А.И. Куприянов - Основы защиты информации (1022813), страница 40
Текст из файла (страница 40)
Для исключения несанкционированного использования ресурсов системы связи в стандарт введены и определены механизмы 188 1 ! Мобильная ~ Рис. 6.7. Процедура аутентификации мобильного абонента : утентификации — удостоверения личности абонента. Каждый абоНент на время пользования системой получает стандартный моль подлинности абонента — 31М-карту, которая содержит меж'~1ународный идентификационный номер подвижного абонента 4МБ1, индивидуальный ключ аутентификации К; и алгоритм аутен.тификации АЗ. На основе этой информации в результате взаимно,го обмена данными между подвижной станцией и сетью осуще-:ствляется полный цикл аутентификации и разрешается доступ ::абонента к сети. Процедура проверки сетью подлинности абонента реализуется следующим образом.
Сеть передает случайное число КАИР на подвижную станцию. '::Подвижная станция, используя алгоритм АЗ, вычисляет значе::ние отклика БКЕБ как функцию КАИР и ключа К;: ЖЕБ = АЗ(Кь КАХВ) (6.1) К, = А8(Кь КАХВ). (6.2) 189 ':и посылает вычисленное значение ИКЕДА в сеть. Сеть сверяет зна"чение принятого АЛКЕЯ с результатом собственного вычисления. ; Если оба значения совпадают, подвижная станция получает раз,-:решение пользоваться ресурсами сети: передавать и принимать ., сообщения. В противном случае связь прерывается, и индикатор :подвижной станции должен показать, что опознание не состо:: ялось. По причине секретности вычисление ЖЕЯ происходит в рам', ках 81М.
Несекретная информация (такая как ключ К,) не подвер"гается обработке в модуле 31М. Процедура аутентификации иллюстрируется рис. 6.7, Для обеспечения секретности передаваемой по радиоканалу ин. формации ее шифруют. В стандарте используется алгоритм шифрования с открытым ключом КБА (см. гл. 5), Алгоритм формирова: ния ключей шифрования А8 хранится в памяти 31М-карты. Одно:, временно с вычислением отклика ИКЕДА аппаратура подвижной :. станции определяет и ключ шифрования К, по правилу 1 ~ Мобильная ! станция Сеть Радиоканал СМС кс кс Сообщение Шифрограмма Сообщение ча К„.; 191 кю' ВАНО Для исключения риска утраты клю- ча он не передается по радиоканалу, Ав а вычисляется и сетью, и абонентс- ким терминалом одновременно с исКе пользованием одних и тех же данных и единого алгоритма АЗ (рис. 6.3).
Для Рис. 6.8. Формирование клю- 6.З Формирование клю обеспечения секретности вычисление ний в соответствии со станча криптозащитьг сообще ключа К, производится в ЯМ. д рт ~ЗМ Кроме случайного числа КАМО сеть посылает подвижной станции идентификационную числовую последовательность. Это число связано с истинным значением К, и позволяет избежать формирования ложного ключа. Число хранится подвижной станцией и содержится в каждом первом сообщении, передаваемом в сеть. Некоторые сети принимают решение о наличии числовой последовательности действующего ключа шифрования в случае, если необходимо приступить к опознаванию или если выполняется предварительное опознавание, используя правильный ключ шифрования. Но иногда это допущение реально не обеспечивается.
Для установки режима шифрования сеть передает подвижной станции команду СМС(С1рйег1пя Моде Сопппапд) на переход в режим шифрования. После получения команды СМС подвижная станция, используя имеющийся у нее ключ, включает режим криптографического преобразования сообщений. Поток передаваемых данных шифруется поточным шифром бит за битом с использованием алгоритма шифрования А5 и ключа шифрования К,.
Процедура установки режима шифрования иллюстрируется на рис. 6.9. Для исключения идентификации абонента на основе перехвата сообщений, передаваемых по радиоканалу, каждой мобильной станции системы сотовой связи присваивается временный международный идентификационный номер пользователя — ТМБ1 (Типе МоЬ11е БиЬзспЬег ЫепШу), который действителен только в пределах зоны обслуживания с идентификационным номером 1.А1 Рис.
6.9. Шифрация сообщений в соответствии со стандартом ОБМ 190 ;;(1.оса11оп Агеа 1дептЖсайоп). В другой зоне обслуживания абоненту ;.;:присваивается новый ТМБ1, Если подвижная станция переходит в ".::новую зону обслуживания, то ее ТМ81 должен передаваться вме- :,::-,сте с ХА1 той зоны, в которой ТМБ1 был присвоен абоненту. При выполнении процедуры корректировки местоположения .'::по каналам управления между подвижной и базовой станциями ':: происходит двухсторонний обмен служебными сообщениями. Эти '.:сообщения содержат временные номера пользователей ТМЯ1. В этом ': случае в радиоканале необходимо обеспечить секретность смены ::: ТМБ1 и его принадлежность конкретному абоненту.
