Защита информации в сетях сотовой связи

Защита информации в системах беспроводной связи Конспект лекций назад | содержание | вперед 3  Защита информации в сетях сотовой связи 3.1  Сетевая инфраструктура и структурные компоненты сетей сотовой связи 2G/3G Эпоха цифровой сотовой связи началась в середине 80-х годов с успешной разработки европейским институтом ETSI стандарта сотовой связи GSM. Первый тестовый звонок на реальном оборудовании совершили в 1991 году в Финляндии. Стандарт Global System for Mobile Communications, или GSM (адаптированная версия оригинального названия Groupe Spécial Mobile) на сегодняшний день является самым популярным и широко распространенным во всем мире. Несмотря на то, что сегодня существуют более современные стандарты третьего поколения (UMTS) и четвертого поколения (LTE), голосовые звонки до сих пор преимущественно организованны по GSM. Причина такого диссонанса заключается в высоком качестве передачи речи по сравнению с новыми стандартами, которые больше предназначены для передачи трафика не критичного к задержкам. В 2000х годах появилась группа стандартов третьего поколения (3G), которая разрабатывалась с учетом полной синергии с сетями второго поколения. Из-за этого оба поколения используют одну и ту же сетевую архитектуру ядра и схожую архитектуру радиочасти: контроллер-базовые станции. Сетевая архитектура сотовых сетей второго и третьего поколений представлена на рис. 3.1. Рисунок 3.1 – Сетевая архитектура 2G/3G. Рассмотрим важные аббревиатуры. Для начала в сетевой архитектуре можно выделить подсистемы:   BSS – Base Station Subsystem – Подсистема базовых станций GSM (2G). Включает элементы BSC и BTS.   UTRAN – UMTS Terrestrial Radio Access System – Наземная система радиодоступа стандарта UMTS (3G). Включает элементы RNC и Node B.   NSS – Network and Switching Subsystem – Подсистема Коммутации, на рисунке выделена синим и желтым цветами с разделением на часть с коммутацией пакетов (Packet Switch) и часть с коммутацией каналов (Circuit Switch).   NMS = OSS – Network Management Subsystem or Operation Support System – Подсистема управления и мониторинга сети. На рисунке подсистема не обозначена, так как не стандартизирована и отдана на реализацию производителям оборудования. В реальной жизни представляет собой отдельный сервер, способный собирать статистику и осуществлять мониторинг всех элементов сети.   Теперь рассмотрим сетевые элементы:   MS – Mobile Station – Мобильная станция (сотовый телефон)   BTS – Base Transceiver Station (Базовая станция)   BSC – Base Station Controller (Контроллер базовых станций)   MGW – Media Gateway – Медиашлюз, осуществляющий функции транскодирования и коммутации.   MSC Server – Mobile Switching Center – Контроллер медиашлюза   VLR – Visited Location Register – Гостевой регистр   HLR – Home Location Register – Домашний регистр   AUC – Authentication Center – Сервер аутентификации   GGSN – Gateway GPRS Support Node – GPRS шлюз   SGSN – Serving GPRS Support Node – Обслуживающий узел GPRS   RNC – Radio Network Controller – Контроллер радио сети UMTS   Node B – UMTS базовая станция Подробно про каждый сетевой элемент можно прочитать в рекомендуемой литературе. Как показано на рис. 3.1 внутренние интерфейсы GSM организуются следующим образом. 1.      Интерфейс между мобильной станцией MS и базовой станцией (MS <=> Air-inierface <=> BTS), называемый часто Air-interface — эфирным интерфейсом или радиоинтерфейсом (иногда используется знак U — от англ. «User interface»), занимает особое место в сети GSM и определяет обмен информацией между: MS BTS. Ниже этот интерфейс будет рассмотрен более детально. Следует отметить, что радиоинтерфейс определен в сериях 04 и 05 рекомендаций ETSI/GSM. В 3G аналогичный интерфейс называется Uu. 2.      Интерфейс между BTS и BSC, так называемый A-bis interface, служит для связи BTS > A-bis > BSC и определен рекомендациями ETSI/GSM для процессов установления соединения и управления оборудованием. Передача информации осуществляется цифровыми потоками со скоростью 2,048 Мбит/с, при этом возможно использование физического интерфейса со скоростью цифрового потока 64 кбит/с. В 3G аналогичный интерфейс назвается Iub (Ай-ю-би). 3.      Интерфейс, называемый A-interface, между BSS и MSC (BSS A-interface MSC), обеспечивает передачу информации для управления BSS, передачу вызова и управления передвижением. А-интерфейс объединяет каналы связи и линии сигнализации, при этом последние используют протокол SS № 7 CCITT. Полная спецификация А-интерфейса соответствует требованиям серии 08 рекомендаций ETSI/GSM. В 3G аналогичный интерфейс называется Iu-CS. 5.      Интерфейс между MSC и HLR (MSC > C-interface > HLR), называемый C-interface, используется для обеспечения взаимодействия между MSC и HLR. Из MSC может быть послано указание в регистр HLR в конце сеанса связи для того, чтобы абонент мог оплатить разговор. Когда сеть стационарной телефонной связи не способна исполнить процедуру установления вызова мобильного абонента, MSC может запросить HLR с целью определения местоположения абонента для того, чтобы послать вызов MS. 6.      Интерфейс между регистрами HLR и VLR (HLR > D-interface > VLR), называемый D-interface. используется для расширения обмена данными о положении мобильной станции MS и управления процессом связи. Основные услуги, предоставляемые мобильному абоненту, заключаются в возможности передавать или принимать сообщения независимо от местоположения абонента. Для этого HLR должен обновить хранящуюся у него информацию. Регистр VLR информирует HLR о положении MS. VLR посылает все необходимые данные для обеспечения обслуживания MS. Подробнее об интерфейсах можно прочитать в рекомендуемой литературе.   3.2   Методы и алгоритмы обеспечения информационной безопасности в протоколах сотовой связи Ежедневно мобильные телефоны используются сотнями миллионов пользователей. Очень важно понимать, что в сравнении с обычной фиксированной телефонией, которая имеет некоторую степень физической защиты (т.е. чтобы прослушать телефон, нужен физический доступ к линии), мобильная телефония использует радио эфир и любой злоумышленник с приёмником способен пассивно принимать сигналы от мобильного телефона и базовой станции. Именно поэтому очень важно: 1.     Использовать адекватные технологические меры защиты для обеспечения приватности телефонных звонков и данных 2.     Предотвращать несанкционированный доступ к сети.   GSM спецификация 02.09 (может быть скачана с сайта http://www.3gpp.org) определяет три направления безопасности:   Аутентификация пользователя – это способность мобильного телефона доказать, что он имеет право доступа к учетной записи абонента, которая храниться в базе данных оператора (по сути в HLR);   Конфиденциальность сигнальной и пользовательской информации – вся сигнальная и пользовательская информация (такая как речевые пакеты, текстовые сообщения или сигнальные сообщения) должна быть защищена от перехвата с помощью шифрования;   Конфиденциальность самого пользователя – основано на том, что уникальный для каждого пользователя IMSI (International Mobile Subscriber Identity – Международный Мобильный Идентификатор Пользователя) не должен быть раскрыт во время процесса аутентификации или адресации пользователя в сети. Это означает, что кто-либо, перехватывающий сообщения, не смог узнать о присутствии конкретного абонента в радиусе перехвата. 