WiMAX
(англ. W orldwide I nteroperability for M icrowave A cces s ) — телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств (от рабочих станций и портативных компьютеров до мобильных телефонов).
Основана на стандарте IEEE 802.16, который так же называют WirelessMAN. Название «WiMAX» было создано WiMAX Forum — организацией, которая была основана в июне 2001 года c целью продвижения и развития WiMAX. Форум описывает WiMAX как «основанную на стандарте технологию, предоставляющую высокоскоростной беспроводной доступ к сети, альтернативный выделенным линиям и DSL».
WiMAX подходит для решения следующих задач:
- Соединения точек доступа Wi-Fi друг с другом и другими сегментами интернета.
- Обеспечения беспроводного широкополосного доступа как альтернативы выделенным линиям и DSL.
- Предоставления высокоскоростных сервисов передачи данных и телекоммуникационных услуг.
- Создания точек доступа, не привязанных к географическому положению.
WiMAX позволяет осуществлять доступ в интернет на высоких скоростях, с гораздо большей пропускной способностью и покрытием чем у Wi-Fi сетей. Это позволяет использовать технологию в качестве «магистральных каналов», продолжением которых выступают традиционные DSL- и выделенные линии, а так же локальные сети. В результате подобный подход позволяет создавать масштабируемые высокоскоростные сети масштабов целых городов.
На данный момент Пакистан обладает самой большой в мире полнофункциональной сетью WiMAX национального масштаба. Компания Wateen Telecom установила сети в семнадцати городах Пакистана, используя оборудование Motorola [1]
Фиксированный и мобильный вариант WiMAX
Набор преимуществ присущ всему семейству WiMAX, однако его версии существенно отличаются друг от друга. Разработчики стандарта искали оптимальные решения как для фиксированного, так и для мобильного применения, но совместить все требования в рамках одного стандарта не удалось. Хотя ряд базовых требований совпадает, нацеленность технологий на разные рыночные ниши привела к созданию двух отдельных версий стандарта (вернее, их можно считать двумя разными стандартами).
Каждая из спецификаций WiMAX определяет свои рабочие диапазоны частот, ширину полосы пропускания, мощность излучения, методы передачи и доступа, способы кодирования и модуляции сигнала, принципы повторного использования радиочастот и прочие показатели. А потому WiMAX-системы, основанные на версиях стандарта IEEE 802.16 e и d, практически несовместимы. Краткие характеристики каждой из версий приведены ниже.
Основные протоколы сети Интернет. Интернет как единая система ресурсов
... объявлений. Однако в то время сеть ещё не могла легко взаимодействовать с другими сетями, построенными на других технических стандартах. К концу 1970-х годов начали бурно развиваться протоколы передачи данных, которые ...
802.16-2004 (известен также как 802.16d и фиксированный WiMAX).
802.16-2005 (известен также как 802.16e и мобильный WiMAX).
Основное различие двух технологий состоит в том, что фиксированный WiMAX позволяет обслуживать только «статичных» абонентов, а мобильный ориентирован на работу с пользователями, передвигающимися со скоростью до 120 км/ч. Мобильность означает наличие функций роуминга и «бесшовного» переключения между базовыми станциями при передвижении абонента (как происходит в сетях сотовой связи).
В частном случае мобильный WiMAX может применяться и для обслуживания фиксированных пользователей.
Более подробное сравнение фиксированного и мобильного WiMAX можно прочесть здесь. http://www.osp.ru/nets/2006/17/3607303/
Широкополосный доступ
Многие телекоммуникационные компании делают большие ставки на использование WiMAX для предоставления услуг высокоскоростной связи. И тому есть несколько причин.
Во-первых, технологии семейства 802.16 позволят экономически более эффективно (по сравнению с проводными технологиями) не только предоставлять доступ в сеть новым клиентам, но и расширять спектр услуг и охватывать новые труднодоступные территории.
