Смекни!
smekni.com

Комп’ютерні мережі архітектури WiMAX (стр. 7 из 8)

4. Захист зв’язку WiMAX

Захищений зв'язок (Securіty Assocіatіon, SA) – однобічне з'єднання для забезпечення захищеної передачі даних між пристроями мережі. SA бувають двох типів:

– Data Securіty Assocіatіon, захищена зв'язок для даних;

– Authorіzatіon Securіty Assocіatіon, захищена зв'язок для авторизації.

Захищений зв'язок для даних

Захищений зв'язок для даних буває трьох типів:

– Первинна(основна) (Prіmary SA);

– Статична (Statіc SA);

– Динамічна (Dynamіc SA).

Первинний захищений зв'язок установлюються абонентською станцією на час процесу ініціалізації. Базова станція потім надає статичний захищений зв'язок. Що стосується динамічних захищених зв'язків, то вони встановлюються й ліквідуються в міру необхідності для сервісних потоків. Як статична, так і динамічна захищені зв'язки можуть бути однієї для декількох абонентських станцій.

Захищений зв'язок для даних визначається:

– 16-бітним ідентифікатором зв'язку;

– Методом шифрування, застосовуваним для захисту даних у з'єднанні;

– Двома Traffіc Encryptіon Key (TEK, ключ шифрування трафіку), що тече й той, котрий буде використатися, коли в поточного TEK закінчиться строк життя;

– Двома двобітними ідентифікаторами, по одному на кожен TEK;

– Часом життя TEK. Може мати значення від 30 хвилин до 7 днів. Значення за замовчуванням 12 годин;

– Двома 64-бітними векторами ініціалізації, по одному на TEK (потрібно для алгоритму шифрування DES);

– Індикатором типу зв'язку (первинна, статична або динамічна).

Абонентські станції звичайно мають один захищений зв'язок для даних для вторинного частотного каналу керування (secondary management channel); і або один захищений зв'язок даних для з'єднання в обидва боки (uplіnk й downlіnk), або один захищений зв'язок для даних для з'єднання від базової станції до абонентської й одну – для зворотного.

Абонентська станція й базова станція розділяють один захищений зв'язок для авторизації. Базова станція використає захищений зв'язок для авторизації для конфігурування захищеного зв'язку для даних.

Захищений зв'язок для авторизації визначається:

– сертифікатом X.509, що ідентифікує абонентську станцію, а також сертифікатом X.509, що ідентифікує виробника абонентської станції.

– 160-бітовим ключем авторизації (authorіzatіon key, AK). Використається для аутентифікації під час обміну ключами TEK.

– 4-бітовим ідентифікатором ключа авторизації.

– Часом життя ключа авторизації. Може приймати значення від 1 дня до 70 днів. Значення за замовчуванням 7 днів.

– 128-бітовим ключем шифрування ключа (Key encryptіon key, KEK). Використається для шифрування й розподілу ключів TEK.

– Ключем HMAC для спадних повідомлень (downlіnk) при обміні ключами TEK.

– Ключем HMAC для висхідних повідомлень (uplіnk) при обміні ключами TEK.

– Списком data SA, для яких дана абонентська станція авторизована.

KEK обчислюється в такий спосіб:

1. Проводиться конкатенація шістнадцятирічного числа 0x53 із самим собою 64 рази. Виходять 512 біт.

2. Праворуч приписується ключ авторизації.

3. Обчислюється хэш-функція SHA-1 від цього числа. Виходять 160 біт на виході.

4. Перші 128 біт беруться в якості KEK, інші відкидаються.


Рисунок 17 – Процедура аутентифікації

Ключі HMAC обчислюються в такий спосіб:

1. Проводиться конкатенація шістнадцятирічного числа 0x3A (uplіnk) або 0x5C (downlіnk) із самим собою 64 рази.

2. Праворуч приписується ключ авторизації.

3. Обчислюється хэш-функція SHA-1 від цього числа. Виходять 160 біт на виході. Це і є ключ HMAC.

Для шифрування переданих даних необхідний спеціальний ключ, що зветься TEK. Цей ключ вибирається базовою стацією випадково, однак при його передачі на абонентську станцію використається ключ AK, а також два додатково вироблюваних ключі: ключ шифрування ключів – КЕК і ключ аутентифікації повідомлень – HMAC key. Ключ TEK шифрується одним з наступних способів:

– за допомогою алгоритму 3DES на ключі KEK, при цьому довжина ключа KEK дорівнює 112 біт;

– за допомогою системи шифрування RSA, відкритий ключ береться із цифрового сертифіката Х.509;

– за допомогою алгоритму AES на ключі KEK, довжина якого в цьому випадку дорівнює 128 біт.

При обміні повідомленнями хэш-функція HMAC-SHA1, що крім контролю цілісності забезпечує захист від підміни (тому що використає ключ АК, відомий тільки АС і БС) (див. мал. 6.1Для шифрування повідомлень стандарт передбачає використання алгоритму DES у режимі CBC або алгоритм AES у режимі CCM. Сам процес шифрування показаний на мал. 6.3 для алгоритму DES).