3.2.1  Алгоритмы аутентификации в сети GSM Аутентификация абонента осуществляется с помощью SIM-карты. SIM, Subscriber Identity Module (Модуль Идентификации Абонента) – это маленькая смарт-карта, которая вставляется в GSM телефон. Сам по себе телефон не имеет привязки к конкретной GSM сети (оператору), вся необходимая информация для выхода в сеть конкретного оператора хранится на SIM. . По большому счету необходимо всего лишь два параметра: 1. IMSI – уникальный номер для каждого абонента в мире. Он включает в себя информацию о домашней сети абонента и стране, в которой IMSI был выдан. Эта информация может быть считана с SIM-карты при непосредственной попытке доступа мобильного телефона к ней (обычно SIM-карта защищена простым цифирным PIN кодом). IMSI представляет собой набор из 15 десятичных цифр, первые 5 или 6 из которых указывают на страну и сеть конкретного оператора (например, 50501 для «Telstra», Австралия, прим.пер.: 25001 – Россия, МТС; 25002 – Россия, Мегафон ). 2. Ki – корневой ключ для шифрования. Это случайно сгенерированная последовательность из 128 бит (128 единиц и нулей), присвоенная конкретному абоненту, которая необходима для генерации всех ключей и псевдослучайного потока двоичных элементов, использующихся в системе GSM. Ki хранится только в SIM карте и в центре аутентификации сети (AuC – Authentication Center). Сам по себе телефон не считывает Ki из SIM карты - это запрещено, а лишь передает необходимые параметры для вычисления всех ключей, используемых в процессе шифрования. Аутентификация и генерация ключей происходит внутри самой SIM карты, что возможно благодаря микропроцессору внутри неё.   Рисунок 3.2 - Концепция аутентификации с помощью SIM карты. Сама по себе SIM карта опционально может быть защищена PIN кодом (Personal Identification Number – Персональный Идентификационный Код). PIN нужно вводить с клавиатуры телефона, после чего телефон передает его на SIM карту для проверки. Если код не соответствует хранимому в SIM карте коду, тогда SIM карта информирует об этом пользователя, выдавая на экран телефона специальное сообщение о том, что код не верный. SIM карта отказывается производить аутентификацию пользователя в сети до тех пор, пока пользователь не введет верный PIN. Кроме того, SIM карта «заблокируется» после некоторого количества неправильных попыток ввода PIN кода (обычно после трёх). Если это случится, необходимо будет ввести PUK код (Pin UnlocK), который обычно выдаётся оператором. Если и PUK код был введен не правильно (обычно до 10 попыток), то SIM карта полностью блокируется навсегда, отклоняя все попытки доступа к ней. Теперь, когда мы знаем, что у оператора и в SIM карте есть ключ Ki, становиться понятным следующее – SIM карта, по сути, нужна для того, чтобы хранить Ki и осуществлять с помощью этого ключа процесс аутентификации. Конечно, наиболее простой способ аутентификации – это просто передать ключ Ki тогда, когда сеть оператора его запрашивает, но, очевидно, что это не безопасно, так как Ki может быть попросту перехвачен злоумышленником. Вместо этого сеть генерирует 128-битовую случайную последовательность, известную как RAND. Далее RAND отсылается на телефон абонента, после чего и в AuC (в сети оператора, рис. 3.3) и в SIM карте с помощью математического алгоритма А3 ( рис. 3.2) вычисляется «средство аутентификации» - 32-битовая последовательность SRES. Далее телефон отсылает вычисленный SRES в сеть, где он сравнивается с тем, что вычислила сеть. Если SRES телефона совпадает со SRES сети, значит Ki были одинаковые (с высокой математической вероятностью), и телефон подтвердил что обладает нужным Ki, а значит может быть аутентифицирован. Последовательность RAND должна быть всё время разной. Иначе, если она будет всё время одинаковой, злоумышленник может прикинуться абонентом, выслав перехваченный SRES. Рисунок 3.3 – Принцип вычисления SRES для аутентификации   Рисунок 3.4 –Процедура аутентификации   Рассмотрим подробнее показанную на рис. 3.4 процедуру:   (перед процедурой) – сеть генерирует последовательность RAND и вычисляет SRES для этого абонента. 1.     Телефон или сеть инициировали установление соединения. На этом этапе происходит выделение канала сигнализации между сетью и мобильным устройством (MS). 2.     Телефон передает свой идентификатор. Все возможные сообщения, которые передаются в начале соединения, содержат поле идентификации. Для того, чтобы избежать передачи IMSI в незашифрованном виде (т.е. чтобы злоумышленники не узнали о попытке доступа к сети конкретного абонента), необходимо использовать TMSI (Temporary Mobile Subscriber Identity – Временный идентификатор мобильного пользователя). Подробнее этот процесс будет обсуждаться позже в этой статье. 3.     Сеть отсылает сообщение «AUTHENTICATION REQUEST» (Запрос на аутентификацию), которое содержит последовательность RAND. 4.     Телефон принимает последовательность RAND и передаёт его SIM карте в команде «RUN GSM ALGORITHM» (Запустить GSM алгоритм). 5.     SIM карта запускает A3 алгоритм и возвращает последовательность SRES телефону. 6.     Телефон предает SRES в сеть в сообщении «AUTHENTICATION RESPONSE» (Ответ на аутентификацию). 7.     Сеть сравнивает принятый от телефона SRES и SERS, который вычислила сама. Если они совпадают, тогда устройство аутентифицировано. Иначе, сеть решает либо повторять процедуру аутентификации с использованием IMSI (в случае если в первый раз использовался TMSI), либо сеть отсылает сообщение «AUTHENTICATION REJECT» (Отказ в аутентификации).   Ошибка аутентификации Если при попытке аутентификации использовался TMSI, и попытка закончилась неудачно, сеть может инициировать повторную аутентификацию с использованием IMSI. Если же и эта попытка закончиться неудачей, радио-соединение разрывается и с этого момента мобильный телефон считает SIM карту неработоспособной (недействительной) до тех пор, пока телефон не будет перезагружен или не будет вставлена другая SIM карта.   Подробнее об алгоритме A3 Сам по себе термин «алгоритм A3» не означает использование какого-то определенного математического алгоритма – это общее название алгоритма вычисления SRES. Другими словами, алгоритм A3 не стандартизирован и по факту конкретная реализация алгоритма выбирается сотовым оператором. Самыми распространенными реализациями алгоритма A3 являются COMP128v1 и COMP128v2 (советую почитать статью об алгоритме здесь: http://ru.wikipedia.org/wiki/A3_(%D1%88%D0%B8%D1%84%D1%80) ). На самом деле оба этих алгоритма реализуют функционал и A3 и A8 алгоритмов (алгоритм генерации ключа шифрования A8 будет обсуждаться ниже). Всякий раз, когда SIM карта вычисляет SRES (по команде «RUN GSM ALGORITHM»), она так же вычисляет новый Kc (ключ для шифрования – будет обсуждаться ниже). Таким образом, процедура аутентификации выполняется не только в момент проверки пользователя, а ещё и в том случае, если сеть хочет сменить ключ для шифрования. 3.2.2  Методы шифрования в GSM Шифрование используется для защиты пользовательской и сигнальной информации от перехвата. В системах GSM используется симметричный метод криптографии, когда данные шифруются алгоритмом, использующим в качестве «сида» (англ. seed) специальный ключ для шифрования –Kc. Абсолютно идентичный ключ Kc используется на приемной стороне для дешифрования. Идея такого принципа заключается в том, что ключ Kc знает только телефон и сеть. В этом случае все зашифрованные данные с точки зрения злоумышленника выглядят, как случайный набор бит.   