ISIM: Różnice pomiędzy wersjami
[wersja przejrzana] | [wersja przejrzana] |
Usunięta treść Dodana treść
m drobne merytoryczne, drobne redakcyjne |
m →Mechanizm uwierzytelniania: drobne merytoryczne, drobne redakcyjne, drobne techniczne |
||
Linia 78:
== Mechanizm uwierzytelniania ==
[[Plik:Schemat AKA ISIM.JPG|thumb|Mechanizm uwierzytelniania AKA (ang. ''Authentication and Key Agreement'')|
Klucze i funkcje uwierzytelniające w systemie [[Internetworking Management System|IMS]] są dzielone pomiędzy [[Karta elektroniczna|kartę chipową]] od strony użytkownika i HSS (ang. ''Subscriber Server'') od strony sieci. Identyfikator używany do uwierzytelniania abonenta w [[Internetworking Management System|IMS]] to '''IMPI''' (ang. ''Private Identity''). Schemat uwierzytelniania w [[Internetworking Management System|IMS]] bazuje na mechanizmie obustronnego uwierzytelniania w sieciach [[Universal Mobile Telecommunications System|UMTS]] nazywanym UTMS AKA (ang. ''Authentication and Key Agreement'').
== = UMTS AKA ==
'''UMTS AKA''' jest protokołem typu ''challenge-response''. Wyzwanie ([[język angielski|ang.]] ''Challenge'') pochodzi od Centrum Uwierzytelnienia (ang. ''Authentication Center'') AuC z sieci macierzystej abonenta. '''Kwintet''' ([[język angielski|ang.]] ''Quintet'') zostaje wysłany z AuC do sieci oferującej usługę
* losową liczbę (RAND),
* oczekiwaną odpowiedź (XRES),
* klucz szyfrujący CK (ang. ''Ciphering key''),
* klucz integralności danych IK (ang. ''Integrity key''),
* żeton (token) uwierzytelnienia AUTN (ang. ''Authentication
<blockquote><math>AUTN=(SQN\oplus AK||AMF||MAC) </math>
** AMF,
** klucz uwierzytelniający AK (ang. ''Authentication key''),
▲# kod uwierzytelniający wiadomości (MAC)
Sieć oferująca daną usługę przesyła RAND I AUTN do UE (ang. ''User Equipment''), który po ich otrzymaniu generuje IK, CK, XMAC i
▲# numer sekwencji (SQN)
▲Sieć oferująca daną usługę przesyła RAND I AUTN do UE (ang. ''User Equipment''), który po ich otrzymaniu generuje IK, CK, XMAC i SQN oraz wydobywa MAC i SQN z otrzymanego AUTN. UE porównuje wygenerowany przez siebie XMAC z otrzymanym. Jeśli są zgodne i SQN mieści się w określonym zakresie UE uwierzytelnia sieć.
Celem tej procedury jest obopólne uwierzytelnienie użytkownika i sieci oferującej usługę oraz ustanowienie nowej pary kluczy: CK i IK pomiędzy siecią a aplikacją '''ISIM'''. CK jest używany w szyfrowaniu głosu, IK zabezpiecza integralność danych wiadomości sygnalizacyjnych [[Session Initiation Protocol|SIP]] (ang. ''Session Initiation Protocol'').
== = IMS AKA ==
Ten sam algorytm został wykorzystany w [[Internetworking Management System|IMS]], gdzie jest nazywany [[Internetworking Management System|IMS]] AKA. Parametry zabezpieczeń (np. klucze) generowane przez [[Internetworking Management System|IMS]] AKA są transportowane za pomocą [[Session Initiation Protocol|SIP]]. Chociaż metody obliczania parametrów przez [[Universal Mobile Telecommunications System|UMTS]] AKA i [[Internetworking Management System|IMS]] AKA są identyczne, parametry te są transportowane w nieco inny sposób. W [[Universal Mobile Telecommunications System|UMTS]] AKA odpowiedź UE (czyli RES) jest wysyłana pojedynczo, podczas gdy [[Internetworking Management System|IMS]] RES jest wysyłana w połączeniu z innymi parametrami, tak aby wytworzyć uwierzytelniającą odpowiedź, która jest wysyłana do sieci. Aby zabezpieczyć przesyłanie wiadomości sygnalizacyjnych (SIP) pomiędzy UE i P-CSCF (ang. ''Proxy Call Session Control Function'') wszystkie wiadomości [[Session Initiation Protocol|SIP]] chronione są na poziome [[Internet Protocol|IP]] przez IPsec ESP. Terminale [[Internetworking Management System|IMS]] używają IK do ochrony integralności wiadomości [[Session Initiation Protocol|SIP]] przesyłanych pomiędzy UE i P-CSCF. Również CK może być opcjonalnie użyty do kodowania wiadomości [[Session Initiation Protocol|SIP]].
== = Podsumowanie ==
Odpowiedni poziom zabezpieczenia dostępu do [[Internetworking Management System|IMS]] zapewniają znajdujące się na '''ISIM''' następujące dane i funkcje ochronne:
* prywatny identyfikator użytkownika IMPI (ang. ''IM Private Identity''),
* przynajmniej jeden publiczny identyfikator użytkownika IMPU (ang. I''M Public Identity''),
* nazwa domeny sieci macierzystej,
* baza dla numeru sekwencji SQN,
* klucz uwierzytelniający AK (ang. ''Authentication key'').
Protokół uwierzytelniający '''AKA''' zawsze działa niezależnie między [[Internetworking Management System|IMS]] i siecią [[Telefonia komórkowa trzeciej generacji|3G]]
== Współdzielenie funkcji i danych. ==
Linia 130 ⟶ 122:
== Linki zewnętrzne ==
* [http://www.3gpp.org/ftp/Specs/html-info/31103.htm 3GPP TS 31.103] Standard 3GPP dla ISIM
[[Kategoria:Telefonia komórkowa]]
|