В момент эстафетной передачи подвижная станция уже зареги;:: стрирована в регистре перемещения с временным номером ТМБ1, " соответствующим ТМБ1 прежней зоны обслуживания. При входе .: абонента в новую зону осуществляется процедура опознавания, :- которая проводится по старому, зашифрованному в радиоканале :: ТМБ1, передаваемому одновременно с номером 1.А1 зоны обслу: живания. Последний сообщает центрам коммутации и управления '-: информацию о направлении перемещения подвижной станции и :: позволяет запросить прежнюю зону расположения о статусе або: нента, а также его данные, исключив обмен этими служебными ';: сообщениями по радиоканалам управления.
При этом по каналу , связи сообщение передается как зашифрованный информацион;: ный текст с прерыванием сообщения в процессе эстафетной пе-: редачи всего на 100...150 мс. Таким образом, в соответствии с рассмотренными механизма: ми обеспечения информационной безопасности, действующими :: в стандарте СГБМ, секретными считаются следующие данные: КАИР— случайное число, используемое для аутентификации '' подвижного абонента; ЖЕБ — значение отклика, ответ подвижной станции на полу: ченное случайное число; К,- — индивидуальный ключ аутентификации пользователя, ис- пользуемый для вычисления значения отклика и ключа шифрования; К, — ключ шифрования, используемый для шифрования-де- шифрования сообщений, сигналов управления и данных пользо- вателя в радиоканале; АЗ вЂ” алгоритм аутентификации, используемый' для вычисления значения отклика из случайного числа с использованием ключа К;; АЗ вЂ” алгоритм формирования ключа шифрования, используемый для вычисления ключа К, из случайного числа с использованием ключа К„ А5 — алгоритм шифрования-дешифрования сообщений, сигналов управления и данных пользователя с использованием клю- а' Гиперячейка Пикоячейки Макроячейка 192 193 кввривнов СКБХ вЂ” номер ключевой последовательности шифрования, который позволяет избежать использование разных ключей на передающей и приемной сторонах, но указывает на действительное число К„' ТМ31 — временный международный идентификационный номер пользователя.
Основным объектом, отвечающим за все аспекты безопасности, является центр аутентификации. Этот центр может быть отдельным объектом или входить в состав какого-либо оборудования, например в регистр местоположения. Именно центр аутентификации формирует индивидуальные ключи аутентификации пользователей К; и соответствующие им международные идентификационные номера абонентов 1М81, формирует набор ИАХВ/БКЕБ/К, для каждого 1МБ1 и раскрытие этих групп для регистра положения при необходимости эстафетной передачи мобильного абонента.
6.3.2. Защита информации в цифровых системах мобильной связи с кодовым разделением каналов Основная цель разработки сотовых систем подвижной радиосвязи общего пользования с кодовым разделением каналов СРМА (Соде Ви1яоп Мц1т1р1е Асеева) состояла в том, чтобы увеличить абонентскую емкость системы и эффективность использования выделенного спектра частот. Структура подвижной сети стандарта СОМА является иерархической (рис.
6.10). Внутри помещений организуются пикоячейки радиусом до 100 м с очень высокой пропускной способностью, определяемой большой плотностью абонентов. В городах и других населенных пунктах, в пешеходных зонах создаются микроячейки с радиусом обслуживания до 1 км. Сотовые системы, обслуживающие абонентов в автомобилях, оперируют макроячеиками радиусом до нескольких десятков километров.
Наконец, автомобильный и железнодорожный транспорт, воздушные, морские и речные суда, распределенные по территории с малой плотностью абонентов, могут обслуживаться спутниковым сегментом системы с использованием гиперячеек размерами в сотни и тысячи километров. Для реализации такой системы выделен весьма широкий диапазон рабочих частот, охватывающий полосы 1886...2025 МГц и 2110...2200 МГц, включая в себя 1980...2010 МГц и 2170... 2200 МГц для ее спутникового сегмента.
Сети мобильной связи, построенные на базе технологии СРМА с использованием широкополосных шумоподобных сигналов (ШПС), имеют ряд достоинств. Такие системы обладают высокой устойчивостью к действию разного рода сосредоточенных по спектру помех, способностью эффективно функционировать в усло- Рис. 6.10. Структура подвижной сети ртандарта СРМА ' иях многолучевого распространения сигнала и рядом других поожительных качеств. Раздельная обработка сигналов дает также возможность реали' овать надежную эстафетную передачу путем так называемой мягой передачи управления (вой Ьапдой). Во время этой процедуры бонентская станция поддерживает связь одновременно с нескольми (двумя или тремя) базовыми станциями, что облегчает процедуру переключения с одной БС на другую и увеличивает веро: тность нормального завершения переключения.
Технология СОМА обеспечивает более высокую эффективность спользования частотного спектра по сравнению с той, которая остигается при частотном (Н)МА) и временном (ТОМА, как в ' истемах стандарта ОБМ) разделении каналов. Поскольку все базовые станции работают на одной несущей ;. астоте, в системе не требуется частотное планирование. Это упощает как начальное развертывание системы СРМА, так и ее ' оследующее развитие. Вместе с тем, при проектировании систе'мы должен соблюдаться баланс мощности сигналов (планирова-'ние мощности), чтобы ограничить уровень взаимных помех и улучить электромагнитную совместимость. Ва~кное свойство СРМА -заключается в уменьшении средней излучаемой мощности. Низая средняя излучаемая мощность системы С1)МА позволяет так: е минимизировать уровень электромагнитных излучений, возействующих на человека, что снижает ее биологическую опас- ность.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
