Основная идея EAP-SIM аутентификации в WLAN (802.1X) сетях это использование аутентификационных параметров и алгоритмов SIM карты для аутентификации пользователя и шифрования трафика в WLAN сетях. При этом, пользователю не придется вводить логин и пароль, вся аутентификация происходит «прозрачно».
1) Схема EAP-SIM аутентификации
Условные обозначения:
EAP – Enhanced Authentication Protocol (расширенный протокол аутентификации)
SIM — Subscriber Identity Module (модуль идентификации GSM абонента)
MAC – Message Authentication Code
IMSI – International Mobile Subscriber Identifier
Nonce – Random value, generated by client side
GSM триплет – RAND и рассчитанные на базе этого RAND по алгоритмам A3/A8 значения Kc и SRES
AuC – Аутентификационный центр GSM оператора. Одна из задач — расчет GSM триплета
Базовая схема аутентификации с помощью EAP-SIM приведена ниже.
EAP-SIM аутентификация по данной схеме требует следующих компонентов:
— Клиентское устройство (Терминал) с поддержкой обычной GSM SIM карты и соответствующего ПО. Возможно использование специфичной SIM карты, в этом случае безопасность будет выше
— 802.1X совместимая WLAN точка доступа с поддержкой EAP-SIM
— Контроллер/шлюз доступа с поддержкой DHCP (Dynamic Host Configuration Protocol) и EAP-SIM протокола на стороне WLAN сети для выделения динамических IP адресов пользователям сети и взаимодействия с AAA RADIUS сервером WLAN сети по EAP протоколу
— AAA RADIUS сервер, используемой для аутентификации пользователя WLAN сети с использованием EAP-SIM/AKA алгоритмов (в традиционных WLAN сетях это аутентификационный сервер, который в простейшем случае проверяет введенный логин&пароль и тарифицирует абонента)
— SS7 шлюз для взаимодействия AAA RADIUS сервера WLAN сети с HLR (Home Location Register)/Authentication Center (AuC) оператора. На схеме, для упрощения, не обозначен.
— HLR/AuC – домашний регистр GSM абонентов
2) Принцип работы EAP-SIM аутентификации
Временная диаграмма, поясняющая принцип EAP-SIM аутентификации приведена ниже.
Если PIN код введен корректно (или запрос выключен) и абонент выбрал соответствующую WLAN сеть на своем терминале начинается EAP-SIM аутентификация. В процессе аутентификации выполняются следующие шаги:
a) со стороны WLAN точки доступа (на диаграмме Access Point) на пользовательский терминал по EAPOL протоколу передается сообщение EAP Identity Request
b) пользовательский терминал в сообщении EAP Identity Response передает MSISDN (в виде NAI, например 250097000000001@eapsim.mobile_carrier.ru) используемой SIM карты или pseudonym. Pseudonym (temporary identity), являющимся аналогом temporary IMSI и предназначен для повышения уровня безопасности путем скрытия реального IMSI.
c) WLAN точка доступа в сообщении EAP SIM Start Request сообщает пользовательскому терминалу поддерживаемые версии EAP-SIM аутентификации, а также запрашивает параметры терминального оборудования.
d) пользовательский терминал выбирает один из поддерживаемых алгоритмов аутентификации, который сообщается точке доступа в сообщении EAP SIM Start response. В данном сообщении также содержится значение необходимого количества GSM триплетов на сессию (см п. 3.1).
e) WLAN точка доступа выполняет трансформацию протоколов 802.1X в RADIUS совместимые протоколы и пересылает MSISDN + параметры из EAP SIM Start response на AAA RADIUS server. В свою очередь, AAA RADIUS сервер через SS7 шлюз (по MAP) передает на AuC значение MSISDN терминала и запрашивает стандартные GSM триплеты (RAND, Kc, SRES).
d) полученные от AuC два или три значения RAND и значения Kc&SRES используются WLAN AAA RADIUS сервером для расчета EAP-SIM аутентификационных ключей (K_aut), EAP-SIM ключей шифрации (K_encr), ключей сессии MSK&EMSK и EAP-SIM дополнительных параметров аутентификации. Далее формируется EAP пакет, содержащий: значения RAND (в открытом виде), зашифрованные дополнительные параметры аутентификации (AT_ENCR_DATA). Далее EAP пакет и хеш сумма пакета (значение AT_MAC=SHA1(EAP пакет, NONCE_MT)) передаются на терминал в EAP SIM Challenge Request сообщении.
