-
1
Sicherheit in der Mobilkommunikation
1 Mobilkommunikation und mehrseitige Sicherheit
1.1 Mobilkommunikation
1.2 Mehrseitige Sicherheit
1.3 Angreifermodell
1.4 Abgeleitete Sicherheitsma§nahmen
2 Mobilkommunikation am Beispiel GSM
2.1 Allgemeines
2.2 Struktur von GSM
2.3 Datenbanken des GSM
2.4 Sicherheitsrelevante Prozeduren und
Funktionen
2
3 Mobilitts- und Verbindungsmanagement am Beispiel GSM
3.1 Location Management allgemein
3.2 Erstellbarkeit von Bewegungsprofilen allgemein
3.3 Location Update Prozeduren
3.4 Rufaufbau (Call Setup) im GSM
3.5 Erstellbarkeit von Bewegungsprofilen im GSM
3.6 Bekannte Angriffe auf GSM-Sicherheitsfunktionen
3.7 Zusammenfassung der Sicherheitsprobleme
4 Verfahren zum Schutz von Aufenthaltsinformation
4.1 Allgemeines
4.1 Systematik
Sicherheit in der Mobilkommunikation
-
3
Sicherheit in der Mobilkommunikation
5 Methoden mit ausschlie§lichem Vertrauen in die
Mobilstation
5.1 Vermeidung von Lokalisierungsinformation
5.2 Variable implizite Adressen
5.3 Methode der Gruppenpseudonyme
6 Methoden mit zustzlichem Vertrauen in einen eigenen
ortsfesten
Bereich
6.1 Adre§umsetzungsmethode mit Verkleinerung der Broadcast-
Gebiete
6.2 Explizite Speicherung der Lokalisierungsinformation in
einer
Trusted Fixed Station
6.3 Pseudonymumsetzung in einer vertrauenswrdigen Umgebung
mit der Methode der temporren Pseudonyme
6.4 Sicherheitsbetrachtungen
4
7 Methoden mit zustzlichem Vertrauen in einen fremden
ortsfesten
Bereich
7.1 Organisatorisches Vertrauen: Vertrauen in eine Trusted
Third
Party
7.2 Methode der kooperierenden Chips
7.3 Mobilkommunikationsmixe
8 Mobilitt im Internet
8.1 Mobile IP: Prinzip und Sicherheitsfunktionen
8.2 Mobile IP und Schutz von Aufenthaltsorten
9 Zusammenfassung
Sicherheit in der Mobilkommunikation
-
5
Organisatorisches
¥ Lehrbeauftragter
Ð Dr.-Ing. Hannes Federrath
Ð E-Mail: [email protected]
¥ Art der Lehrveranstaltung
Ð Wahlpflichtlehrveranstaltung, 2 SWS Vorlesung
Ð Zuordnung zur Vertiefungsrichtung ÇTechnischer
DatenschutzÈ
¥ Erwnschte Vorkenntnisse
Ð Grundlagen Rechnernetze/verteilte Systeme
Ð Grundkenntnisse Datensicherheit/Kryptographie
¥ Lehrveranstaltungsmaterial:
Ð http://www.inf.tu-dresden.de/~hf2/mobil/
¥ Form des Abschlusses:
Ð Mndliche Prfung oder Schein
6
Mobilkommunikation Ð Einfhrung
¥ Unterschiede Festnetz- und Mobilkommunikation
Ð Teilnehmer bewegen sich
Ð Bandbreite auf der Luftschnittstelle knapp
Ð Luftschnittstelle stranflliger als Leitungen des festen
Netzes:
¥ zeitweilige Diskonnektivitt
Ð Luftschnittstelle bietet neue Angriffsmglichkeiten:
¥ erleichterte Abhrmglichkeit
¥ Peilbarkeit
-
7
1. Mobilittsformen
¥ Terminal Mobility:
Ð Beispiel: Funktelefon
¥ drahtlose Kommunikationsschnittstelle
¥ mobiles Endgert
¥ Personal Mobility:
Ð Beispiel: ffentliche Terminals
¥ Teilnehmer ist mobil
¥ bewegungsunabhngige Adresse
¥ Endgert ist nicht notwendigerweise mobil
¥ Session Mobility:
Ð ÇEinfrieren einer SessionÈ und sptere Reaktivierung an
einem
anderen Ort oder/und Endgert.
Mobilkommunikation Ð Einteilungsmglichkeiten
8
Mobilkommunikation Ð Einteilungsmglichkeiten
2. Wellenbereiche
Ð Funkwellen (f = 100 MHz bis mehrere GHz)
Ð Lichtwellen (infrarot)
Ð Schallwellen (bisher ungebruchlich)
3. Zellengr§e
Ð Pikozellen d < 100 m
Ð Mikrozellen d < 1 km
Ð Makrozellen d < 20 km
Ð Hyperzellen d < 60 km
Ð Overlay-Zellen d < 400 km
Weitere
Ð Punkt-zu-Punkt-Kommunikation, Broadcast (Pagerdienste)
Ð Analog, Digital
Ð Simplex, Duplex
-
9
Beispiele fr mobile Netze
¥ Pagerdienste (Scall, TeLMI)
¥ Datendienste (Modacom)
¥ Sprachdienste = Massenmarkt
Ð 1. Generation: analog
¥ C-Netz, Cordless Telephone, AMPS
Ð 2. Generation: digital
¥ GSM, DCS-1800, DECT
Ð 3. Generation: diensteintegrierend
¥ UMTS/IMT-2000/FPLMTS
¥ Satellitendienste
Ð Iridium, Inmarsat, Globalstar, Odyssey
Ð GPS (Global Positioning System)
¥ Internet (Mobile IP)
10
Sicherheitsanforderungen an mobile Systeme
¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)
Ð protection of user data
Ð protection of signalling information, incl. location
Ð user authentication, equipment verification
Ð fraud prevention (correct billing)
¥ Allgemein
Ð Schutz der Vertraulichkeit
Ð Schutz der Integritt
Ð Zurechenbarkeit
Ð Verfgbarkeit
¥ Mobiles Umfeld kann nicht als
vertrauenswrdig vorausgesetzt werden
-
11
Vertraulichkeit, Integritt, Zurechenbarkeit, Verfgbarkeit
¥ Schutz der Inhaltsdaten (ÇWorber?È)
Ð vor allen Instanzen au§er den Kommunikationspartnern!
¥ Schutz der Verkehrsdaten (ÇWer mit wem?È)
Ð Mglichkeit zur anonymen und unbeobachtbaren Kommunikation
Ð auch gegenber dem Netzbetreiber!
¥ Schutz des Aufenthaltsorts (ÇWo?È)
Ð Schutzziel: Verhindern der Erstellbarkeit von
Bewegungsprofilen
¥ Schutz vor (Ver)-Flschung
Ð Inhalte und Absender
¥ Sende- und Empfangsnachweise
Ð Digitale Signaturen
¥ Sichere Abrechnungsverfahren
Ð auch gegenber dem Netzbetreiber!
Ð Anonymitt und Unbeobachtbarkeit mu§ erhalten bleiben!
¥ Verfgbarkeit
Inhalte
Senden
Empfangen
Ort
Bezahlung
Inhalte
Absender
Empfnger
12
KommunikationsgegenstandWAS?
KommunikationsumstndeWANN?, WO?, WER?
Vertraulichkeit
Integritt
AnonymittUnbeobachtbarkeit
ZurechenbarkeitRechtsverbindlichkeit
InhalteSender
Empfnger
Ort
BezahlungInhalte Absender
Empfnger
Was ist zu schtzen?
Juristisch: Juristisch: personenbezogenepersonenbezogene Daten
Daten
Technisch: Inhaltsdaten und VerkehrsdatenTechnisch: Inhaltsdaten
und Verkehrsdaten
-
13
Maximal bercksichtigte Strke des Angreifers
Schutz vor einem allmchtigen Angreifer ist unmglich.
Ð Rollen des Angreifers (Au§enstehender, Benutzer,
Betreiber,
Wartungsdienst, Produzent, Entwerfer É), auch kombiniert
Ð Verbreitung des Angreifers
Ð Verhalten des Angreifers
¥ passiv / aktiv
¥ beobachtend / verndernd (bzgl. seiner erlaubten
Handlungen)
Ð dumm / intelligent
¥ Rechenkapazitt:
Ð unbeschrnkt: informationstheoretisch
Ð beschrnkt: komplexittstheoretisch
Zeit
Geld
14
Angreifermodell
¥ Aktive oder passive Rolle des Angreifers
Ð Was kann der Angreifer maximal passiv beobachten?
Ð Was kann der Angreifer maximal aktiv kontrollieren?
Ð Was kann der Angreifer aktiv verndern?
Konkret:
¥ Angreifer au§erhalb des Netzes (Outsider):
nur passive (abhrend, beobachtend)
¥ Angreifer innerhalb den Netzes (Insider):
passive und aktive (hier: Daten verndernde Angriffe)
¥ Generell: Insider und Outsider knnen Verfgbarkeit auf der
Funkschnittstelle stren
-
15
Angreifermodell
¥ Mchtigkeit des Angreifers
Ð Wieviel Rechenkapazitt besitzt der Angreifer?
Ð Wieviel finanzielle Mittel besitzt der Angreifer?
Ð Wieviel Zeit besitzt der Angreifer?
Ð Welche Verbreitung hat der Angreifer? Oder spezieller:
Welche
Leitungen, Kanle, Stationen kann der Angreifer beherrschen?
Konkrete Verbreitung
¥ Endgert: sicher gegen Manipulation = Vertrauensbereich
¥ Netzkomponenten: sicher gegenber Outsidern, unsicher
gegenber
Insidern
¥ Funkschnittstelle: Peilbarkeit sendender Funkstationen
(Insider und
Outsider)
16
Sicherheitsma§nahmen
Vertr. Integr. Verf.Ende-zu-Ende-Sicherung der Inhalte x
xzustzliche Verschlsselung der Signalisierdaten x x (x)Schutz vor
Peil- und Ortbarkeit:Spread Spectrum x xSchutz der
Kommunikationsbeziehungen xSchutz des Aufenthaltsortes /
DatenschutzgerechteVerwaltung der Aufenthaltsorte
x
Gegenseitige Authentikation der Teilnehmer, aberauch der
Netzkomponenten untereinander
x x
Organisatorische Aspekte: Befugnisse desWartungsdienstes genau
definieren
x x x
(Hersteller)-Unabhngigkeit der Netzkomponenten x xAnonyme
Netzbenutzung (Wertkarten) xMehrseitig sichere, ggf. anonyme
Abrechnung x x (x)
-
17
Mobilkommunikation am Beispiel GSM
Ð Ursprnglich: Groupe Spciale Mobil der ETSI
¥ Leistungsmerkmale des Global System for Mobile
Communication
Ð hohe, auch internationale Mobilitt
Ð hohe Erreichbarkeit unter einer (international) einheitlichen
Rufnummer
Ð hohe Teilnehmerkapazitt
Ð recht hohe bertragungsqualitt und -zuverlssigkeit durch
effektive
Fehlererkennungs- und -korrekturverfahren
Ð hoher Verfgbarkeitsgrad (Flchendeckung zwischen 60 und
90%)
Ð als Massendienst geeignetes Kommunikationsmedium
Ð flexible Dienstgestaltung
¥ Dienstevielfalt
¥ Entwicklungsfhigkeit
18
Mobilkommunikation am Beispiel GSM
Ð Ursprnglich: Groupe Spciale Mobil der ETSI
¥ Leistungsmerkmale des Global System for Mobile
Communication
Ð eingebaute Sicherheitsmerkmale
¥ Zugangskontrolldienste (PIN, Chipkarte)
¥ Authentikations- und Identifikationsdienste
¥ Untersttzung von temporren Identifizierungsdaten
(Pseudonymen)
¥ Abhrsicherheit fr Outsider auf der Funkschnittstelle
Ð relativ niedriges Kostenniveau
Ð priorisierter Notrufdienst
Ð Ressourcenkonomie auf der Funkschnittstelle durch FDMA,
TDMA,
Sprachkodierung, Warteschlangentechniken, OACSU (Off Air Call
Setup)
-
19
Struktur von GSM
¥ Architekturkonzept Ð die Erste
Operation and Mantainance Center
Location Registers
Mobile Switching Center
Mobile Switching Center
Base Station Controller
Base Station Controller
Base Transceiver Station
Base Transceiver Station
...
