MỤC LỤC i
DANH SÁCH CÁC HÌNH VẼ iv
THUẬT NGỮ VIẾT TẮT vi
LỜI NÓI ĐẦU xii
CHƯƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ TRUY NHẬP KHÔNG DÂY 1
1.1 Quá trình phát triển của các mạng truy nhập không dây 1
1.2 Các chuẩn công nghệ truy nhập không dây băng rộng của IEEE 10
1.2.1 IEEE 802.11 10
1.2.2 IEEE 802.15 11
1.2.3 IEEE 802.16 11
1.2.4 IEEE 802.20 12
1.3 So sánh giữa các công nghệ 12
1.4 Thị trường và xu hướng phát triển băng rộng không dây trên thế giới 13
1.5 Một số tổ chức tiêu chuẩn và các hãng liên quan 19
KẾT LUẬN 22
CHƯƠNG II: CÔNG NGHỆ WIMAX 12
2.1 Nguồn gốc và sự ra đời của chuẩn WIMAX 12
2.1.1 Tổ chức WIMAX FORUM 12
2.1.2 Lịch sử WIMAX 12
2.1.3 Khái niệm WIMAX 12
2.2. Lớp vật lí PHY 14
2.2.1 Ghép kênh phân chia theo tần số trực giao( OFDM) 14
2.2.2 Truyền lan LOS và NLOS 17
2.2.3 Các kĩ thuật song công FDD và TDD 19
2.2.4 Cấu trúc khung lớp vật lí 20
2.2.5 Mã hóa kênh 23
2.3 Một số kĩ thuật điều khiển lớp vật lí 25
2.3.1 Đồng bộ 25
2.3.2 Ranging 26
2.3.3 Điều khiển công suất 27
2.3.4 Lựa chọn tần số động (DFS) 28
2.4 Phân lớp giao thức MAC 28
2.4.1 Lớp con hội tụ dịch vụ riêng MAC-SSCS 30
2.4.2 Lớp con phần chung MAC-CPS 31
2.4.3 MAC-PS 40
2.5 Các đặc điểm bổ sung của WIMAX trong IEEE 802.16e 52
2.5.1. Nền tảng OFDMA 54
2.5.2 SOFDMA ( OFDMA theo tỉ lệ ) 57
2.5.3 Quản lí tính di động 58
2.5.5 Kĩ thuật Hybrid ARQ (HARQ) 59
2.5.6 Tái sử dụng tần số 60
2.5.7 Bảo mật 62
2.6 Các công nghệ vô tuyến cải tiến trong Wimax 63
2.6.1. Phân tập phát và thu 63
Kĩ thuật MIMO 63
2.6.3. Hệ thống anten thích ứng AAS 64
2.7. Kiến trúc mạng WIMAX 65
2.7.1. Mạng dịch vụ truy nhập ASN 65
2.7.2. Mạng dịch vụ kết nối 66
2.7.3. Cấu hình mạng 66
2.7.4 Quá trình vào mạng 68
2.7.5 Phân loại chất lượng dịch vụ 71
2.8 Các ứng dụng của Wimax 72
KẾT LUẬN 74
CHƯƠNG III: TRIỂN KHAI WIMAX 85
3.1 So sánh giữa WIMAX và WI-FI 85
3.2 Wimax 802.16-2004 hay 802.16e 89
3.4 Thời cơ và thách thức của Wimax 91
3.3 Tình hình triển khai trên thế giới 95
3.3.1 Thị phần phát triển Wimax trên thế giới 95
3.3.2 Tình hình giới thiệu thiết bị trên thế giới 97
3.3.3 Chính sách quản lí Wimax của các quốc gia 99
3.4 Tình hình triển khai Wimax ở Việt Nam 107
3.4.1. Tình hình chung 107
3.4.2 Triển khai thí điểm Wimax tại Lào Cai 108
KẾT LUẬN xii
KẾT LUẬN xii
TÀI LIỆU THAM KHẢO xiii
133 trang |
Chia sẻ: huong.duong | Lượt xem: 1164 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Công nghệ Wimax, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ong BS
SA động : Được tạo ra ở bộ phận điều chỉnh tốc độ
Được nhận dạng bởi 16 bit SAID
Các kết nối được ánh xạ đến các SA
Có nhiều mức độ khóa và cách dùng chúng
Khóa chung
Được chứa trong chứng nhận số X.509
Được đưa ra bởi các nhà sản xuất SS
Được dùng để mật mã hóa khóa nhận thực
Khóa nhận thực(AK)
Được cung cấp bởi BS cho SS lúc nhận thực
Được dùng để nhận được khóa mật mã khóa KEK
Khóa mật mã khóa KEK
Nhận được từ khóa nhận thực
Sử dụng để mã hóa khóa mật mã hóa lưu lượng TEK
Khóa mật mã hóa lưu lượng TEK
Được cung cấp bởi BS cho SS lúc trao đổi khóa
Sử dụng để mã hóa tải trọng dữ liệu lưu lượng
Giải pháp bảo mật của 802.16
Các kĩ thuật bảo mật của 802.16-2004 dựa trên giao thức quản lí khóa bảo mật PKM đã được định nghĩa trong DOCSIS( các chi tiết kĩ thuật giao diện với dữ liệu qua dịch vụ cáp). DOCSIS được dùng ở Bắc Mĩ cho việc truyền tải dữ liệu đảm bảo qua các kết nối hữu tuyến ví dụ như DSL( đường dây thuê bao số).
