مدل مدیریت امنیت در شبکه GSM

/در /توسط

gsm

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

براي استخراج مدل مديريتي امنيت به کار رفته در شبکه GSM مي‌توان از استانداردها و توصيه‌نامه‌ها استفاده کرد. استانداردهايGSM 12.03، ETSI 132 101 و ETSI 300 614  که به مدیریت امنیت می‌پردازند، منبع مناسبی برای تعریف روال‌ها و مکانیزم‌های مدیریت امنیت در PLMN ها است.

ویژگی‌های امنیتی ذکر شده در شبکه GSM، از دیدگاه قابل مدیریت بودن به بخش‌های زیر قابل تقسیم است:

1- مدیریت محرمانگی شناسه مشترک (IMSI)

همانطور که در بخش ویژگی‌های امنیتی شبکه GSM توضیح داد شد، از شناسه موقت TIMSI برای محرمانه ماندن شناسه دائمی مشترک(IMSI) بهره گرفته می‌شود. این مکانیزم در استاندارد GSM 03.20  و ساختار TIMSI در استاندارد GSM 03.03 معرفی شده ‌است.

2- مدیریت تایید هویت شناسه مشترک (IMSI)

مکانیزم تایید هویت شناسه مشترک در فصل ویژگی‌‌های امنیتی GSM توضیح داده شد.

3- مدیریت محرمانگی داده در واسط هوایی

مدیریت الگوریتم و رمزنگاری

همانطور که توضیح داده شد، الگوریتم رمز، A5، الگوریتم تایید هویت، A3 و الگوریتم تولید کلید، A8 نامیده می‌شود. A3 و A8 بر روی SIM و مرکز تایید هویت (AuC) و A5 بر روی BTS و گوشی تلفن پیاده‌سازی می‌شوند.

مدیریت کلید رمزنگاری

یادآوری می‌شود که دو نوع کلید در محرمانگی GSM استفاده می‌شود؛ کلید ثابت تایید هویت (Ki) و کلید متغییر رمزنگاری (Kc). مدیریت زوج (IMSI، Ki) در استاندارد GSM 12.02  و تولید Kc در GSM 12.20 توضیح داده شده است.

4- مدیریت امنیت دستگاه‌های موبایل

شناسه دستگاه‌های موبایل(IMEI) که برای امنیت دستگا‌ه‌های موبایل بکار می‌رود، در استاندارد GSM 02.09  تعریف شده است و محل ذخیره آن  در شبکه نیز EIR است. توابع مدیریت IMEI در استاندارد GSM 12.02 توضیح داده می‌شود.

 مکانيزم‌هاي مديريت امنيت

 مکانیزم‌‌هاي مديريتی امنيت به سه دسته قابل تقسيم هستند: الف) مکانيزم‌هايي که براي کنترل خصيصه­هاي امنيتي استفاده مي­شوند. ب) مکانيزم­هايي جهت يافتن اطلاعاتي نظير تلاش‌هاي ممکن جهت ورود از طریق رخنه­هاي امنيتي ج) مکانيزم‌هايي که اجازه آناليز مشکلات امنيتي را مي­دهد.

 مکانيزم‌هاي کنترل سيستم

جهت کنترل سيستم، ويژگي‌هايي[1]  برای ارائه جنبه‌های مختلف مشخصات امنیتی تعریف می‌شوند. با تغییر مقادیر این ويژگي‌ها رفتار سیستم تغییر پیدا می‌کند.

 مکانيزم‌هاي جمع آوري اطلاعات

هدف، ثبت وقوع رويدادهاي امنيتي مي­باشد که براي رسيدن به اين مقصود ممکن است روش‌هاي متفاوتي وابسته به نوع اطلاعات، میزان تکرار و اهمیت رویداد، به کار رود:

  • استفاده از يک پوينده[2] براي جمع آوري اطلاعات و گزارش دوره‌ای اطلاعات اندازه گيري شده براي رويداد هاي با فرکانس وقوع بالا يا رويدادهاي با اهميت زیاد.
  • استفاده از يک شمارشگر براي يک موضوع قابل اندازه­گيري و تعيين يک آستانه براي آن و صدور اخطار در صورت عبور از حد مجاز وقوع.
  • استفاده از هشدار هاي امنيتي براي رويدادهاي نادر و رويدادهاي با اهميت بالا.

