Федеральное агентство связи

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

«Поволжский государственный университет телекоммуникаций и информатики»

ОТЗЫВ РУКОВОДИТЕЛЯ

По ВКР студента Бутенко Михаила Николаевича

На тему Процедуры AAA в сетях подвижной связи

Руководитель

ВКР доцент доцент __________ 01.02.13 Т.В. Фирстова____

Должность Уч.степень, звание Подпись Дата Инициалы Фамилия

Памятка руководителю ВКР

В отзыве отразить следующие вопросы:

- общая характеристика задачи ВКР;

- степень проработки основных разделов темы;

- использование математического аппарата;

- использование средств вычислительной техники;

- макетирование, моделирование, экспериментирование;

- практическая ценность ВКР и возможность внедрения;

- степень самостоятельной работы студента;

- совокупная оценка труда студента и его квалификация.

Федеральное агентство связи

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

«Поволжский государственный университет телекоммуникаций и информатики»

ПОКАЗАТЕЛИ КАЧЕСТВА ВКР

По ВКР студента Бутенко Михаила Николаевича

На тему Процедуры AAA в сетях подвижной связи

1 Работа выполнена :

- по теме, предложенной студентом _______________________ _________

- по заявке предприятия ________________________________

наименование предприятия

- в области фундаментальных и

поисковых научных исследований ________________________________

указать область исследований

2 Результаты ВКР:

- рекомендованы к опубликованию ________________________ _______

указать где

- рекомендованы к внедрению ________________________________

указать где

- внедрены ________________________________

акт внедрения

3 ВКР имеет практическую ценность ________________________________

в чем заключается практическая ценность

4 Использование ЭВМ при

выполнении ВКР:

- разработана программа (программный

модуль) ________________________________

- проведено компьютерное

моделирование ________________________________

- компьютерная обработка данных ___________ _____________________

- другое ________________________________

Студент ПС-81_____________________________ ________ М. Н. Бутенко ___

Группа Подпись Дата Инициалы Фамилия

Руководитель

ВКР доцент __________ __ _____ Т.В. Фирстова____

Должность Уч.степень, звание Подпись Дата Инициалы Фамилия

Федеральное агентство связи

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

«Поволжский государственный университет телекоммуникаций и информатики»

ОТЗЫВ РЕЦЕНЗЕНТА

По ВКР студента Бутенко Михаила Николаевича

На тему Процедуры AAA в сетях подвижной связи

Рецензент ____________________________________________________________

Должность Уч.степень, звание Подпись Дата Инициалы Фамилия

Памятка рецензенту ВКР

В рецензии отразить следующие вопросы:

- актуальность темы ВКР и решений;

- степень проработки основных разделов ВКР;

- достоинства и недостатки ВКР;

- практическая ценность ВКР;

- оценка ВКР и квалификация студента (см. «Отзыв руководителя»).

Введение

В сетях беспроводного широкополосного доступа вообще и в сетях стандарта IEEE 802.16 в частности обеспечение безопасности является одной из важнейших задач. Оператор хочет быть уверенным в том, что абоненты, подключенные к его сети, получают доступ только к тем услугам, которые предусмотрены тарифом и производят оплату за предоставляемые им услуги. Абоненты сети хотят быть уверенными в том, что их частная информация защищена, целостность данных не нарушена и они всегда могут получить полный доступ к услугам, на которые подписаны.

Триединый термин ААА обозначает действия по аутентификации, авторизации и учету (Authentication, Authorization, Accounting). Важность AAA-операций все более возрастает по мере распространения сетей NGN/IMS, хотя функции ААА обеспечивают управление доступом к любым сетям связи и играют ключевую роль всюду, где требуется представить конечному пользователю счет за предоставленные инфокоммуникационные услуги. Речь идет обо всех сетевых услугах, включая традиционную телефонию, сотовую связь, широкополосный доступ, услуги маршрутизации, услуги шлюза и т.п.

Эволюция сетей связи, выражающаяся в усложнении сетевого и пользовательского оборудования, в увеличении количества услуг, в новом уровне угроз защите информации, а также в необходимости обеспечения согласованного качества обслуживания, привела к тому, что разработанный без учета всех этих факторов протокол RADIUS в силу своих ограничений стал во многих случаях неприменимым для решения задач ААА в рамках новых инфокоммуникационных реалий.

В связи с вышесказанным, исследование процедур AAA в сетях подвижной связи, актуально и востребовано в учебном процессе.

