 |
Защита подлинности сообщений сигнализации
|
|
|
|
Безопасность в UTRA
Принципы обеспечения безопасности в UTRA
Решение проблем безопасности в UTRA является развитием технологий безопасности, реализованных в GSM. Безопасность в GSM основана на 3 основных принципах,
§ аутентификация абонента,
§ шифрация сообщений, передаваемых по радиоканалу,
§ закрытие абонентов временными идентификаторами.
Эти принципы лежат в основе построения систем безопасности 2G. Эксплуатация сетей GSM позволила выявить слабые места, устранение которых было предметом особого внимания при подготовке стандартов 3G.
§ Нет защиты от активных атак на сеть, в частности, при размещении фальшивых базовых станций.
§ Весьма чувствительные данные, такие, как ключи шифрации, передают по внутренней сети без защиты.
§ Некоторые части архитектуры криптографии закрыты (например, криптографические алгоритмы). Это не повышает к ним доверия, так как их действенность нельзя проверить новыми методами; с другой стороны, все секреты рано или поздно становятся известными.
§ Ключи, используемые для шифрации, длиной 64 бита, могут быть подвержены грубой атаке, когда идет перебор ключей, пока какой- нибудь не подойдет.
Эти недостатки было решено в GSM не исправлять. Угрозы, вызываемые ими, не идут в сравнение с затратами на их устранение. Однако в системах 3G с самого начала было обращено внимание на необходимость более жесткого подхода к проблемам безопасности. В результате установлены 4 принципа безопасности в сетях UTRA.
§ Взаимная аутентификация абонента и сети.
§ Использование временных идентификаторов для закрытия абонента (номеров TMSI и P-TMSI при подключении к сетям с коммутацией каналов и коммутацией пакетов).
|
|
|
§ Шифрация сообщений, передаваемых по радиоканалу.
§ Защита сигнализации внутри UTRAN.
Архитектура системы безопасности и основные процедуры описаны в [31], [32]. Все криптографические алгоритмы доступны; в то же время алгоритмы аутентификации специфичны для каждого оператора.
Взаимная аутентификация
Система аутентификации построена, как и в GSM, на алгоритме запрос – ответ. Запрос проверки аутентичности IMSI следует из VLR/SGSN в AuC домашней сети (рис. 7.1). Важнейшим элементом процесса аутентификации является Master Key (K) длиной 128 бит. Этот секретный ключ хранят в USIM и AuC и никогда не передают по сети. В AuC генерируют вектор аутентификации, состоящий из 5 параметров:
Рис. 7.1. Процедура аутентификации: начальная стадия
RAND – Random Challenge, случайное число <128бит>,
AUTN – Authentication Token, символ аутентификации: комплексный параметр, необходимый для взаимной аутентификации,
XRES – eXpected Response, результат работы алгоритма аутентификации <32 - 128бит>,
CK – Cipher Key, ключ шифрации <128бит>,
IK – Integrity Key, ключ целостности <128бит>.
Этот вектор пересылают из AuC в MSC/VLR или SGSN в Authentication Data Response. Для взаимной аутентификации абонента и сети абоненту в USIM направляют по радиоканалу 2 параметра: RAND и AUTN. Обратно получают ответ RES, который должен совпасть с XRES, хранящимся в VLR/SGSN.
Ключи CK и IK для шифрации и проверки подлинности сообщений сигнализации пересылают в RNC, обслуживающий абонента.
Схема генерации вектора аутентификации показан на рис. 7.2. В процессе генерации вектора участвуют случайное число RAND, Master Key K и порядковый номер процедуры Sequence Number SQN. Счетчик SQN меняет свое значение при каждой генерации вектора аутентификации. Аналогичный счетчик SQN работает в USIM. Это позволяет всякий раз получать новый вектор аутентификации и делает невозможным повторение уже использованного вектора. При потере синхронизации счетчиков SQN в AuC и USIM действует специальная процедура ее восстановления [31].
|
|
|
Рис. 7.2. Генерация вектора аутентификации.
Криптографический алгоритм выполнен с помощью однонаправленных функций. Это значит, что прямой результат получают путем простых вычислений, но не существует эффективного алгоритма для получения обратного результата. В самом алгоритме (рис. 7.2) использованы 5 однонаправленных функций: f1, f2, f3, f4 и f5. Кроме трех исходных величин: SQN, RAND и К в алгоритме f1 участвует поле управления аутентификацией Authentication Management Field AMF, в алгоритмах f2 – f5 исходные параметры – RAND и К. На выходах соответствующих функций получают Message Authentication Code (MAC) длиной 64 бита, XRES, СК, IK и Anonimity Key AK (64 бита). Параметр AUTN представляет собой запись в строку трех параметров: SQN Å AK, AMF и МАС.
