Chứng chỉ điện tử X.509
X.509 là một chuẩn về chứng chỉ điện tử của ITU, hoạt động dựa vào cơ chế mã hóa công cộng. Nó gồm có một khóa công cộng và địa chỉ MAC mà đã được nhà sản xuất ghi ngay lên thiết bị.
Khóa cấp phép AK
AK được BS cấp cho SS ngay sau khi SS được chấp nhận. Cả BS và SS đều biết AK. Về phía BS, AK được dùng để thực thi các thuật toán đảm bảo tính toàn vẹn các thông tin trong quá trình trao đổi khóa và mã hóa khóa TEK để gửi cho SS, tức là AK chứa KEK. Về phía SS, AK cũng được dùng để giải mã, đảm bảo tính toàn vẹn các thông tin yêu cầu gửi tới BS cũng như để giải mã khóa TEK. AK có thể coi là khóa cũng có thể coi là tập hợp các thông tin để khởi tạo nên một phiên trao đổi thông tin an toàn.
Khóa KEK
Khóa bắt nguồn từ AK, cả BS và SS đều nắm được khóa này, được dùng để mã hóa và giải mã khóa TEK. Là khóa đối xứng.
Khóa TEK
TEK được dùng để mã hóa và giải mã luồng dữ liệu trao đổi giữa BS và SS. Là khóa đối xứng.
Để nâng cao độ an toàn, các khóa trên không phải là cố định mà chúng sẽ có một thời gian sống riêng. Thời gian sống của các khóa có thể thay đổi tùy cầu hình từ BS và SS.
Một SS sẽ sử dụng giao thức PKM để nhận được sự cấp phép và các khóa từ BS. Giao thức này sử dụng chứng chỉ điện tử X509, thuật toán mã hóa RSA cùng một loạt thuật toán mã hóa khác để trao đổi khóa giữa BS và SS. PKM cũng làm việc theo mô hình client/server, ở đó SS (client) yêu cầu các thông tin về khóa và BS (server) sẽ đáp trả các yêu cầu này. PKM sẽ sử dụng các bản tin quản lí. PKM sử dụng cơ chế mã hóa công cộng để thiết lập nên một cơ sở bảo mật riêng giữa SS và BS.
BS sẽ chứng thực SS trong quá trình khởi tạo sự cấp phép cho SS. Mỗi SS sẽ mang một chứng chỉ điện tử duy nhất X.509.
Tiến trình cấp phép cho SS và trao đổi khóa AK
Tiến trình chứng thực sử dụng các thông tin mà nhà sản xuất ghi sẵn lên thiết bị. Tiến trình này BS thực hiện các việc: nhận dạng SS, BS cung cấp cho SS thông tin AK, SAID….
SS bắt đầu chứng thực bằng cách gửi một bản tin chứng thực tới BS, gọi là bản tin AI (Authorization Information). Bản tin chứng thực này là các thông tin về X.509
của nhà sản xuất thiết bị. AI hoàn toàn mang tính chất thông tin, BS có thể nhận nó hoặc lờ đi. Tuy nhiên, AI là bản tin chứa toàn bộ những thông tin cần thiết về thiết bị và nhà sản xuất.
Ngay sau đó SS gửi một bản tin yêu cầu chứng thực là Authorization Request tới BS. Yêu cầu này gồm có các thông tin như: X.509, bản mô tả các thuật toán mã hóa chứng thực mà SS có thể sử dụng, CID của kết nối cơ bản (CID này được BS cấp cho SS trước đó) hay cũng chính là SAID.
BS nhận yêu cầu, thông qua các nhận dạng của SS để xem có cần chứng thực cho SS hay không, ví dụ như chứng chỉ điện tử SS đưa ra đã được cấp phép chưa, có đúng chuẩn không. Nếu có, BS xác định các thuật toán sẽ được sử dụng chung với SS, kích hoạt AK cho SS, mã hóa AK bằng khóa công cộng1 của SS và gửi trả các thông tin này cho SS. Bản tin gửi trả này gọi là Authorization Reply. Authorization Reply gồm các dữ liệu sau: AK đã được mã hóa, một chỉ số của khóa, thời gian sống của khóa, các SAID của SA chính và SA tĩnh.
Các yêu cầu chứng thực cũng sẽ được thực hiện lại theo chu kì, nhưng trong các lần sau, bản tin AI sẽ không cần phải gửi. Hình .12 mô tả quá trình chứng thực
Hình 4: Quá trình cấp phép và trao đổi khóa AK
Tiến trình trao đổi khóa TEK
Sau khi SS được cấp phép và nhận được AK, SS sẽ gửi đến BS bản tin yêu cầu (Key Request) về khóa TEK, mỗi SAID sẽ có một cơ chế yêu cầu riêng.
BS sẽ gửi trả SS bản tin (Key Reply) chứa thông tin về khóa này. Nội dung của khóa TEK được mã hóa bởi khóa KEK, một khóa đối xứng. SS sẽ nhận được và dùng KEK để giải mã ra khóa TEK.
Hình 5: Quá trình trao đổi khóa TEK
Từ đây quá trình trao đổi các gói tin sẽ được mã hóa sẽ thông qua TEK.