6.1.2.6. Модуль подлинности абонента

Введение режима шифрования в стандарте GSM выдвигает особые требования к подвижным станциям. В частности, индивидуальный ключ аутентификации пользователя Ki, связанный с международным идентификационным номером абонента IMSI, требует высокой степени защиты. Он также используется в процедуре аутентификации.

Модуль подлинности абонента SIM содержит полный объем информации о конкретном абоненте. SIM реализуется конструктивно в виде карточки с встроенной электронной схемой. Введение SIM делает подвижную станцию универсальной, так как любой абонент, используя свою личную SIM-карту, может обеспечить доступ к сети GSM через любую подвижную станцию.

Несанкционированное использование SIM исключается введением в SIM индивидуального идентификационного номера (PIN), который присваивается пользователю при получении разрешения на работу в системе связи и регистрации его индивидуального абонентского устройства.

Основные характеристики модуля SIM определены в Рекомендации GSM 02.17.

В заключение следует отметить, что выбранные в стандарте GSM механизмы секретности и методы их реализации определили основные элементы передаваемых информационных блоков и направления передачи, на которых должно осуществляться шифрование: (RAND/SRES/Kc от HLR к VLR; RAND и SRES - в радиоканале). Для обеспечения режима секретности в стандарте GSM решены вопросы минимизации времени соединения абонентов. При организации систем сотовой радиосвязи по стандарту GSM имеется некоторая свобода в применении аспектов безопасности. В частности, не стандартизованы вопросы использования центра аутентификации AUC (интерфейс с сетью, структурное размещение AUC в аппаратных средствах). Нет строгих рекомендаций на формирование закрытых групп пользователей и системы приоритетов, принятых в GSM. В этой связи в каждой системе связи, использующей стандарт GSM, эти вопросы решаются самостоятельно.

6.1.3. Организация защиты в cdma

Стандарт IS-95, разработанный для систем персональной радиосвязи с кодовым разделением каналов (CDMA), был утвержден в 1993 году. Он получил широкое распространение в мире и является в настоящее время наиболее предпочтительным стандартом для II-го поколения систем подвижной радиосвязи. С 1996 года стандарт IS-95 начал распространяться в России. В настоящее время практически во все регионы России выданы лицензии на ведение операторской деятельности на базе технологии CDMA. При этом операторы сетей CDMA должны обеспечивать выполнение требований законодательства РФ по защите информации.

Особенностью информационных потоков, передаваемых по радиоканалам, является требуемая высокая степень конфиденциальности. Наличие такого требования вызывает необходимость применения в радиосистемах комплекса мер, обеспечивающих защиту информации каждого пользователя. В этом отношении стандарт IS-95 характеризуется высокой степенью защиты информации от несанкционированного доступа.

Организация радиодоступа по стандарту IS-95.

Процесс установления соединения и обмен сообщениями между базовой (БС) и абонентской (АС) станциями на физическом уровне осуществляется по радиоканалам, которые формируются на БС для передачи информации к АС - прямой канал и на АС для передачи информации к БС - обратный канал. Способы формирования прямого и обратного каналов существенно различаются, учитывая как асинхронность сигналов в обратных каналах, так и требование обеспечения характеристик помехоустойчивости в прямом и обратном каналах. Прямой канал включает в себя:

- пилот-канал;

- синхроканал;

- до семи каналов вызова;

- определенное количество прямых каналов трафика.

Структура прямого канала трафика по стандарту IS-95 приведена на рис.6.5. Каждый из каналов определяется соответствующей ортогональной функцией Уолша, при помощи которой производится расширение спектра. Затем спектр расширяется при помощи квадратурной пары псевдошумовых последовательностей длиной 2¹⁵-1, имеющих фиксированную скорость 1,2288 Мч/с (миллионов чипов в сек.). Дополнительное расширение количества прямых каналов на БС может быть организовано методом частотного уплотнения. Прямой канал трафика используется БС для передачи на АС информации пользователя, а также информации сигнализации во время сеанса связи.

Рис.6.5. Структура прямого канала трафика по стандарту IS-95.