Как было сказано, в процессе взаимной аутентификации в USIM по радиоканалу передают RAND и AUTN. Процедуры, происходящие в USIM, показаны на рис. 7.3. В USIM прежде всего вычисляют анонимный ключ АК по алгоритму f5, что позволяет извлечь SQN. При этом не может быть повторена пара RAND и AUTN, так как при каждой новой аутентификации SQN должен меняться. USIM также убеждается в том, что параметр SQN находится в допустимой зоне значений. Если он оказывается вне этой зоны, то следует процедура восстановления синхронизации SQN [31].
Далее по алгоритму f1 находят XMAC, который должен совпасть с МАС, что подтверждает аутентичность сети. Затем вычисляют RES, CK, и АК с помощью функций f2, f3 и f4. UE отсылает RES в ядро сети, где после проверки RES = XRES завершают процедуру аутентификации абонента. Выбор функций f1 – f5 производит сам оператор, который записывает их в своем AuC и в USIM своих абонентов.
Рис. 7.3. Процедура аутентификации в USIM.
Шифрация сообщений
Шифрацию сообщений, передаваемых по радиоканалу, производят в RNC и UE. В UTRA используют только один алгоритм шифрации – дешифрации f8. СК доставляют в RNC в RANAP сообщении, называемом Security Mode Command. После получения СК RNC посылает Security Mode Command в UE.
В основе шифрации лежит концепция потока сообщений, когда на передаваемое сообщение накладывают маску. Преимущество состоит в том, что маску можно сгенерировать до прихода очередного сообщения.
Структура алгоритма шифрации приведена на рис. 7.4. Шифрацию производят или на уровне МАС или на уровне RLC (см. гл.5.5). Если в сквозном радиоканале используют непрозрачную передачу информации (AM или UM), то шифрацию производят на уровне RLC. Если же передача идет в прозрачном режиме, без обработки на уровне RLC, шифрацию осуществляют на уровне МАС в модуле МАС-d. В обоих случаях используют счетчик COUNT-C, который в MAC считает передаваемые кадры (CFN – connection frame number), а в RLC специфичные для RLC номера последовательностей RLC sequence number (RLC – SN). Длина счетчика COUNT-C 32 бита. Каждый счетчик состоит из двух частей: ”короткого” и “длинного” номера. Структуры счетчиков для различных видов соединений приведены на рис. 7.5.
|
|
|
“Короткие” счетчики CFN и RLC SN соответствуют номерам PDU, устанавливаемым на МАС уровне (CFN) или RLC уровне (RLC SN совпадает с соответствующим полем заголовка RLC PDU). Для увеличения длины счетчиков введены гиперкадры, номера которых HFN (Hyper Frame Number)
Рис. 7.4. Структура алгоритма шифрации.
увеличивают на 1 всякий раз, когда происходит заполнение “коротких” счетчиков. Начальное значение HFN устанавливают с помощью параметра START (20 старших бит счетчика HFN). В остальных битах HFN изначально записывают нули.
Рис. 7.5. Структуры счетчиков COUNT-C.
Другой исходный параметр – номер канала (bearer) длиной 5 бит. В результате счетчики для различных каналов независимы. Ввод параметра “номер канала” позволяет получать разные шифрующие маски для сообщений, передаваемых пользователю по разным каналам.
Направление передачи DIRECTION (1 бит) позволяет создавать разные шифрующие маски в направлениях передачи вверх и вниз, DIRECTION = 0 для сообщений вверх и DIRECTION = 1 для сообщений вниз. Индикатор длины LENGTH определяет только длину генерируемой шифрующей маски, не влияя на ее значения.
Алгоритм шифрации f8 весьма эффективен, так как для его взлома необходимо перебрать все возможные ключи шифрации СК длиной 128 бит.
Напомним, что временные номера TMSI или P-TMSI передают по радиоканалу в зашифрованном виде.
Защита подлинности сообщений сигнализации
В UTRAN осуществляют защиту подлинности индивидуальных сообщений сигнализации, которыми обмениваются между собой ядро сети или RNC с одной стороны и UE с другой. Это сообщения протоколов RRC, MM, CM, SM, GMM, а также короткие сообщения SM, за исключением некоторых команд, перечисленных в [31, п.6.5.1]. Пользовательские данные (кроме SM) защиты подлинности не имеют. Для проверки подлинности сигнального сообщения к нему добавляют “хвост” MAC-I длиной 32 бита, вычисленный с помощью алгоритма f9 (рис. 7..6).
|
|
|
Рис. 7.6. Структура алгоритма защиты подлинности.
Исходными данными для работы алгоритма служат:
- само сообщение (message),
- IK длиной 128 бит,
- счетчик сигнальных сообщений COUNT-I длиной 32 бита,
- параметр FRESH длиной 32 бита; это случайное число, которое RNC генерирует при каждом сеансе связи и сообщает USIM в RRC Security Mode Command. Выбирая FRESH случайным образом, система может, не производя аутентификации при новых сеансах связи, использовать ранее действовавший ключ IK.
- DIRECTION – параметр (1 бит), определяющий направление передачи.
Результат XMAC-I, вычисленный при приеме сигнального сообщения, должен совпасть с MAC-I, переданном в самом сообщении.
|
|
|
