密鑰管理協定(Privacy Key Management,PKM)是指從BS到SS之間密鑰的安全分發、S5和BS之間密創數據的同步以及業務接入的鑒權。通過使用基於數字證書的認證方式,進一步加強了PKM的安全性能。PKM採用客戶-伺服器模型,SS作為客戶端來請求密鑰,BS作為伺服器端回響SS的請求並授權給SS唯一的密鑰。
PKM支持周期性地重新授權及密鑰更新機制,PKM使用X.509數字證書(IETF RFC 3280)、RSA(Rivest-Shamir- Adleman public key system)公鑰加密算法和強對稱算法進行BS與SS之間的密鑰交換。通過使用基於數字證書的認證方式,進一步加強了PKM的安全性能。
在初始鑒權階段,BS對SS客戶進行認證。只有通過認證的SS,才被允許接入網路。SS攜帶一個由SS製造商所簽發的獨一無二的X.509證書。該數字證書中包括SS的公鑰、SS的MAC地址等其他信息,BS驗證SS的數字證書之後,使用獲得的SS公鑰加密AK(Authorization Key,認證密鑰)信息,並回傳給SS事實上,此時BS與SS之間建立了一個共享的安全(秘密)通道,這個通道隨後用作數據加密密鑰(TEK)的分發。
