„Bootstrapping Server Function“ – Versionsunterschied
| [gesichtete Version] | [gesichtete Version] |
Ocrho (Diskussion | Beiträge) K Typo |
|||
| Zeile 1: | Zeile 1: | ||
[[Bild:BSF.svg|thumb|right|BSF Positionierung]] |
[[Bild:BSF.svg|thumb|right|BSF Positionierung]] |
||
'''Bootstrapping Server Function (BSF)''' bezeichnet im [[Mobilfunk]] ein technisches Vermittlerelement zwischen einander zuvor unbekannten Endgeräten und Servern, welches die wechselseitige [[Authentifizierung]] und - darauf aufbauend - den Austausch geheimer Schlüssel gestattet. Hierdurch ist die Nutzung allgemeiner Zusatzdienste und Anwendungen möglich, die eine Authentifizierung und eine gesicherte Kommunikationsbeziehung voraussetzen, wie zum Beispiel [[DVB-H|Mobile TV]]. |
|||
== Funktionsweise == |
== Funktionsweise == |
||
=== Architektur === |
=== Architektur === |
||
Insgesamt beteiligt an der Unterhaltung einer solchen generischen Sicherheitsbeziehung sind (verkürzt) die folgenden Funktionselemente. Insgesamt bezeichnet man die Struktur und Wirkungsweise dieser Elemente als generische Authentifizierungsarchitektur (GAA) oder [[Generic Bootstrapping Architecture |
Insgesamt beteiligt an der Unterhaltung einer solchen generischen Sicherheitsbeziehung sind (verkürzt) die folgenden Funktionselemente. Insgesamt bezeichnet man die Struktur und Wirkungsweise dieser Elemente als generische Authentifizierungsarchitektur (GAA) oder [[Generic Bootstrapping Architecture]] (GBA): |
||
* Endgerät, z. B. ein Mobiltelephon, kurz |
* Endgerät, z. B. ein Mobiltelephon, kurz User Equipment (UE), das einen bestimmten Dienst nutzen will |
||
* Anwendungsserver, z. B. für Mobile TV, kurz |
* Anwendungsserver, z. B. für Mobile TV, kurz Network Application Function (NAF); stellt den Dienst bereit |
||
* |
* der Bootstrapping Server Function (BSF) selbst; vermittelt zwischen UE und NAF eine Sicherheitsbeziehung |
||
* ein [[Home Subscriber Server |
* ein [[Home Subscriber Server]] (HSS) des (Mobilfunk-)Netzproviders; verwaltet die jeweiligen benutzerspezifischen Profile seiner Endgerätebenutzer |
||
Der Begriff [[Bootstrapping (Informatik)|Bootstrapping]] meint hier die technische Funktion, zunächst zu einem vorher sicherheitstechnisch unbekannten Gerät eine Sicherheitsbeziehung aufzubauen, um dann jeweils im Gerät selbst und im BSF Sicherheitselemente (Schlüssel) installieren zu können. |
Der Begriff [[Bootstrapping (Informatik)|Bootstrapping]] meint hier die technische Funktion, zunächst zu einem vorher sicherheitstechnisch unbekannten Gerät eine Sicherheitsbeziehung aufzubauen, um dann jeweils im Gerät selbst und im BSF Sicherheitselemente (Schlüssel) installieren zu können. |
||
Im Wesentlichen werden die Protokolle [[ |
Im Wesentlichen werden die Protokolle [[Diameter (Protokoll)|Diameter]] und [[Hypertext Transfer Protocol|HTTP]] eingesetzt; u. U. kann zwischen BSF und NAF anstatt Diameter auch [[SOAP]] Verwendung finden. |
||
=== Ablauf === |
=== Ablauf === |
||
| Zeile 21: | Zeile 21: | ||
Die Sicherheitsbeziehung selbst, zwischen Endgerät und Server, verlässt dabei nie die Hoheit des (Mobilfunk-)Netzbetreibers, nur von dieser Sicherheitsbeziehung abgeleitete Daten (Schlüssel) können abgefragt und von Applikationen verwendet werden. |
Die Sicherheitsbeziehung selbst, zwischen Endgerät und Server, verlässt dabei nie die Hoheit des (Mobilfunk-)Netzbetreibers, nur von dieser Sicherheitsbeziehung abgeleitete Daten (Schlüssel) können abgefragt und von Applikationen verwendet werden. |
||
== |
== Normen und Standards == |
||
BSF ist standardisiert in den neueren Versionen der [[3GPP]] Standards: |
|||
* Generic Authentication Architecture (GAA) |
|||
BSF ist standardisiert in den neueren Versionen der [[3GPP]] Standards: GAA (Generic Authentication Architecture) und GBA (Generic Bootstrapping Architecture), siehe u.a. 3GPP TS 33.919, 33.220 24.109, 29.109 |
|||
* Generic Bootstrapping Architecture (GBA). |
|||
Details siehe u.a. 3GPP TS 33.919, 33.220 24.109, 29.109 |
|||
== Weblinks == |
== Weblinks == |
||
Version vom 3. Februar 2013, 15:56 Uhr
Bootstrapping Server Function (BSF) bezeichnet im Mobilfunk ein technisches Vermittlerelement zwischen einander zuvor unbekannten Endgeräten und Servern, welches die wechselseitige Authentifizierung und - darauf aufbauend - den Austausch geheimer Schlüssel gestattet. Hierdurch ist die Nutzung allgemeiner Zusatzdienste und Anwendungen möglich, die eine Authentifizierung und eine gesicherte Kommunikationsbeziehung voraussetzen, wie zum Beispiel Mobile TV.
