Trao đổi khoá TEK

Một phần của tài liệu Wimax và ứng dụng (Trang 59 - 62)

CHƯƠNG 1 : TỔNG QUAN CÔNG NGHỆ WIMAX

2.1. LỚP CON BẢO MẬT TRONG WIMAX

2.1.3.2. Trao đổi khoá TEK

Cỗ máy trạng thái chứng thực khởi động cỗ máy trạng thái TEK khi AK đã trao đổi xong. Khoá KEK có được từ q trình trao đổi AK. Cỗ máy trạng thái TEK tương tự như cỗ máy trạng thái chứng thực ngoài trạng thái “Op Reath Wait” được thêm vào. SS chuyển vào trạng thái “wait” khi SS gửi đi bản tin yêu cầu khoá nhưng cũng tại thời điểm này cỗ máy trạng thái chứng thực yêu cầu chứng thực lại. Khi yêu cầu chứng thực lại được hồn thành thì cỗ máy trạng thái chứng thực đặt cỗ máy trạng thái TEK vào trạng thái “Op Reauth Wait”.

Hình 2.2: Cỗ máy trạng thái TEK Bắt đầu Bắt đầu Dừng Dừng Op reauth wait Yêu cầu khoá

Yêu cầu khoá Auth pend

Op wait

Từ chối khoá

Timeout TEK invalid/

Yêu cầu khoá

Operational TEK invalid/

Yêu cầu khoá

Dừng

Đáp lại khoá Yêu cầu khoá

Rekey Wait

Timeout Auth pend

Rekey reauth wait

Yêu cầu khoá Từ chối khoá

TEK invalid

Sau khi nhận được khoá AK từ BS, SS khởi động cỗ máy trạng thái TEK để lấy khoá TEK. Cỗ máy trạng thái TEK chịu trách nhiệm quản lý khoá liên quan tới mỗi SAID và SS. Điều này được thực hiện bởi hai hoặc ba bản tin được gửi giữa BS và SS.

Bước 1: Buớc này tuỳ chọn và sẽ được gửi chỉ khi BS muốn có lại khố của

DSA hoặc tạo ra một SA mới. Bằng việc tính tốn HMAC(1) BS cho phép SS phát hiện ra sự giả mạo trong các bản tin được truyền đi.

Bước 2: SS gửi một bản tin yêu cầu khoá (Key Request) tới BS để yêu cầu

các tham số SA. SS sử dụng SAID từ danh sách SAID của quá trình chứng thực SS hoặc từ bản tin của bước trước mà có HMAC(1) hợp lệ. BS cũng tính tốn HMAC(2) để nhận ra sự giả mạo. BS có thể xác nhận SS bằng HMAC(2) do: chỉ có SS hợp lệ mới có được AK mà được gửi trong bản tin đáp lại chứng thực của quá trình chứng thực SS và cũng do AK là khố bí mật giữa BS và SS.

Bước 3: Nếu như BS nhận thấy HMAC(2) hợp lệ và SAID thực sự của một

trong các SA của SS thì BS sẽ gửi bản tin đáp lại khoá (Key Reply). Bản tin đáp lại khoá chứa khoá TEK cũ, khoá TEK mới mà truyền các giá trị tham số được sử dụng sau khi TEK hiện dùng hết hạn. Các khoá TEK (cả mới và cũ) đều được mã hoá bởi thuật toán 3DES trong ECB mode mà sử dụng khoá KEK. HMAC(3) được sử dụng lại, cũng giống như HMAC(1) để nhận dạng sự giả mạo. Các bản tin có dạng:

Bản tin 1( tuỳ chọn):

BS -> SS SeqNo | SAID | HMAC(1)

Bản tin 2 (yêu cầu khoá):

SS -> BS SeqNo | SAID | HMAC(2)

Bảng 2.3: Các thuật ngữ dùng trong trao đổi bản tin giao thức PKM

Thuật ngữ Ý nghĩa

SeqNo Khoá AK được dùng trong trao đổi

SAID ID của DSA

HMAC(1) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID dưới khoá HMAC

đường xuống của AK

HMAC(2) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID của khoá HMAC

đường lên của AK

TEK cũ IV của lần khởi tạo TEK trước, thời gian sống cịn lại (tính bằng

giây) và SAID cho DSA (chỉ số của TEK là một số 2 bit)

TEK mới IV của lần khởi tạo TEK mới nhất, thời gian sống và SAID cho

DSA (chỉ số TEK mới lớn hơn chỉ số TEK cũ)

HMAC(3) Bản tóm tắt HMAC-SHA1 của SeqNo | SAID | TEK cũ | TEK

mới dưới khoá HMAC đường xuống của AK

Một phần của tài liệu Wimax và ứng dụng (Trang 59 - 62)

Tải bản đầy đủ (PDF)

(117 trang)