HOÀNG THỊ QUỲNH LAN BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - HOÀNG THỊ QUỲNH LAN KỸ THUẬT ĐIỆN TỬ VIỄN THÔNG TÊN ĐỀ TÀI LUẬN VĂN AN NINH VÀ BẢO MẬT TRONG WIMAX LUẬN VĂN THẠC SĨ KHOA HỌC KỸ THUẬT ĐIỆN TỬ VIỄN THƠNG KHỐ: 2010 HÀ NỘI – NĂM 2012 An ninh bảo mật WiMAX    LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành đến TS Trần Viết Nguyên, người quan tâm động viên, giúp đỡ hướng dẫn em trình thực luận văn Sự tận tình, tâm huyết thầy giúp em hồn thành tốt nghiên cứu Em xin chân thành cảm ơn Thầy, cô Viện Điện tử Viễn thông trang bị cho em kiến thức, kinh nghiệm thực tế nhận xét q báu để em có khả hồn thành luận văn Cuối em xin gửi lời cảm ơn đặc biệt tới gia đình bạn bè dành nhiều quan tâm quý báu, giúp đỡ tận tình cho em q trình làm luận văn ln chia sẻ giải khó khăn, vướng mắc gặp phải Xin chân thành cảm ơn! Học viên Hoàng Thị Quỳnh Lan I    An ninh bảo mật WiMAX    LỜI CAM ĐOAN Tôi cam đoan rằng, luận văn thạc sỹ kỹ thuật "An ninh bảo mật WiMAX" cơng trình nghiên cứu tơi thực dự hướng dẫn TS Nguyễn Viết Nguyên Những số liệu sử dụng luận văn rõ nguồn trích dẫn danh mục tài liệu tham khảo Kết nghiên cứu chưa công bố cơng trình nghiên cứu từ trước đến Hà Nội, ngày 10/04/2012 Hoàng Thị Quỳnh Lan II    An ninh bảo mật WiMAX    MỤC LỤC LỜI CẢM ƠN I MỤC LỤC III DANH MỤC THUẬT NGỮ VIẾT TẮT X MỤC LỤC HÌNH VẼ XV MỤC LỤC BẢNG XVIII LỜI NÓI ĐẦU Chương 1:GIỚI THIỆU MẠNG WIMAX 1.1 Công nghệ băng thông rộng không dây 1.1.1 Khái niệm băng thông rộng không dây 1.1.2 Ưu điểm mạng băng thông rộng không dây 1.2 Giới thiệu WiMAX 1.2.1 Định nghĩa WiMAX 1.2.2 Đặc điểm công nghệ WiMAX 1.2.3 Các khái niệm WiMAX 1.2.4 Băng tần WiMAX 1.2.5 Các cấu hình hoạt động .10 1.2.5.1 Điểm đến điểm (P2P) 10 1.2.5.1 Điểm đến đa điểm (PMP) 11 1.2.5.3 Chuyển tiếp đa bước 12 1.2.5.4 Cấu hình di động 13 1.2.6 Giới thiệu phát triển chuẩn IEEE 802.16 liên quan .14 1.3 So sánh WiMAX với công nghệ không dây khác 17 III    An ninh bảo mật WiMAX    1.4 Các mơ hình triển khai công nghệ WiMAX 18 1.4.1 Mạng dùng riêng 18 1.4.1.1 Cellular backhaul 18 1.4.1.2 Wireless Service Provider (WSP) Backhaul 19 1.4.1.3 Mạng ngân hàng 20 1.4.1.4 Mạng giáo dục 20 1.4.1.5 An toàn cho truy cập công cộng (Public Safety): 21 1.4.1.6 Thông tin liên lạc xa bờ 22 1.4.1.7 Các công trình xây dựng mang tính tạm thời 23 1.4.1.8 Các khu vực công cộng (Theme Parks) 24 1.4.2 Các mạng phục vụ cộng đồng .25 1.4.2.1 Mạng truy nhập WSP 25 1.4.2.2 Triển khai vùng nông thôn xa xôi hẻo lánh 26 Chương 2:KIẾN TRÚC MẠNG TRUY CẬP WIMAX 28 2.1 Giới thiệu 28 2.2 Mô hình tham chiếu 28 2.3 Lớp MAC 29 2.3.1 Lớp hội tụ MAC 29 2.3.2 Lớp phần chung MAC 29 2.3.2.1 Địa kết nối 29 2.3.2.2 Các định dạng MAC PDU 30 2.3.2.3 Xây dựng truyền tải MAC PDU 33 2.3.2.4 Cơ cấu