数据SA

 

数据SA
    数据SA分为3种,即主SA、静态SA和动态SA,其安全模型如图7-20所示,它们分别定义了在安全认证过程中SS与BS之间的安全密钥和关联。主SA是由用户站在初始化过程中建立的,基站提供静态SA,动态SA根据业务流的需要建立和取消。静态SA和动态SA可以在多个用户站之间进行共享。在终端的初始化期间,每个可管理的终端都将建立主SA,静态SA都是在基站上预置的。而动态SA则可以根据对应业务流的初始和终止,不断进行建立和清除操作。静态和动态SA都可以由多个终端共享。每个SA共享的信息应该包括SA内使用的加密算法组件,也可能包括TEK和初始向量。SA的实质内容是由SA的加密算法组件决定的。
 
 
    数据SA的内容如表7-2所示。安全关联的身份是由安全关联标识(Security Associa- tion Identifier,SAID)标识的。每个可管理的终端将与其接入的基站建立惟一的主SA,所有终端的主SA的SAID在数值上应该与该终端的基本连接CID相同。
     加密算法定义了加密数据需要采用何种加密算法。最初,IEEE 802.16-2004标准定义了密码分组链接模式下的数据加密标准的使用方法。后来,在IEEE 802.16e-2005标准中,定义了更多类型的数据加密算法。
    传输加密密钥(TEK)用于对基站和用户站之间传输的数据进行加密。数据SA定义了两种TEK:一种TEK用于当前操作;另一种TEK是备用的,当前密钥失效后,它开始提供服务。IEEE数据SA中存在着两种TEK标识,每种TEK对应一种TEK标识。数据SA中还包含了TEK的生命周期,用来表示TEK的有效期。默认生命周期为0.5天,但其变化范围为为30分钟~7天。
    密码分组链接模式下的数据加密标准(DES-CBC)在运行时,需要一个初始化向量 (1V)。因此,数据SA中包含两种初始化向量(1V),每个TEK对应一个初始化向量。两种初始化向量的长度都是64bit,从而能够与DES加密运算中所用的长度为64bit的分组相匹配。数据SA类型也是数据SA的一个组成部分,用来表示数据SA的类型是主SA、静态 SA,还是动态SA。
    数据SA能够对用户站和基站之间的传输连接进行保护。通常情况下,在用户站的次管理信道中包含一个SA。在实际操作过程中,既可以由一个SA负责上行和下行传输连接,也可以上行和下行传输连接各对应一个SA。在组播情况下,每组成员之间需要共享一个 SA,因而标准要求许多连接标识(CID)共享一个SA。
编辑/发表时间:2010-02-23 19:44
编辑词条如何编辑词条?)                          历史版本

贡献者:
雷光远