Giao thức quản lý khóa và bảo mật PKM

Một phần của tài liệu Kỹ thuật OFDM và ứng dụng trong Wimax luận án thạc sĩ (Trang 68 - 72)

Chứng Thực SS

Đầu tiên tạm gốc BS phải chứng thực SS mà muốn tham gia vào mạng. Qúa trình chứng thực này bao gồm ba bƣớc liên quan đến việc trao đổi ba bản tin giữa BS và SS.

Bƣớc 1: SS gửi một bản tin thông tin chứng thực AI( Authentication Information) tới BS chứa một chứng chỉ X509 để xác nhận nhà sản xuất SS. BS sử dụng bản tin này để quyết định xem SS đó là một thiết bị đáng tin cậy hay không. Những nhà thiết kế WIMAX định nghĩa tất các thiết bị từ nhà sant xuất đáng tin cậy thi thiết bị đó có thể đƣợc tin cậy.

Bƣớc 2: SS ngay lập tức gửi một bản tin yêu cầu chứng thực (Authentication request ) sau khi đã gửi đi bản tin AI. Bản tin này chứa chứng chỉ X509 của SS và khóa công cộng cảu SS, các khả năng bảo mật của SS và SAID của SS. Chứng chỉ X509 đƣợc BS dùng để nhận biết SS đã đƣợc chứng thực hay chƣa và khóa công cộng của SS,các khả năng bảo mật của SS và SAID của SS. Chứng chỉ X509 đƣợc dùng BS để nhận biết SS đã đƣợc chứng thực hay chƣa và khóa công cộng của SS đƣợc BS sử dụng để mã khóa AK và xây dựng bản tin đáp lại.

Bƣớc 3: Nếu nhƣ BS Nhận SS đã đƣợc chứng thực thi BS trả lời bằng bản tin đáp lại chứng thực ( Authentication Replay). Bản tin sẽ khởi tạo một SA giữa BS và SS. Nếu nhƣ AK đƣợc dùng đúng thì SS nhận lấy AK để tham gia vào mạng. AK là khóa bí mật mà chỉ có BS và SS đƣợc biết.

Dạng các bản tin:

Bản tin thông tin chứng thực:

SS BS Cert ( Manufacturer(SS))

Bản tin yêu cầu chứng thực:

SS BS Cert (SS) / Các khả năng bảo mật/ SAID

Bản tin đáp lại yêu cầu chứng thực:

BS SS RSA – Encrypt ( Pubkey(SS), AK / Thời gian sống/ SeqNo/

SAIDList Trong đó:

Bảng 3.3. Bảng thuật ngữ dùng trong trao đổi bản tin chứng thực

Thuật ngữ Ý nghĩa Cert ( Manufacture) r(SS) Cert ( SS) Các khả năng SAID

RSA –Encrypt (k,a) AK Thời gian sống sepNo Pubkey(ss) SAIDList Một chứng chỉ X509 dùng để nhận dạng nhà sản xuất ss Một chứng chỉ X509 với khóa công cộng và MAC của SS SS đƣợc hỗ trợ các thuật toán mã hõa dữ liệu và xác thực Liên kết bảo mật giữa BS và SS( CID)

Mã hóa a bằng thuật toán RSA khóa K Khóa chứng thực

Thời gian sống của AK

Chỉ số 4 bít của AK đƣợc dùng để phân biệt giữa các lần tạo khóa AK liên tiếp.

Khoa công cộng của SS đƣợc đƣa ra trong Cert ( SS) Một danh sách các bản mô tả SA, mỗi SA bao gồm SAID Sau khi có đƣợc chứng thực, SS sau một chu kỳ thời gian cần phải chứng thực lại để có đƣợc khóa AK mới. SS sẽ sử dụng cỗ máy trạng thái nhƣ hình trên để

lấy khóa AK mới. Cỗ máy trạng thái chứng thực sẽ bắt đầu lại trạng thái “start’’ tại đây chƣa có nguồn thông tin và quá trình đƣợc lên lịch. Khi quá trình trao đổi tin đƣợc thiết lập thi SS gửi đi các tham số chứng thực tới BS và SS đi vào trạng thái đợi chứng thực ( Auth Wait). Sau khi nhận đƣợc bản tin đáp lại từ BS thì SS chuyển sang trạng thái đã đƣợc chứng thực ( Autherrized). Tại đây SS sẽ phải đợi tới khi thời gian sống của AK hết hạn lúc đó SS sẽ gửi đi yêu cầu chứng thực lại tới BS để có đƣợc khóa AK mới. Nếu nhƣ yêu cầu chứng thực lại này bị từ chối thì SS chuyển sang trạng thái “Auth reject Wait’’. Còn nếu nhƣ SS nhận đƣợc bản tin từ chối chứng thực vĩnh viễn thì SS chuyển sang trạng thái “silent’’

Trao đổi khóa TEK

Sau khi nhận đƣợc khóa AK từ BS,SS khởi động cố máy trạng thái TEK để lấy khóa TEK cỗ máy trạng thái TEK chịu trách nhiệm quản lý khóa liên quan tới mỗi SAID và SS. Điều này đƣợc thực hiện bởi hai hoặc ba bản tin đƣợc gửi BS và SS.

