CC BY-NC-ND
32
А.С. Рабинович
МЕТОД АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ С ИСПОЛЬЗОВАНИЕМ СЛУЖБЫ TSM В КАЧЕСТВЕ ДОВЕРЕННОГО ЭЛЕМЕНТА NFC-СИСТЕМЫ
В данной статье рассматривается метод интерактивной аутентификации пользователя с использованием службы TSM в качестве доверенного элемента NFC-системы.
В этом случае предлагается в состав существующих функций TSM-оператора, а именно функций гарантированного безопасного обмена данными и управления ключами для безопасного доступа к приложениям, добавить функцию управления ключами аутентификации пользователей NFC-системы как некоторый аналог функции управления сертификатами открытых ключей в PKI-инфраструктуре.
Ключевые слова: аутентификация пользователя, технология NFC, мобильный оператор, сертификат открытого ключа.
Введение
Технология беспроводной высокочастотной связи малого радиуса действия NFC (ОТ^-технология) позволяет осуществлять бесконтактный обмен данными между устройствами, расположенными на небольших расстояниях. Модули NFC активно внедряются в разнообразные мобильные устройства - смартфоны, планшеты, ноутбуки - и могут использоваться для совершения покупок, оплаты проезда в общественном транспорте и других услуг, для удостоверения личности, в качестве электронного ключа от помещения или транспортного средства, а также для аутентификации пользователя и данных2,3.
В данной работе предлагаются эффективные протоколы интерактивной аутентификации пользователей информационных
© Рабинович А.С., 2015
систем, построенных на основе NFC-технологии, с использованием службы TSM4 (службы управления доверенными сервисами) в качестве третьей доверенной стороны. В качестве криптографической основы взяты параметры из схемы электронной подписи отечественного стандарта ГОСТ Р 34.10-2012.
Описание службы TSM, платформы OTA
Принцип существования единственного владельца ключей доступа входит в противоречие с вполне логичным желанием предоставлять пользователю услуги от нескольких независимых поставщиков. Такие сервис-провайдеры могут работать как на непересекающихся рынках (например, транспортная компания и банк), так и быть прямыми конкурентами. Но даже в первом случае компании, как правило, не желают предоставлять сторонним структурам доступ к своим данным. Подобное противоречие может быть решено как раз путем внедрения службы TSM - третьей стороны, которой доверяют все сервис-провайдеры.
Служба TSM - служба, которая позволяет поставщикам услуг и мобильным операторам управлять своими приложениями удаленно, обеспечивая доступ к защищенным элементам на терминалах с поддержкой NFC-технологии. Владелец TSM-сервера выступает в качестве посредника, который устанавливает деловые соглашения и технические связи между оператором мобильной связи, поставщиками услуг или другими лицами, контролирующими доступ к защищенным элементам бесконтактного приложения на мобильных терминалах с поддержкой NFC-технологии.
Для контроля над приложениями мобильный оператор устанавливает их на SIM-карту пользователя. SIM5-карта (модуль идентификации абонента) представляет собой идентификационный модуль абонента, применяемый в мобильной связи. Основная функция SIM-карты - хранение идентификационной информации об аккаунте (учетной записи абонента), что позволяет пользователю легко и быстро менять сотовые аппараты, не меняя при этом свой аккаунт, а просто переставив SIM-карту в другой телефон. Для этого SIM-карта включает в себя микропроцессор с программным обеспечением и данные с ключами идентификации карты, записываемые в карту на этапе ее производства, используемые на этапе идентификации и персонализации карты, например сетью GSM.
Область памяти на SIM-карте может эффективно использоваться и в качестве хранилища NFC-приложения. Сегодня обыч-
ный бумажник содержит большое количество пластиковых карт различных типов - банковские карты, дисконтные карты, билеты, членские карточки, пропуска, - все карты с магнитной полосой могут быть представлены в качестве ОТС-приложений на БШ-карте. Преимуществом ее использования являются привязка карты к абоненту; совместимость между мобильными телефонами; собственная система безопасности. Области памяти смарт-карт представлены на рис. 1. При этом секретные и идентификационные параметры пользователя при эксплуатации новых схем защиты данных могут храниться в незадействованных областях БШ-карты (см. далее).
