Конструктивно-технологическое обеспечение средств связи

Содержание

Слайд 2

Общие аспекты безопасности 2G Конфиденциальность пользовательского идентификатора (IMSI); Аутентификация пользовательского идентификатора

Общие аспекты безопасности 2G

Конфиденциальность пользовательского идентификатора (IMSI);
Аутентификация пользовательского идентификатора (IMSI);


Конфиденциальность пользовательских данных на физическом уровне;
Конфиденциальность передаваемых пользовательских данных;
Конфиденциальность сигнальной информации
Слайд 3

Безопасность сети GSM Основу системы безопасности GSM составляют три алгоритма: А3

Безопасность сети GSM

Основу системы безопасности GSM составляют три алгоритма:
А3 -

алгоритм аутентификации, защищающий телефон от клонирования;
А8 - алгоритм генерации криптоключа, по сути дела однонаправленная функция, которая берет фрагмент выхода от A3 и превращает его в сеансовый ключ для A5;
A5 - собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров. В GSM используются две основные разновидности алгоритма: A5/1 и A5/2
Мобильные станции (телефоны) снабжены смарт-картой, содержащей A3 и A8, а в самом телефоне имеется ASIC-чип с алгоритмом A5. Базовые станции также снабжены ASIC-чипом с A5 и "центром аутентификации", использующим алгоритмы A3-A8 для идентификации мобильного абонента и генерации сеансового ключа.
Слайд 4

Рекомендации по безопасности (etsi.org)

Рекомендации по безопасности (etsi.org)

Слайд 5

Идентификационный модуль абонента (SIM) Ключевой особенностью стандарта GSM является Subscriber Identity

Идентификационный модуль абонента (SIM)

Ключевой особенностью стандарта GSM является Subscriber Identity Module

– SIM-карта. SIM-карта содержит всю информацию об условиях абонирования и вставляется в ME, чтобы дать возможность абоненту пользоваться услугами сети GSM. Без SIM-карты MS также может работать, но только в режиме экстренных вызовов.
SIM-карта хранит в себе три вида абонентской информации:
Фиксированные данные: данные, которые постоянно хранятся в карте и прошиваются на IMSI, ключ аутентификации, алгоритмы для обеспечения безопасности связи.
Временные данные о сети: LA, запрещённые PLMN.
Данные, касающиеся услуг.
Слайд 6

Требования к информации, хранящейся в SIM Обязательные данные Административная информация: описывает

Требования к информации, хранящейся в SIM

Обязательные данные
Административная информация: описывает режим

работы SIM, например, обычный режим или режим утвержденного типового образца (тестовый режим).
Идентификация IC карты: уникальная информация, идентифицирующая SIM.
ICCID - международный идентификатор карты. Это уникальный физический номер карты (тип серийного заводского номера). Этот номер печатается на пластмассовой части чипа.
IccID=89701+99+010000000001 – всего 19 цифр;
Расшифровка: расшифровка основана на рек. ITU-T Е.118: 89 - пластиковая карта для телекоммуникаций
7 - Россия (рек. ITU-T E.164) 01 - федеральная сеть GSM-900 99 – сеть оператора
01 - регион
Слайд 7

Необязательные данные SIM International Mobile Subscriber Identity (IMSI): идентификационный номер, используемый

Необязательные данные SIM

International Mobile Subscriber Identity (IMSI): идентификационный номер, используемый

сетью для идентификации абонента. IMSI=MCC+MNC+MSIN=250+99+91X1…X8;
Информация о местоположении: LAI, которая периодически обновляется.
Ключ шифрования (Кс)
Порядковый номер ключа шифрования
Последние частоты, использованные при выборе сот
Запрещённые PLMN
Языковая поддержка: язык, выбранный абонентом
Информация о местоположении, Kc и порядковый номер ключа шифрования Kc обновляются при обслуживании каждого входящего соединения.
Кроме того SIM позволяет администрировать вызовы и предоставлять доступ к данным в соответствии со следующими требованиями обеспечения безопасности связи:
Personal Identification Number (PIN) – PIN код
Индикатор активации / деактивации PIN кода
Счетчик количества неправильно введенных PIN кодов
PIN Unlock Key (PUK) - PUK код
Счетчик количества неправильно введенных PUK кодов
Ключ аутентификации абонента (Ki)
Слайд 8

Аутентификация Выполняется, как правило, в 3х случаях: Начальная стадия звонка Процедура

