close

Вход

Забыли?

вход по аккаунту

?

28

код для вставкиСкачать
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
12
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
УДК 004.72.075
Алгоритмы аутентификации в сетях связи общего пользования России
Р.А. Бельфер, доцент МТУСИ, к.т.н.
Ю.Г. Горшков, доцент МГТУ им. Н.Э. Баумана, к.т.н.
М.Н. Даннави, аспирант МТУСИ
Введение. В работах [1, 2] приводится классификация
угроз информационной безопасности сетей связи общего
пользования (ISDN, IN, UMTS). Настоящая работа посвящена описанию защиты от угроз в этих сетях с помощью механизмов аутентификации. Так же, как и в вышеуказанных
статьях, в основу данной работы положены документы международных организаций стандартизации ETSI, ITU-T, 3GPP.
Материал настоящей статьи может быть полезен при анализе
информационной безопасности (ИБ) действующих и проектируемых сетей связи общего пользования.
Способы аутентификации в сетях связи. Способ защиты с
помощью аутентификации служит для установки подлинности объекта. В качестве объекта сети может быть оконечное
устройство пользователя (пользователь), объекты сети — оконечное устройство сети, транзитные узлы коммутации транспортной сети и др. Механизмы аутентификации подлинности
объекта сети подразделяются на однопроходные и многопроходные. При однопроходном методе аутентификации подлинность объекта определяется по одному принятому от него
сообщению. Алгоритм аутентификации при однопроходном
или многопроходном методе может строится как с использованием шифрования, так и без него. Шифрование может
быть симметричным (традиционным) и асимметричным (с
открытым ключом).
Существует аутентификация односторонняя или взаимная. При односторонней аутентификации проверяется один
из двух взаимодействующих объектов сети. При взаимной
аутентификации проверке подвергаются одновременно оба
взаимодействующих объекта сети: оконечное оборудование
пользователя — оконечная станция сети: оконечная станция
сети — транзитный узел коммутации: транзитный узел коммутации — транзитный узел коммутации и др.
Механизм аутентификации может одновременно выполнять и функцию проверки целостности сообщения аутентификации, поступившего из этого объекта. В некоторых работах по ИБ это называется аутентификацией сообщений [3].
После завершения такой аутентификации каждое управляющее сообщение также может быть одновременно проверено
на подлинность источника этого сообщения и его целостность.
Для сотовых сетей подвижной связи, интеллектуальных
сетей связи (услуга «универсальный персональный номер»
UPT), характерны два вида аутентификации пользователя — в
случае нахождения его в зоне домашней сети (сети приписки)
и в зоне гостевой сети (при роуминге).
Аутентификация пользователя однопроходным методом.
Аутентификация пользователя в сети ISDN. В этой сети используется один из наиболее простых методов однопроходной
аутентификации с помощью пароля (PIN-кода) многоразового использования или пароля одноразового использования
TAN (Transaction Number) [4]. При многоразовом использовании PIN-кода есть возможность смены пароля по требованию пользователя.
Аутентификация пользователя с помощью PIN-кода. Для
сети ISDN в соответствии с документом ETSI PIN-код состоит
минимум — из четырех и максимум — из 12 символов.
Защита от несанкционированного доступа пользователя
к сети абонентского доступа DSS1 ISDN обеспечивается:
 секретностью PIN-кода;
 процедурой предоставления пользователю возможности сменить PIN-код.
Аутентификация пользователя с помощью TAN. При использовании PIN-кода возможна незаконная аутентификация злоумышленника в результате повтора им сообщения
аутентификации. Шифрование этого сообщения вместе с
входящим в него PIN-кодом не защищает от угрозы повтора.
Использование в ISDN одноразового пароля TAN (Transaction
Number) обеспечивает защиту от такой угрозы.