MSMS
MSMS
MS
Base Station Subsystem
20
Struktur von GSM
¥ Logischer Netzaufbau
BTS
MS
LA
MSC
MSC
HLR AuC EIR
VLR
VLR
BSC
MSC VLR
HLR: Home Location RegisterAuC: Authentication CenterEIR:
Equipment Identity RegisterMSC: Mobile Switching CenterVLR: Visitor
Location RegisterBSC: Base Station ControllerBTS: Base Transceiver
StationMS : Mobile StationLA : Location Area
-
21
Struktur von GSM
¥ Architekturkonzept Ð die Zweite
PSTN/ISDN
Network and switching subsystemFixed network
Datanetworks
BTS
BTS
Base stationsubsystem
OMC
(G)MSC BSC
Call Management
Network Management
MS
MS
Operation subsystem
VLR HLR AuC EIR
22
Location Management im GSM
¥ Grundprinzip verteilte Speicherung
Ð Verteilte Speicherung ber Register
¥ Home Location Register und Visitor Location Register
Ð Netzbetreiber hat stets globale Sicht auf Daten
Ð Bewegungsprofile sind erstellbar
HLR
Datenbank-abfrage
Vermittlung des Rufs ins LA
VLRAdresse
des VLR:
A
Adresse
des LA:
LAI
Datenbank-abfrage
weit entfernt vom LA in der Nähe des LA
VLR
MSISDNenthält
Nummer des
HLR
incoming call:
A
Broadcast im LA
MS
besuchtes LA
BBTS
-
23
Defizite in existierenden Netzen am Beispiel GSM
¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)
Ð protection of user data
Ð protection of signalling information, incl. location
Ð user authentication, equipment verification
Ð fraud prevention (correct billing)
¥ Datenschutzdefizite (Auswahl)
Ð geheimgehaltene symmetrische Kryptoverfahren
Ð schwacher Schutz des Ortes gegen Outsider
Ð kein Schutz gegen Insiderangriffe (Inhalte,
Aufenthaltsorte)
Ð keine Ende-zu-Ende-Dienste (Authentikation,
Verschlsselung)
Ð Vertrauen des Nutzers in korrekte Abrechnung ist ntig
Ð keine anonyme Netzbenutzung mglich
¥ Fazit: Stets werden externe Angreifer betrachtet.
Ð GSM soll lediglich das Sicherheitsniveau existierender
Festnetze
erreichen.
24
Datenbanken des GSM
¥ Home Location Register (HLR)
Semipermanente Daten
Ð IMSI (International Mobile Subscriber Identity): max. 15
Ziffern
¥ Mobile Country Code (MCC, 262) + Mobile Network Code (MNC,
01/02) + Mobile Subscriber Identification Number (MSIN)
Ð MSISDN (Mobile Subscriber International ISDN Number): 15
Ziffern
¥ Country Code (CC, 49) + National Destination Code (NDC,
171/172)
+ HLR-Nummer + Subscriber Number (SN)
Ð Bestandsdaten ber den Subscriber (Name, Adresse, Kto.-Nr.
etc.)
Ð gebuchtes Dienstprofil (Prioritten, Anrufweiterleitung,
Dienstrestriktionen, z.B. Roaming-Einschrnkungen)
HLR
-
25
Datenbanken des GSM
¥ Home Location Register (HLR)
Temporre Daten
Ð VLR-Adresse, MSC-Adresse
Ð MSRN (Mobile Subscriber Roaming Number): Aufenthaltsnummer
¥ CC + NDC + VLR-Nummer
Ð Authentication Set, bestehend aus mehreren Authentication
Triples:
¥ RAND (128 Bit),
¥ SRES (32 Bit) ,
¥ Kc (64 Bit)
Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centres
HLR
26
Datenbanken des GSM
¥ Home Location Register (HLR)
¥ Visitor Location Register (VLR)
Ð IMSI, MSISDN
Ð TMSI (Temporary Mobile Subscriber Identity)
Ð MSRN
Ð LAI (Location Area Identification)
Ð MSC-Adresse, HLR-Adresse
Ð Daten zum gebuchten Dienstprofil
Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centers
VLR
HLR
-
27
Datenbanken des GSM
¥ Home Location Register (HLR)
¥ Visitor Location Register (VLR)
¥ Equipment Identity Register (EIR)
Ð IMEI (International Mobile
Station Equipment Identity): 15 Ziffern
= Seriennummer der Mobilstation
¥ white-lists (zugelassene Endgerte,
nur verkrzte IMEI gespeichert)
¥ grey-lists (fehlerhafte Endgerte,
die beobachtet werden)
¥ black-lists (gesperrte)
VLR
EIR
HLR
28
Sicherheitsrelevante Funktionen des GSM
¥ berblick
Ð Subscriber Identity Module (SIM, Chipkarte)
¥ Zugangskontrolle und Kryptoalgorithmen
Ð einseitige Authentikation (Mobilstation vor Netz)
¥ Challenge-Response-Verfahren (Kryptoalgorithmus: A3)
Ð Pseudonymisierung der Teilnehmer auf der Funkschnittstelle
¥ Temporary Mobile Subscriber Identity (TMSI)
Ð Verbindungsverschlsselung auf der Funkschnittstelle
¥ Schlsselgenerierung: A8
¥ Verschlsselung: A5
-
29
Subscriber Identity Module (SIM)
¥ Spezielle Chipkarte mit Rechenkapazitt
Gespeicherte Daten:
Ð IMSI (interne Teilnehmerkennung)
Ð teilnehmerspezifischer symmetrischer Schlssel Ki (Shared
Secret Key)
Ð PIN (Personal Identification Number) fr Zugangskontrolle
Ð TMSI
Ð LAI
Krypto-Algorithmen:
Ð Algorithmus A3 fr
Challenge-Response-Authentikationsverfahren
Ð Algorithmus A8 zur Generierung von Kc (Session Key)
30
Challenge-Response-Authentikation
¥ Wann vom Netz initiiert?
Ð Aufenthaltsregistrierung (Location Registration)
Ð Aufenthaltswechsel (Location Update) mit VLR-Wechsel
Ð Call Setup (in beiden Richtungen)
Ð Kurznachrichtendienst SMS (Short Message Service)
¥ Protokoll
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
-
31
Challenge-Response-Authentikation
¥ Algorithmus A3
Ð auf SIM und im AuC untergebracht
Ð mit Ki parametrisierte Einwegfunktion
Ð nicht (europaweit, weltweit) standardisiert
Ð kann vom Netzbetreiber festgelegt werden:
¥ Authentikationsparameter werden vom Netzbetreiber an das
prfende
(d.h. das besuchte) MSC bermittelt
¥ dort lediglich Vergleichsoperation
¥ besuchtes MSC mu§ der Gte von A3 vertrauen
Ð Schnittstellen sind standardisiert
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
32
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
Angriffe
¥ Kritik
Ð kryptographische Mechanismen geheim, also nicht
ÇwohluntersuchtÈ
¥ Folge: Schwchen nicht auszuschlie§en
¥ Angriff: SIM-Cloning
Ð symmetrisches Verfahren
¥ Folge: Speicherung nutzerspezifischer geheimer Schlssel
beim
Netzbetreiber erforderlich
¥ Angriff: ÇAbfangenÈ von Authentication Triplets
Ð keine gegenseitige Authentikation vorgesehen
¥ Folge: Angreifer kann ein GSM-Netz vortuschen
¥ Angriff: IMSI-Catcher
-
33
ÇSIM-CloningÈ
¥ Angriffsziel
Ð Telefonieren auf Kosten anderer Teilnehmer
Ð beschrieben von Marc Briceno (Smart Card Developers
Association), Ian
Goldberg und Dave Wagner (beide University of California in
Berkeley)
Ð http://www.isaac.cs.berkeley.edu/isaac/gsm.html
Ð Angriff bezieht sich auf Schwche des Algorithmus COMP128, der
A3/A8
implementiert
Ð SIM-Karte (incl. PIN) mu§ sich in zeitweiligem Besitz des
Angreifers
befinden
¥ Aufwand
Ð ca. 150.000 Berechnungsschritte, um Ki (max. 128 Bit) zu
ermitteln
Ð derzeit ca. 8 - 12 Stunden
34
ÇAbfangenÈ von Authentication Sets
¥ Angriffsziel
Ð Telefonieren auf Kosten anderer Teilnehmer
Ð beschrieben von Ross Anderson (Universitt Cambridge)
Ð Abhren der unverschlsselten netzinternen Kommunikation bei
Anforderung der Authentication Triples vom AuC durch das
besuchte
VLR/MSC
¥ Angriff beruht auf folgender ÇSchwcheÈ
Ð GSM-Standard beschreibt gr§tenteils Implementierung von
Schnittstellen zwischen den Netzkomponenten
Ð Verschlsselung der Authentication Sets bei bermittlung vom AuC
zum
VLR/MSC nicht vorgesehen
-
35
Verschlsselung auf der Funkschnittstelle
originator device radio transmission(encrypted)
BTS fixed network(not encrypted)
Gateway-MSC
database
terminating device radio transmission(encrypted)
BTS fixed network(not encrypted)
domain of network operator 1
domain of network operator 2
Richtfunk-strecke(unverschlsselt)
36
ÇAbfangenÈ von Authentication Sets
fakedmobile station visited network home network
(any message)
air interface
TMSIKiRAND
A5
A3+A8
SRESÕ
A5
=
auth. res.
Auth. Request
RAND
Auth. Response
SRES
Ciphering Mode Cmd.
Start Ciphering
Ciphering Mode Compl.
Provide Auth. Info
microwave link(not encrypted)
Authentication Information
RAND, SRES, Kc
mappingTMSIÐIMSI IMSI
storeauth. info
storeauth. info
Lookup
Kc
Interception of Authentication Triplets
RAND, SRES, Kc
......
...
