Blokada bezprzewodowa

Blokada bezprzewodowa to koncepcja ochrony uwierzytelnionych klientów sieci LAN lub WLAN , oferowana przez różnych dostawców w różnych kształtach funkcjonalnych i fizycznych. W przeciwieństwie do kluczy bezprzewodowych , zamek bezprzewodowy kładzie nacisk na automatyczne blokowanie, a nie tylko blokowanie przez przekroczenie limitu czasu lub odblokowanie.

Koncepcja zamka bezprzewodowego obsługuje inicjowanie klienta z uwierzytelnianiem i logowaniem jako rozwiązania z kluczem elektronicznym. Poza tym blokada bezprzewodowa obsługuje automatyczne wylogowanie po opuszczeniu przez użytkownika odblokowanego klienta sieciowego i niezależnie od warunków przekroczenia limitu czasu . Ochrona zaczyna działać, gdy zintegrowany lub połączony galwanicznie i sparowany odbiornik/nadajnik/odbiornik pozostaje połączony z chronionym obiektem klienckim, gdy tylko token bezprzewodowy zostanie oddzielony od klienta, przekraczając ustawioną maksymalną dozwoloną odległość, ogólnie ręczny zasięg wymagany do obsługi klawiatury dołączony do klienta.

Obecnie (2011-07) nie ma ogólnego standardu wspierającego interoperacyjność koncepcji zamków bezprzewodowych.

• Większość oferowanych rozwiązań z interfejsem radiowym oparta jest na standardzie ISO/IEC 18000-3 HF (13,56 MHz) pasywnych tagów RFID oraz specyfikacji czytników zbliżonych do komunikacji bliskiego zasięgu (NFC).
• Większość oferowanych procedur uwierzytelniania wykorzystuje infrastrukturę klucza publicznego (PKI) IETF .
• Wygodne rozwiązania wspierają obsługę pojedynczego logowania .
• bliskość profilu Bluetooth BLE obsługuje taką aplikację.

Zasady użytkowania

Token bezprzewodowy służy jako niezależny drugi czynnik uwierzytelniający. Lokalne parowanie tokena z chronionym obiektem klienta sieciowego jest procedurą uwierzytelniania. Personalizacja tokena z użytkownikiem jest działaniem przygotowawczym, które może być administrowane poza siecią. Przydzielone poświadczenia użytkownika będą obsługiwane z sieciowego serwera autoryzacyjnego w celu umożliwienia dostępu do danych i funkcji oraz z serwera uwierzytelniającego w celu uzyskania zezwolenia na dostęp do sieci i klientów.

Miernik odległości komunikacji bezprzewodowej ustawia chroniony obiekt na „zablokowany”, gdy tylko zostanie przekroczony ustawiony poziom odległości między sparowanym nadajnikiem a odbiornikiem bezprzewodowej transmisji sygnału. Chroniony obiekt powraca do stanu „odblokowany”, gdy tylko odległość się zmniejszy, a siła odbieranego sygnału przekroczy ustawiony limit. Nadajniki mogą być noszone przez właściciela obiektu, podczas gdy drugi element odbiornika jest dołączany do chronionego obiektu w celu logicznej ochrony do użytku tylko przez właściciela.

Podstawowy gadżet elektroniczny to bezprzewodowy token, który komunikuje się z odpowiednikiem przymocowanym do obiektu, którym ma być sterowany bezprzewodowo. Instrukcje obsługi dotyczące sposobu działania zalecają noszenie bardzo lekkiego żetonu alarmowego z naszyjnikiem, opaską na rękę lub w podobny sposób bezpośrednio przymocowanego do ciała. Bardzo niskie poziomy mocy transmisji zapewniają niski poziom zakłóceń elektromagnetycznych oraz całkowicie nieszkodliwą biologicznie pracę

Po ustawieniu obiektu do ochrony do pracy i wstępnym sparowaniu ze sobą dwóch bezprzewodowych urządzeń tokena, chroniony obiekt odmawia działania po przekroczeniu ustawionej odległości między tokenem a chronionym obiektem.

Zaawansowane rozwiązania oferują komunikację w oparciu o wystandaryzowane protokoły komunikacyjne oraz w oparciu o wystandaryzowane łącza interfejsów radiowych.

Proste rozwiązania wykorzystują pasywne tokeny RFID, co wymaga wyższego poziomu transmisji od czytnika przymocowanego do chronionego obiektu i podświetlenia tokena w celu odpowiedzi. Wybrane pasmo częstotliwości oraz dopuszczalna maksymalna moc transmisji określają możliwy zasięg odpowiedzi tokena w pobliżu chronionego obiektu.

