Locked History Actions

Security Association

Žodis angliškai

Security Association

Santrumpa

SA

Žodis Lietuviškai

Saugus susijungimas


Apibrėžimas

Saugus susijungimas (Security Association, SA) – vienpusis susijungimas, užtikrinantis apsaugotą duomenų perdavimą tarp tinklo įrenginių. SA būna dviejų tipų:

  • Data Security Association (Data SA), saugus susijungimas duomenų perdavimui.
  • Authorization Security Association (Authorization SA), saugus susijungimas autorizacijai.


Paaiškinimai

Saugus susijungimas duomenų perdavimui

Apsaugotas susijungimas duomenų perdavimui būna trijų rūšių:

  • Pirminis (pagrindinis) (Primary SA);
  • Statinis (Static SA);
  • Dinaminis (Dynamic SA);

Pirminis apsaugotas susijungimas sudaromas abonentinėje stotyje, inicializacijos procesui. Bazinė stotis vėliau sudaro statinį saugų susijungimą. Dinaminiai susijungimai yra sudaromi ir panaikinami pagal poreikį, priklausomai nuo paslaugų srautų. Statinis ir dinaminis apsaugoti susijungimai gali būti vieni kelioms abonentų stotims.

Apsaugotą susijungimą duomenų perdavimui apibūdina:

  • 16-bitų susijungimo identifikatorius
  • Šifravimo metodas, naudojamas duomenų apsaugai susijungimo metu.
  • Du Traffic Encryption Key (TEK, srauto šifravimo raktas), esamas ir tas, kuris bus naudojamas, kai baigsis pirmojo galiojimo laikas.
  • Du dviejų bitų identifikatoriai, po vieną kiekvienam TEK.
  • TEK galiojimo laikas. Gali turėti reikšmę nuo 30 minučių iki 7 dienų. Reikšmė pagal nutylėjimą, 12 valandų.
  • Du 64-bitų inicializacijos vektoriai, po vieną kiekvienam TEK (reikalingas šifravimo algoritmui DES).
  • Susijungimo tipo identifikatorius (pirminis, statinis ar dinaminis).

Abonentų stotys paprastai turi vieną apsaugotą susijungimą duomenims (data SA) antriniam valdymo kanalui (secondary management channel); ir arba vieną apsaugotą susijungimą duomenų perdavimui į abi puses (uplink и downlink), arba vieną apsaugotą susijungimą ryšiui tarp bazinės ir abonentų stočių, ir vieną – grįžtamajam ryšiui.

Saugus susijungimas autorizacijai

Abonentinė stotis ir bazinė stotis sudaro vieną apsaugotą susijungimą autorizacijai. Bazinė stotis naudoja apsaugotą susijungimą autorizacijai ir saugaus ryšio duomenų kanalo konfigūravimui.

Apsaugotas ryšys autorizacijai apibūdinamas:

  • Sertifikatu X.509, identifikuojančiu abonentinę stotį, jos gamintoją.
  • 160-bitų autorizacijos raktu (authorization key, AK). Naudojamas autentifikacijai, TEK raktų apsikeitimo metu.
  • 4-bitų autorizacijos rakto identifikatoriumi.
  • Autorizacijos rakto galiojimo laiku. Gali priimti reikšmę nuo 1 iki 70 dienų. Reikšmė pagal nutylėjimą, 7 dienos.
  • 128-bitų raktų šifravimo raktu (Key encryption key, KEK). Naudojamas TEK raktų šifravimui ir paskirstymui.
  • HMAC (hash-based message authentication code) raktu žemynkrypčiams (downlink) pranešimams, TEK raktų apsikeitimo metu.
  • HMAC raktu aukštynkrypčiams (uplink) pranešimams, TEK raktų apsikeitimo metu

KEK apskaičiuojamas tokiu būdu:

  1. Atliekama konkatenacija (sujungimas) šešioliktainio skaičiaus 0x53 su pačiu savimi 64 kartus. Gaunasi 512 bitų.
  2. Iš dešinės prirašomas autorizacijos raktas.
  3. Apskaičiuojama gauto skaičiaus sklaidos funkcija (Hash function) SHA-1. Išėjime gaunama 160 bitų.
  4. Pirmieji 128 bitai naudojami kaip KEK, likę bitai nereikalingi.

HMAC raktai apskaičiuojami tokiu būdu:

  1. Atliekama konkatenacija šešioliktainio skaičiaus 0x3A (uplink) arba 0x5C (downlink) su pačiu savimi 64 kartus.
  2. Iš dešinės prirašomas autorizacijos raktas.
  3. Apskaičiuojama gauto skaičiaus sklaidos funkcija SHA-1. Išėjime gaunama 160 bitų. Tai ir yra HMAC raktas.


Naudota literatūra

1. http://ru.wikipedia.org/wiki/Безопасность_в_сетях_WiMAX


CategoryŽodis