Un sistema di autenticazione per applicazioni di nomadic computing basato su tecnologia Bluetooth

Transcript

1 Tesi di laurea Un sistema di autenticazione per applicazioni di nomadic computing basato su tecnologia Bluetooth Anno Accademico Relatore Ch.mo prof. Stefano Russo Correlatore Ch.mo prof. Massimo Ficco Candidato Roberto Pietrantuono Matr. 885/3

2 Contesto e Obiettivi Nomadic Computing Problemi Dispositivi a risorse limitate Sicurezza Realizzazione di un sistema per: Autenticazione Indipendente dalla locazione Indipendente dal device Autorizzazione Servizi differenziati Profilo utente Caratteristiche device

3 Requisiti Progettazione Evitare autenticazione multiple Minimizzare interazione dell utente Soluzione Skip Authentication Disaccoppiamento tra utente e device. Oggetto Badge Contiene informazioni relative all utente Viene collegato al device con cui ci si intende connettere Sicurezza: separazione credenziali tra Badge e utente Portabilità

4 Progettazione Service Manager Responsabile dell avvio e chiusura del servizio e gestione delle connessioni Authentication Manager Responsabile di gestire l autenticazione User Possiede Device Connesso Badge Comunica Connection Authorization Manager Responsabile di autorizzare gli utenti sulla base del profilo e del MAC del Device. Comunica Authentication Manager Avvia Comunica Service Manager Comunica Avvia Authrozation Manager

5 Bluetooth Comunicazione via Bluetooth Larga diffusione Possibilità di far comunicare dispositivi eterogenei con poche risorse Sicurezza Bluetooth Spoofing Man-in in-the-middle PIN Length Soluzioni PIN lunghi Crittografia a chiave pubblica Sistemi Biometrici

6 Sicurezza Soluzione proposta: Metodi PAKE (Password( Password- authenticated Key Exchange) Implementazione semplice Poco Costosa (non è necessaria alcuna infrastruttura) Poco carico computazionale Sicurezza anche con Password brevi

7 Secure Remote Protocol (SRP) Metodo per l autenticazione l e lo scambio di una chiave di cirttografia basato sulla conoscenza di una password condivisa N.. numero primo safe g.. Generatore. s. Salt I. Username p.. Password H().. Funzione Hash One-way u.. Parametro casuale a,b. Parametri privati A,B.Parametri pubblici x. Chiave Privata v verifier Server: x = H(s, p) e v = g^x Client Server Server: I, A = g^a Entrambi: u = H(A, B) Client: s, B = kv + g^b Client: x = H(s, p) Client: S = (B - kg^x) ^ (a + ux) Client: K = H(S) Server: S = (Av^u) ^ b Server: K = H(S) Client Server: M = H(H(N) xor H(g), H(I), s, A, B, K) Server Client: H(A, M, K)

8 Sicurezza cookie Rischio di attacco basato su: Conoscenza del PIN Conoscenza dell Encryption key Bluetooth Conoscenza dell ID Utente Connessione entro lo SkipTime Soluzione Dictionary attack sul SessionID Accesso negato dopo tre tentativi per un tempo pari a t = SkipTime

9 Scenario Applicativo Access point HostAP MAC ID+MAC Badge+Device ADA MAC IP Address DHCP Server

10 BRIE (Bluetooth( Radio Identification Embedded) MICRO Module inizializza il modulo Bluetooth gestisce la procedura di autenticazione gestisce le porte di comunicazione UART UART Bluetooth Module comunica con il server Blueotooth I/O Management Port Bluetooth Module UART UART MICRO Module I/O Comunication Port UART Electronic Interface

11 Sviluppi futuri HandOver Gestione globale dei cookie Gestione della disconnessione Procedure di registrazioni e diffusione immediate Integrazione di eventuali schemi di sicurezza