Аутентификация

Выполняется, как правило, в 3х случаях:
Начальная стадия звонка
Процедура Location Update
Получение доступа

к доп.сервисам сети
Слайд 9

Аутентификация (принцип) Сеть передает случайный номер (RAND) на подвижную станцию. Подвижная

Аутентификация (принцип)

Сеть передает случайный номер (RAND) на подвижную станцию.
Подвижная станция определяет

значение отклика (SRES), используя RAND (128), Ki и алгоритм A3:
SRES = Ki [RAND] (32).
Подвижная станция посылает вычисленное значение SRES в сеть, которая сверяет значение принятого SRES со значением SRES, вычисленным сетью.
Если оба значения совпадают, подвижная станция может осуществлять передачу сообщений.
Слайд 10

Общая процедура аутентификации Когда необходимо BSS/MSC/VLR делает запрос в HLR/AuC, ,

Общая процедура аутентификации

Когда необходимо BSS/MSC/VLR делает запрос в HLR/AuC, ,

в котором хранится информация об АТ
Информация представляет собой случайный номер RAND и контрольную сумму SRES, которые получены с применением алгоритма А3 для каждого случайного значения RAND и ключа Ki.
RAND и Ki хранятся в VLR.
Слайд 11

Общая процедура аутентификации Когда MSC/VLR выполняет аутентификацию, включающую в себя процедуру

Общая процедура аутентификации

Когда MSC/VLR выполняет аутентификацию, включающую в себя процедуру обновления

местоположения в рамках VLR, он посылает случайный номер RAND (128 бит), который комбинируется с Ki, шифруется алгоритмом A3 и сверяет полученный SPES (32 бит) с SRES AuC.
Слайд 12

АУТЕНТИФИКАЦИЯ KI (M) … KI (N) IMSI (m) IMSI (n) A8

АУТЕНТИФИКАЦИЯ

KI (M)


KI (N)

IMSI (m)

IMSI (n)

A8 A3

RAND генер.

AUC

HLR

VLR

SIM-карта

EQUAL

A8 A3

SRES

KI (IMSI)

Слайд 13

Схема аутентификации с помощью алгоритма A3 На стороне сети два входных

Схема аутентификации с помощью алгоритма A3

На стороне сети два входных параметра

(RAND и Ki) и выходной параметр (SRES) должен использовать следующие форматы:
длина Ki: 128 бит;
длина RAND: 128 бит;
длина SRES: 32 бит.
«время жизни» алгоритма А3 должно быть меньше чем 500 мс.
Слайд 14

Модификации алгоритма COMP128 Алгоритмы A3, A8 в своей работе базируются на

Модификации алгоритма COMP128

Алгоритмы A3, A8 в своей работе базируются на крипто

хеш – функции COMP128. структура этого алгоритма называется «формой бабочки». Состоит из 8 раундов в каждом раунде по 5 итераций
COMP128 v.1 и COMP128 v.2 (вырабатывают 54 битный ключ),);
COMP128 v.3 вырабатывает 64 битный сеансовый ключ;
COMP128 v.4 данная версия основана на стандарте 3GPP алгоритме MILENAGE, который использует AES (RIJNDAEL).

Схема работы хеш-функции COMP128

Слайд 15

Алгоритм А8 На стороне АТ алгоритм А8 хранится в SIM-карте (GSM

Алгоритм А8

На стороне АТ алгоритм А8 хранится в SIM-карте (GSM 02.17).
На

стороне сети алгоритм А8 взаимодействует с алгоритмом А3.
Входные параметры (RAND и Ki) и выходные параметры (Kc) должны иметь следующие форматы:
длина Ki: 128 бит;
длина RAND: 128 бит;
длина Kc: 64 бит.
Слайд 16

Спецификация алгоритма A5 Для двух входных параметров (COUNT и Kc) и

Спецификация алгоритма A5

Для двух входных параметров (COUNT и Kc) и выходных

параметров (BLOCK1 и BLOCK2) должны использоваться следующие форматы:
длина Kc: 64 bits;
длина COUNT: 22 bits;
длина BLOCK1: 114 bits;
длина BLOCK2: 114 bits.
Время получения параметров BLOCK1 и BLOCK2 должно быть меньше чем длительность TDMA кадра, т.е. 4.615 мс.
Слайд 17

Распределение ключей и идентификаторов в аппаратных средствах системы связи GSM

Распределение ключей и идентификаторов в аппаратных средствах системы связи GSM

Слайд 18

Содержание Безопасность доступа в UMTS. Взаимная аутентификация. Шифрование в сети UTRAN.

