La arquitectura de arranque genérico ( GBA ) es una tecnología que permite la autenticación de un usuario. Esta autenticación es posible si el usuario posee una identidad válida en un HLR ( Registro de ubicación inicial ) o en un HSS ( Servidor de abonado doméstico ).
GBA está estandarizado en 3GPP ( http://www.3gpp.org/ftp/Specs/html-info/33220.htm ). La autenticación del usuario es instanciada por un secreto compartido, uno en la tarjeta inteligente , por ejemplo, una tarjeta SIM dentro del teléfono móvil y el otro está en el HLR / HSS.
GBA se autentica haciendo que un componente de red desafíe la tarjeta inteligente y verifique que la respuesta sea la predicha por el HLR / HSS.
En vez de pedir al proveedor de servicios a confiar en el BSF y de confiar en ella para cada solicitud de autenticación, la BSF establece un secreto compartido entre la tarjeta SIM de la tarjeta y el proveedor de servicios. Este secreto compartido está limitado en el tiempo y para un dominio específico.
Argumentos solidos
Esta solución tiene algunos puntos fuertes de certificado y secretos compartidos sin tener algunas de sus debilidades:
- No es necesaria la fase de inscripción de usuarios ni la implementación segura de claves, lo que hace que esta solución sea de muy bajo costo en comparación con PKI .
- Otra ventaja es la facilidad con la que el método de autenticación puede integrarse en terminales y proveedores de servicios, ya que se basa en la conocida " autenticación de acceso Digest " de HTTP . Todos los servidores web ya implementan la autenticación implícita HTTP y el esfuerzo para implementar GBA además de la autenticación implícita es mínimo. Por ejemplo, podría implementarse en SimpleSAMLPhP http://rnd.feide.no/simplesamlphp con 500 líneas de código PHP y solo unas pocas decenas de líneas de código son específicas del proveedor de servicios, lo que facilita su portabilidad a otro sitio web. .
- En el lado del dispositivo se necesita:
- Un navegador web (de hecho, un cliente HTTP) que implementa la autenticación implícita y el caso especial diseñado por una cadena "3gpp" en el encabezado HTTP.
- Se podría usar un medio para dialogar con una tarjeta inteligente y firmar el desafío enviado por el BSF, ya sea Bluetooth SAP o una aplicación Java o nativa para atender la solicitud proveniente del navegador.
Resumen técnico
En realidad, los contenidos de esta sección son de literatura externa. [1]
Hay dos formas de utilizar GAA (Arquitectura de autenticación genérica).
- El primero, GBA, se basa en un secreto compartido entre el cliente y el servidor.
- El segundo, SSC, se basa en pares de claves público-privadas y certificados digitales.
En los casos de secreto compartido, el cliente y el operador primero se autentican mutuamente a través de 3G y la clave de autenticación (AKA) y acuerdan las claves de sesión que luego se pueden utilizar entre el cliente y los servicios que el cliente desea utilizar. A esto se le llama bootstrapping . Después de eso, los servicios pueden recuperar las claves de sesión del operador y pueden usarse en algún protocolo específico de aplicación entre el cliente y los servicios.
La figura anterior muestra las entidades GAA de la red y las interfaces entre ellas. Las entidades opcionales se dibujan con una red de líneas y los bordes salpican el marcador. El Equipo de Usuario (UE) es, por ejemplo, el teléfono móvil del usuario. El UE y la función de servidor de arranque ( BSF ) se autentican mutuamente durante la interfaz Ub (número [2] anterior), utilizando el protocolo AKA de autenticación de acceso implícito . El UE también se comunica con las funciones de aplicación de red ( NAF ), que son los servidores de implementación, a través de la interfaz Ua [4], que puede utilizar cualquier protocolo de aplicación específico necesario.
BSF recupera datos del suscriptor del servidor de abonado doméstico (HSS) durante la interfaz Zh [3], que utiliza el protocolo de base de diámetro . Si hay varios HSS en la red, BSF primero debe saber cuál usar. Esto se puede hacer configurando un HSS predefinido para BSF o consultando la función de localización de suscriptores (SLF). Los NAF recuperan la sesión clave de BSF durante la interfaz Zn [5], que también usa el diámetro en el Protocolo base. Si NAF no está en la red doméstica, debe usar un proxy Zn para contactar a BSF.
Usos
- El proyecto SPICE desarrolló un caso de uso extendido llamado "terminal dividido" donde un usuario en una PC puede autenticarse con su teléfono móvil: http://www.ist-spice.org/demos/demo3.htm . La NAF se desarrolló en SimpleSAMLPhP y se desarrolló una extensión de Firefox para procesar la solicitud de autenticación de resumen de GBA desde BSF. El perfil de acceso a la SIM de Bluetooth se utilizó entre el navegador Firefox y el teléfono móvil. Posteriormente, un socio desarrolló un concepto de "instalación cero".
- El instituto de investigación Fraunhofer FOKUS desarrolló una extensión OpenID para Firefox que utiliza autenticación GBA. Presentación en ICIN 2008 por Peter Weik
- Open Mobile Terminal Platform http://www.omtp.org hace referencia a GBA en su Advanced Trusted Environment: recomendación OMTP TR1 [2] , publicada por primera vez en mayo de 2008.
Lamentablemente, a pesar de muchas ventajas y usos potenciales de GBA, su implementación en teléfonos ha sido limitada desde la estandarización de GBA en 2006. Lo más notable es que GBA se implementó en teléfonos basados en Symbian.
Referencias
- ^ Arquitectura de autenticación genérica por Timo Olkkonen, Universidad Tecnológica de Helsinki
- ^ "Entorno de confianza avanzado de OMTP: OMTP TR1" . Archivado desde el original el 21 de octubre de 2008 . Consultado el 4 de enero de 2009 .