Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Kommunikation  E-Mail & .... Übertragungskanäle Kommunikatioskrieg Internationale Verbindungen Lösungen Technik N e t z e Militär
Kommuni-kationsreport

Guide to Security for WiMAX Technologies (Draft)
-Original -
Leitfaden zur Sicherheit für WiMAX-Technologien (Entwurf)
Kommunikatiosreport
-
deutsch-
Seite 1
Seite 2
Seite 3
Seite 4
Seite 5
Seite 6
Seite 7
Seite 8
Seite 9
Seite 10
Seite 11
Seite 12
...
...
>>>  5  >>>

Leitfaden zur Sicherheit für WiMAX-Technologien (Entwurf)

2-7
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
3. WiMAX-Sicherheitsfunktionen
In diesem Abschnitt werden die Sicherheitsmechanismen, die in IEEE 802.16-2004, IEEE 802.16e-2005, IEEE 802,16-2.009 und IEEE 802.16j-200912, ihre Funktionen erläutern und eine Grundlage für die Empfehlungen zur Sicherheit in Abschnitt 5. Die IEEE 802.16 Standards spezifizieren zwei grundlegende Sicherheitsdienste: Authentifizierung und Vertraulichkeit. Authentifizierung beinhaltet den Prozess der Überprüfung der Identität durch ein WiMAX-Gerät beansprucht. IEEE 802.16e-2005 und IEEE 802,16-2.009 die gleiche Authentifizierung und Vertraulichkeit Mechanismen. Beide unterstützen die Benutzerauthentifizierung neben Geräte-Authentifizierung. Vertraulichkeit beinhaltet Verhinderung der Verbreitung von Informationen gewährleisten, dass nur autorisierte Geräte können den Inhalt des WiMAX Daten Nachrichten anzuzeigen. Die IEEE 802.16-Standards bieten keine Möglichkeit, Management messages.13 verschlüsseln
Die IEEE 802.16 Standards beziehen sich nicht auf andere sicherheitsrelevante Dienste wie Verfügbarkeit und Vertraulichkeit Schutz für Management-Nachrichten, wenn diese Leistungen erforderlich sind, werden sie durch zusätzliche Mittel müssen bereitgestellt werden. Auch schützt IEEE 802.16 Sicherheit der Kommunikation über das WMAN Verknüpfung zwischen einem SS / MS und BS, aber nicht die Kommunikation über das verkabelte Netzwerk hinter dem Betreiber BS. End-to-End-Sicherheit ist nicht ohne Anwendung zusätzlichen Sicherheitskontrollen nicht durch den IEEE-Standards festgelegt werden.
WiMAX-Systeme bieten eine sichere Kommunikation, indem in drei Schritten: Authentifizierung, Key Establishment und Datenverschlüsselung. Abbildung 3-1 ist ein High-Level Überblick über die Sicherheits-Framework. Die Anmelde-Prozedur sieht gemeinsame Schlüsselmaterial für die SS / MS und BS und erleichtert den sicheren Austausch von Schlüsseln, die Verschlüsselung der Daten sorgen für die Vertraulichkeit von WiMAX-Datenkommunikation. Der Rest dieses Abschnitts erklärt die Grundlagen des WiMAX-Security-Frameworks, Authentifizierung, Key Establishment und Datenverschlüsselung.
12 IEEE-2009 802.16j enthält alle Sicherheitsfunktionen des IEEE 802,16-2009, und umfasst auch Sicherheits-Features für Multi-Hop-Relais Vernetzung. Alle Diskussionen über IEEE 802,16-2.009 Sicherheit in dieser Veröffentlichung gelten auch für 802.16j IEEE-2009.
13 Management-Nachrichten werden in der Regel nicht verschlüsselt in der drahtlosen Kommunikation, weil du Verschlüsselung negativ beeinflussen könnten Netzbetrieb. Ein typisches Beispiel für ein Management-Nachricht ist eine Aufforderung hin zur Netzwerk-Verzögerung bei der ersten Netzwerk-Eintrag und in regelmäßigen Abständen während des Betriebs zu bestimmen. Da diese Nachricht ist an der Zeit empfindlich und mehrere Bytes lang, Verschlüsselung wäre verringern die Verfügbarkeit des Netzwerks. 3-1
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)



