2020-01-14
214
Абонентская станция и базовая станция разделяют одну ассоциацию для безопасности авторизации. Базовая станция использует authorization SA для конфигурирования data SA. Authorization SA состоит из
· сертификат X.509, идентифицирующий абонентскую станцию, а также сертификат X.509, идентифицирующий производителя абонентской станции.
· 160-битовый ключ авторизации (authorization key, AK). Используется для аутентификации во время обмена ключами TEK.
· 4-битовый идентификатор ключа авторизации.
· Время жизни ключа авторизации. Может иметь значение от 1 дня до 70 дней. Значение по умолчанию 7 дней.
· 128-битовый ключ шифрования ключа (Key encryption key, KEK). Используется для шифрования и распределения ключей TEK.
· Ключ HMAC для нисходящих сообщений (downlink) при обмене ключами TEK.
· Ключ HMAC для восходящих сообщений (uplink) при обмене ключами TEK.
· Список data SA, для которых данная абонентская станция авторизована.
KEK вычисляется следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x53 с самим собой 64 раза. Получаются 512 бит.
|
|
|
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе.
4. Первые 128 бит берутся в качестве KEK, остальные отбрасываются.
Ключи HMAC вычисляются следующим образом:
1. Проводится конкатенация шестнадцатеричного числа 0x3A (uplink) или 0x5C (downlink) с самим собой 64 раза.
2. Справа приписывается ключ авторизации.
3. Вычисляется хэш-функция SHA-1 от этого числа. Получаются 160 бит на выходе. Это и есть ключ HMAC.
Extensible Authentication Protocol
Extensible Authentication Protocol (EAP, расширяемый протокол аутентификации) - это протокол, описывающий более гибкую схему аутентификации по сравнению с сертификатами X.509. Она была введена в дополнении к стандарту IEEE 802.16e. EAP-сообщения кодируются прямо в кадры управления. В связи с этим в протокол PKM были добавлены два новых сообщения PKM EAP request (EAP-запрос) и PKM EAP response (EAP-ответ). Стандарт IEEE 802.16e не устанавливает какой-либо определенный метод аутентификации EAP, эта область сейчас активно исследуется.
Privacy and Key Management Protocol
Privacy and Key Management Protocol (PKM Protocol) – это протокол для получения авторизации и ключей шифрования траффика TEK.
Авторизация
1. Абонентская станция начинает обмен, посылая сообщение, содержащее X.509 сертификат изготовителя абонентской станции. Обычно этот сертификат никак не используется базовой станцией, хотя возможно настроить базовую станцию так, что авторизоваться будут только абонентские станции от доверяемых производителей.
2. Сразу после первого сообщения, абонентская станция отправляет сообщение, содержащее X.509 сертификат самой абонентской станции, ее криптографические возможности и идентификатор основной SA (Primary SA).
|
|
|
3. Базовая станция по сертификату абонента определяет, авторизован ли он. Если он авторизован, она посылает сообщение, содержащее зашифрованный ключ авторизации, последовательный номер данного ключа авторизации, его время жизни, а также список идентификаторов Static SA, в которых абонент авторизован. Ключ авторизации шифруется алгоритмом RSA с публичным ключом, получаемым из сертификата абонентской станции. Однажды авторизовавшись, абонентская станция будет периодически переавторизовываться.