Kc
-
37
Pseudonymisierung auf der Funkschnittstelle
¥ TMSI (Temporary Mobile
Subscriber Identity)
Ð soll Verkettung von
Teilnehmeraktionen
verhindern
Ð Algorithmus zur
Generierung der TMSI
legt Netzbetreiber fest
Ð bei erster Meldung
(oder nach Fehler) wird
IMSI bertragen
¥ Neuvergabe einer TMSI
bei unbekannter alter
TMSI
Ð Identity Request
Ð ... kann jederzeit von
Netz gesendet werden
MS Netz
alte TMSI im SIM (beliebige Nachricht, in der TMSI verwendet
wird)
VLR: keine Zuordnung
TMSI — IMSImöglich
Authentikation
VLR: Neuver-gabe TMSI
Identity Response
Identity Request
IMSI aus SIM
IMSI
TMSI Reallocation Command
BSC: Chiffr. A5
cipher(TMSI new)
A5
Kc
LAI old, TMSI old
SpeicherungTMSI new
38
Pseudonymisierung auf der Funkschnittstelle
¥ TMSI (Temporary Mobile
Subscriber Identity)
Ð soll Verkettung von
Teilnehmeraktionen
verhindern
Ð Algorithmus zur
Generierung der TMSI
legt Netzbetreiber fest
Ð bei erster Meldung
(oder nach Fehler) wird
IMSI bertragen
MS Netz
TMSI Reallocation Command
alte TMSI im SIM
LAI old, TMSI old
(beliebige Nachricht, in der TMSI verwendet wird)
VLR: Zuordnung TMSI — IMSI
Authentikation
BSC: Chiffr. A5
VLR: Neuver-gabe TMSI
cipher(TMSI new)
A5
neue TMSI im SIM
TMSI Reallocation Complete
Kc
SpeicherungTMSI new
LöschungTMSI oldSpeicherung
TMSI new
-
39
Verschlsselung auf der Funkschnittstelle
¥ Schlsselgenerierung: Algorithmus A8
Ð auf SIM und im AuC untergebracht
Ð mit Ki parametrisierte Einwegfunktion
Ð nicht (europaweit, weltweit) standardisiert
Ð kann vom Netzbetreiber festgelegt werden
Ð Schnittstellen sind standardisiert
Ð Kombination A3/A8 bekannt als COMP128
MS Netz
(Authentication Request)
RAND
Random Generator
A8
Ki
A8
Ki
Kcin HLR gespeichert
in BSC benutzt
max. 128 Bit
64 Bit
128 Bit
Kcin SIM gespeichert
in MS benutzt
40
Verschlsselung auf der Funkschnittstelle
¥ Datenverschlsselung: Algorithmus A5
Ð in der Mobilstation (nicht im SIM !) untergebracht
Ð europa- bzw. weltweit standardisiert
Ð schwcherer Algorithmus A5* oder A5/2 fr bestimmte Staaten
MS Netz
(Verschlüsselungsmodus)
A5
Kc
A5
Kc
TDMA-Rahmen-nummer
64 Bit
Klartext-block
22 Bit
TDMA-Rahmen-nummer
114 BitSchlüssel-block
Schlüsseltext
Klartext-block
Ciphering Mode Command
(Ciphering Mode Complete)Verbindungs-
verschlsselung
-
41
Verschlsselung auf der Funkschnittstelle
¥ Ciphering Mode Command (GSM 04.08)
¥ Cipher mode setting information element
8 7 6 5 4 3 2 11 0 0 1 0 0 0 SC=0 No chiphering
Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering
Informationselement Lnge in BitProtocol discriminatorTransaction
discriminator 16Message typeCiphering mode setting 8
42
IMSI-Catcher
knows identities
suppress ciphering
MS IMSI Catcher network
Location Upd. Request (TMSI)
Identity Request
Identity Response (IMSI)
Note: The IMSI Catcher sends its Òlocation area identityÓ with a
higher power than the genuine
Location Upd. Request (IMSI)
Authentication Request (RAND)
Authentication Response (SRES)
Ciph. Mode Cmd. (Start Ciph.)
Ciphering Mode Complete (Fault)
Location Updating Accept
TMSI Reallocation Complete
Authentication Request (RAND)
Authentication Response (SRES)
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
Location Updating Accept
TMSI Reallocation Complete
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
BCCH BCCH¥ Angriffsziele
Ð Welche Teilnehmer
halten sich in der
Funkzelle auf?
Ð Gesprche mithren
¥ Man-in-the-middle
attack (Maskerade)
¥ Abwehr:
Ð Gegenseitige
Authentikation:
MS Ñ Netz
und
Netz Ñ MS
-
43
Zusammenspiel der SicherheitsfunktionenMS Netz
TMSI Reallocation Command
TMSI old, LAI old
Location Updating Request
RAND, SRES, Kc, IMSI, TMSI
A5
TMSI Reallocation Complete
Kc Ciphering Mode Command
=
Authentication Request
RAND
SRES
Authentication Response
A3 + A8
Ki
SRES
Ciphering Mode Complete
Kc
Location Updating Accept
A5
A5
A5
A5
A5
A5
A5
Ki, IMSI, TMSI
44
Location Management allgemein
¥ Zentral
Ð Jede Aktualisierung, d.h. Wechsel des Location Area (LA),
erfordert
Kommunikation mit Home Location Register (HLR)
Ð Ineffizient bei gro§er Entfernung zwischen HLR und und
aktuellem
Aufenthaltsort bzw. hoher Location Update Rate (LUP-Rate)
¥ Diese Form der Speicherung wird bei Mobile IP verwendet
Ð HLR entspricht dem Home Agent
speichert Adresse des LA zusammen mit der MSISDN
HLR
Broadcast im LA
MSISDNenthältNummer desHLR
incoming call:
Datenbank-abfrage
Vermittlung des Rufs ins LA
MS
besuchtes LA
B
A
BTS
MSISDN, LAI
-
45
Location Management allgemein
¥ Zweistufig
Ð Wechsel des LA wird dem Visitor Location Register (VLR)
signalisiert
Ð Ein VLR bedient einen begrenzten geographischen Bereich
(VLR-Area)
Ð Wechsel des VLR-Area wird dem HLR signalisiert
Ð Zweck: Reduzieren der Signalisierlast im Fernbereich
Ð Tradeoff: Verzgerung des Rufaufbaus (mobile terminated)
durch
zustzliche Datenbankanfrage an VLR
HLR
Datenbank-
abfrage
Vermittlung des
Rufs ins LA
VLR
Adressedes VLR:A
Adressedes LA:LAI
Datenbank-
abfrage
weit entfernt vom LA in der Nähe des LA
BroadcastMSISDN
VLR
46
Location Management allgemein
¥ Mehrstufig
Ð Verallgemeinerung des mehrstufigen Falls
Ð Fr Systeme der sogenannten 3. Generation vorgesehen (UMTS,
FPLMTS, IMT-2000)
Ð Register sind nicht zwingend hierarchisch, z.B. bei
ÈForwardingÇ
Datenbankabfragen/Weitervermittlung
HLR
BroadcastMSISDN
Entfernung vom LA
A ...
R2 R3 Rn
LAIA A
Granularität der Lokalisierungsinformationgrob
groß klein
fein
R2 R3 R4
R1
-
47
Location Update Situationen
a) Wechsel der Funkzelle b) Wechsel des LA c) Wechsel des
VLR/MSC-Bereichs d) Wechsel des MSC-Bereichs
LA 1 (gehört zu MSC 1 und VLR 1)
LA 2 (gehört zu MSC 2 und VLR 2)
LA 3 (gehört zu MSC 2 und VLR 2)
Bewegung der MS
Zeichenerklärung:
Funkzelle
HLR ...
... im Home- PLMN- Bereich
MSC 1 VLR 1
VLR 2
MSC 2
MSC 3
LA 4 (gehört zu MSC 3 und VLR 2)
a
a
b
d
c
48
Location Update: neues LA
¥ Neues LA, aber altes VLR
(TMSI bekannt)
Ð Location Updating Request
(TMSI, LAI)oldÐ Sicherheitslmanagement
¥ Authentication
¥ Ciphering Mode
¥ TMSI Reallocation
Ð Location Updating Accept
MS MSC/VLR
Location Updating Request
TMSI Reallocation Complete
TMSI Reallocation Command
cipher(TMSI new)
Location Updating Accept
Allocation
TMSI new
De-Allocation
TMSI old
A3 + A8
Authentication Request
RAND
SRES
Ki
Kc
Authentication Response
Ciphering Mode Command
Ciphering Mode Complete
=
TMSI old, LAI old
Sicherheitsmanagement:
Authentikation,Verschlüsselungsmodus setzen,Zuweisung TMSI
new
Sicherheitsmanagement:
Bestätigung TMSI newLöschen TMSI alt
-
49
Location Update: VLR-Wechsel
Bewegung
VLR2
HLR
VLR1
LUP Request
50
Location Update: VLR-Wechsel
¥ Neues VLR (altes VLR erreichbar)
TMSI old, LAI old
MS MSC/VLR new MSC/VLR old
Location Updating Request
IMSI, Auth. Set
Update Location
Update Location Result
Location Updating Accept
Cancel Location
IMSI, MSC/VLR new
TMSI old, LAI old
HLR
Sicherheitsmanagement: Authentikation, Verschlsselungsmodus
setzen, Zuweisung TMSI new
Sicherheitsmanagement: Besttigung TMSI new Lschen TMSI old
De-Allocation TMSI old
-
51
Mobile Terminated Call Setup im GSM
send routing information
MSC2 (eigentlich MSRN)
incoming call
visited MSC2
Broadcast-nachricht im LA1
MSISDN-B enthält Routing-Information zum gebuchten GSM-Netz des
Mobilfunkteilnehmers B
Gateway MSC
HLR
MSISDN/IMSI-AMSISDN/IMSI-B...
MSISDN/IMSI-XMSISDN/IMSI-YMSISDN/IMSI-Z
MSC3MSC2...
MSC4MSC1MSC2
liest den Datenbankeintrag für MSISDN/IMSI-B und vermittelt zum
entsprechenden MSC weiter
IMSI-B
VLR2
IMSI-BIMSI-C
...
LA1, TMSI-BLA3, TMSI-C
...
liest das LA für IMSI-B
send info for incoming call
Station erkennt Verbindungswunschnachricht an ausgestrahlter
TMSI-B
TMSI-B
LA1, TMSI-B
B
LA1
52
MobileTerminatedCall Setup
¥ Protokoll
MS MSC HLR PSTN/GMSC
Paging Response
Send Routing InformationProvide Routing Info.