Обратный канал включает в себя:

- каналы доступа;

- обратные каналы трафика.

Структура обратного канала трафика по стандарту IS-95 приведена на рис.6.6. Каждый обратный канал трафика идентифицируется определенной последовательностью длинного кода пользователя. Обратный канал трафика используется АС для передачи на БС информации пользователя, а также информации сигнализации во время сеанса связи.

Рис.6.6. Структура обратного канала трафика по стандарту IS-95

Методы защиты информации

Передаваемую информацию в системе можно подразделить на две категории:

- контрольно - управляющая системная информация;

- информация пользователя;

Первую ступень защиты передаваемой информации обеспечивает сам факт применения широкополосных сигналов и принципа кодового разделения каналов т.к. обнаружение передачи информации как в прямом так и в обратном каналах представляет достаточно трудную задачу, осуществимую только с помощью специальной аппаратуры.

Основную вторую ступень защиты передаваемой информации обеспечивают в прямом и обратном каналах специальные меры, рассмотренные ниже. Поскольку информация передается по радиоканалам, то последние являются наиболее предпочтительными как для изъятия информации пользователя путем перехвата электромагнитных излучений, так и для осуществления несанкционированного доступа к услугам связи. Поэтому в стандарте CDMA IS-95 предусматриваются следующие специальные методы защиты:

- аутентификация- процесс подтверждения идентичности АС;

- защита речевой информации в прямом и обратном каналах трафика;

- шифрование (криптографическое закрытие) данных пользователя и управляющей сигнализации в прямом и обратном каналах;

Первый и третий методы позволяют предотвратить несанкционированный доступ в систему, а второй метод позволяет исключить изъятие информации из канала.

Аутентификация - это процесс обмена информацией между АС и БС с целью подтверждения идентичности АС. Успешный исход процесса аутентификации имеет место только при обнаружении совпадения результатов проведения определенных процедур на АС и БС. Таким образом, первой специальной мерой защиты является разработка засекреченного аутентификационного алгоритма с ограниченным доступом к нему.

Процедуры аутентификации АС проводятся:

- при регистрации АС в системе;

- при осуществлении АС исходящего вызова;

- при осуществлении входящего вызова на АС;

- при индивидуальной процедуре запроса аутентичности от БС.

Общая идея аутентификации заключается в том, что на основании исходных данных, хранящихся в памяти АС, выполняется определенная процедура, в результате которой вычисляется число, которое вместе с некоторыми исходными данными передается на БС. В свою очередь на БС, используя данные, полученные от АС и данные, хранящиеся в памяти самой БС, проводит процедуру, аналогичную АС и полученный результат сравнивается с результатом, полученным от АС. При совпадении чисел делается вывод об успешной аутентификации.

Таким образом, для пользования услугами сети сотовой связи необходим успешный исход процесса аутентификации.

Для несанкционированного доступа к услугам сети сотовой связи необходимо знать данные участвующие в механизме аутентификации и передать их на БС.

Процедуры аутентификации

Аутентификация происходит тогда, когда АС выполняет следующие процедуры:

1. Registration: регистрируется в сети.

2. Unique Challenge: отвечает на Unique Challenge от БС.

3. Origination: производит исходящий звонок.

4. Terminations: отвечает на сообщение по каналу оповещения.

5. Mobile Station Data: пересылает данные, например SMS.

6. Base Station Challenge: процедуру обновления секретных параметров (SSD update).

7. TMSI Assignment: процедуру назначения временного идентификатора АС.

8. PACA cancellation: процедуру исключения АС из очереди на получение канала трафика.

Как видно из вышеперечисленного, АС должна пройти через процедуры аутентификации при любой попытке принять или передать данные, а также при установлении входящего или исходящего соединения.

При организации передачи информации через сеть, аппаратура, участвующая в передаче, должна пройти процедуру аутентификации, и при успешной аутентификации сеть примет или доставит сообщение адресату, участвующему в сеансе передачи. Таким образом, возможность осуществления атаки на процедуры аутентификации в сети CDMA является важнейшей угрозой безопасности. Атака на процедуры аутентификации может быть проведена как на протокол аутентификации, так и на криптоалгоритмы, использованные при аутентификации.

