MOBILBIZTONSÁG AUTENTIKÁCIÓ. Készítette: Czuper László & Bagosi Antal 2007.11.20.

MOBILBIZTONSÁG AUTENTIKÁCIÓ Készítette: Czuper László & Bagosi Antal 2007.11.20.

BEVEZETÉS A GSM megalkotói többszintő védelmi rendszert dolgoztak ki az elıfizetık személyiségének védelme érdekében.

A biztonság védelmi szintje SIM(Subscriber Identity Modul): Ezen a kártyán egy mikroprocesszor gondoskodik arról, hogy a kártyát csak jogos tulajdonosa használhassa, továbbáa GSM hálózattal együttmőködve ellenırzi a SIM kártya jogosultságát a kért szolgáltatás igénybevételére. Minden SIM kártya egyedi, ez az egyediség garantálja, az előfizető igazi védelmét. Az ő nevében más SIM kártyával a hálózatba való bejelentkezés nem lehetséges.(tehát lehetetlen más számlájára beszélgetni.) A SIM kártyán két fontos adat szerepel (IMSI, KI).

IMSI (International Mobile Subscriber Identity): 15 számjegy hosszúúgynevezett nemzetközi mobil előfizető azonosító. A Készülék minden bekapcsoláskor beküldi a hálózatnak az IMSI-t. Ez alapján határozódik meg a, hogy melyik ország melyik hálozatánakelőfizetője jelentkezett be.

TMSI (Temporary Mobile Subscriber Identity): Ideiglenes mobil előfizetői azonosító. Amikor bejelentkezik egy mobil készülék a vendéglátó hálózat lekérdezi a honos hálózattól az előfizető jogait.(hogy milyen szolgáltatásokra jogosult). Ez mondhatjuk úgy is hogy egy állnevet kap.ez az álnév sem állandó, hanem a mobiltelefon mozgásakor bizonyos szabályok szerint lokációs területenként változó. Így a kívülállószámára lehetetlen megfigyelni a SIM kártya (vagyis az elıfizetı) mozgását, összerendelni azt a beszélgetık személyével.

KI (Az előfizető autentikációs kulcsa) : 32 hexadecimális karakter hosszúkulcs. A legbiztonságosabban védett kód a GSM rendszerben. A Ki kulcs a SIM gyártásakor kerül a kártya memóriájába, a legyártott kártyák Ki kulcsai egy titkosított adatbázist képeznek és ez az adatbázis kerül a GSM központ autentikációsközpontjába (AuC). Az adatbázis titkosítására szolgáló kulcsok azonosak a SIM kártya gyártásánál használt programozóberendezésben és az autentikációsközpontban. Gyártáskor a programozó a Ki adatbázis titkosításakor csak a kulcs sorszámát adja meg, a kulcsot magát nem ismeri. Hasonlóaz eljárás a Ki adatbázisnak az autentikációsközpontba valóbevitelénél, itt is csak a titkosító kulcs sorszámát kell megadni. A Ki tehát sehol sem olvasható"tiszta" formában, és nem is manipulálható. A SIM kártyán szereplőki kulcs sem hozzáférhető, a mobil és a kártya közötti adat-cserében soha semmilyen formában nem vesz részt.

PIN(Personal Identity Number) A SIM kártyát 4-8 számjegy hosszúságúkód védi az illetéktelen felhasználástól.ezt a kódot a készülék bekapcsolása után kell bebillentyőzni ahhoz, hogy a mobil állomásról hívást lehessen kezdeményezni.(a nemzetközileg elfogadott 112-es hívószámról SIM nélkül is lehet segélykérı hívást indítani.) Ha a beadott kód nem egyezik meg a SIM kártyán tárolt számmal, újból kell próbálkozni. Három egymást követısikertelen kísérlet után a kártya blokkolt állapotba kerül. (A PIN kód bekérését le lehet tiltania mobiltelefon billentyőzetén keresztül) A PIN kódnak beállított kezdeti értéke van, amit célszerőegyéni kódra módosítani. Új PIN kódot csak a régi kód ismeretében lehet választani.

PUK(PIN Unblocking Key) A leblokkolt SIM kártyát feloldani csak a kártyához rendelt nyolc számjegyő PUK segítségével lehet. A PUK kód alkalmas arra is, hogy a kártyának új PIN kódot adjunk a régi ismerete nélkül. ( Ezt a kulcsot is megkapja minden előfizető.) ADM (Adminnistrative): Az ADM kód az operátor tulajdona. ( Ezt a kulcsot nem kapja meg az előfizető.) A PUK kód modosítása ezen kód segítségével történik.