Во-вторых, беспроводные технологии многим более просты в использовании, чем традиционные проводные каналы. WiMAX и Wi-Fi сети просты в развёртывании и по мере необходимости легко масштабируемы. Этот фактор оказывается очень полезным, когда необходимо развернуть большую сеть в кратчайшие сроки. К примеру, WiMAX был использован для того чтобы предоставить доступ в Сеть выжившим после цунами, произошедшего в декабре 2004 года в Индонезии (Aceh).
Вся коммуникационная инфраструктура области была выведена из строя и требовалось оперативное восстановление услуг связи для всего региона.
В сумме все эти преимущества позволят снизить цены на предоставление услуг высокоскоростного доступа в Интернет как для бизнес структур, так и для частных лиц.
Пользовательское оборудование
Оборудование для использования сетей WiMAX поставляется несколькими производителями и может быть установлено как в помещении (устройства размером с обычный DSL модем), так и вне него (устройства размером с ноутбук).
Следует заметить что оборудование, рассчитанное на размещение внутри помещений и не требующее профессиональных навыков при установке, конечно, более удобно, однако способно работать на значительно меньших расстояниях от базовой станции, чем профессионально установленные внешние устройства. Поэтому оборудование, установленное внутри помещений требует намного больших инвестиций в развитие инфраструктуры сети, так как подразумевает использование намного большего числа точек доступа.
С изобретением мобильного WiMAX все больший акцент делается на разработке мобильных устройств. В том числе специальных телефонных трубок (похожи на обычный мобильный смартфон), и компьютерной периферии (USB радио модулей и PC card).
Основные понятия
В общем виде WiMAX сети состоят из следующих основных частей — базовых и абонентских станций, а также оборудования, связывающего базовые станции между собой, с поставщиком сервисов и с Интернетом.
Вычислительные сети. Основные способы передачи данных
... с интеллектуальным центром. Способы передачи данных Проводная связь Телефонная сеть PSTN Модем и коммутируемый доступ Выделенные линии Коммутация ... сетей с маршрутизацией информации передача данных осуществляется от одной рабочей станции к соседней. Причем на различных участках сети ... Netsukuku IEEE 802.16e WiMAX Дальнего радиуса действия Спутниковая связь MMDS SMDS Передача данных при помощи ...
Для соединения базовой станции с абонентской используется высокочастотный диапазон радиоволн от 1,5 до 11 ГГц. В идеальных условиях скорость обмена данными может достигать 70 Мбит/с, при этом не требуется обеспечения прямой видимости между базовой станцией и приемником.
Как уже говорилось выше, WiMAX применяется как для решения проблемы «последней мили», так и для предоставления доступа в сеть офисным и районным сетям.
Между базовыми станциями устанавливаются соединения (прямой видимости), использующие диапазон частот от 10 до 66 ГГЦ, скорость обмена данными может достигать 120 Мбит/c. При этом, по крайней мере одна базовая станция подключается к сети провайдера с использованием классических проводных соединений. Однако, чем большее число БС подключено к сетям провайдера, тем выше скорость передачи данных и надежность сети в целом.
Структура сетей семейства стандартов IEEE 802.16 схожа с традиционными GSM сетями (базовые станции действуют на расстояниях до десятков километров, для их установки не обязательно строить вышки — допускается установка на крышах домов при соблюдении условия прямой видимости между станциями) [2] .
Режимы работы
MAC / канальный уровень
В Wi-Fi сетях все пользовательские станции, которые хотят передать информацию через точку доступа (АР), соревнуются за «внимание» последней. Такой подход может вызвать ситуацию при которой связь для более удалённых станций будет постоянно обрываться в пользу более близких станций. Подобное положение вещей делает затруднительным использование таких сервисов как Voice over IP (VoIP), которые очень сильно зависят от непрерывного соединения.
Что же касается сетей 802.16, в них MAC использует алгоритм планирования. Любой пользовательской станции стоит лишь подключиться к точке доступа, для нее будет создан выделенный слот на точке доступа, и другие пользователи уже не смогут повлиять на это соединение.