Каждый пользователь и сеть для определенной услуги
(или нескольких услуг) ISDN содержат списки одноразовых
паролей TAN под номерами. Например, под номером 100 значится сгенерированное случайное число от 6 до 12 знаков. Алгоритм формирования каждого TAN на сетевом окончании
абонентского доступа DSS1 должен быть тем же, что и у пользователя. Во время процедуры аутентификации пользователя пароль TAN используется один раз из этого списка. Когда
пароли в списке кончаются, пользователь и сеть формируют
новый список TAN.
Аутентификация абонента UPT и абонента GSM двухпроходным методом. Двухпроходная аутентификация пользователя услуги UPT интеллектуальной сети и пользователя GSM
основана на протоколе «оклик-отзыв» (рис. 1).
А
1) R A
2) K AB(RA)
В
Рис. 1
Аутентификация абонента В услуги UPT сети IN, находящегося в домашней системе A (системе приписки), осуществляется следующим образом [5].
Из системы А пользователю В поступает сгенерированное
случайное число R А , называемое окликом. Пользователь В
отправляет зашифрованное общим с системой К АВ ключом
по определенному алгоритму сообщение К АВ (R A), называемое отзывом. Аутентификация считается успешной, если это
значение совпадает со значением К АВ (R A), вычисленным системой UPT интеллектуальной сети.
Аналогичный метод двухпроходной аутентификации требует коррекции, если абонент UPT или сети GSM находится
вне сети приписки. Такой абонент называется роумером, он
подключен к системе, не имеющей его ключа шифрования для
формирования отзыва. Передача ключа от абонента в систему
UPT или в сеть GSM недопустима в интересах ИБ.
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
13
В системе UPT и в сети GSM задача аутентификации абонента-роумера решается по-разному.
Аутентификация абонента-роумера в сети GSM. В такой
сети используется тот же двухпроходный метод, но требуется
предварительная регистрация. Эта процедура предусматривает передачу индивидуального ключа шифрования по фиксированной сети связи (при использовании услуги UPT аутентификация абонента-роумера производится четырехпроходным методом, описание которого приводится в следующем
разделе). Для этого в сети GSM алгоритмом регистрации предусмотрен перенос в гостевую сеть абонента-роумера через
фиксированную сеть связи параметров оклика, идентификатора и индивидуального ключа абонента [6.7]. Определение
координат этих параметров производится с помощью идентификатора области местоположения LAI. Недостатком такой
аутентификации является небезопасная передача индивидуального ключа формирования отзыва в открытом виде.
Аутентификация абонента-роумера UPT. На рис. 2 приведена схема четырехпроходной аутентификации абонента-роумера услуги UPT интеллектуальной сети связи [8]. Метод
основан на протоколе Нидхема-Шредера [9], что позволяет
избежать передачи индивидуального ключа абонента в открытом виде.
1) R
2) КТА (R,KS ,KTB (R,KS ))
A
T
3) K TB (R,K S )
B
4) K S (R)
Рис. 2
Аутентифицирующую функцию выполняет гостевая UPT
система А, в которой находятся прибор UPT В. Домашняя
UPT (система Т), к которой приписан пользователь В, имеет
общий секретный ключ К ТВ с пользователем В и К ТА с гостевой UPT системой А. Из гостевой системы UPT А в адрес
домашней UPT системы Т передается случайное число R —
оклик (сообщение 1). Домашний UPT Т генерирует ключ сеанса K S, билет (квитанцию) доступа А к В (т. е. КТВ(R, K S)) и
шифрует оба эти сообщения общим ключом симметричного
шифрования с гостевой UPT системой КТА. Сообщение 2 передается из домашней UPT системы Т в гостевую UPT систему А. Расшифровав сообщение 2 и определив R, гостевая UPT
система убеждается в подлинности домашней UPT системы Т.
В сообщении 3 гостевая UPT отправляет квитанцию доступа
KТВ(R, K S) роумеру В. Расшифровав это сообщение, роумер В
отправляет гостевому UPT А зашифрованное ключом KS случайное число R (сообщение 4). После расшифровки R в случае
совпадения его со сгенерированном R перед отправлением в
сообщение 1 гостевая UPT A убеждается в подлинности пользователя-роумера В. Случайное число R служит для защиты
от угрозы «повтор».
Взаимная аутентификация абонента-роумера UPT и сети.
Взаимная аутентификация пользователя и сети, кроме проверки подлинности пользователя, предусматривает и проверку подлинности сети. В последнем случае аутентифицирующим объектом является пользователь сети.
На рис. 3 приведена пятипроходная схема взаимной аутентификации абонента-роумера (В) и гостевой системы (А)
услуги UPT интеллектуальной сети [8].
Через Т обозначена домашняя UPT система. В сообщении
1 пользователь-роумер B услуги UPT отправляет случайное
2) R, R B
3) КТА (R,K S ,KTB (R B ,R,KS ))
A
Т
1) R B
4) K TB (R B ,R,KS )
5) K S (R)
В
Рис. 3
число (оклик) R B в гостевую UPT систему А. Гостевая UPT
система транслирует в домашнюю UPT систему Т этот оклик,
а также передает сгенерированный оклик R (сообщение 2).
Из домашней UPT системы в гостевую передается сообщение 3 КТА(R, K S, KTB(R B, R, K S)). Сообщение 3 зашифровано
общим ключом КТА домашней и гостевой систем UPT. Это
сообщение включает:
 квитанцию KTB(R B, R, K S) доступа к роумеру В. Здесь
K S — сеансовый ключ, сгенерированный в домашней UPT
системе;
 случайное число R (оклик);
 сеансовый ключ K S.
Сообщение 3 расшифровывается в гостевой UPT системе
А ключом КТВ. Полученное случайное число R подтверждает
подлинность домашней UPT системы Т. Гостевая UPT система транслирует квитанцию пользователю-роумеру (сообщение 4).
Роумер расшифровывает полученную квитанцию, получает R B и сравнивает с R B, отправленным в сообщении 1. Совпадение этих значений подтверждает подлинность гостевой
UPT системы.
Пользователь-роумер В отправляет случайное число R,
зашифрованное ключом KS (ключ KS расшифровывается при
приеме сообщения 4) в гостевую UPT систему А (сообщение
5). Расшифрованное сеансовым ключом K S значение R позволяет убедиться в подлинности пользователя-роумера услуги UPT.
Аутентификация в сотовых сетях подвижной связи третьего поколения UMTS. Рассмотрим принцип аутентификации
в сотовых сетях связи третьего поколения стандарта IMTS
(версия R99) [10, 11].
В отличие от GSM в сети UMTS производится взаимная
проверка подлинности абонента и сети (взаимная аутентификация), а также аутентификация отдельных управляющих
сообщений с целью проверки подлинности источника этих
сообщений и их целостности.
Обслуживающая сеть проверяет подлинность (как и в
GSM) абонента с помощью метода «оклик-отзыв». Процедура аутентификации легитимности сети отличается от этого
метода.
Аутентификация абонента в системе UMTS, как и в GSM,
осуществляется после протокола регистрации, поддерживающего связь между постоянным идентификатором IMSI и
Рис. 4
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
14
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
временным идентификатором TMSI. Такая связь позволяет
в сети определить индивидуальный ключ абонента-роумера,
не прибегая к его передаче по радиоучастку.
На рис. 4 приведена упрощенная схема UMTS версии
R99.
Версия R99 основана на принципах GSM и включает две
наземные сети доступа и две области базовой сети — с коммутацией каналов КК (мало отличающейся от GSM) и с коммутацией пакетов КП (усовершенствованная сеть GPRS). В
состав сетей доступа входит:
 AUС — центр аутентификации;
 BSS — подсистема базовых станции;
 BTS — базовая станция;
 EIR — регистр идентификации оборудования;
 GERAN — сеть радиодоступа с GSM/EDGE;
 HLR, VLR — домашний регистр, гостевой регистр;
 MSC, GMSC — комм у татор кана лов GSM, ш люз
GSM;
 MS — мобильная станция;
 RNC — контроллер радиосети;
 SGSN, GGSN — коммутатор пакетов GPRS, шлюз
GPRS;
 UE/USIM — оборудование пользователя с входящим
модулем идентификации услуг;
 UTRAN — сеть радиодоступа UMTS;
 WBTS — широкополосная базовая станция.
