Download miễn phí Đề tài Giao thức quản lý bảo mật khóa PKM



MỤC LỤC
LỜI NÓI ĐẦU i
MỤC LỤC i
1. Giới thiệu chung về giao thức (PKM) 1
1.1. Định nghĩa 1
1.2. Nguồn gốc và mục đích của PKM 1
2. Giao thức PKMv1 2
2.1. Cơ sở và nguyên lý hoạt động của PKMv1 2
2.1.1. Cơ sở về giao thức PKM 2
2.1.2. Thiết lập khóa xác thực 3
2.2. Pha xác lập khoá xác thực (AK) 4
2.3. Pha trao đổi TEK 5
2.4. Việc chuyển tiếp khoá và đồng bộ 6
2.4.1. Chuyển tiếp AK 6
2.4.2. Chuyển tiếp TEK 7
3. Giao thức PKMv2 8
3.1. Xác thực qua lại giữa BS và MS 8
3.2. Xác thực và điều khiển truy nhập trong PKMv2 8
3.2.1. Xác thực qua lại dựa trên khoá công khai trong PKMv2 8
3.2.1.1. Tin nhắn yêu cầu cấp phép 9
3.2.1.2. Tin nhắn phản hồi việc cấp phép 9
3.2.1.3. Tin nhắn cấp phép 10
3.2.2. Xác thực qua lại dựa trên EAP trong PKMv2 10
3.2.2.1. Ba cách thay đổi giữa trạm gốc và trạm di động 10
3.2.3. Khoá phân cấp PKMv2 11
3.2.3.1. Sự thiết lập khoá xác thực và nguồn gốc
thuật toán khoá công cộng thay đổi 11
3.2.3.2. Nguồn gốc mật mã khoá và việc sinh khoá mật mã
lưu lượng 12
3.2.4. So sánh với PKMv1 13
TÀI LIỆU THAM KHẢO 15
KẾT LUẬN 15
 


http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2013-03-22-de_tai_giao_thuc_quan_ly_bao_mat_khoa_pkm.5aIz0eyAza.swf /tai-lieu/de-tai-ung-dung-tren-liketly-4785/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

ciation Identifier
Nhận dạng kết hợp bảo mật
SONET
Synchronous Optical Network
Chuẩn xác định truyền thông trên cáp quang
SS
Subscriber Station
Trạm thuê bao
T
TEK
Traffic Encryption Key
Khóa mật mã lưu lượng
TLS
Transport Layer Security
Bảo mật lớp truyền tải
W
WAN
Wide Area
Network mạng diện rộng
WDM
Wavelength Division Multiplexing
Ghép kênh đa bước sóng
WEP
Wired Equivalent Privacy
Bảo mật đương lượng hữu tuyến
Wi-Fi
Wireless Fidelity
Trung thực vô tuyến
WLAN
Wireless LAN
Mạng LAN không dây
WMAN
Wireless MAN
Mạng MAN không dây
1. Giới thiệu chung về giao thức (PKM)
Định nghĩa:
Giao thức quản lý khóa bảo mật có hiệu lực trong lớp con MAC thấp nhất: là lớp con bảo mật. Như IpSec (bảo mật IP), giao thức PKM dựa trên các kết hợp bảo mật (SA). Có một SA nhận thực, không được chỉ ra trong 802.16 và một SA dữ liệu cho mỗi kết nối truyền tải (và cũng có một kết nối quản lý thứ cấp)
Nguồn gốc và mục đích của PKM:
Các kỹ thuật bảo mật của 802.16-2004 dựa trên giao thức quản lý khóa bảo mật PKM đã được định nghĩa trong DOCSIS (các chi tiết kỹ thuật giao diện với dữ liệu qua dịch vụ cáp). DOCSIS được dùng ở Bắc Mỹ cho việc truyền tải dữ liệu đảm bảo qua các kết nối hữu tuyến ví dụ như DSL (đường dây thuê bao số). DOCSIS phát triển bởi CableLabs, cũng được dùng cho tivi cáp và được coi là đặc tả giao tiếp bảo mật cơ sở nâng cao hay BPI+.
