2. 3 Nguyên tắc hoạt động của công nghệ Wimax
2.4 Bảo mật trong Wimax
Khác với các chuẩn không dây băng rộng khác, 802.16 thiết kế hẳn một lớp con bảo mật, lớp này làm cung cấp các cơ chế điều khiển truy nhập tin cậy, đảm bảo an toàn cho dữ liệu trên đờng truyền, 802.16 chống lại việc truy cập trái phép các dịch vụ bằng việc mã hoá các luồng dịch vụ. Nó có các giao thức quản lý khoá tại BS để thực hiện chứng thực và cấp phát các khoá tới SS
cần thiết. Trong quá trình thơng lợng về bảo mật giữa SS và BS, nếu một SS không cung cấp các cơ chế bảo mật của 802.16 thì các bớc chứng thực và cấp phát khoá sẽ đợc bỏ qua. BS nếu chấp nhận điều đó thì sẽ vẫn cho phép SS đợc truyền dữ liệu, ngợc lại BS sẽ không cho phép. Chỉ có hai loại kết nối đợc bảo vệ trong 802.16 là các kết nối vận chuyển và kết nối thứ cấp. Các kết nối quản lý, điều khiển khác không cần phải bảo vệ.
Trong bảo mật 802.16 có hai loại giao thức chính:
• Giao thức xử lý đóng gói, mã hoá : Giao thức này làm các nhiệm vụ nh: định nghĩa hệ thống mã hoá, kết hợp giữa mã hoá dữ liệu và chứng thực, xử lý các MAC PDU.
• Một giao thức quản lý khoá gọi là PKM cung cấp cơ chế phân phối khoá từ BS tới SS. Thông qua giao thức này, BS và SS có thể đồng bộ khoá với nhau. BS sử dụng giao thức này để thực thi các điều kiện truy nhập vào mạng.
Sercurity Association (SA) :
SA là tập hợp các thông tin dùng chia sẻ giữa BS và SS nhằm đảm bảo tính an toàn trong trao đổi. SA làm nhiệm vụ duy trì trạng thái bảo mật của một kết nối. Có hai loại SA là SA cho dữ liệu (DSA) và SA cho chứng thực (ASA) nh- ng 802.16 chỉ định nghĩa DSA, loại SA đợc dùng để bảo vệ các kết nối chuyển vận giữa các SS và BS. Có bao loại DSA là loại DSA chinh, loại DSA tĩnh và loại DSA động. DSA chính đợc thiết lập trong suốt quá trình khởi tạo. DSA tĩnh đợc cấu hình sẵn trên BS, DSA động đợc đặt tuỳ vào các kết nối. Cả DSA tĩnh và DSA động đều có thể đợc sử dụng bởi nhiều SS.
• SAID đợc dùng để chỉ định tới SA, SAID có độ dài 16bit. Giá trị SAID của DSA chính sẽ bằng với CID của kết nối cơ bản.
• Thuật toán dùng để trao đổi dữ liệu. Ví dụ nh DES.
• Hai khóa TEK để mã hoá dữ liệu : một để sử dụng, một để dự phòng.
• Một chỉ số của TEK.
• Một tham số về thời gian sử dụng của TEK, giá trị mặc định là nửa ngày, giá trịn nhỏ nhất là 30phút và lớn nhất là 7ngày.
• Một IV 64bit cho TEK.
• Một tham số định nghĩa loại SA.
• Để bảo mật một kết nối chuyển vận, SS trớc hết phải khởi tạo ra một DSA. Nhiều kết nối có thể chia sẻ chung SA, khả năng này để cung cấp các dịch vụ multicast. Ngay sau khi SS tham gia vào mạng, một SA cũng sẽ đợc tạo ra trên kết nối thứ cấp. Nh vậy, SS thông thờng sẽ có hai hoặc ba SA : một SA cho kết nối thứ cấp, một SA cho kết nối chuyển vận đờng lên, một SA cho kết nối chuyển vận đờng xuống.
• Có một quy tắc ánh xạ một kết nối vào các DSA.
• Tất cả các kết nối chuyển vận sẽ đợc ánh xạ vào một DSA đã đợc công nhận.
• Các kết nối multicast có thể đợc ánh xạ vào bất cứ DSA tĩnh hoặc động nào đó.
• Các kết nối thứ cấp sẽ đợc ánh xạ vào DSA chính.
• Các kết nối cơ bản và sơ cấp sẽ không đợc ánh xạ, chúng không cần bảo mật.