На рис. 5 приведена схема взаимной аутентификации
пользователя и сети (точнее, базовой станции сети) [6].
UE/USIM
VLR/SGSN
HLR/AUC
1. Запросданных
аутентификации
Генерирование
векторов
аутентификации
2. Ответ на запрос
аутентификации(RAND,XRES,IK,CK,AUTN)
Хранение векторов
аутентификации и
выделение очередного
вектора
аутентификации
3. Запросаутентификации
пользователя (RAND||AUTN)
Проверка
AUTN,
вычисление
RES
4. Ответ на запрос
аутентификации
пользователя (RES )
Сравнение RES и
XRES
Рис. 5
В сообщении 1 VLR или SGSN посылают в центр аутентификации AUC запрос данных об аутентификации пользователя. В это сообщение входит идентификатор пользователя
IMSI. На основе мастер-ключа К центр аутентификации AUC
генерирует и передает в HLR векторы аутентификации для
пользователя с идентификатором IMSI.
Каждый вектор аутентификации содержит:
 случайное число RAND (оклик);
 ожидаемый отзыв на оклик, XRES;
 ключ шифрования, СК (Cipher Key);
 ключ целостности, IK (Integrity Key);
 параметр (метка) аутентификации сети AUTN.
В сообщении 2 (ответ на запрос данных аутентификации в
сообщении 1) HLR передает векторы аутентификации обратно в VLR или SGSN. В обслуживающей сети (VLR/SGSN) для
каждого цикла процедуры аутентификации требуется один
вектор аутентификации. Прием нескольких векторов означает, что для каждой аутентификации данного пользователя
не нужен обмен сообщениями сигнализации (управления)
между сетью и центром аутентификации (которые могут находиться на значительном расстоянии друг от друга).
Обмен сообщениями 1 и 2 происходит по протоколу мобильных приложений ОКС-7 МАР [7].
В сообщении 3 (запрос аутентификации пользователя) содержатся два параметра из вектора аутентификации — RAND
и AUTN. Это сообщение передается на модуль идентификации абонента USIM, который находится в защищенной от
несанкционированного доступа среде (т. е. на смарт-карту
UMTS — UICC, UMTS Integrate Circuit Card). Пользователь
USIM использует значение параметра AUTN для того, чтобы
убедиться в подлинности подключенной сети. Пользователь
USIM использует RAND для того, чтобы вычислить ответ (отзыв) RES на запрос аутентификации пользователя.
В сообщении 4 (ответ на запрос аутентификации пользователя) содержится параметр RES. Это сообщение передается
из оборудования пользователя UE обратно VLR/SGSN, где
RES сравнивается с ожидаемым значением XRES. При совпадении RES и XRES сеть убеждается в подлинности пользователя.
Таким образом, аутентификация пользователя в UMTS
так же, как и в сети GSM, осуществляется с помощью шифрования с общим ключом по протоколу типа «отклик-отзыв»
(аутентифицирующая сторона посылает аутентифицируемой
стороне случайное число, которое зашифровывает его по определенному алгоритму с помощью общего ключа и возвращает результат обратно).
При аутентификации сети оператору UMTS предоставлена возможность выбора алгоритма. Все алгоритмы аутентификации сети, а также алгоритмы аутентификации управляющих сообщений в UMTS можно разделить на две группы — без использования шифрования и с использованием
блочного симметричного шифрования.
Примером первого является алгоритм формирования кода
аутентификации сообщения по протоколу HMAC [3]. Ко второй группе относится использование блочного шифрования
сообщения в режиме сцепления блоков CBC. Последний зашифрованный блок служит для формирования кода аутентификации сообщения.