Архитектура
WiMAX Forum разработал архитектуру, которая определяет множество аспектов работы WiMAX сетей: взаимодействия с другими сетями, распределение сетевых адресов, аутентификация и многое другое. Приведённая иллюстрация даёт нам некоторое представление об архитектуре сетей WiMAX.
- SS/MS: (the Subscriber Station/Mobile Station)
- ASN: (the Access Service Network) [3]
- BS: (Base station), базовая станция, часть ASN
- ASN-GW: (the ASN Gateway), шлюз, часть ASN
- CSN: (the Connectivity Service Network)
- HA: (Home Agent, часть CSN)
- NAP:(a Network Access Provider)
- NSP: (a Network Service Provider)
Следует заметить, что архитектура сетей WiMax не привязана к какой-либо определённой конфигурации, обладает высокой гибкостью и масштабируемостью.
Wi-Fi
Сопоставления WiMAX и Wi-Fi далеко не редкость, возможно, потому, что звучание терминов созвучно, название стандартов, на которых основаны эти технологии, похожи (стандарты IEEE, оба начинаются с «802.»), а также обе технологии используют беспроводное соединение и используются для подключения к интернету (каналу обмена данными).
Но несмотря на это, эти технологии направлены на решение совершенно различных задач.
Сравнительная таблица стандартов беспроводной связи |
|||||
Технология |
Стандарт |
Использование |
Пропускная способность |
Радиус действия |
Частоты |
UWB |
802.15.3a |
WPAN |
110-480 Мбит/с |
до 10 метров |
7,5 ГГц |
Wi-Fi |
802.11a |
WLAN |
до 54 Мбит/с |
до 100 метров |
5 ГГц |
Wi-Fi |
802.11b |
WLAN |
до 11 Мбит/с |
до 100 метров |
2,4 ГГц |
Wi-Fi |
802.11g |
WLAN |
до 54 Мбит/с |
до 100 метров |
2,4 ГГц |
WiMax |
802.16d |
WMAN |
до 75 Мбит/с |
6-10 км |
1,5-11 ГГц |
WiMax |
802.16e |
Mobile WMAN |
до 30 Мбит/с |
1-5 км |
2-6 ГГц |
— WiMAX это система дальнего действия, покрывающая километры пространства, которая обычно использует лицензированные спектры частот (хотя возможно и использование нелицензированных частот) для предоставления соединения с интернетом типа точка-точка провайдером конечному пользователю. Разные стандарты семейства 802.16 обеспечивают разные виды доступа, от мобильного (схож с передачей данных с мобильных телефонов) до фиксированного (альтернатива проводному доступу, при котором беспроводное оборудование пользователя привязано к местоположению)
— Wi-Fi это система более короткого действия, обычно покрывающая сотни метров, которая использует нелицензированные диапазоны частот для обеспечения доступа к сети. Обычно Wi-Fi используется пользователями для доступа к их собственной локальной сети, которая может быть и не подключена к Интернет. Если WiMAX можно сравнить с мобильной связью, то Wi-Fi скорее похож на стационарный беспроводной телефон.
— WiMAX и Wi-Fi имеют совершенно разный механизм Quality of Service (QoS).
WiMAX использует механизм, основанный на установлении соединения между базовой станцией и устройством пользователя. Каждое соединение основано на специальном алгоритме планирования, который может гарантировать параметр QoS для каждого соединения. Wi-Fi, в свою очередь, использует механизм QoS подобный тому, что используется в Ethernet, при котором пакеты получают различный приоритет. Такой подход не гарантирует одинаковый QoS для каждого соединения.
Из-за дешевизны и простоты установки, Wi-Fi часто используется для предоставления клиентам быстрого доступа в интернет различными организациями. Например, в большинстве кафе, отелей, вокзалов и аэропортов можно обнаружить бесплатную точку доступа Wi-Fi.
