На зорі стільникового зв'язку служба коротких повідомлень розглядалася як додаток до основних послуг. Однак поступово коло додатків, підтримуваних службою SMS, розширився, охопивши функції електронної пошти та факсимільного зв'язку, різні види інформаційного обслуговування мобільних користувачів, а потім і більш серйозні інтерактивні послуги, наприклад, доступ до банківських рахунків. Одночасно набула особливої актуальності завдання створення середовища, що гарантує безпеку роботи з SMS.
Відмітна особливість служби SMS - гарантована доставка повідомлення адресату. Послання - рано чи пізно - дійде до адресата: система автоматично виявляє факт невдалої спроби з'єднання, запам'ятовує повідомлення і зберігає його до тих пір, поки зв'язок з одержувачем не відновиться.
Для організації служби SMS (рис. 1) створюється центр обробки повідомлень (Short Message Service Center, SMSC). Він отримує повідомлення від відправника повідомлень (Short Message Entity, SME), в якості якого може виступати сервер або мобільний пристрій, і виконує всі функції, пов'язані з проміжним зберіганням повідомлень і контролем їх доставки мобільним користувачам. Крім SMSС є ще шлюзовий пристрій (Short Message Service Gateway, SMSG), що забезпечує взаємодій? Ствие сервера з елементами мережевої інфраструктури (центр комутації MSC, реєстри власних і абонентів, що обслуговуються HLR і VLR), інтерфейс зі службами голосової і електронної пошти, а також зв'язок з зовнішніми для даної мережі джерелами повідомлень, наприклад, центрами обробки повідомлень інших операторів.
Для доставки повідомлення виконуються запити до реєстрів абонентів і повідомлення перенаправляється в домашню мережу абонента, а потім і безпосередньо на мобільний телефон одержувача; назад повертається повідомлення про статус доставки.
Сумарний розмір повідомлення може досягати 163 байт, а саме повідомлення містить: тип повідомлення (2 біта); прапори атрибутів: чи будуть ще повідомлення, чи є зворотний шлях, наявність заголовка, чи повідомляти статус (4 біта); адреса відправника повідомлення (2-12 байт); протокол (1 байт); схема кодування (1 байт); мітка часу від SMSC (7 байт); довжина поля даних (1 байт); поле даних (до 140 байт).
В описаній процедурі доставки повідомлення проходить як по внутрішнім мережам оператора зв'язку, так і через відкриті канали (радіоканал, Internet). Проте, передані дані можна захистити.
Інфраструктура мобільної мережі забезпечує ідентифікацію абонента і забезпечення конфіденційності даних шляхом шифрування трафіку при передачі по відкритих мережах (рис. 2). Ці особливості служби коротких повідомлень дають можливість використовувати SMS як стійкий і захищений транспортний механізм для аутентифікації. Розглянемо схему суворої аутентифікації, реалізовану за допомогою SMS, а також порівняємо області застосування різних схем строгої аутентифікації.
Сувора, або жорстка аутентифікація - це надійне і достовірне визначення джерела інформації. Серед розмаїття різних методів і технологій проведення аутентифікації за рівнем жорсткості виділяються наступні класи, побудовані на кількості факторів, що використовуються в процесі аутентифікації:
- слабка схема (одиночний фактор, наприклад, типовий пароль або PIN-код);
- сувора схема (два і більше факторів, наприклад, токен плюс PIN-код).
Зазвичай реалізація суворої схеми має на увазі пред'явлення чогось, що належить користувачеві (токен, смарт-карта, мобільний телефон, КПК і т.д.), або чогось, відомого користувачеві (наприклад, пароль або PIN-код).
Додатковими або альтернативними факторами можуть служити біометричні елементи, що забезпечують прив'язку до конкретної людини, наприклад, за відбитками пальців, голосовому спектру або райдужній оболонці ока.
Технологія RSA SecurID побудована на процедурі генерації одноразового пароля (One-Time Password, OTP). Генерований токен - це псевдослучайная величина, що обчислюється як функція від секретного початкового вектора генерації і часу, що відображається на дисплеї (6-8 знаків) і змінюється кожні 60 секунд. В даний час до власного алгоритму компанії RSA Security для генерації додана реалізація на основі стандарту AES з 128-розрядним початковим вектором генерації токена.
При вході в систему користувач доповнює поточне число на токені своїм секретним PIN-кодом і вводить їх як один код (так званий, passcode). Система відсилає сформований код сервера аутентифікації, який перевіряє його шляхом симетричною генерації частини passcode. Результат аутентифікації посилається назад в систему, яка відповідно до нього, щоб перейти або відмовляє в ньому. Такий підхід дає можливість будувати різноманітні схеми аутентифікації і авторизації доступу в різні інформаційні ресурси в залежності від необхідних параметрів жорсткості, цільового призначення, зручності і вартісних характеристик.