MSRN
Send Routing Info. Result
MSRN
Paging Request
Kanalanforderung an BSS (nur early-TCH-Assignement)
Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus
Setup
Kanalzuweisung bei early-TCH-Assignment
Alert
Connect
Kanalzuweisung bei OACSU
Initial Address Message (MSRN)
Answer Message
Address Complete Message
MSISDNIMSI
Prov. Rout. Info. Result
VLR
Pag. Request
Send Info
LAI, TMSITMSI (evtl. IMSI)
Data
ReleaseDisconnect
-
53
MobileOriginated CallSetup
¥ Protokoll
MS MSC/VLR PSTN/GMSC
CM Service Request
Kanalanforderung an BSS
Setup
Kanalzuweisung bei early-TCH- Assignment
Alert
Connect
Initial Address Message
Answer Message
Adress Complete Message
Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus
Kanalzuweisung bei OACSU
DisconnectRelease
Data
54
Nachrichtenaufbau GSM 04.08
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
-
55
Nachrichtenaufbau GSM 04.08
¥ Protocol discriminator4 3 2 1 bit number
0 0 1 1 call control, packet-mode, connection control and call
related SS msgs
0 1 0 1 mobility management messages
0 1 1 0 radio resources management messages
1 0 0 1 short message service messages
1 0 1 1 non call related SS messages
1 1 1 1 reserved for tests procedures
All other values are reserved
¥ Transaction identifier (TI)dient zur Unterscheidung paralleler
Aktivitten einer MS
8 bit number = TI flag
0 message sent from the originated TI side
1 message sent to the originated TI side
¥ TI valueZahl von 000É110 (bin:0É6)
111 reserviert
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
56
Message type
¥ Identifiziert die Funktion der Nachricht
¥ 3 Klassen:
Ð radio ressources management
Ð mobility management
Ð call control
¥ N(SD)
Ð Sequenznummer bzw. Extension Bit
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
-
57
Message type (1)
¥ Radio
ressources
management
8 7 6 5 4 3 2 1 bit
number-----------------------------------------------------0 0 1 1
1 Ð Ð - Channel establishment messagesÊÊÊÊÊ ÊÊ0 1 1 ADDITIONAL
ASSIGNMENTÊÊ ÊÊÊÊÊ1 1 1 IMMEDIATE ASSIGNMENTÊÊÊÊÊ ÊÊ0 0 1 IMMEDIATE
ASSIGNMENT EXTENDEDÊÊÊÊÊ ÊÊ0 1 0 IMMEDIATE ASSIGNMENT REJECT0 0 1 1
0 Ð Ð - Ciphering messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CIPHERING MODE
ASSIGNEMTÊÊÊÊÊÊÊÊÊÊ0 1 0 CIPHERING MODE COMPLETE0 0 1 0 1 Ð Ð -
Handover messagesÊÊÊÊÊÊÊÊÊÊ1 1 0 ASSIGNEMT COMMANDÊÊÊÊÊÊÊÊÊÊ0 0 0
ASSIGNEMT COMPLETEÊÊÊÊÊÊÊÊÊÊ1 1 1 ASSIGNMENT FAILUREÊÊÊÊÊÊÊÊÊÊ0 1 1
HANDOVER COMMANDÊÊÊÊÊÊÊÊÊÊ1 0 0 HANDOVER COMPLETEÊÊÊÊÊÊÊÊÊÊ0 0 0
HANDOVER FAILUREÊÊÊÊÊÊÊÊÊÊ1 0 1 PHYSICAL INFORMATION0 0 0 0 1 Ð Ð -
Channel release messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CHANNEL RELEASEÊÊÊÊÊÊÊÊÊÊ0
1 0 PARTIAL RELEASEÊÊÊÊÊÊÊÊÊÊ1 1 1 PARTIAL RELEASE COMPLETE0 0 1 0
0 Ð Ð - Paging messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 PAGING REQUEST TYPE
1ÊÊÊÊÊÊÊÊÊÊ0 1 0 PAGING REQUEST TYPE 2ÊÊÊÊÊÊÊÊÊÊ1 0 0 PAGING
REQUEST TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 1 1 PAGING RESPONSE0 0 0 1 1 Ð Ð - System
information messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 SYSTEM INFORMATION TYPE
1ÊÊÊÊÊÊÊÊÊÊ0 1 0 SYSTEM INFORMATION TYPE 2ÊÊÊÊÊÊÊÊÊÊ0 1 1 SYSTEM
INFORMATION TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 0 0 SYSTEM INFORMATION TYPE
4ÊÊÊÊÊÊÊÊÊÊ1 0 1 SYSTEM INFORMATION TYPE 5ÊÊÊÊÊÊÊÊÊÊ1 1 0 SYSTEM
INFORMATION TYPE 60 0 0 1 0 Ð Ð - Miscellaneous messagesÊÊÊÊÊÊÊÊÊÊ0
0 0 CHANNEL MODE MODIFYÊÊÊÊÊÊÊÊÊÊ0 1 0 RR-STATUSÊÊÊÊÊÊÊÊÊÊ1 1 1
CHANNEL MODE MODIFY ACKNOWLEDGEÊÊÊÊÊÊÊÊÊÊ1 0 0 FREQUENCY
REDEFINITIONÊÊÊÊÊÊÊÊÊÊ1 0 1 MEASUREMENT REPORTÊÊÊÊÊÊÊÊÊÊ1 1 0
CLASSMARK CHANGE
58
Message type (2)
¥ Mobility management
Ð Bits 7 und 8 (ã00Ò) reserviert als extension bits
Ð Bit 7:
¥ nur mobile originated: ã1Ò, falls Sequenznummer gesendet
wird
8 7 6 5 4 3 2 1 bit
number----------------------------------------------0 x 0 0 Ð Ð Ð -
Registration messagesÊ Ê Ê Ê 0 0 0 1 IMSI DETACH INDICATIONÊ Ê Ê Ê
0 0 1 0 LOCATION UPDATING ACCEPTÊ Ê Ê Ê 0 1 0 0 LOCATION UPDATING
REJECTÊ Ê Ê Ê 1 0 0 0 LOCATION UPDATING REQUEST0 x 0 1 Ð Ð Ð -
Security messagesÊ Ê Ê Ê 0 0 0 1 AUTHENTICATION REJECTÊ Ê Ê Ê 0 0 1
0 AUTHENTICATION REQUESTÊ Ê Ê Ê 0 1 0 0 AUTHENTICATION RESPONSEÊ Ê
Ê Ê 1 0 0 0 IDENTITY REQUESTÊ Ê Ê Ê 1 0 0 1 IDENTITY RESPONSEÊ Ê Ê
Ê 1 0 1 0 TMSI REALLOCATION COMMANDÊ Ê Ê Ê 1 0 1 1 TMSI
REALLOCATION COMPLETE0 x 1 0 Ð Ð Ð - Connection management
messagesÊ Ê Ê Ê 0 0 0 1 CM SERVICE ACCEPTÊ Ê Ê Ê 0 0 1 0 CM SERVICE
REJECTÊ Ê Ê Ê 0 1 0 0 CM SERVICE REQUESTÊ Ê Ê Ê 1 0 0 0 CM
REESTABLISHMENT REQUEST0 x 1 1 Ð Ð Ð - Connection management
messagesÊ Ê Ê Ê 0 0 0 1 MM STATUS
-
59
Message type (3)
¥ Call control
Ð Bei nationalen Nachrichten
folgt in den nchsten Oketts
der eigentliche Nachrichtentyp
Ð Bits 7 und 8 (ã00Ò) reserviert
als extension bits
Ð Bit 7:
¥ nur mobile originated: ã1Ò,
falls Sequenznummer
gesendet wird
8 7 6 5 4 3 2 1 bit
number-------------------------------------------0 x 0 0 0 0 0 0
Escape to nationally specific message types0 x 0 0 Ð Ð Ð - Call
establishment messagesÊ Ê Ê Ê 0 0 0 1 ALERTINGÊ Ê Ê Ê 1 0 0 0 CALL
CONFIRMEDÊ Ê Ê Ê 0 0 1 0 CALL PROCEEDINGÊ Ê Ê Ê 0 1 1 1 CONNECTÊ Ê
Ê Ê 1 1 1 1 CONNECT ACKNOWLEDGEÊ Ê Ê Ê 1 1 1 0 EMERGENCY SETUPÊ Ê Ê
Ê 0 0 1 1 PROGRESSÊ Ê Ê Ê 0 1 0 1 SETUP0 x 0 1 Ð Ð Ð - Call
information phasemessagesÊ Ê Ê Ê 0 1 1 1 MODIFYÊ Ê Ê Ê 1 1 1 1
MODIFY COMPLETEÊ Ê Ê Ê 0 0 1 1 MODIFY REJECTEDÊ Ê Ê Ê 0 0 0 0 USER
INFORMATION0 x 1 0 Ð Ð Ð - Call clearing messagesÊ Ê Ê Ê 0 1 0 1
DISCONNECTÊ Ê Ê Ê 1 1 0 1 RELEASEÊ Ê Ê Ê 1 0 1 0 RELEASE COMPLETE0
x 1 1 Ð Ð Ð - Miscellaneous messagesÊ Ê Ê Ê 1 0 0 1 CONGESTION
CONTROLÊ Ê Ê Ê 1 1 1 0 NOTIFYÊ Ê Ê Ê 1 1 0 1 STATUSÊ Ê Ê Ê 0 1 0 0
STATUS ENQUIRYÊ Ê Ê Ê 0 1 0 1 START DTMFÊ Ê Ê Ê 0 0 0 1 STOP DTMFÊ
Ê Ê Ê 0 0 1 0 STOP DTMF ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 0 START DTMF
ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 1 START DTMF REJECT
60
Bewegungs-profile im GSM
É per Fernwartung
É per Peilung
→
OMC
MSC VLR
HLR
BSC
BTSBTS
BSS
kennt VLR bzw. MSC
kennt LA
bei existierender Verbindung:kennt Zelle
hat Zugriff auf Netzkomponenten
LA
... kennt Frequenzsprungparameter (Hopping Parameters)
-
61
Bewegungsprofile im GSM
É per Peilung
BTS
BTS
BTSRichtungspeilungLaufzeitpeilung
62
Zusammenfassung der Sicherheitsprobleme
¥ Krtitk an GSM (I)
Ð Vertraulichkeit des Ortes nur gegen Outsider und dort noch
sehr
schwach
Ð Peilbarkeit von mobilen Stationen mglich
Ð keine bittransparenten Sprachkanle vorhanden, deshalb
keine Ende-zu-Ende-Verschlsselung mglich.
Ð keine Ende-zu-Ende-Authentikation vorgesehen
Ð keine gegenseitige Authentikation vorgesehen
Ð Kryptoalgorithmen sind teilweise geheim gehalten
Ð Kryptoalgorithmen sind ausschlie§lich symmetrisch
Ð Schlsselerzeugung und -verwaltung nicht unter Kontrolle
der
Teilnehmer
-
63
Zusammenfassung der Sicherheitsprobleme
¥ Krtitk an GSM (II)
Ð keine anonyme Netzbenutzung mglich
Ð Vertrauen in korrekte Abrechnung ist ntig
Ð keine Erreichbarkeitsmanagementfunktionen vorhanden
¥ Auswege
Ð Modifikation des Location Managements
Ð Verhinderung von Peilung und Ortung durch funktechnische,
informationstechnische und kryptographische Ma§nahmen
Ð Definition von Ende-zu-Ende-Diensten
Ð Untersttzung asymmetrischer Kryptographie
64
Verfahren zum Schutz von Aufenthaltsinformation
¥ Schutzkonflikt
Ð Mobilkommunikationsteilnehmer mchte mit mobilem Endgert
erreichbar sein,
Ð mchte jedoch nicht, da§ irgendwelche Instanzen
(Dienstanbieter,
Netzbetreiber) au§er ihm selbst ohne seine explizite
Einwilligung an
Aufenthaltsinformation ber ihn gelangen.
Ð Kein existierendes Netz erfllt diese Anforderung.