Проекты WiMAX во всем мире можно посмотреть на карте (http://www.wimaxmaps.org/)
Сети беспроводного доступа WiMAX, основанные на стандарте IEEE 802.16, являются сегодня новой быстро развивающейся телекоммуникационной технологией. Вопросы безопасности в них, также как и в сетях WiFi (IEEE 802.11), стоят более острым образом чем в проводных сетях, в связи с легкостью получения физической возможности подключения к сети. Стандарт IEEE 802.16 определяет протокол PKM (privacy and key management protocol), протокол приватности и управления ключом. На самом же деле, имеется в виду конфиденциальность (confidentiality), а не приватность (privacy) [1] .
Security Associations
Security Association (SA, ассоциация безопасности) — это данные о безопасности, которые разделяют базовая станция и один или несколько ее абонентов, для обеспечения защищенной передачи данных по сети WiMAX. SA бывают двух типов:
- Data Security Association, ассоциация безопасности для данных.
- Authorization Security Association, ассоциация безопасности для авторизации.
Data Security Association
Data SA бывают трех типов:
- Primary SA, основная SA.
- Static SA, статическая SA.
- Dynamic SA, динамическая SA.
Primary SA устанавливаются абонентской станцией на время процесса инициализации. Базовая станция затем предоставляет static SA. Что касается dynamic SA, то они устанавливаются и ликвидируются по мере необходимости для сервисных потоков. Как Static SA, так и Dynamic SA могут быть одной для нескольких абонентских станций. Data SA состоит из
- 16-битный идентификатор SA.
- Метод шифрования, применяемый для защиты данных в соединении.
- Два Traffic Encryption Key (TEK, шифрования данных">ключ шифрования траффика), текущий и тот, который будет использоваться, когда у текущего TEK закончится срок жизни.
- Два двухбитных идентификатора, по одному на каждый TEK.
- Время жизни TEK.
Может иметь значение от 30 минут до 7 дней. Значение по умолчанию полдня.
- Два 64-битных вектора инициализации, по одному на TEK (требуется для алгоритма шифрования DES).
- Индикатор типа data SA (primary, static или dynamic).
Абонентские станции обычно имеют одну data SA для вторичного частотного канала управления (secondary management channel); и либо одну data SA для соединения в обе стороны (uplink и downlink), либо одну data SA для соединения от базовой станции до абонентской и одну – для обратного.
Authorization Security Association
Абонентская станция и базовая станция разделяют одну ассоциацию для безопасности авторизации. Базовая станция использует authorization SA для конфигурирования data SA. Authorization SA состоит из
- сертификат X.509, идентифицирующий абонентскую станцию, а также сертификат X.509, идентифицирующий производителя абонентской станции.
- 160-битовый ключ авторизации (authorization key, AK).
Используется для аутентификации во время обмена ключами TEK.
- 4-битовый идентификатор ключа авторизации.
- Время жизни ключа авторизации.
Может иметь значение от 1 дня до 70 дней. Значение по умолчанию 7 дней.
- 128-битовый ключ шифрования ключа (Key encryption key, KEK).
Используется для шифрования и распределения ключей TEK.
- Ключ HMAC для нисходящих сообщений (downlink) при обмене ключами TEK.
- Ключ HMAC для восходящих сообщений (uplink) при обмене ключами TEK.
- Список data SA, для которых данная абонентская станция авторизована.
KEK вычисляется следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза. Получаются 512 бит.
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе.
4. Первые 128 бит берутся в качестве KEK, остальные отбрасываются.
Ключи HMAC вычисляются следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x3A (uplink) или 0x5C (downlink) с самим собой 64 раза.
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе. Это и есть ключ HMAC.
Extensible Authentication Protocol
Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) — это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ).
Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.
Privacy and Key Management Protocol
Privacy and Key Management Protocol (PKM Protocol) – это протокол для получения авторизации и ключей шифрования траффика TEK.
1. Абонентская станция начинает обмен, посылая сообщение, содержащее X.509 сертификат изготовителя абонентской станции. Обычно этот сертификат никак не используется базовой станцией, хотя возможно настроить базовую станцию так, что авторизоваться будут только абонентские станции от доверяемых производителей.
2. Сразу после первого сообщения, абонентская станция отправляет сообщение, содержащее X.509 сертификат самой абонентской станции, ее криптографические возможности и идентификатор основной SA (Primary SA).
