Алгоритм аутентификации в протоколе услуги «универсальная персональная связь» интеллектуальной сети

 

Услуга «универсальная персональная связь» UPТ (Universal Personal Telecommunication) относится к первому набору услуг CS (Capability Set) интеллектуальной сети. Эта услуга позволяет абоненту пользоваться входящей и исходящей связью по единому номеру при его перемещении вне зависимости от сетевой инфраструктуры и местоположения. Для этой услуги важной задачей является обеспечение ИБ в части аутентификации абонента-роумера, т.е. не находящегося в сети приписки.

Аутентификация пользователя UPT сети IN построена на основе протокола ОКЛИК-ОТЗЫВ (приложение Г) и протокола Нидхема-Шредера [10], использующих шифрование с общим ключом. На рис. 20.9 приведена четырехпроходная схема аутентификации абонента - роумера услуги UDP сети IN [64]. Под роумером понимается временное нахождение абонента в области сети, к которой он не приписан.

 

Рис. 20.9. Четырехпроходная аутентификация роумера В услуги UPT в сети IN

 

Аутентифицирующую функцию выполняет гостевая UPT система А, в которой находятся прибор UPT В. Домашняя UPT (система Т) к которой приписан пользователь В, имеет общий секретный ключ KTBс пользователем В и КTAс гостевой UPT системой А. Из гостевой системы UPT А в адрес домашней UPT системы Т передается случайное число R - оклик (сообщение 1). Домашний UPT (система Т) генерирует ключ сеанса KS, билет (квитанцию) доступа А к В (т.е. KTB(R, KS)) и шифрует оба эти сообщения общим ключом симметричного шифрования с гостевой UPT системой КTA. Сообщение 2 передается из домашней UPT системы Т в гостевую UPT систему А. Расшифровав сообщение 2 и определив R, гостевая UPT система убеждается в подлинности домашней UPT системы Т. В сообщении 3 гостевая UPT отправляет квитанцию доступа KTB(R, KS) роумеру В.

Расшифровав это сообщение, роумер В отправляет гостевому UPT А зашифрованное ключом KSслучайное число R (сообщение 4). После расшифрования R в случае совпадения его со сгенерированном R перед отправлением его в сообщении 1 гостевая UPT А убеждается в подлинности пользователя-роумера В. Случайное число R служит для защиты от угрозы «повтор».

На рис. 20.10 приведена пятипроходная схема взаимной аутентификации абонента-роумера (В) и гостевой системы (А) услуги UPT интеллектуальной сети.

Рис. 20.10. Пятипроходная взаимная аутентификация абонента-роумера и гостевой UPT-системы

В сообщении 1 пользователь-роумер В услуги UPT отправляет случайное число (оклик) RBв гостевую UPT систему А. Гостевая UPT система транслирует в домашнюю UPT систему Т этот оклик, а также передает сгенерированный оклик R (сообщение 2). Из домашней UPT системы в гостевую UPT систему сообщение 3 передается KTA(R,KS,KTB(RB,R,KS)).

Сообщение 3 зашифровано общим ключом КTAдомашней и гостевой систем UPT. Это сообщение включает:

· квитанцию KTB(RB,R,KS) доступа к роумеру В. Здесь KSявляется сеансовым ключом, сгенерированным в домашней UPT системе;

· случайное число R (оклик);

· сеансовый ключ KS.

Сообщение 3 расшифровывается в гостевой UPT системе А ключом КTB. Полученное случайное число R подтверждает подлинность домашней UPT системы Т. Гостевая UPT система транслирует квитанцию пользователю-роумеру (сообщение 4). Роумер расшифровывает полученную квитанцию, получает RBи сравнивает с RB, отправленным в сообщении 1. Совпадение этих значений подтверждает подлинность гостевой UPT системы.

Пользователь-роумер В отправляет случайное число R, зашифрованное ключом KS(ключ KSрасшифровывается при приеме сообщения 4) в гостевую UPT систему А (сообщение 5). Расшифрованное сеансовым ключом KSзначение R позволяет убедиться в подлинности пользователя-роумера услуги UPT.