Информационная безопасность в мобильных системах связи
Информационная
безопасность в мобильных системах связи
1.
Мобильные системы связи
1.1
Понятие и типы мобильной системы связи
Для того чтобы понять что такое мобильные системы связи,
дадим основные определения:
Мобильная связь - способ связи, при котором доступ к
абонентским линиям осуществляется без использования кабеля, а связь с
абонентским устройством осуществляется по радиоканалу;
Радиосвязь - разновидность беспроводной связи, при которой в
качестве носителя сигнала используются радиоволны, свободно распространяемые в
пространстве;
Мобильные системы связи - совокупность типов мобильной связи.
Современные мобильные системы связи (МСС) весьма разнообразны
по спектру применений, используемым информационным технологиям и принципам
организации:
¾ способ управления
системой, иначе способ объединения абонентов - централизованный
(координированный) или автономный (некоординированный). При централизованном
объединении связь между абонентами производится через центральные (или базовые)
станции. В противном случае связь между пользователями устанавливается
непосредственно, без участия базовых станций;
¾ зона обслуживания -
радиальная (в пределах радиуса действия радиостанции), линейная (для линейно
протяженных зон), территориальная (для определенных конфигураций территории);
¾ направленность связи -
односторонняя или двусторонняя связь между абонентом и базовой станцией;
¾ вид работы системы -
симплекс (поочередная передача от абонента к базовой станции и обратно) или
дуплекс - одновременная передача и прием в каждом из двух названных
направлений;
¾ метод разделения каналов
в системе радиосвязи, или метод множественного доступа - частотный, временной
или кодовый;
¾ способ использования
частотного ресурса, выделенного системе связи, - жесткое закрепление каналов за
абонентами, возможность доступа абонентов к общему частотному ресурсу
(транкинговые системы), повторное использование частот за счет
пространственного разнесения передатчиков (сотовые системы);
¾ категория обслуживаемых
системой связи абонентов - профессиональные (служебные, корпоративные)
абоненты, частные лица;
¾ вид передаваемой
информации - речь, кодированное сообщение и др.
Данный перечень не исчерпывает всех возможных
системообразующих признаков (можно упомянуть и такие, как диапазон используемых
частот, вид модуляции сигналов, способ соединения системы связи с коммутируемой
телефонной сетью общего пользования (ТФОП), число обслуживаемых абонентов и
пр.), однако и его достаточно для демонстрации многообразия существующих МСС.
Учитывая распространенность существующих типов МСС, а также
перспективы их развития, можно предложить следующую систему классификации МСС,
основу которой составляют три из перечисленных ранее отличительных признака:
· назначение системы и размер зоны
радиопокрытия;
· метод множественного доступа;
· схема дуплексирования каналов радиолинии.
В зависимости от назначения системы, объема предоставляемых
услуг и размеров зоны обслуживания можно выделить следующие четыре типа МСС:
· транкинговые системы связи (ТСС);
· системы персонального радиовызова (СПРВ);
· системы персональной спутниковой связи
(СПСС);
· сотовые системы мобильной связи (ССМС).
По способу организации множественного доступа, т.е.
технологии распределения между отдельными каналами связи частотно-временного ресурса,
выделяют МСС на основе одной из трех конкурирующих технологий:
• множественный доступ с частотным разделением каналов (МДЧР,
англоязычная аббревиатура FDMA - frequency division multiple access);
• множественный доступ с временным разделением каналов (МДВР
или TDMA - time division multiple access);
• множественный доступ с кодовым разделением каналов (МДКР
или CDMA - code division multiple access).
Что же касается третьего признака классификации -
дуплексирования каналов, то различие МСС состоит в способе организации
информационного обмена в радиоканале двусторонней связи между абонентами либо
между базовой станцией и абонентом. Наибольшее распространение находят системы
с организацией дуплексной передачи на основе частотного и временного разделения.
1.2
Особенности построения и функционирования мобильных систем связи
МСС строятся в виде совокупности ячеек (сот), покрывающих
обслуживаемую территорию. В центре каждой ячейки находится базовая станция
(БС), обслуживающая все мобильные станции (МС) в пределах своей ячейки. При
перемещении абонента между ячейками системы происходит передача обслуживания от
одной БС к другой - эстафетная передача (handover). Все БС соединены с
центром коммутации (ЦК) мобильной связи по выделенным проводным или
радиорелейным каналам связи. При больших размерах СММ в ней могут создаваться
дополнительные центры коммутации. С центра коммутации имеется выход на
телефонную сеть общего пользования, через которую осуществляется взаимодействие
МСС. При перемещении абонента на территорию другой МСС осуществляется передача
его обслуживания от одной МСС к другой МСС - роуминг.