Рис. 1. Области памяти SIM-карты
Как и в любой среде приложений, возникает необходимость добавления новых приложений, удаление старых, обновление существующих новыми версиями и предоставление приложениям актуальных данных. Такая система управления требует использования платформы OTA6. Платформа ОТА - это часть инфраструктуры оператора, обеспечивающая работу с SIM-картами по протоколам GSM 03.48 и 23.048 (единые стандарты для всех производителей). На базе данной платформы оператор может запустить большое число дополнительных сервисов.
NFC-приложение на SIM-карте может быть резидентным, но может возникнуть необходимость предоставления приложению
пользовательского интерфейса. Примеры приложений, которые требуют пользовательского интерфейса: активация приложения при покупке из торгового автомата (терминала), информация по дисконтным картам, перечень кредитных/дебетовых карт, доступных для использования, подтверждение ежемесячной покупки билета на транспорт.
В NFC-системе мобильный оператор сети предоставляет для хранения приложения, распространяемые среди абонентов SIM-карты. Таким образом, у оператора есть возможность выбрать соответствующую бизнес-модель и, следовательно, выбрать права персонализации, которые будут поддерживаться на стороне SIM-карты и которые будут доступны для его партнеров (поставщиков услуг и менеджеров службы).
Существует три основных сценария для различных бизнес-моделей7:
• простой режим (Simple Mode): эмитент-ориентированная модель, где управление содержимым SIM-карты выполняется только оператором, но контролируется TSM;
• режим доверенного управления (Delegated Mode): управление содержимым карты может быть делегировано TSM, но каждая операция требует авторизацию от оператора;
• режим авторизованного управления (Authorized Mode): управление содержимым SIM-карты полностью делегировано TSM.
На стороне мобильного оператора возможна реализация в двух вариантах:
• служба TSM реализуется самим оператором;
• служба TSM реализуется сторонними организациями.
В первом случае, при организации службы TSM на стороне оператора, передача данных по операции возможна как напрямую в терминал (телефон с поддержкой NFC-технологии), так и через платформу OTA. Платформу OTA предпочтительно использовать для балансировки нагрузки при передаче данных, тогда управление приложением происходит напрямую от службы TSM.
В случае же реализации службы TSM сторонними организациями передача данных по операции происходит через так называемую службу Business Enabler для возможности контроля операций со стороны оператора (см. рис. 2). Business Enabler позволяет мобильному оператору активировать или деактивировать службу TSM сторонних организаций. После успешного прохождения операции через службу Business Enabler дальнейшая передача данных возможна как напрямую в терминал, так и через платформу OTA.
w
Рис. 2. Взаимодействие компонентов NFC-системы
Основные функции TSM-оператора:
• обеспечение связи между мобильным оператором и провайдером услуг;
• гарантия безопасного обмена данными;
• управление жизненным циклом бесконтактного приложения;
• загрузка и персонализация бесконтактного приложения посредством oTA;
• активация и деактивация услуг;
• обновление пользовательского интерфейса;
• управление клиентской базой данных NFC;
• обновление EMV-баланса (баланс карт Europay, MasterCard и VISA) для оплаты;
• управление услугами с добавленной стоимостью, такими как перерегистрация билета;
• управление ключами для безопасного доступа к приложению.
В случае использования TSM-оператора для решения задачи
аутентификации пользователей NFC-системы в настоящей работе предлагается в состав функций гарантированного безопасного обмена данными и управления ключами для безопасного доступа к приложению добавить функцию (подфункцию) управления открытыми ключами аутентификации пользователей и их сертификатами (является аналогом функции управления сертификатами открытых ключей в PKP-инфраструктуре).
Таким образом, в данной работе предлагается расширить возможности службы ТБМ - использовать службу для аутентификации пользователей в ОТС-системах. В этом случае служба ТБМ будет хранить полную информацию о пользователе - от аутенти-фикационных данных пользователя (ФИО, идентификационный номер или логин) до прав доступа, которыми обладает пользователь по отношению к ресурсам ОТС-системы (см. рис. 3).
Рис. 3. Взаимодействие компонентов МБС-системы
при использовании службы ТБМ для аутентификации пользователя в МБС-системе
При такой схеме ОТС-система напрямую не доверяет пользователю. В случае запроса доступа к ресурсам будет создан запрос данных третьей доверенной стороне (службе ТБМ). Служба ТБМ, в свою очередь, посылает сообщение с данными пользователя ОТС-системе, на основе которого уже предоставляется / не предоставляется запрошенный пользователем доступ.
