Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Аутентификация идентификатора пользователя
В работе [54] приводятся данные ассоциации по контролю за мошенничеством CFCA (Communication Fraud Control Association), направленным на использование услуг связи без их оплаты, т.е. за фродом. Согласно этим данным в результате фрода ежегодные потери для операторов традиционных сетей связи составляют 3-5% от доходов оператора и величина таких потерь ежегодно увеличивается на 10%. По результатам анализа этой организации следует, что угрозы фрода и потери операторов в сетях VoIP выше. Cхема HTTP Digest Authentication остается наиболее используемым механизмом аутентификации в SIP, но ей свойственны некоторые слабости в защите от угроз. Многие исследования в этом отношении связывают с протоколом хеширования MD5. Другая проблема слабости этой схемы как отмечено в документе RFC 4474, связана с необходимостью организации установления паролей у аутентификатора и пользователя. Для создания хеш-кода MD5 необходим ввод открытого текста пароля. В базе данных хранятся хеш-коды MD5 пароля, имя пользователя (username) и доменное имя (realm). Для того чтобы риски безопасности были удовлетворительными, необходимо эти данные хорошо защитить. Даже при успешном решении всех этих задач остается проблема защиты от фальсификации и других манипуляций с идентификатором From, расположенным в поле заголовка запроса SIP. В идентификаторе содержится адрес URI отправителя запроса. При этом рассматриваются следующие угрозы ИБ и последствия при их реализации:
Протокол RFC 3261 не определяет механизм защиты от угроз идентификатору. Самым надежным решением является использование пользователями аутентификации с помощью сертификатов, что представляет практические трудности реализации. Поэтому протокол RFC 4474 [60] предлагает в качестве промежуточного более простой вариант, основанный на концепции «сервис аутентификации» и введении нового заголовка SIP – Идентификатор. Для того чтобы пояснить принятый алгоритм аутентификации идентификатора RFC 4474 приведем пример реализации: Алис желает установить сеанс с Бобом. sip:Alice@example.com; sip:Bob@example.org.
Алис отправляет запрос INVITE с полем заголовка From, который используя протокол TLS поступает на прокси-сервер, выполняющий функцию сервиса аутентификации ее домена. Сервис аутентификации аутентифицирует Алис (возможно отправляя вызов HTTP Digest Authentication) и подтверждает подлинность идентификатора в поле заголовка From. Прокси-сервер, выполняющий функцию сервиса аутентификации, определяет хеш-функцию данных, включающих поле заголовка From и тело заголовка, подписывает закрытым ключом сертификата домена (в данном случае домена example.com) и вставляет его в новое поле заголовка - Идентификатор. Прокси-сервер, выполняющий функцию сервиса аутентификации домена, в котором расположен Боб, расшифровывает эту подпись и убеждается в аутентификации источника, в подлинности идентификатора в поле заголовка From. Та же самая проверка подлинности может быть выполнена сервером агента пользователя UAS.
|
|||||
Последнее изменение этой страницы: 2017-01-19; просмотров: 73; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.139.97.157 (0.003 с.) |