1. Анализ архитектуры AAA

Реализация функций ААА в разных сетях связи принимает разнообразные формы. В телефонных сетях ТФОП она предстает в виде определения исходящего направления и номера абонентской линии в телефонной станции, запрос пары «логин - пароль» используется в случае доступа пользователя в Интернет, в Интеллектуальных сетях (IN) для этого используется номер карточки предоплаты определенной услуги и т.п.

Конвергенция вышеупомянутых сетей и услуг связи побудила IETF, начиная с 2000 года, приступить к выпуску ряда документов с описанием архитектуры, протоколов и систем взаимодействия ААА.

Основные идеи реализации архитектуры построения систем аутентификации, авторизации и учета (ААА) представлены в документе RFC 2903.

Перед тем как перейти непосредственно к рассмотрению протоколов ААА, приведу определения терминов, входящих в аббревиатуру ААА, согласно RFC 2989, Аутентификация - это верификация идентификационной информации, предъявляемой в форме имени из обоюдно согласованного пространства имен. Авторизация - это выяснение того, может ли некое право, такое как право доступа к определенному ресурсу, быть предостав­лено предъявителю определенного набора данных. Учет - это сбор информации об использовании ресурса с целью анализа, контроля, выставления счетов или распределения стоимости.

1. Обобщенная архитектура ААА

Сервер аутентификации, авторизации и учета (AAA-сервер) является тем единым сетевым элементом, в котором выполняются указанные процедуры ААА.

1. Элементы обобщенной архитектуры ААА

На рис. 1 представлен центральный элемент ААА-архитектуры - обобщенный AAA-сервер, обрабатывающий запросы аутентификации, выполняющий авторизацию и накапливающий информацию учета. Обобщенный сервер ААА взаимодействует со следующими элементами общей инфраструктуры ААА:

Модуль приложения - устройство, которое управляет ресурсами услуги и выполняет конфигурационные функции оборудования, осуществляющего предоставление услуги. Модуль приложения может участвовать в процедуре авторизации, так как ему доступна специфическая для запрашиваемой услуги информация, которая может потребоваться в процессе авторизации. Эта информация может быть получена путем обращения к базе данных приложения, а также путем интерпретации специфических для услуги параметров обслуживания. Следует отметить, что специфическая для услуги информация не обязательно должна быть «понятна» обобщенному AAA-серверу, так как во многих случаях она является уникальной для услуги, и «научить» сервер распознавать информацию, специфическую для большого числа услуг, не представляется возможным.

Вместо этого серверу достаточно знать, к какому модулю приложения следует обратиться при авторизации того или иного запроса, для чего в запрос авторизации в том или ином виде должен включаться идентификатор модуля приложения.

Рис. 1 Элементы обобщенной архитектуры ААА

Хранилище событий и политики - В целях аудита обобщенный ААА-сервер должен сохранять информацию о событиях с привязкой данных о них ко времени в определенном хранилище. Подобным хранилищем в AAA- архитектуре выступает хранилище событий и политики. Как следует из названия, еще одной функцией этого элемента является хранение разной политики доступа, то есть разных правил авторизации пользователя при предоставлении ему доступа к имеющимся услугам и ресурсам.

Хранилище информации об услуге - база данных, содержащая сведения об услуге определенного типа. Модуль приложения при поступлении на него запроса авторизации взаимодействует с этим хранилищем для получения данных, необходимых для обслуживания запроса.

Типичная последовательность обслуживания запроса авторизации в рамках обобщенной архитектуры ААА будет выглядеть следующим образом:

• пользователь или сетевое оборудование, действующее по запросу пользователя, сформирует запрос авторизации доступа к услуге и отправит его на ААА-сервер;

• для проведения аутентификации пользователя ААА-сервер обратится к базе данных пользователей, а также к хранилищу политики и событий для регистрации запроса и определения правил авторизации;

• для авторизации компонентов, относящихся к информации, специфи­ческой для приложения, отправляется запрос к модулю соответствую­щего приложения. Для авторизации компонентов, требующих обработки другими AAA-серверами, запрос будет переправлен к соответствующим серверам;

• результаты авторизации, а также информация, необходимая для первоначальной конфигурации услуги, передаются на сетевой элемент, отправивший запрос авторизации.

2. Аутентификация

Аутентификация - это процедура, состоящая из двух операций. Первая операция заключается в предоставлении аутентифицируемой стороной некой информации, которая позволяет аутентифицирующей стороне выполнить проверку достоверности переданной идентификационной информации. Вторая операция представляет собой проверку, выполняемую аутентифицирующей стороной.

