مدل مدیریت امنیت در شبکه GSM
< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>
براي استخراج مدل مديريتي امنيت به کار رفته در شبکه GSM ميتوان از استانداردها و توصيهنامهها استفاده کرد. استانداردهايGSM 12.03، ETSI 132 101 و ETSI 300 614 که به مدیریت امنیت میپردازند، منبع مناسبی برای تعریف روالها و مکانیزمهای مدیریت امنیت در PLMN ها است.
ویژگیهای امنیتی ذکر شده در شبکه GSM، از دیدگاه قابل مدیریت بودن به بخشهای زیر قابل تقسیم است:
1- مدیریت محرمانگی شناسه مشترک (IMSI)
همانطور که در بخش ویژگیهای امنیتی شبکه GSM توضیح داد شد، از شناسه موقت TIMSI برای محرمانه ماندن شناسه دائمی مشترک(IMSI) بهره گرفته میشود. این مکانیزم در استاندارد GSM 03.20 و ساختار TIMSI در استاندارد GSM 03.03 معرفی شده است.
2- مدیریت تایید هویت شناسه مشترک (IMSI)
مکانیزم تایید هویت شناسه مشترک در فصل ویژگیهای امنیتی GSM توضیح داده شد.
3- مدیریت محرمانگی داده در واسط هوایی
مدیریت الگوریتم و رمزنگاری
همانطور که توضیح داده شد، الگوریتم رمز، A5، الگوریتم تایید هویت، A3 و الگوریتم تولید کلید، A8 نامیده میشود. A3 و A8 بر روی SIM و مرکز تایید هویت (AuC) و A5 بر روی BTS و گوشی تلفن پیادهسازی میشوند.
مدیریت کلید رمزنگاری
یادآوری میشود که دو نوع کلید در محرمانگی GSM استفاده میشود؛ کلید ثابت تایید هویت (Ki) و کلید متغییر رمزنگاری (Kc). مدیریت زوج (IMSI، Ki) در استاندارد GSM 12.02 و تولید Kc در GSM 12.20 توضیح داده شده است.
4- مدیریت امنیت دستگاههای موبایل
شناسه دستگاههای موبایل(IMEI) که برای امنیت دستگاههای موبایل بکار میرود، در استاندارد GSM 02.09 تعریف شده است و محل ذخیره آن در شبکه نیز EIR است. توابع مدیریت IMEI در استاندارد GSM 12.02 توضیح داده میشود.
مکانيزمهاي مديريت امنيت
مکانیزمهاي مديريتی امنيت به سه دسته قابل تقسيم هستند: الف) مکانيزمهايي که براي کنترل خصيصههاي امنيتي استفاده ميشوند. ب) مکانيزمهايي جهت يافتن اطلاعاتي نظير تلاشهاي ممکن جهت ورود از طریق رخنههاي امنيتي ج) مکانيزمهايي که اجازه آناليز مشکلات امنيتي را ميدهد.
مکانيزمهاي کنترل سيستم
جهت کنترل سيستم، ويژگيهايي[1] برای ارائه جنبههای مختلف مشخصات امنیتی تعریف میشوند. با تغییر مقادیر این ويژگيها رفتار سیستم تغییر پیدا میکند.
مکانيزمهاي جمع آوري اطلاعات
هدف، ثبت وقوع رويدادهاي امنيتي ميباشد که براي رسيدن به اين مقصود ممکن است روشهاي متفاوتي وابسته به نوع اطلاعات، میزان تکرار و اهمیت رویداد، به کار رود:
- استفاده از يک پوينده[2] براي جمع آوري اطلاعات و گزارش دورهای اطلاعات اندازه گيري شده براي رويداد هاي با فرکانس وقوع بالا يا رويدادهاي با اهميت زیاد.
- استفاده از يک شمارشگر براي يک موضوع قابل اندازهگيري و تعيين يک آستانه براي آن و صدور اخطار در صورت عبور از حد مجاز وقوع.
- استفاده از هشدار هاي امنيتي براي رويدادهاي نادر و رويدادهاي با اهميت بالا.