Abbildung 3-1. WiMAX Security Framework
3.1 Sicherheit Verbände
Eine Security Association (SA) ist eine gemeinsame Reihe von Sicherheits-Parameter, die einen Bachelor of Science und seine SS / MS eine sichere Kommunikation zu erleichtern verwenden. Im Konzept ähnlich Internet Protocol Security (IPsec), 14 SA-Parameter definiert die Sicherheitsanforderungen von einer Verbindung, dh Schlüssel und Algorithmen. SAs fallen in eine von drei Kategorien: Genehmigung, Daten (unicast15 Dienste) und Gruppe (multicast16 Dienstleistungen). Eine deutliche SA ist für jeden Dienst durch den BS angeboten etabliert. Zum Beispiel würde eine Unicast-Dienst einen eindeutigen Verschlüsselung von Daten SA, während ein Multicast-Dienst hätte eine einzigartige Gruppe haben SA.
Authorization SAs erleichtern Authentifizierung und Schlüssel Einrichtung, zum Daten-und Gruppen-SAs zu konfigurieren. Authorization SAs enthalten die folgenden Attribute:
­ X.509-Zertifikaten. Digitale X.509-Zertifikate ermöglichen WiMAX Kommunikations-Komponenten miteinander zu validieren. Der Hersteller das Zertifikat zu Informationszwecken verwendet und die BS-und SS / MS-Zertifikate enthalten den jeweiligen Geräten öffentlichen Schlüssel. Die Zertifikate werden vom Gerätehersteller oder durch einen Dritten Zertifizierungsstelle signiert.
­ Authorization Key (AK). AKs sind zwischen BS und SS / MS ausgetauscht, um einander vor der Verschlüsselung des Datenverkehrs Schlüssel (TEK) zu authentifizieren. Die Ermächtigung umfasst SA eine Kennung und ein wichtiger Lebens-Wert für jede AK.
14 IPsec ist ein Netzwerk-Layer-Security-Protokoll die Authentifizierung und Verschlüsselung bietet über das Internet.
15 Unicast-Verkehr wird eine einzige Datenübertragung an einen einzelnen Empfänger im gleichen Netzwerk.
16 Multicast-Verkehr wird eine einzige Datenübertragung an mehrere Empfänger über das gleiche Netz.
3-2
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
­ Key Encryption Key (KEK). Abgeleitet von der AK ist die KEK zur TEKS während der TEK Austausch, wie später in Abschnitt 3.3 diskutiert verschlüsseln.
­ Nachricht Authentifizierungsschlüssel. Abgeleitet von der AK, bestätigen die Nachricht Authentifizierungsschlüssel die Echtheit der Verteilung der Schlüssel-Nachrichten während der Schlüssel-Niederlassung. Diese Tasten werden auch zur Verwaltung von Nachrichten an Authentizität Nachricht bestätigen zu unterzeichnen.
­ autorisierten Daten SA-Liste. Vorausgesetzt, die SS / MS von der BS, zeigt die zulässige Daten SA-List, Datenverschlüsselung SAs der SS / MS zugelassen ist, den Zugang.
Data SAs legen die Parameter verwendet werden, um Unicast-Nachrichten zwischen BSS und SSS / MS zu schützen. Data SAs können nicht auf Management-Nachrichten, die verschlüsselt sind nie angewendet werden. Ein Data SA enthält die folgenden Sicherheits-Attribute:
­ SA-ID (SAID). Dieses einzigartige 16-Bit-Wert bezeichnet die SA um sie von anderen SAs zu unterscheiden.
­ Verschlüsselung Chiffre eingesetzt werden soll. Die Verbindung wird diese Verschlüsselung Chiffre Definition Funkverbindung Vertraulichkeit zu gewährleisten.
­ Traffic Verschlüsselung (TEK). TEKS werden nach dem Zufallsprinzip durch das BS erzeugt und verwendet, um Nachrichten zu verschlüsseln Daten WiMAX. Zwei TEKS ausgegeben werden, um die Kommunikation Unterbrechung während TEK Rekeying verhindern; die erste TEK ist für aktive Kommunikation verwendet, während die zweite TEK bleibt dormant.17
­ Datenverschlüsselung SA Art Indikator. Dieser Indikator kennzeichnet die Art der Daten SA. Es gibt drei Arten:
- Primär-SA. Diese SA ist eine einzigartige Verbindung für jeden SS / MS bei der Initialisierung mit dem BS etabliert. Es gibt nur eine primäre SA pro SS / MS.
- Statische SA. Diese SA sichert die Daten und Nachrichten ist für jeden Dienst durch den BS definiert generiert.
- Dynamische SA. Diese SA erstellt wird und beseitigt Antwort auf die Einleitung und Beendigung von bestimmten Dienstleistung fließt.
Gruppe SAs enthalten das Schlüsselmaterial verwendet, um Multicast-Verkehr zu sichern. Group SAS sind inhärent weniger sicher als Daten SAs weil identisch Schlüsselmaterial unter allen Mitgliedern einer Gruppe BS freigegeben ist. Group SAS enthält folgende Attribute:
­ Gruppe Verkehr Verschlüsselung (GTEK). Dieser Schlüssel wird zufällig von der BS erzeugt und verwendet, um Multicast-Verkehr zwischen einem BS und SSS / MSS verschlüsseln.
­ Group Schlüssel Schlüssel (GKEK). Dieser Schlüssel ist auch zufällig von der BS erzeugt und verwendet, um die GTEK verschlüsseln geschickt in Multicast-Nachrichten zwischen einem BS und SSS / MSS.
3,2 Authentifizierung und Autorisierung
Networking-Technologien traditionell beziehen sich auf eine Zulassung als der Prozess, der den Grad der Inanspruchnahme eines Knotens erhält nach dem Motiv identifiziert und authentifiziert bestimmt. Der Standard IEEE 802.16 bezieht sich allgemein auf Zulassung als Prozess der Authentifizierung WiMAX-Knoten und ihnen Zugang zu dem Netzwerk. Dieser leichte Unterscheidung von IEEE 802.16 gemacht wird, dass die Genehmigung Prozesse implizit Authentifizierung. Der PKM-Protokoll ist ein Satz von Regeln, die für die Authentifizierung und
17 pro die IEEE 802.16-2004 Standard "Jeder TEK wird aktiv zur Hälfte der Laufzeit seines Vorgängers und endet in der Mitte des Lebens von seinem Nachfolger" [IEE04]. Dieser zyklische Prozess wird sichergestellt, dass Schlüsselmaterial ständig aktualisiert wird.