Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Estudio, diseño y evaluación de protocolos de autentificación para redes inalámbricas
Laura Itzelt Reyes Montiel Director de Tesis: Francisco José R. Rodríguez Henríquez Departamento de Ingeniería Eléctrica Sección de Computación CINVESTAV-IPN
2
Contenido Introducción Conceptos Generales
Protocolos de Seguridad en Redes móviles Protocolo de Negociación WTLS Implementación del Prototipo Resultados Obtenidos Conclusiones y Trabajo Futuro
3
Introducción Estándares inalámbricos emergentes o la no tan reciente tecnología celular aunada a nuevos protocolos permiten la interconexión de las redes actuales e Internet a dispositivos móviles. El intercambio de datos de alto valor es una práctica común para los usuarios de las redes inalámbricas. Las redes inalámbricas tienen un canal de comunicación peculiarmente inseguro. La movilidad se ha vuelto un requerimiento cada vez mayor dentro de los ambientes de trabajo y gracias a las redes inalámbricas se ha obtenido una movilidad real en los dispositivos móviles. Estándares inalámbricos emergentes tales como IEEE , o como la no tan reciente telefonía celular aunado a protocolos como el WAP permitirán la interconexión de las redes actuales e Internet a dispositivos móviles. La navegación por Internet a través de los dispositivos inalámbricos, hace que el intercambio de información por este medio, incluyendo datos de alto valor, sea una práctica común para los usuarios de las redes inalámbricas, por lo que actualmente se ha puesto un especial énfasis a la seguridad en tales medios de comunicación.
4
Introducción (2) Para tratar de atenuar este defecto,
Confidencialidad Integridad Disponibilidad Autentificación Para tratar de atenuar este defecto, se debe cumplir con los servicios de seguridad computacional. La autentificación es el proceso de verificar y asegurar la identidad de las partes involucradas en una transacción. Un sistema posee la propiedad de {\it confidencialidad} si los recursos manipulados por éste no son puestos al descubierto por usuarios, entidades o procesos no autorizados. Un sistema posee la propiedad de {\it integridad} si los recursos manipulados por éste no son alterados o destruidos por usuarios, entidades o procesos no autorizados. Un sistema posee la propiedad de {\it disponibilidad} si los recursos brindan servicio en el momento en que así lo deseen los usuarios, entidades o procesos autorizados. La {\it autentificación} es el proceso de verificar y asegurar la identidad de las partes involucradas en una transacción. Si este servicio no se llevara a cabo cabe la posibilidad de que una entidad desconocida asuma una identidad falsa, comprometiendo de esta manera la privacidad y la integridad de la información. La relación seguridad contra tiempo de procesamiento y transmisión se vuelve un punto altamente crítico. ancho de banda restringido latencia alta Problemas de redes inalámbricas:
5
Introducción (3) La seguridad es muy importante para que el desarrollo e implementación de las redes inalámbricas sean explotadas de manera eficaz y confiable. En este trabajo de tesis se aborda desde diferentes perspectivas a la autentificación: Redes de Área Local Inalámbrica Redes de Área Amplia Inalámbrica 802.11 Protocolo de Negociación WTLS (Wireless Transport Layer Security)
6
Conceptos Generales
7
Seguridad Computacional
Para garantizar la confiabilidad y la legalidad de las transacciones electrónicas es necesario satisfacer los requerimientos de la seguridad computacional. Privacidad Cifrado Descifrado Criptografía Autentificación Firmas digitales Integridad MAC No repudiación Firmas digitales
8
Criptografía de Llave Pública
La criptografía es el proceso de diseñar sistemas basados en técnicas matemáticas para obtener una comunicación segura en canales que no lo son. RSA y Criptografía de Curvas Elípticas (CCE)
9
Criptografía de Llave Pública
RSA basa su seguridad en la complejidad computacional que supone el Problema de Factorización Entera: “dado un entero positivo n, encuentre sus factores primos” CCE fundamenta su seguridad en el alto grado de dificultad que supone resolver el problema del logaritmo discreto en el grupo abeliano formado por curvas elípticas. De forma general, una curva elíptica se define como el conjunto de puntos que satisface la ecuación: donde a y b están en el campo finito
10
Protocolo Diffie-Hellman
Los protocolos de acuerdo de llaves son procesos donde un secreto compartido se hace disponible para dos o más entidades. Tales secretos son usados para derivar llaves de sesión. Uno de los protocolos más eficientes para el acuerdo de llaves es el algoritmo de Diffie-Hellman:
11
Autentificación ¿Los sistemas de llave pública requieren de un canal seguro para transportar la llave de cifrado? El ataque conocido como “intruso en medio” muestra como se puede burlar el modelo sin romper el criptosistema. Esto resalta la necesidad de autentificar a las llaves públicas para lograr una certificación del origen de datos de las llaves públicas.
