CHƯƠNG IV: NHẬN THỰC TRONG MẠNG TỔ ONG SỐ THẾ HỆ HAI
4.4 Một tiêu chuẩn khác của Mỹ - USDP
Chương I: Tổng quan về thông tin di động
Ở Mỹ, sớm tồn tại một giao thức truyền thông tổ ong thế hệ hai là USDC (United States Digital Cellular) USDC đưa ra các thủ tục an ninh cho nhận thực nguời dùng và bí mật dữ liệu dọc theo các tuyến của GSM và DECT. giống với các cấu trúc hệ thống tổ ong thế hệ hai của châu Âu, USDC phụ thuộc vào một khoá cá nhân đối xứng , một thủ tục nhận thực kiểu challenge – response, và một thuật toán độc quyền CAVE.
4.4.1 Các thành phần dữ liệu và thuật toán trong giao thức nhận thực - USDS
Thành phần dữ liệu khoá trong bảo mật USDS gần tương đương với những gì chúng ta đã thấy trong GSM và DECT. Trong đó các thành phần chính là:
• Khoá A: khoá A là khoá bí mật chính trong kiến trúc bảo mật USDS, khoá này được dùng chung bởi mạng thường trú và cá nhân máy di động USDS. Khoá A tương tự khoá Ki trong GSM.
• SSD (Shared Secret Data-dữ liệu bí mật chung): SSD là một khoá phiên đối xứng, nó được phát sinh bởi cả mạng thường trú và máy di động cá nhân thông qua giao thức cập nhật SSD. Phiên bản SSD của máy di động cá nhân được nói đến như XSSD.
• Phone serial number ( số seri điện thoại): mỗi thiết bị đầu cuối USDC hoặc máy di động cá nhân đều có số seri duy nhất kết hợp với nó.
• R1 và R2: các số ngẫu nhiên sử dụng trong giao thức nhận thực USDC.
• RANDU: một số ngẫu nhiên sử dụng trong thủ tục challenge-response duy nhất.
• AUT và XAUT: Các mã uỷ quyền tính bởi máy di động cá nhân và mạng USDC, mỗi phép tính sử dụng thuật toán CAVE cùng với khoá A và R1 khi nhập dữ liệu vào.
• ACK: Với sự hoàn thành thành công của giao thức cập nhật SSD, sự công nhận bản tin mang tên ACK được sử dụng.
Chú ý: Thuật toán bảo mật chính trong USDC được coi là CAVE. Đó là một thuật toán có độc quyền, sử dụng thuật toán này để cung cấp sự nhận thực và các khoá mã hoá dữ liệu. Theo cách này nó có cùng chức năng với sự kết hợp của hai thuật toán A3 và A8 trong GSM.
4.4.2 Hoạt độngcủa giao thức nhận thực USDC
USDC sử dụng hai thủ tục khác nhau, chúng được liên hệ với sự nhận thực thuê bao. USDC sử dụng giao thức cập nhật SSD để thiết lập một khoá
Tính
XAUT=
64
Chương I: Tổng quan về thông tin di động
phiên đối xứng. Mạng USDC cần đến một giao thức gọi là giao thức challenge- response USDC duy nhất để chứng thực sự nhận dạng của một thuê bao.
Giao thức cập nhật SSD hoạt động như sau:
1. Máy cá nhân di động thiết lập liên lạc với mạng USDC và tìm cách tạo một phiên truyền thông.
2. Mạng USDC sinh ra một số ngẫu nhiên R1 và cung cấp số này cùng với khoá A của thuê bao tới thuật toán CAVE, kết hợp là sinh ra một khoá phiên( SSD).
3. Mạng truyền số ngẫu nhiên R1 tới máy di động cá nhân.
4. Máy di động cá nhân sử dụng R1 và khoá A để sinh ra một phiên bản khoá phiên của nó là XSSD. Máy di động cá nhân còn sinh ra một số ngẫu nhiên của nó là R1,2 và sử dụng thuật toán CAVE, R2 cùng với khoá phiên XSSD để tạo ra một mã nhận thực gọi là AVT, rồi máy di động cá nhân truyền R2 quay lại BS mạng USDC.
