You are on page 1of 13

Chapitre 03: Conception dun protocole

dauthentification pour les rseaux LTE


3.1

Introduction

Le service dauthentification garantit lidentit des correspondants ou des


partenaires qui communiquent. On distingue deux cas dauthentification
simple et un cas dauthentification mutuelle: [9]
Lauthentification de lentit distante. Elle garantit que le rcepteur
est celui souhait. Son action peut intervenir ltablissement de la
communication ou pendant le transfert des donnes. Son objectif
principal est la lutte contre le dguisement, galement appel
usurpation didentit (spoofing).
Lauthentification de lorigine. Elle assure que lmetteur est celui
prtendu. Le service est inoprant contre la duplication dentit.
Comme le prcdent, il sagit dauthentification simple.
Lauthentification mutuelle. Elle assure que les deux entits
mettrice et rceptrice se contrlent lune lautre.
Le service dauthentification est inutilisable dans le cas dun rseau
fonctionnant en mode sans connexion parce que lauthentification
ncessite un change entre les deux partenaires.
L'authentification sur les rseaux peut avoir plusieurs formes par
exemple

les

certificats

sont

un

moyen

d'authentification.

L'authentification cliente est un lment essentiel de la scurit rseau.


En peut distinguer deux formes d'authentification cliente:[10]
Authentification base sur un mot de passe: Presque tous les
serveurs permettent l'authentification cliente l'aide d'un nom, ou
pseudo, et d'un mot de passe. Le serveur maintient une liste des
noms et des mots de passe ; si un nom particulier est dans cette
liste, et que l'utilisateur fournit le bon mot de passe, le serveur
donne des droits daccs si non pas dacces.
Authentification base sur un certificat: L'authentification
base sur les certificats est une tape du protocole SSL (Secure
Sockets Layer). Le client signe numriquement des donnes
gnres alatoirement et envoie la fois ces donnes signes et
29

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
le certificat sur le rseau. Le serveur utilise les techniques de
cryptographie clef publique pour valider la signature et confirmer
la validit du certificat.
3.2

Proposition dun schma d'authentification pour

scuriser les rseaux LTE


Dans cette partie on va proposer notre schma dauthentification qui va
assurer une bonne scurit de nos rseaux LTE.
Notre proposition se base sur six parties qui sont:
1. Initialisation du systme.
2. Enregistrement des partis.
3. Joindre.
4. Diffusion du message avec signature.
5. Authentification.
6. Traage d'identits.

30

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE

Figure 3.1: Le schma dauthentification propos.


3.2.1 Initialisation du systme
Dans cette tape l'autorit de central gnre les paramtres de l'ensemble
du systme, ainsi que les paires des cls pour lui-mme. En outre le
gestionnaire de traage , la station de base (antenne 4G) et le groupe des
utilisateurs gnrer leurs propres paires des cls en fonction des
paramtres de cette tape.
AC (Autorit Centrale) fait les tapes suivantes:
~
Excutez BSetup (1) pour obtenir (q, g1, g1 ,e , G1, G2 , G3 ).

Slectionnez les fonctions de hachage cryptographique scuris:

H1(.):{0, 1}* G1
,
H2(.):{0, 1}* Z q
.

Choisir au hasard g2 de G1, et

Calculer:

Publier les paramtres du systme (q, g1,

y ac

x ac

g1

et

G2, G3, e), tandis que garder

de
~
y

ac

ac

31

ac

Z q
~x
= g1

.
ac

.
~
g

~
, g2, y ac , y ac , G1,

comme sa cl secrte.

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
GT (Gestionnaire de Traage) fait les tapes suivantes:

Choisir alatoirement x ,1 , r de Z q .

Calculer:
~
g1x

,1

~
g2 =
~
g2x

,1

/ r

r
~
g1

x ,2 =

x ,1 /

mod

~
y

La cl publique

~
rsultante du gestionnaire de traage est ( g2

~
y ), et la cl secrte correspondante est ( x ,1 ,

x ,2 ).

SB (Station de Base) fait les tapes suivantes:


x sb de Z q .
Choisir alatoirement
~
y sb = ~
g1x .
Calculer:
sb

~
La cl publique rsultante de la station de base est y sb , et la cl
secrte correspondante est

x sb

GU (Groupe dUtilisateur) fait les tapes suivantes:


x gu de Z q .
Choisir alatoirement
y gu

gx1

gu

Calculer:

La cl publique rsultante de la station de base est y gu , et la cl


secrte correspondante est

x gu

Noter que ltape dinitialisation du systme se termine quand tous


les membres de notre protocole dauthentification dterminez leurs paires
des cls (cl public et cl secrte), donc le but de ltape initialisation du
systme cest slectionner les paires des cls.

32

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
1- AC Excutez BSetup.
-Publier les paramtres du
systme.

x ac sa

-Garder

3- SB Fait des
calcule pour
obtenir:
-La cl publique

2- GT Fait des calcule pour


obtenir:
-La cl publique (

cl

~
g2 ,

4- GU Fait des calcule


pour obtenir:
-La cl publique

y gu

Figure 3.2: Ltape Initialisation du systme.