Рисунок 3.5 – Общий принцип передачи шифрованных данных   Кроме того, ключ Kc должен постоянно меняться на тот случай, если злоумышленник случайно узнает его. Метод получения ключа Kc телефоном очень тесно связан с процедурой аутентификации, которая обсуждалась ранее. Всякий раз, когда запускается алгоритм A3 (вычисление SRES), вместе с ним запускается алгоритм A8 (т.е. SIM карта запускает эти два алгоритма одновременно). Алгоритм A8 использует последовательность RAND и ключ Ki для того, чтобы вычислить 64-битный ключ для шифрования Kc, который сохраняется в SIM карте так, что телефон без труда может его прочитать. Сеть проделывает то же самое и передает ключ Kc базовой станции BTS (Base Transceiver Station), которая в дальнейшем шифрует данные, перед тем как передать телефону.   Рисунок 3.6 – принцип вычисления ключа Kc.   В любой момент сеть может заставить телефон начать шифровать данные с помощью вычисленного ключа Kc. Сеть поддерживает несколько алгоритмов шифрования и должна выбрать тот алгоритм, который поддерживается телефоном (информация о возможностях шифрования телефона содержится в специальном сообщении «Classmark message», которое телефон передает после аутентификации). Шифрование потока данных происходит следующим образом: генерируется псевдослучайная последовательность двоичных элементов (блок для шифрования) и поэлементно между ним и данными выполняется операция сложения по модулю 2 (XOR). После этого зашифрованная последовательность готова к передаче в радио интерфейсе. На приёмной стороне принятая последовательность так же XOR-ится с блоком для шифрования, который сгенерирован тем же способом, что и на передаче. Блок для шифрования на передаче и на приеме будет одинаковый, если и там и там будут одинаковые ключи Kc. Рисунок 3.7 – Принцип шифрования данных В качестве входных данных алгоритм A5 так же использует значение COUNT – это последовательный номер TDMA фрейма в структуре одного гиперфрейма. Как известно в одном гипер фрейме = 26х51х2048 = 2 715 648 TDMA фреймов. Т.е. значение COUNT = 0…2 715 647. После вычисления псевдослучайной последовательности для одного GSM пакета (2 блока по 57 бит = 114 бит для GMSK модуляции, или 348 бит для 8-PSK) внутреннее состояние алгоритма А5 полностью обнуляется. В случае если мобильному телефону выделен не один таймслот а несколько (мультислотовая передача), то перед вычислением шифро-блока выполняется операция XOR между 32-34 битами последовательности Kc и 3-битовым номером тайм слота (0-7).   Алгоритм шифрования Как уже было сказано ранее, сеть может выбирать любой из семи различных алгоритмов шифрования (или не использовать шифрование вообще), но выбрать необходимо тот, который поддерживается телефоном. На сегодняшний день существует три алгоритма – A5/1, A5/2 и A5/3. A5/1 и A5/2 – это алгоритмы, описанные в GSM стандарте изначально, реализованные на простейшем регистре сдвига с обратной связью (Linear feedback shift register, LFSR). Алгоритм A5/2 был специально разработан менее криптостойким для экспорта в страны второго и третьего мира, в то время как алгоритм A5/1 использовался в таких странах как США, Англия и Австралия. Алгоритм А5/3 был добавлен в 2002 году и в целом основывается на открытом алгоритме Касуми, разработанном инженерами 3GPP.   Анонимность Как уже подчеркивалось ранее, одна из главных задач безопасности в GSM – это полный отказ от передачи IMSI (International Mobile Subscriber Identity) в незашифрованном виде по радио каналу. Такой подход позволяет избежать перехвата IMSI и тем самым предотвратить возможность определения местоположения конкретного абонента злоумышленником. Такой подход реализуется использованием TMSI (Temporary Mobile Subscriber Identity) в качестве адреса для телефона, который действует только внутри одной LA (Location Area – Зона Местоположения или зона пейджинга). Каждому абоненту присваивается 32-битный TMSI, который позволяет идентифицировать абонента при подключении (если звонок инициирует абонент) или вызвать этого абонента с помощью процедуры пэйджинга («пропейджить», если звонок инициирует сеть). TMSI обновляется как минимум каждый раз во время процедуры Location Update (Обновление Зоны Местоположения, т.е. когда телефон меняет LA или после определенного периода времени). Кроме того, сеть может самостоятельно инициировать смену TMSI в любой момент времени. Новый TMSI передаётся в зашифрованном виде всякий раз, когда это возможно. Таким образом, злоумышленник не сможет отследить смену старого TMSI на новый. Рисунок 3.8 – Процесс смены TMSI (если LA не поменялась или поменялась во время разговора) Рисунок 3.9 – Процесс смены TMSI (в результате смены LA в режиме ожидания) Телефон должен хранить TMSI в энергонезависимой памяти (чтобы он не исчез после выключения-включения телефона). Обычно TMSI храниться в SIM карте. Изначально у телефона, конечно же, нет TMSI, поэтому для адресации используется IMSI. При первой попытке доступа к сети после включения шифрования телефону назначается первый TMSI. Сам по себе TMSI привязан к Зоне Местоположения (LA) и информация о соответствии TMSI – IMSI хранится в VLR (Visitor Location Registry - Гостевой Регистр Местоположения), который обслуживает эту зону. Кроме того, если телефон переместился в зону обслуживания другого VLR, новый VLR может запросить информацию о TMSI абонента со старого VLR.   Распространение информации об аутентификации и авторизации по сети Как уже обсуждалось ранее, первичным ключом для вычисления других ключей для шифрования и аутентификации является Ki, который хранится только в SIM карте и в центре аутентификации (AuC) в сети. На практике AuC является частью HLR – Home Location Register – Домашний Регистр Местоположения. Таким образом, когда какому-то VLR, обслуживающему один или более MSC (Mobile Switching Center – Центр Мобильной Коммутации) и обеспечивающему управление мобильностью абонентов (MM – Mobility Management) в зоне обслуживания, необходимо аутентифицировать абонента, он должен получить информацию об этом абоненте из HLR. НО, передача ключа Ki от HLR к VLR может быть небезопасна, особенно если абонент находится в роуминге, то Ki может быть перехвачен при передаче по международным сетям. Более того, постоянные запросы, поступающие на HLR во время каждой аутентификации, могут привести к значительному увеличению нагрузки на сервер HLR. Вместо этого, HLR высылает целый набор аутентификационных векторов, каждый из которых содержит SRES, Kc и RAND для определенного IMSI, который указал VLR. Это значительно сокращает сигнальную нагрузку, при этом сохраняет ключ Ki в секрете. Кроме того, когда абонент перемещается между VLR, новый VLR может запросить неиспользованные вектора аутентификации у старого VLR. Рисунок 3.10 – Передача информации между VLR в процессе аутентификации. Рисунок 3.11 – Передача вектора аутентификации в VLR. Реализация А3, А8 Несмотря на то, что структура системы GSM позволяет выбирать оператору любой из понравившихся алгоритмов A3&A8, большинство операторов выбирают алгоритм COMP128, который разрабатывался в секрете Ассоциацией GSM. На самом деле, алгоритм COMP128 стал известен широким кругам после частичной утечки сведений и восстановления по этим данным исходного алгоритма. В результате были найдены серьёзные уязвимости алгоритма. После этого некоторые GSM операторы перешли к использованию алгоритма COMP128-2 - новой реализации A3/A8. Это был абсолютно новый алгоритм, разработка которого велась в строгом секрете. Похоже, что этот алгоритм сохранил недостатки алгоритма COMP128, несмотря на то, что ещё не подвергся широкому публичному исследованию. Кроме того, можно использовать алгоритм COMP128-3, который является упрощённой версией алгоритма COMP128-2, но все 64 бита ключа Kc вычисляются так, что позволяют достичь максимальной криптостойкости алгоритма A5 (COMP128-2 просто обнуляет 10 крайних правых бит ключа Kc). 