در مورد برخي از رويدادهاي امنيتی لازم است که وقوع آن رويداد سريعا مورد بازبيني قرار گيرد تا الگوهاي بروز مشکل و خطا  به موقع شناسايي شوند. در مورد وقوع رويدادهايي که منجر به بروز رخنه‌هاي امنيتي مي­گردد، سيستم احتياج به صدور هشدار براي مدير سيستم را دارد. همچنین نوع هشدار امنيتي و علت وقوع آن بايد براي سيستم تعريف شده باشد.

 مکانیزم‌های اعلام هشدار

هنگام وقوع یک رویداد که تاثیر قابل توجهی در امنیت PLMN دارد، به مدیر باید هشدار داده شود. هشدار امنیتی باید علت وقوع هشدار، راهکار مقابله و علت رویداد را بیان کند. چگونگی این هشدار در CCITT X.736 و ذخیره‌سازی هشدار امنیتی در X.721 تعریف می‌شود.

 روال‌های امنيتی

برخي روال‌هاي امنيتي(تایید هویت، تخصیص مجدد TMSI، بررسی IMEI) به طور مشروط فعال مي­شوند که اجراي آنها توسط يکسري محرک‌هاي امنيتي قابل نظارت، کنترل مي­شود. اين محرک‌هاي امنيت براي گروه‌هاي مختلف مشترکين تعريف مي­شود. مثلا به روز رساني موقعيت براي کاربران متفاوت (مهمان، خانگي و … ) به شکل‌ها و کيفيت‌هاي متفاوتي اجرا مي‌شود.

هر زماني که يک تابع امنيتي فراخواني مي‌شود، تنها زماني اجرا مي­شود که آن تابع براي آن مشترک در VLR تعريف شده باشد.

 روال­هاي مديريت محرمانگي هويت مشترک­

ميزان تناوب تخصيص مجدد TMSI موثر بر محرمانگي مشترک مي­باشد، که اين ميزان با توجه به دو معيار سنجيده مي­شود

  • فرکانس تخصیص مجددTMSI با تعداد دفعات به روز رساني موقعيت(LU) در سيستم
  • انتخاب روال‌های MAP [1] از موبايل که نياز به تخصيص مجدد TMSI دارند.

  •  زمانسنج جهت به روز رساني دوره‌ای موقعيت

مقدار زمان‌سنج به روز رساني موقعيت از طريق کانال BCCH به ايستگاه موبايل منتقل مي­شود. افزايش فرکانس به روز رساني موقعيت به دليل افزايش فرکانس تخصيص مجدد TMSI باعث افزايش محرمانگي مشترک مي­شود ولي منجر به افزايش بار ترافيکي شبکه نيز مي­گردد.

  •  انتخاب‌کننده زمان تخصیص مجدد TMSI

فرکانس تخصيص مجدد TMSI به تعداد برنامه‌ها و سرويس‌هايي از MAP که نياز به تخصيص مجدد TMSI دارند، نيز وابسته مي­باشد. تخصيص مجدد TMSI را می‌توان در روال درخواست دسترسی فرایندهای MAP، مبتنی بر مقادیر کنترلی زیر، فعال یا غیر فعال نمود:

  • فعال سازی Suplimantary Service ها
  • تماس از طرف کاربر
  • تماس مجدد از طرف کاربر
  • تماس‌های ضروری
  • تماس دریافتی
  • SMS

تخصيص مجدد TMSI در به‌روز رسانی موقعیت در MAP، مبتنی بر انواع زیر قابل فعال یا غیر فعال‌ کردن است:

  • به‌روزسانی موقعیت عادی
  • به‌روزسانی موقعیت دوره‌ای
  • به‌روزسانی همراه با IMSI

 يکي ديگر از عوامل موثر بر فرکانس تخصيص مجدد  TMSI فناوری ساخت سيستم (مانند رابط MSC-VLR ) مي­باشد.

 روال‌های مدیریت تایید هویت شناسه کاربر

امنيت تایید هويت وابسته به ويژگي­هاي زير مي­باشد:

الف) چه زماني تایید هويت بايد انجام پذيرد.   ب) چه زماني روال تایید هويت بايد تکرار شود و ج) چه زماني بردار تایید هويت مورد استفاده مجدد قرار گيرد.