¥ GSM (Global System for Mobile Communication)
Ð Verteilte Speicherung ber Register
¥ Home Location Register
¥ Visitor Location Register
Ð Netzbetreiber hat stets globale Sicht auf Daten
Ð Bewegungsprofile sind erstellbar
-
65
Systematik: Verfahren zum Schutz von Aufenthaltsinfo
A. Vertrauen nur in die Mobilstation
A.1 Broadcast-Methode
A.2 Methode der Gruppenpseudonyme
B. Zustzliches Vertrauen in einen eigenen ortsfesten Bereich
B.1 Adre§umsetzungsmethode
B.2 Methode der Verkleinerung der Broadcast-Gebiete
B.3 Methode der expliziten vertrauenswrdigen Speicherung
B.4 Methode der Temporren Pseudonyme
C. Zustzliches Vertrauen in einen fremden ortsfesten Bereich
C.1 Organisatorisches Vertrauen
C.2 Methode der kooperierenden Chips
C.3 Methode der Mobilkommunikationsmixe
66
berblick: Broadcast
¥ Verzicht auf Datenbanken und globaler Broadcast (keine
Speicherung
von Lokalisierungsinformation)
HLR
Datenbank-abfrage
VLR
Datenbank-abfrage
A MS
B
-
67
A
Verteildienst
berblick: Broadcast
¥ Verzicht auf Datenbanken und globaler Broadcast (keine
Speicherung
von Lokalisierungsinformation)
¥ Immenser Aufwand an Bandbreite, falls als Massendienst
68
HLR
Datenbank-abfrage
VLR
Datenbank-abfrage
A MS
B
berblick: Vertrauenswrdige Speicherung
¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen
Bereich
-
69
¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen
Bereich
¥ Problem Aufenthaltswechsel: Jede Aktualisierung bentigt
Kommunikation mit vertrauenswrdigem Bereich
Aindividueller vertrauenswürdiger Bereich
berblick: Vertrauenswrdige Speicherung
70
¥ Temporre Pseudonyme (TP-Methode)
¥ Frage: Geht es auch mit Datenbanken, aber ohne
individuellen
Vertrauensbereich?
A vertr.Bereich HLR VLR
berblick: Vertrauenswrdige Speicherung
-
71
HLR VLR
A MS
B
MIX MIX
berblick: Mobilkommunikationsmixe
¥ Verdeckte Speicherung von Lokalisierungsinformation
72
Schutz des Empfngers: Verteilung (Broadcast)
¥ Adressierung
Ð explizite Adressen: Routing
Ð implizite Adressen: Merkmal fr Station des Adressaten
¥ verdeckt: Konzelationssystem
¥ offen: Bsp. Zufallszahlengenerator
¥ Beispiel
Ð Paging von Verbindungswnschen zu mobilen Teilnehmern
Ð Verzicht auf Speicherung von Aufenthaltsdaten
Adre§verwaltungffentliche Adresse private Adresse
impliziteAdres-
verdeckt sehr aufwendig, frKontaktaufnahme ntig
aufwendig
sierung offen abzuraten nach Kontaktaufnahmestndig wechseln
-
73
Broadcast-Ansatz
¥ Beispiel
Verteil- dienst
Verteil- wünsche
Broadcast
incoming call von Teilnehmer A
visited
MSC
Gateway
MSC
B
LA
1
2
34
5
6
74
Broadcast-Ansatz
Radio, Fernsehen, Funkruf, ... Verteildienst
Lokale Auswahl, unbeobachtbarer Empfang
-
75
Broadcast-Ansatz
¥ Leistung
1 106
1 107
1 1081 10
4
1 105
1 106
1 107
1 108
1 109
Verdeckte implizite AdresseOffene implizite
AdresseMinimalkodierung
Bandbreite b [bit/s] mit:
λ = (300 s) -1
Tv = 0,5 s
versorgbare Teilnehmerzahl n
76
Variable implizite Adressierung
¥ Ziel
Ð Bandbreiteaufwand gegenber reinem Broadcast reduzieren
¥ Vorgehen
Ð Implizite Adresse P wird nicht mehr als Ganzes gesendet
¥ vorher: length(P) = n
Ð Zerlegen von P in k Segmente
¥ jetzt: length(Pi) = li mit (i=1..k) und sum(li, i=1, k)=n
Ð Broadcast der Segmente Schritt fr Schritt:
implizite Adresse: n Bit
...1 2 3 4 5 k
variable implizite Adresse: k Segmente
-
77
Variable implizite Adressierung
¥ Broadcast der Segmente Schritt fr Schritt:
10 LET C = alle Funkzellen des Versorgungsgebietes
20 LET k = Anzahl der Adre§segmente
30 FOR i = 1 TO k DOBroadcaste Pi in alle Funkzellen in C
IF (Mobilstation besitzt ausgestrahltes Pi ANDMobilstation hat
in allen vorangegangenenSchritten geantwortet)
THEN sende "YES"
ELSE sende nichtsLET C = alle Funkzellen mit mindestens
einer
"YES"-AntwortIF number_of_elements(C) = 1 THEN GOTO 50
40 END FOR
// Zellseparation beendet
78
VariableimpliziteAdressierung
¥ Beispiel
Broadcast von P1 (in alle 13 Zellen)
YES-Nachricht aus 10 Zellen
Broadcast von P2 (in diese 10 Zellen)
YES-Nachricht aus 7 Zellen
Broadcast von P3 (in diese 7 Zellen)
YES-Nachricht aus 3 Zellen
Broadcast von P4 (in diese 3 Zellen)
YES-Nachricht aus 1 Zelle
-
79
Variable implizite Adressierung
¥ Zellseparation mit Verkleinerung der Segmente
Ð Reduzieren der Broadcastschritte auf log2(n)
¥ Algorithmus10 LET C = alle Funkzellen des
Versorgungsgebietes
20 LET r = n
30 WHILE (r>1 AND number_of_elements(C)>1) DO
Broadcaste die nchsten ceil(r/2) Bits von P in alle Funkzellen
in C
IF (Mobilstation besitzt ausgestrahlte Bits AND Mobilstation hat
in allen vorangegangenenSchritten geantwortet) THEN sende "YES"
LET C = alle Funkzellen mit mindestens einer "YES"-Antwort
r := r - ceil(r/2)
40 END WHILE
50 Broadcaste die letzten r Bits von P
60 // Zellseparation beendet
Segment 1 Segment 2 4 5 6
implizite Adresse: n Bit
variable implizite Adresse:Halbierung der Segmentgröße von
Schritt zu Schritt
Seg 3
Anzahl antwortenderStationen halbertsich im Mittel vonSchritt zu
Schritt
Banbreitenersparnisvon 25% proFunkzelle
(beigeograph.Gleichverteilung derMS)
80
Methode derGruppen-pseudonyme
¥ Unschrfe
(ãberdeckungÒ)
schafft Privacy
¥ starrer
Zusammengang
zwischen
Gruppen-
pseudonym und
Identitt
send routing information for GMSI-B
VLR2/MSC2, VLR3/MSC3
incoming call MSISDN/IMSI-B - enthält Routing-Information
zum gebuchten Netz des Mobilfunkteilnehmers B
Gateway
MSC
HLR
GMSI-AGMSI-B
...
GMSI-K
VLR3/MSC3 VLR2/MSC2 VLR3/MSC3...
VLR1/MSC1
VLR3/MSC3 VLR4/MSC4
VLR2, GMSI-B, ImpAdr-B
Station erkennt
Verbindungswunschnachricht an
ausgestrahlter ImpAdr-B
ImpAdr-B
GMSI-B := h(MSISDN/IMSI-B) ImpAdr-B := c(MSISDN/IMSI-B, ZZ)h,
c
MSC3
GMSI-B
LA2
Broadcast im LA2
visited
MSC2
Broad-
cast im
LA1
VLR2
GMSI-B
GMSI-C
n=1, LA1
LA3, LA5, LA6
GMSI-B
LA1, LA3
B
GMSI-B n=2, LA3
VLR3
GMSI-A
GMSI-K
n=1, LA2
n=5, LA3
GMSI-B n=1, LA2
ImpAdr-B
LA3
VLR3, GMSI-B, ImpAdr-B
-
81
Verwendung eines vertrauenswrdigen Bereichs
¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete
mobiler Teilnehmer B
MS
BTS
Vertrauenswürdiger Bereich (Trusted Fixed Station) des
Mobilfunkteilnehmers B
ersetzt verdeckte durch offene implizite Adressen
schickt/empfängt Mix-Nachrichten zum/vom Festnetz
• •
Teilnehmer A
MIXe
MIX MIX
1
2
34
5 7
6
8 Vermittlungsnetz
Broadcast über gesamten Versorgungsbereich bei Mobile Terminated
Call Setup
82
Verwendung eines vertrauenswrdigen Bereichs
¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete
(Forts.)
• • •
incoming call
zuständiges MSC
Station erkennt Verbindungswunschnachricht an ausgestrahlter
offener impliziter Adresse ImpAdr
Broadcastnachricht über das (gesamte) Versorgungsgebiet
explizit oder implizit (verdeckt oder offen) adressiert, evtl.
Schutz des Senders durch Mixe
ImpAdrAdreßersetzung Filterung Verkleinerung der
Broadcast-Gebiete
Vertrauenswürdiger Bereich (Trusted Fixed Station) des
Mobilfunkteilnehmers B
ImpAdr
-
83
Verwendung eines vertrauenswrdigen Bereichs
¥ ... zum Speichern der
Lokalisierungsinformation
Ð Jede Aktualisierung
erfordert Kommunikation
mit dem
vertrauenswrdigen
Bereich
Ð Vertrauenswrdiger
Bereich bernimmt
gesamtes netzseitiges
Location Management
send routing information
incoming call
visited MSC
Broadcast- nachricht im LA
MSISDN – enthält Routing-Information zum vertrauenswürdigen
Bereich des Mobilfunkteilnehmers
Gateway MSC
LA, TMSI
vertrauenswürdiger Bereich des Mobilfunkteilnehmers
LA, TMSI
Station erkennt „ihre“ Nachricht TMSI
TMSI
84
Verwendung eines vertrauenswrdigen Bereichs
¥ ... zur Adre§umsetzung
(Temporre Pseudonyme)
Ð Location Management
bleibt im Netz
Ð Regelm§iger Wechsel
des Pseudonyms ist
erforderlich
Ð synchronisierte Uhren in
MS und trusted FS
Ð DB-Eintrge verfallen nach
bestimmter Zeit
send routing information for TPx
VLR1
incoming call
visited
MSC
Broadcast-
nachricht im LA
MSISDN – enthält Routing-Information zum vertrauenswürdigen
Bereich des Mobilfunkteilnehmers
Gateway
MSC
temporary pseudonym requestsendet aktuelles
Pseudonym zurück: TPx
vertrauenwsürdiger Bereich des Mobilfunkteilnehmers
TPx
HLR
TPa TPb ...
TPx TPy
TPz
VLR1 VLR2 ...
VLR1 VLR3
VLR2
liest den
Datenbankeintrag für TPx und vermittelt in
das entsprechende Besuchergebiet weiter
Initial Address Message, TPx
VLR
TPa
TPx ...
LA2
LA1 ...
liest das LA für TPxTPx
LA1
Station erkennt „ihre“ Nachricht an offener
impliziter Adresse TPx
TPx
-
85
Sicherheitsbetrachtungen É
¥ Unberechtigte Abfrage der vertrauenswrdigen Umgebung
Ð fhrt zu Lokalisierung
Ð Erstellung von Bewegungsprofilen mit Granularitt der
Anrufhufigkeit
Ð Ausweg: Logging der Zugriffe auf vertrauenswrdigen Bereich
und
Vergleich mit zugestellten Verbindungswnschen.