e) полученные терминалом значения RAND передаются SIM карте для расчета по алгоритмам A3/A8 значений SRES и Kc, которые далее используются терминалом для дешифрации полученных на предыдущем шаге «EAP-SIM дополнительных параметров аутентификации». Далее, если дешифрация на стороне терминала проходит успешно и «EAP-SIM дополнительные параметры аутентификации» являются корректными, терминал передает сети в сообщении EAP SIM Challenge Response признак успешной «терминал-аутентификации» и хеш сумму рассчитанного значения SRES (AT_MAC=SHA1(SRES)). В противном случае, хеш сумма SRES не высылается.
d) если WLAN AAA RADIUS сервер подтверждает получение признака успешной аутентификации и если хеш сумма SRES от терминала совпадает с расчетным, точка доступа начинает предоставлять сервис, а терминалу высылается сообщение успешной «сервер-аутентификации». Предоставление сервиса возможно с использованием стандартного WPA/WPA2 (WLAN Access Protection) шифрования.
Используемые протоколы на каждом из участков указаны на рисунке ниже.
Необходимо отметить, что для режима EAP существует два основных метода аутентификации в WLAN сетях: EAP-AKA и EAP-SIM. Первый более надежный, но требует наличия USIM карты c поддержкой Milenage, кроме того поддержка Milenage должна присутствовать на стороне AuC/HLR оператора. Второй указанный метод менее надежный, требует наличия 2G SIM карт (COMP128v1-4) и стандартной 2G аутентификации на стороне AuC/HLR оператора. Также надо отметить, что аутентификация по EAP-SIM/AKA является взаимной, и осуществляется путем анализа на стороне терминала полученного от точки доступа значения AT_MAC – если параметры в AT_MAC не соответствуют параметрам SIM карты, то аутентификация прекращается и хеш сумма SRES точке доступа не передается.
Также, при настройке WLAN сети, необходимо задать режим переаутентификации пользователя при обрыве сессии передачи данных. Здесь возможны два варианта:
— повторная EAP-SIM/AKA аутентификация
— использование сохраненных в AAA RADIUS сервере параметров доступа клиента (MSISDN, MAC) и не запрашивать повторно триплеты со стороны AuC сервер оператора. Второй способ снизит нагрузку на сеть оператора, однако этот способ менее безопасен в вопросе нелегального доступа под именем клиента
Преимуществом EAP-SIM/AKA аутентификации является прозрачная для абонента аутентификация при сохранении конфиденциальности данных, так как секретный ключ Ki не передается в IP сеть. Как указано в RFC 4186, надежность EAP-SIM/AKA аутентификации не хуже чем в GSM.
3) Безопасности GSM сети при использования EAP-SIM аутентификации
В связи с тем, что при EAP-SIM аутентификации задействована SIM карта, необходимо тщательно проанализировать конфиденциальность секретных данных при различных схемах использования EAP-SIM. Пока обратимся к RFC 4186, из которой следует два замечания:
3.1. Как указано в RFC 4186: «The derived 64-bit cipher key (Kc) is not strong enough for data networks in which stronger and longer keys are required» Т.е. длины Кс не достаточно для надежной шифрации данных пользователя в WLAN сети. Для устранения этого может быть применен алгоритм получения 2-3 Kc с последующим объединением на стороне клиента и AAA RADIUS сервера WLAN сети. При использовании алгоритма использования 2-3 Кс ключей, надежность шифрации канала передачи данных возрастает.
3.2. Второй вопрос, это передача хеш суммы SRES со стороны терминала на ААА RADIUS сервер через WLAN IP сеть. В стандартном случае SRES не передается в явном виде и не может быть получен злоумышленником. Однако существует вероятность наличия на стороне терминала/ПК «троянов» с целью нелегального получения SRES и Kc. После получения достаточно большого количества триплетов, возможен расчет ключа Кi и дальнейшее клонирование GSM SIM карты. Данный способ позволяет получать триплеты без физического доступа к SIM карте, что повышает угрозу клонирования SIM карт. Также надо отметить, что алгоритм расчета хеш суммы SRES через SHA1 является ненадежным и уже взломан (http://www.schneier.com/blog/archives/2005/02/sha1_broken.html). Таким образом, путем прослушивания Wi-Fi сети злоумышленники могу получать реальные значения SRES и RAND. Kc, при этом, в эфир не передается и не может быть получен путем прослушивания сети.
4) Анализ решений по EAP-SIM аутентификации
В зависимости от требований по охвату терминальной базы и уровня безопасности возможны три варианта по внедрению EAP-SIM у сотового оператора.
а) Расчет значений MAC и MAC2 внутри SIM карты. Формирование EAP пакетов внутри SIM карты.