Для корректности изложения следует добавить, что идентификационная информация, подлежащая верификации, должна обладать свойством уникальности, чтобы процедура аутентификации имела смысл.

Выделяют следующие виды аутентификации:

• аутентификация клиента;

• аутентификация сообщения;

• взаимная аутентификация.

Под категорию аутентификации клиента подпадает аутентификация устройства без привязки к личности пользователя. В мире телекоммуникаций аутентификация устройств является распространенным явлением - именно такой вид аутентифи­кации используется в сетях мобильной связи, а также в сетях некоторых Интернет- провайдеров. В мобильной сети аутентификация устройства выполняется на основе карты SIM, вставляемой в мобильный телефон. «Зашитые» в SIM-карту ключи позволяют сети выполнить процедуру аутентификации и удостовериться в том, что претендующий на использование сетевых ресурсов мобильный аппарат действительно принадлежит владельцу средств, внесенных на счет в биллинговой системе. Проблема в данном случае состоит в том, что аутентификация устройства не позволяет провести аутентификацию пользователя. Если каким-либо образом подключенный к сети телефон попадет в чужие руки, ресурсы мобильной сети станут автоматически доступны новому обладателю мобильного устройства, так как он не будет отличим для сети от его предыдущего владельца в силу отсутствия аутентификации пользователя.

Процедура аутентификации сообщения, именуемая также процедурой обеспечения целостности информации. Для обеспечения целостности сообщения отправитель выполняет операцию хеширования передаваемых данных и некоторого секретного слова, известного только ему и получателю сообщения (бирже), после чего передает сообщение, добавляя в его конец получившуюся на выходе хэш-функции последовательность. Получатель сообщения выполняет аналогичную операцию над полученными данными, и, в случае совпадения с переданным результатом, верифицирует целостность информации. Если по пути следования сообщения оно будет изменено злоумышленником, получатель на выходе хэш-функции получит результат, отличный от того, который добавлен к сообщению отправителем, и поймет, что тело сообщения подверглось модификации.

Взаимная аутентификация - это аутентификация не только сервером клиента, но и клиентом сервера, либо, в конфигурации peer-to-peer, взаимная аутентификация взаимодействующих узлов. Взаимная аутентификация необходима в Окружении, где клиент не может доверять идентификатору сервера, либо равноправный узел не может доверять идентификатору равноправного узла. Примером взаимной аутентификации является аутентификация пользователем сайта, который требует введения логина и пароля для аутентификации пользователя.

3. Авторизация

Авторизация - это определение полномочий доступа к некоторым ресурсам. Она выполняется либо одновременно с аутентификацией, либо одновременно с учетом. После того как личность претендующего достоверно установлена, начинается процесс авторизации, то есть определения, какая часть ресурсов может быть предоставлена данному пользователю.

Мы можем выделить четыре элемента в обычной ситуации авторизации, представленной на рис. 1.1:

пользователь, желающий получить доступ к услуге или ресурсу;

домашняя организация пользователя, с которой у него заключено соглашение. Эта организация проверяет, имеет ли данный пользователь право доступа к требуемому ресурсу или услуге. Этот элемент является хранилищем информации, которая может быть неизвестна сервис-провайдеру (к примеру, лимит средств на счете);

AAA-сервер сервис-провайдера, который авторизует доступ к услуге на основе соглашения с домашней организацией пользователя;

оборудование услуги, которое непосредственно предоставляет услугу. Это может быть сервер доступа к сети, принтер, маршрутизатор или другое оборудование.

Рис. 1.1 Соглашение об обслуживании

1. Агентская последовательность

В агентской последовательности ААА-сервер сервис-провайдера выступает в качестве агента между пользователем и услугой. ААА-сервер получает запрос пользователя и перенаправляет информацию авторизации вместе с информацией конфигурации на оборудование услуги. В модели агентской последовательности на рис. 1.2 пользователь отправляет запрос на ААА-сервер сервис-провайдера (шаг 1), который применит политику, относящуюся к данному абоненту и запрашиваемой услуге. ААА-сервер отправляет запрос к оборудованию услуги, и оборудование услуги организует ее предоставление (шаг 2). Оборудование услуги затем отвечает AAA-серверу, что для данного пользователя услуга подготовлена (шаг 3). AAA-сервер отвечает пользователю, что услуга подключена и тот может использоваться ею (шаг 4).