Giao thức PKMv1
Trong phần này chúng ta sẽ xem xét khái quát giao thức PKM để thấy được một vài ngữ cảnh về hoạt động của giao thức này, đồng thời tóm tắt các loại bản tin trao đổi giữa BS và SS. Sau đó phân tích các phần liên kết bảo mật trong 802.16 đáng chú ý trong giao thức PKM. Vì đặc tả tầng giao thức an toàn 802.16 MAC rất gần với BPI+, do đó có thể tham khảo trực tiếp BPI+ để thông qua đó biết thêm thông tin về PKM
Cơ sở và nguyên lý hoạt động của PKMv1
2.1.1. Cơ sở về giao thức PKM
Giao thức PKM được SS sử dụng để xác thực và lấy khóa bảo mật từ BS, hỗ trợ xác thực định kỳ và làm mới khóa.
PKM sử dụng chứng chỉ số X.509 và DES 3 khóa đôi để đảm bảo trao đổi khóa giữa SS và BS cho trước theo mô hình client-server. Ở đây SS giống như client yêu cầu khóa trong khi BS là server, đáp ứng những yêu cầu đó, đảm bảo client SS chỉ nhận được duy nhất khóa mà client đã được xác thực. Đầu tiên PKM thiết lập một khóa ủy quyền (AK) là một khóa đối xứng bí mật được chia sẻ giữa SS và BS. AK được dùng để bảo đảm các trao đổi PKM tiếp theo cho các khóa mã hóa lưu lượng (TEK). Việc sử dụng AK và hệ thống mã khóa đối xứng (như DES) làm giảm bớt những tốn phí do các tính toán cho khóa công khai.
BS xác thực một SS trong quá trình trao đổi xác thực ban đầu. Như đã nói ở trên, mỗi thiết bị SS chứa một chứng chỉ thiết bị X.509 trong phần cứng do nhà sản xuất SS tạo ra. Chứng chỉ thiết bị SS chứa khóa công khai RSA (một nửa tính cá nhân được lưu trong phần cứng thiết bj), và các thông tin đặc trưng cho thiết bị như địa chỉ MAC, số serial, ID nhà sản xuất. Trong khi trao đổi xác thực, SS sẽ gửi một bản sao của chứng chỉ thiết bị cho BS. Sau đó BS phải kiểm tra cú pháp và thông tin trong chứng chỉ SS, và cũng có thể kiểm tra tính đúng đắn của đường dẫn chứng chỉ. Nếu thỏa mãn thì BS sẽ trả lời SS bằng cách mã hóa AK (được gán cho SS đó) sử dụng khóa công khai của SS (có được trong chứng chỉ đã nhận được từ SS). Do chỉ có thiết bị SS chứa khóa cá nhân đúng, chỉ thiết bị SS mới có thể giải mã bản tin và lấy được AK đã được gán cho nó (và bắt đầu sử dụng AK).
Chú ý rằng mặc dù chứng chỉ thiết bị SS được công khai cho mọi nguời, chỉ thiết bị SS mới truy cập được khóa cá nhân đúng của khóa công khai trong chứng chỉ. Như vậy để ngăn chặn thiết bị và chứng chỉ của nó bị sao chép, cần để khóa cá nhân trong phần cứng của thiết bị. Do đó, cái giá phải trả cho việc hacker lấy được khóa sẽ cao hơn nhiều so với việc hacker làm chủ được thiết bị.