1.2.1
Мобильная станция
Цифровая мобильная станция (МС) состоит из следующих блоков:
управления, приемо-передающего и антенного.
Блок управления включает в себя микротелефонную трубку
(микрофон и динамик), клавиатуру и дисплей. Клавиатура предназначена для набора
номера телефона вызываемого абонента, а также команд, определяющих режим работы
станции. Дисплей предназначен для отображения информации, предусматриваемой
устройством и режимом работы станции.
Приемо-передающий блок состоит из передатчика, синтезатора
частот и логического блока. В состав передатчика входят: аналогово-цифровой
преобразователь (преобразует в цифровую форму сигнал с выхода микрофона), кодер
речи (преобразует цифровой сигнал с целью сокращения его избыточности), кодер
канала (осуществляет кодирование и перемежение передаваемого сигнала с целью
защиты от ошибок при передаче по радиоканалу, вводит в состав передаваемого
сигнала информацию управления, поступающую от логического блока), модулятор
(осуществляет перенос информации кодированного видеосигнала на несущую
частоту).
Приемник по составу соответствует передатчику, но с обратными
функциями входящих в него блоков: демодулятор (выделяет из модулированного
радиосигнала кодированный видеосигнал, несущий информацию), эквалайзер
(предназначен для частичной компенсации искажений сигнала из-за многолучевого
распространения), декодер канала (обнаруживает и исправляет ошибки в принятом
сигнале), декодер речи (восстанавливает сигнал речи в цифровом виде со
свойственной ему избыточностью), цифро-аналоговый преобразователь (преобразует
принятый сигнал речи в аналоговую форму и подает его на вход динамика).
Логический блок - это микрокомпьютер, осуществляющий
управление работой МС. Синтезатор является источником колебаний несущей
частоты, используемой для передачи информации по радиоканалу.
Антенный блок включает в себя антенну и коммутатор
приема-передачи. Последний для цифровой станции может представлять собой
электронный коммутатор, подключающий антенну либо на выход передатчика, либо на
вход приемника, так как МС цифровой системы никогда не работает на прием и
передачу одновременно.
Аналоговая МС отличается от рассмотренной цифровой МС
отсутствием аналогово-цифрового преобразователя и кодека, но при этом имеет
громоздкий дуплексный антенный переключатель, что вызвано необходимостью
одновременной работы на передачу и на прием.
1.2.2
Базовая станция
Одной из особенностей организации связи с мобильными абонентами
является наличие глубоких замираний в радиоканале. Для повышения качества
приема на БС применяют разнесенный прием. Это обусловливает необходимость
установки на БС не менее двух приемных антенн. Кроме того, БС может иметь
раздельные антенны на передачу и на прием. Еще одна особенность БС - наличие
нескольких приемников и такого же числа передатчиков для обеспечения
одновременной работы на нескольких каналах с различными частотами.
Приемник и передатчик имеют ту же структуру, что и в
мобильной станции, за исключением того, что в них отсутствуют ЦАП и АЦП,
поскольку и входной сигнал передатчика, и выходной сигнал приемника имеют
цифровую форму.
Контроллер БС (компьютер) обеспечивает управление работой
станции, а также контроль работоспособности всех входящих в нее блоков и узлов.
Блок сопряжения с линией связи осуществляет упаковку
информации, передаваемой по линии связи на ЦК, и распаковку принимаемой от него
информации. Для связи БС к ЦК (если они территориально не расположены в одном
месте) обычно используется радиорелейная или волокно-оптическая линия.
Для обеспечения надежности многие блоки и узлы БС
резервируются (дублируются), в состав станции включаются автономные источники
бесперебойного питания (аккумуляторы).
1.2.3
Центр коммутации
Центр коммутации - это автоматическая телефонная станция МСС,
обеспечивающая все функции управления сетью. ЦК осуществляет постоянное
слежение за МС, организует их эстафетную передачу, в процессе которой
достигается непрерывность связи при перемещении МС из соты в соту, и
переключение рабочих каналов в соте при появлении помех или неисправностей.
На ЦК замыкаются потоки информации со всех БС, и через него
осуществляется выход на другие сети связи (стационарную телефонную сеть общего
пользования), сети междугородней связи, спутниковой связи, другие МСС. В состав
ЦК входит несколько контроллеров (процессоров).
