CHƯƠNG 1 : TỔNG QUAN CÔNG NGHỆ WIMAX
2.1. LỚP CON BẢO MẬT TRONG WIMAX
2.1.3.2. Trao đổi khoá TEK
Cỗ máy trạng thái chứng thực khởi động cỗ máy trạng thái TEK khi AK đã trao đổi xong. Khoá KEK có được từ q trình trao đổi AK. Cỗ máy trạng thái TEK tương tự như cỗ máy trạng thái chứng thực ngoài trạng thái “Op Reath Wait” được thêm vào. SS chuyển vào trạng thái “wait” khi SS gửi đi bản tin yêu cầu khoá nhưng cũng tại thời điểm này cỗ máy trạng thái chứng thực yêu cầu chứng thực lại. Khi yêu cầu chứng thực lại được hồn thành thì cỗ máy trạng thái chứng thực đặt cỗ máy trạng thái TEK vào trạng thái “Op Reauth Wait”.
Hình 2.2: Cỗ máy trạng thái TEK Bắt đầu Bắt đầu Dừng Dừng Op reauth wait Yêu cầu khoá
Yêu cầu khoá Auth pend
Op wait
Từ chối khoá
Timeout TEK invalid/
Yêu cầu khoá
Operational TEK invalid/
Yêu cầu khoá
Dừng
Đáp lại khoá Yêu cầu khoá
Rekey Wait
Timeout Auth pend
Rekey reauth wait
Yêu cầu khoá Từ chối khoá
TEK invalid
Sau khi nhận được khoá AK từ BS, SS khởi động cỗ máy trạng thái TEK để lấy khoá TEK. Cỗ máy trạng thái TEK chịu trách nhiệm quản lý khoá liên quan tới mỗi SAID và SS. Điều này được thực hiện bởi hai hoặc ba bản tin được gửi giữa BS và SS.
Bước 1: Buớc này tuỳ chọn và sẽ được gửi chỉ khi BS muốn có lại khố của
DSA hoặc tạo ra một SA mới. Bằng việc tính tốn HMAC(1) BS cho phép SS phát hiện ra sự giả mạo trong các bản tin được truyền đi.
Bước 2: SS gửi một bản tin yêu cầu khoá (Key Request) tới BS để yêu cầu
các tham số SA. SS sử dụng SAID từ danh sách SAID của quá trình chứng thực SS hoặc từ bản tin của bước trước mà có HMAC(1) hợp lệ. BS cũng tính tốn HMAC(2) để nhận ra sự giả mạo. BS có thể xác nhận SS bằng HMAC(2) do: chỉ có SS hợp lệ mới có được AK mà được gửi trong bản tin đáp lại chứng thực của quá trình chứng thực SS và cũng do AK là khố bí mật giữa BS và SS.
Bước 3: Nếu như BS nhận thấy HMAC(2) hợp lệ và SAID thực sự của một
trong các SA của SS thì BS sẽ gửi bản tin đáp lại khoá (Key Reply). Bản tin đáp lại khoá chứa khoá TEK cũ, khoá TEK mới mà truyền các giá trị tham số được sử dụng sau khi TEK hiện dùng hết hạn. Các khoá TEK (cả mới và cũ) đều được mã hoá bởi thuật toán 3DES trong ECB mode mà sử dụng khoá KEK. HMAC(3) được sử dụng lại, cũng giống như HMAC(1) để nhận dạng sự giả mạo. Các bản tin có dạng:
Bản tin 1( tuỳ chọn):
BS -> SS SeqNo | SAID | HMAC(1)
Bản tin 2 (yêu cầu khoá):
SS -> BS SeqNo | SAID | HMAC(2)
Bảng 2.3: Các thuật ngữ dùng trong trao đổi bản tin giao thức PKM
Thuật ngữ Ý nghĩa
SeqNo Khoá AK được dùng trong trao đổi
SAID ID của DSA
HMAC(1) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID dưới khoá HMAC
đường xuống của AK
HMAC(2) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID của khoá HMAC
đường lên của AK
TEK cũ IV của lần khởi tạo TEK trước, thời gian sống cịn lại (tính bằng
giây) và SAID cho DSA (chỉ số của TEK là một số 2 bit)
TEK mới IV của lần khởi tạo TEK mới nhất, thời gian sống và SAID cho
DSA (chỉ số TEK mới lớn hơn chỉ số TEK cũ)
HMAC(3) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID | TEK cũ | TEK
mới dưới khoá HMAC đường xuống của AK