Đề tài Giao thức quản lý bảo mật khóa PKM

TỔNG CÔNG TY BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIÊN THÔNG I --------------------------------- BÀI TẬP LỚN MÔN KỸ THUẬT VIỄN THÔNG GIAO THỨC QUẢN LÝ BẢO MẬT KHOÁ (PKM) Giáo viên hướng dẫn : Nguyễn Việt Hùng Nhóm 5: Nguyễn Kim Chung Đặng Thị Hạnh Nguyễn Thị Nhã Ngô Thị Thu Hà nội tháng 6 năm 2007 LỜI NÓI ĐẦU Trong bối cảnh sự phát triển mạnh mẽ của khoa học công nghệ, truyền thông vô tuyến băng rộng qua khoảng cách xa đang là nhu cầu thiết yếu mang lại nhiều lợi ích cho người sử dụng. Bên cạnh việc cung cấp truy cập Internet vô tuyến tốc độ cao qua khoảng cách xa, các trò chơi trực tuyến, video theo yêu cầu và hộ nghị truyền hình, VoIP …. thì việc quản lý và bảo mật khoá truy nhập cho lĩnh vực di động cũng đang được chú ý tới. Đề tài “Giao thức quản lý bảo mật khoá” của chúng em với mục đích tìm hiểu một cách khá tổng quan về cách quản lý và bảo mật khoá dùng trong công nghệ Wimax để chúng ta có thể hiểu vì sao công nghệ này lại cần có các giao thức dùng để bảo mật thông tin và quản lý thông tin thông qua chức năng mã hoá khoá. Các giao thức nào được dùng trong bảo mật và để đảm bảo thông tin trao đổi qua lại của người dùng chúng ta cần phải có biện pháp và cách quản lý khoá phù hợp và đưa ra được phương thức truy nhập cụ thể cho từng người dùng. Wimax di động hỗ trợ các đặc điểm bảo mật tốt nhất bằng cách thêm vào các công nghệ tốt nhất có sẵn hiện nay. Hỗ trợ nhận thực lẫn nhau giữa thiết bị/ người dùng, giao thức quản lí khóa mềm dẻo, mật mã hóa lưu lượng mạnh mẽ, bảo vệ bản tin mặt phẳng quản lí và điều khiển và tối ưu giao thức bảo mật cho các chuyển giao nhanh. Cuốn tài liệu được chia làm 3 phần, trong đó phần I giới thiệu chung về giao thức PKM trình bày về nguồn gốc và mục đích của PKM; phần II giao thức PKMv1 trình bày về cơ sở, nguyên lý hoạt động của PKMv1 và chuyển tiếp khoá và đồng bộ khoá AK, TEK; phần III giao thức PKMv2 trình bày sự trao đổi qua lại giữa BS và MS.  MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC i 1. Giới thiệu chung về giao thức (PKM) 1 1.1. Định nghĩa 1 1.2. Nguồn gốc và mục đích của PKM 1 2. Giao thức PKMv1 2 2.1. Cơ sở và nguyên lý hoạt động của PKMv1 2 2.1.1. Cơ sở về giao thức PKM 2 2.1.2. Thiết lập khóa xác thực 3 2.2. Pha xác lập khoá xác thực (AK) 4 2.3. Pha trao đổi TEK 5 2.4. Việc chuyển tiếp khoá và đồng bộ 6 2.4.1. Chuyển tiếp AK 6 2.4.2. Chuyển tiếp TEK 7 3. Giao thức PKMv2 8 3.1. Xác thực qua lại giữa BS và MS 8 3.2. Xác thực và điều khiển truy nhập trong PKMv2 8 3.2.1. Xác thực qua lại dựa trên khoá công khai trong PKMv2 8 3.2.1.1. Tin nhắn yêu cầu cấp phép 9 3.2.1.2. Tin nhắn phản hồi việc cấp phép 9 3.2.1.3. Tin nhắn cấp phép 10 3.2.2. Xác thực qua lại dựa trên EAP trong PKMv2 10 3.2.2.1. Ba cách thay đổi giữa trạm gốc và trạm di động 10 3.2.3. Khoá phân cấp PKMv2 11 3.2.3.1. Sự thiết lập khoá xác thực và nguồn gốc thuật toán khoá công cộng thay đổi 11 3.2.3.2. Nguồn gốc mật mã khoá và việc sinh khoá mật mã lưu lượng 12 3.2.4. So sánh với PKMv1 13 TÀI LIỆU THAM KHẢO 15 KẾT LUẬN 15 TỪ VIẾT TẮT TỪ VIẾT TĂT  NGHĨA TIẾNG ANH  NGHĨA TIẾNG VIÊT   AAA  Authentication,authorization and Account  Nhận thực, cấp phép và lập