Funktionsweise
Architektur
Insgesamt beteiligt an der Unterhaltung einer solchen generischen Sicherheitsbeziehung sind (verkürzt) die folgenden Funktionselemente. Insgesamt bezeichnet man die Struktur und Wirkungsweise dieser Elemente als generische Authentifizierungsarchitektur (GAA) oder Generic Bootstrapping Architecture (GBA):
- Endgerät, z. B. ein Mobiltelephon, kurz User Equipment (UE), das einen bestimmten Dienst nutzen will
- Anwendungsserver, z. B. für Mobile TV, kurz Network Application Function (NAF); stellt den Dienst bereit
- der Bootstrapping Server Function (BSF) selbst; vermittelt zwischen UE und NAF eine Sicherheitsbeziehung
- ein Home Subscriber Server (HSS) des (Mobilfunk-)Netzproviders; verwaltet die jeweiligen benutzerspezifischen Profile seiner Endgerätebenutzer
Der Begriff Bootstrapping meint hier die technische Funktion, zunächst zu einem vorher sicherheitstechnisch unbekannten Gerät eine Sicherheitsbeziehung aufzubauen, um dann jeweils im Gerät selbst und im BSF Sicherheitselemente (Schlüssel) installieren zu können.
Im Wesentlichen werden die Protokolle Diameter und HTTP eingesetzt; u. U. kann zwischen BSF und NAF anstatt Diameter auch SOAP Verwendung finden.
Ablauf
Das BSF wird vom Anwendungsserver (NAF) hinzugezogen, nachdem ein Endgerät bei diesem um Dienstzugang gebeten hat. Da der Anwendungsserver das Endgerät zu diesem Zeitpunkt noch nicht kennt, verweist er dieses zunächst weiter an das BSF. Das Endgerät und das BSF authentisieren sich nun beiderseits; dies geschieht mittels des Protokolls 3GPP AKA (Authentication and Key Agreement) und per Anfragen des BSFs an den Home Subscriber Server (HSS).
Anschließend einigen sich BSF und Endgerät (UE) auf einen Sitzungsschlüssel, der zum verschlüsselten Datenaustausch mit dem Anwendungsserver (NAF) genutzt werden soll. Wendet sich das Endgerät nun erneut an den Anwendungsserver, so kann dieser sowohl den Sitzungsschlüssel als auch benutzerspezifische Daten vom BSF beziehen und den Datenaustausch mit dem Endgerät (UE) beginnen. Dabei werden die passenden Sitzungsschlüssel zur kryptographischen Absicherung verwendet.
Die Sicherheitsbeziehung selbst, zwischen Endgerät und Server, verlässt dabei nie die Hoheit des (Mobilfunk-)Netzbetreibers, nur von dieser Sicherheitsbeziehung abgeleitete Daten (Schlüssel) können abgefragt und von Applikationen verwendet werden.
Normen und Standards
BSF ist standardisiert in den neueren Versionen der 3GPP Standards:
- Generic Authentication Architecture (GAA)
- Generic Bootstrapping Architecture (GBA).
Details siehe u.a. 3GPP TS 33.919, 33.220 24.109, 29.109