Содержание

Безопасность доступа в UMTS. Взаимная аутентификация. Шифрование в сети UTRAN. Дополнительные

средства обеспечения безопасности в системах 3GPP. Аспекты безопасности на уровне системы и сети.
Слайд 19

Рекомендации TS 22.101: Аспекты службы; принципы службы TS 33.102: Безопасность 3G;

Рекомендации

TS 22.101: Аспекты службы; принципы службы
TS 33.102: Безопасность 3G; архитектура безопасности
TS

33.106: Требования к санкционированному перехвату
TS 33.107: Безопасность 3G; архитектура и функции санкционированного перехвата
TS 33.108: Безопасность 3G; интерфейс передачи разговора для санкционированного перехвата (LI)
TS 33.200: Безопасность сетевого домена – MAP
TS 33.203: Безопасность 3G; безопасность доступа для служб, базирующихся на протоколе IP
TS 33.210: Безопасность; безопасность сетевого домена (NDS); безопасность уровня IP-сети
TS 35.205, .206, .207, .208 и .909: Безопасность 3G; спецификация комплекта алгоритмов MILENAGE: пример комплекта алгоритмов для функций аутентификации и генерации ключа 3GPP f1, f1*, f2, f3, f4, f5 и f5*; (.205: Общий; .206: Спецификация алгоритма; .207: Тестовые данные разработчика; .208: Тестовые данные проверки соответствия проекту; .909: Резюме и результаты проектирования и оценки) СИК
Слайд 20

Угрозы конфиденциальности сети подвижной связи 3G использование недекларированных возможностей программно-технических средств

Угрозы конфиденциальности сети подвижной связи 3G

использование недекларированных возможностей программно-технических средств

сети связи 3G;
несанкционированный доступ к информационным ресурсам сети связи 3G из внешних сетей;
преодоление мер криптозащиты данных при передаче в эфире и по сети;
организация нелегального транзитного узла передачи данных (man-in-the-middle) и манипуляции с обрабатываемым таким узлом трафиком;
внедрение вредоносных программ (вирусов, троянских программ, "червей");
навязывание пользователю нежелательной информации (Спама);
рекламное ПО, загружаемое и устанавливаемое на мобильное устройство без ведома пользователя и периодически отображающее рекламную информацию;
получение обманным путем услуг сотовой связи без цели их надлежащей оплаты;
несанкционированный доступ к ПО серверов и рабочих станций, а так же сервисным устройствам сети с подменой идентификатора или сетевого адреса;
перехват сигналов в линиях связи;
перехват и анализ сетевого трафика;
несанкционированный перехват информации за счет ПЭМИН от технических средств, наводок по линиям электропитания, наводок по посторонним проводникам, перехват по акустическому каналу, перехват за счет нарушения установленных правил доступа (взлом);
несанкционированный запуск приложений в ИВС и на оборудовании сети;
несанкционированное изучение топологии защищенного объекта, определение запущенных приложений, служб и открытых портов;
несанкционированный доступ к режиму конфигурирования оборудования;
несанкционированный доступ к информационным ресурсам группового пользования с правами администратора и др.
Слайд 21

Общая архитектура безопасности Защита доступа абонента к сети: безопасный доступ к

Общая архитектура безопасности

Защита доступа абонента к сети: безопасный доступ к сети

3G на уровне радиоинтерфейса. Для обеспечения конфиденциальности доступа в сетях 3-го поколения в отличие от сетей 2-го поколения используется взаимная аутентификация абонента и сети (т. е. и абонент идентифицируется сетью, и сеть идентифицируется по отношению к абонентскому терминалу).
Защита доступа к внутренней сети, т. е. комплекс мер, который позволяет элементам сети оператора безопасно обмениваться сигнальной информацией внутри сети (в данном случае - внутри именно проводной сети). Этот комплекс мер противостоит угрозе несанкционированного доступа к оборудованию сети и в достаточной мере осуществляется производителями сетевого оборудования и операторами связи.
Защита доступа к абонентскому оборудованию. Сюда относятся меры, обеспечивающие безопасный доступ к абонентскому терминалу. Это может быть система авторизации, как на базе SIM-модуля, так и на базе терминального оборудования с возможным снятием биометрических показателей абонента. Вся ответственность за осуществление этих мер ложится на пользователя оборудования.
Защита интерфейсов приложений. На этом уровне рассматривается комплекс мер по обеспечению безопасного обмена сообщениями приложений на стороне пользователя и на стороне оператора.
Прозрачность уровней обеспечения безопасности и возможность их изменения. Сюда относится комплекс мер, который позволяет абоненту получать информацию о том, какие уровни безопасности в настоящий момент работают, а какие нет, и соответствен­но изменять этот список. Кроме этого, использование или предоставление услуг должно зависеть от задействованных мер обеспечения безопасности.
Меры, перечисленные в первых двух пунктах, присущи не только системе безопасности мобильной связи 3-го поколения. Комплексы этих мер регламентируются стандартами и гарантируются производителями сетевого и абонентского оборудования. Поэтому в целом учитывать их влияние стоит только при выборе того или иного стандарта мобильной связи.
Четвертый и пятый комплексы мер специфичны для сетей 3-го по­коления, и для их полноценного осуществления уже необходимо взаимодействие трех сторон: абонента, оператора и поставщика услуги (разработчика приложения).
Слайд 22