tài khoản   ADSL  Asymmetric Digital Subcriber Line  Đường dây thuê bao số bất đối xứng   AES  Advance Ecryption Standard  Chuẩn mật mã nâng cao   AK  Authorization Key  Khóa nhận thực   ANSI  American National Standards Institute  Viện Quốc Gia Mỹ   ASN  Access Service Network  Mạng dịch vụ truy nhập   ATM  Asynchronuos Transfer Mode  Phương thức truyền dẫn không đồng bộ   B     BER  Bit Error Ratio  Tỉ số tín hiệu trên nhiễu   BPSK  Binary Phase shift Keying  Khóa chuyển pha nhị phân   B-RAS  BroadBand Remote Access Server  Máy chủ truy nhập băng rộng từ xa   BS  Base Station  Trạm gốc   BWA  Broadband Wireless Access  Truy nhập không dây băng rộng   C     CDMA  Code Division Multiple Access  Đa truy nhập phân chia theo mã   CPE  Customer Premises Equipment  Thiết bị truyền thông cá nhân   D     DES  Data Encryption Standard  Chuẩn mật mã hóa dữ liệu   F     FDD  Frequency Division Duplexing  Song công phân chia theo tần số   FDM  Frequence Division Mutiplexing  Ghép kênh phân chia theo tần số   G     GFP  Generic Framing Procedure  Thủ tục định khung chung   GPRS  Generalized Packet Radio Service  Dịch vụ vô tuyến gói chung   GSM  Global System For Mobile Communicatons  Hệ thống toàn cầu cho truyền thông di động   L     LAN  Local Area Network  Mạng vùng cục bộ   LPF  Low Pass Filter  Bộ lọc thông thấp   M     MAC  Medium Access Control  Điều khiển truy nhập phương tiện   N     NAP  Network Access Provider  Nhà cung cấp truy nhập mạng   P     PAN  Personal Area Network  Mạng cá nhân   PKM  Privacy Key Management  Quản lí khóa bảo mật   PMP  Point to Multipoint  Điểm-đa điểm   Q     QPSK  Quadratura Phase Shift Keying  Khóa chuyển pha cầu phương   S     SA  Security Association  Kết hợp bảo mật   SAID  Security Association Identifier  Nhận dạng kết hợp bảo mật   SONET  Synchronous Optical Network  Chuẩn xác định truyền thông trên cáp quang   SS  Subscriber Station  Trạm thuê bao   T     TEK  Traffic Encryption Key  Khóa mật mã lưu lượng   TLS  Transport Layer Security  Bảo mật lớp truyền tải   W     WAN  Wide Area  Network mạng diện rộng   WDM  Wavelength Division Multiplexing  Ghép kênh đa bước sóng   WEP  Wired Equivalent Privacy  Bảo mật đương lượng hữu tuyến   Wi-Fi  Wireless Fidelity  Trung thực vô tuyến   WLAN  Wireless LAN  Mạng LAN không dây   WMAN  Wireless MAN  Mạng MAN không dây   1. Giới thiệu chung về giao thức (PKM) Định nghĩa: Giao thức quản lý khóa bảo mật có hiệu lực trong lớp con MAC thấp nhất: là lớp con bảo mật. Như IpSec (bảo mật IP), giao thức PKM dựa trên các kết hợp bảo mật (SA). Có một SA nhận thực, không được chỉ ra trong 802.16 và một SA dữ liệu cho mỗi kết nối truyền tải (và cũng có một kết nối quản lý thứ cấp) Nguồn gốc và mục đích của PKM: Các kỹ thuật bảo mật của 802.16-2004 dựa trên giao thức quản lý khóa bảo mật PKM đã được định nghĩa trong DOCSIS (các chi tiết kỹ thuật giao diện với dữ liệu qua dịch vụ cáp). DOCSIS được dùng ở Bắc Mỹ cho việc truyền tải dữ liệu đảm bảo qua các kết nối hữu tuyến ví dụ như DSL (đường dây thuê bao số). DOCSIS phát triển bởi CableLabs, cũng được dùng cho tivi cáp và được coi là đặc tả giao tiếp bảo mật cơ sở nâng cao hay BPI+. Giao thức PKMv1 Trong phần này chúng ta sẽ xem xét khái quát giao thức PKM để thấy được một vài ngữ cảnh về hoạt động của giao thức này, đồng thời tóm tắt các loại bản tin trao đổi giữa BS và SS. Sau đó phân tích các phần liên kết bảo mật trong 802.16 đáng chú ý trong giao thức PKM. Vì đặc tả tầng giao thức an toàn 802.16 MAC rất gần với BPI+, do đó có thể tham khảo trực tiếp BPI+ để thông qua đó biết thêm thông tin về PKM Cơ sở và nguyên lý hoạt động của PKMv1 2.1.1. Cơ sở về giao thức PKM Giao thức PKM được SS sử dụng để xác thực và lấy khóa bảo mật từ BS, hỗ trợ xác thực định kỳ và làm mới khóa. PKM sử dụng chứng chỉ số X.509 và DES 3 khóa đôi để đảm bảo trao đổi khóa giữa SS và BS cho trước theo mô hình client-server. Ở đây SS giống như client yêu cầu khóa trong khi BS là server, đáp ứng những yêu cầu đó, đảm bảo client SS chỉ nhận được duy nhất khóa mà client đã được xác thực. Đầu tiên PKM thiết lập một khóa ủy quyền (AK) là một khóa đối xứng bí mật được chia sẻ giữa SS và BS. AK được dùng để bảo đảm các trao đổi PKM tiếp theo cho các khóa mã hóa lưu lượng (TEK). Việc sử dụng AK và hệ thống mã khóa đối xứng (như DES) làm giảm bớt những tốn phí do các tính toán cho khóa công khai. BS xác thực một SS trong quá trình trao đổi xác thực ban đầu. Như đã nói ở trên, mỗi thiết bị SS chứa một chứng chỉ thiết bị X.509 trong phần cứng do nhà sản xuất SS tạo ra. Chứng chỉ thiết bị SS chứa khóa công khai RSA (một nửa tính cá nhân được lưu trong phần cứng thiết bj), và các thông tin đặc trưng cho thiết bị như địa chỉ MAC, số serial, ID nhà sản xuất. Trong khi trao đổi xác thực, SS sẽ gửi một bản sao của chứng chỉ thiết bị cho BS. Sau đó BS phải kiểm tra cú pháp và thông tin trong chứng chỉ SS, và cũng có thể kiểm tra tính đúng đắn của đường dẫn chứng chỉ. Nếu thỏa mãn thì BS sẽ trả lời SS bằng cách mã hóa AK (được gán cho SS đó) sử dụng khóa công khai của SS (có được trong chứng chỉ đã nhận được từ SS). Do chỉ có thiết bị SS chứa khóa cá nhân đúng, chỉ thiết bị SS mới có thể giải mã bản tin và lấy được AK đã được gán cho nó (và bắt đầu sử dụng AK). Chú ý rằng mặc dù chứng chỉ thiết bị SS được công khai cho mọi nguời, chỉ thiết bị SS mới truy cập được khóa cá nhân đúng của khóa công khai trong chứng chỉ. Như vậy để ngăn chặn thiết bị và chứng chỉ của nó bị sao chép, cần phải để khóa cá nhân trong phần cứng của thiết bị. Do đó, cái giá phải trả cho việc hacker lấy được khóa sẽ cao hơn nhiều so với việc hacker làm chủ được thiết bị. 2.1.2. Thiết lập khóa xác thực
Hình 1: Luồng giao thức PKM cơ bản 2.2 Pha xác lập khoá xác thực (AK) Quá trình xác định quyền hạn của SS và AK từ BS gồm các bước sau, đầu tiên là chứng minh SS giống với BS thông qua tính xác thực: Bước 1: SS xác định thông tin thông báo là dúng: SS với tư cách là khách hàng mới có quy trình yêu cầu cấp quyền và gửi thông tin chính xác đến BS. Thông báo này có lựa chọn và không cần quan tâm đến bởi BS.