ARQ 34 2.3.2.5 Truy nhập kênh QoS 35 IV    An ninh bảo mật WiMAX    2.3.2.6 Các cấu yêu cầu cấp phát dải thông 35 2.3.2.7 Hỗ trợ PHY 37 2.3.2.8 Vào mạng 37 2.3.3 Lớp bảo mật 38 2.4 Lớp vật lý 38 2.4.1 Thông số kỹ thuật WirelessMAN-SC PHY 38 2.4.2 Thông số kỹ thuật WirelessMAN-Sca PHY 39 2.4.3 Thông số kỹ thuật WirelessMAN-OFDM PHY 40 2.1.3.1 Đặc điểm 40 2.4.3.2 Symbol OFDM 41 2.4.3.3 Cấu trúc khung 42 2.4.4 Thông số kỹ thuật WirelessMAN-OFDMA 44 2.4.4.1 Đặc điểm 44 2.4.4.2 Symbol OFDMA 44 2.4.4.3 Cấu trúc khung 45 2.4.5 Lớp hội tụ truyền dẫn TC .47 Chương 3: VẤN ĐỀ AN NINH VÀ BẢO MẬT TRONG WIMAX 48 3.1 Các khái niệm an ninh mạng .48 3.1.1 Các vấn đề an ninh 48 3.1.2 Các công an ninh 48 3.1.2.1 Tấn công thụ động 48 3.1.2.2 Tấn công chủ động 49 3.2 An ninh bảo mật mạng WiMAX 50 3.2.1 Liên kết an ninh 51 V    An ninh bảo mật WiMAX    3.2.2 Xác thực .54 3.2.2.1 Mã xác thực tin nhắn băm 54 3.2.2.2 Các chứng X.509 55 3.2.3 Quản lý khóa bảo mật .57 3.2.3.1 Cấp phép trao đổi AK 57 3.2.3.2 Trao đổi PKM TEK 58 3.2.4 Mã hóa liệu .60 3.2.4.1 DES 61 3.2.4.2 AES 62 3.2.4.3 AES chế độ CCM 62 3.3 Quản lý khóa bảo mật .65 3.3.1 Giao thức quản lý khóa bảo mật phiên 65 3.3.1.1 Thủ tục an ninh 66 3.3.1.2 Xác thực 67 3.3.1.3 Trao đổi khóa 69 3.3.1.4 Mã hóa liệu 71 3.3.1.5 Các thách thức 72 3.3.2 Giao thức quản lý khóa bảo mật phiên 73 3.3.2.1 Xác thực lẫn 73 3.3.3.2 Nguồn gốc khóa cấp phép 75 3.3.3 Cải tiến vấn đề an ninh WiMAX 77 3.4 Kết luận 78 Chương 4: CÁC LỖ HỔNG VÀ MỐI ĐE DỌA TRONG AN NINH WIMAX VÀ CÁC GIẢI PHÁP KHẮC PHỤC CÁC VẤN ĐỀ NÀY 79 VI    An ninh bảo mật WiMAX    4.1 Giới thiệu 79 4.2 Các mối đe dọa mạng WiMAX di động 80 4.2.1 Các mối đe dọa lớp PHY 80 4.2.2 Các mối đe dọa lớp MAC mạng PMP .80 4.2.3 Các vấn đề an ninh lớp MAC mạng Mesh 80 4.3 Phân tích vấn đề bảo mật giải pháp khắc phục lỗ hổng, mối đe dọa an ninh WiMAX di động 81 4.3.1 Các vấn đề lớp vật lý PHY 81 4.3.1.1 Gây nhiễu 81 4.3.1.2 Xáo trộn 82 4.3.1.3 Tấn công Water torture 83 4.3.1.4 Tấn công giả mạo 83 4.3.2 Các vấn đề an ninh lớp MAC mạng PMP 83 4.3.2.1 Các cơng DoS/Reply suốt q trình MS gia nhập mạng ban đầu: 83 4.3.2.2 Độ trễ suốt trình chuyển giao xác thực trước không bảo mật 86 4.3.2.3 Tấn công Downgrade [2] 88 4.3.2.4 Hiệu tính tốn thuật tốn mã hóa 88 4.3.3 Các vấn đề an ninh mạng Mesh 88 4.3.3.1 Tấn công Man-in-middle suốt gia nhập mạng ban đầu [3,13] 89 4.3.3.2 Tấn công Man-in-Middle trình xác thực hàng xóm 90 4.3.3.3 Các vấn đề tải mã hóa 91 4.3.3.4 Giả mạo băng thông 91 VII    An ninh bảo mật WiMAX    4.4 Một số lỗ hổng khác tìm thấy chuẩn 802.16e giải pháp khắc phục vấn đề .91 4.4.1 Các tin nhắn không xác thực .91 4.2.2 Thơng tin quản lý khơng mã hóa .95 4.4.3 Chia sẻ khóa dịch vụ Broadcast Multicast 95 4.4.4 Các giải pháp khắc