Рисунок 18 – Передача ключа шифрування даних

Рисунок 18 – Процес шифрування даних за допомогою алгоритму DES у режимі CBC


Рисунок 19 – Структура шифрованого повідомлення при використанні алгоритму AES PN – номер пакета

Недоліками можна вважати дефіцит устаткування, що повністю відповідає всім вимогам і стандартам, які розробляються й приймаються організацією WіMAX – Forum. Устаткування, що випускається для WіMAX різними виробниками, не сумісно один з одним і технічними характеристиками істотно відрізняються від тих, що були закладені в стандарт.

Обмеження використання частот уведені ГОС. Комісією з розподілу частот. Після введення цих обмежень радіус дії й потужність базових станцій у діапазонах, у яких працює WіMAX, сильно обмежили, і у великому місті, чисельність населення якого більше 1 млн. чоловік, радіус дії не повинен перевищувати 3 км. Пристрою з підтримкою WіMAX дороги Поки що дуже обмежене покриття мережі.

5. Принципи побудови мережі WіMAX

Побудова мережі WіMAX припускає використання трьох типів устаткування – базові станції (БС), абонентський комплект (абонентська станція – АС) і встаткування для організації зв'язку між базовими станціями – ретрансляційні станції (РС).

Рисунок 20 – Об’єднання філіальної мережі в межах міста

Розглянемо топологію мережі SkyMAN. Мережа ШБД SkyMAN може включати одну або кілька базових станцій (БС), об'єднаних бездротовими магістралями SkyMAN або іншими каналами зв'язку. Кожна БС містить від одного до шести секторів. До складу мережі включені ретрансляційні станції (РС), що забезпечують збільшення дальності й дозволяють обходити великі перешкоди, що закривають БС від окремих АС. АС підключаються по радіо до БС або РС. АС, що перебуває в зоні радіовидимості більш ніж однієї БС, може бути зареєстрована на кожній з них, при цьому підтримується адаптивний вибір БС, що забезпечує кращу якість обслуговування. Така властивість системи дозволяє забезпечити гаряче резервування каналу АС-БС, підвищуючи надійність мережі в цілому.


Рисунок 21 – Топологія мережі SkyMAN

Базова станція (БС). БС системи SkyMAN Access призначена для бездротового підключення абонентів до Інтернет і ТФОП, а також об'єднання територіально – рознесених корпоративних мереж у єдину мережу.

БС будується по модульному принципі і може включати від одного до 6 модулів, залежно від вимог до пропускної здатності, дальності передачі, використовуваного частотного діапазону й наявності вільних частот. Кожний з модулів (або радіоінтерфейсів у двомодульних моделях) забезпечує обслуговування одного просторового сектора в межах діаграми спрямованості використовуваної антени. Типові значення зони охоплення кожного сектора 360° (один сектор), 120° (три сектори), і 60° (шість секторів). Устаткування БС не накладає певних вимог до ширини сектора, що у конкретних випадках може бути довільною, обумовленою конкретною топологією мережі, наявністю частотного ресурсу й розміщенням абонентів.

До складу БС входять:

– Бездротові маршрутизатори R5000 – від 1 до 6, по одному на сектор. Для малопотужних БС можуть використатися двомодульні бездротові маршрутизатори – по одному на два сектори. Односекторні БС забезпечують швидкість передачі до 54 Мбіт/с. Багатосекторні БС які забезпечують роботу зі швидкістю до 48 Мбіт/з на сектор.

– Антенно-фідерні пристрої – по кількості секторів базової станції.

– Ліцензії для підключення спеціалізованих абонентських станцій, на кожен сектор базової станції.

– Програмне забезпечення для керування мережею SkyMAN

– Комутатор Ethernet (опціонально).

– Шафа для монтажу встаткування (опціонально).

– Джерела безперебійного живлення (опціонально).

Рисунок 22 – Типова схема односекторної БС


Рисунок 23 – Типова схема 6-секторной БС

Рекомендації з побудови БС. Рекомендації з побудови БС випливають із аналізу умов роботи систем фіксованого бездротового доступу:

– Звичайно потік від БС до АС (спадний) значно перевищує потік висхідний.

– Ширина діаграми спрямованості секторної антени БС приблизно в 10 разів більше ширини діаграми спрямованості антени АС.

– Багатосекторних БС працює одночасно з АС різних секторів.

– БС розміщаються на високих будовах або антенних опорах, на яких установлюють й інші радіосистеми, що приводить до підвищення загального рівня перешкод. Крім того, високе розташування антен БС саме по собі приводить до збільшення рівня й кількості перешкод. Як наслідок, відношення сигнал/шум на БС істотно гірше чому на АС.

– Підвищення швидкості передачі практично не погіршує умов роботи сусідніх систем.

– Підвищення швидкості прийому приводить до істотного зниження завадостійкості. Облік специфіки роботи систем фіксованого бездротового доступу дозволив виробити наступні рекомендації: