
- Giao thức quản lý khóa bảo mật PKM (Privacy Key Management)
Giao thức bảo mật của WiMAX dựa trên các liên kết bảo mật SA (security association). Một liên kết bảo mật bao gồm các thông số bảo mật của một kết nối đó là các khóa và các thuật toán mật mã hóa được lựa chọn.
Các liên kết bảo mật được chia thành các liên kết bảo mật dữ liệu và các liên kết bảo mật nhận thực.
- Liên kết bảo mật dữ liệu (Data SA) bao gồm: + Bộ nhận dạng SA 16 bit.
+ Hai khóa mã mật lưu lượng TEK (Traffic Encryption Key). + Bộ nhận dạng khóa TEK.
+ Thời gian sống của TEK.
+ Vector khởi tạo 64bit (vector khởi tạo cho mỗi TEK) - Liên kết bảo mật nhận thực (Authorization SA) bao gồm: + Chứng nhận X.509 của từng trạm thuê bao SS.
+ Khóa nhận thực AK (authorization key) 160 bit. + Nhãn nhận dạng AK 4 bit.
+ Thời gian sống của AK.
+ Khóa mã mật khóa KEK (Key Encryption Key).
+ Khóa mã xác nhận bản tin HMAC (Hashed Message Authentication Code) đường xuống và đường lên.
+ Danh sách các liên kết bảo mật dữ liệu đã nhận thực.
Có 3 loại liên kết bảo mật SA là SA cơ bản, SA tĩnh, SA động. Mỗi SS được quản lý sẽ được thiết lập một SA sơ cấp trong quá trính khởi tạo liên kết, SA tĩnh được cấp trong BS, SA động được tạo ra và hủy đi theo đáp ứng với quá trình khởi tạo và kết thúc một luồng dịch vụ cụ thể. SA tĩnh và SA động có thể chia sẻ với nhiều SS. Các SA được xác định bởi nhận dạng liên kết bảo mật SAID (Security Association Identifier).
Các kết nối vận chuyển lưu lượng đều phải ánh xạ đến một SA. Các kết nối quản lý thứ cấp phải ánh xạ đến SA cơ bản. Các kết nối quản lý cơ bản không cần ánh xạ đến SA.
Quá trình bảo mật bao gồm 3 quá trình - Nhận thực
- Trao đổi khóa dữ liệu - Mật mã hóa dữ liệu