Коммутатор подключается к линиям связи через контроллеры
связи, осуществляющие промежуточную обработку (упаковку-распаковку, буферное
хранение) потоков информации. Управление работой ЦК и системы в целом
производится от центрального контроллера. Работа ЦК предполагает участие
операторов, поэтому в состав центра входят терминалы и средства отображения и
регистрации (документирования) информации. Операторы, в частности, вводят
данные об абонентах и условиях их обслуживания, исходные данные о режимах
работы системы, а в экстренных случаях операторы непосредственно управляют
сетью, выдавая необходимые команды.
Важными элементами системы являются базы данных - домашний
регистр, гостевой регистр, центр аутентификации, регистр аппаратуры. [1]
2.
Цели и задачи защиты систем мобильной связи
Основными целями защиты информации в МСС являются:
· достижение состояния информационной
безопасности во всех звеньях МСС от внешних угроз, как в мирное время, так и в
особый период, а также при возникновении чрезвычайных ситуаций;
· предотвращение нарушений прав личности,
общества и государства на сохранение секретности и конфиденциальности
информации, циркулирующей в МСС.
На основании целей формируются и задачи защиты информации в
МСС:
· выявление и прогнозирование внутренних и
внешних угроз информационной безопасности, разработка и осуществление комплекса
адекватных и экономически обоснованных мер по их предупреждению и
нейтрализации;
· формирование единой политики
государственной власти и субъектов РФ по защите информации в МСС;
· совершенствование и стандартизация
применяемых методов и средств защиты информации в МСС;
· создание и реализация механизма
государственного регулирования (лицензирования) деятельности в области защиты
информации, а также обеспечение функционирования системы сертификации МСС и
входящих в их состав защищенных технических средств, средств защиты информации
и средств контроля эффективности применяемых мер защиты.
Система обеспечения защиты информации в каждой конкретной
МСС, а также подход к ее построению и реализации индивидуальны. Однако во всех
случаях для создания эффективной комплексной защиты информации В МСС
необходимо:
· Выявить все возможные факторы, влияющие на
уязвимость информации, подлежащей защите, т.е. построить модель угроз
информационной безопасности МСС и выявить каналы утечки.
· Обосновать возможные методы защиты
информации, направленные на устранение выявленных угроз.
· Создать комплексную систему,
обеспечивающую качественное решение задач защиты информации в МСС, основанную
на минимизации ущерба от возможной утечки информации.
3.
Угрозы информационной безопасности мобильным системам связи
.1
Понятие и классификация угроз ИБ МСС
Под угрозой ИБ понимается действие или событие, которое может
привезти к разрушению, искажению или несанкционированному (НС) использованию
ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а
также программные и аппаратные средства.
При построении обобщенной модели угроз ИБ МСС следует
подробно рассмотреть следующие вопросы:
Ø классификацию угроз ИБ
МСС;
Ø определение видов
представления информации, подлежащей защите в МСС, и определение возможных
каналов её утечки;
Ø создание модели
вероятного нарушителя.
Классификация угроз ИБ в зависимости от местонахождения
источника возможной угрозы делятся на 2 группы: внешние и внутренние.
К внешним угрозам ИБ относятся:
· деятельность иностранных разведывательных
и специальных служб;
· деятельность конкурирующих иностранных
экономических структур;
· деятельность политических и экономических
структур, преступных групп и формирований, а также отдельных лиц внутри страны,
направления против интересов граждан, государства и общества в целом и
проявляющаяся в виде воздействий на МСС;
· стихийные бедствия и катастрофы.
К внутренним угрозам ИБ относятся:
· отказы и неисправности технических средств
обработки, хранения и передачи сообщений (данных), средств защиты и средств
контроля эффективности принятых мер по защите, сбои программного обеспечения,
программных средств защиты информации и программных средств контроля
эффективности принятия мер по защите.
По способу реализации угрозы ИБ подразделяются на следующие
виды:
· организационные,
· программно-математические,
· физические,
· радиоэлектронные.
К организационным угрозам ИБ относятся:
· нарушения установленных требований по ИБ,
допускаемые обслуживающим персоналами пользователям МСС;
· НСД обслуживающего персонала и
пользователей МСС к информационным ресурсам;
· манипулирование информацией
(дезинформация, скрытие или искажение информации);
· НС копирование данных в МСС;
· хищение информации из баз данных и банков
данных МСС;
· хищение машинных носителей информации;
· хищение ключевых документов средств
криптографических защиты;
· уничтожение или модификация данных в МСС.