( thông báo đến, có thể là thông báo yêu cầu cấp quyền và sẽ có nhiều hon nội dung thông báo nhu thế) Ðầu tiên thông báo cho phép BS nhận thức được và có khả năng nghiên cứu về SS, xác định nội dung lượng thông tin thông báo: - Ðịa chỉ MAC của SS - Khoá công cộng RSA của SS - Chứng nhận X509 của SS (chế tạo sản phẩm) - Danh sách có khả năng hỗ trợ bằng mật mã bởi SS. - Nhận dạng (SAID) SS của nguồn SA. - Chứng nhận X509 CA của thiết bị chế tạo SS. Chú ý: thông báo dó cho phép BS kiểm tra ngay xem SS có hiệu lực với nguồn SA hay không, có sản xuất hợp lý không. Bước 2: SS thông báo yêu cầu cấp quyền Ngay lập tức cho phép chứng minh thông tin là dúng và SS gửi đến BS thông báo yêu cầu cấp quyền, thậm chí còn yêu cầu cho AK và cho SIAD của một vài SA tĩnh trong SS được tham gia vào. Thông báo yêu cầu cấp quyền bao gồm các thông số sau: - Thiết bị SS phải có pass và ID - Ðịa chỉ MAC của SS - Khoá công cộng RSA của SS - Chứng nhận X509 của SS - Danh sách có khả năng hỗ trợ bằng mật mã bởi SS - Nhận dạng (SAID) SS của nguồn SA. Chú ý: (SAID) SS của nguồn SA bằng với nguồn kết nối ID hoặc CID nhận được từ BS. Bước 3: BS thông báo trả lời cấp quyền Trong khi nhận thông báo yêu cầu cấp quyền từ SS thì BS kiểm tra và chứng nhận, check các thiết đặt có khả năng mã hoá của SS. Nếu tất cả đều tốt và đều hỗ trỡ cho BS một hoặc nhiều khả năng mã hoá của SS. BS gửi thông báo trả lời cấp quyền cho SS. Thông báo này có nội dung như sau: - Cấp phép cho khoá duy nhất và viết lại thành mật mã với khoá công cộng RSA của SS. - Khoá chuỗi số 4 bit thuờng dùng để phân biệt giữa sự liên tục và các đời mới của AK. - Tồn tại khoá sử dụng được trong AK. - SAIDs của nguồn SA được thêm 0 hoặc thêm vào SAs tĩnh để SS cấp phép cho việc thu nhận thông tin về khoá. SS này là của tất cả SAs tĩnh, BS có thông tin với liên kết của SS. Trước đó SAID của nguồn SA sẽ bằng với nguồn CID. Chú ý một trong các nguyên nhân bảo mật nguồn SA là phải đồng nhất trong thông báo trả lời cấp quyền. Vì mục đích bảo mật nên phải luôn làm mới định kỳ AK bởi vì SS không gửi cho BS thông báo yêu cầu cấp quyền đó là phải giống nhau về quyền hạn(bước 2) ngoại trừ việc cấp phép cho SS không cần bắt đầu với việc gửi thông tin thông báo cấp quyền (bước 1). Ðó là vì BS nhận biết được sẽ giống nhau của SS và có ít nhất 1 AK. Chú ý: SS đã cho và BS có thể hỗ trợ đồng thời 2 hoạt động của khoá Aks. 2.3 Pha trao đổi TEK Theo như thông báo trả lời cấp quyền (nội dung của SAIDs) từ BS báo cho biết quyền hạn của SS nhận được TEKs từ BS. Như đã nói ở trên nội dung thông báo trả lời cấp quyền của SAIDs và nguồn SA là cộng 0 hoặc cộng vào nhiều hơn các SA tĩnh. SS cho phép thu nhận thông tin của khoá, vì vậy phần tiếp của SS sẽ là bắt đầu của một trạng thái TEK riêng của mỗi SAIDs là đồng nhất trong thông báo trả lời cấp quyền. Mỗi trạng thái TEK vận hành trong SS là nguyên nhân gây ra sẽ kết hợp khoá tương ứng với SAID. Bao gồm việc làm mới khoá cho các SAID ứng với tình trạng TEK trong SS sẽ thông báo yêu cầu cấp quyền. Bước 4: SS thông báo yêu cầu khoá SS đã cho gửi thông báo yêu cầu cấp quyền đến BS với nội dung như sau: - Thiết bị SS phải có số serial và ID. - Ðịa chỉ MAC của nguồn SA cần thiết được yêu cầu. - HMAC tóm tắt thông báo khoá ( có giá trị giữ được lượng thông báo yêu của khóa) Bước 5: BS thông báo trả lời khoá BS trả lời thông báo yêu cầu khoá từ SS bằng cách gửi thông báo trả lời khoá đơn SS. Ưu tiên gửi thông báo trả lời khoá và BS kiểm tra sẽ đồng nhất của SS và thực hiện tóm tắt HMAC, kiểm tra việc nhận