Булана Л.В.,
Подгайная Е.И.
Национальный
авиационный университет, Украина
МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
В СИСТЕМАХ МОБИЛЬНОЙ СВЯЗИ ВТОРОГО И
ТРЕТЬЕГО ПОКОЛЕНИЯ
Введение
На сегодняшний день четко
прослеживаются тенденции перехода от проводных технологий передачи информации к
беспроводным. Это обусловлено удобством данного вида соединения, отсутствием
необходимости прокладки кабельных систем, простой настройки и использования,
широкой маштабированостью таких сетей и др.
Постановка задачи
Как известно [3], любая сеть является объектом
существенного риска и проблем с точки зрения безопасности. Они включают в себя
такие проблемы, как угрозы физической безопасности, прослушивания и атак самих
пользователей сети. Три главных угрозы:
• Дискредитация данных - любая форма раскрытия
информации непредусмотренной стороне.
• Неавторизованный доступ - любые средства, при
помощи которых неавторизованная сторона получает доступ к ресурсам сети.
• Отказ в обслуживании - действие,
предназначенное для блокирования или нарушения нормальной работы сети.
В настоящее время большое внимание уделяется
безопасности в беспроводных сетях. Беспроводные сети вводят дополнительный
набор уникальных элементов обеспечивающих безопасность. Этого требуют
специализированные протоколы физического и канального уровней [2,3].
Различия в решениях по безопасности для проводных и
беспроводных сетей являются следствиями следующих свойств радиосетей:
• Использование специализированных
протоколов физического и канального уровней,
• Беспроводные сети не могут быть полностью
защищены физическими средствами.
• Связь с существующими сетями
осуществляется через точки доступа, которые обеспечивают функцию моста
(bridging);
• Возможность роуминга из одной зоны
покрытия в другую;
• Уникальные требования к безопасности
внутри самой WLAN.
• Специфичные требования к взаимодействию
сетей;
• Радио устройства портативны, переносимы и
легко могут попасть к злоумышленнику.
Безопасность в WLAN обеспечивают три основных сервиса:
• Аутентификация - процесс проверки
подлинности абонента.
• Конфиденциальность - защита информации от
несанкционированного доступа (прослушивание).
• Целостность - гарантирует то, что
сообщение не было изменено во время передачи по радиоканалу [4].
Мобильные системы второго
поколения
Цифровые 2G системы, такие как GSM, TDMA и CDMA,
используют криптографические методы для аутентификации и конфиденциальности.
Механизмы обеспечения безопасности в GSM реализованы
при помощи трех системных элементов
На SIM содержится IMSI, индивидуальный ключ
идентификации пользователя (Ki), алгоритмы идентификации (A3) и генерации ключа шифрования
(A8), а также персональный идентификационный номер (PIN). На GSM телефоне
содержится алгоритм шифрования (A5). Алгоритмы шифрования (A3, A5, A8) присутствуют
также и в GSM сети. Центр аутентификации (AuC), часть системы операций и
поддержки GSM сети, состоит из базы идентификационных и аутентификационных
данных пользователей. Эта информация состоит из IMSI, TMSI, идентификатора
местности (LAI) и индивидуального ключа идентификации (Ki) каждого
пользователя. Такое распределение ключей и алгоритмов шифрования обеспечивает
дополнительные меры безопасности как в обеспечении конфиденциальности
использования телефона, так и в предотвращении мошенничества [3,4].
Аутентификация
GSM сеть идентифицирует подлинность пользователя,
используя механизм отклик-отзыв. На MS посылается случайное 128-битное число
(RAND). Мобильная станция вычисляет 32-битный подписанный отклик абонента
(SRES), основанный на шифрации RAND при помощи алгоритма A3, с использованием
ключа Ki. После получения подписанного ответа (SRES) от абонента, GSM сеть
повторяет вычисление для проверки подлинности абонента. Важно отметить, что
индивидуальный ключ идентификации абонента Ki никогда не передается по
радио каналу. Если полученный SRES совпадает с вычисленным значением, то MS
считают успешно аутентифицированной. Если же значения не совпадают, то
соединение разрывается и мобильной станции указывается на ошибку при
аутентификации.
SIM карта содержит алгоритм генерации ключа
шифрования (A8), который используется для создания 64-битного ключа шифрования
(Kc). Этот ключ вычисляется с использованием того же, что и при аутентификации,
случайного числа (RAND), и индивидуального идентификационного ключа абонента
Ki. Дополнительная степень безопасности обеспечивается возможностью смены
ключа, что делает систему более стойкой к прослушиванию. Ключ Kc можно изменять
периодически, если этого требует соображения безопасности
Вычисление ключа Kc, как и при аутентификации,
производится внутри SIM. Поэтому такая секретная информация, как
идентификационный ключ Ki, никогда не раскрывается SIM картой.