Trong khuôn khổ giao thức 802.16, giao thức PKM có hiệu lực trong lớp con MAC thấp nhất –là lớp con bảo mật. Như IPSec ( bảo mật IP), giao thức PKM dựa trên các kết hợp bảo mật (SA). Có một SA nhận thực, không được chỉ ra trong 802.16 và một SA dữ liệu cho mỗi kết nối truyền tải ( và cũng có một cho kết nối quản lí thứ cấp)
2.4.3.1 Lược đồ quản lí khóa
Quản lí khóa dựa trên lược đồ truyền tải khóa RSA. Khóa chung của SS được gửi từ SS đến BS trong một chứng nhận được đánh dấu.
Nhiệm vụ đầu tiên của RSA: ở BS, khóa chung được dùng để nhận thực bằng cách phân tích các tín hiệu số của SS
Ví dụ nếu A mật mã hóa một bản tin với khóa riêng của cô ấy, bất kì ai cũng có thể giải mã bản tin đó sử dụng khóa chung của A. Không ai có thể mật mã bản tin đó theo cách mà việc giải mã bản tin với khóa chung của A sẽ cho một giá trị hợp lệ.
Nhiệm vụ thứ 2 của RSA: BS sử dụng khóa chung của SS để mật mã hóa một khóa bảo mật chính và sau đó gửi khóa bảo mật chính đã được mật mã hóa đến SS
Ví dụ nếu A mật mã hóa một bản tin với khóa chung của B, chỉ B có thể giải mã bản tin đó sử dụng khóa riêng của anh ta. Không ai có thể giải mã bản tin đó do khóa riêng của B được yêu cầu cho mục đích này.
RSA= quản lí khóa+nhận thực
Sau khi bí mật chính ( khóa nhận thực) được gửi đến SS, các khóa phụ ( KEK= khóa mật mã khóa) được chuyển đổi từ khóa chính ở cả hai đầu cuối của kết nối bảo mật. Hơn nữa, một khóa phụ khác ( TEK=khóa mật mã hóa lưu lượng) được tạo ra ở BS cho mỗi kết nối truyền tải và được gửi một cách bảo mật đến SS.
Nói cách khác, lược đồ quản lí khóa đầy đủ là khá phức tạp.
2.4.3.2 Cách sử dụng các chứng nhận
Mỗi SS bao gồm theo mặc định cả một chứng nhận số X.509 được lắp đặt bởi xí nghiệp phát hành của hãng sản xuất ( với địa chỉ MAC gắn liền với SS như một bộ nhận dạng duy nhất) và chứng nhận của hãng sản xuất.
BS không chứa bất kì chứng nhận nào. Dẫn đến, do nhận thực dựa trên chứng nhận được sử dụng nên SS được nhận thực nhưng BS thì không, điều này cho phép một BS bất hợp pháp hoạt động như một BS hợp pháp mà SS không thể thông báo về điều này.
2.4.3.3 Phương pháp nhận thực
SS tự nhận thực nó bằng cách gửi một chứng nhận số được đánh dấu đến BS. Việc nhận thực trên cơ sở chứng nhận sử dụng một tín hiệu số khá yếu. Nó tốt hơn việc sử dụng phương pháp lệnh hồi đáp hay kĩ thuật bảo mật được dùng trong SSL ( ví dụ sau khi nhận thực và truyền tải khóa, trình tự bắt tay hoàn thành là tính toàn vẹn được kiểm tra vì thế một người tấn công vào trung tâm có thể dễ dàng bị phát hiện).
Quản lí khóa và nhận thực
Yêu cầu nhận thực ( Chứng nhận SS chứa khóa chung SS, các khả năng bảo mật, SAID) do SS gửi đến BS
Xác minh chứng nhận SS
Phát khoá nhận thực AK
Trả lời nhận thực ( bao gồm AK mà đã được mật mã hóa sử dụng khóa chung SS, hệ bảo mật được lựa chọn, thời gian sống của khóa =1.70 ngày) do BS gửi cho SS