¥ Verwendung von Pseudonymen
Ð Funkschnittstelle: Implizite Adresse anstelle der TMSI
Ð Datenbankeintrge: Unverkettbarkeit mit Identitt
¥ Beobachtbarkeit der Kommunikationsbeziehungen
Ð Location Update explizite Speicherung:
Kommunikationsbeziehung
zwischen vertrauenswrdigem Bereich und MS fhrt zum Aufdecken
des
Orts
Ð aber: Location Update TP-Methode: keine Kommunikation
zwischen
vertrauenswrdigem Bereich und MS notwendig
86
Vertrauen in einen fremden ortsfesten Bereich
¥ Vertrauen in eine Trusted Third Party
Ð Abwandlung der Methoden die einen eigenen
vertrauenswrdigen
Bereich voraussetzen
¥ Ersetze trusted FS durch TTPs
Ð unabhngige, frei whlbare vertrauenswrdige dritte Instanzen
bernehmen Funktion
Ð Dezentralisierung mglich (z.B. Distributed Temporary
Pseudonyms).
Trusted FS Trusted Third Parties
-
87
Vertrauen in einen fremden ortsfesten Bereich
¥ Distributed Temporary Pseudonyms
Ð Teilnehmer tauscht mit n TTPs symmetrische Schlssel aus
send routing information for TPx
VLR1
incoming callMSISDN – enthält Routing-Information zu den
TTPs
Gateway MSC
temporary pseudonym request
TPx
HLR
TPa
TPb
...
TPx
TPy
VLR1
VLR2
...
VLR1
VLR3
liest den
Datenbankeintrag für
TPx und vermittelt in
das entsprechende
pi = PZZG(ki, T)
p1 p2 p3 … pn
88
Methode der kooperierenden Chips
¥ Architektur
Ð Vertrauen in physische Sicherheit der Chips
Ð Anonymitt durch Broadcast auf der Chipdatenbank
C-NW-A C-NW-B C-NW-C ...
...
Chipdatenbankeingehende Rufe
MS
B
A
MS enthält C-MS-B
-
89
Methode der kooperierenden Chips
¥ Call setup
Ð ÇSperrmechanismusÈ Ñ ein notwendiges Detail aller Verfahren
mit
vertrauenswrdiger Umgebung ?
incoming call
Gateway MSC
Station erkennt Verbindungswunschnachricht an ausgestrahlter
impliziter Adresse
B
send routing information
visited MSC
Broadcast-
nachricht im LA
Rufnummer des Teilnehmers B enthält Routing-Information zur
Chipdatenbank
netzseitiger Chip C-NW-B des Mobilfunkteilnehmers B
LAI, MSC, ImpAdr *
ImpAdr
LAI, MSC, ImpAdr
sendet LAI, MSC, ImpAdr zurück
?sending rejected *
* Alternativen
n
j
Daten
freigegeben?
Freischaltenachricht
90
Aufwands- und Leistungsbetrachtungen
¥ Typische Leistungsparameter
Ð Bandbreite
Ð Verzgerungszeit
Ð Durchsatz
Ð Nachrichtenlngen
Ð versorgbare Teilnehmerzahl
Ð Kosten (LUP, Paging, É)
¥ Was wird bentigt?
Ð Zahlen zum Verkehrsverhalten
Ð Netzauslastung
Ð Leistungsparameter der
Netzkomponenten
Ð Mobilittsmodell
¥ Verkehrskapazitt MSC (typ.): Biala 94
Ð 300.000É600.000 Teilnehmer
Ð 100.000 Busy Hour Call Attempts =
28 Vermittlungsversuche pro sek
¥ Ankunftsraten: Fuhrmann, Brass 94
Ð MTC = 0,4 1/h (alle 2,5 h ein Anruf)
Ð LUP = 1É5 1/h (LUP=3 1/h bei 3
Zellen pro LA, r=1 km, v=15 km/h)
¥ Verzgerungszeiten:
Ð Call Setup ISDN:
-
91
Nachrichtenlnge auf der Funkschnittstelle
¥ Mobile Terminated Calls
GSM Referenzwerte
B.3 explizite vertrauenswrdige Speicherung
B.4 TP-Methode
C.2 Methode der kooperierenden Chips
1536 1440 1520 1446
2776
2120 2144 2090
0
1000
2000
3000
4000
GSM B.3 B.4 C.2
Nachrichtenlngen bzw. -intervalle in Bit bei MTCBit
92
Nachrichtenlnge auf der Funkschnittstelle
¥ Location Update
GSM Referenzwerte
B.3 explizite vertrauenswrdige Speicherung
B.4 TP-Methode
C.2 Methode der kooperierenden Chips
216 216
280322328 328
280
398
0
100
200
300
400
500
GSM B.3 B.4 C.2
Nachrichtenlngen bzw. -intervalle in Bit bei LUPBit
-
93
Mobilkommunikationsmixe
¥ Verfahren leistet
Ð Schutz des Aufenthaltsortes
Ð Unbeobachtbarkeit der Kommunikationsbeziehungen
¥ Angreifermodell
Ð Angreifer ist in der Lage, gesamte Kommunikation im Netz
abzuhren
¥ auf allen Leitungen und Funkstrecken
¥ darf alle Datenbankeintrge kennen
¥ Idee
Ð Verzicht auf explizite Speicherung des Ortes in
individuellem
Vertrauensbereich
Ð ÇverdeckteÈ Speicherung in Datenbanken
Ð Verbergen der Kommunikationsbeziehung (Signalisierung)
zwischen
Datenbanken und Zielort durch Senden ber Mixe
94
Mixe allgemein (Chaum 1981)
¥ Ziel
Ð Verkettbarkeit ein- und ausgehender Nachrichten verhindern
¥ Verkettungsmerkmale
Ð Zeitliche Relation zwischen Ein- und Ausgabe einer
Nachricht
Ð Kodierung der Nachrichten
¥ Aufbau eines Mix
Ð Umkodierung basiert auf asymmetrischer Kryptographie:
Mi Mix i einer Kaskade
ci öffentlicher Verschlüsselungsschlüsseldi privater
Entschlüsselungsschlüssel (kennt nur Mi)
-
95
MIX 1 MIX 2
Mixe allgemein (Chaum 1981)
¥ Funktionen eines MIX: Nachrichten werden
Ð gesammelt
Ð Wiederholungen ignoriert
Ð umkodiert
Ð umsortiert
¥ Zuordnung zwischen E- und A-Nachrichten wird verborgen
A1, c1(A2, c2(M, r2) , r1)
d1(c1(...))
A2, c2(M, r2)
d2(c2 (M, r2))
M
96
Mixe allgemein (Chaum 1981)
Wieder-holungignorieren
alleEingabenachrichtenspeichern, diegleich umkodiertwerden
Gengend vieleNachrichten vongengend vielenAbsendern?
Um-kodieren
Eingabe-nachrichtenpuffern
Um-sortieren?
Aus
gabe
nach
richt
en
Ein
gabe
nach
richt
en
M I X
-
97
Mobilkommunikationsmixe zentralisiert
¥ Aufenthaltsortsregistrierung
1. MS bildet ÇverdecktenÈ Aufenthaltsort
{LAI} := c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))
2. MS sendet Aufenthaltsortsregistrierung (MS → Mixe → HLR)
{LR} := c3 ( c2 ( c1 ( IMSI, {LAI} )))
Mi Mix i einer Kaskade
ci öffentlicher Verschlüsselungsschlüsseldi privater
Entschlüsselungsschlüssel (kennt nur Mi)
HLR
IMSI: {LAI} MIX
M1 M2 M3
MIX MIX{LR}
98
Mobilkommunikationsmixe zentralisiert
¥ Rufaufbau zum mobilen Teilnehmer
1. Lesen des HLR-Datenbankeintrages
IMSI: {LAI} = c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))
2. Absetzen der Verbindungswunschnachricht
{LAI}, Setup
3. In den Mixen wird {LAI} ent- und Setup verschlsselt
{Setup} := k3 ( k2 ( k1 ( Setup )))
4. Im Aufenthaltsgebiet wird ausgestrahlt
ImpAdr, {Setup}ImpAdr, {Setup}
IMSI: {LAI}
{LAI}, Setup
MIX
M1 M2 M3
MIX MIX
-
99
Mobilkommunikationsmixedezentralisiert
¥ Grundidee
pseudonymes Location
Management
Ð Register:
pseudonyme
Speicherung
Ð Mix-Netz:
Unverkettbarkeit der
pseudonym
gespeicherten
Information
Ð Aufenthaltsgebietsgr
uppen:
Zusammenfassung
von Gebieten
incoming call
HLR
VLR P, LAI, ImpAdr
visited MSC
LAI, ImpAdr, Setup
ImpAdr, Setup
Broadcast- nachricht im LA
MSISDN
LAI
Ohne Mixe Mit Mixen
incoming call
HLR
VLR P, {LAI, ImpAdr}
{LAI, ImpAdr}, {Setup}
ImpAdr, {{Setup}}
Broadcast- nachricht im LA
MSISDN
LAI
MSISDN, {VLR, P}
{VLR, P}, Setup
P, {Setup}
MSISDN, VLR, P
VLR, P, Setup
visited MSC
Mix- Kaskade 1
Mix- Kaskade 2
MIX
MIX
MIX
MIX
MIX
MIX
100incoming call
GMSC send routing information
{VLR, P}
...
BTS BTS BTS
HLR
visitedMSC
VLR
Mix-Kaskade vor HLR schützt Aufenthaltsinformation auf der Ebene
der visited MSCs, faßt mehrere MSC-Bereiche in einer
Aufenthaltsgebietsanonymitäts- gruppe zusammen
Mix-Kaskade vor visited MSC schützt Aufenthaltsinformation auf
der Ebene der LAs (bzw. BTS' oder BSCs)
Mix-Kaskade vor VLR schützt Aufenthaltsinformation auf der Ebene
der MSCs; nicht erforderlich, falls 1:1-Zuordnung zwischen MSC und
VLR
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der LAs
(bzw. BTS' oder BSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der VLRs
(bzw. MSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der MSCs
zu weiteren MSCs des VLR-Gebietes
zu weiteren MSC/VLRs
zu weiteren BTS'
LUP
...
...
{VLR, P}
Aufenthaltsgebietsgruppen
¥ Zusammenfassung von Gebieten unterschiedlicher Granularitt
-
101
HLR 2
HLR 1
GSM
VLR weiss,welcherTeilnehmer sich inwelchem LocationArea
aufhlt
HLR weiss, welcherTeilnehmer sich inwelchem VLR-Area undLocation
Area aufhlt
VLR 1 VLR 2 VLR 3
¥ MehrstufigeSpeicherung zurReduzierung derSignalisierlast
102
HLR 2HLR 1
Mobilkommunikationsmixe: Variante 1: Anonymes Netz
VLR 1VLR 2
VLR 3
¥ Internet friendly¥ Schwer beherrschbar¥ Keine Zusicherungen
(Schutz, Verfgbarkeit)¥ Deutlich geringere Effizienz¥ VLRs werden
obsolet
MIXe
-
103
HLR 2HLR 1
Mobilkommunikationsmixe: Var. 2: Dedizierte Kaskaden
VLR kennt wederIdentitt desTeilnehmers, nochdas Location
Area
HLR kennt zwarIdentitt desTeilnehmers,besitzt aber
keineInformation berdas VLR
Mix-Kaskade 2
Mix-Kaskade 1
Mix-Kaskade 3 Mix-Kaskade 4
VLR 1 VLR 2 VLR 3
¥ Pseudonyme Verwaltung desAufenthaltsortes
¥ Schutz der Verbindungsdaten¥ Aufenthaltsgebietsgruppen
104
Mobilkommunikationsmixe: Dedizierte Kaskaden
¥ MobileVermittlungsstelle
¥ Datenbank¥ Mix-Kaskade
MobileVermittlungsstelle
+Datenbank??
