9.1 Mục đích của an toàn mạng
Chống lại những truy cập không cho phép (Nhận thực khi truy cập mạng)
Bảo vệ số nhận dạng người dùng (dùng TMSI giúp bảo mật IMSI)
Bảo vệthông tin người dùng (dùng mật mã)
Bảo vệ thông tin báo hiệu trong mạng
Các chức năng bảo vệở trên là bắt buộc đối với MS và mạng. Tuy nhiên chức năng mật mã có thể
tắt. Những chức năng bảo vệ này được thiết kếđể bảo vệ chỉ mạng GSM
9.2 Bảo vệ nhận dạng người dùng
Chức năng bảo vệ nhận dạng người dùng nhằm đảm bảo số IMSI không bị lấy cắp. Chức năng này
nhằm chống lại việc theo dõi vị trí của thuê bao bằng cách lắng nghe các báo hiệu trao đổi trên đường vô tuyến. IMSI được bảo vệ bằng cách dùng số thay thế TMSI
9.3 Nhận thực
Nhận thực là quá trình xem xét 1 MS có quyền truy nhập vào mạng hay không. Mục đích nhằm chống lại những truy nhập không được cho phép đồng thời ngăn chặng những kẻ xâm nhập không hợp pháp
Ba thông tin yêu cầu trong tiến trình nhận thực:
Khóa nhận thực Ki: được cất trong SIM và trong AuC
RAND: là số ngẫu nhiên được tạo bởi AuC
SRES: mã này được tạo ra trong AuC bằng cách kết hợp khóa Ki và RAND dùng thuật toán A3 MSC yêu cầu AuC tạo ra 3 số thông tin bảo mật là RAND,SRES và khóa Kc. Ba thông tin này sẽ được gửi tới VLR quản lý MS đó. Mỗi khi nhận thực được yêu cầu 1 bộ3 thông tin trên được dùng
Chú ý:Khóa Kc được dùng cho mật mã hơn là nhận thực
Nếu tất cả các bộ3 trong VLR đã được dùng, MSC yêu cầu 1 lọat mới từ HLR/AuC bằng 1 bản tin gửi thông tin nhận thực “Send Authentication Info”. HLR/AuC đáp ứng với bản tin “Send Authentication Info Ack”
Nhận thực thực hiện khi:
Có sựthay đổi dữ liệu thuê bao tại HLR hay VLR như cập nhật vịtrí mà có thay đổi dữ liệu
trong VLR,đăng ký mạng hay xóa bỏ 1 dịch vị cộng thêm
Khi kích họat hay giải kích họat 1 dịch vụ cộng thêm
Lần đầu tiên truy cập mạng sau khi khởi động lại MSC/VLR
Chuỗi khóa mật mã không khớp nhau
Nếu 1 yêu cầu truy nhập gửi đến mạng,thủ tục nhận thực thuê bao thất bại và sự thất bại này không do sự cố mạng thì truy cập của MS tới mạng bị từ chối
Tiến trình nhận thực:
Bước 1: Thuê bao yêu truy cập mạng bằng cách gửi IMSI/TMSI tới MSC
Bước 2: Nếu VLR không có bộ ba thông tin hợp lệ thì MSC yêu cầu bộ 3 mới từ AuC. Sau
đó, MSC gửi RAND tới MS dùng bản tin “Authentication and Ciphering Request”
Bước 3: MS dùng Ki của nó và RAND vừa nhận từ MSC,MS tạo SRES và gửi cho MSC dùng bản tin “Authentication and Ciphering Response”
Bước 4: MSC so sánh SRES của nó với SRES nhận từ MS. Nếu chúng giống nhau, MS đó (adsbygoogle = window.adsbygoogle || []).push({});
nhận thực thành công và được phép truy cập mạng
9.4 Bảo vệthông tin người dùng
Mục đích của chức năng bảo vệthông tin người dùng là bảo mật thông tin của mỗi cá nhân
Mật mã sẽđược ứng dụng cho tất cả các truyền thông có thoại hay không thoại. Mặc dù giải thuật chuẩn A5 thường được triển khai, nhưng MS và cơ sở hạ tầng mạng có thể dùng nhiều hơn 1 giải thuật. Trong trường hợp này, cơ sở hạ tầng mạng chịu trách nhiệm quyết định nên dùng giải thuật nào (bao gồm khảnăng không dùng mật mã trong trường hợp sự bảo mật không được ứng dụng)
Khi mật mã được yêu cầu, các tín hiệu MS tới mạng chỉ ra các giải thuật nào trong 7 giải thuật mật mã mà nó hổ trợ. Mạng phục vụ sau đó chọn 1 trong những giải thuật này và báo cho MS biết.
Chuỗi số khóa mật mã(Ciphering Key Sequence Number-CKSN)
Để mà cho phép mật mã bắt đầu trên kết nối vô tuyến mà không nhận thực các chuỗi số khóa mật mã được dùng. Chuỗi này cất trong VLR cùng với Kc. MSC/VLR gửi bản tin AUTHENTICATION REQUEST chứa chuỗi số này, cùng với RAND tới MS
Khi MS nhận bản tin nhận thực nó tính SRES và Kc, cất Kc cùng với CKSN trong SIM. Lần sau khi MS muốn truy cập hệ thống, nó gửi CKSN trong bản tin SERVICE REQUEST tiến hành tiến trình mật mã mà không cần nhận thực
Thủ tục mật mã chung
Bước 1-Xác định thuật toán A5
Giả sử nhận thực đã xảy ra, khi 1 MS muốn thiết lập 1 kết nối được mật mã tới mạng, thụât toán