phục lỗ hổng 96 4.5 Kết luận 100 KẾT LUẬN 102 Phụ lục I: Các chuẩn 802.16 ciii Chuẩn 802.16 - 2001 .ciii Chuẩn 802.16a-2003 civ Chuẩn 802.16c- 2002 cvi Chuẩn 802.16-2004 cvi Chuẩn 802.16e cvi 5.1 Lớp vật lý cvii 5.2 Lớp MAC cviii Chuẩn IEEE 802.16f cix Chuẩn IEEE 802.16i cx Chuẩn IEEE 802.16g cx Chuẩn IEEE 802.16k cxi 10 Chuẩn IEEE 802.16h cxii 10.1 Cải thiện MAC để tồn cxii 11 Chuẩn IEEE 802.16j cxiii Phụ lục II: Chứng X.509 cxv VIII    An ninh bảo mật WiMAX    Phụ lục III: EAP cxvi Phụ lục IV: RSA cxvii Phụ luc V: Dot16KDF cho PKMv2 cxviii TÀI LIỆU THAM KHẢO cxix  IX    An ninh bảo mật WiMAX    làm hiệu suất mã hóa cao phương pháp 802.16 – 2004 cung cấp tốc độ mã 3/4 5.2 Lớp MAC Đặc điểm kỹ thuật lớp MAC có sai khác đáng kể so với 802.16 – 2004 để cung cấp hỗ trợ cho di động Nó hỗ trợ quản lý cơng suất chuyển giao Hỗ trợ QoS: 802.16e định nghĩa chế lập lịch mới: dịch vụ hỏi vòng mở rộng thời gian thực (extended real-time hỏi vòng Service ErtPS), dựa hai dịch vụ định nghĩa 802.16 – 2004; dịch vụ cấp không mong muốn (unsolicited grant service UGS); dịch vụ hỏi vòng thời gian thực (real-time hỏi vòng service rtPS) ErtPS tương tự với UGS việc hỗ trợ unicast, tiết kiệm trễ phát sinh yêu cầu băng thông Tuy nhiên, cấp phép ErtPS động giống rtPS cấp phép UGS cố định ErtPS đưa để hỗ trợ luồng dịch vụ thời gian thực tạo gói liệu kích thước thay đổi cách chu kỳ Do đó, ErtPS quan trọng cho việc hỗ trợ VoIP, phép quản lý tốc độ lưu lượng cải thiện độ trễ jitter Hỗ trợ chuyển giao: 802.16e bao gồm yêu cầu mức độ MAC mới/ chế cấp để đạt di động liền mạch tương tự cung cấp cho người sử dụng di động 802.16e bao gồm chuyển mạch trạm sở nhanh chế chuyển giao cứng cho chuyển giao phân vùng chuyển giao ngồi sector Trong 802.16e, q trình chuyển giao khởi tạo hai lý Thứ fading tín hiệu, mức độ nhiễu, … cell sector Lý khác cell cung cấp mức cao QoS cho trạm di động (MS) Hơn nữa, 802.16e hỗ trợ chuyển giao macrodiversity chuyển vùng intertechnology Chuyển giao macrodiversity hỗ trợ chuyển giao cell kích thước khác nhau, chuyển vùng intertechnology xử lý chuyển giao MS từ BS đến mạng xương sống mạng có dây cách cung cáp chế xác thực chuyển vùng cviii    Phụ lục I: Các chuẩn 802.16    Quản lý công suất: Quản lý công suất trình quan trọng cho ứng dụng di động để cải thiện hoạt động hiệu MS.802.16e định nghĩa hai loại hoạt động quản lý công suất, chế độ sleep chế độ idle Hoạt động chế độ idle mang MS MS ý định đăng ký với BS đặc biệt MS ngang qua vùng bao phủ nhiều BS Cải thiện chế độ idle cho BS để tránh nhiều chuyển giao hoạt động bình thường khác SS ngang qua vùng cho BS mạng để tránh chuyển giao không cần thiết từ hoạt động MS Khi MS vào chế độ idle, cần kiểm tra cách định kỳ cho tin nhắn quảng bá gửi BS để xem