Mạng WiMAX sử dụng một lớp con bảo mật riêng, lớp con này nằm ở lớp MAC, ngay sát lớp vật lý. Lớp này thực hiện mã hoá trước khi truyền đi và giải mã dữ liệu nhận được từ lớp vật lý. Lớp con bảo mật cũng thực hiện nhận thực và trao đổi khóa bảo mật.
Có 2 giao thức hoạt động chính trong lớp con bảo mật:
+ Giao thức mã hoá dữ liệu thông qua mạng băng rộng không dây;
+ Giao thức quản lý khoá và bảo mật (PKM) đảm bảo an toàn cho quá trình phân phối khoá từ BS tới SS. Nó cũng cho phép BS đặt điều khiển truy nhập cho các dịch vụ mạng.
* Giao thức PKM sử dụng:
- Thuật toán khoá công khai RSA - Chứng thực số X.509
- Thuật toán mã hoá mạnh để thực hiện trao đổi khoá giữa SS và BS.
* Liên kết bảo mật SA
SA chứa các thông tin về bảo mật của một kết nối: tức là các khoá và các thuật toán mã hoá được lựa chọn. Các kết nối quản lý cơ sở và sơ cấp không có SA, Tuy vậy tính nguyên vẹn của bản tin quản lý vẫn được đảm bảo. Quản lý thứ cấp có thể có SA. Các kết nối vận chuyển luôn chứa SA.
SA là một hệ thống thông tin bảo mật một BS và một hoặc nhiều hơn các SS khách chia sẻ để hỗ trợ đảm bảo sự truyền thông trong mạng 802.16. Ba loại SA được định nghĩa: Sơ cấp, tĩnh và động. Mỗi SS thiết lập một liên kết bảo mật sơ cấp trong suốt quá trình khởi tạo SS. Các SA tĩnh được cung cấp cho BS. Các SA động được thiết lập và loại bỏ khi bắt đầu và kết thúc các luồng dịch vụ xác định. Cả SA tĩnh và SA động đều có thể được chia sẻ bởi nhiều SS.
Thông tin được chia sẻ của SA sẽ bao gồm bộ mã hóa trong SA. Thông tin được chia sẻ có thể bao gồm các TEK và các vecto khởi tạo. Nội dung thêm vào của SA phụ thuộc vào bộ mã hóa.
Mạng WiMAX và thử nghiệm ở Việt Nam
62
62
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.v Các SA được nhận dạng sử dụng SAID
Mỗi SS sẽ thiết lập một SA ban đầu dành riêng với BS của nó. SAID của bất kỳ SA ban đầu của SS sẽ có thể bằng CID cơ bản của SS đó.
Sử dụng giao thức PKM, một SS yêu cầu từ BS của nó một khóa cần thiết của SA. BS sẽ đảm bảo rằng mỗi khoách SS chỉ truy cập tới SA mà nó được phép truy cập.
Có 2 SA: DSA (Data SA- Liên kết bảo mật dữ liệu) và ASA (Liên kết bảo mật chứng thực)
* Liên kết bảo mật dữ liệu DSA: Có
+ 16 bit nhận dạng SA, thông tin phương thức mã hoá nhằm bảo vệ dữ liệu khi truyền chúng trên kênh truyền.
+ 2 khoá bảo mật lưu lượng TEK để mã hoá dữ liệu: một TEK đang hoạt động và một khoá dự phòng. Mỗi TEK nằm trong khoảng 30 phút tới 7 ngày.
Có 3 loại DSA:
+ Primary SA được sử dụng trong quá trình khởi tạo liên kết. Được chia sẻ giữa MS và BS đang phục vụ nó;
+ Static SA đã được cấu hình trên B;
+ Dynamic SA được sử dụng cho các kết nối vận chuyển khi cần.
Static SA và Dynamic SA có thể được một vài MS chia sẻ trong hoạt động Multicast.
Khi thực hiện một kết nối, đầu tiên SA khởi tạo một DSA bằmg cách sử dụng chức năng yêu cầu kết nối.
Một SS thông thường có 2 hoặc 3 SA: - Một cho kết nối quản lý thứ cấp
- Một cho kết nối cho cả đường lên và đường xuống, hoặc sử dụng các SA tách biệt cho kênh đường lên và đường xuống.
BS đảm bảo rằng mỗi SS chỉ có thể truy nhập bằng SA mà nó cấp riêng cho SS.
Mạng WiMAX và thử nghiệm ở Việt Nam (adsbygoogle = window.adsbygoogle || []).push({});
63
63
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.v SA chứng thực bao gồm một khoá cấp phép dài 60 bit (AK) và 4 bit nhận
dạng AK. Thời gian sử dụng của AK thay đổi từ 1 tới 70 ngày. Khoá mã hoá khoá KEK sử dụng thuật toán 3 DES 112 bit cho các TEK phân phối và một danh sách các DSA cấp phép.
- Khoá HMAC đường xuống DL và đường lên UL được sử dụng để nhận thực dữ liệu trong bản tin phân phối khoá từ BS tới SS và SS tới BS. Trạng thái của một SA chứng thực được chia sẻ giữa một BS và một SS thực tế. Các BS sử dụng SA chứng thực để cấu hình các DSA trên SS.