AK được sử dụng để tạo thêm các khóa
BS
SS
1. Yêu cầu nhận thực
2. Xác minh chứng nhận SS
3. Phát khoá nhận thực AK
4. Trả lời nhận thực
5. AK được sử dụng để tạo thêm các khóa....
5. AK được sử dụng để tạo thêm các khóa....
Hình 2.22: Quá trình trao đổi khoá để nhận thực
Phương pháp bảo vệ tính toàn vẹn
Thông tin gửi qua quản lí đã bảo mật và các kết nối truyền tải mà tính toàn vẹn được bảo vệ sử dụng SHA-1( thuật toán xáo trộn bảo mật 1)
Các bản tin giao thức PKM tự chúng được bảo vệ tính toàn vẹn sử dụng kĩ thuật mã hóa nhận thực bản tin đã xáo trộn (HMAC) cùng với SHA-1
Phương pháp mật mã hóa dữ liệu
Phương pháp mật mã hóa là chuẩn mật mã hóa dữ liệu DES vận hành theo kiểu dây chuyền khối mật mã với các khóa 56 bit
Một tùy chọn tăng thêm bảo mật là AES ( chuẩn mật mã hóa nâng cao). Điều này được xem như một sự cải thiện trong tương lai.
Chỉ có thông tin được mang qua các kết nối quản lí thứ cấp và các kết nối truyền tải là được mật mã hóa. Ngược lại, các kết nối quản lí cơ bản và các kết nối quản lí sơ cấp là không được bảo mật.
Những cải thiện trong tương lai
Các cải thiện được đề nghị:
1. Thay thế DES với AES để mật mã hóa tốt hơn
2. Sử dụng IEEE 802.1X để nhận thực
3. Sử dụng khuôn dạng EAP cùng với ví dụ như SSL/TLS
Cải thiện 1 và 3 được xem xét bao gồm trong đặc điểm IEEE 802.16
Cải thiện 2 đã bị từ chối ( EAP sẽ được tích hợp trong lớp con bảo mật hiện có)
2.4.3.4 Giao thức quản lí khóa
Một SS sử dụng giao thức PKM để đạt được nhận thực và vật liệu khóa lưu lượng từ BS, và để hỗ trợ tái nhận thực theo định kì và làm mới khóa. Giao thức quản lí khóa sử dụng chứng nhận số X.509 (IETF RFC 3280), thuật toán mật mã khóa chung RAS ( PKCS#1) và các thuật toán mật mã mạnh để thực hiện trao đổi khóa giữa BS và SS.
Giao thức PKM tuân theo kiểu chính/ phụ, ở SS là một PKM phụ, yêu cầu vật liệu khóa và ở BS là một PKM chính đáp ứng các yêu cầu đó, đảm bảo rằng các PKM phụ của SS cụ thể chỉ nhận vật liệu khóa cho BS mà chúng được nhận thực.
Giao thức PKM sử dụng mật mã khóa chung để thiết lập một bảo mật chung ( ví dụ một AK) giữa SS và BS. Bảo mật chung sau đó được dùng để bảo mật các trao đổi PKM tiếp theo sau của các TEK. Đây là một kĩ thuật hai tầng để phân phối khóa cho phép làm mới các TEK mà không cần các hoạt động khóa chung có nhiều tính toán.
Một BS nhận thực một SS phụ trong khi trao đổi nhận thực ban đầu. Mỗi SS mang một chứng nhận số X.509 được tạo ra bởi nhà sản xuất SS. Chứng nhận số chứa khóa chung của SS và địa chỉ MAC của SS. Khi yêu cầu một AK, một SS đưa ra chứng nhận số của nó cho BS. BS xác minh chứng nhận số, và sau đó sử dụng khóa chung đã xác minh để mật mã hóa một AK, sau đó BS gửi trả lại cho SS đã yêu cầu.
BS kết hợp một nhận dạng đã nhận thực của SS cho một thuê bao thanh toán, và sau đó đến dịch vụ dữ liệu mà thuê bao được nhận thực để truy nhập. Do đó, với việc trao đổi AK, BS thiết lập một nhận dạng đã nhận thực của một SS phụ và dịch vụ mà SS đó được nhận thực để truy nhập.
Vì BS nhận thực SS, nó có thể bảo vệ tránh khỏi một kẻ tấn công sử dụng một SS bắt chước, giả mạo giống như một SS của thuê bao hợp pháp. Sử dụng chứng nhận X.509 ngăn chặn các SS bắt chước vào BS từ các giấy ủy nhiệm làm giả được chấp nhận. ( một SS giả nếu sử dụng chứng nhận để vào BS, BS sẽ dùng khóa chung để giải mã và sẽ thu được giá trị không hợp lệ).
