Autenticação em nível de sessão
A Autenticação em nível de sessão é um protocolo de segurança em nível de sessão que permite que duas LUs autentiquem uma à outra enquanto ativam a sessão. Também conhecida como verificação de LU-LU.
Como uma LU é efetivamente o gateway
para um sistema a
partir da rede, você pode considerar esse nível de autenticação como
suficiente em certas circunstâncias. Por exemplo, se seu gerenciador
de filas precisar trocar mensagens com um gerenciador de filas remoto
sendo executado em um ambiente controlado e confiável, você pode
estar preparado para confiar nas identidades dos componentes
restantes do sistema remoto após a autenticação da LU.
A autenticação em nível de sessão é conseguida por cada LU verificando a senha de seu parceiro. A senha é denominada uma senha de LU-LU porque é estabelecida uma senha entre cada par de LUs. A maneira que uma senha de LU-LU é estabelecida depende da implementação e está fora do escopo do SNA.
- A LU primária gera um valor de dados aleatório (RD1) e o envia para a LU secundária no pedido BIND.
- Quando a LU secundária recebe o pedido BIND com os dados aleatórios, ela criptografa os dados utilizando o algoritmo do DES com sua cópia da senha de LU-LU como a chave. A LU secundária, então, gera um segundo valor de dados aleatórios (RD2) e envia-o com os dados criptografados (ERD1) para a LU primária na resposta BIND.
- Quando a LU primária recebe a resposta BIND, ela calcula sua
própria versão dos dados criptografados a partir dos dados aleatórios
gerados originalmente. Ela o faz utilizando o algoritmo do DES com
sua cópia da senha de LU-LU como a chave. Então ela compara sua
versão com os dados criptografados recebidos na resposta BIND. Se os
dois valores forem iguais, a LU primária saberá que a LU secundária
tem a mesma senha que ela e a LU secundária será autenticada. Se os
dois valores não corresponderem, a LU primária encerrará a sessão.
A LU primária criptografa os dados aleatórios recebidos na resposta BIND e envia os dados criptografados (ERD2) para a LU secundária em um FMH-12 (Function Management Header 12).
- Quando a LU secundária recebe o FMH-12, ela calcula sua própria versão dos dados criptografados a partir dos dados aleatórios gerados por ela. Então ela compara sua versão com os dados criptografados recebidos no FMH-12. Se os dois valores forem iguais, a LU primária será autenticada. Se os dois valores não corresponderem, a LU secundária encerrará a sessão.
Em uma versão aperfeiçoada do protocolo, que fornece melhor proteção contra ataques humano intermediários, a LU secundária calcula um DES MAC (Message Authentication Code) a partir de RD1, RD2 e o nome completo da LU secundária, utilizando sua cópia da senha de LU-LU como a chave. A LU secundária envia o MAC para a LU primária na resposta BIND em vez de ERD1.
A LU primária autentica a LU secundária calculando sua própria versão do MAC, a qual ela compara com o MAC recebido na resposta BIND. Em seguida a LU primária calcula um segundo MAC a partir de RD1 e RD2, e envia o MAC para a LU secundária no FMH-12 em vez do ERD2.
A LU secundária autentica a LU primária calculando sua própria versão do segundo MAC, a qual ela compara com o MAC recebido no FMH-12.
Para obter informações sobre como configurar a autenticação em nível de sessão, consulte a documentação para seu subsistema SNA. Para obter mais informações gerais sobre autenticação de nível de sessão, consulte Systems Network Architecture LU 6.2 Reference: Peer Protocols, SC31-6808.