Аутентификация при регистрации АС осуществляется по каналу доступа. АС должна установить входные параметры процедуры, как показано на рис.6.7.

Затем выполняется специальная аутентификационная процедура и формируется сообщение запроса регистрации, в которое включаются 8 старших бит числа RAND, ESN, IMSI_S1 и выходная величина AUTHR аутентификационной процедуры.

Рис. 6.7. Установка входных параметров аутентификации при регистрации

БС сравнивает принятые 8 бит числа RAND с аналогичными битами такого же числа, хранящегося в ее памяти, а также проверяет наличие в ее памяти соответствующих принятым значений ESN и IMSI_S1. Далее БС вычисляет значение AUTHR, используя значение SSD_A из своей памяти и проведя аутентификационную процедуру, аналогичную АС. Полученное значение AUTHR сравнивается с принятым AUTHR от АС. Если любое из сравнений не дает соответствия, то аутентификация считается неудачной.

Аутентификация при исходящем вызове АС осуществляется по каналу доступа. АС должна установить входные параметры процедуры как показано на рис.6.8. Отличие от случая регистрации АС здесь в том, что во входных параметрах вместо цифр международного идентификационного номера абонентской станции IMSI используются шесть цифр номера вызываемого абонента. Если в номере вызываемого абонента менее 6 цифр, то вместо недостающих используются старшие биты IMSI_S1. Далее процесс аутентификации проходит также, как при регистрации.

Рис. 6.8. Установка входных параметров аутентификации при исходящем вызове

Аутентификация при входящем вызове на АС осуществляется по каналу доступа, после получения по каналу вызова от БС сообщения вызова. Входные параметры процедуры и сама процедура аутентификации аналогичны случаю регистрации АС, за исключением того, что информация по каналу доступа передается в сообщении отклика на вызов. Если процесс аутентификации при регистрации АС, а также при исходящем или входящем вызовах, имеет отрицательный результат, то БС проводит индивидуальную процедуру запроса аутентичности. Эта процедура может выполняться или на каналах вызова/доступа, или на прямом/обратном каналах. БС генерирует 24-битовое число RANDU и посылает его на АС в сообщении запроса аутентификации по каналу вызова или прямому каналу трафика. Далее АС должна установить входные параметры процедуры, как показано на рис.6.9.

Рис. 6.9. Установка входных параметров аутентификации при входящем вызове

Число RAND формируется следующим образом:

24 старших бита- это принятое от БС число RANDU, а остальные биты- это 8 младших бит из первых 10 бит международного идентификационного номера IMSI_S2. Дальнейшая процедура не отличается от описанной для случая аутентификации при регистрации АС. Если процесс индивидуальной аутентификации оказывается неудачным, то БС запрещает дальнейшую работу такой АС, то есть несанкционированной АС доступ в систему закрывается.

Описание алгоритма аутентификации

Аутентификация в стандарте CDMA заключается в следующем: мобильная станция формирует 128-битный параметр для алгоритма аутентификации, представляющего собой вызов криптоалгоритма CAVE с параметрами, зависящими от процедуры, выполняемой мобильной станцией. На выходе алгоритма аутентификации получается 18-битное число Auth_Signature, передаваемое на БС. БС выполняет аналогичный алгоритм и сравнивает Auth_Signature с результатом внутренних вычислений. Аутентификация считается успешной, если значение, переданное АС, совпадает с результатом внутренних вычислений на БС.

Рассмотрим более детально алгоритм аутентификации. Структура алгоритма аутентификации приведена на рис.6.10. Входные параметры загружаются в 8-битные регистры алгоритма CAVE. Затем производится 8-циклов алгоритма CAVE. Для получения 18-битного значения Auth_Signature используются выходные регистры R15-13 и R2-R0 алгоритма CAVE.

Рис. 6.10. Структурная схема алгоритма CAVE

Приведем параметры, используемые при аутентификации при выполнении различных процедур на АС (табл. 6.3).

