Сотовые сети и их классификации

безопасность мобильной станции

безопасность соединения между мобильной станцией и узлом обслуживания

Безопасность мобильной станции

Наибольший интерес вызывает безопасность мобильного телефона, который в терминах GPRS является мобильной станцией. Его безопасность складывается из двух составляющих:

SIM-карта

сам телефон

SIM-карта (Subscriber Identity Module) - это модуль идентификации абонента. В SIM-карте содержится информация о сервисах, предоставляемых абоненту, независимая от типа используемого мобильного оборудования. Эта карта может вставляться в любой другой GSM терминал, при этом абонент получает возможность использовать этот терминал для получения всех сервисов системы, на которые он подписан. С точки зрения безопасности SIM-карта отвечает за идентификацию абонента и аутентификацию мобильного телефона в GPRS-сети. Она содержит идентификатор IMSI, индивидуальный ключ аутентификации абонента длиной 128 бит Ki, алгоритм генерации ключей шифрования A8 и алгоритм аутентификации A3 и разумеется PIN-код для доступа к функциям карты. Алгоритм A5 наряду с IMEI включен в состав программного обеспечения телефона и обеспечивает его защиту.

Каждый абонент в GPRS-сети имеет уникальный международный идентификатор мобильного абонента (IMSI, International Mobile Subscriber Identity), хранимый в SIM-карте. IMSI состоит из 3 элементов:

      трехразрядный код страны (для России - 250)

      двухразрядный код сети (для МТС - 01, для Билайн - 99, для СМАРТС - 07 и т.д.)

      десятиразрядный код абонента (Mobile Subscriber Identity Number, MSIN).

Алгоритм A8 отвечает за генерацию ключей шифрования, который, используя случайное число, передаваемое на мобильный терминал в момент соединения с сетью, и ключ Ki генерит 64-битный ключ шифрования трафика. Так как индивидуальный ключ Ki имеется не только у абонента, но и хранится в реестрах HLR и VLR, то и абонент и оборудование сети создают одинаковый ключ шифрования, который и используется для защиты передаваемых данных.

Алгоритм A3, отвечающий за аутентификацию абонента, похож на алгоритм A8 и также использует случайное число, получаемое в момент подключения к сети и индивидуальный ключ абонента.

Для доступа к функциям SIM-карты необходимо использовать специальный персональный код (другими словами, пароль) PIN (Personal Identification Number), после 3-х неправильных попыток ввода которого, SIM-карта блокируется.

Безопасность самого телефона, как уже было сказано выше, обеспечивается двумя механизмами:

      алгоритмом шифрования A5, который обеспечивает защиту данных, циркулируемых между мобильной станцией и узлом SGSN.

      Уникальным 14-тиразрядным международным идентификатором аппаратуры мобильной связи (International Mobile Equipment Identity, IMEI), который однозначно идентифицирует телефон. Узнать этот номер очень просто - достаточно набрать на телефоне комбинацию *#06#. Если высвеченное число не совпадает с тем, что указано на задней крышке телефона, то вероятнее всего вы пользуетесь взломанным аппаратом. Именно эти номера хранятся в реестре EIR.

Данный реестр ведет три типа списков IMEI:

      "белый" список, содержащий идентификаторы всех разрешенных аппаратов.

      "серый" список, содержащий идентификаторы всех незапрещенных аппаратов, но используемых для различных целей, например, тестирования и т.п.

      "черный" список, содержащий идентификаторы всех запрещенных аппаратов. Как заявил в одном из интервью вице-президент МТС (http://www.mts.ru/press/speech9.html) Михаил Сусов "Сейчас между операторами (в России - А.Л.) проводятся переговоры о создании единого "черного списка" краденых телефонов".

Надо понимать, что идентификаторы IMEI и IMSI - независимы между собой. Более того - они решают различные задачи: IMEI идентифицирует мобильный терминал, а IMSI - абонента.

Безопасность соединения мобильной станции с узлом SGSN

В процессе подключения мобильной станции, описываемом далее, между ней и узлом SGSN происходит выбор версии используемого в дальнейшем алгоритма шифрования GPRS-A5. В 3-м квартале 2002 года началось внедрение третьей версии этого алгоритма (A5/3), которая может использоваться не только в GSM-, но и в GPRS-, HSCSD- и EDGE-сетях. Данный алгоритм разработан на базе алгоритма "Казуми" (Kasumi), в свою очередь разработанного на базе алгоритма MISTY компании Мицубиси. Как утверждается в пресс-релизе Ассоциации GSM A5/3 обеспечивает на сегодняшний день практически 100-процентную защиту передаваемых данных. Однако не стоить безоглядно верить этому утверждению. Аналогичные заявления делались и для предыдущих версий алгоритма A5, история которого начинается с 1987 года, однако они были успешно взломаны.

В сетях GPRS используются алгоритмы семейства A5 - GEA1 и GEA2, а после разработки A5/3 - начинается внедрение созданного на его базе алгоритма GEA3.

Безопасность данных в процессе их передачи по сети GPRS

Все данные между узлами поддержки (SGSN и GGSN) передаются с помощью специального протокола GTP (GPRS Tunneling Protocol), который инкапсулирует в себя любые пользовательские протоколы, например, HTTP, Telnet, FTP и т.д. По умолчанию GTP-трафик не шифруется. Кроме того, опорная сеть строится на базе частных IP-адресов, описанных в RFC 1918 (http://www.ietf.org/rfc/rfc1918.txt), что обеспечивает невозможность прямого доступа к сетевому оборудованию из внешних сетей.

Безопасность в процессе взаимодействия с различными операторами GPRS-услуг

Безопасность возлагается на устройства, называемые пограничными шлюзами (border gateway, BG), которые очень похожи на обычные межсетевые экраны, защищающие корпоративные сети от посягательств злоумышленников. В частности, этот шлюз защищает оператора от атак, связанных с подменой адреса (IP Spoofing).

Настройка такого шлюза включает в себя создание правил, разрешающих входящий/исходящий пользовательский трафик, данные биллинговой системы, аутентификацию роуминговых абонентов и т.п. Дополнительно на пограничный шлюз может быть установлено программное обеспечение, организующее VPN между различными GPRS-операторами.

Помимо встроенных в пограничный шлюз защитных механизмов, существует возможность использования продуктов третьих фирм. Первым таким решением стал межсетевой экран Firewall-1 GX компании CheckPoint Software (http://www.checkpoint.com/products/solutions/firewall-1gx.html), который, будучи установлен на пограничном шлюзе или узле GGSN повышает защищенность сети GPRS-оператора от возможных несанкционированных действий.

Безопасность в процессе взаимодействия с Internet

Основные механизмы безопасности реализованы на узле GGSN, в состав которого входит межсетевой экран, который определяет тип входящего и исходящего GPRS-трафика. Задача межсетевого экрана, входящего в состав GGSN, защитить мобильную станцию от атак внешних (из Internet) хакеров. Защита от атак с других мобильных станций возлагается на узел SGSN. Для предотвращения доступа к сетевому оборудованию опорной сети от внешних злоумышленников используется трансляция адресов (network address translation). Все остальные механизмы защиты могут быть взяты из классической практики обеспечения информационной безопасности Internet-сетей и устройств, например, аутентификация при помощи серверов RADIUS или защита трафика с помощью IPSec.

Процедура подключения мобильной станции

Упрощенно процесс подключения абонента, желающего воспользоваться услугами GPRS, выглядит следующим образом:

1.      Мобильная станция посылает запрос (Attach Request) на получение доступа к сети, который содержит ряд параметров, в т.ч. и IMSI.

2.      Узел SGSN, получив такой запрос, проверяет наличие аутентифицирующей данного абонента информации в своей базе. Если такая информация отсутствует, то SGSN посылает запрос в реестр HLR, который возвращает т.н. аутентификационный триплет, содержащий:

      Случайное число, используемое в алгоритмах A3 и A8 для выработки ключа шифрования и аутентификации абонента.

      32-хразрядный ключ аутентификации абонента, который вырабатывается на основе индивидуального ключа, хранящегося как на мобильной станции, так и в реестре HLR.

      Ключ шифрования данных, получаемый также на базе индивидуального ключа абонента.

3.      Полученное случайное число передается на мобильную станцию, которая на его основе вырабатывает ключ шифрования и ключ аутентификации. Т.к. индивидуальные ключи, хранящиеся в реестре HLR и на мобильной станции совпадают, то и ключи шифрования и аутентификации также должны совпадать, что и является фактом правомочности запроса данным абонентом оплаченных GPRS-услуг.

4.      После идентификации абонента осуществляется идентификация оборудования, которое посылает на SGSN идентификатор IMEI. Узел SGSN в свою очередь проводит проверку данного оборудования по реестру EIR.

5.      После аутентификации абонента и оборудования происходит процедура определения местоположения абонента (с использованием реестров HLR и VLR), после чего происходит завершение процедуры подключения мобильной станции к сети GPRS. В том случае, если мобильная станция не смогла пройти аутентификацию, то SGSN посылает на нее сообщение Attach Reject.