khung hướng xuống gửi đến (Diễn đàn WiMAX, 2006) Chế độ sleep trạng thái MS gửi yêu cầu đến u cầu khơng có sẵn đến BS Nếu BS đáp ứng với chấp thuận, MS cung cấp với vector thời gian sleep xác định độ dài chu kỳ chế độ sleep Lợi ích hoạt động chế độ sleep để tối thiểu công suất MS sử dụng tạo tài nguyên giao diện khơng khí BS Trong MS chế độ sleep, MS quét BS khác để kết nối thông tin yêu cầu cho chuyển giao suất chế độ sleep Chuẩn IEEE 802.16f Nhóm nghiên cứu quản lý mạng IEEE 802.16 thành lập vào tháng tư năm 2004 Phạm vi công việc để xác định sở thơng tin quản lý (management information base MIB) cho MAC PHY, liên quan đến thủ tục quản lý Nhóm làm việc phê duyệt sửa đổi 802.16f cung cấp MIB cho hệ thống truy cập không dây băng thông rộng tính vào tháng 12 năm 2005 [17] IEEE 802.16f (IEEE NetMan, 2005b) cung cấp mơ hình tham chiếu quản lý cho 802.16 – 2004 dựa vào mạng Mơ hình bao gồm hệ thống quản lý mạng (network management system NMS), quản lý nút, sở liệu luồng dịch vụ BS nút quản lý thu thập thông tin quản lý yêu cầu cung cấp đến NMS thơng qua giao thức quản lý, giao thức quản lý mạng đơn giản (Simple Network Management Protocol SNMP) qua kết nối quản lý cix    An ninh bảo mật WiMAX    thứ hai 802.16 – 2004 IEEE 802.16f dựa SNMP phiên (SNMPv2), tương thích ngược với SNMPv1 802.16f cung cấp hỗ trợ lựa chọn cho SNMPv3 Chuẩn IEEE 802.16i Dự án IEEE 802.16i thành lập vào tháng 12 năm 2005 với nhóm nghiên cứu quản lý mạng để sửa đổi thay 802.16f 802.16i giai đoạn đầu, giai đoạn tiền triển khai Phạm vi 802.16i để cung cấp cải tiến di động 802.16 MIB đến lớp MAC, lớp PHY thủ tục quản lý liên quan Nó sử dụng giao thức trung lập tập trung cho quản lý mạng để xác định mơ hình tài ngun giải pháp liên quan cho quản lý thiết bị mạng di động 802.16 nhiều nhà cung cấp (IEEE NetMan, 2006b) Chuẩn IEEE 802.16g IEEE 802.16g (IEEE NetMan, 2005a) dự án tạo vào tháng năm 2004 nhóm nghiên cứu quản lý mạng Phạm vi 802.16g để xử lý sửa đổi thủ tục dịch vụ 802.16 – 2004 802.16e – 2005; cung cấp biểu đồ quản lý mạng để kích hoạt thời gian hoạt động quản lý hiệu nguồn tài nguyên mạng, di động, phổ; tiêu chuẩn hóa quản lý chức thiết bị 802.16 cố định di động 802.16g định nghĩa lớp hội tụ gói chung (generic packet convergence sublayer GPCS) giao thức độc lập lớp phía lớp hội tụ gói hỗ trợ giao thức ngồi giao diện khơng khí 802.16 GPCS thiết kế để tạo điều kiện cho quản lý kết nối qua thông tin từ giao thức lớp trên, thông tin qua giao thức lớp không cần giải mã phần mào đầu Điều đạt cách cho phép giao thức lớp thông tin vượt qua cách rõ ràng đến điểm truy cập dịch vụ GPCS (SAP) ánh xạ thông tin đến kết nối MAC thích hợp GPCS cung cấp cách lựa chọn để ghép kênh giao thức nhiều lớp kết nối 802.16 tương tự GPCS khơng