מרכז אימות לפלטפורמת מתן שירותים פרויקט מוטורולה: מרכז אימות לפלטפורמת מתן שירותים כנס פרויקטים - מר' יחזקאל דנגור - פרופ' אהוד גודס מנחה מהתעשייה מנחה אקדמי הצוות : רז זיבר דדי סויסה אלינה מירינזון גבי ברונטוין

הקדמה אודות מוטורולה... מוטורולה הינו תאגיד אלקטרוניקה עולמי מוביל בתחום הטלקומוניקציה וההיי-טק. מוטורולה ישראל מפתחת ומייצרת פתרונות תקשורת, מוצרים סלולאריים, מערכות אלקטרוניות לכוחות הביטחון ועוד. (MSG) Motorola Software Group הישראלית משתתפת במספר פרויקטי מחקר ופיתוח לקידום איחוד טכנולוגיות אלחוטיות. מוטורולה העולמית –נוסדה ב- 1928, 42.9 מיליארד דולר ב- 2006 נחשבת לאחת מ-100 החברות המשפיעות ביותר בעולם. מוטורולה ישראל - נוסדה בשנת 1964, מחזור מכירות 820 מליון דולר . חברות בנות מירס,ביפר, טלדור MSG = קבוצת התוכנה של מוטורולה בישראל - קבוצה בתוך מוטרולה ישראל שעוסקת במחר ופיתוח

הגדרת הבעיה הרעיון של פדרציית מתן שירותים הוא לאפשר לספקי שירותים לשתף פעולה בניהם על מנת להציע שירותי תקשורת ומולטימדיה משותפים על גבי הרשתות השונות. המטרה היא לקדם פריסה נרחבת של שירותים על גבי טכנולוגיות רשת חדשניות מבלי שספקי השירותים יצטרכו להכיר האחד את השני. ארכיטקטורה של פלטפורמת מתן שירותים צריכה להתמודד עם פרוטוקולי אבטחה מגוונים ומדיניות אבטחה שונות בין מפעילי השירותים, רשתות הגישה וספקי השירותים.

מטרת הפרויקט מרכז אימות לפלטפורמת מתן שירותים מטרת הפרויקט היא לחקור, לתכנן ולממש הוכחת ישימות להיבטי אימות משתמשים ואבטחה הנוגעים לפלטפורמת מתן שירותים. התוצר הסופי של הפרויקט הוא הקמת מרכז אימות לפלטפורמת מתן שירותים (Authentication Center for Service Delivery Platform Federation) המאפשר אימות ומספק מדיניות אבטחה שונות עבור פלטפורמות מתן שירותים.

דוגמאות שימוש חברת תפוז מנוי של תפוז לקוח של חברת תפוז שנמצא באזור ללא קליטה יוכל לקבל גישה לרשת דרך התשתית של חברת פלא המספקת קליטה באותו אזור. הלקוח מזוהה בעזרת מרכז אימות ולכן יכול לקבל גישה לרשת חברת פלא. חברת תפוז חברת פלא לאחר כל דוגמה להסביר מי צריך אוטנטיקציה: בראשונה הלקוח של SDP אחד צריך להזדהות בפני ה- SDP השני. בשנייה האפליקציה צריכה להזדהות בפני ה- SDP שמספק את הסרביס על מנת להשתמש בסרביס זה. מנוי של תפוז

דוגמאות שימוש חברת תפוז מרכז אימות מנוי של תפוז לקוח של חברת תפוז שנמצא באזור ללא קליטה יוכל לקבל גישה לרשת דרך התשתית של חברת פלא המספקת קליטה באותו אזור. הלקוח מזוהה בעזרת מרכז אימות ולכן יכול לקבל גישה לרשת חברת פלא. חברת תפוז חברת פלא לאחר כל דוגמה להסביר מי צריך אוטנטיקציה: בראשונה הלקוח של SDP אחד צריך להזדהות בפני ה- SDP השני. בשנייה האפליקציה צריכה להזדהות בפני ה- SDP שמספק את הסרביס על מנת להשתמש בסרביס זה. מרכז אימות מנוי של תפוז 8

דוגמאות שימוש דוגמאות לאפליקציות המשתמשות בשירות "מצא מיקום נוכחי" אפליקציה (תוכנית מחשב) בטלפון הנייד משתמשת בשירות "מצא מיקום נוכחי" של המכשיר, המוצע ע"י מספר ספקי שירותים. דוגמאות לאפליקציות המשתמשות בשירות "מצא מיקום נוכחי" דיווחי תנועה מכמונות מהירות כספומט מזג אויר מסעדות לאחר כל דוגמה להסביר מי צריך אוטנטיקציה: בראשונה הלקוח של SDP אחד צריך להזדהות בפני ה- SDP השני. בשנייה האפליקציה צריכה להזדהות בפני ה- SDP שמספק את הסרביס על מנת להשתמש בסרביס זה. 9

דוגמאות שימוש מרכז אימות האפליקציה נדרשת להזדהות בפני ספקי השירותים דרך מרכז אימות על- מנת שתוכל להשתמש בשירותים המוצעים וכן ספק השירות יוכל לגבות תשלום. ספק שירות א' אפליקציה בטלפון נייד ספק שירות ב' לאחר כל דוגמה להסביר מי צריך אוטנטיקציה: בראשונה הלקוח של SDP אחד צריך להזדהות בפני ה- SDP השני. בשנייה האפליקציה צריכה להזדהות בפני ה- SDP שמספק את הסרביס על מנת להשתמש בסרביס זה. מרכז אימות ספק שירות ג' 10

המערכת למערכת פונקציונליות המחולקת לשתי משימות אימות עיקריות בעלות קלטים, עיבוד נתונים, ומימושים שונים: א) Network Authentication – אימות רשת אחראי לאימות כניסת משתמשים לרשת. ב) SDP Authentication – אימות ספקי שירותים אחראי לאימות אפליקציות המעוניינות בקבלת שירותים.