На рис. 6 приведена схема генерирования вектора аутентификации в HLR/AUC. Центр аутентификации содержит
мастер-ключи пользователей и на основе международного
идентификатора мобильной станции IMSI генерирует для
пользователя векторы аутентификации. Заметим, что в сети
GSM такой ключ генерирует вектор аутентификации из двух
параметров — отзыв и ключ шифрования. Здесь в число па-
Генерирование
AMF
SQN
f1
RAND
K
MAC
Рис. 6
f2
f3
f4
XRES
CK
IK
f5
AK
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
15
раметров вектора аутентификации, кроме этих параметров
(XRES, CK), входят еще три параметра — IK, AK, MAC.
Для вычисления параметров вектора аутентификации используются пять односторонних функций — f1, f2, f3, f4, f5.
Приведенные значения на рис. 6 означают следующее:
 SQN (Sequence Number) — порядковый номер аутентификации служит для защиты от угрозы «повтор»;
 АК (Anonymity Key) — ключ, используемый для шифрования SQN;
 AMF (Authentication Management Field) — административное управляющее поле аутентификации. AMF может быть
использовано для указания многократного шифрования;
 МАС (Message Authentication Code) — код аутентификации сообщения [3]. В данном случае МАС = f1(K, AMF, SQN,
RAND), где f1 является алгоритмом формирования кода аутентификации сообщения, включающего К, AMF, SQN, RAND.
Век т ор ау т ен т ифи к а ц и и AV = R A ND | | X R ES | |CK | |
IK||AUTN, где параметр аутентификации сети AUTN =
= SQN⊕AK||AMF||MAC.
На рис. 7 приведена процедура аутентификации в UE/
USIM, содержащий тот же мастер-ключ, что и в AUС. Функция f5 должна быть вычислена до функции f1, поскольку f5
используется для маскировки порядкового номера SQN. Эта
маскировка нужна для того, чтобы предотвратить перехват
идентификатора пользователя по его порядковому номеру
SQN. Выходная функция f1 обозначается на стороне пользователя как XMAC. Она сравнивается с кодом аутентификации сообщения MAC, полученным из сети как часть параметра AUTN. Если они совпадают, то считается, что параметры RAND и AUTN были созданы объектом, который
знает ключ K (т. е. центром аутентификации AUC домашней
сети пользователя).
RAND
AUTN
SQN⊕AK
f5
AK
AMF
MAC
⊕
SQN
f2
f3
RES
CK
f4
K
f1
IK
XMAC
=?
Рис. 7
Приведенная процедура обеспечивает взаимную подлинность терминала и сети только на момент аутентификации. В
работе [11] рассматривается возможность следующей угрозы:
злоумышленник, маскирующийся под базовую станцию, осуществляет приведенную выше взаимную аутентификацию.
После ее завершения злоумышленник на уровне управления
радиоресурсами RRC посылает ложные сообщения. Поэтому
в UMTS предусмотрена аутентификация отдельных управляющих сообщений. Один из механизмов защиты от такого
вида угроз основан также на коде аутентификации сообщения MAC-I, который добавляется к каждому управляющему
сообщению. Как показано на рис. 8, MAC-I длиной 32 бита
формируется с помощью односторонней функции f9, которая
управляется ключом целостности IK.
Совпадение MAC-I и XMAC-I показывает, что принятое
сообщение поступило от подлинного источника, а само сообщение — именно то, которое было отправлено. На этом завершается аутентификация принятого сообщения.
Сообщение
RRC
COUNT�I
FRESH
IK
Направление
f9
MAC�I
Рис. 8
Кроме самого сообщения RRC и ключа IK (128 бит) входами функции f9 являются:
 счетчик COUNT-I (32 бит): увеличивается на единицу
после каждого нового сообщения RRC;
 FRESH: случайное число, сгенерированное контроллером радиосети RNC.
Значения COUNT-I и FRESH служат защитой от угрозы
«повтор».
На рис. 9 приведена схема формирования MAC-I по стандартизированному организацией 3GPP алгоритму f9. В качестве примера приведено формирование кода аутентификации
сообщения с использованием симметричного блочного шифрования по алгоритму KASUMI в режиме CBC.
