Autenticação em nível de sessão

A Autenticação em nível de sessão é um protocolo de segurança em nível de sessão que permite que duas LUs autentiquem uma à outra enquanto ativam a sessão. Também conhecida como verificação de LU-LU.

Como uma LU é efetivamente o gateway para um sistema a partir da rede, você pode considerar esse nível de autenticação como suficiente em certas circunstâncias. Por exemplo, se seu gerenciador de filas precisar trocar mensagens com um gerenciador de filas remoto sendo executado em um ambiente controlado e confiável, você pode estar preparado para confiar nas identidades dos componentes restantes do sistema remoto após a autenticação da LU.

A autenticação em nível de sessão é conseguida por cada LU verificando a senha de seu parceiro. A senha é denominada uma senha de LU-LU porque é estabelecida uma senha entre cada par de LUs. A maneira que uma senha de LU-LU é estabelecida depende da implementação e está fora do escopo do SNA.

Figura 1 ilustra os fluxos para autenticação de nível de sessão.
Figura 1. Fluxos para autenticação em nível de sessão
Este diagrama mostra os fluxos entre duas LUs para autenticação de nível de sessão. O pedido BIND da LU primária contém dados aleatórios gerados pela LU primária. A resposta BIND da LU secundária contém os dados aleatórios criptografados pela LU secundária e um segundo valor de dados aleatórios gerado pela LU secundária. A resposta do LU primário é um Function Management Header 12, que contém o segundo valor de dados aleatório criptografado pela LU primária.
O protocolo para autenticação em nível de sessão é o seguinte. Os números no procedimento correspondem aos números da Figura 1.
  1. A LU primária gera um valor de dados aleatório (RD1) e o envia para a LU secundária no pedido BIND.
  2. Quando a LU secundária recebe o pedido BIND com os dados aleatórios, ela criptografa os dados utilizando o algoritmo do DES com sua cópia da senha de LU-LU como a chave. A LU secundária, então, gera um segundo valor de dados aleatórios (RD2) e envia-o com os dados criptografados (ERD1) para a LU primária na resposta BIND.
  3. Quando a LU primária recebe a resposta BIND, ela calcula sua própria versão dos dados criptografados a partir dos dados aleatórios gerados originalmente. Ela o faz utilizando o algoritmo do DES com sua cópia da senha de LU-LU como a chave. Então ela compara sua versão com os dados criptografados recebidos na resposta BIND. Se os dois valores forem iguais, a LU primária saberá que a LU secundária tem a mesma senha que ela e a LU secundária será autenticada. Se os dois valores não corresponderem, a LU primária encerrará a sessão.

    A LU primária criptografa os dados aleatórios recebidos na resposta BIND e envia os dados criptografados (ERD2) para a LU secundária em um FMH-12 (Function Management Header 12).

  4. Quando a LU secundária recebe o FMH-12, ela calcula sua própria versão dos dados criptografados a partir dos dados aleatórios gerados por ela. Então ela compara sua versão com os dados criptografados recebidos no FMH-12. Se os dois valores forem iguais, a LU primária será autenticada. Se os dois valores não corresponderem, a LU secundária encerrará a sessão.

Em uma versão aperfeiçoada do protocolo, que fornece melhor proteção contra ataques humano intermediários, a LU secundária calcula um DES MAC (Message Authentication Code) a partir de RD1, RD2 e o nome completo da LU secundária, utilizando sua cópia da senha de LU-LU como a chave. A LU secundária envia o MAC para a LU primária na resposta BIND em vez de ERD1.

A LU primária autentica a LU secundária calculando sua própria versão do MAC, a qual ela compara com o MAC recebido na resposta BIND. Em seguida a LU primária calcula um segundo MAC a partir de RD1 e RD2, e envia o MAC para a LU secundária no FMH-12 em vez do ERD2.

A LU secundária autentica a LU primária calculando sua própria versão do segundo MAC, a qual ela compara com o MAC recebido no FMH-12.

Para obter informações sobre como configurar a autenticação em nível de sessão, consulte a documentação para seu subsistema SNA. Para obter mais informações gerais sobre autenticação de nível de sessão, consulte Systems Network Architecture LU 6.2 Reference: Peer Protocols, SC31-6808.