Tất cả các SS sẽ có cặp khóa chung/riêng RSA được xí nghiệp sản xuất lắp đặt hay cung cấp một thuật toán nội bộ để tạo ra cặp khóa đó một cách tự động. Nếu một SS tin tưởng vào thuật toán nội bộ để tạo ra cặp khóa RSA của nó, SS sẽ tạo ra cặp khóa trước khi trao đổi AK đầu tiên của nó. Tất cả các SS với cặp khóa RSA được xí nghiệp sản xuất lắp đặt cũng sẽ có chứng nhận X.509 được xí nghiệp đó lắp đặt. Tất cả các SS tin tưởng vào thuật toán nội bộ để tạo ra một cặp khóa RSA sẽ hỗ trợ một kĩ thuật để lắp đặt một chứng nhận X.509 do nhà sản xuất tạo ra.
a/. Các kết hợp bảo mật SA
Một kết hợp bảo mật (SA) là một tập hợp thông tin bảo mật mà một BS và một hay nhiều SS phụ của nó chia sẻ theo nguyên tắc hỗ trợ truyền thông bảo mật qua mạng. Có 3 loại SA được định nghĩa: Cơ bản, tĩnh và động. Mỗi SS có thể quản lí thiết lập một SA cơ bản trong quá trình khởi tạo SS. Các SA tĩnh được cung cấp trong BS. Các SA động được thiết lập và loại bỏ trong quãng thời gian tương ứng với khởi tạo và kết thúc các luồng dịch vụ riêng biệt. Các SA động và tĩnh đều có thể chia sẻ bởi nhiều SS.
Thông tin được chia sẻ của một SA sẽ bao gồm hệ mật mã được tận dụng trong SA đó. Thông tin được chia sẻ có thể bao gồm các TEK và các vector khởi tạo. Nội dung chính xác của một SA tùy thuộc vào hệ mật mã của SA đó.
Các SA được nhận dạng sử dụng SAID
Mỗi SS có thể quản lí sẽ thiết lập một SA cơ bản duy nhất với BS của nó. SAID của bất kì SA cơ bản của SS sẽ được cân bằng với Basic CID của SS đó.
Sử dụng giao thức PKM, một SS yêu cầu từ BS của nó vật liệu khóa của một SA. BS sẽ đảm bảo rằng mỗi SS phụ của nó chỉ truy nhập đến các SA mà nó được cho phép để truy nhập.
Vật liệu khóa của một SA (ví dụ khóa chuẩn hóa mật mã dữ liệu DES và các vector khởi tạo CBC) bị giới hạn về thời gian sống. Khi BS phân phát vật liệu khóa SA cho một SS, nó cũng cung cấp cho SS thời gian sống còn lại của vật liệu khóa đó. Nhiệm vụ của SS để yêu cầu vật liệu khóa mới từ BS trước khi một bộ vật liệu khóa mà SS hiện đang nắm giữ hết hiệu lực với BS. Có thể vật liệu khóa đang dùng hết hiệu lực trước khi một bộ vật liệu khóa mới được nhận, như vậy SS sẽ thực hiện đi vào mạng. Giao thức PKM cho biết làm cách nào SS và BS duy trì đồng bộ khóa.
Ánh xạ các kết nối đến các SA
Các quy tắc sau để ánh xạ các kết nối đến các SA:
Tất cả các kết nối truyền tải sẽ được ánh xạ đến một SA đang tồn tại
Các kết nối truyền tải đa điểm có thể được ánh xạ đến bất kì SA tĩnh hay động nào.
Các kết nối quản kí sơ cấp và cơ bản sẽ không được ánh xạ đến SA.
Ánh xạ thực tế đạt được bằng cách gộp SAID của một SA đang tồn tại trong các bản tin DSA-xxx cùng với CID. Không có ánh xạ rõ ràng của kết nối quản lí thứ cấp đến SA cơ bản được yêu cầu.
Hệ mật mã
Một hệ mật mã là một tập hợp các phương pháp mật mã hóa dữ liệu, nhận thực dữ liệu và trao đổi TEK của SA.
b./ Giao thức PKM
Tổng quan nhận thực SS và trao đổi AK
Nhận thực SS được điều khiển bởi kĩ thuật trạng thái nhận thực, là quá trình bao gồm:
BS nhận thực một nhận dạng của SS phụ
BS cung cấp cho SS đã nhận thực một AK, từ một khóa mật mã khóa KEK và các khóa nhận thực bản tin nó nhận được
BS cung cấp cho SS đã nhận thực các nhận dạng ( SAID,..) và các đặc tính của các SA cơ bản và SA tĩnh mà SS được nhận thực để đạt được thông tin khóa cho nó.
Sau khi đạt được nhận thực ban đầu, một SS theo định kì đòi hỏi BS tái nhận thực; tái nhận thực cũng được quản lí bởi kĩ thuật nhận thực của SS. Một SS phải duy trì trạng thái nhận thực của nó với BS theo nguyên tắc cho phép làm mới các TEK cũ. Kĩ thuật trạng thái TEK quản lí việc làm mới các TEK.
Một SS bắt đầu nhận thực bằng cách gửi một bản tin thông tin nhận thực cho BS của nó. Bản tin thông tin nhận thực chứa chứng nhận X.509 của nhà sản xuất SS, được tạo ra bởi chính nhà sản xuất hay bởi một chuyên gia bên ngoài. Bản tin thông tin nhận thực cung cấp nhiều tin tức một cách tin cậy, ví dụ BS có thể chọn để bỏ qua nó. Tuy nhiên nó cung cấp một kĩ thuật cho BS để nhận biết chứng nhận của nhà sản xuất của SS phụ của nó.
