В Wi-Fi сетях все пользовательские станции, которые хотят передать информацию через точку доступа (АР), соревнуются за «внимание» последней. Такой подход может вызвать ситуацию при которой связь для более удалённых станций будет постоянно обрываться в пользу более близких станций. Подобное положение вещей делает затруднительным использование таких сервисов как Voice over IP (VoIP), которые очень сильно зависят от непрерывного соединения.
Что же касается сетей 802.16, в них MAC использует алгоритм планирования. Любой пользовательской станции стоит лишь подключиться к точке доступа, для нее будет создан выделенный слот на точке доступа, и другие пользователи уже не смогут повлиять на это соединение.
WiMAX Forum разработал архитектуру, которая определяет множество аспектов работы WiMAX сетей: взаимодействия с другими сетями, распределение сетевых адресов, аутентификация и многое другое. Приведённая иллюстрация даёт нам некоторое представление об архитектуре сетей WiMAX.
· SS/MS: (the Subscriber Station/Mobile Station)
· ASN: (the Access Service Network) [3]
· BS: (Base station), базовая станция, часть ASN
· ASN-GW: (the ASN Gateway), шлюз, часть ASN
· CSN: (the Connectivity Service Network)
· HA: (Home Agent, часть CSN)
· NAP:(a Network Access Provider)
· NSP: (a Network Service Provider)
Следует заметить, что архитектура сетей WiMax не привязана к какой-либо определённой конфигурации, обладает высокой гибкостью и масштабируемостью.
Сопоставления WiMAX и Wi-Fi далеко не редкость, возможно, потому, что звучание терминов созвучно, название стандартов, на которых основаны эти технологии, похожи (стандарты IEEE, оба начинаются с «802.»), а также обе технологии используют беспроводное соединение и используются для подключения к интернету (каналу обмена данными). Но несмотря на это, эти технологии направлены на решение совершенно различных задач.
Сравнительная таблица стандартов беспроводной связи | |||||
Технология | Стандарт | Использование | Пропускная способность | Радиус действия | Частоты |
UWB | 802.15.3a | WPAN | 110-480 Мбит/с | до 10 метров | 7,5 ГГц |
Wi-Fi | 802.11a | WLAN | до 54 Мбит/с | до 100 метров | 5 ГГц |
Wi-Fi | 802.11b | WLAN | до 11 Мбит/с | до 100 метров | 2,4 ГГц |
Wi-Fi | 802.11g | WLAN | до 54 Мбит/с | до 100 метров | 2,4 ГГц |
WiMax | 802.16d | WMAN | до 75 Мбит/с | 6-10 км | 1,5-11 ГГц |
WiMax | 802.16e | Mobile WMAN | до 30 Мбит/с | 1-5 км | 2-6 ГГц |
· WiMAX это система дальнего действия, покрывающая километры пространства, которая обычно использует лицензированные спектры частот (хотя возможно и использование нелицензированных частот) для предоставления соединения с интернетом типа точка-точка провайдером конечному пользователю. Разные стандарты семейства 802.16 обеспечивают разные виды доступа, от мобильного (схож с передачей данных с мобильных телефонов) до фиксированного (альтернатива проводному доступу, при котором беспроводное оборудование пользователя привязано к местоположению)
· Wi-Fi это система более короткого действия, обычно покрывающая сотни метров, которая использует нелицензированные диапазоны частот для обеспечения доступа к сети. Обычно Wi-Fi используется пользователями для доступа к их собственной локальной сети, которая может быть и не подключена к Интернет. Если WiMAX можно сравнить с мобильной связью, то Wi-Fi скорее похож на стационарный беспроводной телефон.
· WiMAX и Wi-Fi имеют совершенно разный механизм Quality of Service (QoS). WiMAX использует механизм, основанный на установлении соединения между базовой станцией и устройством пользователя. Каждое соединение основано на специальном алгоритме планирования, который может гарантировать параметр QoS для каждого соединения. Wi-Fi, в свою очередь, использует механизм QoS подобный тому, что используется в Ethernet, при котором пакеты получают различный приоритет. Такой подход не гарантирует одинаковый QoS для каждого соединения.