3.2.2 Enregistrement des partis

Dans cette tape, lautorit centrale mettra des certificats des cls
publiques pour la station de base, et le gestionnaire de traage sera
galement dlivrer des certificats de cls publiques pour le groupe des
utilisateurs.
Pour obtenir le certificat de la cl publique sur

~
y sb

a-partir de

lautorit centrale, chaque station de base devrait prouver la


connaissance de la cl secrte

x sb

correspondante. Aprs cela,

lautorit centrale va envoyer la station de base le certificat de cl


publique

cert sb

sur

~
y sb

et le gestionnaire de traage va envoyer

la station de base la liste de rvocation des certificats en cours, on


considre que lautorit centrale envoi toujours a le gestionnaire de
traage la liste des rvocations des certificats.

y gu

de le gestionnaire

de traage, chaque groupe des utilisateurs

doit prouver la

Pour obtenir le certificat de cl publique sur

connaissance de la cl secrte

33

x gu

correspondant. Il envoie

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
galement

~
y gu =

~
g1x

gu

au gestionnaire de traage via un canal

scuris et authentifi.
~
Si e( y gu , g1 ) = e(g1,

~
y gu ) dtient, le gestionnaire de traage

va envoyer le certificat de cl publique

cert gu

sur

y gu

au groupe

dutilisateur. Enfin, le gestionnaire de traage enregistre ( cert gu


y gu

) dans la liste des utilisateurs.


Quand la station de base et le groupe dutilisateur reoit des

certificats chacune de leur boss et quand le gestionnaire de traage


enregistre la liste des utilisateurs en peut dire que ltape deux
denregistrement des partis est termin.

1-AC mettra des


certificats des cls

2-GT va envoyer
au SB la liste de
rvocation des

4- Si e(

y gu

~
g1 ) = e(g1, ~
y gu ) le

GT sera galement dlivrer des

3-Il envoie galement

~
y gu =

la GT via un canal
5-Enfin GT enregistre (

cert gu

y gu

) dans la liste

Figure 3.3: Ltape Enregistrement des partis.


3.2.3 Joindre

34

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
Cette tape se produit quand un nouveau utilisateur veut accder ou
tablir une connexion avec une station de base, donc il doit tre un
membre du groupe dutilisateur aprs il peut connecter avec la station de
base qui correspond cet groupe utilisateur, cest une tape interactive
entre le groupe dutilisateur et la station de base.
Quand un utilisateur entre dans la plage de communication d'une
nouvelle station de base, ce dernier enverra le message de
demande d'aller chercher la cl publique de la station de base.
Aprs avoir reu le message de demande, la station de base
~
diffusera ( y sb

cert sb ).

~
Lors de la rception du ( y sb

cert sb ) de la station de base , le

~
groupe dutilisateur vrifie d'abord la validit de ( y sb

cert sb ), si

elle est invalide cette dernier envoie nouveau le message de


requte; sinon, il encrypte ( y gu

cert gu

y 'gu

C gu

( y ac )

x gu

Lorsque la station de base reoit

Obtenir: ( y gu

Vrifiez: si
y gu

cert gu

cert gu

et envoie le

rsultant la station de base, do

n est un lment alatoire de

, et

n ) en utilisant

~
y sb

la cl publique de la station de base


cryptogramme

cert gu ) du

C gu

C gu

, il fait les tapes suivantes ;

en utilisant

x sb .

existe dans la liste de rvocation, la validit de (

) et si e( y gu

cette tape.
Choisissez alatoirement
groupe
c2 =

cert g = ( c 1
r

g1

Z q

~
y ac ) = e( y 'gu

~
g1 ) dtient. Si

elles sont tous oui, passez l'tape suivante; si non

'

y gu

de

c2 )

Z q
par:

35

abandonner

et calculer le certificat de
c1 =

g2x ( y 'gu)r
sb

et

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE

Obtenir le cryptogramme
Obtenir la signature
C sb

S sb

de
sur ( C sb

cert g

en utilisant

y gu .

n ), et diffuse ( S sb

).

Sur rception ( S sb

C sb

, C sb

) de la station de base , le groupe

dutilisateur fait les tapes suivantes:


En utilisant n , le groupe dutilisateur peut identifier qui est valide (
S sb

, C sb

) est envoye.
Vrifiez la validit ( C sb , ).Si elle est valide , aller dans les

prochaines tapes; si non dposer les donnes.


Obtenir cert g de C sb
en utilisant x gu .

Vrifiez si e( c 1

~
g1 ) . e( c x2

gu

~
y ac )

~
e(g2 , y sb ). Si oui, le

groupe dutilisateur accepte son certificat de groupe

cert g =( c 1

c 2 ) ; sinon le groupe dutilisateur r-envoie le message de


demande.