SS gửi một bản tin yêu cầu nhận thực đến BS của nó ngay lập tức sau khi gửi một bản tin thông tin nhận thực. Bản tin này yêu cầu một AK, cũng như các nhận dạng SAID của bất kì SA bảo mật tĩnh nào mà SS được nhận thực để tham gia. Yêu cầu nhận thực bao gồm:
Một chứng nhận X.509 của nhà sản xuất
Một miêu tả các thuật toán mật mã mà SS yêu cầu hỗ trợ; các khả năng mật mã của một SS được đưa ra cho BS như một danh sách các bộ nhận dạng hệ mật mã, mỗi cái cho biết một cặp mật mã dữ liệu gói và các thuật toán nhận thực dữ liệu gói cụ thể mà SS hỗ trợ
Basic CID của SS là CID tĩnh đầu tiên mà BS gán cho SS trong khi Initial Ranging, SAID cơ bản được cân bằng với Basic CID.
Đáp lại bản tin yêu cầu nhận thực, BS xác nhận nhận dạng của SS yêu cầu, quyết định thuật toán mật mã hóa và giao thức hỗ trợ mà nó chia sẻ với SS, kích hoạt một AK cho SS, mã hóa nó với khóa chung của SS, và gửi nó trở lại SS trong một bản tin trả lời nhận thực. Trả lời nhận thực bao gồm:
Một AK đã mật mã hóa với khóa chung của SS
Số tuần tự 4 bit sử dụng để phân biệt giữa các lần tạo ra liên tiếp của các AK.
Thời gian sống của khóa
Các nhận dạng và các đặc tính của một SA cơ bản và không hay nhiều hơn các SA tĩnh mà SS được nhận thực để đạt được thông tin khóa cho nó.
Trong khi trả lời nhận thực sẽ nhận dạng các SA tĩnh thêm vào SA cơ bản mà phù hợp với Basic CID của SS yêu cầu, trả lời nhận thực sẽ không nhận dạng bất kì SA động nào.
BS đáp lại yêu cầu nhận thực của SS, sẽ quyết định SS yêu cầu được hay không, nhận dạng của chúng sẽ được kiểm tra thông qua chứng nhận X.509, được nhận thực với các dịch vụ đơn điểm cơ bản và các dịch vụ được cung cấp thêm không thay đổi mà người sử dụng của SS tán thành (ví dụ các SAID tĩnh).
Một SS sẽ định kì làm mới AK của nó bằng cách phát lại một yêu cầu nhận thực đến BS. Tái nhận thực giống như nhận thực với ngoại lệ là SS không gửi bản tin thông tin nhận thực trong chu kì tái nhận thực.
Để tránh làm ngắt quãng dịch vụ trong khi nhận thực, các lần phát ra liên tiếp của các AK có các thời gain sống chồng nhau. Cả SS và BS có thể hỗ trợ đồng thời hai AK hoạt động trong các chu kì quá độ này. Hoạt động của thuật toán lập lịch yêu cầu nhận thực của kĩ thuật trạng thái nhận thực được kết hợp với cơ chế hoạt động của BS để cập nhật và sử dụng các AK của một SS phụ đảm bảo rằng SS có thể làm mới thông tin khóa TEK mà không làm ngắt quãng qua tiến trình của các chu kì tái nhận thực của SS.
2.4.3.5 Tổng quan trao đổi TEK
Trao đổi TEK với cấu hình PMP
Sau khi được nhận thực, một SS bắt đầu kĩ thuật trạng thái TEK riêng biệt cho mỗi SAID được nhận dạng trong bản tin trả lời nhận thực. Mỗi kĩ thuật trạng thái TEK hoạt động trong SS chịu trách nhiệm quản lí vật liệu khóa kết hợp với SAID tương ứng của nó. Kĩ thuật trạng thái TEK theo định kì gửi một bản tun yêu cầu khóa đến BS, yêu cầu làm mới vật liệu khóa cho các SAID tương ứng.
BS đáp lại một yêu cầu khóa với một bản tin trả lời khóa, chứa vật liệu khóa hoạt động của BS cho một SAID cụ thể.
TEK được mật mã hóa sử dụng KEK thích hợp có nguồn gốc từ AK.
Trong tất cả thời gian BS duy trì hai bộ vật liệu khóa hoạt động trên mỗi SAID. Thời gian sống của hai bộ chồng lên nhau như thế mỗi bộ bắt đầu hoạt động vào nửa thời gian sống của bộ tạo trước và hết hiệu lực vào nửa thời gian sống của bộ tạo sau. Một BS bao gồm trong các trả lời khóa của nó cả hai bộ vật liệu khóa hoạt động của SAID.