Гнучкість сервісу означає облік особливостей конкретного клієнтського пристрою і різноманітність методів управління повноваженнями користувачів. Так, якщо необхідно універсальний засіб контролю доступу віддалених користувачів, то варто скористатися токенами SeсurID. Для штатних співробітників офісу, яким потрібен повсякденний доступ на основі системи єдиного входу (single-sign-on, SSO), краще підійдуть смарт-карти або USB-токени. Для реалізації одноразового або рідкісного доступу зручніше використовувати доставку одноразового пароля OTP за допомогою відправки SMS на мобільний телефон. Якщо матриця прав користувачів змінюється, то єдина система управління сервісом аутентифікації дозволяє просто і швидко змінити схему повноважень доступу користувача, що, власне, і є запорукою гнучкості і швидкості в обслуговуванні засобів забезпечення безпечного доступу до контрольованих ресурсів (див. порівняльну таблицю використання таких коштів).
Розглянемо приклад реалізації суворої аутентифікації, побудований на двухфакторной системі SecurID і використовує в якості транспорту доставки токен-коду службу SMS.
Рішення по доставці атрибутів одноразового пароля на мобільний телефон, запропоноване компанією RSA Security, включає два основних програмних компонента - сервер аутентифікації і агент, що встановлюється на захищається ресурс. Для підключення до мережі GSM і передачі текстових повідомлень SMS по протоколу SMPP використовується спеціальний модуль розширення (plug-in). Ніякого додаткового апаратного і програмного забезпечення на робочому місці кінцевих користувачів не вимагається.
Схема надання доступу зареєстрованому користувачу досить проста (рис. 3). При вході на Web-портал, захищений за допомогою RSA Mobile, вводиться ім'я і пароль; після цього система шукає номер мобільного телефону, який міститься в імені абонента, і пересилає на цей телефон одноразовий код доступу у вигляді SMS-повідомлення. Користувач вводить код і отримує доступ до необхідного ресурсу.
Проведені випробування показали, що код доступу доставляється за призначенням менш ніж за 6 секунд. Доставку коду також можливо здійснювати за допомогою електронної пошти (протокол SMTP) або будь-яких інших портативних телекомунікаційних пристроїв. Прототипи цієї системи аутентифікації успішно пройшли випробування в Європі, Азії та Сполучених Штатах. Великі організації (наприклад, банки) вже зараз укладають угоди з операторами мобільних мереж для того, щоб за допомогою SMS-повідомлень здійснювати розсилку клієнтам повідомлень - наприклад, про поточний стан їх рахунків.
Програмне забезпечення RSA Mobile орієнтоване, в першу чергу, на корпоративних користувачів, які можуть застосовувати його в інтересах своїх співробітників і клієнтів. Мережеві оператори і постачальники інформаційних сервісів також могли б використовувати це програмне забезпечення, розгортаючи з його допомогою додаткові послуги.
Компанією «Демос» було проведено тестування всіх технологічних аспектів функціонування компонентів системи RSA Mobile і налагоджені конфігурації їх взаємодії зі службою SMS-повідомлень компанії МТС. Отримані результати добре узгоджуються з заявленими параметрами: затримка доставки SMS-токена в рамках однієї мережі склала 2-3 секунди. При використанні механізмів роумінгу в інші мережі ( «Бі Лайн», Orange, Vodafone) затримка становить 4-5 секунд. Ці величини дозволяють скоротити час життя генерується токена до 10-15 секунд, що цілком відповідає найжорсткішим вимогам безпеки, що пред'являються до систем аутентифікації в транзакційних банківських схемах. Також досліджувався режим перехоплення IP-пакетів з вмістом датаграмм протоколу SMPP, несе значення токена від RSA Mobile плагіна до SMSC-сервера.
В цілому, випробування показали високу гнучкість настройки програмного забезпечення і простоту сполучення з серверами SMSC з використанням протоколу SMPP v3.4. Налаштування роботи передачі токена по інших протоколах (наприклад, SMTP) не викликало ніяких труднощів. Реалізація системи на базі J2EE забезпечує просту модифікацію програмного забезпечення під різні потреби конкретних сервісів.
З метою підготовки реального використання були запропоновані демо-варіанти захищених за допомогою RSA Mobile Web-ресурсів, емулює реально існуючі ресурси, в тому числі, доступ в систему Raiffeisen Bank, віддалений доступ до поштової скриньки MTC на поштовому сервері «Демос-Інтернет», до системі МТС Ісса і ін.
Результати технологічних досліджень описаного рішення показують, що воно розширює вже існуючий арсенал засобів забезпечення захисту внутрішніх інформаційних ресурсів, типовий для більшості компаній. Впровадження даного рішення дозволить здійснити технологічно і організаційно однаковий механізм аутентифікації і авторизації як для внутрішніх ресурсів, так і для сервісів, що надаються телекомунікаційною компанією.
Автор висловлює подяку за сприяння в тестуванні співробітникам компанії МТС Андрію Бурцеву і Віктору Краснову.
Тимофій Горшков ( [email protected] ) - співробітник компанії «Демос» (Москва), RSA Certified Security Professional.