5. Mạng USDC sử dụng thuật toán CAVE đối với SSD và số ngẫu nhiên R2 phiên bản mã nhận thực riêng, XAUT. Mang truyền XAUT quay trở lại cá nhân máy di động .
6. MU so sánh XAUT với giá trị AUT được sinh ra trước của nó. Nếu hai giá trị bằng nhau, MU gửi bản tin nhận được ACK quay trở lại mạng để xác nhận rằng cả hai bên bây giờ có cùng khoá phiên SSD.
Chú ý rằng, khi thuê bao chuyển vùng khỏi mạng thường trú của nó, mạng phục vụ nhận được số ngẫu nhiên R1 và khoá phiên SSD tương ứng từ mạng thường trú. Sự sinh ra của XAUT bao hàm việc sử dụng SSD, cùng với khoá chính A, mạng dịch vụ không cần biết đối với khoá A.
Giao thức challenge-response USDC duy nhất được sử dụng để xác nhận sự nhận dạng của thuê bao, khi thuê bao đang tìm kiếm dịch vụ. Giao thức này là cần thiết bởi mạng USDC trong quá trình thiết lập một phiên thông tin, và có thể sẽ không cần thiết trong một phiên xác thực lại nhận dạng thuê bao.
Hoạt động giao thức challenge-response duy nhất như sau:
1. Mạng USDC sinh ra một số ngẫu nhiên RANDU và cung cấp số ngẫu nhiên này trong liên từ với khoá ngẫu nhiên SSD để thuật toán CAVE sinh ra một mã nhận thực AUT .Chú ý rằng SSD được sinh ra trước thông qua giao thức cập nhật SSD như dược diễn tả ở trên .
2. Rồi sau đó mạng truyền RANDU tới MU .
Tính
XAUT=
CAVE(XSSD,RANDU)
65
Chương I: Tổng quan về thông tin di động
3. MU cung cấp RANDU và phiên bản khoá phiên XSSD riêng của nó tới thuật toán CAVE để sinh ra XAUT .Sau đó MU truyền XAUT quay trở lại mạng .
4. Mạng USDC so sánh AUT và XAUT .Nếu chúng bằng nhau ,thì nhận dạng của MU được xác nhận và mạng truyền một bản tin ACK công nhận quay trở lại MU .Trong trường hợp có biến cố là sự kiểm tra không thành công ,giao thức cập nhật SSD được yêu cầu lại .
Hình 4.5: Biểu đồ minh hoạ sự hoạt động trao đổi bản tin nhận thực thuê bao trong UDSC
4.4.3 Đánh giá về giao thức USDC
Khác với GSM và DECT ,USDC sử dụng nhiều thuật toán an ninh cho nhân thực thuê bao và sự thiết lập một khoá phiên ,USDC sử dụng thuật toán CAVE cho cả hai mục đích .Tuy nhiên , giống như GSM và DECT , những sự hoạt động bên trong của CAVE được giữ độc quyền ,vì vậy , các chuyên gia gia an ninh độc lập khó để xác minh mức độ của bảo mật mà thuật toán cung cấp thực tế .
USDC cung cấp sự nhận thực thuê bao , nhưng không phải là thủ tục tương hỗ tin cậy , có nghĩa là có khả năng cho kẻ tiến công giả dạng như những trạm gốc USDC hợp lệ .Chú ý rằng , mạng không phải thuê bao , có thể yêu cầu giao thức cập nhật SSD . Do đó nếu một khoá phiên SSD bị nguy hại ,tổn thất có
Trạm Gốc
Trạm gốc USDC
Tính
XAUT=
CAVE(XSSD,RANDU) So sánh
AUT và AUT
Tính
XAUT=
CAVE(XSSD,RANDU)
RAND
XAUT
ACK
Chương I: Tổng quan về thông tin di động
qua liên kết vô tuyến giữa Mobile handset và BS dịch vụ ,nhưng không cung cấp sự bảo mật trong mạng hữu tuyến .Sự toàn vẹn của mạng hữu tuyến được coi là chắc chắn .