Шифрация голоса и данных между мобильной станцией и
сетью выполняется при помощи алгоритма A5. Шифрация информации инициируется
командой от GSM сети на переход в режим шифрования. Получив такую команду,
мобильная станция начинает шифровать отправляемые и дешифровать получаемые
данные, используя алгоритм A5 и ключ Kc [2,5].
Конфиденциальность
идентификатора абонента
Для того, чтобы гарантировать конфиденциальность
абонента, используется временный идентификатор мобильного абонента (TMSI). TMSI
посылается на мобильную станцию после проведения процедур аутентификации и
начала шифрования. TMSI действителен только в местности, в которой был
назначен. Для связи за ее пределами, к TMSI нужно добавлять идентификатор
местности (LAI).
Хотя алгоритмы A3, A5, A8 являются закрытыми, кое-что
про них известно:
• A3 и A8 алгоритмы являются зависимыми от ключа, однонаправленными
хеш-функциями.
Они похожи по функциональности и обычно реализуются в
виде одного алгоритма, называемого COMP128.
• A5 - потоковый шифр, состоящий из трех линейных регистров с обратными
связями со степенями 19, 22, 23.
Сумма степеней регистров 64. Используется 64-битный
сессионный ключ для инициализации начального состояния регистров [1,2].
Мобильные системы третьего
поколения
Обеспечение секретности UMTS базируется на
механизмах, разработанных для сетей
второго поколения.
Развертывание 3G систем, таких как UMTS (HSDPA) и CDMA2000, основано на IP сетях, т.е. открытых сетях,
которые не разделяют сигнализацию от данных. Это может позволить
злоумышленникам получить доступ к данным и/или сетевым ресурсам. В 3G системах применяtться Internet-подобная система
безопасности.
Смарт-карта (USIM) также будет являeться непременным персональным
модулем безопасности. Как и в GSM, алгоритмы аутентификации и генерации ключа
находятся на этой карте.
Добавлены новые свойства, чтобы учесть изменения в
сетевой архитектуре и обезопасить новые сервисы, предоставляемые 3G. По
сравнению с GSM, были сделаны два главных усовершенствования:
•Используемая криптография усилена введением
128-битных ключей. Установлены 128-битный ключ шифрования и 128-битный ключ
целостности. Шифрация производится по алгоритму Kasumi.
•Для установления подлинности и абонента, и базовой
станции введена взаимная аутентификация при соединении. Аутентификация для
абонентов, проходящих между различными сетями, также защищается при помощи
криптографической системы с открытым ключом. Алгоритм основан на Rijndael.
По сравнению с GSM, важная сигнализация шифруется.
Криптографическая проверочная сумма используется в обоих направлениях. Меры
безопасности при сигнализации между различными сетями также будут
стандартизированы. На данный момент отсутствие системы сертификатов
пользователей обусловлено тем, что процессоры, применяемые в большинстве
оборудования, не способны обрабатывать данные сертификаты.
Среди дополнительных средств защиты информации введена
взаимная аутентификация – не только пользователь аутентифицируется сетью, но и
сеть аутентифицируется пользователем, это позволяет предотвратить возможность
подключение к ложной сети. Также обеспечивается конфиденциальное шифрование
между различными сетями. Данное дополнение применяеться в связи с
использованием роуминга с сетями второго поколения [3,4].
Выводы
Сравнив технологий второго и третего поколения
беспроводной связи, можно утверждать, что безопасность передачи данных в 3g сетях значительно выше, чем в сетях
2g. Но при
этом система обеспечения защиты данных в сетях UMTS требует дороботок, а именно:
разработка новых криптографических и стенографических алгоритмов, применение
новых сертификатов пользователей. Это позволит обеспечить гарантированную
целостность передаваемых документов, создание доверительного общения в сети.
Литература:
1.
М.В.
Грайворонський, О.М. Новіков Безпека інформаційно-комунікаційних систем. – К.: Видавнича група BHV, 2009. – 608 c.
2.
В.Г.
Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы – Спб.:
Питер, 2001. – 672 с.
3.
А.А.
Малюк Информационная безопасность: концептуальные и методологические основы
защиты информации. Учеб. Пособие для ВУЗов. – М: Горячая линия - Телеком, 2004 – 280 с.
4.
В.
Столингс Беспроводные линии связи и сети. Изд.: Вильямс, 2003 – 640 с.
5.
http://ru.wikipedia.org/wiki/VPN