12
Autentificación (2) La autentificación es cualquier proceso a través del cuál se demuestra y se verifica cierta información referente a un objeto. momento en que un documento fue enviado la identidad de una computadora o usuario la identidad del remitente origen de un documento Principales herramientas de la autentificación: las funciones hash las infraestructuras de llave pública la firma digital los certificados La firma digital provee a una entidad un medio para enlazar su identidad a una pieza de información.
13
Certificados El enlace de la información del usuario con la llave pública correspondiente a un usuario se realiza cuando una autoridad certificadora confiable firma digitalmente cada certificado. Un certificado incluye diferentes campos con información relativa a su propietario y a la autoridad certificadora que lo respalda.
14
802.11
15
Autentificación en 802.11 Autentificación de Sistema Abierto
El estándar IEEE especifica los parámetros de dos capas del modelo OSI: la capa física (PHY) y la capa de control de acceso al medio (MAC) Autentificación de Sistema Abierto Autentificación de Llave Compartida
16
WAP
17
WAP Actualmente dos tecnologías han revolucionado el mundo de la información: Internet y los dispositivos móviles. En la intersección de ambas se encuentra WAP, Wireless Application Protocol. WAP ofrece que el intercambio seguro de información por Internet sea una práctica común para sus usuarios Internet Dispositivos Móviles W P @
18
¿Qué servicios se pide de las terminales WAP?
Conversiones de tipos de moneda Acceso a correo electrónico Información de cuentas de banco Negociación de bonos y acciones Compras de bienes o servicios Tener a la mano resultados de eventos deportivos Aplicaciones vulnerables - Información sensible
19
Seguridad en WAP En el caso de WAP, los servicios de seguridad son proporcionados por la capa WTLS Arquitectura Otros Servicios Y Aplicaciones Capa de Aplicación Capa de Presentación Capa de Sesión Capa de Transacción Capa de Transporte Capa de Red Diversos medios ¿Qué servicios se pide de las terminales WAP? Conversiones de tipos de moneda Acceso a correo electrónico Información de cuentas de banco Negociación de bonos y acciones Compras de bienes o servicios Tener a la mano resultados de eventos deportivos
20
WTLS
21
WTLS WTLS Capa de Transacción (WTP) Capa de Transporte (WDP/UDP) Protocolo de Alerta Protocolo de Negociación Protocolo de EspCC Protocolo de Aplicación Protocolo de Registro La restricción de tiempo de retraso requiere que los datos lleguen dentro de un tiempo crítico predefinido. La variación en el tiempo de retraso requiere que el tiempo de retraso este delimitado de cierta manera. La velocidad de los datos especifica el ancho de banda requerido para dar soporte apropiado a las aplicaciones. Las aplicaciones altamente demandantes imponen requerimientos más estrictos en la red, es decir, velocidad de datos más rápidos, tiempo de retraso menor y una variación delimitada de tiempo de retraso. La QoS parametrizada es un requerimiento estricto de QoS el cual es expresado en términos de valores cuantitativos, tales como las tres métricas mencionadas anteriormente. En una especificación de Tráfico (TSPEC), se espera que estos valores cumplan con los servicios de datos de la capa MAC en la transferencia de tramas de datos en una comunicación punto a punto. La QoS priorizada se expresa en términos de la prioridad de entrega relativa, que será utilizada en el servicio de datos de la capa MAC en la transferencia de tramas de datos entre dos estaciones. En este esquema, los valores de QoS, tales como tiempo de retraso, variaciones en el tiempo de retraso y velocidad de datos pueden variar en la transferencia de las tramas de datos, sin la necesidad de reservar los recursos requeridos al negociar el TSPEC entre la estación y el punto de Acceso (AP). Protocolo de especificación de cambio de cifrado: indica la transición a la verdadera fase de transmisión utilizando los métodos de cifrado acordados. Protocolo de registro: administra la fragmentación de los mensajes y aquí se realizan los mecanismos necesarios para dar privacidad e integridad al usuario. El protocolo de aplicación: es la interfaz para las capas superiores. WTLS es el protocolo de seguridad de WAP. Está diseñado para hacer seguras las comunicaciones y las transacciones sobre redes inalámbricas. Protocolo de alerta: administra los avisos. WTLS proporciona Privacidad, Integridad y Autentificación.
22
Protocolo de Negociación de WTLS
La meta principal del protocolo de Negociación es establecer una sesión segura, para ello se genera una llave de sesión común entre el cliente y el servidor con la ayuda de los sistemas criptográficos de llave pública. WTLS admite el empleo de únicamente dos sistemas criptográficos de llave pública: RSA y CCE. Y los algoritmos para el acuerdo de llaves permitidos incluyen a RSA y a ECDH ( Elliptic Curve Diffie-Hellman).
