Управление ключами в PKMvl PDF Print E-mail
Written by Administrator   
Monday, 20 August 2012 14:58

После установления авторизации в соответствии с протоколом PKMv1 АС независимо запускает для каждого SAID, установленного в сообщении Authorization Reply, процедуру получения и обновления ключей TEK. Ранее упоминалось, что TEK, также как и AK, имеет ограниченный срок действия. Поэтому, подобно AK, для каждого SAID управляющая им процедура должна хранить два TEK с наполовину перекрывающимся временем жизни. При этом каждая процедура независимо посылает БС сообщения Key Request, в которых запрашивает обновления ключевой информации для своего SAID. БС отвечает сообщениями Key Reply, в которых содержатся:

-    два активных ключа TEK (текущий и новый) для запрашиваемого SAID;

-    оставшиеся времена жизни этих ключей;

-    инициализирующие векторы для алгоритмов шифрования.

В случае если БС прекращает действие данного SAID для АС, БС посылает АС сообщение Key Reject с соответствующим уведомлением. Если БС получает от АС данные с неизвестным ключом шифрования, БС посылает АС сообщение TEK Invalid.

Ключи TEK передаются от БС к АС в зашифрованном виде. Ключом для шифрования TEK является “ключ шифрования ключа” (Key Encryption
Key, KEK). KEK формируется с помощью специального алгоритма из AK как на стороне АС, так и на стороне БС.

Аналогично процессу авторизации, функционирование процедуры управления TEK можно представить в виде работы конечного автомата TEK, имеющего 6 состояний и 9 событий. Как видно из рис. 3.20, конечный автомат авторизации в PKMvl воздействует на управляемый им конечный автомат TEK в PKMvl посредством следующих команд:

-    [TEK] Стоп: остановить работающий конечный автомат TEK;

-    [TEK] Авторизовано: запустить неработающий конечный автомат ТЕК;

-    [TEK] Ожидание авторизации: перевести работающий конечный автомат TEK в режим ожидания;

-    [TEK] Авторизация выполнена: вывести работающий конечный автомат TEK из режима ожидания.
Конечный автомат TEK в протоколе PKMvl представлен на рис. 3.22. Состояния, заключенные в закрашенные овалы, соответствуют ситуации нормальной отправки зашифрованного трафика по SA.

Конечный автомат TEK переходит в состояние:

-    “Ожидание реавторизации”, когда данные о ключах недоступны в силу прохождения процедуры реавторизации;

-    “Ожидание получения нового ключа при реавторизации”, когда конечный автомат TEK обладает действующими ключами TEK во время прохождения процедуры реавторизации.