Плюсы решения:
— Высокая степень безопасности при расчете GSM триплетов
— Работа на различных WLAN терминалах, в том числе на ПК с различными ОС, но при условии, что будет разработано и установленное стороннее ПО. Требований к WLAN минимальны, так как все расчеты идут на стороне SIM карты.
Минусы решения:
— Необходимо создавать новый профиль SIM карт, финансировать разработку апплета на SIM карте
— Необходимо создавать стороннее ПО для различных ОС телефона и ПК. Учитывая, что ОС постоянно обновляются, будет необходимо периодически выпускать новые версии ПО или обновления.
— Необходимость настройки ПО в WLAN устройстве
— Если абонент захочет воспользоваться преимуществами EAP-SIM ему нужно будет менять SIM карту
б) Расчет значений MAC и MAC2 внутри SIM карты. Формирование EAP на стороне WLAN терминала.
Плюсы решения:
— Высокая степень безопасности при расчете GSM триплетов
— Работа на различных WLAN терминалах, в том числе на ПК с различными ОС, но при условии, что будет разработано и установленное стороннее ПО.
Минусы решения:
— Так как на стороне терминала будут формироваться и дешифроваться EAP пакеты есть некоторые требования к производительности, но учитывая современную аппаратную базу терминалов эти риски сводятся к минимуму.
— Необходимо создавать новый профиль SIM карт, финансировать разработку апплета на SIM карте
— Необходимо создавать стороннее ПО для различных ОС телефона и ПК. Учитывая, что ОС постоянно обновляются, будет необходимо периодически выпускать новые версии ПО или обновления.
— Необходимость настройки ПО в WLAN устройстве
— Если абонент захочет воспользоваться преимуществами EAP-SIM ему нужно будет менять SIM карту
в) Расчет значений MAC&MAC2&EAP пакетов на стороне WLAN терминала.
Плюсы решения:
— Нет специфических требований к SIM карте, подойдут существующие SIM карты
— На терминал не нужно устанавливать дополнительное ПО
— Перед подключением к WLAN сети абоненту не нужно ничего настраивать на стороне терминала (за исключением iphone).
Минусы решения:
— Средняя степень безопасности при расчете GSM триплетов. Надо отметить что для хакера не составляет труда получить GSM триплеты и без EAP-SIM технологии, а просто написав ПО с функцией RUN GSM Algorithm. Поэтому основные риски связаны с возможным проникновением на WLAN терминал троянов, которые будут перехватывать данные для уже авторизованной сессии и использовании их в сравнительно короткий промежуток времени и на той же точке доступа.
— Необходима поддержка EAP-SIM на стороне терминала. На начало 2012 года из крупных вендоров EAP-SIM поддерживается только некоторыми телефонами Nokia, iPhone, blackberry.
5) Требования к оборудованию для работы и развития EAP-SIM аутентификации
При успешной реализации EAP-SIM аутентификации пользователи получают преимущество прозрачной и надежной аутентификации (без ввода логина и пароля) и возможность пользования корпоративными ресурсами (без организации VPN канала). Ниже приводятся требования, необходимые для работы EAP-SIM/AKA аутентификации и условия для быстрого развития:
a) Необходимость использования специфичного ПО на компьютере и WLAN коммуникаторах, не поддерживающих EAP-SIM/AKA на программно-аппаратном уровне.
b) Хотя существует несколько WLAN модемов с поддержкой EAP-SIM на аппаратно- программном уровне (см раздел ниже), но их количество очень ограничено. Для WLAN модемов со встроенной поддержкой EAP-SIM необходимость использования специфичного ПО отпадает.
c) Для WLAN терминалов, не поддерживающих EAP-SIM/AKA технологию, придется использовать дополнительное оборудование в виде SIM ридера, что сильно ухудшает удобство пользования сервисом.
d) Ограничивающим фактором использования WLAN сетей на оборудовании не поддерживающем EAP-SIM/AKA аутентификацию является необходимость извлечения SIM карты из стандартного GSM телефона. Телефонная связь, при этом, будет недоступна для абонента. При использовании 2-х SIM карт, это не является ограничивающим фактором.
e) AAA RADIUS сервера гостевой WLAN и домашней сетей должны поддерживать EAP-SIM/AKA аутентификацию (в соответствии с рекомендациями RFC 4186 и RFC 4187) и протоколы IRAP (International Roaming Access Protocols), что не всегда гарантируется. При отсутствии данной функциональности, EAP-SIM/AKA роуминг не возможен.
