Общая архитектура начальной загрузки

Универсальная архитектура начальной загрузки ( GBA ) — это технология, обеспечивающая аутентификацию пользователя. Эта аутентификация возможна, если пользователь владеет действительным удостоверением личности в HLR ( домашний регистр местоположений ) или на HSS ( домашний сервер подписчиков ).

GBA стандартизирован в 3GPP ( http://www.3gpp.org/ftp/Specs/html-info/33220.htm ). Аутентификация пользователя осуществляется с помощью общего секретного кода: один находится в смарт-карте , например, на SIM-карте внутри мобильного телефона, а другой — в HLR/HSS.

GBA аутентифицируется, заставляя сетевой компонент опрашивать смарт-карту и проверять, что ответ соответствует предсказанию HLR/HSS.

Вместо того, чтобы просить поставщика услуг доверять BSF и полагаться на него при каждом запросе аутентификации, BSF устанавливает общий секрет между SIM- картой и поставщиком услуг. Этот общий секрет ограничен по времени и для конкретного домена.

Сильные стороны

Это решение имеет некоторые сильные стороны сертификатов и общих секретов, но не имеет некоторых их недостатков:

- Нет необходимости ни в этапе регистрации пользователей, ни в безопасном развертывании ключей, что делает это решение очень дешевым по сравнению с PKI .

- Еще одним преимуществом является легкость, с которой метод аутентификации может быть интегрирован в терминалы и поставщиков услуг, поскольку он основан на HTTP хорошо известной -аутентификации «дайджест-доступа ». Каждый веб-сервер уже реализует дайджест-аутентификацию HTTP , и усилия по реализации GBA поверх дайджест-аутентификации минимальны. Например, его можно реализовать на SimpleSAMLhP http://rnd.feide.no/simplesamlphp. Архивировано 19 декабря 2008 г. на Wayback Machine с 500 строками кода PHP, и только несколько десятков строк кода созданы поставщиком услуг. его действительно легко перенести на другой веб-сайт.

- На стороне устройства необходимо:

Веб-браузер (фактически HTTP-клиент), реализующий дайджест-аутентификацию и особый случай, созданный с помощью строки «3gpp» в заголовке HTTP.
Для обслуживания запроса, поступающего из браузера, можно использовать средство диалога со смарт-картой и подписание запроса, отправленного BSF, либо Bluetooth SAP, либо Java, либо собственное приложение.

Технический обзор

На самом деле содержимое этого раздела взято из сторонней литературы. ^[1]

Существует два способа использования GAA (общая архитектура аутентификации).

Первый, GBA, основан на общем секрете между клиентом и сервером.
Второй, SSC, основан на парах открытого и закрытого ключей и цифровых сертификатах.

В случаях общего секрета клиент и оператор сначала проходят взаимную аутентификацию через 3G и ключ аутентификации (AKA), а затем согласовывают ключи сеанса, которые затем могут использоваться между клиентом и услугами, которые клиент хочет использовать. Это называется начальной загрузкой . После этого службы могут получить сеансовые ключи от оператора, и их можно использовать в каком-либо протоколе, специфичном для приложения, между клиентом и службами.

На рисунке выше показаны объекты сети GAA и интерфейсы между ними. Необязательные объекты рисуются линиями. сеть и границы усеивали табло. Пользовательское оборудование (UE) представляет собой, например, мобильный телефон пользователя. ЕС и Функция сервера начальной загрузки ( BSF ) взаимно аутентифицирует себя во время интерфейса Ub (номер [2] выше), используя протокол аутентификации доступа Digest AKA . UE также связывается с функциями сетевых приложений ( NAF ), которые являются серверами реализации, через интерфейс Ua [4], который может использовать любой необходимый протокол конкретного приложения.

BSF получает данные от абонента с Домашнего Абонентского Сервера (HSS) во время интерфейса Ж[3], который использует диаметра Базовый протокол . Если в сети несколько HSS, BSF должен сначала узнать, какой из них использовать. Это можно сделать либо путем настройки предварительно определенного HSS для BSF, либо путем запроса функции поиска подписчика (SLF). NAF восстанавливают ключ сеанса BSF во время интерфейса Zn [5], который также использует диаметр базового протокола. Если NAF не находится в домашней сети, для связи с BSF ему необходимо использовать Zn-прокси.

Использование

В рамках проекта SPICE был разработан расширенный вариант использования под названием «разделенный терминал», в котором пользователь ПК может пройти аутентификацию с помощью своего мобильного телефона: http://www.ist-spice.org/demos/demo3.htm. Архивировано 24 марта 2009 г. по адресу Машина обратного пути . NAF был разработан на SimpleSAMLhP, а расширение Firefox было разработано для обработки запроса аутентификации дайджеста GBA от BSF. Между браузером Firefox и мобильным телефоном использовался профиль доступа к SIM-карте Bluetooth. Позже партнер разработал концепцию «нулевой установки».
Исследовательский институт Fraunhofer FOKUS разработал расширение OpenID для Firefox, которое использует аутентификацию GBA. Презентация Питера Вейка на ICIN 2008
Открытая платформа мобильных терминалов http://www.omtp.org ссылается на GBA в своей расширенной доверенной среде: OMTP TR1. ^[2] рекомендации, впервые выпущенные в мае 2008 года.

К сожалению, несмотря на множество преимуществ и потенциальное использование GBA, его реализация в мобильных телефонах была ограничена с момента стандартизации GBA в 2006 году. В частности, GBA был реализован в телефонах на базе Symbian.

Ссылки

^ «Общая архитектура аутентификации Тимо Олкконена, Хельсинкский технологический университет» (PDF) . Архивировано из оригинала (PDF) 5 июля 2016 г. Проверено 5 июля 2010 г.
^ «Расширенная доверенная среда OMTP: OMTP TR1» . Архивировано из оригинала 21 октября 2008 г. Проверено 4 января 2009 г.

[1] «Общая архитектура аутентификации Тимо Олкконена, Хельсинкский технологический университет» (PDF) . Архивировано из оригинала (PDF) 5 июля 2016 г. Проверено 5 июля 2010 г.

[2] «Расширенная доверенная среда OMTP: OMTP TR1» . Архивировано из оригинала 21 октября 2008 г. Проверено 4 января 2009 г.

[1]

[2]