Безопасность беспроводных сетей IEEE 802.16
WiMAX (Worldwide Interoperability for Microwave Access) – телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств и основанная на стандарте IEEE 802.16 ( называют Wireless MAN). В таблице 7.3 представлены характеристики технологии.
Таблица 7.3 – Характеристики WiMAX
Стандарт | Пропускная способность | Зона покрытия | Рабочая частота |
802.16d | до 75 Мбит/с (20 МГц) | 4–6 км | до 11 ГГц |
802.16e | до 30 Мбит/с (10 МГц) | 1–3 км | 2–6 ГГц |
Безопасность сетей по стандарту IEEE 802.16 определяет Протокол приватности и управления ключом (Privacy and Key Management Protocol–PKM). Для обеспечения безопасности передачи по этому протоколу образуется защищенная связь (ассоциация) (Security Association–SA) – одностороннее соединение, для обеспечения защищенной передачи данных между устройствами сети. SA бывают двух типов:
– Data Security Association, защищенная связь для данных;
– Authorization Security Association, защищенная связь для авторизации.
Защищенная связь для данных, в свою очередь, бывает трех типов:
– первичная (основная) (Primary SA);
– статическая (Static SA);
– динамическая (Dynamic SA).
Первичная защищенная связь устанавливается абонентской станцией на время процесса инициализации. Затем базовая станция предоставляет статическую защищенную связь. Динамические защищенные связи устанавливаются и ликвидируются по мере необходимости для сервисных потоков.
Защищенная связь для данных определяется:
– 16-битным идентификатором связи;
– методом шифрования, применяемым для защиты данных в соединении;
– двумя ключами шифрования трафика (Traffic Encryption Key – TEK) – текущим и тем, который будет использоваться, когда у текущего TEK закончится срок действия;
– двумя двухбитными идентификаторами, по одному на каждый TEK;
– сроком действия TEK. Может иметь значение от 30 мин до 7 дн. Значение по умолчанию – 12 ч;
– двумя 64-битными векторами инициализации, по одному на TEK (требуется для алгоритма шифрования DES);
– индикатором типа связи (первичная, статическая или динамическая).
Защищенная связь для авторизации.Абонентская станция и базовая станция разделяют одну защищенную связь для авторизации. Базовая станция использует защищенную связь для авторизации, конфигурирования защищенной связи и данных.
Защищенная связь для авторизации определяется:
– сертификатом X.509, идентифицирующим абонентскую станцию, а также сертификатом X.509, идентифицирующим производителя абонентской станции;
– 160-битовым ключом авторизации (Authorization Key – AK). Используется для аутентификации во время обмена ключами TEK;
– четырехбитовым идентификатором ключа авторизации;
– сроком действия ключа авторизации. Может принимать значение от 1 до 70 дн. Значение по умолчанию – 7 дн.;
– 128-битовым ключом шифрования ключа (Key Encryption Key – KEK). Используется для шифрования и распределения ключей TEK;
– ключом HMAC (Hash-Based Message Authentication Code) для нисходящих сообщений (downlink) при обмене ключами TEK;
– ключом HMAC для восходящих сообщений (uplink) при обмене ключами TEK;
– списком SA для данных, для которых данная абонентская станция авторизована.
Выявлены следующие уязвимости в стандарте IEEE 802.16:
1 Атаки физического уровня, такие как глушение передачи сигнала, ведущее к отказу доступа, или лавинный наплыв кадров (flooding), имеющий целью истощить батарею станции. Эффективные способы противостоять таким угрозам в настоящее время отсутствует.
2 Самозваные базовые станции, что связано с отсутствием сертификата базовой станции. Предложенное решение этой проблемы – инфраструктура управления ключами в беспроводной сети, основанная на стандарте IEEE 802.11i., взаимной аутентификации с помощью сертификатов X.509.
3 Уязвимость, связанная с неслучайностью генерации базовой станцией ключей авторизации. Взаимное участие базовой и абонентской станций, возможно, решило бы эту проблему.
4 Возможность повторно использовать ключи TEK, чей срок жизни уже истек. Это связано с очень малым размером поля индекса ключа TEK (EKS). Так как наибольшее время жизни ключа авторизации 70 сут, т. е. 100800 мин, а наименьшее время жизни ключа TEK 30 мин, то необходимое число возможных идентификаторов ключа TEK – 3360. А это означает, что число необходимых битов для поля EKS – 12.
5 Небезопасность использования шифрования DES. При достаточно большом времени жизни ключа TEK и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Эта проблема была устранена с введением шифрования AES в поправке к стандарту IEEE 802.16e.
Дата добавления: 2018-05-10; просмотров: 1159;