براي مديريت موارد فوق بايد موارد زير را کنترل کرد:

  • 1- کدام يک از کاربرد‌هاي موبايل (MAP) احتياج به تایید هويت دارند.
  • 2- در چه شرايطي تاييد هويت مشترک بايد تکرار شود.
  • 3- استفاده مجدد از بردار تاييد هويت کنترل گردد.

  •  انتخاب کننده زمان تایید هویت

تاييد هويت مشترک ممکن است در روال یک فرایند MAP برای درخواست دسترسی و یا روال به روز رساني موقعيت MAP شروع شود. همان انتخاب ویژگی‌ها در تخصيص مجدد TMSI  نیز کاربرد دارد. در مجموع تاييد هويت در چندين روال، باعث حفاظت از شبکه در مقابل دسترسي هاي غير مجاز مي­گردد. در صورت فعال بودن قسمت رمزنگاري، يکبار تاييد هويت کافي بوده و در مراحل بعدي مي­توان از کليد رمزنگاري قبلي استفاده نمود، ولي مکانيزم بايد طوري باشد که در هنگام غير فعال شدن واحد رمزنگاري، تاييد هويت براي تماس ها فعال شود.

در مواقعي که TMSI مشترک در VLR شناخته نشود، احتياج به تاييد هويت مجدد با استفاده از ارسال IMSI مي­باشد که اين امر موجب عدم گمنامي مشترک خواهد شد (حداقل تا زمان تخصيص مجدد TMSI  جديد)

  •  پارامترهای موثر بر تولید و استفاده از بردار تایید هویت

دو پارامتر بر توليد و استفاده از بردار تاييد هويت تاثير گذارند. این پارامترها عبارتند از:

الف) تعداد بردارهاي تاييد هويتي که در VLR نگاهداري مي­شوند (ظرفيت VLR که وابسته به ساختار فيزيکي آن مي­باشد)

ب) تعداد دفعات مجاز استفاده از بردار تاييد هويت.

استفاده مکرر از RAND و SRES  باعث کاهش محرمانگي هويت شده و مي­تواند منجر به لو رفتن Kc و حتي Ki شود. در بخش حمله به شبکه GSM، نیز حمله‌ای بر این اساس معرفی خواهد شد.

اگر در VLR بردار جديدي براي تاييد هويت موجود نباشد و اجازه استفاده مجدد از بردارهاي قبلي را نيز نداشته باشيم ، آنگاه ارتباط بدون رمزنگاري برقرار خواهد شد.

 روال‌های مدیریت الگوریتم و رمزنگاری

استفاده از رمزنگاري از انتخاب­هاي شبکه مي­باشد، گوشي الگوريتم‌هاي رمزنگاري قابل پشتيباني خود را براي شبکه ارسال مي­کند و شبکه الگوريتم مناسب را انتخاب کرده و به اطلاع مشترک مي­رساند.

  •  روال‌های مدیریت رمزنگاری

براي مديريت انواع حالات رمزنگاري موجود پارامتري به نام کنترل رمزنگاري با مقادير زير تعريف مي­شود

  • بدون رمزنگاري
  • پشتيباني رمزنگاري
  • الزام رمزنگاري

مقدار پارامتر فوق در شروع مکالمه تست شده و شبکه با توجه به جدول تقدم و تاخر تعريف شده و امکانات BSC و ايستگاه موبايل  به مذاکره با BSC در مورد الگوريتمهاي ممکن پرداخته و نتيجه را به اطلاع مشترک (ايستگاه موبايل) مي­رساند

  •  روال‌های مدیریت رمزنگاری

برای مدیریت الگوریتم رمزنگاری، دو لیست (احتمالاً تک عنصری) باید تعریف شود. MSC باید از میان لیست الگوریتم‌هایی که توسط گوشی تلفن اعلام می‌شود، انتخاب می‌نماید. این انتخاب بر اساس لیستی از الگوریتم‌هاست که شبکه پشتیبانی می‌کند. اشتراک این دو لیست در سیگنالینگ  به BSC ارسال می‌شود. BSC بر اساس اولویت مدیریتی مشخص شده و توانایی BTS از پشتیبانی الگوریتم‌های رمزنگاری گزینه مناسب را انتخاب می‌کند.

