ASA là SA chứng thực đƣợc chia sẻ giữa một BS và một SS. Chúng đƣợc dùng bằng cách BS định cấu hình dữ liệu SA cho các SS.
Quá trình nhận thực nhƣ sau: SS sử dụng chứng chỉ X.509 (trong đó có chứa khóa công khai của MS) để trao đổi các khả năng bảo mật với BS. Sau đó BS tạo ra AK và gửi nó tới MS, AK này đƣợc mã hóa bằng khóa công khai của MS sử dụng lƣợc đồ mã hóa công khai RSA. Quá trình nhận thực hoàn thành khi cả SS và BS đều sở hữu AK. Quá trình nhận thực đƣợc minh hoạ nhƣ hình dƣới:
Hình 2.4. Nhận thực trong IEEE 802.16
Bảng 2.2. Nội dung của ASA
Dùng chứng nhận X.509 để xác định các SS. 160 bit khóa AK.
Chương 2:Các kỹ thuật bảo mật trong WiMAX
Đồ án tốt nghiệp Trang 26
Thời gian sống của khóa AK thấp nhất 1 ngày và nhiều nhất là 70 ngày, trong đó mặc định là thời gian sống là 7 ngày.
Khóa KEK để phân phối các khóa TEK. Khóa downlink HMAC.
Các khóa uplink HMAC. Danh sách mà DSA cho phép.
Bảng trên chứa nội dung của một ASA. Sử dụng chứng nhận X.509 cho phép BS nhận biết đƣợc các SS.
160 bit khóa AK đƣợc dùng để cấp phép cho BS và SS nhận ra nhau thông qua quá trình trao đổi khóa TEK. 4bit nhận dạng khóa AK đƣợc sử dụng để phân biệt giữa các khóa AK khác nhau. Thời gian sống của một khóa AK là khoảng thời gian tồn tại của một khóa AK. Nó đƣợc mặc định là 7 ngày nhƣng thời gian sống của AK có thể nằm trong khoảng từ một đến 70 ngày.
Khóa KEK đƣợc sử dụng để mã hóa các khóa TEK trong suốt quá trình trao đổi khóa TEK. Hai khóa KEK đƣợc sử dụng cho mã hóa và khóa này đƣợc lấy từ khóa AK. Hai khóa KEK này đƣợc tính toán bằng cách nhƣ sau: đầu tiên gắn một chuỗi số hexa 53...53H, với giá trị 53H đƣợc lặp lại 64 lần. Sau đó sử dụng thuật toán SHA-1 băm giá trị này để xử lý, cho đầu ra có độ dài 160 bit. Cuối cùng, 128 bit đầu tiên của đầu ra đƣợc chia vào trong 2 khóa TEK 64 bit. Hai khóa TEK này thì đƣợc dùng trong ASA.
Hai khóa HMAC, một cho đƣờng uplink và một cho đƣờng downlink, đƣợc đƣa ra để tạo thành các bản tin HMAC trong suốt quá trình trao đổi khóa TEK. Khóa trên đƣờng uplink đƣợc dùng để tạo một bản tin HMAC để phát đi, trong khi khóa trên đƣờng downlink đƣợc dùng để tạo bản tin HMAC cho phía nhận nhằm xác thực bản tin. Khóa uplink thu đƣợc bằng cách ghép một chuỗi hexa có giá trị 3A...3AH, với giá trị 3AH lặp lại 64 lần, với khóa AK, sau đó sử dụng thuật toán SHA-1 để băm giá trị này và tạo ra đƣợc khóa HMAC có độ dài 160 bit. Khóa cho đƣờng downlink đƣợc xử lý tƣơng tự nhƣ trên, nhƣng chuỗi hexa nối với AK có giá trị 5C...5CH.
Chương 2:Các kỹ thuật bảo mật trong WiMAX
Đồ án tốt nghiệp Trang 27
Một danh sách chứng nhận DSA đƣợc đƣa vào ASA, đƣợc cung cấp cho SS các thông tin của DSA để có thể tạo bản tin yêu cầu phù hợp.