در مورد برخي از رويدادهاي امنيتی لازم است که وقوع آن رويداد سريعا مورد بازبيني قرار گيرد تا الگوهاي بروز مشکل و خطا به موقع شناسايي شوند. در مورد وقوع رويدادهايي که منجر به بروز رخنههاي امنيتي ميگردد، سيستم احتياج به صدور هشدار براي مدير سيستم را دارد. همچنین نوع هشدار امنيتي و علت وقوع آن بايد براي سيستم تعريف شده باشد.
مکانیزمهای اعلام هشدار
هنگام وقوع یک رویداد که تاثیر قابل توجهی در امنیت PLMN دارد، به مدیر باید هشدار داده شود. هشدار امنیتی باید علت وقوع هشدار، راهکار مقابله و علت رویداد را بیان کند. چگونگی این هشدار در CCITT X.736 و ذخیرهسازی هشدار امنیتی در X.721 تعریف میشود.
روالهای امنيتی
برخي روالهاي امنيتي(تایید هویت، تخصیص مجدد TMSI، بررسی IMEI) به طور مشروط فعال ميشوند که اجراي آنها توسط يکسري محرکهاي امنيتي قابل نظارت، کنترل ميشود. اين محرکهاي امنيت براي گروههاي مختلف مشترکين تعريف ميشود. مثلا به روز رساني موقعيت براي کاربران متفاوت (مهمان، خانگي و … ) به شکلها و کيفيتهاي متفاوتي اجرا ميشود.
هر زماني که يک تابع امنيتي فراخواني ميشود، تنها زماني اجرا ميشود که آن تابع براي آن مشترک در VLR تعريف شده باشد.
روالهاي مديريت محرمانگي هويت مشترک
ميزان تناوب تخصيص مجدد TMSI موثر بر محرمانگي مشترک ميباشد، که اين ميزان با توجه به دو معيار سنجيده ميشود
- فرکانس تخصیص مجددTMSI با تعداد دفعات به روز رساني موقعيت(LU) در سيستم
- انتخاب روالهای MAP [1] از موبايل که نياز به تخصيص مجدد TMSI دارند.
-
زمانسنج جهت به روز رساني دورهای موقعيت
مقدار زمانسنج به روز رساني موقعيت از طريق کانال BCCH به ايستگاه موبايل منتقل ميشود. افزايش فرکانس به روز رساني موقعيت به دليل افزايش فرکانس تخصيص مجدد TMSI باعث افزايش محرمانگي مشترک ميشود ولي منجر به افزايش بار ترافيکي شبکه نيز ميگردد.
-
انتخابکننده زمان تخصیص مجدد TMSI
فرکانس تخصيص مجدد TMSI به تعداد برنامهها و سرويسهايي از MAP که نياز به تخصيص مجدد TMSI دارند، نيز وابسته ميباشد. تخصيص مجدد TMSI را میتوان در روال درخواست دسترسی فرایندهای MAP، مبتنی بر مقادیر کنترلی زیر، فعال یا غیر فعال نمود:
- فعال سازی Suplimantary Service ها
- تماس از طرف کاربر
- تماس مجدد از طرف کاربر
- تماسهای ضروری
- تماس دریافتی
- SMS
تخصيص مجدد TMSI در بهروز رسانی موقعیت در MAP، مبتنی بر انواع زیر قابل فعال یا غیر فعال کردن است:
- بهروزسانی موقعیت عادی
- بهروزسانی موقعیت دورهای
- بهروزسانی همراه با IMSI
يکي ديگر از عوامل موثر بر فرکانس تخصيص مجدد TMSI فناوری ساخت سيستم (مانند رابط MSC-VLR ) ميباشد.
روالهای مدیریت تایید هویت شناسه کاربر
امنيت تایید هويت وابسته به ويژگيهاي زير ميباشد:
الف) چه زماني تایید هويت بايد انجام پذيرد. ب) چه زماني روال تایید هويت بايد تکرار شود و ج) چه زماني بردار تایید هويت مورد استفاده مجدد قرار گيرد.