Network Authentication אימות משתמשים בעזרת פרוטוקולי AAA: RADIUS DIAMETER המרת פרוטוקולים של בקשות אימות בהתאם לספקים RADIUS DIAMETER ניתוב הבקשה בין הספקים. רדיוס ודיאמטר הם שני פרוטוקולי אימות

SDP Authentication אימות אפליקציות בעזרת פונקציית תמצית MD5 ו-"סוד משותף" (Shared Secret). מימוש ממשקי Parlay שנכתבו ע"י ארגון התקינה האירופאי בתחום התקשורת ETSI –ממשקים ליצירת שפה משותפת בין אפליקציה למרכז האימות. מרכז האימות מקשר בין האפליקציה לבין השירותים הרלוונטיים. Parlay –designed by (ETSI) European Telecommunications Standards Institute - GSM

ארכיטקטורת המערכת מרכז אימות מרכז אימות EAP Proxy בקשת אימות Converter RADIUS Server DIAMETER Client (C / C++) Repository Parlay Framework EAP-MD5 Authenticator מרכז אימות (Java) בקשת אימות בקשת כניסה משתמש קצה נקודת גישה ספקי שירותים Basically each component is running on a different computer, but we can run some components on the same computer on different ports. System Architecture Description: The two main components of the Authentication Center that shall be developed are the EAP Proxy and the Parlay Framework. The EAP Proxy intended for network access authentication. Its functionality shall be fully implemented, including the protocols converter. In order to be able to receive RADIUS requests, we will use open source of RADIUS server. In a similar way, for sending DIAMETER requests, we will use open source of DIAMETER client. The use of those open source packages requires adjustments and integration with our system. The Parlay framework intended for application authentication upon request for service. Its functionality shall be fully implemented, including the EAP-MD5 Authenticator which is implementation of DIAMETER client in java (open source doesn't exist). The Parlay interfaces and implementation class files will be stored here. The Authentication Center includes a repository which serves both its main components. The repository contains tables: SDP_DATA, SERVICE_DATA, APPLICATION_AA. For the proof of concept we shall implement additional components in order to be able to simulate an authentication process fully. Parlay Compliant Application – Implementation of stub application which shall request services from the Authentication Center according to the Parlay Interface. The authentication process will start upon the announcement of services by the application. The connection between application and Authentication Center shall be over J2SE. SDP Authentication Server - In order to be able to receive DIAMETER requests, we will use open source of DIAMETER server adjusted to our needs and additional functionality for simulating authentication responses. Services Demo – Stub classes connected to the Authentication Center for simulating various services in order to demonstrate the end of successful application authentication process. For the authentication process simulation we will implement 2 friendly forms in order to start the process: Network Connection Request GUI – Trigger the network access authentication process via this form. This form simulates a user requesting network access. Service Request GUI - Trigger the application authentication process via this form. This form simulates an application announcing services it is going to use and executing them. Xsupplicant – Open source package with available UI that we shall use as the supplicant of the network. The Xsupplicant runs on Windows. Authentication Enforcer – State-Machine component for handling the handshake process and suspending the supplicant from connecting until positive authentication answer is received. For the communication with the Authentication Center it contains the RADIUS client package with extensions. Deployment: The EAP Proxy component will run on Linux, and the Parlay Framework component will run on Windows in two separated computers. The SDP Authentication Server, the Authentication Enforcer and the Parlay Compliant Application can run on separated machines or on the same machines but associated with different ports. DIAMETER server\client and RADIUS server\client will run on Linux. מרכז אימות בקשת שירות שירותים מדומים אפליקציה 15

ממשקי משתמש (1) אתחול בקשת אימות לרשת ללוות את המסכים בדוגמא מסבירה

ממשקי משתמש (2) אתחול בקשת אימות לאפליקציה ללוות את המסכים בדוגמא מסבירה

ממשקי משתמש (3) תהליך האימות במרכז האימות: Idle, Handshake, Authentication, Answer ללוות את המסכים בדוגמא מסבירה מכונת מצבים: ממתין, אתחול, מבצע אימות, תשובה

ללוות את המסכים בדוגמא מסבירה מכונת מצבים: ממתין, אתחול, מבצע אימות, תשובה 19

ממשקי משתמש (4) שירות "מצא מיקום נוכחי" של המכשיר ללוות את המסכים בדוגמא מסבירה

טכנולוגיות Parlay APIs RMI RADIUS DIAMETER C\C++ מערכות הפעלה שפות תכנות בסיס נתונים DIAMETER

תודות מנחים מהתעשייה - מר יחזקאל דנגור וכל Motorola Software Group מנחים מהתעשייה - מר יחזקאל דנגור וכל Motorola Software Group מנחה אקדמי - פרופ' אהוד גודס עוזר הוראה - מר בוריס רוזנברג מזכירת הנדסת תוכנה - גברת שרה ליבוביץ אשת החיל מי ימצא 22

מרכז אימות לפלטפורמת מתן שירותים מרכז אימות לפלטפורמת מתן שירותים תודה רבה !