Протокол интерактивной аутентификации
Схема интерактивной аутентификации, рассматриваемая в данной работе, позволяет обеспечить надежный доступ абонентов некоторой информационной системы к различного рода удаленным ресурсам. В таких системах субъект доступа Р (доказывающий) гарантированно доказывает объекту доступа V (проверяющему) наличие у себя секретных реквизитов, не раскрывая никакой сколько-нибудь значимой информации об этих реквизитах. Данная
схема предусматривает наличие третьего необходимого доверенного элемента - центра доверия, который осуществляет основные управляющие функции по установлению защищенных соединений в системе. В нашем случае мы будем использовать в качестве такового ТБМ-оператор и именовать такой центр - центр управления ключами - ЦУК.
Описание схемы интерактивной аутентификации ИА. Все криптографические соглашения в данной схеме можно найти в статье О.В. Казарина и А.Д. Сорокина9. Работа начинается с того, что ЦУК выбирает параметры, так же как и в схеме электронной подписи стандарта ГОСТ Р 34.10-2012, а именно абоненты Р и V заранее договариваются о совместном использовании следующих параметров: группы E(0,b)/q* с порядком N = q+1 и образующим G с длиной числа |q*| = 256 битов.
Абонент системы Р (в данном случае в его качестве будет выступать NFC-устройство) «приходит» для регистрации в ЦУК и вместе с ЦУК выбирает секретный ключ d : 0 < d > q и соответствующий ему открытый ключ как точку эллиптической кривой Q с координатами (хе, уе), такую, что dG=Q. Далее для этого абонента ЦУК составляет идентификационную строку I, состоящую из имени, адреса, уровня полномочий и т. п. Затем для Q и I генерируется электронная подпись ЦУК 5. Схема подписи в данном случае может быть любой из известных. Абоненту выдаются подпись 5, ключи d и Q, строка I и простое q*. Секретный ключ d предлагается хранить в незадействованных ¡ББ-областях БШ-карты (см. рис. 1).
Процесс интерактивной аутентификации, в котором абонент Р сначала будет доказывать, что 5 есть подписи ЦУК, а затем доказывать, что он имеет в наличии секретный ключ d абоненту V (в данном случае в его качестве будет выступать устройство считывания данных с ^С-устройства РД) без раскрытия самого секретного значения d, начинается с отсылки подписи 5 и значений (I, Q) абоненту V. Абонент V с помощью открытого ключа ЦУК верифицирует идентификационную строку I и открытый ключ Q абонента Р.
Ниже приводится протокол интерактивной аутентификации, «соответствующий» указанной выше схеме электронной подписи с очевидными сокращениями, которые «не теряют» общую идею построения протоколов подобного вида.
Протокол ИА
Интерактивная часть протокола выполняется в l циклах по i:
1. Абонент P: генерирует случайное целое число k: 0 < k > q, вычисляет точку эллиптической кривой C=k.P и берет ее абсциссу: r = [xa](modq*).
2. Абонент V: выбирает eiER{1,...,2t-1}, где t - некоторый параметр безопасности, и выдает е. абоненту P.
3. Абонент P: вычисляет s. = [rd + ke.](mod N,) и отсылает s.
s т i L i i iJ 4 q*' i
абоненту V.
4. Абонент V: вычисляет v. = [ei"1](mod Nq.), 21i = [si»i](mod Nq.),
z2i = [-rivi](mod Nq.) и точку эллиптической кривой C = zuP + z2.Q,
берет ее абсциссу x, вычисляет R. = [xCi](mod q") и проверяет: R. = r .
Если проверки на шаге 4 во всех l циклах завершены корректно, то процесс аутентификации абонента системы P завершен успешно, в противном случае абонент V «сигнализирует» о попытке несанкционированного доступа.
Безопасность протокола ИА. Стойкость протокола ИА доказывается стандартным образом10-11'12-13-14, когда доказываются следующие три утверждения.
1. Если абоненты P и V являются честными, тогда последний примет доказательства первого с вероятностью 1 (свойство полноты протокола интерактивной аутентификации).
2. Если абонент P - нечестный, не знает секретного ключа d (т. е. P*), то тогда, что бы ни предпринимал P*, он не сможет обмануть абонента V с вероятностью, близкой к 1 (свойство корректности протокола интерактивной аутентификации).
3. Если абонент V - нечестный (т. е. V*), то он не может получить никакой полезной для себя информации о значении d (свойство нулевого разглашения (zero-knowledge), или свойство неразличимости свидетельств (witness indistinguishable), или свойство сокрытия свидетельства (witness hiding) протокола интерактивной аутентификации).
Выбор аддитивной абелевой группы точек эллиптической кривой для реализации различных криптографических схем и протоколов, в том числе для схемы подписи стандарта ГОСТ Р 34.10-2012, обоснован тем, что ее структура является более богатой, чем традиционно используемая мультипликативная абелева группа вычетов конечного поля и тем самым криптографические параметры для различных протоколов можно выбирать более гибко. Тем более что при обеспечении одной и той же
криптографической стойкости протоколов вычисления в группе точек эллиптической кривой выполняются примерно на 20% быстрее, чем в указанной группе вычетов15.
Для повышения быстродействия обмена данными при аутентификации предлагается искать, как всегда, разумный и обоснованный компромисс между криптографической стойкостью и эффективностью реализации за счет подбора подходящих значений длин секретных ключей, количества раундов схемы аутентификации и т. д. Это определяется, в конце концов, политикой безопасности того объекта (уровнем важности, критичности объекта), к которому осуществляется доступ, в том числе при помощи различных схем аутентификации субъекта доступа.
Заключение
Благодаря высокой скорости соединения и минимальному расстоянию между устройствами обеспечивается быстрая и безопасная передача данных, что особенно актуально при использовании NFC-устройства, синхронизированного с банковской картой. Особенно актуальной данная область применения технологии NFC стала с появлением смартфонов Samsung, HTC, Blackberry, Nokia, Google со встроенными NFC-чипами и возможностью запуска различных бизнес-приложений.
Появление службы Trusted Service Manager для работы с приложениями позволит поставщикам услуг и мобильным операторам не только оптимизировать свои инвестиции в оборудование и ускорить реализацию проектов без каких-либо компромиссов в вопросах контроля над приложениями и данными, но и решать новые задачи защиты информации в NFC-системах, одна из которых и предлагается в настоящей работе.
Примечания
От англ. Near Field Communication.
Рабинович А.С., Казарин О.В. Методика аутентификации пользователя в информационной системе с использованием технологии NFC // Вопросы кибер-безопасности. 2013. № 2. C. 59-62.
Рабинович А. С., Казарин О.В. Аутентификация пользователя информационной системы с использованием технологии NFC // Сб. тр. Междунар. науч.-практ. конф. «СИТ-2014». М.: Изд-во МФЮА, 2014. С. 53-57.
От англ. Trusted Service Manager. От англ. Subscriber Identification Module. От англ. «Over The Air».
The European Payments Council and the GSM Association. EPC - GSMA Trusted Service Management Requirements and Specifications, 2010. От англ. Public Key Infrastructure.
Казарин О.В., Сорокин А.Д. Протоколы интерактивной идентификации, основанные на схеме электронной подписи ГОСТ Р 34.10-2012 // Вопросы защиты информации. 2014. № 2 (105). С. 43-50.
Brickell E.F., McCurley K.S. Interactive identification and digital signatures // AT&T Technical Journal. Nov. / Dec. 1991. Vol. 70. № 6. P. 73-86. Feige U., Fiat A., Shamir A. Zero-knowledge proofs of identity // Journal of Cryptology. 1988. Vol. 1. № 2. P. 77-94.
Feige U., Shamir A. Witness indistinguishable and witness hiding protocols // Proceedings of the 22nd Annual ACM Symposium on Theory of Computing (STOC). N. Y., 1990. P. 416-426.
Fiat A., Shamir A. How to prove yourself: practical solutions to identification and signature problems // Lecture Notes in Computer Science. Advances in Cryptology - CRYPTO'86. 1987. Vol. 263. P. 186-194.
Schnorr C.P. Efficient identification and signatures for smart cards // Lecture Notes in Computer Science. Advances in Cryptology - CRYPTO'89. 1990. Vol. 435. P. 239-252.
Miller S. Uses of elliptic curves in cryptography // Lecture Notes in Computer Science. Advances in Cryptology - CRYPTO'85. 1986. Vol. 218. P. 417-426.
4
5
8
9
10
11
12
13
14
15