biết thông báo yêu cầu khoá hợp lệ và nhận biết sự xáo trộn của thông báo. Nếu tất cả đều tốt thì BS sẽ gửi thông báo trả lời khoá rằng nội dung đã được kích hoạt bằng khoá chính do SAID yêu cầu bởi SS. Nó cần thiết trong tất cả thời gian BS duy trì 2 hoạt động của khoá chính của mỗi SAID. Sự tồn tại của 2 thế hệ giống nhau được sinh ra trở thành hoạt động nửa vời trong suốt quá trình hoạt động của nó trước đó và kết thúc giữa chừng trong suốt quá trình hoạt động kế tiếp. Khoá chính trong thông báo trả lời khoá bao gồm các nội dung sau: - TEK ( viết lại thành mật mã không dưới 3 lần) - Ðiểu khiển CBC bằng phương thức vô tuyến - Chuỗi số khoá cho TEK - Vẫn tồn tại thiết lập của 2 khoá chính - Tóm tắt các thông báo về khoá HMAC ( có tính xác thực/ giữ được lượng thông báo trả lời khoá). Chú ý: về thông tin thông báo trả lời khoá thì vẫn giữ nguyên trạng thái của 2 khoá chính. Ðó là sẽ giúp đỡ cần thiết để ước lượng thời gian của SS khi BS mất hiệu lực của TEK riêng. Ngừng trả lời SS khi đưa vào chương trình khoá sau này yêu cầu rõ hơn và nhận được khoá chính mới trước khi làm mất hiệu lực của khoá chính BS. Việc chuyển tiếp khoá và đồng bộ Như đã nói ở phần 2.2 thì SS yêu cầu cấp quyền (Bước 2) và nhận được quyền từ BS trong khi BS trả lời cấp quyền (Bước 3) để thử SS với các kiểu khác của AK. Hoạt động có giá trị tồn tại trong AK phản ánh sự tồn tại của AK trong thời gian thông báo trả lời cấp quyền và gửi đến bởi BS. Nếu SS lỗi thì cho phép kết thúc của luồng AK. BS sẽ xem xét SS nhung không cho phép và remove tất cả bảng liên kết khoá TEK với nguồn SA của SS. 2.4.1 Chuyển tiếp AK Chứng minh sự liên kết liên tục nhưng trên thực tế BS hỗ trợ cùng một lúc 2 hoạt động của AS cho mỗi SS cùng tồn tại. Thực hiện chuyển tiếp BS khi nhạn thông báo yêu cầu cấp quyền từ SS và BS chỉ tìm các hoạt động đơn của AK cho SS. Tín hiệu này sẽ bắt đầu giai đoạn chuyển tiếp của AK. Sau khi BS gửi thông báo trả lời khoá với nội dung mới 2 lần của AS đến SS. Hiện tại AK đầu tiên sẽ vẫn còn hiệu lực cho đến khi hết thời gian. AK thứ 2 sẽ tồn tại (trong BS) cùng với thời gian tồn tại của AK đầu tiên cộng lại. Rõ ràng AK thứ 2 cần phải được tồn tại lâu hơn thời gian kết thúc của AK đầu tiên. AK thứ 2, mới sẽ phân công cho khoá một chuỗi số (modul 16) lớn hơn AK đầu, cũ. Chú ý: khi thiết kế BS đã cho phải luôn luôn chuẩn bị yêu cầu từ SS và trả lời lại AK. Với ý nghĩa này nếu BS tiếp nhận thông báo yêu cầu cấp quyền từ SS trong phần giữa của chuyển tiếp BS đến AK mới, BS sẽ đáp lại bằng cách gửi hoạt động của AK mới đến SS. Khi hết hiệu lực của khoá cũ và yêu cầu cấp quyền sẽ bắt đầu của một quá trình hoạt động của một AK mới khác và bắt đầg của một giai đoạn chuyển tiếp khoá mới. 2.4.2 Chuyển tiếp TEK Tương tự việc sử dụng 2 khoá AK là BS và SS cũng cần phải chia sẻ cho 2 hoạt động của TEK mới SAID ở bất cứ thời gian nào. Ðể hoàn thành phải sử dụng yêu cầu khoá (bước 4) và trả lời khoá (bước 5) thông báo. Các TEk mới sẽ phân công cho khoá một số lớn hơn TEK cũ. Chú ý: dù không giống AKs là sử dụng TEK để giữ thông báo đến, TEK bảo vệ sự luu thông dữ liệu trên cả 2 hướng là uplink và downlink. Như vậy mỗi chuyển tiếp của nó phức tạp hơn chuyển tiếp AK. Trong