Quá trình thiết bị SS đƣợc cấp phép và nhận khóa AK từ thiết bị BS bao gồm một vài luồng, bắt đầu là thiết bị SS cung cấp chỉ số nhận dạng cho thiết bị BS qua luồng xác thực. Quá trình cấp quyền đƣợc tóm lƣợc nhƣ sau:
Luồng 1: thiết bị SS gửi bản tin chứa thông tin xác thực.
Thiết bị SS nhƣ một máy khách hàng bắt đầu quá trình yêu cầu cấp quyền bằng cách gửi bản tin chứa thông tin xác thực tới thiết bị BS. Bản tin này là tùy chọn và có thể bỏ qua bởi BS do bản tin kế tiếp yêu cầu cấp quyền sẽ chứa nhiều thông tin giống nó. Tuy nhiên, bản tin đầu tiên cho phép thiết bị BS nhận biết thiết bị SS và các khả năng của thiết bị SS.
Chương 4: Bảo mật trong WiMAX
Trong bản tin này chứa các nội dung: • Địa chỉ MAC của SS.
• Khóa công cộng RSA của SS.
• Chứng nhận X.509 của SS (do nhà sản xuất gán). • Danh sách mã hóa hỗ trợ bởi SS.
• Chỉ số nhận dạng của SA cơ sở (SAID).
• Chứng nhận CA X.509 của nhà sản xuất thiết bị SS.
Chú ý rằng bản tin này có thể cho phép thiết bị BS ngay lập tức xác định đƣợc thiết bị SS có chứa SA cơ sở có giá trị hay không, chứng nhận của thiết bị SS và của nhà sản xuất có giá trị hay không (có thể là quá hạn hoặc bị thu hồi) và nhà sản xuất có đúng là ngƣời tạo ra thiết bị SS hay không. Mô tả về tập các phƣơng pháp mã hóa mà thiết bị SS hỗ trợ đƣợc lấy từ danh sách nhận dạng bộ mã hóa. Mỗi nhận dạng chỉ ra một thuật toán mã hóa gói dữ liệu và xác thực dữ liệu mà thiết bị SS đƣợc hỗ trợ.
Luồng 2: thiết bị SS gửi bản tin yêucầu cấp quyền(authorization request). Ngay sau khi gửi bản tin chứa thông tin xác thực, thiết bị SS gửi bản tin yêu cầu cấp quyềnđến thiết bị BS để yêu cầu một tín hiệu AK và các thông số SAID của bất kỳ SA tĩnh nào mà thiết bị SS đƣợc cấp quyền tham gia. Bản tin này bao gồm các tham số sau:
• Số seri thiết bị của SS và chỉ số ID của nhà sản xuất. • Địa chỉ MAC của SS.
• Khóa công cộng RSA của SS.
• Chứng nhận X.509 của SS (do nhà sản xuất gán). • Danh sách mã hóa hỗ trợ bởi SS.
Chương 4: Bảo mật trong WiMAX
Chỉ số SAID thuộc SA cơ sở của thiết bị SS bằng với chỉ số ID kết nối cơ sở CID tĩnh (primary connection ID) mà thiết bị SS lấy đƣợc từ thiết bị BS trong suốt quá trình tiếp cận và khởi tạo mạng.
Luồng 3: thiết bị BS gửi bản tin phúc đáp cấp quyền(authorization reply)
Sau khi nhận một bản tin yêu cầu cấp quyền từ thiết bị SS, thiết bị BS xác định chứng nhận của thiết bị SS và kiểm tra tập các phƣơng pháp mã hóa mà thiết bị SS hỗ trợ. Nếu đúng và thiết bị BS cũng hỗ trợ một hay nhiều hơn các phƣơng pháp mã hóa của thiết bị SS thì thiết bị BS sẽ gửi một bản tin phúc đáp cấp quyền tới thiết bị SS.
Bản tin này bao gồm các thông số sau:
• Một khóa cấp quyền duy nhất AK đƣợc mã hóa bởi khóa công cộng RSA của thiết bị SS.
• Một số thứ tự khóa 4-bit sử dụng để phân biệt các khóa AK phát sinh liên tục. • Một giá trị thời gian sống của khóa AK
• Những chỉ số SAID và thuộc tính của SA cơ sở, và có thể có hoặc không các SA tĩnh đƣợc thêm vào cho phép thiết bị SS đƣợc cấp quyền để lấy thông tin về khóa. Đấy là trƣờng hợp thiết bị SS của tất cả SA tĩnh mà thiết bị BS có thông tin về nó đã kết hợp với thiết bị SS. Chỉ số SAID của SA cơ sở sẽ bằng CID cơ sở. Vì lý do bảo mật mà không có SA động nào có thể đƣợc nhận dạng trong bản tin phúc đáp.
Một thiết bị SS xác định phải làm mới AK thƣờng xuyên để đảm bảo tính bảo mật. Thiết bị SS sẽ gửi lại các bản tin yêu cầu tới thiết bị BS. Việc xác thực bắt đầu lại từ luồng 2 mà không cần phải gửi bản tin chứa thông tin xác thực do thiết bị BS đã biết và nhận dạng đƣợc thiết bị SS và có một khóa AK đang sống. Thiết bị SS xác định và thiết bị BS phải hỗ trợ đồng thời hai AK hoạt động để có thể hỗ trợ tái cấp quyền nhằm tránh dịch vụ bị ngắt trong quá trình tái cấp quyền, khóa AK phát sinh liên tục phải có thời gian sống chồng lên nhau.
Chương 4: Bảo mật trong WiMAX