có nghĩa để thay cho cx    Phụ lục I: Các chuẩn 802.16    lớp hội tụ (CS) định nghĩa tiêu chuẩn sửa đổi 802.16 Đưa thiết bị 802.16 phần mạng lớn hơn, chúng yêu cầu giao tiếp với tồn cho mục đích quản lý điều khiển 802.16g tóm tắt hệ thống quản lý điều khiển mạng (NCMS) nà giao tiếp với BS 802.16g quan tâm đến tương tác quản lý điều khiển lớp MAC/ PHY/ CS thiết bị 802.16 NCMS NCMS bao gồm toàn dịch vụ khác dịch vụ phân trang, dịch vụ gateway router, dịch vụ phiên đa phương tiện quản lý mạng, dịch vụ mạng, dịch vụ đồng , dịch vụ nhớ đệm, dịch vụ phối hợp, dịch vụ quản lý, dịch vụ bảo mật, dịch vụ quản lý mạng, dịch vụ chức chuyển giao độc lập đa phương tiện Tồn chúng tập trung phân tán qua mạng Chi tiết thực thể khác tạo NSMS tốt giao thức NCMS lưu bên phạm vi 802.16g NCMS xử lý phối hợp cần thiết BS cho phép lớp PHY/ MAC/ CS 802.16 độc lập với mạng cho phép linh hoạt phía mạng 802.16g phát triển Chuẩn IEEE 802.16k IEEE 802.16k (IEEE NetMan – TG, 2006a) tạo vào tháng năm 2006 nhóm nghiên cứu quản lý mạng để phát triển loạt tiêu chuẩn sửa đổi IEEE 802.16 IEEE 802.1D cho cầu nối lớp MAC 802.16 Nhóm nghiên cứu 802.16k làm việc để xác địn cải tiến lớp MAC thủ tục cần thiết phép 802.16 – 2004 để hỗ trợ chức cầu nối định nghĩa 802.1D Cầu suốt giả thiết thông tin giống LAN tất công nghệ 802.x, việc truyền node nghe tất nút mạng LAN Tuy nhiên, thiết bị 802.16 – 2004 lọc truyền tải địa chỉ, ngăn cản bắc cầu từ học địa cầu 802.16k (Johnston, 2006) xử lý vấn đề cách miêu tả dịch vụ lớp (ISS internal sublayer service) ánh xạ vào lớp hội tụ 802 gói gói liệu xử lý dịch vụ cxi    An ninh bảo mật WiMAX    Hơn nữa, 802.16k cung cấp hỗ trợ hoàn hảo cho liệu ưu tiên đầu cuối end – to – end qua ánh xạ từ đến one-to-one ưu tiên người sử dụng 10 Chuẩn IEEE 802.16h Nhóm làm việc cấp phép miễn phí 802.16 thành lập vào tháng 12 năm 2004 để phát triển tiêu chuẩn cải thiện chế tồn cho hoạt động phổ cấp phép miễn phí Mục đích IEEE 802.16h (IEEE LE-TG, 2006) để hỗ trợ chế cải thiện MAC phép chế tồn thiết bị 802.16 – 2004 cấp phép miễn phí tạo điều kiện cho tồn với hệ thống khác sử dụng băng tần Sự sửa đổi trình, với phạm vi cho chế xử lý mà ứng dụng cho phổ tần số không khớp định nghĩa 802.16 – 2004 802.16h thiết kế giao thức tồn tại, định nghĩa mức IP chủ yếu dành cho thông tin liên lạc BS – BS Giao thức tồn giới thiệu chế cho thuê đàm phán nguồn phổ vô tuyến BS phạm vi giao thoa Các thủ tục sử dụng giao thức tồn để giải giao thoa sở cho trải phổ giao thoa miền tần số thời gian Sự trải phổ giao thoa miền tần số thực đầu tiên, cho phép trải phổ giao thoa lại miền thời gian 10.1 Cải thiện MAC để tồn 802.16h trình cung cấp cải thiện MAC để hỗ trợ thơng tin sử dụng cấp phép miễn phí băng tần không khớp Chúng ta liệt kê số cải