Đây là quá trình để SS đạt được sự trao quyền và khoá AK từ BS. Quá trình này bắt dầu bằng việc SS cung cấp những thông tin nhận dạng của nó cho BS trong suốt quá trình xác thực. Các thông điệp gửi đi gồm có:
Thông điệp 1:
SS àBS: Cert (manufacturer (SS)) Thông điệp 2:
SS àBS: Cert (SS) | capabilities | SAID Thông điệp 3:
BS àSS: RSA-Encrypt (pubkey(SS),AK) | AK lifetime | Seq No(4 bit) | SAID
Thông điệp 1: (thông điệp về các thông tin xác thực).
ở đây SS là client sẽ khởi động quá trình yêu cầu trao quyền bằng cách gửi một thông điệp chứa thông tin xác thực tới BS. Thông điệp này là tuỳ chọn và có thể bị BS từ chối (bởi vì trong thông điệp tiếp theo được xem là thông điệp trao quyền cũng chứa các thông tin giống như vậy). Tuy nhiên thông điệp ban đầu này cho phép BS biết trước về SS và các khả năng của SS. Cụ thể bản tin thứ nhất này chứa các thông tin sau:
ã địa chỉ MAC của SS
ã RSA public key của SS
ã chứng nhận X.509 của SS ( do nhà sản xuất đưa ra)
ã danh sách những thuật toán bảo mật mà SS có thể sử dụng
ã nhận dạng primary SA của SS (SAID)
ã chứng nhận X509 CA dành cho nhà sản xuất các thiết bị SS
Thông điệp 2: (thông điệp yêu cầu trao quyền )
Ngay sau các thông tin xác thực được gửi đi, SS sẽ gửi một thông điệp yêu cầu trao quyền, thực chất thông điệp này yêu cầu khoá AK , SAID của static SA mà SS được sử dụng. Thông điệp này gồm các thông tin sau:
ã địa chỉ MAC của nhà sản xuất
ã RSA public key của SS
ã chứng nhận X.509 của SS
ã danh sách các thuật toán bảo mật mà SS có thể sử dụng
ã SAID của primary SA của SS
ở đây SAID là bằng với CID (connetion ID) mà SS lấy được từ BS trong quá trình gia nhập mạng và khởi tạo.
Thông điệp 3: (thông điệp trả lời của BS)
Sau khi nhận được các thông điệp trao quyền từ SS, BS sẽ kiểm tra lại những chứng nhận của SS và kiểm tra các thuật toán bảo mật mà SS sử dụng. Nếu tất cả đều tốt và BS có thể cung cấp một trong những khả năng bảo mật của SS, BS sẽ gửi thông điệp cho phép trao quyền, chứa các thông tin sau:
ã một khoá AK duy nhất, được mã hoá bằng RSA public key của SS.
Khóa này dài 160 bít
ã một chuỗi 4 bit là khoá được dùng để phân biệt giữa các AK kế tiếp nhau
ã thời gian sống của AK. Thời gian sống của AK là từ 1 đến 70 ngày
mặc định là 7 ngày.
ã SAID và các đặc điểm của primary SA
Một SS được trao quyền sẽ luôn làm mới khoá AK vì mục đích an ninh. Để thực hiện việc này SS gửi đi một thông điệp xin trao quyền (thông điệp thứ 2), ở đây việc xin trao quyền lại không cần bắt đầu bằng việc gửi đi thông điệp 1 vì BS đã biết về SS và biết rằng SS ít nhất đã có một khoá AK.