براي مديريت موارد فوق بايد موارد زير را کنترل کرد:
- 1- کدام يک از کاربردهاي موبايل (MAP) احتياج به تایید هويت دارند.
- 2- در چه شرايطي تاييد هويت مشترک بايد تکرار شود.
- 3- استفاده مجدد از بردار تاييد هويت کنترل گردد.
-
انتخاب کننده زمان تایید هویت
تاييد هويت مشترک ممکن است در روال یک فرایند MAP برای درخواست دسترسی و یا روال به روز رساني موقعيت MAP شروع شود. همان انتخاب ویژگیها در تخصيص مجدد TMSI نیز کاربرد دارد. در مجموع تاييد هويت در چندين روال، باعث حفاظت از شبکه در مقابل دسترسي هاي غير مجاز ميگردد. در صورت فعال بودن قسمت رمزنگاري، يکبار تاييد هويت کافي بوده و در مراحل بعدي ميتوان از کليد رمزنگاري قبلي استفاده نمود، ولي مکانيزم بايد طوري باشد که در هنگام غير فعال شدن واحد رمزنگاري، تاييد هويت براي تماس ها فعال شود.
در مواقعي که TMSI مشترک در VLR شناخته نشود، احتياج به تاييد هويت مجدد با استفاده از ارسال IMSI ميباشد که اين امر موجب عدم گمنامي مشترک خواهد شد (حداقل تا زمان تخصيص مجدد TMSI جديد)
-
پارامترهای موثر بر تولید و استفاده از بردار تایید هویت
دو پارامتر بر توليد و استفاده از بردار تاييد هويت تاثير گذارند. این پارامترها عبارتند از:
الف) تعداد بردارهاي تاييد هويتي که در VLR نگاهداري ميشوند (ظرفيت VLR که وابسته به ساختار فيزيکي آن ميباشد)
ب) تعداد دفعات مجاز استفاده از بردار تاييد هويت.
استفاده مکرر از RAND و SRES باعث کاهش محرمانگي هويت شده و ميتواند منجر به لو رفتن Kc و حتي Ki شود. در بخش حمله به شبکه GSM، نیز حملهای بر این اساس معرفی خواهد شد.
اگر در VLR بردار جديدي براي تاييد هويت موجود نباشد و اجازه استفاده مجدد از بردارهاي قبلي را نيز نداشته باشيم ، آنگاه ارتباط بدون رمزنگاري برقرار خواهد شد.
روالهای مدیریت الگوریتم و رمزنگاری
استفاده از رمزنگاري از انتخابهاي شبکه ميباشد، گوشي الگوريتمهاي رمزنگاري قابل پشتيباني خود را براي شبکه ارسال ميکند و شبکه الگوريتم مناسب را انتخاب کرده و به اطلاع مشترک ميرساند.
-
روالهای مدیریت رمزنگاری
براي مديريت انواع حالات رمزنگاري موجود پارامتري به نام کنترل رمزنگاري با مقادير زير تعريف ميشود
- بدون رمزنگاري
- پشتيباني رمزنگاري
- الزام رمزنگاري
مقدار پارامتر فوق در شروع مکالمه تست شده و شبکه با توجه به جدول تقدم و تاخر تعريف شده و امکانات BSC و ايستگاه موبايل به مذاکره با BSC در مورد الگوريتمهاي ممکن پرداخته و نتيجه را به اطلاع مشترک (ايستگاه موبايل) ميرساند
-
روالهای مدیریت رمزنگاری
برای مدیریت الگوریتم رمزنگاری، دو لیست (احتمالاً تک عنصری) باید تعریف شود. MSC باید از میان لیست الگوریتمهایی که توسط گوشی تلفن اعلام میشود، انتخاب مینماید. این انتخاب بر اساس لیستی از الگوریتمهاست که شبکه پشتیبانی میکند. اشتراک این دو لیست در سیگنالینگ به BSC ارسال میشود. BSC بر اساس اولویت مدیریتی مشخص شده و توانایی BTS از پشتیبانی الگوریتمهای رمزنگاری گزینه مناسب را انتخاب میکند.
