Các liên kết bảo mật

Một phần của tài liệu Nghiên ứu công nghệ ofdm và ứng dụng trong wimax (Trang 78 - 82)

3.4. Bảo mật trong WiMax

3.4.1. Các liên kết bảo mật

SA là tập hợp các thông tin an toàn mà một BS và một hoặc nhiều các SS của nó cùng chia sẻ để hỗ trợ việc truyền tin an toàn qua mạng WiMax. Có 3 loại SA là: SA chính, SA tĩnh và SA động. Trong quá trình khởi tạo SS thì mỗi SS được BS cung cấp một SA chính Các SA tĩnh thì được . cấu hình sẵn trên BS. Các SA động được tạo ra và dỡ bỏ đi tuỳ vào việc bắt đầu và kết thúc của các luồng dịch vụ chuyên biệt Cả SA tĩnh và động đều có thể được chia . sẻ bởi nhiều SS.

SA bao gồm bộ nhận dạng mã hoá (hay còn gọi là bộ lựa chọn thuật toán), khoá TEK và các véctơ khởi tạo IV Mỗi SA được xác định bởi SAID. . SAID của SA chính của SS sẽ tương đương với CID cơ bản của SS đó.

Bằng việc dùng giao thức PKM, SS yêu cầu BS cung cấp thành phần khoá của SA. BS phải chắc chắn rằng SS chỉ có thể truy cập đến SA nếu như SS đã được chứng thực.

Các khoá trong SA có một thời gian sống giới hạn. Khi BS chuyển các khoá trong SA tới SS, BS cũng cung cấp cho SS thời gian sống của các khoá đó SS có nhiệm vụ yêu cầu BS cung cấp cho khoá mới trước khi khoá hiện . tại mà SS đang nắm giữ hết hạn.

Ánh xạ các kết nối tới SA

Những quy tắc dưới đây đưa ra phép ánh xạ các kết nối đến SA - Tất cả các kết nối vận chuyển sẽ được ánh xạ đến các SA đang tồn tại.

- Các kết nối vận chuyển multicast có thể được ánh xạ vào bất cứ SA tĩnh hay động nào.

- Kết nối quản lý thứ cấp sẽ được ánh xạ vào SA chính.

- Các kết nối quản lý cơ bản và sơ cấp sẽ không được á h xạ vào SA. SA xác n nhận trạng thái bảo mật của mỗi kết nối. WiMax sử dụng hai SA nhưng chỉ có SA dữ liệu (Data SA-DSA) là được định nghĩa rõ. DSA bảo vệ sự trao đổi dữ liệu giữa các SS và BS DSA có các thành phần sau:.

+ SAID được dùng để chỉ định tới SA và có độ dài là 16 bít. Giá trị SAID của SA chính bằng với CID của kết nối cơ bản.

+ Thuật toán mã hoá để bảo vệ dữ liệu trong quá trình trao đổi qua các kết nối Thuật toán mã hoá đối xứng DES được dùng để mã hoá dữ liệu nhưng . cũng có thể mở rộng để dùng các thuật toán khác.

+ Hai khoá mã hoá lưu lượng (TEK) để mã hoá dữ liệu, một để sử dụng một để dự phòng khi khoá đang dùng hết hạn.

+ Chỉ số khoá độ dài 2 bit, gồm 2 chỉ số khoá cho 2 TEK.

+ Thời gian sống của TEK. Giá trị mặc định là nửa ngày, giá trị nhỏ nhất là 30 phút và lớn nhất là 7 ngày.

+ IV 64 bit cho mỗi TEK.

+ SA cho dữ liệu có 3 loại:

- SA chính được thiết lập trong suốt quá trình khởi tạo.

- SA tĩnh được cấu hình sẵn trên BS.

- SA động được xây dựng động vào các kết nối vận chuyển.

Khi một kết nối vận chuyển được tạo ra SA khởi tạo một DSA bằng một yêu cầu tạo kết nối (create_connection . ) Một DSA có thể dùng cho nhiều CID.

Khi SS tham gia vào mạng WiMax tự động tạo một SA cho kết nối quản lý thứ cấp Do vậy một SS cố định thường có hai hoặc ba SA, một cho kết nối . quản lý thứ cấp và một hoặc hai SA còn lại cho cả các kết nối vận chuyển đường lên và đường xuống hoặc chia 2 SA còn lại cho đường lên và đường xuống. Nếu như có một nhóm multicast thì cũng sẽ cần một SA để mà chia sẻ với các nhóm khác.

Một SA khác mà không được định nghĩa rõ ràng trong chuẩn WiMax là SA chứng thực (Authorization SA ASA). ASA được chia sẻ giữa một BS và - một SS Khoá chứng thực AK được xem là của BS và SS, AK là một khoá bí . mật. BS sử dụng ASA để cấu hình DSA cho SS. ASA có các thành phần sau:

- Một chứng chỉ X509 để nhận dạng SS.

- Một khoá chứng thực 160 bit AK (authentication key . ử dụng khoá AK ) S cho việc chứng thực để sử dụng các kết nối vận chuyển trong WiMax.

- Một chỉ số 4 bít để nhận dạng AK.

- Thời gian sống của AK từ 1 70 ngày. Thời gian sống mặc định là 7 ngày. - - Một khoá mã hoá khoá KEK (key encryption key) dùng cho việc phân phối khoá TEK. Khoá KEK được xây dựng như sau:

KEK= Truncate128(SHA1((AK | 044) ⊕ 5364)) Trong đó:

Truncate128(): hàm bỏ đi tất cả chỉ giữ lại 128 bit đầu a | b: nghĩa là nối a với b

⊕: là hàm XOR

an: nghĩa là octét a được lặp lại n lần

SHA1: thuật toán băm được định nghĩa bởi NITS (National Institue of Standard and Teachnology)

- Một khoá mã chứng thực bản tin dựa trên hàm băm HMAC (Hash Message Authentication Code) đường xuống cung cấp tính xác thực dữ liệu của các bản tin phân phối khoá từ BS tới SS Khoá này được xây dựng như sau: .

HMAC_KEY_D = SHA1((AK | 044) ⊕ 3A64)

- Một khoá HMAC đường lên cung cấp tính xác thực dữ liệu của các bản tin phân phối khoá từ SS tới BS. Khoá này được xây dựng như sau:

HMAC_KEY_U=SHA1((AK | 044) ⊕ 5C64) - Một danh sách các DSA đã chứng thực.

Bảng 3.3. Bảng tóm tắt các khoá mã hoá được dùng với SA

Khoá Được

to bi

Dùng cho mục đích Th i gian sng

Thut toán Khoá chứng

thực AK

BS Tạo KEK

Tính toán bản tóm tắt HMAC

Kiểm tra bản tóm tắt HMAC đã nhận đư c ợ

1-70 ngày 3DES SHA1

Khoá mã hoá khoá KEK

BS, SS Mã hoá TEK để truyền (BS)

Giải mã TEK đ s ể ử dụng (SS)

Giống như AK

3DES

Khoá mã hoá lưu lượng TEK

BS Mã hoá lưu lượng dữ liệu

30 phút đến 7 ngày

DES- CBC

Một phần của tài liệu Nghiên ứu công nghệ ofdm và ứng dụng trong wimax (Trang 78 - 82)

Tải bản đầy đủ (PDF)

(123 trang)