Seção: Banda Larga

 
Wi-Fi Offload: Evolução da Autenticação em Redes Wi-Fi

 

Houve uma evolução no que diz respeito a autenticação nas redes Wi-Fi. A figura 12 ilustra uma relação dos níveis de segurança e complexidade.

 

Figura 12: Evolução dos métodos de autenticação 8

 

TAL – Login Transparente Automático

 

O login onde é utilizado as credenciais fornecidas pela operadora (login e senha) é chamado TAL (Transparent Auto Login). No primeiro acesso é associado o endereço MAC (Media Acess Control) do dispositivo do usuário, aos seus dados de acesso, e armazenado em um banco de dados para os acessos futuros [21].

 

No primeiro acesso do dispositivo, seu endereço MAC é associado aos dados de acesso em um banco de dados. Nos acessos seguintes é realizada a conferência do endereço MAC do terminal. Com o IP já armazenado, são configuradas, a autenticação, autorização e conta do perfil do usuário, denominada Authentication, Authorization, Accounting – AAA. Por fim, o endereço MAC é armazenado por tempo determinado. Não há de fato uma integração com a rede de telefonia móvel, pois a autenticação do dispositivo é realizada pelo endereço MAC, e não pelas informações do usuário armazenadas pela operadora, o que não configura como uma forma segura de autenticação [22].

 

A figura 13 apresenta o fluxo de acknowledge de uma autenticação tipo TAL.

 

Figura 13: Fluxo de acknowledge para autenticação tipo TAL 8

 

WISPr – Wireless Internet Service Provider Roaming

 

O WISPr ou Wireless Internet Service Provider é um protocolo criado para recomendações técnicas, operacionais e estruturais de AAA, necessário para possibilitar que o usuário em roaming acesse as diversas redes ISPs (Internet Service Provider). A figura 14 ilustra o funcionamento do protocolo ISPs [23]:

 

WISPr

Figura 14: Topologia do método de acesso WISPr 8

 

Neste caso, a autenticação do usuário ocorre através do UAM (Universal Access Method), baseado no método WAG (Wireless Access Gateway), no qual o servidor RADIUS redireciona os assinantes a um portal captivo. Este portal solicita as credenciais dos assinantes, uma vez que solicitada, ele habilita a autenticação, autorização e contabilidade (AAA) provendo o acesso aos mesmos [22] [23].

 

O sistema WISPr permite nível de segurança maior devido a criptografia e intercomunicação de interface aérea, uma vez que suporta a autenticação EAP (Extensible Authentication Protocol) e EAP-SIM.A comunicação da operadora é feita através de gateway, entre o HLR (Home Location Register) e o servidor RADIUS AAA.

 

Uma limitação que o sistema apresenta é causada pela falta de conhecimento do usuário sobre a necessidade de realizar a configuração da interface WLAN nos dispositivos móveis [23].

 

EAP - Extensible Authentication Protocol

 

Com a necessidade da implementação de um método, mais seguro, foi desenvolvido pelo IETF (Internet Enginnering Task Force) o protocolo EAP.

 

O EAP trabalha em conjunto com os cartões SIM (Subscriber Identity Module) e USIM (Universal Subscriber Identity Module), que possuem um novo algoritmo integrado que fornece maior segurança ao usuário.

 

O método EAP-SIM é o método de autenticação utilizado em sistemas de telefonia móvel 2G e 2,5G que utilizam os cartões SIM. Já os métodos EAP-AKA e EAP-AKA’ (Improved Extensible Authentication Protocol -Authentication and Key Agreement), utilizam o USIM, que é aplicado às redes 3G e LTE. [17]

 

A Autenticação baseada em protocolo EAP, EAP-SIM ou EAP-AKA, definem um encapsulamento de mensagem com criptografia para aumentar a segurança da comunicação entre o servidor AAA com HLR da operadora [8] [17].

 

A figura 15 abaixo apresenta o fluxo de acknowledge de uma autenticação EAP.

 

Figura 15: Fluxo de acknowledge para autenticação tipo EAP 8

 

IEEE 802.11u

 

O IEEE 802.11u é um protocolo que permite a seleção automática do SSID correto, sem intervenção do usuário e também apresenta informações relativas à rede e seu operador, como por exemplo, se a rede é privada, pública e etc; desta forma permite que o dispositivo móvel possua redes preferenciais, de acordo com suas credencias de acesso [24].

 

Os protocolos de pré-associação auxiliam na definição de rede a qual o usuário pretende se associar através das mensagens probe request e beacon, sendo:

  • GAS - Generic Advertisment Service (Serviço de Anúncio Genérico).
  • ANQP – Access Network Query Protocol (Protocolo de Interrogação de Acesso)

 

A integração entre o protocolo 802.11u e as redes celulares 3G e LTE é realizada com o auxílio de protocolos na escolha da SSID (Service Set IDentifier) disponível ao dispositivo móvel. O dispositivo utiliza as informações como: tipos de rede, que podem ser: pública, privada ou outras quaisquer. Bit internet, que indica se o AP (Acess Point) e o acesso a internet está disponível. Capacidade peer-to-peer, que é uma arquitetura de redes de computadores, onde cada um dos pontos ou nós da rede funcionam, tanto como cliente, quanto como servidor, permitindo compartilhamentos de serviços e dados sem a necessidade de um servidor central. E roaming que fornece uma lista com prestadores de serviços acessíveis e demais informações que são utilizadas a fim de auxílio na definição da rede a ser utilizada [24] [25] [41].

 

O protocolo 802.11u também é o principal componente para o funcionamento do Hotspot 2.0, apesar de ainda não ser muito conhecido. A ideia é que com a implementação deste protocolo, o acesso a um hotspot será um processo transparente para o usuário, como nas redes móveis, onde o usuário liga o terminal e se conecta quase que instantaneamente [8].

 

O 802.11u foi aprovado pelo “Wi-Fi Alliance”em 2011, e conta com melhorias na camada MAC. Com isto, uma rede pode anunciar seus recursos e requerimentos, permitindo que o dispositivo móvel escolha automaticamente a rede de acordo com as credenciais que ele possui. [12]

 

Mobile IP

 

Dual Stack Mobile IP (DSMIP)

 

É um protocolo de mobilidade especificado pelo IETF (Internet Engineering Task Force) que permite handover, sem descontinuidade entre as redes celulares 3G e WiFi, fornecendo IP para sessões IPv4 e IPv6 [21].

 

Access Network Discovery and Selection Function (ANDSF)

 

O propósito do ANDSF é auxiliar o dispositivo em descobrir redes vizinhas ao usuário nas diretivas políticas inter sistemas para priorização de acesso, através de premissas pré-definidas (QoS, latência, jitter) e gerenciamento das conexões de todas as redes [26].

 

IP Flow Mobility (IFOM)

 

O IP FlowMobilityatribui ao dispositivo móvel uma conexão com duas redes de acesso (Wi-Fi e 3G/4G) simultaneamente, otimizando o roteamento de diferentes tipos de tráfego na troca de pacotes pertencentes a diferentes fluxos através de diferentes redes de acesso [21] [27].