К.Т. Козыбаев, М.Н. Иманкул Информационная безопасность в

К.Т. Козыбаев, М.Н. Иманкул
Информационная безопасность в сетях WIMAX
(Евразийский национальный университет им. Л.Н. Гумилева, г. Астана)
Установлены предусмотренные в стандарте WiMAX средства защиты. Выявлены
инсрументы, с помощью которых достигается информационная безопасность
современных сетей стандарта IEEE 802.16.
Проблемы обеспечения информационной безопасности (ИБ) сетей WiMAX
(Worldwide Interoperability for Microwave Access, всемирная совместимость
при микроволновом доступе), основанных на базе стандарта IEEE 802.16,
связаны с открытой средой передачи информации и возможностью
беспрепятственного перехвата кодированных потоков, передающихся по
сети. Уроки, извлеченные из уязвимостей технологии Wi-Fi (стандарт IEEE
802.11), были учтены в стандарте IEEE 802.16 [1].
Основными требованиями к обеспечению ИБ для любого протокола связи
являются аутентификация, конфиденциальность информации, целостность
данных (защита данных пользователей от подмены, уничтожения в процессе
передачи) и доступность, под которой подразумевают невосприимчивость к
DoS-атакам (Denial of Service, отказ в обслуживании), то есть воздействиям
на систему, которые приводят к ее отказу в предоставлении сервисов.
Обеспечение ИБ распределено по нескольким уровням сети, на каждом
уровне обеспечивается свой собственный аспект. Функции безопасности
могут быть отнесены к различным уровням безопасности модели OSI (Open
System Interconnection), как показано в таблице 1.
Таблица 1 - Функции безопасности на различных сетевых уровнях
7 Уровень приложений
Цифровые подписи, сертификаты,
безопасность «точка-точка»
4 Транспортный уровень
Протокол TLS (Transport Layer Security)
3 Сетевой уровень
IPsec (IP Security), инфраструктура AAA
(Authentication,
Authorization,
Accounting), RADIUS (Remote Access
Dial In User Service) – сетевой протокол,
обеспечивающий
централизованные
процедуры ААА для всех устройств сети
2 Канальный уровень
AES (Advanced Encryption Standard ), PKI
(инфраструктура публичных ключей),
X.509 – стандарт ITU для цифрового
сертификата системы с открытыми
ключами
1 Физический уровень
WiMAX PHY
Удовлетворяя требованиям сервис-провайдеров NSP (Network Service
Provider, провайдер сервиса сети), подуровень безопасности обеспечивает
услуги аутентификации и авторизации (рис. 1) [2]. Аутентификация
позволяет установить подлинность клиента и устройства, которое он
использует. С помощью процедуры авторизации NSP
устанавливает
соответствие между аутентифицированным клиентом и списком доступных
ему услуг.
Подуровень безопасности стандарта IEEE 802.16e - 2005, 2009
удовлетворяет требованиям клиентов — уверенность в конфиденциальности
и целостности передающихся в сети данных, а также в том, что клиент
всегда сможет получить доступ к оплаченным им сервисам.
Рисунок 1 - Подуровень безопасности
RSA (Rivest-Shamir-Adleman, Ривест-Шамир-Адельман) – один из
известных алгоритмов общих ключей,
обычно используемый для
обеспечения аутентификации отправителя, безопасного получения общих
ключей для совместного использования, а иногда и для обеспечения
конфиденциальности данных (из-за ограничений производительности
данный алгоритм редко применяется для поддержки конфиденциальности
данных).
PKM (Privacy and Key Management protocol, управление частным
ключом) – протокол приватности (конфиденциальности) и управления
ключом, то есть это протокол для получения авторизации и ключей
шифрования трафика.
EAP (Extensible Authentication Protocol, расширяемый протокол
аутентификации) - протокол, описывающий более гибкую схему
аутентификации по сравнению с сертификатами X.509.
SA (Security Association, aссоциация безопасности) – набор параметров
безопасности для базовой станции (БС) и связанных с ней абонентских
станций (АС) (мобильных станций (МС)), поддерживающих защищенное
соединение.
Подуровень безопасности определен только на канальном уровне
эталонной модели OSI. Поэтому все поставленные перед ним задачи
решаются тремя способами:
- применением
средств протокола
EAP,
алгоритма RSA
для
аутентификации и авторизации абонентской (клиентской) станции;
- выполнение криптографических преобразований над трафиком,
обеспечивая конфиденциальность, целостность и аутентичность данных, а
также аутентичность и целостность служебных сообщений MAC (Media
Access Control, контроль уровня доступа)-уровня;
- использование протокола управления ключами PKM для безопасного
распределения ключевой информации.
Стек алгоритмов шифрования данных, аутентификации данных и
шифрования TEK (Traffic Encryption Key, ключ шифрования трафика)
является криптографическим комплексом (Cryptographic Suite).
Блочное шифрование в WiMAX производится в одном из четырех
режимов: ECB (Electronic code book, электронная кодовая книга), CBC
(Cipher-block chaining, последовательность блоков шифра), CTR (Counter
mode encryption, счетчик режима шифрования) и CCM (Counter with CBCMAC (Message authentication code), счетчик последовательности блоков
шифра кода аутентификации сообщения). Данные режимы различаются
реализуемыми операциями над блоками шифруемых данных, способом
формирования инициализирующего вектора (если он применяется) и
возможностью аутентификации данных.
Типовая архитектура системы контроля доступа (аутентификации и
авторизации) в беспроводных сетях показана на рис. 2.
