Wikipedia

ISIM: Różnice pomiędzy wersjami

Przeglądaj historię interaktywnie
[wersja przejrzana][wersja przejrzana]
← poprzednia edycjanastępna edycja →
Usunięta treść Dodana treść
WizualnieWikikod
m drobne merytoryczne, drobne redakcyjne
m →‎Mechanizm uwierzytelniania: drobne merytoryczne, drobne redakcyjne, drobne techniczne
Linia 78:
 
== Mechanizm uwierzytelniania ==
[[Plik:Schemat AKA ISIM.JPG|thumb|Mechanizm uwierzytelniania AKA (ang. ''Authentication and Key Agreement'')|400px450x450px]]
 
Klucze i funkcje uwierzytelniające w systemie [[Internetworking Management System|IMS]] są dzielone pomiędzy [[Karta elektroniczna|kartę chipową]] od strony użytkownika i HSS (ang. ''Subscriber Server'') od strony sieci. Identyfikator używany do uwierzytelniania abonenta w [[Internetworking Management System|IMS]] to '''IMPI''' (ang. ''Private Identity''). Schemat uwierzytelniania w [[Internetworking Management System|IMS]] bazuje na mechanizmie obustronnego uwierzytelniania w sieciach [[Universal Mobile Telecommunications System|UMTS]] nazywanym UTMS AKA (ang. ''Authentication and Key Agreement'').
 
== = UMTS AKA ==
'''UMTS AKA''' jest protokołem typu challenge-response. Wyzwanie ([[język angielski|ang.]] ''Challenge'') pochodzi od Centrum Uwierzytelnienia (ang. ''Authentication Center'') AuC z sieci macierzystej abonenta.
'''UMTS AKA''' jest protokołem typu ''challenge-response''. Wyzwanie ([[język angielski|ang.]] ''Challenge'') pochodzi od Centrum Uwierzytelnienia (ang. ''Authentication Center'') AuC z sieci macierzystej abonenta. '''Kwintet''' ([[język angielski|ang.]] ''Quintet'') zostaje wysłany z AuC do sieci oferującej usługę. Kwintet(VLR\SGSN) i zawiera:
* losową liczbę (RAND),
* oczekiwaną odpowiedź (XRES),
* klucz szyfrujący CK (ang. ''Ciphering key''),
* klucz integralności danych IK (ang. ''Integrity key''),
* żeton (token) uwierzytelnienia AUTN (ang. ''Authentication Tokentoken'') AUTNwyznaczany w <brnastępujący />sposób:
<br />
<blockquote><math>AUTN=(SQN\oplus AK||AMF||MAC) </math> ,<br/blockquote><blockquote>który zawiera:</blockquote>
#** kod uwierzytelniający wiadomości (MAC) ,
<br />
** AMF,
który zawiera:
** klucz uwierzytelniający AK (ang. ''Authentication key''),
#** numer sekwencji (SQN) .
# kod uwierzytelniający wiadomości (MAC)
Sieć oferująca daną usługę przesyła RAND I AUTN do UE (ang. ''User Equipment''), który po ich otrzymaniu generuje IK, CK, XMAC i SQNRES oraz wydobywa MAC i SQN z otrzymanego AUTN. UE porównuje wygenerowany przez siebie XMAC z otrzymanym. Jeśli są zgodne i SQN mieści się w określonym zakresie, to UE uwierzytelnia sieć. Wtedy sieć oferująca usługę otrzymuje odpowiedź RES (ang. ''Response'') od UE i porównuje ją z XRES. Jeśli są zgodne UE zostaje uwierzytelniony.
# AMF (ang. ''Application Dedicated File'')
# numer sekwencji (SQN)
 
Sieć oferująca daną usługę przesyła RAND I AUTN do UE (ang. ''User Equipment''), który po ich otrzymaniu generuje IK, CK, XMAC i SQN oraz wydobywa MAC i SQN z otrzymanego AUTN. UE porównuje wygenerowany przez siebie XMAC z otrzymanym. Jeśli są zgodne i SQN mieści się w określonym zakresie UE uwierzytelnia sieć.
 
Sieć oferująca usługę otrzymuje RES(odpowiedź) od UE i porównuje ją z XRES. Jeśli są zgodne UE zostaje uwierzytelniony.
 
Celem tej procedury jest obopólne uwierzytelnienie użytkownika i sieci oferującej usługę oraz ustanowienie nowej pary kluczy: CK i IK pomiędzy siecią a aplikacją '''ISIM'''. CK jest używany w szyfrowaniu głosu, IK zabezpiecza integralność danych wiadomości sygnalizacyjnych [[Session Initiation Protocol|SIP]] (ang. ''Session Initiation Protocol'').
 
