Vì thời điểm để thực hiện các hệ thống truyền thông vô tuyến sử dụng công nghệ UMTS đã đến, các nhóm làm việc 3GPP đã chuyển sự tập trung ra khỏi nghiên cứu lí thuyết đã được mô tả trong phần trước. Trong việc ra quyết định cụ thể liên quan đến nhận thực thuê bao trong UMTS, các nhà hoạch định 3GPP đã chọn sử dụng sơ đồ giống với nhận thực GSM nhất với các tăng cường có lựa chọn. Giao thức UMTS này sử dụng một phương pháp dựa trên khoá công cộng đối xứng trong đó Trung tâm nhận thực của mạng nhà thuê bao và thẻ thông minh USIM trong máy cầm tay của người sử dụng dùng chung một khoá bí mật.
Ngoài ra vì nhận thực bây giờ được hoạch định cho việc thực hiện trong UMTS nên nó khác với nhận thực trong thế hệ hai một vài điểm quan trọng sau:
(1) Modul nhận dạng thuê bao (SIM hoặc trong mạng UMTS là USIM) trong máy cầm tay và Trung tâm nhận thực (AuC) dùng chung một số chuỗi cũng như khoá bí mật. Số chuỗi không phải là một giá trị cố định mà thay đổi theo thời gian. (2) Ngoài nhận thực thuê bao chuẩn, trạm gốc của mạng khách được nhận thực đối
Chương 3: Nhận thực và an ninh trong UMTS
(3) Trong pha nhận thực, UMTS thiết lập một khoá phiên cho mật mã dữ liệu trong phiên truyền thông và một khoá thứ 2 để thực hiện đảm bảo toàn vẹn dữ liệu. (4) Các thuật toán mật mã của UMTS sẽ được đặt tại domain công cộng để phê bình
và phân tích.
Những bước chính trong giao thức UMTS để nhận thực tương hỗ và thiết lập khoá phiên như sau. Sự song song với giao thức challenge-response của GSM nên biết rõ ràng. (Thuật ngữ đang được sử dụng để mô tả các phần tử then chốt của cơ sở hạ tầng và các giao thức nhận thực UMTS khác về một vài khía cạnh so với những gì chúng ta đã thấy trong GSM – Chúng ta sẽ dành sự phân biệt này trong mô tả dưới đây).
(1) Node phục vụ (SN: Serving Node) giữ Bộ ghi định vị tạm trú VLR (Visitor Location Register) yêu cầu dữ liệu nhận thực từ Môi trường nhà (HE) mà hỗ trợ Bộ ghi định vị thường trú (HLR) và Trung tâm nhận thực (AuC).
(2) Môi trường nhà gửi một mảng các véctơ nhận thực (AV) tới SN. Mỗi véctơ như thế có thể được sử dụng để thực hiện thoả thuận khoá phiên và nhận thực giữa SN và USIM trong trạm di động. Mỗi AV (tương ứng với bộ ba của GSM) bao gồm: (1) một số ngẫu nhiên challenge RAND; (2) một response mong muốn cho challenge, XRES; (3) một khoá phiên mật mã CK; (4) một khoá toàn vẹn dữ liệu IK; và (5) một thẻ nhận thực AUTN.
(3) Mạng phục vụ gửi challenge ngẫu nhiên RAND và thẻ nhận thực AUTN tới trạm di động qua đoạn nối vô tuyến.
(4) USIM trong trạm di động xác nhận rằng AUTN là có thể chấp nhận được (vì vậy thực hiện nhận thực đối với trạm di động). Khi đó trạm di động tạo một response, RES tới challenge ngẫu nhiên và truyền trở lại SN.
(5) USIM tính toán phiên bản CK và IK riêng của nó bằng cách sử dụng RAND, số chuỗi (được nhúng trong AUTN) và khoá bí mật của nó.
(6) Mạng phục vụ so sánh RES mà nó đã nhận được từ trạm di động với XRES. Nếu hai giá trị trùng nhau thì trạm di động được nhận thực.
Chương 3: Nhận thực và an ninh trong UMTS
(7) USIM và SN truyền CK tới các thành phần của hệ thống chịu trách nhiệm về mật mã dữ liệu được truyền, và IK tới các thành phần của hệ thống chịu trách nhiệm về kiểm tra tính toàn vẹn dữ liệu.
Sơ đồ của giao thức nhận thực UMTS cơ sở xem hình 3.3.
Hình 3.3: Luồng các bản tin trong giao thức tạo khoá phiên và nhận thực UMTS cơ sở. [Lấy từ J.Salva]
Trong giao thức nhận thực như được mô tả ở trên, các thẻ nhận thực AUTN là một phần tử dữ liệu then chốt. AUTN bao gồm: (1) Số chuỗi (Sequence Number), SQN, thực hiện phép hoặc loại trừ (XORed) với một khoá “nặc danh” AK, (2) Trường quản lý khoá và nhận thực, AMF (Authentication and Key Management Field), và (3) một Mã nhận thực bản tin, MAC (Message Authentication Code). Mục đích của khoá nặc danh là để che đậy Sequence Number mà nếu bị tiết lộ có thể cung cấp các thông tin về nhận dạng và
Chương 3: Nhận thực và an ninh trong UMTS
vị trí của thuê bao. AMF có thể mang những thông tin từ Trung tâm nhận thực tới trạm di động về các vấn đề như sử dụng các thuật toán tạo khoá và nhận thực. Nó cũng hướng dẫn trạm di động sử dụng một khoá trong số các khóa bí mật.
Giao thức nhận thực UMTS sử dụng năm hàm một chiều (one-way) được ký hiệu từ f1 đến f5 để tạo các giá trị thành phần của chuỗi AUTN và AV. Các đầu vào cho các hàm này là khoá bí mật của thuê bao, challenge số ngẫu nhiên RAND và Sequence Number. Hình 3.4 cung cấp một sơ đồ về cách giao thức này hoạt động trong Trung tâm nhận thực.
Hình 3.4: Tạo chuỗi Véctơ nhận thực UMTS và Thẻ nhận thực (AUTN) trong Trung tâm nhận thực. [lấy từ J.Salva]
Chương 3: Nhận thực và an ninh trong UMTS