Trả lời khóa cung cấp cho SS yêu cầu thêm vào TEK và vector khởi tạo CBC, thời gian sống còn lại của mỗi bộ trong hai bộ vật liệu khóa. SS nhận sử dụng thời gian sống còn lại để ước lượng thời điểm BS sẽ làm mất hiệu lực một TEK cụ thể, và do đó thời điểm cần lập lịch sắp đến.
Các yêu cầu khóa mà SS yêu cầu và nhận một vật liệu khóa mới trước khi BS làm mất hiệu lực vật liệu khóa mà SS hiện đang giữ.
Hoạt động của thuật toán lập lịch yêu cầu khóa của kĩ thuật trạng thái TEK được kết hợp với cơ chế hoạt động của BS để cập nhật và sử dụng một vật liệu khóa của SAID, đảm bảo rằng SS sẽ có thể tiếp tục trao đổi lưu lượng đã mã hóa với BS.
Kĩ thuật trạng thái TEK giữ nguyên hoạt động với điều kiện:
SS được nhận thực để hoạt động trong miền bảo mật của BS, nó có một giá trị AK hợp lệ, và
SS được nhận thực để tham gia vào một SA cụ thể ví dụ BS tiếp tục cung cấp vật liệu khóa mới trong các chu kì tái tạo khóa.
Kĩ thuật trạng thái nhận thực cơ sở tạm dừng tất cả các kĩ thuật trạng thái TEK sản phẩm của nó khi SS nhận từ BS một từ chối nhận thực trong chu kì tái nhận thực. Kĩ thuật trạng thái TEK cụ thể có thể được khởi động hay tạm dừng trong chu kì nhận thực nếu các nhận thực SAID tĩnh của một SS thay đổi giữa các lần tái nhận thực liên tiếp.
Liên hệ giữa nhận thực và kĩ thuật trạng thái TEK xảy ra thông qua sự kết thúc của các sự kiện và bản tin giao thức. Kĩ thuật trạng thái nhận thực tạo ra các sự kiện ( tạm dừng, cho phép nhận thực, đang nhận thực, và hoàn thành nhận thực) mà được tập trung trong các kĩ thuật trạng thái TEK sản phẩm của nó. Kĩ thuật trạng thái TEK không tập trung vào các sự kiện ở kĩ huật trạng thái nhận thực cơ sở. Kĩ thuật đó tác động đến kĩ thuật cơ sở một cách trực tiếp thông qua bản tin mà một BS gửi đáp lại cho các yêu cầu của một SS, một BS có thể trả lời các yêu cầu của một kĩ thuật TEK với một trả lời bị lỗi ( bản tin hết hạn nhận thực) để được xử lí bởi kĩ thuật trạng thái nhận thực.
Trao đổi khóa với kiểu Mesh
Sau khi nhận thực, một node chuyển đến mỗi Neighbor một kĩ thuật trạng thái TEK riêng biệt cho mỗi SAID trong bản tin trả lời nhận thực. Mỗi kĩ thuật trạng thái TEK hoạt động trong node đó chịu trách nhiệm quản lí vật liệu khóa kết hợp với SAID tương ứng của nó. Node đó chịu trách nhiệm duy trì các TEK giữa nó và tất cả các node mà nó khởi tạo trao đổi TEK với nó. Kĩ thuật trạng thái TEK của nó theo định kì gửi các bản tin yêu cầu khóa đến các Neighbor của Node đó, yêu cầu làm mới vật liệu khóa đối với các SAID tương ứng của chúng.
Neighbor trả lời yêu cầu khóa bằng một bản tin trả lời khóa chứa vật liệu khóa hoạt động của BS đối với một SAID cụ thể.
TEK trong trả lời khóa được mật mã hóa, sử dụng khóa chung của Node được tìm thấy trong chứng nhận SS.
Tất cả thời gian Node duy trì hai bộ vật liệu khóa hoạt động cho mỗi SAID với mỗi Neighbor. Thời gian sống của hai bộ khóa chồng lên nhau, điều đó nghĩa là mỗi bộ trở thành hoạt động vào nửa thời gian sống của bộ tạo trước và hết hiệu lực vào nửa thời gian sống của bộ tạo sau. Một neighbor bao gồm trong các trả lời khóa của nó cả hai bộ vật liệu khóa hoạt động của SAID.
Trả lời khóa cung cấp cho Node yêu cầu, thêm TEK, thời gain sống còn lại của mỗi bộ trong hai bộ vật liệu khóa. Node nhận sử dụng các thời gian sống còn lại này để ước lượng thời điểm Neighbor làm mất hiệu lực một TEK cụ thể, và do đó thời điểm để lập lịch cho các bản tin yêu cầu khóa sắp tới. Cơ chế truyền tải giữa Node ban đầu và Neighbor quyết định cho sự chuyển tiếp khóa không gián đoạn.