-
105
Mobilkommunikationsmixe: Dedizierte Kaskaden
¥ MobileVermittlungsstelle
¥ Datenbank¥ Mix-Kaskade
Mix-KaskadeMix-Kaskade
¥ Mixe physisch gekapselt
¥ Aufgestellt beimNetzbetreiber
¥ Jeder Mix hat einenanderen Betreiber
¥ Netzbetreiber hat keinenadministrativen Zugriffauf Mixe
MobileVermittlungsstelle
+Datenbank
Mix-Kaskade
106
Authentisierung wie?
¥ Problem:
Ð Der besuchte Netzbetreiber soll feststellen knnen, da§ ein
Teilnehmer
berechtigt ist, das Netz zu nutzen, ohne da§ seine Identitt
aufgedeckt
wird, denn das kme einer Lokalisierung gleich.
Ð Der Teilnehmer soll feststellen knnen, da§ er ber einen
echten
Netzbetreiber kommuniziert.
¥ Blindes Signaturverfahren
Ð Gegenseitige Authentikation
Ð Verhinderung von Mi§brauch durch unberechtigte Teilnehmer,
insbesondere damit der besuchte Netzbetreiber zu seinem Geld
kommt
¥ Authentikation im GSM:
Ð Besuchter Netzbetreiber bekommt Auth.Triplet und prft SRES von
der
Mobilstation auf Gleichheit.
Ð Besuchter Netzbetreiber vertraut darauf, da§ der
Heimatnetzbetreiber
vertrauenswrdig ist.
VLR soll Berechtigung checken, darfaber Identit von MS nicht
erfahren.Blinde Signatur zur Auth. der MS
-
107
MS MSC HLR
Please Check Authentication
{MSC, Rand1, ∗ }
beliebige Anforderung (∗ ) Authentication Request (1)
Authentication Response (1) Authentication Request (2)
{sMSC(Rand1, T1), RAND2}
Signatur testen, blend bilden, blend signieren
{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}
Signatur testen,
blend signieren
Please Check Authentication
Please Check Authentication Response
{{sHLR(blend)}} {sHLR(blend)}
Authentication Response (2)
Signatur
entblenden,
und testen
{sHLR(Rand2, T2)}
Please Check Authentication Response
Zeichenerklärung:
sx(m) Digitale Signatur der Nachricht m
mit dem geheimen Schlüssel von x
Mix-Kaskade
(Rand1, T1)
signieren
Protokoll fr(gegenseitige)Authentikation
¥ Problem:
VLR soll
Berechtigung
checken, darf
aber Identit von
MS nicht
erfahren.
¥ Blinde Signatur
zur Auth. der MS
108
Blinde SignaturMS MSC HLR
Please Check Authentication
{MSC, Rand1, ∗ }
beliebige Anforderung (∗ ) Authentication Request (1)
Authentication Response (1) Authentication Request (2)
{sMSC(Rand1, T1), RAND2}
Signatur testen,
blend bilden, blend signieren
{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}
Signatur testen,
blend signieren
Please Check Authentication
Please Check Authentication Response
{{sHLR(blend)}} {sHLR(blend)}
Authentication Response (2)
Signatur
entblenden,
und testen
{sHLR(Rand2, T2)}
Please Check Authentication Response
Zeichenerklärung:
sx(m) Digitale Signatur der Nachricht m
mit dem geheimen Schlüssel von x
Mix-Kaskade
(Rand1, T1)
signieren
nblendblends sHLR mod)( HLR=
nzTRandblend t mod)2,2(: HLR•=
( )( )
nzTRand
nzTRand
nzTRandblends
s
sts
stHLR
mod)2,2(
mod)2,2(
mod)2,2()(
HLR
HLRHLRHLR
HLRHLR
•=
•=
•=
.mod)2,2()2,2(
mod)2,2()(HLR
HLR
HLR
11HLR
nTRandTRands
nzzTRandzblendss
s
=
••=• −−
1
2
3
1
2
3 Es gilt:
Entblenden:
Signieren:
Blenden:
-
109
Abrechnung
¥ Heute:
Ð Ankommende Anrufe werden berechnet, wenn sich der mobile
Teilnehmer im Ausland (bzw. einem Fremdnetz) aufhlt.
Ð Unterschiedliche Tarifierung fr abgehende Gesprche:
¥ lokale Gesprche (vergleichbar mit Ortsgesprch)
¥ Gesprche innerhalb des eigenen Netzes
¥ Gesprche in fremde Netze (Festnetz, Mobilnetze)
¥ Anwendbare Konzepte:
Ð Anonyme und unbeobachtbare digitale Zahlungssysteme
(digitales Bargeld-quivalent)
Ð Digitale Briefmarken (vorbezahlt), Micro-Payments,
Tick-Payments
110
Abrechnung
¥ Abgehende Rufe (von der MS zu einem beliebigen Teilnehmer)
Ð Location Management Prozeduren sind nicht involviert
Ð Trotzdem mu§ Aufenthaltsort geschtzt bleiben
Ð Vorausgesetzt wird ein vorhandenes anonymes Zahlungssystem
Ð Teilnehmer T hat eine MS ohne ID und ein dig. Wallet
¥ Skizze:
Ð MS von T sucht ein Netz (passiver Vorgang)
Ð MS meldet Verbindungswunsch an (→ Zielrufnummer)Ð Netz legt
Kosten fest und meldet sie an T (← Kosten)Ð T bzw. MS entscheidet
und bermittelt Geldbetrag (→ Geld)Ð Netz baut Verbindung zum Ziel
auf
¥ Zu klren:
Ð Fehlertoleranz, fehlgeschlagene Verbindung (Ziel besetzt
etc.)
Ð Tarifierung in Abhngigkeit der Gesprchsdauer
Ð Netz betrgt (kassiert Geld und verweigert
Verbindungsaufbau)
-
111
Abrechnung
¥ Ankommende Rufe (zur MS)
Ð Wer bekommt Geld?
Ð Besuchter Netzbetreiber oder Heimatnetzbetreiber oder
beide?
¥ Skizze (beide fordern Geld):
Ð Signalisierung zur MS
Ð Empfangene Signalisiernachricht enthlt Geldforderung von
Heimatnetz
Ð T erhlt mit dem Authentication Request (2) die Forderung
des
besuchten Netzes
Ð T schickt mit der Please Check Authentication Nachricht den
vom
Heimatnetz geforderten Geldbetrag
Ð Heimatnetz antwortet mit Please Check Authentication Response
nur bei
Empfang des Geldes
Ð T schickt mit der Authentication Response (2) den vom
besuchten Netz
geforderten Betrag
Location Management
112
MK-Mixedezentralisiert
¥ Location
Registration und
Location Update
LA1 LA2
{VLR1, «P, {LA1,ImpAdr}», {HLR, «MSISDN, {VLR1,P}»}}
MIX
MIX
MIX
LA3
{VLR1, «P, {LA2,ImpAdr'}»} {VLR2, «P', {LA3,ImpAdr''}», {HLR,
«MSISDN, {VLR2,P'}»}}
MIX
MIX
MIX
⇒ ⇒Einbuchen Wechsel des LA Wechsel des VLR
MIX
MIX
MIX
{HLR, «MSISDN, {VLR1,P}»}
{HLR, «MSISDN, {VLR2,P'}»}
HLR
VLR1 VLR2
visited MSC 1
visited MSC 2
-
113
MK-Mixedezentralisiert
¥ Dezentralisiertes
Verfahren
(Verbindungsaufbau)
Ð Eintrag im HLR unter
Identitt:
IMSI: {VLR, P}
Ð Eintrag im VLR unter
Pseudonym P:
P: {LAI, ImpAdr}
B
ImpAdr, {{Setup}}
incoming call
Gateway MSC
send routing information
visited MSC {LAI, ImpAdr}
P
P, {Setup}
{VLR, P}, Setup
zu anderen BTS'
zu anderen MSCs
IMSI
HLR
...
{VLR, P}
...
... ...
P
VLR
...
{LAI, ImpAdr}
...
... ...
Mix- Kaskade 1
Mix- Kaskade 2
Mix- Kaskade 3
114
Mobilkommunikationsmixe
¥ Mixfunktion
Ð Verkettbarkeit ber Kodierung der Nachrichten durch
Umkodieren
(Kryptographie) und Umsortieren verhindert
Ð Verkettbarkeit ber zeitliche Korrelationen durch Sammeln
von
Nachrichten und schubweise Ausgabe verhindert
¥ Taktung (Zeitscheiben) und Dummy Traffic:
Ð Zusammenfassung der Signalisiernachrichten mehrerer
Teilnehmer
Ankunft (unabhängig, exponentialverteilt)
Bearbeitung Ausgabe
minimale Anzahl gleichzeitig zu verarbeitender Aktionen
gesammelt oder maximale Wartezeit überschritten
t
Zeitscheibe
Warten
Dummy Traffic
t
-
115
Mobilkommunikationsmixe
¥ Grenzen
Ð Dummy Traffic nur eingeschrnkt anwendbar
¥ begrenzte Akkukapazitt der Mobilstationen
Ð Verkehrsaufkommen im Netz mu§ hoch genug sein, damit
Schutz
erreicht wird
¥ einzelne, isolierte Aktion ist im Netz beobachtbar
¥ Teilnehmer wartet zu lange auf Erbringen des Dienstes
Bearbeitung Ausgabe tAnkunft
dummies
116
Location Update Protokoll
MS MSC/VLR new HLR
Location Updating Request
{VLR, «P, {LAI,ImpAdr}», {{HLR, «MSISDN, {VLR,P}»}}
{HLR, «MSISDN, {VLR,P}»}
Update Location
Update Location Result
Location Updating Accept
Sicherheitsmanagement: Gegenseitige Authentikation
MSISDN, {VLR,P} speichern
P, {LAI,ImpAdr} speichern
MSC/VLR old
Cancel Location
alle Einträge unter P old löschen
P old"alte" anonyme Rückadresse {VLR old, P old}
K1
K2
-
117
Mobile Terminated Call Setup Protokoll
¥ Communication Request geht ein beim HLR
Ð mit Schutz des Rufenden: CR = AGMSC, cMS(KZinit, kAB)
Ð ohne Schutz des Rufenden: CR = AGMSC, ISDN-SN, cMS(kAB)
¥ Anonymous Communication Request
ACR = A25, c25(D25, É c21(D21, mK3)É) mit
mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit
mSetup = AGMSC, ISDN-SN/KZT, Bv und
Di,j = T, ki,jÊÊmit i=2É3, j=5É1, Zeitscheibe: T
¥ Kanalkennzeichen
KZT = f(T, kAB) mit Ende-zu-Ende-Verschlsselungsschlssel:
kAB
118
Sicherheitsmanagement: gegenseitige Authentikation
MS MSC HLR PSTN/GMSC
Anonymous Communication Request
IAMPaging Request
Setup
Alert
Connect Answer Message
Address Complete Message
MSISDNP
VLR
{LAI, ImpAdr}
Data
ReleaseDisconnect
IAM
ImpAdr
Anonymous Communication Request
K1K2
K3
Mobile Terminated Call Setup Protokoll
CR
ACR
-
119
Mobile Originated Call Setup Protokoll
¥ ACR = A25, c25(D25, É c21(D21, mK3)É) Êmit
mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit
mSetup = CR, KZT, Bv Êmit
CR = ISDN-SN, cISDN-SN(KZinit, kAB) Êund
Di,j = T, ki,jÊÊmit i=2É3, j=5É1
Anonymous Communication Request
MS MSC/VLR PSTN/GMSC
Setup
Alert
Connect
Initial Address Message
Answer Message
Adress Complete Message
Sicherheitsmanagement: gegenseitige Authentikation
Disconnect Release
Data
Anonymous Communication Request
ACR des Gerufenen
K2 K3
ACR CR
120
Leistungsfhigkeit
¥ Verfahren leisten
Ð alle: Schutz des Aufenthaltsortes
Ð teilweise: Unbeobachtbarkeit der Kommunikationsbeziehungen
¥ gegenber Kommunikationspartner und Netzbetreiber
¥ lokale Angreifer (Datenbanken, Insider)
¥ globale Angreifer (alle Kommunikation ist berwachbar)
¥ Hauptprobleme
Ð Kanalstruktur existierender Netze
¥ Modifikation ntig, damit effizient realisierbar
Ð Effizienzverlust zwischen 1 und 10 % je nach Verfahren:
¥ Bei maximaler Auslastung ist die versorgbare
Teilnehmerzahl
maximal 10% geringer.
