Аутентификация и авторизация в PKMvl PDF Print E-mail
Written by Administrator   
Monday, 20 August 2012 14:56

На первом этапе АС посылает БС сообщение Authentication Information. Оно содержит цифровой сертификат Х.509, заложенный в АС производителем или сторонней организацией. Сертификат, кроме всего прочего, содержит MAC-адрес АС и ее открытый ключ шифрования (АС имеет и секретный ключ, соответствующий открытому). Сразу после Authentication Information АС посылает сообщение Authorization Request, в котором запрашивает у БС общий ключ авторизации (Authorization Key, AK), а также запрашивает установление безопасного соединения (Security Association, SA).

Безопасное соединение — это совокупность информации, которая позволяет осуществлять безопасный обмен данными между АС и БС. В частности, к информации SA относится используемый криптографический комплекс, инициализирующие векторы, ключи TEK и время их жизни. Как уже было отмечено, время жизни TEK ограничено, и для постоянного поддержания SA АС приходится получать новые ключи через определенные промежутки времени. SA определяется своим номером SAID (Security Association Identifier). Этот номер, наряду с AK, АС запрашивает у БС в сообщении Authorization Request. Сообщение содержит следующую информацию:
-    цифровой сертификат Х.509;

-    набор поддерживаемых АС криптографических комплексов;

-    основной CID АС, который, в случае положительного ответа от БС, будет присвоен SAID.

На стороне NAP (Network Access Provider) и NSP (Network Service Provider) осуществляется проверка сертификата АС и определение доступных этой АС сервисов, т. е. происходит авторизация. Далее БС устанавливает общий с АС поддерживаемый криптографический комплекс, генерирует AK, шифрует его открытым ключом АС и посылает ей сообщение Authorization Reply, содержащее:

-    зашифрованный AK;

-    4-битный счетчик успешных реализаций AK;

-    время жизни ключа;

-    идентификаторы SAID, которые БС предоставляет АС для установления одной или нескольких SA.
В случае возникновения ошибок в ходе авторизации БС посылает АС сообщение Authorization Reject, в котором БС может потребовать от АС или отсрочить попытки авторизации, или прекратить эти попытки совсем (если невозможно определить изготовителя АС, или не удается проверить ее цифровой сертификат, или не представляется возможным согласовать криптографический комплекс и т. д.).

Ключ AK имеет ограниченный срок жизни, поэтому АС (как и БС) должна периодически обновлять AK, посылая запросы Authorization Request. Для того чтобы SA не прерывалась на время смены ключей, АС должна хранить одновременно два AK — текущий и новый, причем с перекрывающимся наполовину временем действия. Как только истекает срок действия текущего AK, АС переходит на новый AK (который становится текущим) и отсылает Authorization Request для получения нового AK. Если на стороне БС произойдет ошибка проверки аутентичности данных или служебных сообщений от АС (т. е. при подозрении на действие злоумышленника), БС может послать АС сообщение Authorization Invalid с требованием реавторизации.

Описанная последовательность действий может быть наглядно представлена работой конечного автомата авторизации, включающего 6 состояний и 8 событий (рис. 3.20).

При изображении конечных автоматов с этого момента и далее состояния заключены в овалы, события выделены курсивом, а сообщения обозначены обычным шрифтом; команды, посылаемые процедурам управления TEK или EAP, начинаются с символов [TEK] или [EAP].

Состояние “Ожидание при отклонении авторизации” означает, что АС начинает отсчет времени, по истечении которого АС возобновит попытку авторизации. Состояние “Прекращение запросов” означает, что АС запрещено со стороны БС возобновлять попытки авторизации. Событие “Соединение установлено” наступает, когда АС и БС согласуют первичные параметры соединения (например, основной CID). Событие “Время действия авторизации истекло” наступает, когда время действия данной авторизации заканчивается и требуется реавторизация. Событие “Реавторизация” может означать смену одного или нескольких SAID, доступных АС.