3. Базовая станция по сертификату абонента определяет, авторизован ли он. Если он авторизован, она посылает сообщение, содержащее зашифрованный ключ авторизации, последовательный номер данного ключа авторизации, его время жизни, а также список идентификаторов Static SA, в которых абонент авторизован. Ключ авторизации шифруется алгоритмом RSA с публичным ключом, получаемым из сертификата абонентской станции. Однажды авторизовавшись, абонентская станция будет периодически переавторизовываться.
Обмен ключами Traffic Encryption Keys (TEK)
1. (Опционально) Базовая станция посылает сообщение, принуждающее абонентскую станцию обновить ключ шифрования траффика TEK. Сообщение содержит
- последовательный номер ключа авторизации, который был использован при генерации HMAC
- идентификатор того SA, TEK которого необходимо обновить
- HMAC для того, чтобы абонентская станция могла проверить подлинность этого сообщения.
2. В ответ на первое сообщение (при успешной проверке HMAC), или же по собственной инициативе абонентская станция посылает запрос на обновление ключа TEK, содержащий
- последовательный номер ключа авторизации, который был использован при генерации HMAC
- идентификатор того SA, TEK которого необходимо обновить (совпадает с идентификатором из первого сообщения, если оно было)
- HMAC для того, чтобы базовая станция могла проверить подлинность этого сообщения.
3. Если предыдущее сообщение пройдет аутентификацию HMAC, базовая станция посылает сообщение, содержащее
- последовательный номер ключа авторизации, который был использован при генерации HMAC
- идентификатор SA, для которого проводится обновление ключа TEK
- прежний TEK, т.е. текущий TEK того SA, для которого запрошено обновление
- новый TEK, т.е.
TEK, который будет использоваться, когда истечет срок жизни текущего TEK
- HMAC для проверки подлинности данного сообщения.
Оба ключа TEK передаются в зашифрованном виде. В IEEE 802.16 для этого используется тройной DES в режиме электронной кодовой книги c ключом KEK:
Здесь KEK 1 – это первые 64 бит ключа KEK, а KEK 2 – последние 64 бит ключа KEK.
Шифрование данных
Стандарт IEEE 802.16 использует алгоритм DES в режиме сцепления блока шифров для шифрования данных. В настоящее время DES считается небезопасным, поэтому в дополнении к стандарту IEEE 802.16e для шифрования данных был добавлен алгоритм AES.
DES
Шифрование данных проходит следующим образом: Вектор инициализации из данного data SA и поле синхронизации проходят побитовую операцию исключающего ИЛИ и подаются как инициализирующий вектор алгоритму DES в режиме сцепления блока шифров (CBC, cipher block chaining).
Также на вход схемы подается ключ TEK для шифрования и открытый текст сообщения. Алгоритм выдает зашифрованный текс. Заголовок Generic MAC header (GMH) не меняется за исключением битового поля EC, а концевик CRC, если он имеется, меняется под зашифрованный текст.
AES
Стандарт 802.16e определяет использование шифрования AES в четырех режимах:
- Cipher Block Chaining (CBC, режим сцепления блока шифров)
- Counter Encryption (CTR, шифрование счетчика)
— Counter Encryption with Cipher Block Chaining message authentication code (CCM, счетчиковое шифрование с message authentication code, полученным сцеплением блока шифров).
Добавляет возможность проверки подлинности зашифрованного сообщения к режиму CTR.
- Electronic Code Book (ECB, режим электронной кодовой книги).
Используется для шифрования ключей TEK.
AES в режиме CCM
Nonce
В режиме CCM, для шифрования полезной информации передающая станция генерирует на каждый пакет nonce – байтовую последовательность, первые 5 байт которой представляют собой начало Generic MAC Header. Далее идут 4 зарезервированных байта, имеющих нулевые значения. Затем следует 4-байтовый номер пакета Packet Number (PN) в данном data SA. Значение Packet Number ставится в 1 при установлении нового data SA или нового TEK.