Bƣớc 1: Bƣớc này là tùy chọn và sẽ đƣợc gửi chỉ khi BS muốn có lại khóa của DSA hoặc là tạo ra một SA mới. Bằng việc tính toán HMAC (1) BS cho phép SS phát hiện ra sự giả mạo trong các ban tin truyền đi.

Bƣớc 2: SS gửi một bản tin yêu cầu khóa ( key Request) tới BS để yêu cầu các tham số SA. SS sử dụng SAID từ danh sách SAID của quá trình chứng thực SS hoặc từ bản tin của bƣớc trƣớc mà có HMAC (1) hợp lệ. BS cũng tính toán HMAC(2) để nhận ra sử giả mạo. BS có thể xác nhận SS bằng HMAC(2) là do: chỉ có SS hợp lệ mới có đƣợc AK mà đƣợc gửi trong bản tin đáp lại chứng thực của quá trình chứng thực SS và cũng do AK là khóa bí mật giữa BS và SS.

Bƣớc 3: Nếu nhƣ BS nhận thấy HMAC(2) là hợp lệ và SIAD thức sự là của một trong các SA của SS thì BS sẽ gửi bản tin đáp lại khóa ( Key Reply). Bản tin đáp lại khóa chứa khóa TEK cũ, khóa TEK mới mà truyền các giá trị tham số đƣợc sử dụng sau khi TEK hiện dùng hết hạn. Các khóa TEK ( cả mới và cũ) đều đƣợc mã hõa bởi thuật toán 3DES trong ECB mode mà sử dụng khóa TEK. HMAC(3) đƣợc sử dụng lại, cũng giống nhƣ HMAC(1) để nhận dạng sự giả mạo.

Các bản tin có dạng:

Bản tin 1 ( tuy chọn):

BS SS SeqNo/SAID/HMAC(1)

Bản tin 2 ( yêu cầu khóa )

SS BS SeqNo/SAID/HMAC(2)

Bản tin 3 ( đáp lại khóa )

BS SS SeqNo/SAID/TEK cũ/TEK mới /HMAC(3)

Trong đó:

Bảng 3.4 Các thuật ngữ dùng trong trao đổi bản tin giao thức PKM

Thuật ngữ Ý nghĩa Sep No SAID HMAC(1) HMAC(2) TEK cũ TEK mới HMAC (3)

Khóa AK đƣợc dùng trong trao đổi ID của DSA

Bản tóm tắt HMAC – SHA1 của SepNo/SAID dƣời khóa HMAC Đƣờng xuống của AK

Bản tóm tắt HMAC – SHA1 của SepNo/SAID dƣời khóa HMAC Đƣờng lên AK

IV của lần khởi tạo TEK trƣớc, thời gian sống còn lại ( tính bằng giây) và SAID cho DSA ( chỉ số của TEK là một số 2 bit)

IV của lần khởi tạo TEK mới nhất , thời gian sống và SAID cho DSA ( chỉ số của TEK mới lơn hơn chỉ số TEK cũ)

Bản tóm tắt HMAC-SHA1 của SepNo/SAID/TEK cũ /TEK mới dƣới khóa HMAC đƣờng xuống của AK.

Cố máy trạng thái chứng thực khởi động cố máy trạng thái TEK khi AK đã trao đổi xong. khoa KEK có đƣợc từ quá trình trao đổi AK. Cỗ máy trạng thái TEK tƣơng tự nhƣ cỗ máy trạng thái chứng thực ngoại trạng thái “Op Reath wait’’ đƣợc thêm vào. SS chuyển vào trạng thái “Wait’’ khi SS gửi đi bản tin yêu cầu khóa nhƣng cũng tại thời điểm này cõ máy trạng thái chứng thực yêu cầu chứng thực lại. Khi yêu cầu chứng thực lại đƣợc hoàn thành thi cỗ máy trạng thái chứng thực đặt cỗ máy trạng thái TEK vào trạng thái “Op Reauth Wait’’.

Một phần của tài liệu Kỹ thuật OFDM và ứng dụng trong Wimax luận án thạc sĩ (Trang 68 - 72)

Tải bản đầy đủ (PDF)

(135 trang)