Таблица 6.3

Процедуры, выполняемые мобильной станцией	RAND_CHALLENGE	ESN	AUTH_DATA	SSD_AUTH
Registration	RAND	ESN	IMSI_S1	SSD_A
Unique Challenge	RANDU и 8 младших бит IMSI_S2	ESN	IMSI_S1	SSD_A
Origination	RAND	ESN	Заполняется IMSI_S1, а затем переписывается последними 6 набран-ными цифрами вызыва-емого номера.	SSD_A
Terminations	RAND	ESN	IMSI_S1	SSD_A
Mobile station Data Butrsts	RAND	ESN	Заполняется IMSI_S1, а затем переписывается по-лем Digits в соответствии с полем BURST_TYPE Data Burst Messenge.	SSD_A

Продолжение таблицы 6.3.

Base Station Chal-lenge	RANDBS	ESN	IMSI_S1	SSD_A_NEW
TMSI Assignment	RAND	ESN	IMSI_S1	SSD_A
PACA Cancellation	RAND	ESN	IMSI_S1	SSD_A

Как видно из табл. 6.3, все параметры кроме SSD_AUTH могут быть получены путем радиомониторинга сети или непосредственного считывания из АС.

В качестве SSD_AUTH используется временный секретный ключ аутентификации, полученный в результате выполнения процедуры SSD Update.

Атака на протокол аутентификации

Идея атаки на уровне протокола, описанная ниже, приведена в и позволяет получить доступ к сети без знания секретных параметров процедуры аутентификации абонента, от чего имени посылается сообщение. Эта атака принадлежит к классическому варианту men-in-the middle attack.

Атака осуществляется в следующей последовательности:

Сторона Б, желающая имперсонифицировать абонента А, включает аппаратуру эмуляции сети для абонента А. При проведении атаки Б должен излучить более сильный сигнал, чем реальная БС. МC А подключается к эмулятору сети стороны Б и перейдет к мониторингу канала доступа, передаваемого Б. В это время Б инициирует доступ к реальной сети и в процессе одной из стандартных процедур АС получает запрос на аутентификацию от сети. Б передает запрос на аутентификацию к абоненту А и получает от него рассчитанное значение Auth_Signature. Затем Б перенаправляет рассчитанное А значение в реальную сеть. Таким образом, Б получает доступ к сети от имени А. Представленный ниже рис.6.11 поясняет принцип данного вида атаки.

Рис. 6.11. Потоки сообщений при атаке на протокол аутентификации

Атака на криптоалгоритм аутентификации

Другая возможность получения доступа к сети заключается в получении секретных параметров абонента путем атаки на криптоалгоритм, используемый в процессе аутентификации.

Алгоритм CAVE использует 176 бит данных, для загрузки внутренних регистров (reg[0;1;…;15]), 32-битный линейный сдвиговый регистр с обратной связью (LFSR) с байтами, помеченными как A,B,C,D и два 8-битных значения OFFSET (так называемые "high" и "low" смещения). LFSR имеет известную линейную функцию с обратной связи. Пусть 32 бита LFSR будут отмечены как А₇; А₆;…А₀; В₇;…; D₀. Обратная связь LFSR вычисляется по формуле:

А₇= В₆  D₂  D₁  D₀.

Загрузка входных параметров производится в зависимости от запрошенной криптографической операции. В любом случае LFSR нельзя инициировать всеми нулями. Выход CAVE является окончательным состоянием регистров данных после 4 или 8 циклов работы. На практике только часть регистров данных используется в качестве выхода, в зависимости от частного случая применения. Возможна также дополнительная обработка выходных значений регистров. Алгоритм CAVE основывается на байтах, хотя используются некоторые полубайтовые операции и однобитные чередования. Операции, используемые CAVE – XOR, суммирование по модулю 256 (mod 256) и поиск в двух таблицах CT_low[:] CT_high[:]. Каждая таблица CAVE состоит из 256 4-битных значений, причем каждое значение появляется точно 16 раз. Таблицы CAVE используются отдельно как блоки подстановки, причем одна из них содержит перестановку 16 байт в конце каждого цикла. Каждый цикл CAVE состоит из 16 фаз обновлений регистров с последующей простой перестановкой бит в регистрах. Каждый из 16 регистров обновляется в течении соответствующей фазы. Каждая фаза цикла CAVE состоит из 4 основных частей: сегмент младшего полубайта, сегмент старшего полубайта, сдвиг LFSR и обновление регистра. Сегменты младшего/старшего полубайта идентичны по своей структуре, хотя они используют несколько различные данные. В этих сегментах содержатся основные операции алгоритма CAVE.