Уязвимые узлы сетей Абонентское оборудование, т.е. сотовые телефоны, коммуникаторы, смартфоны, ноутбуки

Уязвимые узлы сетей

Абонентское оборудование, т.е. сотовые телефоны, коммуникаторы, смартфоны, ноутбуки
Радиолинк между

мобильным аппаратом и сотовой базовой станцией
Интерфейсы к другим мобильным сетям - в сетях GPRS/UMTS это интерфейс Gp
Интерфейсы к сетям передачи данных - Интернету или частным сетям; в GPRS/UMTS сетях за это отвечает интерфейс Gi.
Элементы управления и технические модули, такие как Home Location Register (HLR), который хранит данные об абоненте (интерфейс Ga в сети GPRS/UMTS).
Сервера приложений (application servers) и сервера с контентом (content servers)
Между- и внутрисетевые сигнальные протоколы и интерфейсы.
Слайд 23

Средства защиты UMTS Внедрена взаимная аутентификация AKA (Authentication and Key Agreement),

Средства защиты UMTS

Внедрена взаимная аутентификация AKA (Authentication and Key Agreement), которая

включает в себя:
аутентификацию домашнего окружения по отношению к пользователю;
соглашение о ключе целостности (IK) между пользователем и обслуживающей сетью;
взаимное подтверждение “свежести” ключей шифрования (СК) и аутентификации между пользователем и обслуживающей сетью.
Разработаны и внедрены алгоритмы шифрования с ключами большей длины, в основу которых положен модифицированный поточный шифр.
Обеспечена целостность данных путем использования алгоритмов проверки целостности и аутентификация источника передачи данных.
Разработаны механизмы для поддержания сетевой и межсетевой защиты.
Разработаны механизмы целостности IMEI.
Разработаны механизмы для отражения мошеннических действий в режиме роуминга.
Введена индикация о статусе шифрования и о доступном уровне безопасности (2G, 3G).
Обеспечена возможность конфигурируемости, которая предполагает следующее:
пользователь определяет те средства защиты, которые должны быть включены для определенных услуг;
включение/выключение аутентификации “Пользователь ↔ USIM”;
прием/отказ входящих незашифрованных вызовов;
включение/выключение режима незашифрованных вызовов;
прием/отказ использования определенных алгоритмов шифрования.
Слайд 24

Функции, обеспечивающие безопасность информации в сетях 3G Аутентификация - процесс проверки

Функции, обеспечивающие безопасность информации в сетях 3G

Аутентификация - процесс проверки

подлинности личности (пользователя) с помощью секретного ключа. Аутентификация связана с применением модуля USIM. Он содержит персональный идентификатор абонента (PIN-код), персональный код разблокировки (PUK-код), индивидуальный ключ аутентификации пользователя, индивидуальный алгоритм его аутентификации, алгоритм для вычисления ключа шифрования. Для защиты USIM‑карты от несанкционированного ее применения необходимо проводить процедуру ее блокирования. Пока USIM‑карта заблокирована, пользоваться мобильным терминалом невозможно.
Конфиденциальность пользователя - процесс, осуществляемый посредством использования специальных временных идентификаторов, сменяемых по мере перемещения пользователя от соты к соте.
Конфиденциальность передаваемых данных. Ее реализуют посредством шифрования сведений на участке между мобильным терминалом и сетью. Шифрование информации - это процесс преобразования ее в недоступную для постороннего форму криптографическим методом. В сетях сотовой связи такую операцию производят с помощью программных средств.
Целостность данных - невозможность скрытного изменения данных злоумышленником в процессе их передачи. Кроме того, пользователь услугами в сетях сотовой связи третьего поколения может на своем терминале производить выбор операций по обеспечению безопасности используемой им информации. К таким операциям относят: включение обязательной аутентификации при доступе пользователя к USIM‑карте; запрещение доступа незашифрованных входных вызовов; выбор конкретных алгоритмов шифрования и др.
Слайд 25

Механизм АКА

Механизм АКА

Слайд 26

В состав AV входят: RAND; XRES; СК; IK; AUTN (Authentication token - маркер аутентификации).