К программно-математическим угрозам ИБ относятся:
· внедрение программ-вирусов;
· применение программных закладок.
К физическим видам угроз ИБ относятся:
· уничтожение, разрушение средств сбора,
обработки, передачи, защиты информации, целенаправленное внесение в них
неисправностей;
· уничтожение или разрушение машинных
носителей информации;
· воздействие на обслуживающий персонал и
пользователей МСС с целью реализации физических, программно-математических или
организационных угроз.
К радиоэлектронным угрозам ИБ относятся:
· перехват информации в технических каналах
утечки;
· внедрение электронных средств перехвата
информации в аппаратные средства и помещения;
· перехват и дешифрование информации в сетях
передачи данных и линиях связи;
· радиоэлектронное подавление линии связи,
дезорганизация систем управления МСС.
Рис. 1. Число классов вредоносных программ
3.2
Виды представления информации в МСС и возможные каналы ее утечки
Одной из основных причин, обусловливающих сложность решения
проблемы конфиденциальной информации в МСС, является многообразие видов ее
физического представления в этих системах, что предопределяет наличие различных
возможных каналов ее утечки и тем самым необходимость создания многоплановой в
физическом и функциональном отношении системы защиты. Так, в современных
автоматизированных МСС ведомственного назначения информация может циркулировать
в виде речи, в виде текста, или графических изображений на бумаге, фото- и
кинопленке, проекционных экранах, в том числе на мониторах ЭВМ и т.д., в виде
изменений состояния носителей информации, например магнитных дисков и дискет,
магнитных лент, перфокарт и т.д., а также в виде электрических сигналов в
технических средствах, обрабатывающих, хранящих или передающих конфиденциальную
информацию, и в соединяющих линиях связи.
Перехват информации, циркулирующем между объектами МСС по
каналам связи, возможен как при передаче ее по линиям, использующим излучающие
средства радиосвязи, так и при передаче по проводным линиям.
Возможность ведения технической разведки из-за пределов охраняемой
территории объектов МСС определяется наличием технических каналов утечки
информации. Все возможные каналы утечки информации на объектах МСС могут быть
сведены в 3 основных класса: акустические каналы, оптические каналы и каналы
утечки технических средств. По виду среды распространения опасных сигналов
акустические каналы могут подразделяться на атмосферные и виброакустические,
оптические каналы - на каналы видимого и инфракрасного диапазона волн, а каналы
утечки технических средств - на полевые, к которым относятся электрические и
магнитные поля указанных средств, и линейные, к которым относятся различного
рода цепи и токопроводящие конструкции, выходящие за пределы охраняемой
территории объектов МСС.
Основные каналы утечки информации на объектах МСС
рассматриваются с учетом физических полей:
¾ утечка по акустическому
каналу;
¾ утечка по
виброакустическому каналу;
¾ утечка по каналам
проводной и радиосвязи, не имеющим шифрующей и дешифрующей аппаратуры;
¾ утечка по
электромагнитным каналам;
¾ утечка через вторичные
источники электропитания основных технических средств за счет неравномерности
тока потребления;
¾ утечка, возникающая при
воздействии электрических, магнитных и акустических полей опасного сигнала на
вспомогательных технических средствах;
¾ утечка за счет тока
опасного сигнала в цепях заземления;
¾ утечка за счет взаимного
влияния между цепями, по которым передается конфиденциальная информация, и
цепями вспомогательных технических средств, имеющими выход за пределы зоны
безопасности объекта;
¾ утечка информации за счет
побочных электромагнитных излучений наводок, образованных основными
техническими средствами.
Необходимо отметить, что выявление всех возможных каналов
утечки конфиденциальной информации из МСС является необходимым условием для определения
путей и способов решения проблемы ее защиты, а также конкретных мер по их
реализации.
3.3
Модель вероятного нарушителя
При оценке защищенности конфиденциальной информации в МСС и
определении требуемой степени ее защиты необходимо отталкиваться от модели
вероятного нарушителя. Для этого следует оценить оперативно-тактические,
технические и, в некоторых случаях, аналитические возможности потенциального
нарушителя.
При оценке оперативно-тактических возможностей нарушителя
следует исходить из имеющихся данных об источниках угроз, опасных для данной
конкретной МСС. В случае отсутствия таких данных обычно считают, что
предполагаемый нарушитель обладает возможностям, близкими к потенциально
достижимыми.