Из-за дешевизны и простоты установки, Wi-Fi часто используется для предоставления клиентам быстрого доступа в интернет различными организациями. Например, в большинстве кафе, отелей, вокзалов и аэропортов можно обнаружить бесплатную точку доступа Wi-Fi.
Проекты WiMAX во всем мире можно посмотреть на карте (http://www.wimaxmaps.org/)
Сети беспроводного доступа WiMAX, основанные на стандарте IEEE 802.16, являются сегодня новой быстро развивающейся телекоммуникационной технологией. Вопросы безопасности в них, также как и в сетях WiFi (IEEE 802.11), стоят более острым образом чем в проводных сетях, в связи с легкостью получения физической возможности подключения к сети. Стандарт IEEE 802.16 определяет протокол PKM (privacy and key management protocol), протокол приватности и управления ключом. На самом же деле, имеется в виду конфиденциальность (confidentiality), а не приватность (privacy) [1].
Security Association (SA, ассоциация безопасности) - это данные о безопасности, которые разделяют базовая станция и один или несколько ее абонентов, для обеспечения защищенной передачи данных по сети WiMAX. SA бывают двух типов:
· Data Security Association, ассоциация безопасности для данных.
· Authorization Security Association, ассоциация безопасности для авторизации.
Data SA бывают трех типов:
· Primary SA, основная SA.
· Static SA, статическая SA.
· Dynamic SA, динамическая SA.
Primary SA устанавливаются абонентской станцией на время процесса инициализации. Базовая станция затем предоставляет static SA. Что касается dynamic SA, то они устанавливаются и ликвидируются по мере необходимости для сервисных потоков. Как Static SA, так и Dynamic SA могут быть одной для нескольких абонентских станций. Data SA состоит из
· 16-битный идентификатор SA.
· Метод шифрования, применяемый для защиты данных в соединении.
· Два Traffic Encryption Key (TEK, ключ шифрования траффика), текущий и тот, который будет использоваться, когда у текущего TEK закончится срок жизни.
· Два двухбитных идентификатора, по одному на каждый TEK.
· Время жизни TEK. Может иметь значение от 30 минут до 7 дней. Значение по умолчанию полдня.
· Два 64-битных вектора инициализации, по одному на TEK (требуется для алгоритма шифрования DES).
· Индикатор типа data SA (primary, static или dynamic).
Абонентские станции обычно имеют одну data SA для вторичного частотного канала управления (secondary management channel); и либо одну data SA для соединения в обе стороны (uplink и downlink), либо одну data SA для соединения от базовой станции до абонентской и одну – для обратного.
Абонентская станция и базовая станция разделяют одну ассоциацию для безопасности авторизации. Базовая станция использует authorization SA для конфигурирования data SA. Authorization SA состоит из
· сертификат X.509, идентифицирующий абонентскую станцию, а также сертификат X.509, идентифицирующий производителя абонентской станции.
· 160-битовый ключ авторизации (authorization key, AK). Используется для аутентификации во время обмена ключами TEK.
· 4-битовый идентификатор ключа авторизации.
· Время жизни ключа авторизации. Может иметь значение от 1 дня до 70 дней. Значение по умолчанию 7 дней.
· 128-битовый ключ шифрования ключа (Key encryption key, KEK). Используется для шифрования и распределения ключей TEK.
· Ключ HMAC для нисходящих сообщений (downlink) при обмене ключами TEK.
· Ключ HMAC для восходящих сообщений (uplink) при обмене ключами TEK.
· Список data SA, для которых данная абонентская станция авторизована.
KEK вычисляется следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза. Получаются 512 бит.
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе.
4. Первые 128 бит берутся в качестве KEK, остальные отбрасываются.
Ключи HMAC вычисляются следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x3A (uplink) или 0x5C (downlink) с самим собой 64 раза.
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе. Это и есть ключ HMAC.
Extensible Authentication Protocol
Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) - это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ). Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.