thiện bao gồm (IEEE LE – TG, 2006) Khả đàm phán chế cung cấp lớp MAC cho BS để học khả liên kết SS chức để hỗ trợ băng tần cấp phép tự tồn cxii    Phụ lục I: Các chuẩn 802.16    Kiến trúc kênh mở rộng: sử dụng để định nghĩa băng tần kênh cho quản lý giao thoa tốt Quá trình cung cấp cải thiện để phân hướng định nghĩa số lượng kênh Nó định nghĩa ba biểu đồ phân hướng – số kênh mở rộng, quy định tham chiếu số lượng kênh; kênh sở tham chiếu, định nghĩa phạm vi tần số; không gian kênh, định nghĩa giá trị không gian kênh gia tăng 10kHz Đo lường báo cáo: Một trình cho chế tin nhắn định nghĩa lớp MAC để đo lường báo cáo mức độ giao thoa băng tần sử dụng 11 Chuẩn IEEE 802.16j Nhóm cơng tác chuyển tiếp IEEE 802.16 phụ phụ trách cho sửa đổi phát triển mở rộng IEEE 802.16e – 2005 để hỗ trợ hoạt động chuyển tiếp nhiều bước nhảy Nhóm nghiên cứu chuyển tiếp nhiều bước nhảy di động IEEE 802.16 phụ trách dự án 802.16j từ tháng năm 2005 Nhóm nghiên cứu bị giải tán vào tháng ba năm 2006 dự án bàn giao cho nhóm làm việc chuyển giao, để tiếp tục công việc dự án giai đoạn tiền phác họa 802.16j (IEEE Relay – TG, 2006) nhằm cải thiện mức độ phủ sóng mạng 802.16, băng thông khả hệ thống 802.16j mở rộng kiến trúc hạ tầng mạng 802.16 bao gồm ba lớp chuyển tiếp: lớp chuyển tiếp cố định, lớp chuyển tiếp nomadic, lớp chuyển tiếp di động 802.16j yêu cầu để hoạt động nút chuyển tiếp băng tần cấp phép Giao diện không gian OFDMA PHY đặc điểm kỹ thuật lớp PHY chọn nhóm cho hoạt động 802.16j 802.16j hỗ trợ để xác định cải thiện lớp MAC cần thiết thời gian, khơng thay đổi đặc điểm kỹ thuật SS Tuy nhiên tồn loại chuyển tiếp di động yêu cầu trình chuyển tiếp cần mang MS Để cung cấp trình chuyển tiếp hiệu năng, MS cần lựa chọn hiệu cần có hiểu biết trạng thái mạng, đặc tính di động MS khác lưu lượng Do đó, thơng thường MS phục vụ chuyển tiếp nhiều bước nhảy điện thoại di động (MMR), trạm chuyển tiếp (RS) yêu cầu để cxiii    An ninh bảo mật WiMAX    BS cho MS MS cho BS Do đó, 802.16j định nghĩa ba loại RS có khả hỗ trợ liên kết PMP, liên kết MMR tập hợp lưu lượng truy cập từ nhiều RS Để đạt yêu cầu MMR, 802.16j tăng cường cấu trúc khung bình thường lớp PHY thêm tin nhắn cho chuyển tiếp lớp MAC (Marks, 2006) Chúng ta nhận xét chế độ 802.16 – 2004 lựa chọn khác với 802.16j Trên thực tế 802.16 thực để khắc phục giới hạn chế độ lưới chế độ lưới thay kiến trúc khung PMP kiến trúc điểm đến điểm Do thơng thường thiết bị 802.16 – 2204 PMP liên lạc với thiết bị lưới Do đó, đối tượng 802.16j thiết kế MMR mà không cần sửa SS Do đó, để giữ lại PMP cấu trúc khung tương thích ngược , 802.16j khơng giống cấu trúc mesh định nghĩa kiến trúc mạng đến dựa vào BS gốc cxiv    Phụ lục II: Chứng X.509    Phụ lục II: Chứng X.509 Chứng X.509 quy định IETF