3.2.3  Алгоритмы аутентификации в сети UMTS Материал взят из книги Х. Кааранен, А. Ахтиайнен и др., «Сети UMTS. Архитектура, мобильность, сервисы», перевод с английского Н.Л. Бирюкова, М: Техносфера, 2007. Глава 9.   В глобальной системе мобильной связи GSM аспекты безопасности сосредоточены на защите радиоканала (т. е. части сети доступа). В сетях универсальной мобильной телекоммуникационной системы UMTS безопасность представляет более широкое понятие. Естественно, соединения в сети доступа должны быть защищены, но кроме этого, безопасность должна учитывать и многие другие аспекты. Различные сценарии предоставления услуг на рынке связи приводят к тому, что иногда даже конфиденциальная информация передается между разными пользователями и сетями. Очевидно, что в такой ситуации существуют очень серьезные риски. Кроме того, местные и международные органы власти издают директивы по этому вопросу. Система UMTS интегрирует связь и передачу данных, а это, в свою очередь, создает угрозу безопасности. Безопасность в среде интернет-протокола (IP) была предметом обсуждения в течение многих лет, и за эти годы были выявлены многочисленные угрозы безопасности и разработаны механизмы защиты. Более подробное описание вопросов безопасности UMTS дано в работе Ниеми и Найберга (2003). UMTS Security, Valtteri Niemi and Kaisa Nyberg, Nokia Research Center   Безопасность доступа в UMTS Переход от аналоговых систем 1-го поколения к цифровым системам 2-го поколения позволил, среди прочего, использовать современные криптографические методы. Наиболее важными особенностями безопасности систем GSM являются:    аутентификация пользователя;    шифрование информации на радиоинтерфейсе;    использование временных идентификаторов. По мере того как системы GSM и другие системы 2-го поколения приобретали все большую популярность, ценность этих основных особенностей безопасности становилась все более очевидной. Естественно, что руководящим принципом при составлении технических требований к безопасности в UMTS было сохранение этих особенностей и в новой системе. Успех систем GSM подчеркивает и присущие им ограничения с точки зрения безопасности. Популярная технология является привлекательной для мошенников. Свойства GSM, которые больше всего подвергались критике, следующие:    В принципе на сеть возможны активные атаки: это касается тех, кто использует оборудование, выдаваемое за легитимный сетевой элемент и/или легитимный абонентский терминал (сценарий см. на рис. 3.12).    Конфиденциальные данные (например, ключи, используемые для шифрования на радиоинтерфейсе) передаются между различными сетями без шифрования.    Некоторые компоненты архитектуры безопасности сохраняются в тайне (например, криптографические алгоритмы). Это не вызывает к ним доверия, поскольку они, с одной стороны, публично недоступны (не могут быть проанализированы с помощью новых методов) и, с другой стороны, рано или поздно все тайное становится явным.    Ключи, которые используются для шифрования радиоинтерфейса, в конечном итоге становятся уязвимы к массивным прямым лобовым атакам, когда кто-то пробует все возможные ключи, пока один из них не подойдет. Рисунок 3.12 - Активная атака Эти ограничения были умышленно оставлены в системе GSM. Угроза, которую они представляют, рассматривалась как несерьезные последствия по сравнению с дополнительными расходами, связанными с попытками их устранить. Однако по мере развития техники, нарушители получают доступ к лучшим средствам. Именно поэтому в результате аналогичного сравнения расходов в системах 3-го поколения был сделан другой вывод. Для систем UMTS были разработаны контрмеры с учетом недостатков GSM. Это еще один главный принцип, которым руководствовались при проектировании архитектуры безопасности в 3G. Наиболее важными средствами обеспечения безопасности доступа в UMTS являются:    взаимная аутентификация пользователя и сети;    использование временных идентификаторов;    шифрование в сети радиодоступа (RAN);    защита целостности сигнализации в наземной сети доступа UMTS (UTRAN). Отметим, что для шифрования и защиты целостности используются публично доступные криптографические алгоритмы. Алгоритмы для взаимной аутентификации определяются операторами. Детальная информация приведена в спецификации TS 33.102 проекта 3GPP.   Взаимная аутентификация Механизм аутентификации в системе UMTS включает три объекта:    домашняя сеть:    обслуживающая сеть SN[1];    терминал, а именно универсальный модуль идентификации абонента USIM[2]. обычно реализованный в смарт-карте. Основная идея заключается в том, что обслуживающая сеть SN проверяет идентичность абонента (как в GSM) с помощью так называемого метода «оклик-отзыв», в то время как терминал проверяет, имеет ли данная сеть SN санкцию домашней сети. Последняя проверка представляет собой новую процедуру сети UMTS (по сравнению с GSM), и с ее помощью терминал может удостовериться, что он подключен к легитимной сети. Сам по себе протокол взаимной аутентификации не мешает сценарию, показанному на рис. 3.12, но (вместе с другими механизмами безопасности) он гарантирует, что активный нарушитель не может воспользоваться ситуацией. Единственной возможностью для него остается разрушение соединения. Тем не менее понятно, что не существует протокольных методов, которые могут полностью преодолеть этот тип атаки (например, нарушитель может выполнить злоумышленное действие, используя радиопомехи). В основе механизма аутентификации лежит мастер-ключ (главный ключ) К, совместно используемый абонентским модулем USIM и базой данных домашней сети. Это постоянная секретная комбинация длиной 128 бит. Ключ К никогда не становится видимым между двумя точками сети (например, абонент не знает свой мастер-ключ). Одновременно с взаимной аутентификацией создаются ключи для шифрования и проверки целостности. Это временные ключи такой же длины (128 бит). Новые ключи получают из постоянного ключа К во время аутентификации. Основной принцип криптографии заключается в ограничении использования постоянного ключа до минимума и использовании вместо него временных ключей для защиты групповых данных. Опишем в общих чертах механизм соглашения по аутентификации и ключам — АКА[3]. Процедура аутентификации может начаться после того, как пользователь будет идентифицирован в обслуживающей сети SN. Идентификация происходит, когда данные об абоненте (т. е. постоянный идентификатор IMSI или временный идентификатор TMSI) передаются в гостевой регистр (VLR) или в управляющий узел поддержки GPRS — SGSN. Затем гостевой регистр VLR или узел SGSN