-
121
Mobilkommunikationsmixe
¥ Nachrichtenlngen
¥ Nachrichtenlngen wachsen mindestens um das 1,2-fache
(Rufaufbau) und
sogar um das 6,8-fache (Aufenthaltsaktualisierung)
¥ Effizienz
Ð Effizienzma§: Verhltnis der verfgbaren Verkehrskanle bei
den
Mobilkommunikationsmixen und bei GSM
Ð Mobilittsverhalten der Teilnehmer beeinflu§t die Effizienz
Ð Effizienzverlust bezogen auf bedienbare Teilnehmerzahl ist ca.
10 % bei
NLUP=88 in 5 Sekunden (entspricht 20.000 Teilnehmern pro
Zelle)
¥ Problem: Kanalstruktur von GSM nicht flexibel genug
GSM Mobilkommunikationsmixe
Rufaufbau 1728É2968 3624É8008
Aufenthaltsaktualisierung 216É328 2221É4502
122
Komponentender MK-Mixe
Komponente BedeutungMixe Schutz der Kommunikationsbeziehung
zwischen Sender
und Empfnger einer Nachricht
Anonyme Rckadressen Unverkettbarkeit der bermittlung der
Verbindungswunschnachrichten zwischen Registern
Signatur der anonymen
Rckadresse beim HLR
berprfbarkeit, da§ in einem Schub Rckadressen von
gengend vielen Teilnehmern bearbeitet werden, d.h.
Verhindern eines (n-1)-Angriffs
Pseudonym P Verkettbarkeit des Adre§kennzeichens mit dem
Datenbankeintrag im Register (au§er HLR, dort MSISDN)
Symmetrische Schlsselki,j in den anonymen
Rckadressen
Effizientes Umkodieren der mitgelieferten Informationen,
Etablieren eines symmetrischen Mix-Kanals bei Call Setup
und Location Update; Verwendung einer nicht
selbstsynchronisierenden Chiffre zur Verhinderung von
Replay-Angriffen
Implizite Adresse ImpAdr Adressierung der MS auf der
Funkschnittstelle,
Wiedererkennung der anonymen Rckadresse, umsymmetrische Schlssel
ki,j zu rekonstruieren
Zeitstempel,
Zeitscheibennummer T
Verhindern des Replay alter (Mix-Eingabe)-Nachrichten
Kennzeichen Bv/Bl Kennzeichen fr Empfnger einer Nachricht,
um
bedeutungsvolle von bedeutungslosen Nachrichten zu
unterscheidenKanalkennzeichen KZT Verbinden der unbeobachtbaren
Mix-Kanle von rufendem
und gerufenem TeilnehmerFunktion f(T, kAB) Funktion zur
Berechnung der Kanalkennzeichen
Symmetrischer SchlsselkAB
Symmetrischer Sitzungsschlssel der kommunizierenden
Teilnehmer, Parameter zur Berechnung der
Kanalkennzeichen
-
123
Vergleich der Verfahren: Vertrauen (qualitativ)
¥ Ntiges Vertrauen in einzelne Netzkomponenten bzgl.
Vertraulichkeit
des Aufenthaltsorts
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Vertrauen in Trusted FS
Vertrauen in GSM-Netz-
kompo-nenten
nur Ver-trauen in die Mobilstation
GSM Referenzwerte B.3 explizite vertrauensw.Speicherung
A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode
A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte
B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden
Chips
B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
124
Vergleich der Verfahren: Bandbreite (qualitativ)
¥ Location Update
¥ Call Setup
GSM Referenzwerte B.3 explizite vertrauensw.Speicherung
A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode
A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte
B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden
Chips
B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Referenz GSM=1
0
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Referenz GSM=1
Broadcast offen
implizit
Broadcast verdeckt
implizit
-
125
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2
C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Ntiges Vertrauen
Vertrauen in dieMobilstation
ntig ntig ntig ntig ntig ntig
Vertrauen ineinen ortsfestenBereich
Ð nichtntig
nichtntig
zustzlich ntig ntig nichtntig
Vert. in einDatenschutz ga-rantierendesKommunika-tionsnetz
Ð nichtntig
nichtntig
ntig nichtntig
ntig
Vertrauen inDritte (TrustedThird Party,TTP), entsprichtC.1
ntig nichtntig
nichtntig
mglich, entsprichtdann C.1
nichtntig
nichtntig
126
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2
C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Signalisieraufwand
Funkschnitt-stelle MTC
Bezugs-punkt
sehr hoch hher etwagleich
gering-fg.hher
etwagleich
hher
Funkschnitt-stelle LUP
Bezugs-punkt
entfllt hher hher wg.Zen-tralitt
gering-fg.hher
hher wg.Zen-tralitt
hher
Bandbreiteauf-wand imFestnetz
Bezugs-punkt
geringerbzgl. Loc.Mgmt.
hher hochdurchZen-tralitt
gering-fg.hher
hochdurchZentr.
hher
Funktechnische Peilbarkeit und Ortbarkeit
Sendeverf. zumSchutz vor Pei-lung und Ortung
Fre-quencyHopping
ntig, z.B. ber Direct Sequence Spread Spectrum
-
127
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2
C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Anordnung der Sicherheitsbereiche
zentral quasizen-tral
entfllt zentral Zentral beidesist
dezentral wremglich
dezentral dezentral mglich
Diversitt derKomponenten
wremglich
bedeu-tungslos
nicht not-wendig
notwendig beiTrusted FS
notwen-dig
notwen-dig imMix-Netz
Dynamisierbarkeit der Sicherheitsbereiche
nur statischmglich
HLR entfllt HLR Trusted FS C-NWC-MS
HLR, Mix-Kas-kaden
dynamischmglich
nicht vor-handen,wre abermglich
nicht vor-handen,wre abermglich
ausweichen aufTTPs, entspricht dannC.1
nichtsinnvoll,wre abermglich
frei whl-bare Mixewrenmglich
128
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2
C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Mobilittsmanagement
Schutz derKomm.-bez.beim Einbuchen
nicht vor-handen
entfllt nichtntig
zustzlich ntig nichtntig
gewhr-leistet
Verkettung vonTeilnehmer-aktionen
Teilneh-mer nichtanonym
nichtmglich
hoch gering gering nichtmglich
Verbindungsmanagement
Schutz derKomm.-bez.beim Signalisie-ren (Call Setup)
nicht vor-handen
nichtntig
nichtntig
zustzlichntig
zustzlichntig biszum HLR
ntig gewhr-leistet
Adressierungs-merkmal auf derFu-schnittstelle
TMSI impliziteAdresse
impliziteAdresse
TMSI o.impliziteAdresse
PMSI,TMSI,i. Adr.
TMSI,PMSI,impl. Adr.
impliziteAdresse
Schutz derKomm.-bez.whrend einerVerbindung
nicht vor-handen
ntig, z.B. ber Mix-Netze
-
129
Mobile Internet Protocol: Prinzip 1/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
Bewegung
141.76.75.112
Mobile IP:Mobile IP: Erreichbarkeit einesmobilen Computers immer
unter dergleichen IP-Adresse
130
Mobile Internet Protocol: Prinzip 2/2
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
Bewegung
--> 141.76.75.112
141.76.75.112
-
131
Mobile Internet Protocol: Prinzip 3/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
--> 141.76.75.112
132
Mobile Internet Protocol: Prinzip 4/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
Binding:141.76.75.112 --> 128.32.201.1
128.32.201.1
IP-in-IP-Tunnel
besitzt zustzlichecare-of address
--> 141.76.75.112
-
133
Mobile Internet Protocol: Sicherheitsfunktionen
Mobile IPv4 Mobile IPv6
Authentikation √shared secret
zwischen MobileNode und Home
Agent
√ IPSec/IPv6
AuthenticationHeader (AH)
Verschlsselung ∅ √ IPSec/IPv6
EncapsulatedSecurity Payload
(ESP)
Schutz vorLokalisierung
∅ ∅
Mixed Mobile IPNon-Disclosure Method
MD 5 Fingerprint MD 5, SHA-1
DES/CBC
134
Mobile Internet Protocol: Schutz vor Lokalisierung
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIXMIX
MIX
Mixed Mobile IP (MMIP)Non-Disclosure Method
Registration
-
135
Mobile Internet Protocol: Schutz vor Lokalisierung
Correspondent Node
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIX
MIX
--> 141.76.75.112
Mixed Mobile IP (MMIP)Non-Disclosure Method
MIX-Kanal
MIX
Sicher gegen einen rumlichbegrenzten Angreifer, der nicht
alleKommunikation berwachen kann.
Binding:141.76.75.112 --> MIX1
136
Politische Dimension solcher Konzepte
FreiheitÐ Es gibt gesetzliche Grundlagen,
die eine Bereitstellung
pseudonymer und anonymer
Dienstleistungen ausdrcklich
erlauben und anregen.
Ð Empfehlungscharakter
Ð IuKDG (TDDSG ¤ 4(1))
Ð Kein Zwang (ãsoweit technisch
mglich und zumutbarÒ)
RegulierungÐ Derzeit von der Politik nicht
gewnscht
Ð TKG fordert die Speicherung der
Kundendaten (Name, Adresse, ...),
sogar bei vorbezahlten Systemen
(Xtra-Card etc.)
Ð berwachungsschnittstellen (TKG
¤Ê88), die dem Bedarfstrger die
unbeobachtbare berwachung
erlauben
Gesetzliche Grundlagen sind keineswegs konsolidiert.
Technische Mglichkeiten des Schutzes und der
legalenberwachungsmglichkeiten ausloten, jedoch mglichst kein
vorauseilender Gehorsam
-
137
...
Intelligent Network
Core Network
Access Network
Anonymous Network
Sicherheit in der Mobilkommunikation
¥ Was bringen die Konzepte?Ð Teilnehmerbezogener Schutz von
Aufenthaltsinformation ist mglich.
Ð Unbeobachtbarkeit ist auch im Mobilfunk realisierbar.
Ð Frhzeitige Bercksichtigung neuer Konzepte gewhrleistet
effiziente Implementierung des Schutzes.
http://www.inf.tu-dresden.de/~hf2/mobil/