В состав AV входят:

RAND;
XRES;
СК;
IK;
AUTN (Authentication token - маркер аутентификации).

Слайд 27

генерируемые компоненты значение компоненты MAC = f1K(SQN || RAND || AMF),

генерируемые компоненты

значение компоненты MAC = f1K(SQN || RAND || AMF), где

AMF (Authentication Management Field - Поле управления аутентификацией);
значение компоненты XRES = f2K (RAND);
значение компоненты CK = f3K (RAND);
значение компоненты IK = f4K (RAND);
значение ключа анонимности AK = f5K (RAND).
Слайд 28

Функции АКА f1 - функция используется для вычисления аутентификационного сообщения MAC

Функции АКА

f1 - функция используется для вычисления аутентификационного сообщения MAC (Message

authentication code – код аутентификационного сообщения);
f1* - функция используется для вычисления аутентификационного сообщения MAC-S;
f2 - функция используется для вычисления аутентификационных сообщений RES (RESponse - ответ) и XRES (Expected user RESponse – ожидаемый ответ);
f3 - функция генерации ключа шифрования CK (Ciphering Key – ключ шифрования);
f4 - функция генерации ключа целостности IK (Integrity key – ключ целостности);
f5 - функция генерации ключа анонимности AK (Anonymity Key – ключ анонимности) в нормальном режиме;
f5*- функция генерации ключа анонимности AK в режиме ресинхронизации
Слайд 29

Генерация пятикомпонентных аутентификационных векторов

Генерация пятикомпонентных аутентификационных векторов

Слайд 30

Параметры аутентификации Ключ аутентификации K - 128 бит Длина случайной последовательности

Параметры аутентификации
Ключ аутентификации K - 128 бит
Длина случайной последовательности RAND -

128 бит
Последовательность номеров SQN - 48 бит
Анонимный ключ AK - 48 бит
Длина поля управления аутентификацией - 16 бит
Длина MAC-кодов сообщения аутентификации AUTN и MAC-S в AUTS - 64 бит
Ключ шифрования CK - 128 бит
Ключ целостности IK - 128 бит
Длина отклика аутентификации RES - переменная длина 4-16 октетов.
Слайд 31

Генерация пятикомпонентных векторов в AuC

Генерация пятикомпонентных векторов в AuC

Слайд 32

Процесс ресинхронизации в VLR/AuC

Процесс ресинхронизации в VLR/AuC

Слайд 33

Процесс обеспечения целостности

Процесс обеспечения целостности

Слайд 34

Аутентификация и установление соединения

Аутентификация и установление соединения

- Предыдущая
Судебная медицина. Организация судебномедицинской службы
Следующая -
Е. Благинина. Стихи

Похожие презентации

Управление инфраструктурой городского хозяйства
20170124_milyutinskaya_shkola_v_gody_velikoy_otechestvennoy_voyny
Заметки о морском рынке перевозок
20140114_unizhennye_i_oskorblyonnye_-2_lyubov_i_eyo_variatsii
Водомерное стекло
Автомобиль будущего: каким он будет
Духовное Христианство
Игра в Игре с Лопшо Педунем
Ремонт блоку живлення LCD телевізора LG19MN43D
Игра Внутри, снаружи
Педагогическое общение
Первый лист презентации
Ящик для гвоздей
Джек Лондон
Isollat (objects of application)
ISLOM KARIMOV
Prezentatsia_Railya_Gimadieva
Требования к участию в научной работе, к выбору тематики и подготовке выпускных квалификационных работ
Оборудование для эксплуатации фонтанных скважин
Сортировка и фильтрация даных в электронной таблице
Электромеханические системы (электропривод). Механическая часть электропривода
The second coming
Наш дружный 4 В класс
Растим таланты
Процесс образования однониточного цепного стежка
Русский язык. Задание 13
Онлайн-корпоратив
фолк-фест Папоротник
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть