Autenticación basada en CAVE

Protocolo de autenticación

La autenticación basada en CAVE es un protocolo de seguridad que se utiliza para verificar el acceso en CDMA2000 1X , un tipo de sistema de red móvil de tercera generación ( 3G ). El término "CAVE" significa autenticación celular y cifrado de voz, que es el algoritmo utilizado para realizar el proceso de autenticación . ^[1] Este sistema ayuda a confirmar que un usuario está autorizado a conectarse a la red móvil.

También se la conoce como "autenticación HLR" (autenticación de registro de ubicación local), " autenticación 2G " o "autenticación de acceso". En términos más simples, garantiza que la persona que intenta acceder a la red sea quien dice ser, protegiendo así la red de usuarios no autorizados.

Entidades de red

En la autenticación basada en CAVE, dos componentes principales trabajan juntos cuando un usuario está en itinerancia en una red móvil:

• Centro de autenticación (AC) (también conocido como HLR/AC o AuC): se encuentra en la red doméstica del usuario y gestiona el proceso de autenticación. Verifica directamente la identidad de la estación móvil (MS, comúnmente conocida como teléfono móvil) o comparte una clave de seguridad (llamada SSD) con el registro de ubicación de visitantes (VLR) en la red que visita el usuario. El AC debe tener una clave de seguridad específica (clave A) para cada dispositivo móvil. La autenticación depende de que tanto el dispositivo como el AC tengan la misma clave A. El AC suele ser parte del registro de ubicación local (HLR), pero también puede existir como un sistema independiente que presta servicio a varios HLR. Aunque "AuC" es la abreviatura que se utiliza en las redes GSM, a veces también se aplica incorrectamente a las redes CDMA.
• Registro de ubicación de visitantes (VLR): este es el componente de red en la red visitada (a la que el usuario está conectado actualmente mientras está en roaming). Si la clave SSD se comparte con esta red, el VLR puede autenticar al usuario localmente. De lo contrario, actúa como intermediario y pasa las solicitudes de autenticación al AC doméstico del usuario para su verificación.

Este sistema garantiza que los usuarios puedan autenticarse de forma segura incluso cuando utilizan redes fuera de su área local.

Llaves

En la autenticación de redes móviles, el controlador de autenticación es responsable de determinar si la respuesta de la estación móvil (MS o teléfono móvil) es correcta. Según la situación, este controlador puede ser el centro de autenticación (AC) en la red doméstica del usuario o el registro de ubicación de visitantes (VLR) en la red en la que el usuario se encuentra actualmente en itinerancia. Este proceso utiliza dos claves compartidas en la autenticación basada en CAVE, que se basa en el algoritmo CAVE (Cellular Authentication and Voice Encryption) :

• Clave de autenticación (clave A): se trata de una clave secreta de 64 bits que solo conocen la EM y la AC. Si el teléfono móvil utiliza una tarjeta RUIM (similar a una tarjeta SIM), la clave A se almacena en la RUIM; de lo contrario, se almacena en la memoria del dispositivo. La clave A nunca se comparte con otras redes. Sin embargo, se utiliza para crear otra clave llamada Datos secretos compartidos (SSD), que se puede compartir con una red de roaming para permitir la autenticación local.
• Datos secretos compartidos (SSD): se trata de una clave de 128 bits creada mediante el algoritmo CAVE durante un procedimiento conocido como actualización de SSD. ^[2] Tanto la MS como la AC en la red doméstica del usuario calculan de forma independiente este SSD. El SSD, no la clave A, se utiliza durante el proceso de autenticación real. El SSD puede o no compartirse entre la red doméstica del usuario y una red de roaming. Si se comparte, permite que la red de roaming autentique al usuario localmente. El SSD se divide en dos partes:
  • SSD_A: Se utiliza para generar firmas de autenticación.
  • SSD_B: Se utiliza para crear claves de sesión para el cifrado y la privacidad de la voz.

Este proceso permite autenticar de forma segura a los usuarios sin revelar la clave más sensible (clave A) a otras redes.

Desafíos de autenticación

La autenticación basada en CAVE utiliza dos tipos de desafíos para verificar la identidad de un teléfono móvil (MS):

• Desafío global: Es un proceso en el que todos los dispositivos móviles que intentan acceder a la red deben responder a un desafío común. Este desafío se transmite a todos los dispositivos de la zona a través de los mensajes de sobrecarga de la red. Para responder, el teléfono móvil crea una respuesta de firma de autenticación (denominada AUTHR) utilizando el algoritmo CAVE. Combina el valor del desafío, el número de serie electrónico (ESN) del teléfono y los últimos seis dígitos marcados (si el usuario está realizando una llamada) o una parte del número de identificación único del suscriptor (IMSI_S1). También utiliza parte de los datos secretos compartidos (SSD_A) para generar esta respuesta.
• Desafío único: este proceso permite que la red (ya sea la red doméstica o una red de roaming si se comparte SSD) desafíe específicamente a un teléfono móvil en particular. Esto puede suceder por razones de seguridad o para verificar la identidad del dispositivo. El teléfono genera una respuesta de firma de autenticación diferente (llamada AUTHU), utilizando el algoritmo CAVE con entradas del valor de desafío único, ESN, IMSI_S1 y SSD_A.

La autenticación basada en CAVE es un proceso unidireccional , lo que significa que la red siempre autentica el teléfono móvil, pero el teléfono no autentica la red. La única excepción es durante una actualización de SSD, en la que el teléfono puede desafiar a la estación base.

Especificación

Los procedimientos de autenticación basados ​​en CAVE se describen en el estándar TIA-41, que forma parte de las especificaciones creadas por 3GPP2 (Proyecto de Asociación de Tercera Generación 2). Estos procedimientos explican cómo los teléfonos móviles y las redes se verifican entre sí en sistemas basados ​​en CDMA, lo que garantiza una comunicación segura. TIA-41, también conocido como X.S0004, proporciona pautas detalladas sobre cómo se realiza esta verificación o autenticación utilizando el algoritmo CAVE.

Véase también

• Método de acceso al canal
• Autenticación y acuerdo de clave (AKA): un tipo de autenticación sucesor
• Algoritmo de cifrado de mensajes celulares : un algoritmo similar a CAVE

Referencias

1. Zhang, Chi; Liu, Jun-Rong; Gu, Da-Wu; Wang, Wei-Jia; Lu, Xiang-Jun; Guo, Zheng; Lu, Hai-Ning (1 de septiembre de 2019). "Análisis de canal lateral para los protocolos de autenticación de redes celulares CDMA". Revista de informática y tecnología . 34 (5): 1079–1095. doi :10.1007/s11390-019-1961-5. ISSN  1860-4749 . Consultado el 18 de junio de 2024 .
2. Miceli, Andrew (2003). Manual del técnico de sistemas inalámbricos (PDF) (2.ª ed.). Boston, Mass.: Artech House. ISBN 978-1580533577. Recuperado el 18 de junio de 2024 .

Enlaces externos

• TIA-41 - 3GPP2 X.S0004 (marzo de 2004)