SA là tập hợp các thông tin an toàn mà một BS và một hoặc nhiều các SS của nó cùng chia sẻ để hỗ trợ việc truyền tin an toàn qua mạng Wimax. Có 3 loại SA là: SA chính, SA tĩnh , SA động. Trong quá trình khởi tạo SS thì mỗi SS đƣợc BS cung cấp một SA chính. Các SA tĩnh thi đƣợc cấu hình sẵn trên BS. Các SA động đƣợc tạo ra và dỡ bỏ đi tùy vào việc bắt đầu và kết thúc của các luồng dich vụ chuyên biệt. Cả SA tĩnh và động đều có thể đƣợc chia sẽ bởi nhiều SS.
SA bao gồm bộ phận dạng mã hóa ( hay còn gọi là bộ lựa chọn thuật toán), khóa TEK và véctơ khởi tạo IV. Mỗi SA đƣợc xác định bởi SAID.SAID của SA chính của SS sẽ tƣơng đƣơng với CID cơ bản của SS đó.
Bằng việc dùng giao thức PKM, SS yêu cầu BS cung cấp BS cung cấp thành phần khóa của SA. BS phải chắc chắn rằng SS chit có thể truy cập đến SA nếu Nhƣ đã đƣợc chứng thực.
Các khoa trong SA có một thời gian sống giới hạn. Khi BS chuyển các khóa trong SA tới SS, BS cũng cung cấp cho SS thời gian sống của khóa đó. SS có nhiệm vụ yêu cầu BS cung cấp cho khóa mới trƣớc khi khóa hiện tại mà SS đang nắm giữ hết hạn.
Ảnh xạ các kết nối tới SA
Những quy tắc dƣới đây đƣa ra phép ảnh xạ các kết nối đến SA
Tất cả các kết nối vận chuyển sẽ đƣợc ảnh xạ vào SA. SA xác nhận trạng thái bảo mật của mỗi kết nối. Wimax sử dụng hai SA nhƣng chỉ có SA dữ liệu ( Data SA- DSA) là đƣợc định nghĩa rõ. DSA bảo vệ sự trao đổi dữ liệu giữa các SS và BS. DSA có các thành phần sau:
+ SAID đƣợc dùng để chỉ định tới SA và có độ dài là 16 bit. Gía trị SAID của SA chính bằng với CID của kết nối cơ bản.
+ Thuật toán mã hóa để bảo vệ dữ liệu trong quá trình trao đổi qua các kết nối. Thuật toán mã hóa đối xứng DES đƣợc dùng để mã hóa dữ liệu nhƣng cũng có thể mở rộng để dùng các thuật toán khác.
+ Hai khóa mã lƣu lƣợng ( TEK) để mã hóa dữ liệu, một sử dụng một để dự phòng khi khóa đang dùng hết hạn.
+ Chỉ số khóa độ dài 2 bít, gồm chỉ số khóa cho 2 TEK.
+ Thời gian sống của TEK. Gía trị mặc định là nửa ngày, gia trị nhỏ nhất là 30 phút và lớn nhất là 7 ngày.
+ IV 64 bít cho mỗi TEK + SA cho dữ liệu có 3 loại:
- SA chính thức đƣợc thiết lập
- SA tĩnh đƣợc cấu hình sẵn trên BS.
- SA động đƣợc xây dựng động vào các kết nối vận chuyển.
Khi một kết nối vận chuyển đƣợc tạo ra SA khởi tạo một DSA bằng một yêu
cầu tạo kết nối ( create –connection). Một DSA có thể dùng cho nhiều CID. Khi SS
tham ra vào mạng Wimax tự động tạo một SA cho kết nỗi quản lý thứ cấp. Do vậy một SS cố định thƣờng có hai hoặc ba SA, một cho kết nối quản lý thứ cấp và một hoặc hai SA còn lại cho cả các kết nối vận chuyển đƣờng lên và đƣờng xuống hoặc chia hai SA còn lại cho đƣờng lên và đƣờng xuống. Nếu nhƣ có một nhóm multicast thì cũng sẽ cần một SA để chia sẻ với các nhóm khác.
Một SA khác mà không đƣợc định nghĩa rõ ràng trong chuẩn Wimax là SA chứng thực ( Authorization SA- ASA). ASA đƣợc chia sẻ giữa một BS và một SS. Khóa thực AK đƣợc xem là của BS và SS, AK là một khóa bí mật. BS sử dụng ASA để cấu hình DSA cho SS. ASA có các thành phần sau:
- Một chứng chỉ 4 bít để nhận dạng AK
- Thời gian sống của AK từ 1- 70 ngày. Thời gian sống mặc định là 7 ngày.
- Một khóa mã hóa khóa KEK ( key encryption) dùng cho việc phân phối
khóa TEK,khóa TEK đƣợc xây dựng nhƣ sau:
KEK =Truncate 128( SHA1((AK/044) 5364))
Trong đó:
Truncate 128(): hàm bỏ đi tất cả chỉ giữ lại 128 bit đầu a/b : nghĩa là nối a với b
: là hàm XOR
SHA1: thuật toán băm đƣợc định nghĩa bởi NITS( National Instiue of Standand and Teachnology )
- Một khóa mã chứng thực bản tin dựa trên hàm băm HMAC ( Hash Message Authentication Code) đƣờng xuống cung cấp tính xác thực dữ liệu cảu của các bản tin phân phối khóa từ BS tới SS. Khóa này đƣợc xậy dựng nhƣ sau:
HMAC_KEY_ D= SHA1((AK/044) 3A64)
- Một khóa HMAC đƣờng lên cung cấp tính chính xác dữ liệu của các bản tin phân phối khóa từ SS tới BS. Khóa này đƣợc xây dựng nhƣ sau:
HMAC_KEY_ U= SHA1((AK/044) 5C64)
- Một danh sách các DSA đã chứng thực.
Bảng 3.2. bảng tóm tắt các khóa mã hóa được dùng với SA
Khóa Đƣợc tạo bởi Dùng cho mục đích Thờigian sống Thuật toán Khóa chứng thực AK
BS Tạo KEK Tính toán bản tóm
tắt HMAC
Kiểm tra bản tóm tắt HMAC đã nhân đƣợc
1- 70 ngày 3DES SHA1
Khóa chứng
thực AK
BS,SS Mã hóa TEK để truyền (BS)
Giải mã TEK để sử dụng ( SS) Giống nhứ AK 3DES Khóa chứng thực AK
BS Mã hóa lƣu lƣợng dữ liệu 30phút
đến7 ngày
DES- CBC