Aplikacje

Aplikacja znana jest głównie z blokowania komputera w warunkach uwierzytelnionego logowania. Sterowanie chronionym obiektem działa z tokenem w rękach, pracując jako nadajnik-odbiornik (RFID pasywny) lub nadajnik sygnału nawigacyjnego (RFID aktywny). Obecnie niektóre podobne aplikacje są oferowane przez kilku dostawców bez nazwy iw ramach niegwarantowanej specyfikacji.

Normalizacja

Odpowiednim istniejącym standardem dla takiej aplikacji jest Bluetooth V4.0 Low Energy z 2009-12-17 z profilami Find Me i Proximity .

Tryby bezpieczeństwa

Opublikowane koncepcje bezpiecznej transmisji kluczy są publikowane w kilku kontekstach. Trwa standaryzacja w IETF ( PKI ), W3C ( XML ), ITU ( X.509 ). Zasadniczo dostępne są różne koncepcje wdrożenia solidnej koncepcji bezpieczeństwa:

• Aktywny token wysyła ustaloną tożsamość do odczytu przez odbiorcę (nieodporny na ataki)
• Transceiver wysyła początkowy kod w procedurze challenge-response, a aktywny token odpowiada na uzgodniony kod, aby zapobiec oszukańczym atakom
• Transceiver wysyła z różnymi poziomami mocy, aby stymulować różne poziomy odpowiedzi ze znacznika pasywnego
• Transceiver i token komunikują się dwukierunkowo w celu oszacowania czasu podróży ( czas lotu , TOF).
• Wysyłanie tokenów beaconingu z różnymi poziomami mocy w celu obsługi szacowania RSSI z odbiornikiem

Opcje metryk

Opcje metryk do wykrywania separacji chronionego obiektu i uwierzytelnionego użytkownika muszą uwzględniać różne zjawiska fizyczne, a tym samym oferować różnorodne przetwarzanie sygnału w celu przezwyciężenia

• propagacja wielościeżkowa
• ścieżki pośrednie i bezpośrednie
• zanikanie wielościeżkowe
• nadmierny zasięg pobliskich kolidujących nadajników
• większe populacje nadajników

Bezpiecznym podejściem jest oszacowanie czasu podróży za pomocą ultrakrótkich impulsów (np. UWB i CSS ), tanim podejściem jest oszacowanie RSSI z jedynie zmiennością poziomów mocy. ^{[ potrzebne źródło ]}

Dostępne produkty oparte na normach

Wiele aktualnych ofert produktowych w odniesieniu do standardów komunikacyjnych to tylko prototypy. Podstawowy projekt jest proponowany np. z przykładową ofertą firmy Texas Instruments wykorzystującą standard protokołu Bluetooth V4.0 low energy oraz z porównywalnymi propozycjami innych producentów chipów.

Krytycy

Obecnie (2011-07) nie ma w ofercie produktu certyfikowanego zgodnie z wymaganiami bezpieczeństwa ISO/IEC 15408. Jednak każde działające rozwiązanie jest lepsze niż nic w porównaniu z niezarejestrowanymi pozycjami roboczymi, które nie są obserwowane. ^{[ potrzebne źródło ]}

Bezpłatna implementacja

Dobrze znaną implementacją jest dostępne w systemach Linux i Windows rozwiązanie BlueProximity . Hosting na systemach typu PC pozwala na wykrywanie obecności telefonów komórkowych w pobliżu podłączonego do komputera klucza sprzętowego Bluetooth lub równoważnego interfejsu. Komputer blokuje się na urlopie. Zgłoszone i inne proste wady tego rozwiązania to:

• tylko lokalne blokowanie logicznie niezależne od innych środków bezpieczeństwa
• szeroką gamę ogólnej czułości odbiornika i dynamiki sprzężenia zwrotnego RSSI
• szeroki wybór wydajności nadajnika dostosowujący się do sprzężenia zwrotnego RSSI
• zmienną odległość blokowania z dowolną kombinacją nadajnika i odbiornika
• ręczne ustawienie parowania telefonu komórkowego i interfejsu komputera
• brak integracji z uwierzytelnianiem sieciowym i zarządzaniem autoryzacją
• brak integracji z zarządzaniem rolami użytkowników i poświadczeniami dostępu w celu uzyskania dostępu do aplikacji
• brak ochrony przed atakami MIM i inne istotne koncepcje ataków

Jednak to podejście oparte na Bluetooth jest najlepiej chronionym rozwiązaniem w porównaniu z innymi zastrzeżonymi podejściami bez środków porównywalnych z blokowaniem karty SIM telefonu komórkowego lub ochroną łącza Bluetooth.