RFC 3280 (Cơ sở hạ tầng khóa chung Internet X.509: hồ sơ danh sách chứng thu hồi chứng (CRL)) Một chứng X.509v3 bao gồm phần: Phần thân chứng gồm có - Số phiên (hiện v3, v2 v1) - Một dãy số phân công cấp phép chứng trách nhiệm (CA) - Tờ khai thuật toán chữ ký sử dụng để ký chứng - ID CA mà thiết lập ký giấy chứng - Thời gian hiệu lực (Không hiệu lực trước đó/ khơng hiệu lực sau đó) - Đối tượng ID (người sử dụng) - Khóa chung đối tượng - Số lựa chọn mở rộng v2 v3 Định nghĩa thuật toán chữ ký sử dụng CA để ký chứng Chữ ký đảm bảo tính xác thực chứng chỉ, bao gồm phàn thân chứng băm mã hóa khóa bảo mật CA Các chứng X.509 mã hóa nhị phân sử dụng luật mã hóa destinct (DER destinct encoding rules) Kích thước chứng X.509v3 mã hóa DER bao gồm 1024 bit khóa chung RSA thường sử dụng 900 1500 byte, phụ thuộc vào chiều dài ID đối tượng (user), ID người lập ra, số phiên sử dụng cxv    Phụ lục III: EAP    Phụ lục III: EAP Giao thức xác thực mở rộng giao thức xác thực chung hỗ trợ phương pháp đa xác thực token card, Kerberos, one-time password, chứng chỉ, xác thực khóa chung, thẻ thơng minh EAP khung làm việc xác thực cung số chức chung Nó chạy lớp đường liệu nhe giao thức điểm đến điểm (PPP) IEEE 802, không yêu cầu IP EAP cung cấp hỗ trợ sở hữu cho loại bỏ trùng lặp truyền lại phụ thuộc vào lớp thấp đặt đảm bảo Trong chế độ WiMAX sử dụng EAP, SS gửi yêu cầu kết nối đến BS với nhận dạng BS truyền nhận dạng đến server xác thực Cả server SS lấy khóa phiên BS lấy khóa phiên từ SS sau gửi lại server để hồn tất xác thực cxvi    Phụ lục IV: RSA    Phụ lục IV: RSA RSA đặt tên theo nhà phát minh nó, Ron Rivest, Adi Shamir, Leonard Adleman, thuật tốn mã hóa khóa chung RSA sử dụng khóa bảo mật khóa chung để khóa khơng khóa tin nhắn, tương ứng Bên nhận gửi khóa chung đến bên gửi Sau bên gửi gửi tin nhắn mã hóa với khóa chung Sau nhận tin nhắn, bên nhận gải mã tin nhắn sử dụng khóa bảo mật Thuật tốn RSA bao gồm bước sau: • Lựa chọn số nguyên tố lớn khác p q • Tính n = p * q • Lựa chọn số nguyên nhỏ e < ( p − 1) * (q − 1) ; số e ( p − 1) * (q − 1) phải số nguyên tố, họ không chia sẻ nhân tố số ngun tố chung • Tính tốn d, d*e mod ((p-1)*(q-1))=1 • Đặt cặp (e,n) khóa chung RSA • Đặt cặp (d,n) khóa bảo mật RSA Ví dụ, đưa tin nhắn "M", mã hóa từ cấu trúc tin nhắn nhị phân "Z" Z=(Me) mod n Ngược lại, giải mã tin nhắn "Z" M=(Zd)modn cxvii    Phụ lục V: Dot16KDF cho PKMv2    Phụ luc V: Dot16KDF cho PKMv2 Thuật toán Dot16KDF cấu trúc mã hóa chế độ đếm (CTR) mà sử dụng để lấy số lượng tùy ý khóa bảo mật từ tài nguyên vật liệu khóa Thuật tốn để có HMAC định nghĩa: Dot16KDF(key, astring, keylength) // generate a keylength -bit long secret key from astring // encrypted withkey { result = null; Kin = Truncate (key, 160); For (i= 0; i