روال مديريت IMEI
هويت تجهيزات موبايل با درخواست IMEI از دستگاه موبايل احراز ميگردد. شبکه ممکن است به دلايل متفاوت (با توجه به مکانيزم امنيتي تعريف شده براي آن) اقدام به بررسی کردن شماره IMEI نمايد. دلايلي نظير روبرو: براي تشخيص اينکه گوشي در چه ليستی قرار دارد (سياه-خاکسري-سفيد) ، يا براي به روز رساني موقعيت گوشي و ….
استفاده از شمارندهها براي اهداف امنيتي
* شمارنده دفعات ارسال IMSI
شمارندههايي براي تعداد ارسال بدون رمرنگاري شماره TMSI و IMSI در نظر گرفته شده است که اطلاعاتی در مورد کیفیت سرویس محرمانگی ارائه میدهد.
* شمارندههای مرتبط با IMEI
شمارنده هاي متعددي به منظور شمارش تعداد دفعات تبادل IMEI در استانداردGSM 12.04 تعريف شدهاند:
- تعداد درخواستهاي چک کردن IMEI ارسالي، در MSC.
- تعداد پاسخهاي سفيد در MSC .
- تعداد پاسخهاي خاکسري در MSC .
- تعداد پاسخهاي سياه در MSC .
- تعداد پاسخهاي IMEI ناشناخته در MSC.
- تعداد درخواستهاي چک کردن IMEI دريافتي در EIR .
- تعداد پاسخهاي سفيد در EIR.
- تعداد پاسخهاي خاکسري در EIR.
- تعداد پاسخهاي سياه در EIR.
- تعداد پاسخهاي IMEI ناشناخته در EIR.
* شمارنده عدم تایید هویت
عدم موفقيت در تاييد هويت در موارد زير به وقوع ميپيوندد:
- مقادير SRES هاي متفاوت.
- عدم دريافت SRES در موعد مقرر
- عدم شناسايي شماره TMSI مشترک در VLR
- تخصيص TMSI به يک IMSI متفاوت
- زمانسنج هايي براي شمارش اين رويدادها تعريف شدهاند :
- تعداد اقدامات تاييد هويت انجام شده در VLR.
- تعداد تاييد هويتهاي انجام شده موفق در VLR.
*ساير شمارندههاي امنيتي
شمارندههای دیگری نیز وجود دارند. شمارندههاي امنيتي اضافه شده بايد منطبق و همراستا با سياستهاي امنيتي و شمارنده هاي قبلي باشد. سه نوع شمارنده در MSC براي تامين اطلاعات مربوط به رمزنگاري تعريف شدهاند:
- ارتباطات برقرار شده رمز شده (محل شمارنده در MSC)
- ارتباطات برقرار شده رمز نشده (محل شمارنده در MSC)
- ارتباطات برقرار شده رمز نشده به دليل عدم سازگاري رمزنگاري در طرفين (شمارنده در MSC)
يک شمارنده براي تعداد عدم وجود (دسترسي) بردار تاييد هويت (محل شمارنده AuC) نیز قابل تعریف است. همچنين سه شمارنده براي اندازهگيري تعداد وروديهاي غير مجاز وجود دارد:
- مشترک شناخته نشده در HLR (شمارنده در VLR)
- مشترک شناخته نشده در HLR (شمارنده در HLR)
- مشترک شناخته نشده در AuC (شمارنده در HLR)
* شمارنده گزارشات امنيتي
در ادامه، همه شمارندههای امنیتی مرتبط با گزارشهای مربوط به عناصر شبکه، آمده است. گزارشهاي امنيتي زیر باید در مواقع لازم، توسط اپراتور از شبکه قابل دريافت باشد.
MSC
- مشترک توسط IMSI در مسير راديويي شناسايي شد.
- مشترک توسط TMSI در مسير راديويي شناسايي شد.
- ارتباطات استفاده شده رمز شده.