При оценке технических возможностей нарушителя следует
полагать, что он может быть оснащен любыми существующими на сегодняшний день
техническими средствами ведения разведки, а также любыми возможными аппаратными
и программными средствами для реализации НСД к защищаемой информации.
Оценка аналитических возможностей нарушителя необходима в
основном при анализе возможности перехвата информации по техническим каналам.
При этом оценивается способность нарушителя восстанавливать интересующую его
информацию на фоне помеховых сигналов и шума. Такая работа требует, кроме
знания техники, еще и знания возможных алгоритмов обработки сигналов и умения
работать с ними, а также опыта их применения и хорошего знания сути вопроса, к
которому относится перехватываемая информация.
Учет возможностей потенциального нарушителя (противника)
является необходимым условием для организации грамотной и эффективной защиты
информации в МСС.
3.4
Цели и возможные сценарии несанкционированного доступа к МСС
НСД к информации, передаваемой в МСС, имеет целью:
¾ наблюдение за выполнением
процессов;
¾ внесение изменений;
¾ ликвидацию информации;
¾ ввод ложной информации;
¾ задержку;
¾ запись;
¾ изменение маршрута;
¾ дублирование (повторную
передачу ранее переданных сообщений).
Обобщенно процесс реализации угроз НСД характеризуется
следующим:
. сбором сведений о системе в целом;
. изучением системы ЗИ в МСС и выделением ее слабых
мест;
. анализом и разработкой средств воздействия на
средства ЗИ на основе информационных технологий (преодоление средств защиты
происходит там, где злоумышленник имеет более мощные (развитые) информационные
технологии);
. разработкой средств воздействия на информацию;
. попытками вхождения в сеть, преодолением средств
защиты и осуществлением требуемого воздействия на информационный ресурс
пользователей сети или общий сетевой ресурс.
Процесс НСД осуществляется в два этапа:
Ø сбор сведений об МСС и
встроенных системах защиты;
Ø выполнение попыток
вхождения в систему.
Сбор сведений в общем случае осуществляется следующими
путями:
· подбором соучастников, подслушиванием
разговоров, подключением к телефонным аппаратам, телексам;
· излучением утерянных инструкций,
документов;
· анализом периодических изданий и
документации;
· подслушиванием разговоров по телефонам и
радиосетям;
· перехватом информации и побочного
электромагнитного излучения;
· перехватом паролей, ключей;
· организацией краж с целью получения
информации для последующего вхождения в МСС;
· вымогательством, подкупом.
После получения необходимого объекта предварительной
информации осуществляется непосредственное вторжение в МСС. [2]
4.
Практические аспекты обеспечения ИБ в МСС стандарта GSM
4.1
Общая характеристика стандарта GSM
Системы связи стандарта GSM рассчитаны на
использование в различных сферах. Они представляют широкий диапазон услуг по
передаче речевых сообщений и данных, вызывных и аварийных сигналов,
обеспечивают подключение к телефонным сетям общего пользования (PSTN), сетям передачи данных
(PDN) и цифровыми сетям с
интеграцией служб (ISDN).
В соответствии с рекомендацией CEPT 1980 г. стандарт GSM на цифровую
общеевропейскую (глобальную) сотовую систему наземной мобильной связи
предусматривает работу в двух диапазонах частот: 890…915 МГц для передатчиков
мобильных станций (MS) и 935..960 МГц для передатчиков базовых станций (BTS).
В стандарте GSM реализованы узкополосный многостанционный доступ
с временным разделением каналов (NB TDMA). В структуре TDMA-кадра содержится 8
временных позиций на каждой из 124 несущих частот.
Структура МСС стандарта GSM состоит из:
¾ мобильной станции,
¾ приемно-передающей
базовой станции,
¾ контроллера базовой
станции,
¾ транскодера,
¾ оборудования базовой
станции,
¾ центра коммутации
мобильной станции,
¾ регистра положения,
¾ центра аутентификации,
¾ регистра идентификации
оборудования,
¾ центра управления сетью.
4.2
Особенности ЗИ от ошибок в МСС стандарта GSM
Для защиты от ошибок в радиоканалах мобильной связи GSM используются сверточное
и блочное кодирование с перемежением. Перемежение обеспечивает преобразование
пакетов ошибок в одиночные ошибки. Сверточное кодирование является мощным
средством борьбы с одиночными ошибками. Блочное кодирование главным образом
используется для обнаружения нескорректированных ошибок.