2.1.2. Thiết lập khóa xác thực
Hình 1: Luồng giao thức PKM cơ bản
2.2 Pha xác lập khoá xác thực (AK)
Quá trình xác định quyền hạn của SS và AK từ BS gồm các bước sau, đầu tiên là chứng minh SS giống với BS thông qua tính xác thực:
Bước 1: SS xác định thông tin thông báo là dúng:
SS với tư cách là khách hàng mới có quy trình yêu cầu cấp quyền và gửi thông tin chính xác đến BS. Thông báo này có lựa chọn và không cần quan tâm đến bởi BS.( thông báo đến, có thể là thông báo yêu cầu cấp quyền và sẽ có nhiều hon nội dung thông báo nhu thế)
Ðầu tiên thông báo cho phép BS nhận thức được và có khả năng nghiên cứu về SS, xác định nội dung lượng thông tin thông báo:
- Ðịa chỉ MAC của SS
- Khoá công cộng RSA của SS
- Chứng nhận X509 của SS (chế tạo sản phẩm)
- Danh sách có khả năng hỗ trợ bằng mật mã bởi SS.
- Nhận dạng (SAID) SS của nguồn SA.
- Chứng nhận X509 CA của thiết bị chế tạo SS.
Chú ý: thông báo dó cho phép BS kiểm tra ngay xem SS có hiệu lực với nguồn SA hay không, có sản xuất hợp lý không.
Bước 2: SS thông báo yêu cầu cấp quyền
Ngay lập tức cho phép chứng minh thông tin là dúng và SS gửi đến BS thông báo yêu cầu cấp quyền, thậm chí còn yêu cầu cho AK và cho SIAD của một vài SA tĩnh trong SS được tham gia vào.
Thông báo yêu cầu cấp quyền bao gồm các thông số sau:
- Thiết bị SS phải có pass và ID
- Ðịa chỉ MAC của SS
- Khoá công cộng RSA của SS
- Chứng nhận X509 của SS
- Danh sách có khả năng hỗ trợ bằng mật mã bởi SS
- Nhận dạng (SAID) SS của nguồn SA.
Chú ý: (SAID) SS của nguồn SA bằng với nguồn kết nối ID hay CID nhận được từ BS.
Bước 3: BS thông báo trả lời cấp quyền
Trong khi nhận thông báo yêu cầu cấp quyền từ SS thì BS kiểm tra và chứng nhận, check các thiết đặt có khả năng mã hoá của SS.
Nếu tất cả đều tốt và đều hỗ trỡ cho BS một hay nhiều khả năng mã hoá của SS. BS gửi thông báo trả lời cấp quyền cho SS.
Thông báo này có nội dung như sau:
- Cấp phép cho khoá duy nhất và viết lại thành mật mã với khoá công cộng RSA của SS.
- Khoá chuỗi số 4 bit thuờng dùng để phân biệt giữa sự liên tục và các đời mới của AK.
- Tồn tại khoá sử dụng được trong AK.
- SAIDs của nguồn SA được thêm 0 hay thêm vào SAs tĩnh để SS cấp phép cho việc thu nhận thông tin về khoá.
SS này là của tất cả SAs tĩnh, BS có thông tin với liên kết của SS.
Trước đó SAID của nguồn SA sẽ bằng với nguồn CID.
Chú ý một trong các nguyên nhân bảo mật nguồn SA là phải đồng nhất trong thông báo trả lời cấp quyền.
Vì mục đích bảo mật nên phải luôn làm mới định kỳ AK bởi vì SS không gửi cho BS thông báo yêu cầu cấp quyền đó là phải giống nhau về quyền hạn(bước 2) ngoại trừ việc cấp phép cho SS không cần bắt đầu với việc gửi thông tin thông báo cấp quyền (bước 1).
Ðó là vì BS nhận biết được sẽ giống nhau của SS và có ít nhất 1 AK.
Chú ý: SS đã cho và BS có thể hỗ trợ đồng thời 2 hoạt động của khoá Aks.
2.3 Pha trao đổi TEK
Theo như thông báo trả lời cấp quyền (nội dung của SAIDs) từ BS báo cho biết quyền hạn của SS nhận được TEKs từ BS.
Như đã nói ở trên nội dung thông báo trả lời cấp quyền...

---