Obecná architektura bootstrappingu - Generic Bootstrapping Architecture

Obecná architektura bootstrappingu (GBA) je technologie, která umožňuje autentizaci uživatele. Toto ověřování je možné, pokud uživatel vlastní platnou identitu na HLR (Registrace domovského místa ) nebo na HSS (Server domácího předplatitele ).

GBA je standardizována na 3GPP (http://www.3gpp.org/ftp/Specs/html-info/33220.htm ). Ověření uživatele je vytvořeno prostřednictvím sdíleného tajemství, jednoho v souboru chytrá karta, například a SIM karta uvnitř mobilního telefonu a druhý je na HLR / HSS.

GBA se ověří tím, že síťová součást vyzve čipovou kartu a ověří, že odpověď je ta, kterou předpovídá HLR / HSS.

Místo toho, abyste požádali poskytovatele služeb o důvěru v BSF a spoléhat se na něj při každém požadavku na ověření, BSF vytvoří sdílené tajemství mezi SIM karta kartu a poskytovatele služeb. Toto sdílené tajemství je časově omezené a pro konkrétní doménu.

Obecná bootstrappingová architektura.jpg

Silné body

Toto řešení má několik silných stránek certifikátu a sdílených tajemství, aniž by mělo některé ze svých slabin:

- Není potřeba fáze registrace uživatele ani zabezpečené nasazení klíčů, díky čemuž je toto řešení ve srovnání s velmi levným řešením PKI.

- Další výhodou je snadnost, s jakou může být metoda ověřování integrována do terminálů a poskytovatelů služeb, jak je založena HTTP je dobře známý "Digestní ověřování přístupu ". Každý webový server již implementuje HTTP ověřování digest a úsilí o implementaci GBA nad ověřením digest je minimální. Mohlo by to být například implementováno na SimpleSAMLPhP http://rnd.feide.no/simplesamlphp s 500 řádky kódu PHP a jen několika desítkami řádků kódu jsou specifické pro poskytovatele služeb, takže je snadné jej přenést na jiný web.

- Na straně zařízení je potřeba:

Webový prohlížeč (ve skutečnosti klient HTTP) implementující ověřovací algoritmus digest a speciální případ navržený řetězcem „3gpp“ v hlavičce HTTP.
Prostředek k dialogu s čipovou kartou a podepsaný výzvou odeslanou BSF, může být použit buď Bluetooth SAP nebo Java nebo nativní aplikace ke splnění požadavku přicházejícího z prohlížeče.

Technický přehled

Obsah této části ve skutečnosti pochází z externí literatury.^[1]

Existují dva způsoby, jak použít GAA (Generic Authentication Architecture).

První, GBA, je založen na sdíleném tajemství mezi klientem a serverem
Druhý, SSC, je založen na párech veřejného a soukromého klíče a digitálních certifikátech.

V případech sdíleného tajemství se zákazník a operátor nejprve vzájemně autentizují prostřednictvím 3G a ověřovacího klíče (AKA) a dohodnou se na klíčích relace, které pak mohou být použity mezi klientem a službami, které chce zákazník použít. Tomu se říká bootstrappingPoté mohou služby načíst klíče relace od operátora a lze je použít v nějakém protokolu specifickém pro aplikaci mezi klientem a službami.

Obrázek výše ukazuje síťové entity GAA a rozhraní mezi nimi. Nepovinné entity jsou nakresleny pomocí linesnetwork a ohraničením bodkovaných na výsledkové tabuli. Uživatelským vybavením (UE) je například mobilní telefon uživatele. UE aFunkce bootstrapping serveru (BSF) se vzájemně autentizují během rozhraní Ub (číslo [2] výše), pomocí Digestní ověřování přístupu AKA protokol. UE také komunikuje s Funkce síťových aplikací (NAF), což jsou implementační servery, přes rozhraní Ua [4], které může používat jakýkoli potřebný konkrétní aplikační protokol.

BSF načte data od předplatitele z Home Subscriber Server (HSS) během rozhraní Zh [3], které používáPrůměr Základní protokol. Pokud je v síti několik HSS, musí BSF nejprve vědět, který z nich použít. To lze provést buď nastavením předdefinovaného HSS na BSF, nebo dotazem na funkci Subscriber Locator Function (SLF). NAF obnoví klíčovou relaci BSF během rozhraní Zn [5], které také používá průměr na základně Protokol. Pokud neníNAF v domácí síti, musí ke kontaktování BSF použít Zn-proxy.

Použití

Projekt SPICE vyvinul rozšířený případ použití s názvem „split terminal“, kde se uživatel na PC může autentizovat pomocí svého mobilního telefonu: http://www.ist-spice.org/demos/demo3.htm. NAF byl vyvinut na SimpleSAMLPhP a rozšíření Firefoxu bylo vyvinuto pro zpracování požadavku na autorizaci GBA digestu od BSF. Mezi prohlížečem Firefox a mobilním telefonem byl použit profil Bluetooth SIM Access. Později partner vyvinul koncept „nulové instalace“.
Výzkumný ústav Fraunhofer FOKUS vyvinul rozšíření OpenID pro Firefox, které používá ověření GBA.Prezentace na konferenci ICIN 2008 Peter Weik
Otevřená platforma mobilních terminálů http://www.omtp.org odkazuje na GBA ve svém pokročilém důvěryhodném prostředí: OMTP TR1^[2] doporučení, poprvé vydáno v květnu 2008.

Je smutné, že navzdory mnoha výhodám a potenciálnímu využití GBA byla jeho implementace do mobilních telefonů od standardizace GBA v roce 2006 omezena. Nejvýznamnější je, že GBA byla implementována v mobilních telefonech se systémem Symbian.

Reference

^ Obecná ověřovací architektura, Timo Olkkonen, Helsinská technická univerzita
^ „OMTP Advanced Trusted Environment: OMTP TR1“. Archivovány od originál dne 2008-10-21. Citováno 2009-01-04.

[1] Obecná ověřovací architektura, Timo Olkkonen, Helsinská technická univerzita

[2] „OMTP Advanced Trusted Environment: OMTP TR1“. Archivovány od originál dne 2008-10-21. Citováno 2009-01-04.

[1]

[2]