Блочный код (n, k, t) преобразуют k информационных символов в
n символов путем добавления символов четности (n - k), он может корректировать
t ошибок символов.
Сверточные коды (СК) относятся к классу непрерывных
помехоустойчивых кодов. Одной из основных характеристик СК является величина К,
которая называется длиной кодового модулятора ограничения и показывает, на
какое максимальное число выходных символов влияет данный информационный символ.
Наибольший выигрыш СК обеспечивает только при одиночных
(случайных) ошибках в канале. В каналах с замираниями, что имеет место в GSM,
необходимо использовать СК совместно с перемежением.
В GSM основные свойства речевых каналов и каналов управления
значительно отличаются друг от друга. Для речевых каналов необходима связь в
реальном масштабе времени с короткими задержками при сравнительно низких
требованиях к вероятности ошибки в канале. Для каналов управления требуется
абсолютная целостность данных и обнаружение ошибок, но допускаются более
длительное время передачи и задержки.
4.3
Особенности обеспечения ИБ в МСС стандарта GSM
В стандарте GSM термин «безопасность» понимается как
исключение НС использования системы и обеспечение конфиденциальности
переговоров мобильных абонентов. Определены следующие механизмы безопасности в
стандарте GSM:
· аутентификация,
· конфиденциальность передачи данных,
· конфиденциальность абонента,
· конфиденциальность направлений соединения
абонентов.
Защита сигналов управления и данных пользователя
осуществляется только по радиоканалу. Режимы безопасности в стандарте GSM
определяются рекомендациями, приведенными в табл. 1.
Табл. 1. Рекомендации по обеспечению ИБ в сетях GSM
GSM 02.09
|
Аспекты
конфиденциальности
|
Определяет
характеристики безопасности, применяемых в сетях GSM. Регламентируется их
применение в мобильных станциях и сетях.
|
GSM 03.20
|
Конфиденциальность,
связанная с функциями сети
|
Определяет
функции, необходимые для обеспечения характеристик безопасности,
рассматриваемых в Рекомендациях GSM 02.09
|
GSM 03.21
|
Алгоритмы
обеспечения конфиденциальности
|
Определяют
криптографические алгоритмы в системе связи
|
GSM 02.17
|
Модули
подлинности абонентов (SIM)
|
Определяет
основные характеристики модуля SIM
|
4.3.1
Механизмы аутентификации
Для исключения НС использования ресурсов системы в стандарте
GSM реализуются механизмы аутентификации - проверки подлинности абонента.
Каждый мобильный абонент на время пользования системой связи
получает стандартный модуль подлинности (SIM-карту), который содержит:
· международный идентификационный номер
мобильного абонента,
· свой индивидуальный ключ аутентификации,
· алгоритм аутентификации.
С помощью заложенной в SIM информации в результате взаимного
обмена данными между мобильной станцией и сетью осуществляется полный цикл
аутентификации и разрешается доступ абонента к сети.
Процедура проверки сетью подлинности абонента реализуется следующим
образом.
Сеть передает случайный номер (RAND) на мобильную станцию.
Мобильная станция определяет значение отклика (SRES), используя RAND. Мобильная станция
посылает вычисленное значение SRES в сеть, которое сверяет значение принятого SRES со значением SRES, вычисленным сетью. Если
оба значения совпадут, мобильная станция сможет осуществлять передачу
сообщений. В противном случае прервется и индикатор мобильной станции покажет,
что опознавание не состоялось.
В интересах обеспечения безопасности вычисление SRES происходит в рамках SIM.
Информация, не подлежащая защите, не подвергается обработке в модуле SIM.
4.3.2
Конфиденциальность передачи данных
Ключ шифрования (КШ). Для обеспечения конфиденциальности
передаваемой по радиоканалу информации вводится следующий механизм защиты. Все
конфиденциальные сообщения должны передаваться в режиме защиты информации.
Алгоритм формирования КШ хранится в модуле SIM. После приема случайного номера RAND мобильная станция
вычисляет, кроме отклика SREC, также и ключ шифрования, используя RAND.
КШ не передается по радиоканалу. Как мобильная станция, так и
сеть вычисляют КШ, который используется другими мобильными абонентами. В
интересах обеспечения безопасности вычисление КШ происходит в SIM.
