Giao thức quản lý khoỏ riờng (Privacy Key Management - PKM) là giao thức thiết lập Data SA giữa BS và SS. Điều này được thực hiện bởi hai hoặc ba bản tin gửi giữa BS và SS. ([6], trang 274)
tin này được gửi chỉ khi BS muốn tạo khoỏ lại của Data SA hoặc muốn tạo mới SA. BS tớnh HMAC(1) để cho phộp SS kiểm tra sự
giả danh.
Bước 2: SS gửi bản tin 2 tới BS để yờu cầu cỏc tham số SA. SS phải sử dụng SAID từ danh sỏch SAID của giao thức uỷ quyền PKM hoặc từ bản tin 1 cú HMAC(1) hợp lệ. SS gửi bản tin 2 cho từng Data SA. SS tớnh HMAC(2) để cho phộp BS kiểm tra sự giả danh. BS cú thể xỏc thực SS an toàn bởi HMAC(2) bởi vỡ chỉ SS cú thể
lấy được AK gửi trong bản tin 3 của giao thức PKM Authorization và AK khụng dựđoỏn được.
Bước 3: Nếu BS kiểm tra thấy HMAC(2) hợp lệ và SAID thực sự là một trong cỏc SA của SS, thỡ BS gửi bản tin 3. Bản tin 3 chứa OldTEK là TEK cũ sử dụng với SA đang dựng, NewTEK là TEK mới sử dụng sau khi TEK đang dựng quỏ hạn. Cỏc TEK (OldTEK và NewTEK) được mó hoỏ sử dụng 3-DES trong chế độ ECB sử
dụng khoỏ KEK trong Authorization SA. HMAC(3) được sử dụng
để kiểm tra sự giả danh. Cỏc bản tin như sau:
Bản tin 1 (khụng bắt buộc):
BS -> SS: SeqNo | SAID | HMAC(1)
Bản tin 2:
SS -> BS: SeqNo | SAID | HMAC(2)
Bản tin 3:
BS -> SS: SeqNo | SAID | OldTEK | NewTEK | HMAC(3)
Bảng 4.3 í nghĩa cỏc ký hiệu trong bản tin giao thức PKM
Ký hiệu Mụ tả
SeqNo AK sử dụng cho trao đổi
SAID Định danh của Data SA đó được tạo hoặc đó tạo lại HMAC(1) HMAC-SHA1 digest của SeqNo|SAID theo khoỏ
Downlink HMAC của AK
HMAC(2) HMAC-SHA1 digest của SeqNo|SAID theo khoỏ Uplink HMAC của AK
OldTEK Vộc tơ khởi tạo của TEK đó sinh trước đú, thời gian hiệu lực (theo giõy), số thứ tự của Data SA chỉ định bởi SAID
NewTEK Vộc tơ khởi tạo của TEK tiếp theo, thời gian hiệu lực (theo giõy), số thứ tự của Data SA chỉ định bởi SAID HMAC(3) HMAC-SHA1 digest của SeqNo | SAID | OldTEK |
NewTEK theo khoỏ Downlink HMAC của AK