2.11 Байланысты қорғау

Қорғалған байланыс (Security Association, SA) – желінің құрылғылары арасында мәліметтерді қорғалған таратуды қамтамасыз ету үшін біржақты қосылу. SA екі типті болады:

Data Security Association, мәліметтердің қорғалған байланысы;

Authorization Security Association, авторизация үшін қорғалған байланыс.

2.11.1 Мәліметтер үшін қорғалған байланыс

Мәліметтер үшін байланыс үш типті болады:

Бастапқы (негізгі) (Primary SA);

Статистикалық (Static SA);

Динамикалық (Dynamic SA).

Алғашқы қорғалған байланыс абоненттік станциямен инициализация процесінің уақытына орнатылады. Одан кейін базалық станция статистикалық қорғалған байланысты береді. Динамикалық қорғалған байланыс сервистік ағындар үшін қажет болған шамасында орнатылады және жойылады. Статистикалық және динамикалық қорғалған байланыстар бірнеше абонеттік станциялар үшін біреу бола алады.

Мәліметтер үшін қорғалған байланыс анықталады:

16-биттік байланыс идентификаторымен;

Қосылуда мәліметтерді қорғау үшін қолданылатын шифрлеу әдісімен;

Екі Traffic Encryption Key (TEK, ключ шифрования трафика), ағымдағы және сол, ол ағымдағы TEK-те өмір сүру мерзімі біткен кезде қолданылады;

Екі екібитті идентификаторымен, әрбір TEK-ке бір бірден;

TEK-ң өмір сүру уақытмен. 30 минуттан 7 күнге дейін мән болуы мүмкін. Үндемеу бойынша мәні 12 сағат;

Екі 64-битті инициализация векторларымен, әрбір TEK-ке бір бірден (DES шифрлеу алгоритмі үшін қажет);

Байланыс типінің индикаторымен (алғашқы, статистикалық немесе динамикалық).

Абоненттік станцияларда әдетте екіншілік жиіліктік арнамен басқару үшін арналған мәліметтер үшін бір қорғалған байланысы бар (secondary management channel); немесе екі жаққа қосылу үшін арналған мәліметтер үшін қорғалған байланысы (uplink и downlink), немесе базалық станциядан абоненттік станцияға дейін қосылу үшін және біреуін - кері қосылу үшін арналған мәліметтер үшін бір қорғалған байланысы бар.

Авторизация үшін қорғалған байланыс

Абоненттік станция және базалық станция авторизация үшін бір қорғалған байланысты бөледі. Базалық станция мәліметтер үшін қорғалған байланыстың конфигурациясы үшін арналған авторизация үшін қорғалған байланысты қолданады.

Авторизация үшін қорғалған байланыс анықталады:

Абоненттік станцияны идентификациялайтын X.509 сертификатымен, сондай-ақ абонеттік станцияның өндірушісін идентификациялайтын X.509 серитфикатымен.

160-битті авторизация кілтімен (authorization key, AK). TEK кілттерімен алмасу кезінде аутентификация үшін қолданылады.

Авторизация кілтінің 4-битті идентификаторымен.

Авторизация кілтінің өмір сүру уақытымен. 1 күннен 70 күнге дейін мән қабылдау мүмкін. Үндемеу бойынша мән 7 күн.

Кілт шифрленудің 128-биттік кілтімен (Key encryption key, KEK). TEK кілттерінің шифрленуі және үлестіруі үшін қолданылады.

TEK кілттерімен алмасу кезіндегі бәсеңдейтін хабарламалар (downlink) үшін HMAC кілтімен.

TEK кілттерімен алмасу кезіндегі ұлғаймалы хабарламалар (uplink) үшін HMAC кілтімен.

Берілген абоненттік станция авторландырылған data SA тізімімен.

Сурет 2.21 – Аутентификация процедуралары

KEK келесі түрде есептеледі:

Он алты ретті 0x53 санының өз өзімен 64 рет конкатенация жүргізіледі. 512 бит шығады.