Числовая последовательность ключа шифрования. Кроме
случайного номера RAND, сеть посылает мобильной станции числовую последовательность КШ.
Это число связано с действительным значением КШ и позволяет избежать
формирования неправильного ключа.
Установка режима шифрования. Для установки режима шифрования
сеть передает мобильной станции команду CMC (Cipering Mode Command) на переход в режим
шифрования. После получения команды CMC мобильная станция, используя имеющийся у нее
ключ, приступает к шифрованию и дешифрованию сообщений.
4.3.3
Обеспечение конфиденциальности абонента
Для исключения определения (идентификации) абонента путем
перехвата сообщений, передаваемых по радиоканалу, каждому абоненту системы
связи присваивается «временное удостоверение личности» - временный
международный идентификационный номер пользователя (TMSI), который действителен
только в пределах зоны расположения. В другой зоне расположения ему
присваивается другой TMSI. Если абоненту еще не присвоен временный номер
(например, при первом включении мобильной станции), идентификация проводится
через международный идентификационный номер (IMSI). После окончания
процедуры аутентификации и начала режима шифрования временный идентификационный
номер - TMSI передается на мобильную станцию только в зашифрованном виде. Этот
TMSI будет использоваться при
всех последующих доступах к системе. Если мобильная станция переходит в новую
область расположения, то ее TMSI должен передаваться вместе с идентификационный
номером зоны, в которой TMSI был присвоен абоненту.
4.3.4
Модуль подлинности абонента
Введение режима шифрования в стандарте GSM выдвигает особые
требования к мобильным станциям. В частности, индивидуальный ключ
аутентификации пользователя, связанный с международным идентификационным
номером абонента - IMSI, требует высокой степени защиты. Он также используется в
процедуре аутентификации.
Модуль подлинности абонента SIM содержит полный объем
информации о конкретном абоненте. SIM реализуется конструктивно в виде карточки со
встроенной электронной схемой. Введение SIM делает мобильную станцию
универсальной, так как любой абонент, употребляя свою личную SIM-карту, может обеспечить
доступ к сети GSM через любую мобильную станцию.
НС использование SIM исключается введением в SIM индивидуального
идентификационного номера (PIN), который присваивается пользователю при
получении разрешения на работу в системе связи и регистрации его
индивидуального абонентского устройства.
В заключение следует отметить, что выбранные в
стандарте GSM механизмы обеспечения ИБ и методы из реализации определили
основные элементы передаваемых информационных блоков и направления передачи, на
которых должно осуществляться шифрование. Для обеспечения ИБ в стандарте GSM решены вопросы
минимизации времени соединения абонентов. При организации МСС по стандарту GSM имеется некоторая
свобода в применении аспектов безопасности. В частности, не стандартизованы
вопросы использования центра аутентификации. Нет строгих рекомендаций на
формирование закрытых групп пользователей и системы приоритетов, принятых в GSM. В этой связи в каждой
системе связи, применяющей стандарт GSM, эти вопросы решаются самостоятельно. [3]
5.
Практические аспекты обеспечения ИБ в МСС с кодовым разделением каналов
стандарта IS-95
.1
Общая характеристика МСС с кодовым разделением каналов стандарта IS-95
Стандарт сотовой системы мобильной радиосвязи общего
пользования с кодовым разделением каналов (CDMA) впервые был разработан
фирмой Qualcomm (США). Технические требования к системе CDMA сформированы в ряде
стандартов Ассоциации промышленности связи (TIA):
IS-95 - радиоинтерфейс;
IS-96 - речевые службы;
IS-97 - мобильная станция;
IS-98 - базовая станция;
IS-99 - службы передачи данных.
Система CDMA фирмы Qualcomm рассчитана на работу в диапазоне частот
800 МГц. Общая полоса частот канала связи составляет 1,25 МГц. Одному оператору
cdmaOne может быть выделен
максимальный диапазон частот 12,5 МГц в стволах MS®BS и BS®MS, что соответствует 10 полосам по 1,25 МГц.
Система CDMA Qualcomm построена по методу прямого расширения
спектра частот на основе использования 64 видов последовательностей,
сформированных по закону Уолша. Для передачи речевых сообщений выбрано
речепреобразующее устройство с алгоритмом CEPT со скоростью
преобразования 8000 бит/с (9600 бит/с в канале).