f) При большом количестве WLAN пользователей возрастет нагрузка на Auc/HLR оператора
g) При каждой EAP-SIM аутентификации на Auc/HLR сервере выполняется две или три стандартных GSM аутентификации, что увеличивает нагрузку на оборудование GSM сети (see RFC 4686 chapter 10)
h) Auc/HLR оператора должен иметь возможность подключения (по SS7/MAP) к AAA RADUIS серверу WLAN домашнего провайдера
i) Контроллер/шлюз доступа WLAN провайдера должен поддерживать EAP-SIM/AKA (в соответствии с рекомендациями RFC 4186 и RFC 4187)
j) Потребуется поддержка EAP-SIM/AKA протоколов на стороне АuС/HLR оператора, в соответствии с RFC 4186. Данный вопрос необходимо дополнительно прорабатывать.
k) Для организации межсетевого роуминга, т.е. для того, чтобы визитная WLAN сеть могла обслуживать любого абонента необходимо, чтобы между визитными провайдерами и домашним провайдером WLAN были заключены роуминговые соглашения
l) Так как при работе с SIM/USIM картой WLAN терминал использует стандартный запрос RUN GSM ALGORITHM, то для реализации EAP-SIM и EAP-AKA никаких специфичных требований к SIM/USIM карте нет. Но при использовании перспективного метода EAP-SIM inside и EAP-SmartCard, EAP-SIM протокол и ассоциированные криптографические примитивы будут выполняться в защищенной области, поэтому потребуется специальная SIM карта.
6) Стандарты
— RFC 4186 EAP mechanism for GSM
ftp.isi.edu/in-notes/rfc4186.txt (Рекомендации)
— RFC 4187 EAP mechanism for 3rd generation
ftp.isi.edu/in-notes/rfc4187.txt (Рекомендации)
— RFC 2284: PPP Extensible Authentication Protocol (EAP)
— WLAN-SIM Спецификация V 1.0 была выпущена в 2004 году, однако, в данный момент не доступна для чтения на сайте
— WBA: Wireless Broadband Alliance
www.wballiance.net
— FMCA: Fixed-Mobile Convergence Alliance
www.thefmca.com
— Wireless-Link French Hot Spots Operators industry body
www.w-link.org/public/wlink/html/fr/home/home.php
— WLAN Alliance
www.WLAN.org/
Выводы
1. Основным сдерживающим фактором развития EAP-SIM/AKA аутентификации является очень небольшая база абонентских терминалов с поддержкой EAP-SIM/AKA протоколов. Необходимо давление со стороны международных альянсов для реализации вендорами EAP-SIM/AKA функционала в WLAN устройствах.
2. Работа абонента в роуминге не гарантирована и зависит от поддержки на стороне AAA RADIUS сервера визитной WLAN сети IRAP протоколов и EAP-SIM/AKA аутентификации. Дополнительным условием работы абонента в роуминге является наличие роуминговых соглашений.
3. Спецификаций очень ограниченное количество. При этом, доступные для свободного чтения спецификации по реализации EAP-SIM/AKA существуют в виде рекомендаций (RFC). Другого вида документы либо не доступны вне альянсов либо не существуют.
4. На уровни сети, для реализации EAP-SIM/AKA функционала требуются дополнительные настройки или инсталляции на стороне WLAN ААА RADUIS сервере и AuC/HLR.
5. По степени безопасности возможны два способа аутентификации при помощи SIM: EAP-SIM inside и EAP-SIM. Для EAP-SIM inside формирование EAP пакетов происходит внутри SIM карты, что безопаснее, но требует специальных SIM карт и специальных терминалов. Для EAP-SIM формирование EAP пакетов при аутентификации выполняется на стороне терминала, поэтому возможны утечки триплетов GSM триплетов, однако для этого способа могут использоваться стандартные SIM карты и любой WLAN терминал с установленным EAP программным обеспечением.
6. Как указано в RFC, надежность аутентификации при использовании EAP-SIM, не хуже чем в GSM.
7. Безопасность GSM сети при использовании EAP-SIM достаточно высокая, так как значения Kc в EAP-SIM не передаются в сеть. SRES передается в сеть в зашифрованном виде. При наличии на WLAN терминале хакеровского ПО, возможны единичные случаи утечки конфиденциальных данных аутентификации. Также, в связи с наличием конечного счетчика аутентификации на SIM карте, при наличии хакеровского ПО, возможны случаи блокировки SIM карты.
8. Успешный запуск EAP-SIM аутентификации у оператора Swiss Mobile позволяет говорить о появлении интереса к данной технологии.
Автор: albion8