23
Protocolo de Negociación Completo
Cliente Servidor hola del cliente Fase 1 hola del servidor certificado Fase 2 intercambio de llave del servidor Protocolo de Negociación Completo petición de certificado hola del servidor terminado certificado Fase 3 intercambio de llave del cliente verificación del certificado especificación de cambio de cifrador terminado Fase 4 especificación de cambio de cifrador terminado
24
Clases de Implementación de WTLS
WTLS Clase 1: Únicamente brinda privacidad e integridad de datos mediante un intercambio de llaves anónimo sin autentificación. WTLS Clase 2: Brinda privacidad e integridad de datos además de autentificación WAP a nivel del servidor. La restricción de tiempo de retraso requiere que los datos lleguen dentro de un tiempo crítico predefinido. La variación en el tiempo de retraso requiere que el tiempo de retraso este delimitado de cierta manera. La velocidad de los datos especifica el ancho de banda requerido para dar soporte apropiado a las aplicaciones. Las aplicaciones altamente demandantes imponen requerimientos más estrictos en la red, es decir, velocidad de datos más rápidos, tiempo de retraso menor y una variación delimitada de tiempo de retraso. La QoS parametrizada es un requerimiento estricto de QoS el cual es expresado en términos de valores cuantitativos, tales como las tres métricas mencionadas anteriormente. En una especificación de Tráfico (TSPEC), se espera que estos valores cumplan con los servicios de datos de la capa MAC en la transferencia de tramas de datos en una comunicación punto a punto. La QoS priorizada se expresa en términos de la prioridad de entrega relativa, que será utilizada en el servicio de datos de la capa MAC en la transferencia de tramas de datos entre dos estaciones. En este esquema, los valores de QoS, tales como tiempo de retraso, variaciones en el tiempo de retraso y velocidad de datos pueden variar en la transferencia de las tramas de datos, sin la necesidad de reservar los recursos requeridos al negociar el TSPEC entre la estación y el punto de Acceso (AP). WTLS Clase 3: Brinda privacidad e integridad de datos además de autentificación WAP tanto del servidor como del cliente.
25
Implementación del Prototipo
26
Detalles de Implementación
Se ha desarrollado un prototipo que simula la funcionalidad del protocolo de Negociación de WTLS. El prototipo está implementado en ANSI C. Las operaciones criptográficas se realizan con una biblioteca criptográfica conocida como RCT. El prototipo está compuesto de dos sistemas: el servidor y el cliente.
27
Servidor
28
Cliente
29
Resultados Obtenidos
30
Niveles de Seguridad en WTLS
El nivel de seguridad ofrecido con una llave RSA de 1024 bits es comparable al nivel ofrecido por CCE con las curvas 160P,163K,163R; asimismo, las curvas 224P,233K,233R exhiben un n nivel de seguridad comparable con una clave RSA de 2048 bits. Nivel de Seguridad proporcionado por CCE y RSA
31
Tiempos Obtenidos WTLS -Clase 1
Tiempos de ejecución obtenidos para CCE Tiempos de ejecución obtenidos para RSA
32
Tiempos Obtenidos WTLS -Clase 2
Tiempos de ejecución obtenidos para CCE Tiempos de ejecución obtenidos para RSA
33
Resultados Obtenidos
34
Diferencias en tiempo
35
Diferencias en Tamaño
36
Conclusiones
37
Conclusiones En trabajos teóricos se ha encontrado que el esquema de curvas elípticas ofrece niveles de seguridad comparables a los de RSA con tamaños de llave aproximadamente diez veces menores. ECC es en principio una mejor opción que RSA. La mayoría de las implementaciones de WTLS han optado por RSA.
38
Conclusiones (2) En este trabajo se ha realizado una simulación del protocolo WTLS, donde se ha obtenido resultados favorables para el protocolo WTLS cuando utiliza el sistema de criptografía de curvas elípticas. La diferencia entre utilizar curvas elípticas y RSA puede llegar a ser de varios ordenes de magnitud afectando esto al desempeño del protocolo de seguridad y en sí a la interfaz con el usuario.
39
Trabajo Futuro ¿Cuáles serán los resultados en el desempeño al mudar la parte de cliente a una plataforma móvil? ¿Se obtendrían los mismos resultados al implementar un esquema de autentificación similar al de WTLS en las redes o son necesarias otras consideraciones? ¿Cuál es la relación de los servicios de seguridad con la calidad de servicio?
40
Trabajos Publicados Reyes L. y Rodríguez F. Desempeño del protocolo de negociación de WTLS para curvas elípticas. En Congreso de Ingeniería Eléctrica CINVESTAV-IPN, Ciudad de México, 2003. Reyes L. y Rodríguez F. Estudio comparativo de los sistemas criptográficos de clave pública de WTLS. En Segundo Congreso Iberoamericano de Seguridad Informática, Ciudad de México, 2003. Reyes L. y Rodríguez F. Quality of security service for wireless LANs. En Congreso de Ingeniería Eléctrica CINVESTAV-IPN, Ciudad de México, 2003.
Presentaciones similares
© 2025 SlidePlayer.es Inc.
All rights reserved.