Оң жақтан авторизация кілті жазылады.

Бұл саннан SHA-1 хэш-функция есептеледі. Шығысында 160 бит шығады.

Алғашқы 128 бит KEK ретінде алынады, қалғаны бөлініп шығарылады.

HMAC кілттері келесі түрде есептеледі:

0x3A (uplink) немесе 0x5C (downlink) он алты реттік санның өз өзімен 64 рет конкатенация жүргізіледі.

Оң жақтан авторизация кілті жазылады.

Бұл саннан SHA-1 хэш-функция есептеледі. Шығысында 160 бит шығады. Бұл HMAC кілттің дәл өзі.

Таралатын мәліметтердің шифрленуі үшін арнайы кілт қажет, ол TEK атауына ие. Бұл кілт базалық станциямен кездейсоқ таңдалады, алайда оның абоненттік станцияға берілу кезінде AK кілті қолданылады, сондай-ақ екі қосымша шығарылатын кілті: кілтті шифрлеу кілті - КЕК және хабарламалардың аутентификациясының кілті - HMAC key. TEK кілті келесі әдістердің бірімен шифрленеді:

KEK кілтіндегі 3DES алгоритмі көмегімен, осында KEK кілтінің ұзындығы 112 битке тең;

Шифрлену жүйесінің көмегімен, ашық кілт Х.509 цифрлік сертификатынан алынады;

KEK кілтіндегі AES алгоритмінің көмегімен, оның ұзындығы бұл жағдайда 128 битке тең.

Хабарламамен алмасу кезінде HMAC-SHA1 хэш-функциясы, ол бүтіндікті бақылаудан гөрі орын ауыстырудан қорғанысты қамтамасыз етеді (себебі АС пен БС-ке ғана белгілі АК кілтін қолданады) (6.1 суретті қара). Хабарламаларды шифрлеу үшін стандарт СВС режимінде DES алгоритмін қолдануды немесе ССМ режимінде AES алгоритмін қолдануды қамтамасыз етеді.

Сурет 2.22 – Мәліметтерді шифрлеу кілтін беру

Сурет 2.23 – СВС режимінде DES алгоритмі көмегімен мәліметтерді шифрлеу процесі

Сурет 2.24 – AES алгоритмін қолдану кезінде шифрленген хабарламаның құрылымы PN- пакеттің нөмірі

3 WiMAX Alvarion BreezeMAX 3000 құрылғы

Шынайы жобамен Alvarion BreezeMAX 3000 компаниясының құрылғыларының базасында WiMax (радио Ethernet) арқылы Екібастұз қаласының шегінде орналасқан жоғары табысты компанияларға мәліметтерді тарату желісін ұйымдастыру ұсынылады.

Alvarion BreezeMAX 3000 - IEEE 802.16 стандарттың отбасына сәйкес келетін кеңжолақты радио қолжетімділік жүйесі. Құрылғы WiMAX консорциумның негізгі мүшелерінің бірі болатын, Alvarion компаниясымен шығарылады. Alvarion BreezeMAX жүйесі қызметтің жоғары сапасымен сымсыз қолжетімділіктің операторлық желілерін құру үшін арналған, олар: Интернетке қолжетімділік, виртуалды жеке желілер (VPN), телефония, интерактивті ТД, видеоконференциялық байланыс. Alvarion BreezeMAX жүйесінің BWA жүйелерінің ерте серияларының алдында басты айырмашылық - IEEE 802.16 спецификациясымен регламенттелген, сквозного ("end to end") қызмет көрсету сапасының (QoS) механизмі. Бұл QoS-ң барлық құралдары физикалық деңгейден бастап оның математикалық қамтамасыз етуінде заложены. IEEE 802.16 спецификациясымен анықталған сервистік ағындардың негізіндегі трафикті жоспарлау механизмі әр түрлі приоритетті мәліметтер ағынын оның екі жақты әсер етуін толығымен исключая, изолировать мүмкіндік береді.