2.4.3.6 Tạo và ánh xạ SA động
Các SA động là các SA mà BS thiết lập và loại bỏ một cách linh động tương ứng với việc cho phép và không cho phép các luồng dịch vụ đường xuống cụ thể. Các SS nhận biết ánh xạ của một luồng dịch vụ cụ thể được bảo mật để SA được gán một cách linh động cho luồng dịch vụ đó thông qua trao đổi các bản tin DSx.
Tạo SA động
BS có thể thiết lập các SA một cách linh động bằng cách tạo ra một bản tin địa chỉ SA. Vào lúc nhận một bản tin địa chỉ SA, SS sẽ bắt đầu một kĩ thuật trạng thái TEK cho mỗi SA được liệt kê trong bản tin
Ánh xạ các SA động
Khi tạo một luồng dịch vụ mới, một SS có thể yêu cầu một SA đang tồn tại được sử dụng bằng cách chấp nhận SAID của SA trong một bản tin DSA-REQ hoặc DSC-REQ. BS kiểm tra nhận thực của SS đối với SA đã yêu cầu và tạo ra một đáp ứng thích hợp sử dụng một bản tin DSA-REQ hoặc DSC-REQ một cách tương ứng.
Với các dịch vụ được BS khởi tạo, một BS cũng sẽ ánh xạ một luồng dịch vụ mới đến một SA đang tồn tại được hỗ trợ bởi một SS cụ thể. SAID của SA sẽ được chuyển đến SS đó trong một bản tin DSA-REQ hay DSC-REQ.
2.4.3.7 Phương pháp bảo mật
a./ Các phương pháp mật mã hóa dữ liệu
a.1./ Mật mã dữ liệu với DES theo kiểu CBC
Nếu chỉ số nhận dạng thuật toán mật mã hóa dữ liệu trong hệ mật mã của một SA bằng 0x01, dữ liệu trên các kết nối kết hợp với SA đó sẽ sử dụng kiểu CBC của thuật toán chuẩn mật mã hóa dữ liệu US (DES) để mật mã tải trọng MAC PDU.
CBC-IV ( Initialization Vector) sẽ được tính toán như sau:
Ở đường xuống, CBC sẽ được bắt đầu với hàm hoặc- loại trừ (XOR) của tham số IV được kể đến trong thông tin khóa TEK, và nội dung của trường đồng bộ PHY của DL-MAP cuối cùng.
Ở đường xuống, CBC sẽ được bắt đầu với XOR tham số IV được kể đến trong thông tin khóa AK và nội dung của trường đồng bộ PHY của DL-MAP đang có hiệu lực khi UL-MAP của đường lên được tạo ra.
Xử lí khối đầu cuối còn lại sẽ được sử dụng để mật mã hóa khối cuối cùng của văn bản được mã hóa khi khối cuối cùng ít hơn 64 bít. Cho một khối cuối cùng n bít, khi n nhỏ hơn 64 khối văn bản đã mã hóa gần cuối sẽ được mã hóa DES vào thời điểm tiếp theo, sử dụng kiểu ghi địa chỉ mã điện tử (ECB), và n bit quan trọng nhất của kết quả được XOR hóa với n bit cuối cùng của tải trọng để tạo ra khối mật mã cuối cùng thiếu. Để đầu thu giải mã khối mật mã cuối cùng thiếu, đầu thu mã hóa DES khối mật mã gần cuối, sử dụng kiểu ECB và XOR n bit quan trọng nhất với khối mật mã cuối cùng thiếu để lấy lại khối dữ liệu sạch cuối cùng thiếu.
Trong trường hợp đặc biệt khi tải tròng của MAC PDU nhỏ hơn 64 bit, IV sẽ được mã hóa DES và n bit quan trọng nhất của dữ liệu đã mã hóa thu được, tương ứng với số bit của tải trọng sẽ được XOR hóa với n bit của tải trọng để tạo ra khối mật mã thiếu.
a.2./ Mã hóa dữ liệu với AES theo kiểu CCM
Nếu nhận dạng thuật toán mật mã dữ liệu trong hệ mật mã của một SA có giá trị 0x02, dữ liệu trên các kết nối được kết hợp với SA đó sẽ sử dụng kiểu CCM của thuật toán chuẩn mật mã hóa nâng cao Mĩ (AES) để mật mã hóa tải trọng MAC PDU.
Định dạng tải trọng PDU
Tải trọng PDU sẽ được gắn với 4 byte PN ( số gói). PN sẽ không được mật mã hóa.
PDU plaintex sẽ được mật mã và nhận thực sử dụng TEK tích cực, theo đặc điểm kĩ thuật CCM. Cái này được gắn thêm 8 byte ICV (giá trị kiểm tra tính toàn vẹn) vào cuối tải trọng và mật mã hóa cả tải trọng plaintex và ICV.
ICV dạng mật mã được phát trong những byte cuối cùng.