các thế hệ thì nó là thiết bị chuyển tiếp BS của TEK và là sẽ đáp lại của SS đòi nâng cấp thành kiểu TEK tốt nhất. Từ việc chuyển tiếp khoá là thước đo chủ yếu của chuyển tiếp TEK. Chuyển đổi BS giữa 2 hoạt động TEK khác nhau có phụ thuộc hay không. - Với mỗi SAID sử dụng cho mục đích viết lại thành mật mã, việc kết thúc của TEK cũ hơn trong BS sẽ lập tức chuyển thành TEK mới. - Giai đoạn chuyển tiếp uplink bắt đầu từ thời gian BS gửi thông báo trả lời khoá (nội dung TEK mới) và chuyển tiếp được so sánh khi TEK cũ hế hiệu lực. Trong suốt thời gian này nó tác động trở lại SS và chuyển tiếp bất chấp việc SS có chấp nhận TEK mới hay không, tại thời điểm hết hiệu lực của TEK cũ hơn thì BS sẽ chuyển sang TEK mới và viết lại thành một mã cho downlink traffic. Từ việc áp dụng thực tế của 2 hoạt động TEKs, BS sẽ sử dụng TEK khác phụ thuộc vào việc sử dụng TEK cho downlink hoặc uplink traffic. Từ mật mã downlink traffic (SS), BS sẽ sử dụng 2 hoạt động TEK cũ hơn, đó là vì BS biết chắc rằng SS sẽ có được từ 2 TEK cũ ( nhung không nhất thiết phải thu được TEK mới). Ðó là điều tất nhiên ở phần đầu gói tin ( tiêu đề TEK vẫn còn hiệu lực) Trong khoảng thời gian tồn tại thực tế của TEK nó quan tâm đến downlink traffic (SS), BS sẽ viết lại thành mật mã và đưa đến TEK với 1/2 của TEK thứ 2 trên tổng thời gian tồn tại. Trong giới hạn đơn việc trao hoạt động cho TEK cũ hơn sau đó sẽ vẫn hoạt động và SS chắc chắn sẽ có những TEK cũ hơn. Do đó BS sẽ chắc chắn nhận được TEK cũ hơn và sẽ lựa chọn TEK mới khi nhìn thấy thông báo yêu cầu khoá từ SS. Khi dó uplink traffic (SS) BS sẽ có thể giải mã với TEK cho TEK toàn bộ thời gian tồn tại. Ðó là vì BS sẽ sở hữu cả 2 hoạt động của TEK. SS sẽ lựa chọn giải quyết từ uplink traffic đến BS Giao thức PKMv2 Xác thực qua lại giữa BS và MS Những nhà cung cấp dịch vụ muốn chắc chắn rằng những thuê bao có cấp phép mới có thể kết nối vào mạng lưới của họ. Chính vì vậy mà BS muốn phân loại tính xác thực và việc cấp phép của mỗi MS yêu cầu kết nối. Các thuê bao muốn kết nới với BSs hợp pháp để bảo vệ khỏi sự tấn công của các hacker trong vai trò người trung gian. Nói một cách khác thì MS cho phép đăng nhập mạng lưới của nhà cung cấp sẽ phân biệt được các BS đang kết nối với những nhà cung cấp dịch vụ hợp pháp PKMv2 hỗ trợ 2 cơ chế cho tính xác thực này là: có thể sử dụng RSA keys cho mã khóa công khai dựa trên tính xác thực, hay EAP cho khóa bí mật dựa trên việc chứng minh tính xác thực. EAP là tính xác thực giao thức mạng và là sự gia tăng giao thức chung cho người sử dụng/ phân chia tính xác thực cho cổng vào mạng lưới (ví dụ: EAP hơn 802.1X của mạng có dây hay mạng không dây LAN ) hoặc truy cập từ xa (ví dụ: sử dụng EAP hơn IKEv2 cho tính xác thực và IPsec SA lắp đặt). Phương pháp EAP cũng giống như EAP-AKA cần thiết cho tính xác thực. Xác thực và điều khiển truy nhập trong PKMv2 PKMv2 (1.2) sửa chữa hầu hết nếu không phải tất cả dòng trong thiết kế PKM. Đặc biệt là AES-CCM là MPU thuật toán mới ( xem chương 7 để biết tóm tắt về AES-CCM). CCM bao gồm dạng tính toán như chế độ đóng gói, và CBC-MAC như là tin nhắn giải thuật thống nhất. Nhắc lại rằng 802.11i phân chia (5) cũng sử dụng CCM, và như là dạng nhận lượng rộng