== = IMS AKA ==
Ten sam pomysł został wykorzystany w [[Internetworking Management System|IMS]], gdzie jest nazywany [[Internetworking Management System|IMS]] AKA. Parametry zabezpieczeń (np. klucze) generowane przez [[Internetworking Management System|IMS]] AKA są transportowane za pomocą [[Session Initiation Protocol|SIP]].
Ten sam algorytm został wykorzystany w [[Internetworking Management System|IMS]], gdzie jest nazywany [[Internetworking Management System|IMS]] AKA. Parametry zabezpieczeń (np. klucze) generowane przez [[Internetworking Management System|IMS]] AKA są transportowane za pomocą [[Session Initiation Protocol|SIP]]. Chociaż metody obliczania parametrów przez [[Universal Mobile Telecommunications System|UMTS]] AKA i [[Internetworking Management System|IMS]] AKA są identyczne, parametry te są transportowane w nieco inny sposób. W [[Universal Mobile Telecommunications System|UMTS]] AKA odpowiedź UE (czyli RES) jest wysyłana pojedynczo, podczas gdy [[Internetworking Management System|IMS]] RES jest wysyłana w połączeniu z innymi parametrami, tak aby wytworzyć uwierzytelniającą odpowiedź, która jest wysyłana do sieci. Aby zabezpieczyć przesyłanie wiadomości sygnalizacyjnych (SIP) pomiędzy UE i P-CSCF (ang. ''Proxy Call Session Control Function'') wszystkie wiadomości [[Session Initiation Protocol|SIP]] chronione są na poziome [[Internet Protocol|IP]] przez IPsec ESP. Terminale [[Internetworking Management System|IMS]] używają IK do ochrony integralności wiadomości [[Session Initiation Protocol|SIP]] przesyłanych pomiędzy UE i P-CSCF. Również CK może być opcjonalnie użyty do kodowania wiadomości [[Session Initiation Protocol|SIP]].
 
Chociaż metody obliczania parametrów przez [[Universal Mobile Telecommunications System|UMTS]] AKA i [[Internetworking Management System|IMS]] AKA są identyczne, parametry te są transportowane w nieco inny sposób. W [[Universal Mobile Telecommunications System|UMTS]] AKA odpowiedź UE (czyli RES) jest wysyłana pojedynczo, podczas gdy [[Internetworking Management System|IMS]] RES jest wysyłana w połączeniu z innymi parametrami, tak aby wytworzyć uwierzytelniającą odpowiedź, która jest wysyłana do sieci.
 
Aby zabezpieczyć przesyłanie wiadomości sygnalizacyjnych pomiędzy UE i P-CSCF (ang. ''Proxy Call Session Control Function'') wszystkie wiadomości [[Session Initiation Protocol|SIP]] chronione są na poziome [[Internet Protocol|IP]] przez IPsec ESP.
Terminale [[Internetworking Management System|IMS]] używają IK do ochrony integralności wiadomości [[Session Initiation Protocol|SIP]] przesyłanych pomiędzy UE i P-CSCF. Również CK może być opcjonalnie użyty do kodowania wiadomości [[Session Initiation Protocol|SIP]].
 
== = Podsumowanie ==
Odpowiedni poziom zabezpieczenia dostępu do [[Internetworking Management System|IMS]] zapewniają znajdujące się na '''ISIM''' następujące dane i funkcje ochronne:
* prywatny identyfikator użytkownika IMPI (ang. ''IM Private Identity''),
* przynajmniej jeden publiczny identyfikator użytkownika IMPU (ang. I''M Public Identity''),
* nazwa domeny sieci macierzystej,
* baza dla numeru sekwencji SQN,
* klucz uwierzytelniający AK (ang. ''Authentication key'').
 
Protokół uwierzytelniający '''AKA''' zawsze działa niezależnie między [[Internetworking Management System|IMS]] i siecią [[Telefonia komórkowa trzeciej generacji|3G]]., Zatemzatem, nie istnieje niebezpieczeństwo, że złamanie zabezpieczeń i uzyskanie kluczy IK/CK w jednej domenie będzie prowadziło do powstania słabych punktów w innych domenach.
 
== Współdzielenie funkcji i danych. ==
Linia 130 ⟶ 122:
 
== Linki zewnętrzne ==
* [http://www.3gpp.org/ftp/Specs/html-info/31103.htm 3GPP TS 31.103] Standard 3GPP dla ISIM
 
[[Kategoria:Telefonia komórkowa]]
Źródło: „https://pl.wikipedia.org/wiki/ISIM