Рисунок 2 - Типовая архитектура системы контроля доступа
В соответствии с спецификациями WiMAX Forum в качестве
аутентификатора АС
чаще всего выступает специальная служба
аутентификации внутри ASN (Access Service Network, сеть службы доступа).
Сообщения между АС и БС передаются в соответствии с протоколом PKM
посредством PKM-REQ (request, запрос), PKM-RSP (response, ответ). БС и
аутентификатор обмениваются информацией в соответствии с протоколом
Authentication Relay Protocol. Наконец, аутентификатор связывается с
сервером ААА, расположенным в домашней сети CSN (Connectivity Service
Network, сеть службы соединений), посредством протокола. Стек
протоколов, используемых для аутентификации и авторизации, представлен
на рис. 3 [2]. На рис. 3 TTLS (Tunneled TLS, туннельный TLS), АКА
(Authentication and Key Agreement, соглашение об аутентификации и ключе),
UDP/IP (User Datagram Protocol/Internet Protocol, протокол пользовательских
датаграмм/Интернет протокол).
Рисунок 3 - Стек протоколов, используемых при аутентификации
Шифрование данных.
Большое число пользователей до сих пор имеет оборудование,
поддерживающее старый стандарт IEEE 802.16, использующий алгоритм
DES (Data encryption standard, стандарт шифрования данных) в режиме
сцепления блока шифров для шифрования данных [3]. В настоящее время
DES считается небезопасным, поэтому в дополнении к стандарту IEEE
802.16e для шифрования данных был добавлен алгоритм AES (Advanced
Encryption Standard, улучшенный стандарт шифрования).
Отметим некоторые уязвимости в стандарте IEEE 802.16 [2]:
- атаки физического уровня (глушение передачи сигнала, ведущее к отказу
доступа; лавинный наплыв кадров (flooding), имеющий целью истощить
батарею станции). Эффективных способов противостоять таким угрозам на
сегодня нет;
- самозваные базовые станции, что связано с отсутствием сертификата
базовой станции. В стандарте проявляется явная несимметричность в
вопросах аутентификации. Предложенное решение этой проблемы —
инфраструктура управления ключом в беспроводной среде (WKMI, Wireless
key management infrastructure), основанная на стандарте IEEE 802.11i. В этой
инфраструктуре есть взаимная аутентификация с помощью сертификатов
X.509;
- уязвимость, связанная с неслучайностью генерации базовой станцией
ключей авторизации. Взаимное участие базовой и абонентской станции,
возможно, решило бы эту проблему;
- возможность повторно использовать ключи TEK, чей срок жизни уже
истек. Это связано с очень малым размером поля EKS (Encryption Key
Sequence, последовательность ключа шифрования) индекса ключа TEK;
- еще одна проблема продиктована небезопасностью применения
шифрования DES. При достаточно большом времени жизни ключа TEK и
интенсивном обмене сообщениями возможность взлома шифра представляет
реальную угрозу безопасности. Эта проблема была устранена с введением
шифрования AES в поправке к стандарту IEEE 802.16e.
По мнению экспертов основные виды уязвимостей технологии WiMAX в
будущем могут быть связаны со следующими проблемами:
- уязвимости в пользовательских терминалах (ПТ). Для приведения ПТ в
соответствие с требованиями стойкого криптоалгоритма шифрования AES
(Advanced Encryption Standard, продвинутый стандарт шифрования),
необходимо ускорить в них процесс шифрования данных;
- уязвимости, которые связаны с трудностями обнаружения внешних
вторжений;
- уязвимости в сетях услуг связи (СУС). СУС понадобятся системы
определения внешних вторжений и специальное программное и аппаратное
обеспечение для защиты от данных вторжений.
Специалисты компании ABI Research считают, что крупные компании –
провайдеры технологии WiMAX вроде Motorola, Nortel, Alcatel обладают
внутренними экспертными ресурсами, которые способны устранить все
перечисленные уязвимости.
Сеть WiMAX, как и любая беспроводная сеть,
обладает такими
достоинствами, как гибкость, мобильность, простота использования и
меньшая стоимость по сравнению с инфраструктурными сетями. Сегодня
стоит проблема обеспечения безопасности не только самой беспроводной
сети, но и каждого пользователя в отдельности. Современный уровень
развития техники и технологии беспроводных систем максимально
приближен, с точки зрения безопасности, к уровню систем корпоративной
инфраструктуры. Темпы развития программных и аппаратных приложений
свидетельствуют о выходе на этот уровень как о вопросе ближайшего
будущего.
ЛИТЕРАТУРА
1. Вишневский В., Портной С., Шахнович И.. Энциклопедия WiMAX.
Путь к 4G. М: Техносфера, 2009. – 472 с.
2. Рашич А.В. Сети беспроводного доступа WiMAX: учеб. пособие /
Рашич А.В. – СПБ.: Изд-во Политехн. ун-та, 2011. – 179 с.
3. Сюваткин В. С., Есипенко В. И., Ковалев И. П., Сухоребров В. Г.
WiMAX - технология беспроводной связи: теоретические основы, стандарты,
применение. С.-Пб.: Изд-во «БХВ-Петербург», 2005.
Қозыбаев Қ.Т., Иманқұл М.Н.
WiMAX желілеріндегі ақпараттық қауіпсіздік
WiMAX стандартындағы қолданылатын қорғау құралдары анықталған. Заманауи IEEE
802.16 стандартындағы желілерінде ақпараттық қауіпсіздікке жету жолдары айқындалған.
Kozybaev K.T., Imankul M.N.
Information Security in WiMAX networks
Prescribe a standard WiMAX remedies. Tooling identified, which is achieved by means
of information security of the network standard IEEE 802.16.