 روال مديريت IMEI

هويت تجهيزات موبايل با درخواست IMEI از دستگاه موبايل احراز مي­گردد. شبکه ممکن است به دلايل متفاوت (با توجه به مکانيزم امنيتي تعريف شده براي آن) اقدام به بررسی کردن شماره IMEI نمايد. دلايلي نظير روبرو: براي تشخيص اينکه گوشي در چه ليستی قرار دارد (سياه-خاکسري-سفيد) ، يا براي به روز رساني موقعيت گوشي و ….

 استفاده از شمارنده­ها براي اهداف امنيتي

* شمارنده دفعات ارسال IMSI

شمارنده‌هايي براي تعداد ارسال بدون رمرنگاري شماره TMSI و IMSI در نظر گرفته شده است که اطلاعاتی در مورد کیفیت سرویس محرمانگی ارائه می‌دهد.

* شمارنده‌های مرتبط با IMEI

 شمارنده هاي متعددي به منظور شمارش تعداد دفعات تبادل IMEI در استانداردGSM 12.04  تعريف شده­اند:

  • تعداد درخواستهاي چک کردن IMEI ارسالي، در MSC.
  • تعداد پاسخهاي سفيد در MSC .
  • تعداد پاسخهاي خاکسري در MSC .
  • تعداد پاسخهاي سياه در MSC .
  • تعداد پاسخهاي IMEI ناشناخته در MSC.
  • تعداد درخواستهاي چک کردن IMEI دريافتي در EIR .
  • تعداد پاسخهاي سفيد در EIR.
  • تعداد پاسخهاي خاکسري در EIR.
  • تعداد پاسخهاي سياه در EIR.
  • تعداد پاسخهاي IMEI ناشناخته در EIR.

* شمارنده عدم تایید هویت

عدم موفقيت در تاييد هويت در موارد زير به وقوع مي­پيوندد:

  • مقادير SRES هاي متفاوت.
  • عدم دريافت SRES در موعد مقرر
  • عدم شناسايي شماره TMSI مشترک در VLR
  • تخصيص TMSI به يک IMSI متفاوت
  • زمان‌سنج هايي براي شمارش اين رويدادها تعريف شده­اند :
    • تعداد اقدامات تاييد هويت انجام شده در VLR.
    • تعداد تاييد هويت­هاي انجام شده موفق در VLR.

     

    *ساير شمارنده‌هاي امنيتي

    شمارنده‌های دیگری نیز وجود دارند. شمارنده‌هاي امنيتي اضافه شده بايد منطبق و همراستا با سياستهاي امنيتي و شمارنده هاي قبلي باشد. سه نوع شمارنده در MSC  براي تامين اطلاعات مربوط به رمزنگاري تعريف شده­اند:

    • ارتباطات برقرار شده رمز شده (محل شمارنده در MSC)
    • ارتباطات برقرار شده رمز نشده (محل شمارنده در MSC)
    • ارتباطات برقرار شده رمز نشده به دليل عدم سازگاري رمزنگاري در طرفين (شمارنده در MSC)

     

    يک شمارنده براي تعداد عدم وجود (دسترسي) بردار تاييد هويت (محل شمارنده AuC) نیز قابل تعریف است. همچنين سه شمارنده براي اندازه­گيري تعداد ورودي­هاي غير مجاز وجود دارد:

    • مشترک شناخته نشده در HLR (شمارنده در VLR)
    • مشترک شناخته نشده در HLR (شمارنده در HLR)
    • مشترک شناخته نشده در AuC (شمارنده در HLR)

     

    * شمارنده‌ گزارشات امنيتي

    در ادامه، همه شمارنده‌های امنیتی مرتبط با گزارش‌های مربوط به عناصر شبکه، آمده است. گزارش‌هاي امنيتي زیر باید در مواقع لازم، توسط اپراتور از شبکه قابل دريافت باشد.