посылает запрос данных об аутентификации в центр аутентификации AuC[4] домашней сети. Центр аутентификации хранит мастер-ключи пользователей и на основе международного идентификатора мобильного абонента (IMSI) может генерировать для пользователя векторы аутентификации. Процесс генерирования включает выполнение нескольких криптографических алгоритмов, которые более подробно описаны ниже. Созданные векторы передаются обратно в VLR или SGSN в ответном сообщении данных аутентификации. Этот процесс показан на рис. 3.13. Управляющие сообщения аутентификации передаются по протоколу мобильных приложений MAP. В обслуживающей сети SN для каждого случая аутентификации (т. е. для каждого цикла процедуры аутентификации) требуется один вектор аутентификации. Это означает, что для каждого события аутентификации не требуется сигнализация между обслуживающей сетью и центром аутентификации (которые потенциально могут находиться на значительном расстоянии друг от друга) и что в принципе это может быть сделано независимо от действий пользователя после начальной регистрации. Рисунок 3.13 - Запрос данных об аутентификации и ответ на него Действительно, VLR или SGSN может получить новые векторы аутентификации из центра аутентификации AuC задолго до того, как иссякнет количество векторов, хранящихся в памяти. Обслуживающая сеть (VLR или SGSN) передает запрос аутентификации абонента на терминал. Это сообщение содержит два параметра из вектора аутентификации — «RAND» и «AUTN». Эти параметры передаются на любой модуль идентификации абонента USIM, который находится в защищенной от несанкционированного доступа среде (т. е. на смарт-карту UMTS — UICC ). Модуль USIM содержит мастер-ключ и, используя его с параметрами RAND и AUTN в качестве исходных данных, производит вычисления, напоминающие генерирование векторов аутентификации в центре аутентификации AuC. Этот процесс, как и соответствующие вычисления в AuC, также предполагает выполнение нескольких алгоритмов. В результате вычислений модуль USIM получает возможность проверить, действительно ли параметр AUTN был генерирован в центре аутентификации AuC, и если это так, вычисленный параметр RES (ответ) передается обратно в VLR или SGSN в ответе аутентификации пользователя. Теперь VLR или SGSN может сравнить ответ пользователя RES с ожидаемым ответом XRES, который является частью вектора аутентификации. Если они совпадают, аутентификация заканчивается положительно. Эта часть процесса изображена на рис. 3.14. Ключи для шифрования в сети радиодоступа (RAN) и защиты целостности (а именно ключ шифра СК  и ключ целостности IK ) создаются как побочный продукт процесса аутентификации. Эти временные ключи включены в вектор аутентификации и, таким образом, передаются в VLR или SGSN, откуда позднее, когда начинается шифрование и защита целостности, они передаются на контроллер радиосети RNC в сети радиодоступа RAN. Рисунок 3.14 - Запрос аутентификации пользователя и ответ на него.   На другом конце модуль идентификации абонента USIM после получения параметра RAND (и проверки его по параметру AUTN) также в состоянии вычислить ключ шифра СК и ключ целостности IK. Затем временные ключи передаются из модуля USIM на мобильное устройство, где выполняются алгоритмы шифрования и защиты целостности. Криптография для аутентификации Рассмотрим более подробно генерирование векторов аутентификации в центре аутентификации AuC. Подробная иллюстрация этого процесса дана на рис. 3.15. Процесс начинается с выбора правильного порядкового номера SQN . Грубо говоря, требуется, чтобы порядковый номер выбирался в возрастающем порядке. Порядковые номера нужны для того, чтобы показать пользователю, что генерированный вектор аутентификации является «свежим» (т. е, что он не использовался раньше). Параллельно с выбором порядкового номера генерируется случайная последовательность бит RAND (длиной 128 бит). Это непростая задача, но предположим, что в нашем случае используется криптографический генератор, который формирует длинную псевдослучайную последовательность бит. При этом в качестве источника начального числа взят хороший физический генератор случайных событий. Ключевое понятие при вычислении вектора аутентификации — односторонняя функция, Это математическая функция, которая относительно легко вычисляется, но вычислить обратную ей функцию практически невозможно. Другими словами, при заданных входных параметрах существует быстрый алгоритм для вычисления выходных параметров, но в то же время, если известен выходной результат, не существует эффективных алгоритмов получения входных значений, которое дали бы этот выходной результат. Конечно, одним из простых алгоритмов для отыскания правильного входного параметра является проверка всех возможных вариантов, пока один из них не даст желаемый результат. Ясно, что этот алгоритм исчерпывающего поиска становится чрезвычайно неэффективным по мере возрастания длины входного параметра. Рисунок 3.15 - Генерирование вектора аутентификации     В целом для вычисления вектора аутентификации используется пять односторонних функций. Эти функции обозначаются как f1, f2, f3, f4 и f5. Первая функция отличается от четырех остальных количеством входных параметров, которых у нее четыре: мастер-ключ К, случайное число RAND, порядковый номер SQN и, наконец, административное управляющее поле аутентификации AMF[5]. Другие функции (с f2 по f5) используют в качестве входных параметров только К и RAND. Требование односторонности является общим для всех функций (f1—f5), и все они могут строиться вокруг одной и той же центральной функции. Однако важно, чтобы они отличались друг от друга следующим образом: информация о параметрах других функций не может быть получена из параметров какой-либо иной функции. Выходом f1 является код аутентификации сообщения MAC[6] (64 бита), а выходами f2, f3, f4 и f5 соответственно XRES (32-128 бит), СК (128 бит), IK (128 бит) и АК (64 бита). Вектор аутентификации состоит из параметров RAND, XRES, СК, IK и AUTN. Последний получается путем соединения трех различных параметров: порядковый номер SQN с поэлементным сложением с АК, AMF и MAC. Давайте теперь более подробно рассмотрим процедуру аутентификации в модуле USIM. Она показана на рис. 3.16. На этом конце задействованы такие же функции (f1—f5), но немного в другом порядке. Функция f5 должна быть вычислена до функции f1, поскольку f5 используется для маскировки порядкового номера SQN. Эта маскировка нужна для того, чтобы препятствовать перехвату идентификатора пользователя по его порядковому номеру SQN. Выходная функция f1 обозначается на стороне пользователя как ХМАС. Рисунок 3.16 - Процедура аутентификации, предусмотренная модулем идентификации абонента USIM   Она сравнивается с кодом аутентификации сообщения MAC, полученным из сети как часть параметра AUTN. Если они совпадают, то предполагается, что параметры RAND и AUTN были созданы объектом, который знает ключ К (т. е. центром аутентификации AuC домашней сети пользователя). Тем не менее, существует возможность того, что нарушитель, который записал более раннее событие аутентификации, воспроизведет параметры RAND и AUTN. Как упоминалось выше, от этой угрозы защищает порядковый номер SQN. Модуль идентификации абонента USIM должен просто убедиться, что ранее он не видел такого порядкового номера SQN. Самый простой способ такой проверки — это потребовать, чтобы порядковые номера появлялись в возрастающем порядке. Возможно также, чтобы некоторые порядковые номера SQN поступали в модуль USIM не по порядку, если он ведет перечень полученных до настоящего времени самых больших номеров SQN. Из-за того что передача векторов аутентификации из центра аутентификации AuC и фактическое применение этих векторов для аутентификации выполняются в какой-то мере независимо, существует несколько причин возможного использования векторов аутентификации не в том порядке, в каком они были генерированы. Наиболее очевидная причина заключается в том, что функции управления мобильностью ММ в областях коммутации канатов КК и коммутации пакетов КП не зависят друг от друга. Это предполагает, что векторы аутентификации поступают в VLR и SGSN независимо друг от друга и используются также независимо. В принципе выбор между алгоритмами f1 —f5 зависит от оператора. Причина в том, что они используются только в центре аутентификации AuC и модуле USIM, которые контролируются одним и те же домашним оператором. В спецификации 3GPP TS 35.206 дан пример набора алгоритмов (под названием «MILENAGE»). В принципе управление порядковыми номерами SQN — это тоже вопрос оператора. Существуют две основные стратегии создания порядковых номеров SQN: каждый пользователь может иметь индивидуальный порядковый номер SQN или генерирование порядковых номеров SQN может базироваться на глобальном счетчике (например, универсального времени). Рисунок 3.17 - Процедура повторной синхронизации Возможна также и комбинация этих двух стратегий (например, старший разряд порядкового номера SQN относится к пользователю, а младший формируется с использованием глобального счетчика). Механизм взаимной аутентификации основан на двух параметрах, хранящихся в центре аутентификации AuC и модуле USIM: это статический мастер-ключ и динамический порядковый номер SQN. Важно, чтобы эти параметры синхронно поддерживались на обоих концах. Для статического ключа К это легко, но, возможно, что динамическая информация о порядковом номере SQN но какой-либо причине выйдет из синхронизма. Как следствие, аутентификация не состоится. В этом случае используется специальная процедура повторной синхронизации (см. рис. 3.17). Используя мастер-ключ в качестве основы для безопасной связи, модуль идентификации пользователя USIM информирует центр аутентификации AuC о текущем порядковом номере SQN. При повторной синхронизации передается параметр AUTS. Он содержит две части: порядковый номер SQN модуля USIM, замаскированный с помощью АК, и код аутентификации сообщения MAC-S, вычисленный с помощью другой односторонней функции f1* из входных параметров SQN, К, RAND и AMF. Последние два параметра получаются в результате события неуспешной аутентификации. Односторонняя функция f1* должна отличаться от f1, так как в противном случае зарегистрированные параметры AUTN во время повторной синхронизации могут быть приняты за правомерные параметры AUTS, и нарушитель может, по меньшей мере, нарушить механизм аутентификации.   Временные идентификаторы Постоянным идентификатором пользователя в системе UMTS, как и в GSM, является международный идентификатор мобильного абонента IMSI. Однако идентификация пользователя в сети UTRAN почти во всех случаях осуществляется с помощью временных идентификаторов: временного идентификатора мобильного абонента TMSI в области КК или временного идентификатора мобильного абонента при пакетной передаче P-TMSI в области КП. Это подразумевает, что конфиденциальность идентификаторов пользователя почти всегда защищена от возможных перехватчиков. Единственный случай, когда нельзя использовать временные идентификаторы, — это первоначальная регистрация, поскольку в этот момент сеть еще не знает постоянного идентификатора пользователя. После начальной регистрации в принципе уже можно использовать временные идентификаторы. Механизм работает следующим образом. Предположим, что пользователь уже идентифицирован в обслуживающей сети SN по номеру IMSI. Затем сеть SN (VLR или SGSN) присваивает данному абоненту временный идентификатор (TMSI или Р-TMSl) и поддерживает связь между постоянным и временным идентификаторами. При этом временный идентификатор имеет значение только на местном уровне, и каждый VLR или SGSN просто следит за тем, чтобы не присвоить одно и то же значение TMSI или P-TMSI одновременно двум разным пользователям. Присвоенный временный идентификатор передается пользователю, как только начинается шифрование. Затем этот идентификатор используется при сигнализации в восходящем и нисходящем каналах до тех пор, пока сеть не присвоит новое значение TMSI или P-TMSI. Присвоение нового временного идентификатора подтверждается терминалом, после чего старый временный идентификатор выводится из VLR или SGSN. Если VLR или SGSN не получает подтверждение присвоения, он должен сохранять и старый, и новый идентификаторы и принимать любой из них при обработке сигнализации в восходящем канале. Для сигнализации в нисходящем канале должен использоваться номер IMSI, поскольку сеть не знает, какой временный идентификатор в настоящее время хранится в памяти терминала. В этом случае VLR или SGSN дает терминалу указание удалить из памяти TMSI или P-TMSI, после чего начинается новая процедура присвоения идентификатора. Тем не менее, остается еще одна проблема: как обслуживающая сеть SN первоначально получает номер IMSI? Поскольку временный идентификатор носит локальный характер, то для обеспечения однозначной идентификации абонента он должен сопровождаться идентификатором области (зоны). Поэтому к TMSI добавляется идентификатор области местоположения LAP, а к P-TMSI — идентификатор области маршрутизации RAI. Когда оборудование пользователя UE переходит в новую зону, то из старой зоны местоположения или маршрутизации, если ее адрес известен новой зоне (через идентификаторы LAI или RAI), восстанавливается связь между номером IMSI и временным идентификатором TMSI или P-TMSI. Если адрес неизвестен или соединение со старой зоной не может быть установлено, то номер IMSI должен запрашиваться у абонентского терминала UE. Существует ряд специфических случаев, когда по радиоинтерфейсу может передаваться множество номеров IMSI (например, когда в аэропортах люди включают мобильные телефоны после приземления). Несмотря на эту проблему, отслеживать людей в таких местах обычно легче (например, люди могут идентифицироваться, когда они выходят из самолетов). В итоге механизм конфиденциальности при идентификации пользователя в системе UMTS не дает 100%-й защиты, но предлагает относительно хороший уровень защиты. Отметим, что защита от активного нарушителя не так уж и хороша, так как нарушитель может притвориться новой обслуживающей сетью SN, которой пользователь должен раскрыть свой постоянный идентификатор. Механизм взаимной аутентификации здесь не помогает, так как пользователь должен быть идентифицирован до того, как можно будет провести аутентификацию.   3.2.4  Методы шифрования в UMTS Как только пользователь и сеть аутентифицировали друг друга, они могут начать безопасную связь. Как уже отмечалось, после успешного завершения аутентификации параметр СК (ключ шифра) совместно используется базовой сетью CN и терминалом. Прежде чем начнется шифрование, взаимодействующие стороны должны договориться относительно алгоритма шифрования. К счастью, когда система UMTS реализуется в соответствии со стандартом 3GPP R99, предусматривается только один алгоритм. Шифрование/дешифрование происходит в абонентском терминале и контроллере радиосети RNC со стороны сети. Это означает, что параметр СК должен быть передан из базовой сети в сеть радиодоступа (RAN). Это осуществляется в специальном сообщении приложения сети радиодоступа RANAP1, которое называется командой режима безопасности. После того как контроллер радиосети (RNC) получил параметр СК, он может включить шифрование, посылая на терминал команду режима безопасности при контроле радиоресурсов RRC. Рисунок 3.18 - Поточный шифр в UMTS Механизм шифрования в UMTS основан на принципе поточного шифра, который поясняется на рис. 3.18. Данные открытого текста поэлементно (побитно) суммируются с данными маскировки — случайной комбинацией (маской), которая генерируется на основе параметра СК и нескольких других параметров. Преимущество этого метода шифрования состоит в том, что данные маскировки могут генерироваться даже до того, как станет известен сам открытый текст. В этом случае заключительное шифрование происходит очень быстро. Дешифрование на приемном конце осуществляется точно таким же способом, поскольку сложение битов маскировки дает такой же результат, как и сложение нулей. Поскольку данные маскировки ни в коей мере не зависят от открытого текста, должен быть еще один входной параметр, который изменяется всякий раз, когда генерируется новая маска. В противном случае два разных открытых текста, например Р1 и Р2, могут быть защищены одной и той же маской. Тогда может произойти следующее нежелательное явление: если мы поэлементно (побитно) сложим Р1 и Р2 и го же самое сделаем с их зашифрованными двойниками, го результирующая битовая комбинация будет абсолютно одинаковой для обоих случаев. Это объясняется тем, что две идентичные маски во время побитового сложения аннулируют друг друга. Поэтому побитовая сумма P1 и Р2 может стать известной любому нарушителю, который прослушивает соответствующие зашифрованные сообщения на радиоинтерфейсе. Обычно, если две битовые комбинации значащей информации складываются друг с другом поэлементно (побитно), они обе могут быть полностью подавлены результирующей битовой комбинацией. Следовательно, это должно означать прерывание шифрования двух сообщений — Р1 и Р2. Шифрование происходит либо на уровне управления доступом к среде MAC, либо на уровне управления радиоканалом RLC. В обоих случаях существует счетчик, который изменяется для каждого блока протокольных данных PDU. В формате MAC это номер кадра соединения СFN[7], а в формате RLC — специальный порядковый номер управления радиоканалом RLC-SQN. Если эти счетчики используются в качестве входных данных для генерирования маски, то проблема, описанная в предыдущем параграфе, будет существовать по-прежнему, поскольку эти счетчики быстро завершают цикл. Поэтому вводится более длинный счетчик, который называется номером сверхкадра HFN[8]. Он добавляется всякий раз, когда короткий счетчик (CFN в MAC или RLC-SQN в RLC), завершает цикл. Комбинация номера сверхкадра HFN и более короткого счетчика называется «COUNT-C». Она используется в механизме шифрования в качестве постоянно изменяющегося входного параметра для генерирования маски. В принципе более длинный счетчик HFN также может совершать цикл. К счастью, он сбрасывается в ноль всякий раз, когда во время процедуры АКА генерируется новый ключ. Акты аутентификации достаточно быстрые и не препятствуют прохождению цикла HFN. В качестве исходных данных для шифрования необходим также идентификатор радиоканала BEARER, поскольку счетчики для различных радиоканалов поддерживаются независимо друг от друга. Если вход BEARER не используется, то это опять-таки может привести к ситуации, когда в алгоритм будет подаваться один и тот же набор входных параметров и одна и та же маска будет создаваться более одного раза. Следовательно, может возникнуть проблема, описанная выше, и сообщения (на этот раз в разных радиоканалах), зашифрованные с помощью одной и той же маски, могут оказаться незащищенными от нарушителей. В основе механизма шифрования лежит алгоритм генерирования маски, обозначаемый как функция f8. Соответствующие технические требования 3GPP (TS 35.201) общедоступны и базируются на новом блочном шифре, который называется KASUMI (на него существует другой стандарт 3GPP — TS 35.202). Этот блочный шифр преобразует 64-битовый вход в 64-битовый выход. Преобразование контролируется параметром СК (ключ шифра) длиной 128 бит. Если СК неизвестен, то не существует эффективного алгоритма для вычисления выходных данных из входных, и наоборот. В принципе такое преобразование может быть выполнено, только если:    пробуются все возможные ключи, пока не будет найден правильный;    собрана огромная таблица всех 264 пар входов-выходов. На практике оба этих подхода невозможны. Существует возможность не проводить аутентификацию в начале соединения. В этом случае для шифрования используется предыдущий параметр СК. Ключ заносится в память модуля USIM между соединениями. Кроме того, используются старшие разряды самого большого номера HFN, который был до этого занесен в память модуля USIM. Для следующего соединения записанное значение увеличивается на единицу и используется как стартовое значение для старших разрядов номера HFN. В терминалах, чтобы продемонстрировать пользователю, применяется шифрование или нет, используется индикатор шифрования, обеспечивающий некоторую видимость механизмов защиты. Отметим, что хотя использовать шифрование настоятельно рекомендуется, в сети UMTS это необязательно.   Защита целостности сигнализации при управлении радиоресурсами RRC Цель защиты целостности заключается в аутентификации отдельных управляющих сообщений. Это важно, поскольку отдельная процедура аутентификации обеспечивает идентификацию взаимодействующих сторон только на момент аутентификации. Рисунок 9.1 можно использовать для иллюстрации этой проблемы: посредник (т. е. ложная базовая станция БС) действует как простое реле и доставляет сообщения в их правильной форме до тех пор, пока не закончится процедура аутентификации. Впоследствии посредник может начать свободное манипулирование сообщениями. Однако если сообщения защищены индивидуально, преднамеренные манипуляции сообщениями могут быть замечены и ложные сообщения могут сбрасываться. Защита целостности реализуется на уровне управления радиоресурсами RRC. Таким образом, она, как и шифрование, используется между терминалом и контроллером радиосети RNC. Ключ целостности IK генерируется во время процедуры АКА опять-таки аналогично ключу шифра СК. Кроме того, IK передается на контроллер радиосети RNC вместе с СК — в команде режима безопасности. Механизм зашиты целостности основан на понятии кода аутентификации сообщения MAC. Это односторонняя функция, которая управляется секретным ключом IK. Функция обозначается как f9, а ее выход MAC-I представляет 32-битовую случайную комбинацию. Рисунок 3.19 - Код аутентификации сообщения   MAC-I добавляется к каждому сообщению управления радиоресурсами RRC, а также генерируется и проверяется на приемном конце. Известно, что любое изменение входных параметров влияет на MAC-I непредсказуемым образом. Функция f9 показана на рис. 3.19. Ее входами являются IK, само сообщение управления радиоресурсами RRC, счетчик COUNT-I. бит направления (восходящее или нисходящее) и случайный номер FRESH. Параметр COUNT-I напоминает соответствующий счетчик для шифрования. Его старшие разряды содержат номер HFN, а четыре младших бита — порядковый номер RRC-SQN. В целом счетчик COUNT-I защищает от повторного воспроизведения ранее поступивших управляющих сообщений: он гарантирует, что набор значений входных параметров будет разным для каждого запуска (функции защиты целостности f9). Параметр FRESH выбирается контроллером радиосети RNC и передается на оборудование пользователя UE. Необходимо защитить сеть от злонамеренно выбранного стартового значения счетчика COUNT-I. Напомним, что старшие разряды номера HFN заносятся в память модуля USIM между соединениями. Нарушитель может выдать себя за модуль USIM и передать в сеть ложное значение, что принудительно делает стартовое значение HFN слишком малым. Если процедура аутентификации не запушена, то используется старый ключ IK. Если бы не было параметра FRESH, то нарушитель мог бы повторно воспроизвести сообщения сигнализации управления радиоресурсами RRC из предыдущих соединений с записанными значениями MAC-I. При выборе параметра FRESH случайным образом контроллер радиосети RNC защищен от такого рода атак повторного воспроизведения, которые основаны на записях предыдущих соединений. Как уже обсуждалось ранее, строго возрастающий счетчик COUNT-I защищает от атак повторною воспроизведения, основанных на записях во время соединения, когда параметр FRESH является активным, Отметим, что идентификатор радиоканала не используется в качестве входного параметра для алгоритма целостности, хотя он является входным параметром для алгоритма шифрования. Ввиду того что для уровня управления выделено несколько параллельных радиоканалов, кажется, что остается пространство для возможного повторного воспроизведения управляющих сообщений, которые были записаны во время одного и того же соединения RRC. но по другому радиоканалу. Однако это не так, поскольку идентификатор радиоканала всегда добавляется к сообщению, когда вычисляется код MAC (хотя и не передается вместе с сообщением). Поэтому идентификатор радиоканала оказывает влияние на значение МАС-I, и мы всегда имеем защиту от атак повторного воспроизведения на основании записей различных радиоканалов. Ясно, что существует несколько управляющих сообщений RRC, целостность которых не может быть защищена с помощью этого механизма. Действительно, сообщение, переданное до того, как поступил параметр IК, не может быть защищено. Типичным примером может служить запрос соединения RRC. Алгоритм защиты целостности основан на той же базовой функции, что и шифрование. Действительно, для создания функции MAC используется блочный шифр KASUMI в специальном режиме. Механизм защиты целостности, который используется в UTRAN, не применяется на уровне пользователя по техническим соображениям. В то же время существует специальная (защищенная с точки зрения целостности) процедура на уровне управления, которая используется для локальной периодической аутентификации. В результате этой процедуры проверяется объем данных, переданных во время соединения RRC. Таким образом, объем переданных пользовательских данных защищен с точки зрения целостности. Краткая информация о безопасности доступа В этом разделе дается схематический обзор наиболее важных механизмов защиты доступа и их взаимодействия друг с другом. Для ясности: многие параметры не показаны на рис. 3.20. Например, HFN и FRESH представляют важные параметры, передаваемые между различными элементами, хотя они и опущены на рисунке.   Дополнительные средства обеспечения безопасности в системах 3GPP R99 В технических требованиях 3GPP R99 введены дополнительные средства обеспечения безопасности. Некоторые из них непосредственно заимствованы из GSM. в то время как другие были введены в 3GPP R99 впервые. Эти средства кратко рассматриваются в следующих разделах.   Индикатор шифрования В мобильном оборудовании ME существует специальный индикатор шифрования, который используется для того, чтобы показать пользователю, применялось шифрование или нет, тем самым предоставляя пользователю определенную видимость механизмов защиты. Отметим, что хотя использовать шифрование настоятельно рекомендуется, в сети UMTS это необязательно. Детали, касающиеся индикатора, зависят от реализации и характеристик самого терминала (например, различные типы дисплея используют различные типы индикаторов). В общем, важно, чтобы уровень безопасности не зависел от того, проводит ли пользователь активные проверки. Тем не менее, в ряде специфических случаев пользователи могут оценить наличие видимых признаков выполнения функций безопасности, активных в данный момент. Рисунок 3.20 - Схема безопасности доступа UMTS   Идентификация оборудования пользователя UE В системах GSM мобильное оборудование ME может идентифицироваться международным идентификатором мобильного оборудования IMEI. Этот идентификатор не связан непосредственно с пользователем, поскольку SIM-карта может быть перенесена из одного терминала в другой. Однако в сети имеются важные функции, которые могут базироваться только на значении IMEI (например, существует возможность сделать экстренные вызовы с терминала без SIM-карты). В этом случае единственный метод идентификации — это требование, чтобы терминал предоставил свой идентификатор IMEI. Эта особенность была также перенесена в систему UMTS. Ни в GSM. ни в UMTS нет механизма, позволяющего установить подлинность предоставляемого идентификатора IMEI. Поэтому методы защиты идентификатора IMEI должны выполняться только на стороне абонентского терминала. Эти методы должны обеспечить сложность такой модификации терминала, которая позволила бы ему предоставлять по запросу сети неправильное значение IMEI.   Безопасность услуг по определению местоположения LCS Ясно, что информация о местоположении пользователя конфиденциальна. Люди чувствуют себя довольно некомфортно, зная, что их место пребывания постоянно отслеживается. Были определены механизмы безопасности для защиты от утечки информации о местоположении к несанкционированным пользователям. Центральную роль в этом играет принцип профиля конфиденциальности: пользователи должны иметь контроль над теми, кто знает об их местоположении.   Аутентификация в направлении от абонента к модулю идентификации абонента USIM Это еще одна особенность, которая была перенесена из GSM в UMTS. Она основана на том, что персональный идентификационный номер PIN известен только абоненту и модулю идентификации абонента USIM. Прежде чем подучить доступ к модулю USIM, абонент должен ввести правильный PIN-код (от 4 до 8 цифр). Безопасность в прикладных инструментальных средствах универсального модуля идентификации абонента USIM Аналогично тому как это происходит в GSM, существует возможность создать приложения, которые выполняются в модуле USIM. Эта особенность называется прикладными инструментальными средствами (U)SIM. Часть этих средств касается возможности для оператора домашней сети передавать сообщения непосредственно в USIM. Другая часть определяет способ защиты, используемый при передаче сообщений. Детали этих механизмов защиты во многом зависят от особенностей реализации оборудования. наверх назад | содержание | вперед