Zalety

Podstawowe wymagania dotyczące infrastruktury z blokadą bezprzewodową są bardzo niskie. Nie ma żadnych dodatkowych wymagań dotyczących funkcji serwera poza standardami infrastruktury klucza publicznego. Wymóg dotyczący infrastruktury dotyczący włączenia odbiornika bezprzewodowego do chronionych obiektów poprzez integrację lub użycie kluczy sprzętowych jest aktualny. Wszystkie manipulacje mogą być wykrywane automatycznie. Mocowanie odbiornika/nadajnika w kluczu sprzętowym kształtowanie do chronionego obiektu można łatwo wykonać za pomocą portu USB. Niewielka aplikacja zabezpieczająca będzie wykorzystywać mechanizmy ochronne systemu operacyjnego chronionego obiektu. Ani klucz sprzętowy, ani chroniona jednostka nie mogą zostać naruszone, o ile zostanie wykryta jakakolwiek ingerencja w aplikację zabezpieczającą.

Główną zaletą bezprzewodowego blokowania jest automatyczne wylogowywanie. Stąd powszechny brak ostrożności ze strony użytkowników mobilnych może zostać w pełni zrekompensowany. Czynniki automatycznego uwierzytelniania sieci bezprzewodowej nie wymagają żadnej obsługi. Jedynym wymogiem dla użytkownika jest noszenie tokena bez żadnego klucza, co jest niezrównane pod względem komfortu i wartości funkcjonalnej. Bezprzewodowe blokowanie zapewnia dodatkowe zabezpieczenie sieci przed nieuczciwym dostępem i użyciem. Zgłaszane deficyty bezpieczeństwa przy uwierzytelnianiu drugiego czynnika można zrekompensować poprzez zmniejszenie wszelkich obciążeń związanych z przechowywaniem, obsługą i noszeniem takich czynników.

Moc nadawcza tokena bezprzewodowego dla obiektu może być bardzo niska w zakresie 1 mW, ponieważ wystarczy pokonać odległość między nośnikiem a chronionym przedmiotem. Jest to poziom, który nie powoduje szkód w żadnym środowisku ani nie może wystąpić interferencja elektromagnetyczna dla wrażliwych, tzn. ingerencja w urządzenia medyczne może zostać zlekceważona.

Bezprzewodowe blokowanie zapewnia najlepszą odporność na ataki polegające na de-uwierzytelnieniu . Oparta na ciągłym połączeniu wymiana zaszyfrowanych kluczy pomiędzy aktywnym tokenem a kluczem odbiornika zapewnia wystarczający poziom bezpieczeństwa przygotowany do certyfikacji zgodnie ze wspólnych kryteriów ISO/IEC 15408 . Początkowo szyfrowana wymiana kluczy oparta na połączeniu zapewnia niższy poziom bezpieczeństwa, który wydaje się wystarczający dla większości wymagań.

Niedogodności

Wszystkie znane podejścia do bezprzewodowego blokowania są albo zastrzeżone, albo po prostu standardem przemysłowym, jak np. ZigBee, ANT lub inne platformy komunikacyjne, stąd wymagają specjalnego parowania tokena i odbiornika/nadajnika wzgl. Przestrzeganie standardów bezprzewodowego interfejsu radiowego i protokołów komunikacji bezprzewodowej rekompensuje tę lukę w standaryzacji najwyższego poziomu.

Jednokierunkowa komunikacja między tokenem nawigacyjnym a kluczem sprzętowym odbiornika może zostać zhakowana za pomocą ataku typu Man-in-the-middle . Jednak inicjalizacja typu wyzwanie -odpowiedź oparta na połączeniu zapewnia znacznie wyższy poziom bezpieczeństwa.

Jasna specyfikacja zużycia baterii nie jest publikowana w ofertach wszystkich znanych dostawców.

Zobacz też

Koncepcje transmisji

• Bluetooth
• Bluetooth o niskim zużyciu energii
• Komunikacja bliskiego zasięgu
• Bezprzewodowa sieć PAN
• Infrastruktura klucza publicznego
• Mądry klucz
• WBAN
• WLAN
• IEEE 802.11
• IEEE 802.15.1
• IEEE 802.16