CAVE является сложным алгоритмом с точки зрения булева анализа. Большое количество путей алгебраических путей, по которым входные биты распространяются и взаимодействуют в CAVE, препятствуют дифференциальному и алгебраическому анализу.

Процедура аутентификации является достаточно криптостойкой и пока неизвестны виды атак, позволяющие сократить объем вычислений при нахождении значения хэширующей функции по сравнению с методом перебора.

Атака криптоалгоритма методом перебора представляется едва ли не единственно возможным решением.

Получение данных для регистрации в конкретной сети путем их считывания из АС

Другой возможностью осуществления ложного процесса аутентификации и несанкционированного доступа к услугам сети является считывание параметров аутентификации из официально зарегистрированной в сети АС. Практически все серийно выпускающиеся АС стандарта IS-95 позволяют перепрограммировать все параметры, необходимые для регистрации данной станции в конкретной сети. Считывание возможно как при помощи клавиатуры самой АС (в этом случае будут считаны не все параметры, а только часть), так и при помощи специализированного программного обеспечения (в этом случаи будут считаны все параметры).

Для считывания параметров при помощи клавиатуры самой АС необходимо войти в сервисное меню телефона. После чего появится возможность просмотра и программирования необходимых параметров. Следует отметить, что при помощи клавиатуры самой АС невозможно изменить электронный номер мобильной станции (ESN), а также невозможно считать такие параметры как A-Key, SSD.

Параметры мобильной станции

В соответствии со стандартом IS-95 каждая АС имеет ряд индикаторов (параметров), которые она сохраняет во внутренней памяти. Все эти индикаторы можно разделить на две категории:

- индикаторы АС - индикаторы, являющиеся глобальными и не зависящие от NAM (Number Assignment Module - модуль распределения номеров);

- индикаторы NAM - индикаторы, определяющие параметры, ассоциированные с NAM АС.

Индикаторы АС состоят из постоянных индикаторов АС и полупостоянных индикаторов.

Постоянные индикаторы АС определяют физическую конфигурацию и атрибуты станции, не зависящие от NAM. Эти индикаторы представлены в табл. 3.4.

Таблица 6.4

Индикатор	Число бит	Описание
ESN	32	Электронный серийный номер АС
SCMp	8	Метка класса станции
SLOT_CYCLE_INDEXP	3	Предпочтительный слотовый индекс
MOB_P_REVP	8	Номер ревизии протокола
MOB_FIRM_REVP	16	Номер модели производителя
MOB_MODELP	8	Номер ревизии программных средств

Полупостоянные индикаторы АС связаны с регистрацией и блокировкой АС. Эти индикаторы сохраняются, когда АС выключается. Они не зависят от используемого NAM. Полупостоянные индикаторы АС, соответствующей стандарту IS-95 представлены в табл. 6.5.

Таблица 6.5.

Индикатор	Число бит	Описание
ZONE_LISTS-P REG_ZONES-P SIDS-P NIDS-P	12 15 15	Зональный регистрационный признак Уникальный номер, идентифицирующий зону Уникальный номер, идентифицирующий сотовую систему Уникальный идентифицирующий номер сети в сотовой системе
SID_NIDLISTS-P SIDS-P NIDS-P		Регистрационный список системы/сети Уникальный номер, идентифицирующий сотовую систему Уникальный идентифицирующий номер сети в сотовой системе
BASE_LAT_REGS-P		Дистанционная регистрационная переменная
BASE_LONG_REGS-P		Дистанционная регистрационная переменная
REG_DIST_REGS-P		Дистанционная регистрационная переменная
LCKRSN_PS-P		Код причины блокировки
MAINTRSNS-P		Код обслуживания

Индикаторы NAM. Каждая АС имеет один или более NAM. В табл. 6.6 представлены постоянные и полупостоянные индикаторы, ассоциированные с каждым NAM.