36

5-En utilisant n, ledun


GU identifier
qui est valide (
Chapitre 03: Conception
protocole
S sb ,pour
C sb , les
n ) rseaux
dauthentification
est envoye. LTE
-Aprs certain oprations le GU accepte le
certificat de groupe certg si e(

c1 , ~
g1 ) . e(

4-la station de base fait


certain vrification sur
quelle reoit tell que si

cert gu existe dans la


3-Le GU encrypte
(

y gu
cert gu

,
,

y 'gu

n ) en

utilisant la cl

2-La SB
diffusera (

1-GU enverra le
message de demande
d'aller chercher la cl

Figure 3.4: Ltape Joindre.


3.2.4 Diffusion du message avec signature
Un seul message diffus par le groupe dutilisateur se compose de six
parties: ID de message, la charge utile, timestamp, TTL (Time To Live), ID
de groupe, signature.
LID de message indique le type de message, et la partie de la
charge utile contient les informations relatives au utilisateur lorsque le
groupe dutilisateur est mis en uvre, par exemple cas dune voiture il
indique a nous: la position, les vnements de circulation, et le temps de
l'vnement.
Noter que dans cette tape on sintresse beaucoup lhorodatage
parce que la partie d'horodatage indiquant le temps de gnration de
signature est d'empcher les attaques par rejoue. La partie TTL dcide
37

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
combien de fois il est autoris transmettre les donnes. La partie ID de
groupe est utilise pour identifier la station de base qui doit envoyer le
groupe de certificat au groupe dutilisateurs. La partie de la signature est
la signature du groupe dutilisateur sur les premiers cinq parties. Pour bien
faire l'horodatage et TTL travail, le protocole propos ncessite une
synchronisation de temps au moins dans la plage de communication dune
station de base.
En entre un message m {0,1}* le groupe dutilisateurs signe ce
message et diffuse la signature ainsi que m. Selon les dtails suivants:
r' , , ,

Choisir au hasard:

R-randomiser le certificat de groupe comme:


x gu r

( ( y ac ) )

Encrypte
et

'

~
5

~
g1x

pour le traage comme:

~
g1x

c2

~
y +

2 ) et ( ~
3

7 =

gu

et

~
3

~
4

8 =

.
9 =

H 1 (m) x

Lier toutes les valeurs ci-dessus ainsi que par: S 1

~
g1

~
4

~
5 ) ainsi que par:

Calculer la valeur raccordable comme:

c1

~
g2

H 1 (m)

1 =

'

2 =

gu

gr1 .

et

Lier ( 1

de

Z q

gu

6 =

2x

gu

.
2s

S2

10 = H 2

(m|| 1 |||| 9 || S 1 || S 2 )

s 10 x gu mod q

Diffuser (m,

1 , , 11 ) .

38

et

11 =

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
Un seul message diffus par le
GU se compose de six parties:
ID de message, la charge utile,
timestamp, TTL, ID de groupe,

ID de message, la
charge utile, timestamp,
TTL, ID de groupe,
signature.

ID de message, la charge utile,


timestamp, TTL, ID de groupe, signature.

Figure 3.5: Diffusion du message avec signature.


3.2.5 Authentification
Dans cette tape, le groupe dutilisateur vrifie la validit du reu ( 1 ,
,

11 ). Lorsque le nombre de valides ( 1 , ,

11 ) correspondant

aux mmes informations de trafic de m atteint un seuil t, le groupe


dutilisateur peut accepter les informations de trafic correspondant selon
sa politique d'authentification propre de seuil. Notez que le groupe
dutilisateur peut facilement vrifier si deux ( 1 , ,

11 )s sur le mme

message m sont gnrs par la mme groupe dutilisateur ou non, en


vrifiant si les valeurs de

9 s sont identiques ou non. Il est galement

facile de voir que la valeur de t pourrait tre change lorsque le groupe


dutilisateur veut.

39

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE
- Le GU vrifie la validit du reu (

1 , , 11 ) . -Si ( 1 , ,
11 ) correspondant aux mmes
informations de trafic de m atteint un

Figure 3.6: Authentification.


3.2.6 Traage didentits
Dans cette tape, le gestionnaire de traage rvle l'identit valide
correspondant une ( 1

, 2

, ,

11 ) sur un faux message m, et

envoie la liste de rvocation de la mise jour chaque station de base:


~
~
~x
~
x4 ) .
Rvler l'identit par: y gu = 5 / ( 3
~
Recherche ( y gu , cert gu ) dans la liste des utilisateurs, et ajoutez
(1)

(2)

cert gu dans la liste de rvocation.


Envoyer la mise jour de la liste des rvocations chaque station
de base via des canaux authentifis.

40

Chapitre 03: Conception dun protocole


dauthentification pour les rseaux LTE

1-Le
GT
rvle

3- Envoyer la
liste de
rvocation

2- Recherche dans la
liste des utilisateurs, et
ajoutez

cert gu dans

Figure 3.7: Traage didentits.

3.3

Conclusion

Dans ce chapitre, nous avons prsent un schma d'authentification pour


scuriser les rseaux LTE. Puis, nous avons prsent comment les
diffrents parties du rseau LTE (AC, GT, SB, EU) qui gnrent les pairs des
cls en utilisons des mthodes cryptographies.
Dans le prochain chapitre, nous allons valuer la performance de notre
schma utilisant l'outil NS-3, et la ralisation dune application java.

41

You might also like