CHƯƠNG 1 : TỔNG QUAN CÔNG NGHỆ WIMAX
2.1. LỚP CON BẢO MẬT TRONG WIMAX
2.1.3.4. Phương pháp mật mã
Phương pháp mật mã hóa là chuẩn mật mã hóa dữ liệu DES vận hành theo kiểu dây chuyền khối mật mã (CBC) với các khóa 56 bit.
Một tùy chọn tăng thêm bảo mật là AES (chuẩn mật mã hóa nâng cao). Điều này được xem như một sự cải thiện trong tương lai.
Chỉ có thơng tin được mang qua các kết nối quản lí thứ cấp và các kết nối truyền tải là được mật mã hóa. Ngược lại, các kết nối quản lí cơ bản và các kết nối quản lí sơ cấp là khơng được bảo mật.
a./ Mật mã dữ liệu với DES theo kiểu CBC
Nếu chỉ số nhận dạng thuật tốn mật mã hóa dữ liệu trong hệ mật mã của một SA bằng 0x01, dữ liệu trên các kết nối kết hợp với SA đó sẽ sử dụng kiểu CBC của thuật tốn chuẩn mật mã hóa dữ liệu DES để mật mã tải trọng MAC PDU.
Mã hoá trong lớp con bảo mật hoạt động trong chế độ DES-CBC. Chỉ mã hố tải, khơng mã hoá tiêu đề và CRC trong MAC PDU. GMH MAC
Để tính tốn IV MAC PDU Wimax thực hiện XOR giữa IV SA với nội dung của trường đồng bộ của lớp vật lý lấy từ trong tiêu đề GMH gần nhất. Do IV SA là hằng số và công khai đối với các TEK. Và trường đồng bộ có sự lặp lại, dễ xác định ở mức cao nên IV MAC PDU cũng rất dễ xác định. Wimax khơng cung cấp tính xác thực dữ liệu
Hình 2.5: Mã hoá tải với DES
Mã hoá dữ liệu với AES
Nếu bộ nhận dạng thuật toán mã hoá dữ liệu trong SA tương đuơng với 0x02 thì dữ liệu trong các kết nối liên quan tới SA sẽ sử dụng thuật toán AES – CCM để mã hoá tải MAC PDU. Tải sau khi mã hoá được thêm vào 2 trường : chỉ số gói (PN-packet number): có độ dài 4 bytes và khơng được mã hố. Giá trị kiểm tra tính tồn vẹn (ICV-integrity check value): có độ dài 8 bytes và được mã hố. GMH (6byte) CRC (4byte) Tải gốc IV từ SA Trường đồng bộ với PHY GMH (6byte) CRC (4byte) Thuật toán DES TEK từ SA Tải đã mã hoá IV Khố
Hình 2.6: Mã hố tải với AES
PN có liên quan đến SA sẽ được đặt là 1 khi SA được tạo ra và khi TEK mới được khởi tạo. Sau mỗi phiên truyền PDU, PN được tăng lên 1. Trên kết nối đường lên, PN được XOR với 0x80000000 để mã hoá và truyền đi. Trên kết nối đường xuống, PN được dùng mà không cần sự thay đổi nào. Tất cả điều này do chia độ dài PN thành 0x00000001-0x7FFFFFFF cho đường xuống và 0x80000001-0xFFFFFFFF cho đường lên, điều này để ngăn sự va chạm PN giữa đường lên và đường xuống.
Cặp giá trị (PN, KEY) không được dùng quá một lần cho mục đích truyền dữ liệu vì nếu gửi đi hai gói dữ liệu được mã hố với cùng một khố và PN thì sẽ loại đi sự bảo mật trong chế độ CCM.
SS sẽ yêu cầu một khoá TEK mới trước khi PN trên SS hoặc BS đến giá trị 0x7FFFFFFF. Nếu như PN trên SS hoặc BS đạt đến giá trị 0x7FFFFFFF mà khoá mới TEK chưa được khởi tạo thì thơng tin vận chuyển trên SA phải dừng lại cho tới khi khoá TEK mới được khởi tạo.
Tải trước khi mã hoá L bytes
Tải gốc
PN Tải đã mã hoá ICV
4 bytes 8 bytes
Tải sau khi mã hoá L + 12 bytes
c./ Mật mã hóa TEK
Có ba cách mật mã hóa một TEK
Mật mã hóa TEK với 3-DES
Mật mã hóa TEK với RSA
Mật mã hóa TEK-128 với AES
Các khóa DES
Có hai loại khóa DES 56 bit và 64 bít. Giao thức PKM khơng u cầu parity lẻ mà nó tạo ra và phân phối các khóa DES 64bit của parity bất kì, và yêu cầu những bổ sung để bỏ qua giá trị bít ít quan trọng nhất của mỗi khóa.
Các khóa 3-DES KEK
Vật liệu khóa cho 2 khóa 3-DES bao gồm 2 khóa DES riêng biệt. Trong đó 64 bit quan trọng nhất của KEK được dùng trong hoạt động mật mã và 64 bit ít quan trọng nhất được sử dụng trong hoạt động giải mã.
Những cải thiện được đề nghị trong tương lai
1. Thay thế DES với AES để mật mã hóa tốt hơn.
2. Sử dụng khn dạng EAP cùng với ví dụ như SSL/TLS.