CHƯƠNG 1 : TỔNG QUAN CÔNG NGHỆ WIMAX
2.1. LỚP CON BẢO MẬT TRONG WIMAX
2.1.3.3. Sử dụng khoá
a. Khoá AK
Khi BS nhận được bản tin yêu cầu chứng thực, BS tạo ra hai khố AK và kích hoạt một trong hai khố. Khố kích hoạt được gửi tới SS. Khi thời gian sống của khố kích hoạt này hết hạn SS gửi tới BS bản tin yêu cầu chứng thực lại. Đáp lại bản tin yêu cầu chứng thực lại, BS kích hoạt khố thứ hai và gửi tới SS. Trong khi kích hoạt khố thứ hai, BS tạo ra khố thứ ba được dùng để dự phịng cho hoạt động tới. Do vậy BS sẽ ln được chuẩn bị để gửi khoá AK tới SS. Trong mỗi lần gửi AK tới SS, BS lần lượt tăng chỉ số của khố AK để tránh tấn cơng lặp lại.
Giai đoạn chuyển tiếp khố AK bên phía BS
BS sẽ luôn luôn được chuẩn bị để gửi AK tới SS. BS có thể hỗ trợ 2 khố AK tích cực đối với mỗi SS. BS có hai AK tích cực trong suốt giai đoạn chuyển tiếp khố AK. Hai khố AK có thời gian sống chồng lên nhau.
Giai đoạn chuyển tiếp AK bắt đầu khi BS nhận được bản tin yêu cầu chứng thực từ SS và BS đã có một khố AK tích cực cho SS. Để đáp lại bản tin yêu cầu chứng thực BS kích hoạt khố AK thứ hai mà có chỉ số khố lớn hơn chỉ số của khoá đang tồn tại và sẽ được gửi tới SS bằng bản tin đáp lại chứng thực.
Hình 2.3: Quản lý khố AK tại BS và SS SS BS SS BS AK1 Lifetime Thông tin chứng thực Yêu cầu chứng thực Đáp lại chứng thực {AK0} Yêu cầu chứng thực Đáp lại chứng thực {AK1}
Yêu cầu khoá {AK1}
Yêu cầu chứng thực Đáp lại chứng thực {AK2} Yêu cầu khoá {AK2}
AK2 Lifetime Vùng tích cực của AK để mã/giải mã khoá TEK AK0 Lifetime AK0 Active Lifetime AK1 Active Lifetime AK2 Active Lifetime
BS sử dụng AK
BS sử dụng AK vào mục đích:
Kiểm tra lại bản tóm tắt HMAC trong bản tin yêu cầu khoá (Key
Request) mà SS gửi tới.
Tính tốn bản tóm tắt HMAC rồi ghi vào các bản tin đáp lại khoá (Key
Reply), từ chối khố (Key Reject) và bản tin khơng hiệu lực TEK (TEK Invalid) những bản tin này được gửi tới SS.
Mã hoá TEK bằng khoá KEK nhận được từ AK rồi gửi tới SS trong bản
tin đáp lại khoá.
BS sẽ sử dụng HMAC_KEY_U nhận được từ một trong các khố tích cực của SS để kiểm tra bản tóm tắt HMAC trong bản tin yêu cầu khoá mà SS gửi tới. Chỉ số khoá AK đi cùng với mỗi bản tin yêu cầu khoá cho phép BS quyết định HMAC_KEY_U nào được dùng xác nhận bản tin. Nếu chỉ số khoá AK chỉ ra khoá mới hơn, BS sẽ sử dụng khoá này như một sự thừa nhận ngầm. BS sẽ sử dụng HMAC_KEY_D nhận được từ AK tích cực ở trên để tính tốn bản tóm tắt HMAC trong bản tin đáp lại khoá, từ chối khố và khơng hiệu lực TEK và gửi chúng đi trong giai đoạn chuyển tiếp khố. Nếu khóa mới hơn khơng được hiểu là sự thừa nhận ngầm thì BS sẽ sử dụng khoá cũ hơn để nhận được KEK và HMAC_KEY_D.
SS sử dụng khoá AK
SS sẽ sử dụng HMAC_KEY_U nhận được từ khoá mới hơn trong hai khố AK hiện tại để tính tốn bản tóm tắt HMAC rồi gắn nó vào bản tin yêu cầu khoá. SS sẽ dùng HMAC_KEY_D nhận được từ khố cịn lại trong hai khố AK để xác nhận các bản tin đáp lại khoá, từ chối khoá và từ chối TEK. SS sẽ giải mã khoá TEK đã được mã hoá trong bản tin đáp lại khoá bằng việc sử dụng khoá KEK nhận được từ khố cịn lại trong hai khố AK này.
b. Khoá TEK
BS sẽ duy trì hai khố TEK tích cực (cùng với IV) đối với mỗi SAID tương đương với q trình tạo hai khố liên tiếp. Hai khố TEK có thời gian sống chồng lên nhau. Khoá TEK mới sẽ có chỉ số khố lớn hơn chỉ số của khoá TEK cũ. Khi thời gian sống của khoá TEK hết hạn, TEK sẽ khơng cịn được sử dụng.
Hình 2.4: Quản lý khố TEK
Yêu cầu khoá
Đáp lại khoá {TEK0, TEK1}
Yêu cầu khoá
Đáp lại khoá {TEK1, TEK2}
Yêu cầu khoá
Đáp lại khoá {TEK2, TEK3} BS SS TEK0 Active Lifetime TEK1 Active Lifetime TEK2 Active Lifetime TEK0 Lifetime TEK1 Lifetime TEK2 Lifetime TEK được dùng để mã hoá dữ liệu
BS sử dụng TEK
BS tạo ra hai khoá TEK cho mỗi SA. BS lần lượt tạo ra khoá mới khi khoá cũ hết hạn. BS sử dụng khố khố cũ hơn trong hai khố TEK tích cực để mã hoá dữ liệu kênh đường xuống nhưng ngược lại BS sử dụng một trong hai khố cịn lại để giải mã lưu lượng kênh đường lên tuỳ thuộc vào khoá nào mà SS đang dùng. BS sẽ thay đổi khoá bất kỳ lúc nào khoá đang dùng hết hạn. SS sử dụng TEK
Với mỗi SAID đã chứng thực, SS sẽ sử dụng khoá TEK mới hơn trong hai khoá TEK để mã hoá lưu lượng đường lên nhưng ngược lại SS sử dụng một trong hai khố cịn lại để giải mã lưu lượng đường xuống tuỳ thuộc vào khoá nào mà BS đang dùng.