- ارتباطات استفاده شده رمز نشده.
- ارتباطات استفاده شده رمز نشده به دليل عدم سازگاري رمزنگاري .
- تعداد درخواستهاي چک کردن شماره IMEI ارسالي.
- تعداد پاسخهاي سفيد.
- تعداد پاسخهاي خاکستري.
- تعداد پاسخهاي سياه.
- تعداد پاسخهاي IMEI ناشناس.
VLR
- اجراي روال هاي تاييد هويت در VLR.
- روال هاي تاييد هويت موفق در VLR.
- مشترک شناخته نشده در VLR.
- در دسترس نبودن بردار تاييد هويت.
HLR
- مشترک شناخته نشده در HLR.
- مشترک شناخته نشده در AuC (HLR).
- EIR
- تعداد درخواستهاي چک کردن IMEI دريافتي.
- تعداد پاسخهاي سفيد.
- تعداد پاسخهاي خاکسري.
- تعداد پاسخهاي سياه.
- تعداد پاسخهاي IMEI ناشناس.
گزارشگيري امنيتی
يکسري از هشدارهاي امنيتي بايستي به محض وقوع عامل آنها، توليد و به اپراتور شبکه GSM نمايش داده شوند. اين هشدارها با توجه به نوع مدلسازي شبکه در يک عنصر شبکه ذخيره ميشوند و يا به سبستمعامل شبکه ارسال ميگردند.
* عدم موفقيت در تاييد هويت در VLR
در اين خطا علاوه بر شماره شناسايي VLR و زمان وقوع خطا، اطلاعات زير نيز ميبايست در دست باشند:
- IMSI
- IMEI (اختياري- فقط وقتي که در دسترس بود)
- نوع عدم موفقيت (عدم تطابق SRES يا گم شدن SRES)
- اطلاعات موقعيت
* خطاي چک کردن IMEI در VLR
زماني که VLR پاسخ «در ليست سفيد نميباشد» را از EIR دريافت کرد، هشدار امنيتي را به علاوه اطلاعات زير بايد گزارش کند:
- IMSI
- IMEI
- اطلاعات موقعيت
- نوع عدم موفقيت (ليست سياه – ليست خاکسري – ناشناس – عدم دريافت پاسخ از EIR)
* خطا در درخواست IMEI در VLR
اين خطا زماني بروز ميکند که ايستگاه موبايل شماره IMEI خود را در جواب درخواست VLR ارسال نکند. هشدار فوق بايد شامل اطلاعات زير باشد :
- IMSI
- TMSI (اگر در دسترس بود)
- اطلاعات موقعيت
* خطا در درخواست IMSI در VLR
اين خطا مربوط به زماني است که ايستگاه موبايل پس از عدم موفقيت در شناسايي با شماره TMSI، شماره IMSI خود را در پاسخ درخواست شبکه فاش نکند. اين هشدار فقط حاوي اطلاعات زير است:
- TMSI
- اطلاعات موقعيت
* خطاي عدم شناسايي مشترک در HLR (VLR)
VLR درخواستي مبني بر عدم شناسايي در HLR از طرف ايستگاه موبايل دريافت ميکند. اطلاعات موجود شماره IMSI و هويت HLR و موقعيت مکاني خطا است.
* خطاي عدم شناسايي مشترک در HLR
HLR از طرف VLR درخواستي به علاوه يک شماره IMSI شناسايي نشده در HLR ، دريافت ميکند. اطلاعات موجود، شماره IMSI و هويت VLR است.
* خطاي عدم شناسايي مشترک درAuC (HLR)
AuC يک درخواست بردار تاييد هويت را از طرف يک شماره IMSI که در AuC شناسايي نشده، دريافت ميکند. تنها اطلاعات موجود شماره IMSI مشترک ميباشد.
* خطا در محرمانگي IMSI در MSC
اين هشدار زماني توليد مي شود که تعداد دفعات استفاده از IMSI براي شناسايي يک مشترک در مسير راديويي بيشتر از حد مجاز گردد.