Packet Number (PN)
PN được kết hợp với một SA sẽ được thiết lập là 1 khi SA được thiết lập và khi một TEK mới được lắp đặt. Sau mỗi lần truyền PDU, PN sẽ tăng lên 1. Ở các kết nối đường lên, PN sẽ được XOR với 0x80000000 trước khi mật mã và truyền dẫn. Ở kết nối đường xuống, PN sẽ được sử dụng mà không thay đổi.
Một giá trị của { PN, KEY} sẽ không được dùng nhiều hơn một lần cho việc truyền dữ liệu. SS sẽ đảm bảo rằng một TEK mới được yêu cầu và truyền đi trước khi PN trên SS hoặc BS đạt giá trị 0x7FFFFFFF. Nếu PN trong SS hoặc BS đạt giá trị đó thì không có khóa mới nào được cài đặt, truyền tải các liên lạc trên SA đó sẽ được tạm ngừng cho đến khi các TEK mới được lắp đặt.
Thuật toán CCM
Chi tiết kĩ thuật NIST CCM định nghĩa một số tham số của thuật toán. Các tham số sẽ là các giá trị cụ thể cố định khi được sử dụng trong các SA với nhận dạng thuật toán mật mã dữ liệu bằng 0x02. Số lượng octet trong trường nhận thực M sẽ được thiết lập là 8. Phù hợp với đặc điểm kĩ thuật CCM, mã hóa nhị phân 3 bit của M sẽ là 011.
Kích cỡ của trường độ dài sẽ được thiết lập là 2. Mã hóa nhị phân 3 bit của trường kích cỡ DLEN sẽ là 001.
Trong độ dài 13 byte. Byte 1đến 5 sẽ được thiết lập 5 byte của GMH (do loại bỏ HCS). Byte 6 đến 9 được dự trữ và sẽ được thiết lập 0x00000000. Byte 10 đến 13 sẽ được thiết lập giá trị của PN. Byte 10 sẽ là byte ít ý nghĩa nhất và byte 13 là byte ý nghĩa nhất.
Phù hợp với đặc điểm kĩ thuật CCM, khối đầu tiên B0 được định dạng như hình vẽ sau.
Nguyên tắc xử lí thu
Khi nhận một PDU, đầu thu SS hay BS sẽ giải mã và nhận thực PDU đó phù hợp với đặc điểm NIST CCM như trên.
Các gói được nhận thấy chưa nhận thực sẽ bị hủy.
BS hay các SS thu sẽ duy trì một báo cáo giá trị PN lớn nhất nhận được cho mỗi SA. Nếu một gói được nhận với một PN mà bằng hoặc nhỏ hơn giá trị cực đại đã báo cáo cho SA thì sẽ được bảo vệ thấp hơn sau đó gói sẽ bị hủy như một gói bị lặp.
Mật mã hóa TEK
Có ba cách mật mã hóa một TEK
Mật mã hóa TEK với 3-DES
Mật mã hóa TEK với RSA
Mật mã hóa TEK-128 với AES
Nguồn gốc của các khóa TEK, KEK và các khóa nhận thực bản tin
BS tạo ra các AK, TEK và các IV
Các khóa DES
Có hai loại khóa DES 56 bit và 64 bít. Giao thức PKM không yêu cầu parity lẻ mà nó tạo ra và phân phối các khóa DES 64bit của parity bất kì, và yêu cầu những bổ sung để bỏ qua giá trị bít ít quan trọng nhất của mỗi khóa
Các khóa 3-DES KEK
Vật liệu khóa cho 2 khóa 3-DES bao gồm 2 khóa DES riêng biệt. Trong đó 64 bit quan trọng nhất của KEK được dùng trong hoạt động mật mã và 64 bit ít quan trọng nhất được sử dụng trong hoạt động giải mã.
Chữ kí số
Giao thức tận dụng thuật toán chữ kí số RSA (PKCS#1) với SHA-1 (FIP 186-2) cho cả hai loại chứng nhận của nó.
Với các khóa mật mã RSA, bảo mật sử dụng 65537 (0x010001) như một số mũ chung cho hoạt động đánh dấu của nó. Các CA nhà sản xuất sẽ sử dụng các độ dài trị tuyệt đối khóa đánh dấu tối thiểu là 1024 bit và tối đa 2048 bít.
2.5 Các đặc điểm bổ sung của WIMAX trong IEEE 802.16e
Wimax di động là một giải pháp không dây băng rộng cho phép hội tụ các mạng băng rộng cố định và di động thông qua một công nghệ truy nhập vô tuyến băng rộng diện rộng thông dụng và kiến trúc mạng mềm dẻo. Giao diện không gian Wimax di động thông qua công nghệ đa truy nhập phân chia theo tần số trực giao (OFDMA) để cải thiện hiệu năng đa đường trong môi trường NLOS. OFDMA theo tỉ lệ (SOFDMA) được giới thiệu trong bổ sung IEEE 802.16e để hỗ trợ các băng tần kênh tr
Các file đính kèm theo tài liệu này:
- 6251.doc