Chương 4 : BẢO MẬT TRONG WIMAX
2. Giao thức quản lí khóa PKM
Chứng chỉ điện tử X.509
X.509 là một chuẩn về chứng chỉ điện tử của ITU, hoạt động dựa vào cơ chế mã hóa cơng cộng. Nó gồm có một khóa cơng cộng và địa chỉ MAC mà đã được nhà sản xuất ghi ngay lên thiết bị.
Khóa cấp phép AK
AK được BS cấp cho SS ngay sau khi SS được chấp nhận. Cả BS và SS đều biết AK. Về phía BS, AK được dùng để thực thi các thuật tốn đảm bảo tính tồn vẹn các thơng tin trong q trình trao đổi khóa và mã hóa khóa TEK để gửi cho SS, tức là AK chứa KEK. Về phía SS, AK cũng được dùng để giải mã, đảm bảo tính tồn vẹn các thơng tin yêu cầu gửi tới BS cũng như để giải mã khóa TEK. AK có thể coi là khóa cũng có thể coi là tập hợp các thơng tin để khởi tạo nên một phiên trao đổi thông tin an tồn.
Khóa KEK
Khóa bắt nguồn từ AK, cả BS và SS đều nắm được khóa này, được dùng để mã hóa và giải mã khóa TEK. Là khóa đối xứng.
Khóa TEK
TEK được dùng để mã hóa và giải mã luồng dữ liệu trao đổi giữa BS và SS. Là khóa đối xứng.
Để nâng cao độ an tồn, các khóa trên khơng phải là cố định mà chúng sẽ có một thời gian sống riêng. Thời gian sống của các khóa có thể thay đổi tùy cầu hình từ BS và SS.
Một SS sẽ sử dụng giao thức PKM để nhận được sự cấp phép và các khóa từ BS. Giao thức này sử dụng chứng chỉ điện tử X509, thuật tốn mã hóa RSA cùng một loạt thuật tốn mã hóa khác để trao đổi khóa giữa BS và SS. PKM cũng làm việc theo mơ hình client/server, ở đó SS (client) u cầu các thơng tin về khóa và BS (server) sẽ đáp trả các yêu cầu này. PKM sẽ sử dụng các bản tin quản lí. PKM sử dụng cơ chế mã hóa cơng cộng để thiết lập nên một cơ sở bảo mật riêng giữa SS và BS.
BS sẽ chứng thực SS trong quá trình khởi tạo sự cấp phép cho SS. Mỗi SS sẽ mang một chứng chỉ điện tử duy nhất X.509.
Tiến trình cấp phép cho SS và trao đổi khóa AK
Tiến trình chứng thực sử dụng các thơng tin mà nhà sản xuất ghi sẵn lên thiết bị. Tiến trình này BS thực hiện các việc: nhận dạng SS, BS cung cấp cho SS thông tin AK, SAID….
SS bắt đầu chứng thực bằng cách gửi một bản tin chứng thực tới BS, gọi là bản tin AI (Authorization Information). Bản tin chứng thực này là các thông tin về X.509 của nhà sản xuất thiết bị. AI hồn tồn mang tính chất thơng tin, BS có thể nhận nó hoặc lờ đi. Tuy nhiên, AI là bản tin chứa tồn bộ những thơng tin cần thiết về thiết bị và nhà sản xuất.
Ngay sau đó SS gửi một bản tin yêu cầu chứng thực là Authorization Request tới BS. Yêu cầu này gồm có các thông tin như: X.509, bản mô tả các thuật tốn mã hóa chứng thực mà SS có thể sử dụng, CID của kết nối cơ bản (CID này được BS cấp cho SS trước đó) hay cũng chính là SAID.
BS nhận yêu cầu, thơng qua các nhận dạng của SS để xem có cần chứng thực cho SS hay khơng, ví dụ như chứng chỉ điện tử SS đưa ra đã được cấp phép chưa, có đúng chuẩn khơng. Nếu có, BS xác định các thuật tốn sẽ được sử dụng chung với SS, kích hoạt AK cho SS, mã hóa AK bằng khóa cơng cộng1
của SS và gửi trả các thông tin này cho SS. Bản tin gửi trả này gọi là Authorization Reply. Authorization Reply gồm các dữ liệu sau: AK đã được mã hóa, một chỉ số của khóa, thời gian sống của khóa, các SAID của SA chính và SA tĩnh.
Các yêu cầu chứng thực cũng sẽ được thực hiện lại theo chu kì, nhưng trong các lần sau, bản tin AI sẽ khơng cần phải gửi. Hình .12 mơ tả q trình chứng thực
Hình 4: Q trình cấp phép và trao đổi khóa AK
Tiến trình trao đổi khóa TEK
Sau khi SS được cấp phép và nhận được AK, SS sẽ gửi đến BS bản tin yêu cầu (Key Request) về khóa TEK, mỗi SAID sẽ có một cơ chế yêu cầu riêng.
BS sẽ gửi trả SS bản tin (Key Reply) chứa thông tin về khóa này. Nội dung của khóa TEK được mã hóa bởi khóa KEK, một khóa đối xứng. SS sẽ nhận được và dùng KEK để giải mã ra khóa TEK.
Hình 5: Q trình trao đổi khóa TEK
Từ đây q trình trao đổi các gói tin sẽ được mã hóa sẽ thơng qua TEK.