Таблица 6.6.

Индикатор	Число бит	Описание
PREF_MODEP		Предпочтительный режим работы: аналоговый или CDMA
CDMA_PREF_SERVP		Предпочтительная система CDMA: A или B
FIRSTCHPP		Номер первого канала оповещения
A_KEY		64-битный криптографический ключ
SSDS-P		Данные с совместно используемой секретностью
COUNTS-P		Параметр истории вызовов
MCCP		Код страны
ISI_ADDR_NUMP		Равен числу национального идентификационного номера мобильной станции минус четыре
IMSI_11_12P		Равен 11-й и 12-й цифрами IMSI

Продолжение табл. 6.6

IMSI_SP		Международный идентификационный номер мобильного абонента
HOME_SIDP		Индикатор идентификации своей системы (Home System)
SIDP		Уникальный номер, идентифицирующий сотовую систему
NIDP		Уникальный идентифицирующий номер сети в сотовой системе
ACCOLCP		Индикатор класса перегрузки доступа
EXP		Индикатор метода доступа

Индикаторы (параметры) необходимые для создания дубликата АС.

Из всех индикаторов (параметров), которые хранятся во внутренней памяти АС, можно выделить определенный ряд параметров, которые необходимы для полноценного дубликата АС.

Для создания дубликата АС необходимо знать всего одиннадцать параметров из тех, которые перечислены в таблицах 3.4-3.6. Кроме того, есть еще несколько параметров, которые важны при создания дубликата АС. Это такие параметры, как первичный и вторичный CDMA каналы CDMA. В соответствии со стандартом IS-95 первичный канал CDMA должен иметь номер 283 для системы А и номер 384 для системы B. Вторичный канал CDMA должен иметь номер 691 для системы А и канал номер 777 для системы Б. Базовая станция должна поддерживать или первичный канал CDMA, или вторичный канал CDMA, или оба канала. Кроме того, необходимо знать номера каналов, на которых работает БС в данной сети.

Возможно получение идентификационных параметров путем радиомониторинга обмена между абонентами сети. При этом необходимо осуществлять мониторинг как сообщений передаваемых с БС на АС, так и сообщений, отсылаемых АС на БС.

Осуществляя мониторинг можно получить все необходимые параметры за исключением A-Key и SSD. Через радиоинтерфейс можно получить только результат вычислений некоторых криптостойких функций, в которых A-Key и SSD участвуют в качестве параметров.

На основании вышеизложенного можно сделать следующие выводы:

1. Для осуществления доступа к услугам сети необходимо положительное завершение процесса аутентификации - совпадение результатов некоторых вычислений на базовой и мобильной станциях. Данные, необходимые для успешного завершения процесса аутентификации, можно получить либо непосредственно из процесса аутентификации, либо считать их из мобильной радиостанции.

2. Данные, необходимые для процесса аутентификации можно получить путем атаки на протокол аутентификации или путем атаки на криптоалгоритм аутентификации. Первый вариант атаки можно осуществить только при помощи специальной достаточно сложной аппаратуры. Криптоалгоритм, применяемый при аутентификации, является достаточно сложным и стойким, а единственным возможным вариантом взлома является перебор, который требует больших вычислительных мощностей и времени.

3. Другой возможностью осуществления методов ложного процесса регистрации и несанкционированного доступа к услугам сети является считывание параметров, необходимых для успешного завершения процесса аутентификации, из официально зарегистрированной в сети мобильной станции.

4. Возможно также получение параметров регистрации путем радиомониторинга информационного обмена между абонентами сети. Однако при этом определяются не все необходимые параметры.