В CDMA существуют каналы прямые и обратные. Прямые каналы: пилотный
(ведущий) канал (используется мобильной станцией для начальной синхронизации с
сетью), канал синхронизации (обеспечивает идентификацию базовой станции,
уровень излучения пилотного сигнала), канал вызова (используется для вызова
мобильной станции), канал прямого трафика (предназначен для передачи речевых
сообщений и данных, а также управляющей информации с базовой станции на
мобильную). Обратные каналы: канал доступа (обеспечивает связь мобильной
станции с базовой станцией) и канал обратного трафика (обеспечивает передачу
речевых сообщений и управляющей информации с мобильной станции на базовую
станцию).
5.2
Особенности обеспечения ИБ в МСС с кодовым разделением каналов стандарта IS-95
Стандарт IS-95 обеспечивает высокую степень безопасности
передаваемых сообщений и данных об абонентах. Прежде всего он имеет место более
сложный, чем GSM, радиоинтерфейс, обеспечивающий передачу сообщений кадрами с
использованием канального кодирования и перемежения с последующим «расширением»
передаваемых сигналов с помощью составных широкополосных сигналов,
сформированных на основе 64 видов последовательностей Уолша и псевдослучайных
последовательностей с количеством элементов 215 и (242-1).
Безопасность связи обеспечивается также применением процедур
аутентификации и шифрования сообщений.
В стандарте IS-95 реализована процедура аутентификации,
соответствующая стандарту IS-54B. Шифрование сообщений, передаваемых по каналу связи,
осуществляется также с использованием процедур стандарта IS-54B.
В мобильной станции хранится один ключ А и один набор общих
секретных данных. Мобильная станция может передавать «цифровую подпись» для
аутентификации, состоящую из 18 бит. Эта информация передается в начале
сообщения, добавляется к регистрационному сообщению или пакету данных,
передаваемых по каналу доступа. В мобильных станциях предусмотрена возможность
обновления общих секретных данных.
В стандарте IS-95 реализован режим «частный характер связи»,
обеспечиваемый использованием секретной маски в виде длинного кода. Этот
процесс также аналогичен процессу формирования маски в виде длинного кода,
описанному в стандарте IS-54B. [3]
Заключение
Конечно, представленный в данном курсовом проекте материал не
может охватить абсолютную полноту раскрытия проблемы информационной
безопасности в мобильных системах связи, но в нём представлены наиболее
основные и важные аспекты данного вопроса. После рассмотрения и анализа
проблемы информационной безопасности в мобильных системах связи были сделаны
следующие выводы:
) Как и любая информационная система, мобильные
системы связи подвержены атакам нарушителей информационной безопасности,
реализующим угрозы и уязвимости, присущие информационной сфере сети, причем
функциональные преимущества порождают новые угрозы и уязвимости.
) Анализ нормативно-правовой базы по вопросам
информационной безопасности показал, что на сегодняшний день существуют
документально оформленные требования, обязывающие операторов связи обеспечивать
безопасность информационных ресурсов как своих, так и доверенных им
пользователям. Однако, не все вопросы, связанные с организацией ИБ в МСС,
отрегулированы в достаточной мере. Требуется доработка некоторых действующих и
разработка ряда новых нормативных правовых документов.
) Для выполнения вышеуказанных требований, необходимо,
начиная с этапа проектирования и развертывания МСС, создавать систему защиты
информации, применение которой позволит учитывать интересы в обеспечении
информационной безопасности различных групп пользователей услугами сетей
мобильной связи, операторов и государства.
) Одним из основных принципов достижения указанной цели
является необходимость и обязательность реализации и применения механизмов
базового уровня информационной безопасности, а также построения системы защиты
информации, обладающей свойствами, позволяющими проводить наращивание уровней
информационной безопасности.
безопасность
мобильный связь утечка
Литература
1) В.В.
Ломовицкий, А.И. Михайлов, К.В. Шестак, В.М. Щекотихин. Основы построения
систем и сетей передачи информации. М.: Горячая линия - Телеком, 2005. 382 с.
2) А.В.
Заряев, В.А. Минаев, С.В. Скрыль, В.Ю. Карпычев. Защита информации в мобильных
системах связи. Воронеж: Воронежский ин-т МВД России, 2004. 138 с.
) А.А.
Чекалин, А.В. Заряев, С.В. Скрыль, В.А. Вохминцев. Защита информации в системах
мобильной связи. М.: Горячая линия - Телеком, 2005. 171 с.
) А.В.
Гарманов, В.М. Усачев. Информационная безопасность единой системы мобильной
связи. Воронеж: РАЦБУР, 1999. 37 с.