Технология WAP

Мобильный интернет на основе технологии WAP еще несколько лет назад аналитики единогласно признали мертворожденным. Однако положение меняется. Благодаря развитию скоростных технологий передачи данных и новым телефонам операторы, разработчики WAP-сайтов, аналитики и, что самое главное, абоненты поверили во второе рождение уже подзабытой услуги.

Появившись впервые в 1999 году, WAP (Wireless Application Protocol) - стандарт для доступа к ресурсам интернет посредством только мобильного телефона - не произвел особого впечатления на уже "мобилизованную" к тому времени общественность. Низкая скорость соединения, простые, как сапог, черно-белые дисплеи телефонов и чересчур сложная навигация - все это оттолкнуло от WAP и пользователей, и разработчиков. Стандарт долгое время "скучал", напоминая о себе лишь дополнительным пунктом меню в телефонных аппаратах и строчками в тарифных планах операторов. Реабилитировать себя мобильному интернету через WAP удалось лишь 4 года спустя. Технологии GPRS/EDGE со скоростью передачи данных до 56 Кбит/с и 115 Кбит/с соответственно, цветные и более просторные дисплеи, вторая версия стандарта WAP 2.0 с поддержкой графики - и заброшенная когда-то технология "Интернета на ладони" оказалась не такой уж бесполезной. По данным аналитического агентства iKS-Consulting, ежемесячно российские WAP-ресурсы посещает более 4.5 млн. человек (большой интернет - 20.1 млн.). При этом темпы роста пользователей мобильного интернета составляют 10% в месяц против 4% роста пользователей интернета обычного (данные ФОМа). В российском сегменте сегодня насчитывается несколько тысяч WAP-ресурсов. Однако привлекательность мобильного интернета страдает от некоторых ограничений.

WAP-страница имеет мало схожего с обычной интернет-страницей в браузере настольного компьютера. На ранних стадиях разработки WAP-протокола он включал в себя много дополнительных возможностей и мало стандартизованных требований. Это привело к тому, что совместимые друг с другом мобильные телефоны имеют несовместимые - у каждого производителя собственные - WAP-браузеры. "В традиционном WWW всего 3 браузера и стандарт W3C, которому стараются соответствовать производители, - объясняет лидер проекта WapStart.ru Кирилл Рожковский. - В WAP все сложнее: инструментарий тот же, но бесчисленное множество WAP-браузеров, по-разному отображающих идентичный код. Здесь приходится учитывать нюансы каждой трубки, в итоге процесс разработки и затраты на него растут".

Но даже если WAP-страница корректно отображается на дисплее телефона, навигация в мобильном интернете сильно усложняется. В рейтинге самых сложных действий верхние строчки занимают: заполнение текстовых полей, навигация по ссылкам и неопределенность, на каком именно сайте находится пользователь - до появления стилей в WAP 2.0 все страницы выглядели одинаково. Высокой технологичностью и структурной сложностью WAP-сайты похвастаться не могут, а потому чаще всего рассматриваются разработчиками как дополнение к уже существующим интернет-порталам.

Тем временем WAP-пространством заинтересовалась реклама. На мобильную рекламу уже обратили внимание рекламные агентства да и сами рекламодатели. "WAP-реклама позволяет обеспечить широкий охват аудитории, - говорит директор по работе с клиентами интернет-агентства Promo Interactive Сергей Куньев. - WAP добрался даже в самые отдаленные регионы, где развитие интернета все еще отстает от уровня больших городов, и мобильный телефон становится единственной доступной альтернативой". Интересно, что технические ограничения WAP, связанные с маленькими экранами, мобильной рекламе идут на пользу. Даже не очень большой баннер может занимать до трети дисплея телефона, а невозможность переключиться на другое окно окончательно приковывает внимание пользователя к рекламе.

Из других коммерческих проявлений WAP-интернета можно выделить сайты по продаже контента, витрины интернет-магазинов и брендовые WAP-сайты, которые, впрочем, тяготеют больше к контенту. Cайты, где можно сделать заказ и сразу оплатить его, - вариант допустимый, но пока нереальный. Их облегченный вариант - сайты-витрины. Здесь можно просмотреть каталог, выбрать нужный товар и сделать заказ, но оплатить покупку можно только в "офф-лайне". Но самое большое распространение получили WAP-сайты, предлагающие контент для мобильных телефонов, - их насчитывается порядка 90% от общего числа ресурсов.