     

    MSC

    • مشترک توسط IMSI در مسير راديويي شناسايي شد.
    • مشترک توسط TMSI در مسير راديويي شناسايي شد.
    • ارتباطات استفاده شده رمز شده.
    • ارتباطات استفاده شده رمز نشده.
    • ارتباطات استفاده شده رمز نشده به دليل عدم سازگاري رمزنگاري .
    • تعداد درخواستهاي چک کردن شماره IMEI ارسالي.
    • تعداد پاسخهاي سفيد.
    • تعداد پاسخهاي خاکستري.
    • تعداد پاسخهاي سياه.
    • تعداد پاسخهاي IMEI ناشناس.

     

    VLR

    • اجراي روال هاي تاييد هويت در VLR.
    • روال هاي تاييد هويت موفق در VLR.
    • مشترک شناخته نشده در VLR.
    • در دسترس نبودن بردار تاييد هويت.

     

    HLR

    • مشترک شناخته نشده در HLR.
      • مشترک شناخته نشده در AuC (HLR).
    • EIR
      • تعداد درخواست‌هاي چک کردن IMEI دريافتي.
      • تعداد پاسخ‌هاي سفيد.
      • تعداد پاسخ‌هاي خاکسري.
      • تعداد پاسخ‌هاي سياه.
      • تعداد پاسخ‌هاي IMEI ناشناس.

 گزارش‌گيري امنيتی

يکسري از هشدارهاي امنيتي بايستي به محض وقوع عامل آنها‌، توليد و به اپراتور شبکه GSM نمايش داده شوند. اين هشدارها با توجه به نوع مدل‌سازي شبکه در يک عنصر شبکه ذخيره مي­شوند و يا به سبستم‌عامل شبکه ارسال مي­گردند.

* عدم موفقيت در تاييد هويت در VLR

در اين خطا علاوه بر شماره شناسايي VLR و زمان وقوع خطا، اطلاعات زير نيز مي­بايست در دست باشند:

  • IMSI
  • IMEI (اختياري- فقط وقتي که در دسترس بود)
  • نوع عدم موفقيت (عدم تطابق SRES يا گم شدن SRES)
  • اطلاعات موقعيت

* خطاي چک کردن IMEI در VLR

زماني که VLR پاسخ «در ليست سفيد نمي­باشد» را از EIR دريافت کرد، هشدار امنيتي را به علاوه اطلاعات زير بايد گزارش کند:

  • IMSI
  • IMEI
  • اطلاعات موقعيت
  • نوع عدم موفقيت (ليست سياه – ليست خاکسري – ناشناس – عدم دريافت پاسخ از EIR)

* خطا در درخواست IMEI در VLR

اين خطا زماني بروز مي­کند که ايستگاه موبايل شماره IMEI خود را در جواب درخواست VLR ارسال نکند. هشدار فوق بايد شامل اطلاعات زير باشد :

  • IMSI
  • TMSI (اگر در دسترس بود)
  • اطلاعات موقعيت

* خطا در درخواست IMSI در VLR

اين خطا مربوط به زماني است که ايستگاه موبايل پس از عدم موفقيت در شناسايي با شماره TMSI، شماره IMSI خود را در پاسخ درخواست شبکه فاش نکند. اين هشدار فقط حاوي اطلاعات زير است:

  • TMSI
  • اطلاعات موقعيت

* خطاي عدم شناسايي مشترک در HLR (VLR)

VLR درخواستي مبني بر عدم شناسايي در HLR از طرف ايستگاه موبايل دريافت مي­کند. اطلاعات موجود شماره IMSI و هويت HLR و موقعيت مکاني خطا است.

* خطاي عدم شناسايي مشترک در HLR

HLR از طرف VLR درخواستي به علاوه يک شماره IMSI شناسايي نشده در HLR ، دريافت مي‌کند. اطلاعات موجود، شماره IMSI و هويت VLR است.

* خطاي عدم شناسايي مشترک درAuC (HLR)

AuC يک درخواست بردار تاييد هويت را از طرف يک شماره IMSI که در AuC شناسايي نشده‌، دريافت مي­کند. تنها اطلاعات موجود شماره IMSI مشترک مي­باشد.

* خطا در محرمانگي IMSI در MSC

اين هشدار زماني توليد مي شود که تعداد دفعات استفاده از IMSI براي شناسايي يک مشترک در مسير راديويي بيشتر از حد مجاز گردد.