На рисунке показана общая схема работы алгоритма f9 по
формированию MAC-I. Определим элементы схемы:
PS — подаваемое на вход f9 сообщение (включая биты заполнителя);
PS = COUNT — I || FRESH || Сообщение RRC || Направление || 1 || 0 … 0, где число «0» в поле заполнителя от нуля
до 63.
Число PS расщепляется на 64-битовые блоки PSi. Тогда
PS = PS0 || PS1 || PS2 || … || PSBLOCKS-1
PS0 = COUNT || FRESH.
Для каждого значения n 0 ≤ n ≤ BLOCKS-1 выполняются
следующие операции:
А = KASUMIIK (A ⊕ PSn)
B=B⊕A
(в начальном положении А = В = 0).
Последний дополнительный блок шифруется ключом IK
⊕ KM, где КМ равна 128 бит (16 байт 0хАА = 10101010).
B = KASUMIIK⊕KM (B).
Левые 32 бита В являются значением MAC-I. Как видно из
приведенного описания, алгоритм f9 — модернизированная схема
сцепления блоков шифра CBC (Cipher — Block — Chaining) [3].
Взаимная аутентификация объектов сети ISDN. В приведенных выше алгоритмах аутентификации под аутентиCOUNT – I || FRESH||Сообщение RRC||Направление
PS0
PS1
64
64
IK
IK
KASUMI
PS2
64
KASUMI
64
IK
PSBLOCKS�1
64
64
IK
KASUMI
KASUMI
64
64
64
IK ⊕ KM
KASUMI
MAC�I (left 32 bits)
Рис. 9
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
16
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
фицирующим или аутентифицируемым объектом принималось либо оконечное оборудование пользователя, либо
оконечное сетевое оборудование. В документах ETSI [12]
и ITU-T [13], посвященных аутентификации сообщений
в сети ISDN, под объектом аутентификации понимается
так же промежуточные узлы транспортной сети связи. В
IP-сетях такими объектами в протоколах маршрутизации
RIP, OSPF, BGP являются промежуточные маршрутизаторы [14,15]. В глобальной интеллектуальной сети объекты,
подверженные угрозам ИБ, — узел коммутации услуг SSP
и узел управления услугами [16]. А лгоритм взаимной аутентификации сообщений объектов сети ISDN основан на
шифровании профиля сообщения по схеме шифрования с
открытым ключом. Одно из преимуществ перед использованием симметричного шифрования состоит в том, что обеспечивается доставка секретного ключа для традиционного
шифрования сообщений. Алгоритм взаимной аутентификации сообщений объектов сети ISDN приводится на примере
двухуровневой иерархии центров сертификации (удостоверяющих центров), обеспечивающих аутентификацию двух
объектов, идентификаторы которых X и Y (рис. 10).
GCA «СY »
GCA «СX »
GCA
СX
СY
GCA «СX »
СX «X»
RSA.P1: GCA «СX», СX «X», R X , Y, X S [h(RX, Y)]
X
RSA.P2: GCA<<C Y>>, C Y <<Y>>, RY, X, R X , X P[KY ],
Y S[h(RY, X, R X , KY )]
RSA.P3: RY, Y, Y P[KX ], X S[h(R Y, Y, K X )]
Y
Рис. 10
Здесь приняты следующие обозначения:
СX — сертификационный центр, в котором создается сертификат открытого ключа объекта Х, т. е. С X «X»;
С Y — сертификационный центр, в котором создается сертификат открытого ключа объекта Y, т. е. С Y «Y»;
GCA — общий сертификационный центр, в котором создаются сертификаты открытых ключей сертификационного
центра С X, т. е. GCA «С X» и сертификационного центра С Y,
т. е. GCA «С Y».
Объект Х инициирует аутентификацию, отправляя в адрес Y сообщение RSA.P1: GCA «С X», С X «X», R X, Y, X S [h(R X,
Y)], где R X — случайное число, сгенерированное объектом Х
для защиты от угрозы «повтор аутентификации»; X S [h(R X ,
Y)] — цифровая подпись сообщения R X, Y, полученная шифрованием хэш-функции этого сообщения с помощью закрытого ключа объекта Х (т. е. X S).
Объект Y, получив сообщение RSA.P1, выполняет следующую последовательность операций:
 при помощи открытого ключа общего центра сертификации производится проверка достоверности принятого в сертификате GCA «С X» открытого ключа центра сертификации С X . Этот достоверный ключ позволяет проверить
достоверность принятого в сертификате С X «X» открытого
ключа Х Р объекта Х. Механизм проверки подлинности открытого ключа сертификата подробно изложен в документе
ITU-T X.509 [17];
 производится проверка целостности сообщений — R X,
Y. Для этого полученная хеш-функция h(R X, Y) сравнивается
с помощью расшифрованной — ХР [XS[h(R X, Y)]. Оба значения
должны быть равны;
 проверяются на истечение срока действия принятые
сертификаты;
 ведется проверка идентификатора объекта Х, полученного в составе сертификата C X<<X>>.
При успешном результате анализа принятого сообщения
RSA.P1 объект Y отправляет объекту Х сообщение RSA.P2.
Содержание сообщения RSA.P2:
GCA<<C Y>>, C Y<<Y>>, RY, X, R X, X P[K Y ],
YS[h(RY, X, R X, K Y )],
где RY — случайное число, сгенерированное объектом Y, RY
используется для защиты от угрозы «повтор аутентификации»; K Y — случайное число, сгенерированное объектом Y,
для создания ключа симметричного шифрования; YS — закрытый ключ объекта Y.
Как видно из рис. 9, в RSA.P2 дополнительно к сертификатам включены сообщения:
RY, X, R X, X P[K Y ], YS[h(RY, X, R X, K Y )].
Объект Х, получив сообщение RSA.P2, выполняет следующую последовательность операций:
1) проверяет достоверность принятого открытого ключа
Y P объекта Y, используя для этого содержащиеся в сообщении
сертификаты. Описание принципа этой проверки приведено
выше (п. 1 сообщения RSA.P1);
2) расшифровывает K Y, т. е. K Y — X S[X P[K Y ]];
3) проверяет целостность сообщений — RY, X, R X, K Y. Для
этого полученная хеш-функция h(RY, X, R X, KY ) сравнивается
с расшифрованной — Y P[YS[h(RY, X, R X, K Y )]]. Оба значения
должны быть равны;
4) проверяет на истечение срока действия принятые сертификаты;
5) устанавливает, является ли значение R X тем же, что
было отправлено в сообщении RSA.P1 (защита от угрозы «повтор аутентификации»);
6) проверяет идентификатора объект Y, полученного в
составе сертификата C Y<<Y>>.
При успешном результате анализа принятого сообщения
RSA.P2 объект Х отправляет объекту Y сообщение RSA.P3 о
завершении аутентификации объекта Y.
Содержание сообщения RSA.P3:
RY, Y, Y P[K X], X S[h(RY, Y, K X)],
где К Х — случайное число, сгенерированное объектом Х, для
создания общего ключа симметричного шифрования.
Объект Y, получив сообщение RSA.P3, выполняет следующую последовательность операций:
1) расшифровывает К Х, т. е. К Х = YS[Y P[K X]];
2) проверяет целостность сообщений — RY, Y, K X . Для
этого полученная хеш-функция h(RY, Y, K X ) сравнивается с
расшифрованной — X P[X S[h(RY, Y, Kx)]]. Оба значения должны быть равны;
3) проверяет, является ли значение RY тем же, что было
отправлено в сообщении RSA.P3 (защита от угрозы «повтор
аутентификации»).
Успешный результат анализа принятого сообщения RSA.
P3 свидетельствует об аутентификации объекта Х объектом
Y, т. е. о взаимной аутентификации. Если проверка любого из
сообщений RSA.P1, RSA.P2, RSA.P3 оказывается не удовлетворительной, объект Х или Y отправляют сообщение RSA.
P4 об отказе в аутентификации и прекращают процедуру установления соединения.
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 8, 2008
В приведенном примере взаимной аутентификации сообщений в отличие от двухшаговой схемы рекомендации Х.509
[17] ключевые данные К Х передаются не в первом сообщении, а в последнем (т. е. не в RSA.P1, а в RSA.P3). Это сделано с целью упрощения алгоритма за счет того, что объект Х
не должен получать открытый ключ Y P и убеждаться в его
достоверности через цепочку сертификационных центров.
Данный ключ поступает при реализации в ISDN во втором
сообщении, т. е. RSA.P2.
Другое отличие состоит в том, что для усиления защиты
в сообщение RSA.P3 добавлен идентификатор Y.
Еще одно отличие заключается в том, что в сообщениях
RSA.P2 и RSA.P3 цифровая подпись охватывает незашифрованные ключевые данные K Y и К Х соответственно. Это позволяет на приеме убедиться, что данные не были изменены
во время передачи.
Выводы. Международные организацияи по стандартизации (ITU-T, ETSI, 3GPP и др.) уделяют большое внимание
тестированию объектов сети. Разработаны рекомендации по
базовым вопросам тестирования (стандарты ITU-T X/290 и
др.), а также по тестированию некоторых конкретных технологий связи (например, стандарты Q.781 — Q.787). Тестирование предусматривается как в части проверки алгоритмов на
соответствие спецификациям, так и в части совместимости
алгоритмов разных производителей оборудования.
Алгоритмы обеспечения ИБ в сетях связи (такие, как приведенные выше протоколы аутентификации) являются частью функций объектов сети. В то же время в существующих
спецификациях по тестированию подобных систем (например, ОКС-7), алгоритмы механизмов аутентификации не специфицированы, поэтому не подлежат согласно документам
ITU-T тестированию на соответствие и на совместимость.
17
Литература
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
Бельфер РА. Классификация угроз иформационной безопасности в сетях связи ВСС России (ISDN, IN, UMTS) и методы их
количественной оценки // Электросвязь. — 2002 — № 7.
Бельфер Р.А., Акулов А.П. Безопасность мобильных систем связи 3G // Вестник связи. — 2001 — №12.
Столингс В. Основы защиты сетей и стандарты — М.: «Вильямс», 2002.
ETSI EN 304 002—1 V1.3.1. Services digital Network (ISDN); Security tools (SET) Procedures; Digital Subscriber Signaling System
№ one (DSS1) Protocol; part 1: Protocol Specification, 2001.
ETSI ETS 300 790. Universal Personal Telecommunication (UPT);
Security Architecture for UPT Phase 2; Specification, 1997.
Bannister J., Mather P., Coope S. Convergence Technologies for 3G
Networks. — John Wiley & Sons, Ltd, 2004.
Драйберг Либ Хьюитт Д. Система сигнализации №7 (SS7/ОКС-7).
Протоколы, структура и применение. — М.: «Вильямс», 2006.
ETSI ETR 083/ Universal Personal Telecommunication (UPT); General UPT Security architecture, 1993.
Таненбаум Э. Компьютерные сети. Изд.4 — СПб: Питер, 2003.
UMTS Security. Niemi V., Nyberg K. UMTS Security. — John Wiley
& Sons, Ltd, 2003.
Кааранен Х. и др. Сети UMTS. Архитектура, мобильность, сервисы. — М.: Техносфера, 2007.
ETSI ETS 300 841. Telecommunications Security; Integrated Services Digital Network (ISDN); Encryption Key management and authentication system for audio-visual services, 1998.
ITU-T Recommendation H.234. Encryption Key management and
authentication system for audio-visual services, 1998.
Мамаев М., Петренко С. Технологии защиты информации в
Интернете. Специальный справочник. — СПб: Питер, 2002.
RFC — 2082.
Бельфер Р.А. Анализ систем связи в аспекте проектирования
информационной безопасности // Электросвязь. — 2004 — №3.
ITU-T Recommendation X.509. Information technology — Open
Systems Interconnection. The Directory: Authentication framework
(1997 edition — version 3).
Получено 25.06.08
Документ
Категория
Без категории
Просмотров
6
Размер файла
649 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа