5. Dòng lệnh chế độ bảo mật (UIAs, IK, UEAs,
2.2.1.4Quản lý khóa tự động
Mặc dù có thể thực hiện MAPsec mà không cần các cơ chế tiêu chuẩn để hỗ trợ khóa hoặc quản lý SA. Tuy nhiên điều này dẫn đến việc sử dụng các SA với thời gian tồn tại rất dài.
Một trung tâm quản lý khóa KAC đƣợc sử dụng để thỏa hiệp các SA thay cho các phần tử mạng NE. Tất cả các SA chỉ có giá trị từ PLMN-đến-PLMN. Lý do chính về sự chia sẻ các SA là do một mạng di động PLMN chỉ có thể trao đổi với một mạng PLMN khác chứ không phải các phần tử mạng NE đơn lẻ có thể thực hiện điều này.
IKE “connection” Đƣờng hầm an toàn Hoạt động an tồn
Hình 2.12: MAPsec với quản lý khóa tự động
Zd Zf Zf PLMN A MAP NEA1 MAP NEA2 Ze PLMN B KACa Ze MAP NEB KACb
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Trung tâm quản lý khóa KAC cũng duy trì một cơ sở dữ liệu SA (SAD) và một cơ sở dữ liệu chính sách bảo mật (SPD). Các cơ sở dữ liệu SAD cũng đƣợc duy trì nội bộ trong các NE. Các SA và các chính sách đƣợc phân phối từ AKC đến các phần tử mạng NE qua giao diện Ze. Khi một NE cần trao đổi với một NE khác (có thể ở mạng khác), nó bắt đầu bằng cách tìm kiếm cơ sở dữ liệu nội bộ SPD. Nếu thơng tin chính sách về truyền thơng đã tồn tại thì các NE sẽ thực hiện theo chính sách; nếu chƣa tồn tại thì thơng tin chính sách cần phải đƣợc nạp từ KAC.
Trong cùng một mạng PLMN có thể có một số trung tâm điều khiển khóa KAC. Điều này hữu ích cho việc cân bằng tải và tránh đƣợc thất bại ở điểm đơn. Rõ ràng là KAC là phần tử nhạy cảm trong mạng và là mục tiêu của các kẻ tấn cơng, vì vậy KAC và cơ sở dữ liệu của nó phải đƣợc bảo vệ.