ID(Identity) A SIM kártya egyedi azonosítója. A SIM kártyához rendelt PIN, PUK, ADM kódokat a kártya egyedi azonosítója és egy, csak a gyártóáltal ismert kulcs felhasználásával generálják a DES algoritmus segítségével: PIN=DES(ID, KPIN) PUK=DES(ID, KPUK) ADM=DES(ID, KADM)

IMEI (International Mobile Equipment Identity) MindenGSM mobiltelefon készüléknek egyedi azonosítója van, a 15 számjegy hosszú szám. Az elsı6 digitjelölése TAC(TipeApproavalCode), ez a készülék típusengedélyének azonosítója. A következı2 számjegy jele FAC(FinalAssembleyCode) a gyártás helyét jelöli. A további 6 számjegy SNR(Serial Number) a gyártási sorszám. Az utolsó digit pedig SP (Spare) úgynevezett tartalék ellenőrző érték. A TAC, FAC kódokat mindössze hat erre a célra létrehozott laboratórium jogosult kiadni igazolva azt, hogy az ellenırzött típus megfelel a GSM elıírásoknak. Az IMEI a legtöbb készülék kijelzı egységén is megjeleníthetı. *#06#

EIR(Equipment Identity Register): Olyan számítógépes adatbázis, amelyben négy különbözılistán (fekete,szürke,fehér,ismeretlen)imei számok szerepelnek. Az IMEI számot a mobil telefon minden bekapcsolást követıen és minden kapcsolat felépítésekor (hívás kezdeményezéskor és fogadáskor) beküldi a hálózatnak ellenırzés céljából.

Az ellenırzés folyamata FEKETE LISTA: A beküldött a IMEI számot a fekete listával hasonlítja össze. Amennyiben az IMEI szerepel a fekete listán, a kapcsolat felépítése megszakad függetlenül attól, hogy a mobilról kezdeményezték a hívást, vagy azt hívták. SZÜRKE LISTA: A beküldött IMEI számot a szürke listával hasonlítja össze. Amennyiben az IMEI szerepel a szürke listán a készülékkel lehet telefonálni, de feljegyzés készül az eseményrıl. (IMEI, IMSI, idıpont, lokációs azonosító).

FEHÉR LISTA: A beküldött IMEI számot a fehér listával hasonlítja össze. Amennyiben az IMEI első nyolc számjegye szerepel a fehér listán a készülékkel lehet telefonálni. ISMERETLEN LISTA: Amennyiben a beküldött IMEI szám egyik listán sem szerepel. Az ismeretlen típussal szemben ugyanaz a szabály érvényes, mintha fekete listán szerepelne a készülék. Erről a tiltásról a hálózat operátora ideiglenes felmentést adhat.

A korszerűmobil telefonok elektronikus zárkóddal rendelkeznek. Ez a kód a PIN kódhoz hasonló, de a SIM kártya helyett magát a készüléket védi az illetéktelen próbálkozóval szemben, ugyanis bekapcsoláskor a mobil bekéri ezt az azonosítót. Ismerete nélkül a készülék nem használható. Három sikertelen kísérlet után a telefon blokkolt állapotba kerül. Ez a kód az eltulajdonítás ellen is véd. A blokkolt készülék csak egy zárfeloldókód segítségével hozhatóműködőképes állapotba, vagy ha ilyen nincs, akkor a szervíz segítségét kell kérni.

Az autentikáció célja és folyamata: A SIM kártya autentikáció célja kettős: kizárni a szolgáltatásokhoz valóilletéktelen hozzáférést továbbá biztosítani azt, hogy más nevében ne lehessen bejelentkezni, azaz más számlájára ne lehessen telefonálni. Az autentikáció minden bekapcsoláskor és minden hívásfelépítéskor (ezalól van kivétel) megtörténik. Az előfizető honos hálózata (AuC) kisorsol egy 128 bites RAND véletlen számot, amit kiküld a mobil telefonon keresztül a SIM kártyának. A SIM kártya és az AuC is elvégezik ugyanazt a számítási műveletet, amelynek bemeneti paraméterei a Ki és a RAND. Az eredmény egyik részét, a 32 bit hosszúságú SRES (Sign RESponse) eredményt, a mobil visszaküldi a hálózatnak.

Ha a mobil által beküldött eredmény egyezik a központban ugyanazonkiés RAND alapján kapott SRES eredménnyel, akkor az autentikáció sikeres, és az ellenőrzés a már említett IMEI kontrollal folytatódik. A honos előfizetői SIM kártya és az AuC is ugyanazt az uatentikációs algoritmust használja, de különböző hálózatoknak nem kötelező azonos algoritmust használni. Egy előfizető nevében csak akkor tudunk telefonálni, ha le tudjuk másolni SIM kártyáját. A SIM másolása a GSM szakértők mai tudása szerint nem lehetséges. A számítási eredmény másik eleme a 64 bit hosszú Kc (Ciphering key), az úgynevezett titkosító kulcs, amit a beszéd, adat vagy fax üzenet titkosítására használnak.

www.numberingplans.com

Köszönjük a figyelmet!