Блок CBC
Блок CBC состоит из однобайтового флага, имеющего значение 00011001, последовательности nonce и поля, содержащего длину информационной части сообщения.
Блок Counter
Блок Counter состоит из однобайтового флага, имеющего значение 00000001, последовательности nonce и поля, содержащего номер i Counter-блока. Число i может меняться от нуля до n, где n – количество Counter-блоков, необходимых для покрытия всего сообщения и кода message authentication code.
Создание и шифрование message authentication code в AES — CCM
При создании message authentication code используется модифицированный режим CBC, в котором вместо инициализирующего вектора IV, к началу информационной части сообщения присоединяется начальный (нулевой) блок CBC. Далее эта пара зашифровывается алгоритмом AES в режиме CBC с ключом TEK. Последние 128 бит зашифрованного текста берутся в качестве message authentication code (кода аутентичности).
Далее message authentication code шифруется побитовым сложением по модулю два исходного message authentication code и зашифрованного с помощью алгоритма AES в режиме CTR начального (нулевого) Counter-блока.
Шифрование информационной части сообщения
Каждый из n оставшихся Counter-блоков (нулевой уже был задействован в шифровании message authentication code) зашифровывают методом AES в режиме CTR с ключом TEK. Затем результат складывают побитовым сложением по модулю два с информационной частью сообщения. Полученный зашифрованный текст вместе с зашифрованным message authentication code, номером пакета данных, заголовком Generic MAC Header и CRC-концевиком отправляется на физический уровень. При этом в заголовке GMH поле EC (Encryption Control) устанавливают в единицу, поскольку данные были зашифрованы, а в двухбитовом поле EKS (Encryption Key Sequence) стоит индекс использованного при этом ключа TEK (traffic encryption key).
Уязвимости в стандарте IEEE 802.16
- Атаки физического уровня, такие как глушение передачи сигнала, ведущее к отказу доступа или лавинный наплыв кадров (flooding), имеющий целью истощить батарею станции. Эффективных способов противостоять таким угрозам на сегодня нет.
— Самозваные базовые станции, что связано с отсутствием сертификата базовой станции. В стандарте проявляется явная несимметричность в вопросах аутентификации. Предложенное решение этой проблемы — инфраструктура управления ключом в беспроводной среде (WKMI, wireless key management infrastructure), основанная на стандарте IEEE 802.11i. В этой инфраструктуре есть взаимная аутентификация с помощью сертификатов X.509. [2]
- Уязвимость, связанная с неслучайностью генерации базовой станцией ключей авторизации. Взаимное участие базовой и абонентской станции, возможно, решило бы эту проблему. [3]
— Возможность повторно использовать ключи TEK, чей срок жизни уже истек. Это связано с очень малым размером поля EKS индекса ключа TEK. Так как наибольшее время жизни ключа авторизации 70 суток, т.е. 100800 минут, а наименьшее время жизни ключа TEK 30 минут, то необходимое число возможных идентификаторов ключа TEK — 3360. А это означает, что число необходимых бит для поля EKS — 12.
— Еще одна проблема связана, как уже упоминалось с небезопасностью использования шифрования DES. При достаточно большом времени жизни ключа TEK и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Эта проблема была устранена с введением шифрования AES в поправке к стандарту IEEE 802.16e. Однако, большое число пользователей до сих имеет оборудование, поддерживающее лишь старый стандарт IEEE 802.16.
1. Glore, N. & Mishra, A., Chapter 11 “Privacy and Security in WiMax Networks” in «WiMAX Standards and Security» (Edited by M. Ilyas & S. Ahson), CRC Press, June 2007
2. Стандарт IEEE 802.16-2001
3. Поправка к стандарту IEEE 802.16e-2005
4. http://www.wimaxforum.ru/
5. http://www.wimaxmaps.org/
6. http://ru.wikipedia.org/wiki/WiMAX#.D0.A1.D0.BC._.D1.82.D0.B0.D0.BA.D0.B6.D0.B5
7. http://www.osp.ru/nets/2006/17/3607303/