Nhận thực thuê bao trong GSM

Một phần của tài liệu Các thủ tục nhận thực và bảo mật trong mạng CDMA.doc (Trang 53 - 60)

CHƯƠNG IV: NHẬN THỰC TRONG MẠNG TỔ ONG SỐ THẾ HỆ HAI

4.2 Nhận thực thuê bao trong GSM

GSM ( Globat System for Mobile communication, hoặc Globat System Mobile) là giao thức phổ biến nhất trên thế giới đối truyền thông tổ ong số. Các hệ thống thông tin tổ ong GSM đã phát triển và triển khai đầu tiên ở liên minh châu Âu, ngày nay còn được nhận thấy ở châu Á, châu phi và bắc Mỹ. GSM phát triển được nền tảng cấu trúc cơ sở hạ tầng cho thông tin thoại số, hỗ trợ thiết lập hoàn chỉnh các giao thức an ninh, điều này tránh được nhiều sơ hở đối với kẻ nghe trộm và sự gian lận thuê bao đã nhũng nhiễu các công nghệ tổ ong tương tự thế hệ thứ nhất. Tuy nhiên, những năm gần đây GSM đã bị chỉ trích từ các chuyên gia an ninh, bởi vì, sự sơ hở tăng, chắc chắn những lỗ hổng và những điều nguy hại trong cấu trúc an ninh đã xuất hiện, thêm vào đó các chuyên gia phản đối sự nhận thực có đăng ký độc quyền và các thuật toán mã hóa sử dụng trong GSM, nhưng những điều này không được phân tích rã ràng.

Chương I: Tổng quan về thông tin di động

4.2.1.Thành phần hệ thống của cấu trúc an ninh GSM

Toàn bộ kết cấu nhận thực GSM có 4 thành phần chính: SIM, GSM handset, HLR/AuC và VLR.

4.2.1.1. SIM

SIM là một thẻ thông minh nhỏ được đưa ra bởi nhà cung cấp dịch vụ GSM đối với từng thuê bao cá nhân. SIM cài vào một điện thoại tổ ong GSM và chứa một số yếu tố về mã và dữ liệu: IMSI ( International Mobite Subscriber Identity- một số quốc tế duy nhất đối với thuê bao GSM), một khoá nhận thực ( thường ký hiệu Ki) là khoá riêng đối với thuê bao, một số nhận dạng cá nhân (PIN), thuật toán tên gọi A3 sử dụng để nhận thực thuê bao và một thuật toán tên gọi A8 sử dụng do sự phát sinh khoá phiên.

4.2.1.2 GSM hand set

Trong điện thoại GSM tự cài mã để thực hiện thuật toán A5, thuật toán này thực hiện mật mã và giải mật mã thông tin gửi đi giữa handset và BS (Base Station) trong một phiên truyền thông GSM thực tế.

4.2.1.3 HLR/AuC

HRL và AuC được tích hợp chung với nhau trên mạng bởi nhà cung cấp dịch vụ GSM của thuê bao, nhưng có thể coi chúng giống như các thực thể tách rời một cách hợp lý. Trung tâm nhận thực có một thành phần khoá, một cơ sở dữ liệu về sự nhận dạng và thông tin nhận thực đối với mỗi thuê bao. Những thuộc tính trong cơ sở dữ liệu này bao gồm IMSI của thuê bao, khoá nhận thực (Ki), LAI (Location Area Indentifier) và TMSI (Temporary Mobile Subscriber Indentily- một loại mã sử dụng vào việc xác định IMSI, có thể được che dấu dạng thực của thuê bao khỏi những kẻ nghe trộm ). Trung tâm nhận thực có chức năng sinh ra bộ ba giá trị RAND, SRES và khoá phiên (Kc). Bộ ba giá trị này được lưu trữ trong HLR đối với mỗi thuê bao ( chức năng của các thành phần của bộ ba này sẽ được giải thích trong phần tới).

4.2.1.4. VLR

VLR cũng như HLR được duy trì trong hệ thống của mỗi nhà cung cấp dịch vụ GSM. VLR lưu trữ bộ ba (RAND, SRES và khoá phiên Kc) cho mỗi thuê bao đang liên lạc với trạm gốc của nhà cung cấp dịch vụ. Tất nhiên khi thuê bao chuyển vùng ra xa mạng của nhà cung cấp dịch riêng của thuê bao đó, thông tin phải được hướng từ HLR đến VLR, mục đích để hoàn thành thủ tục nhận thực.

Chương I: Tổng quan về thông tin di động

Biểu đồ minh họa phương thức các thành phần của cấu trúc an ninh GSM liên hệ với nhau trong hình 4.1

n*triplet:

RAND,SRES,Kc AuC A3,A8 IMSI,Ki

SIM

BSC

BSC BSS

A5 Kc A5

Kc

BTS#1 BTS#2

MSC IMSI,

TMSI VLR

n*triplet:

RAND,SRES,Kc

BS BS

BS

BS BS

BS A3,A8,Ki,Kc,

IMSI,TMSI, LAI,CKSN

MS A5

Hình 4.1: Biểu đồ minh họa sự tương tác giữa các thành phần riêng biệt của cấu trúc an ninh GSM

Chú ý rằng VLR và HLR/AuC có thể có thể thuộc quyền kiểm soát của nhiều nhà cung cấp dịch vụ mạng khác nhau. Tuy nhiên SIM và MS (Mobile Station) của thuê bao bị ảnh hưởng trực tiếp tới một HLR/AuC duy nhất. Do đó thuê bao thường xuyên được định vị ( trừ khi thuê bao thay đổi nhà cung cấp dịch vụ).

Nhưng thuê bao có thể chuyển vùng địa lý giữa các vùng phục vụ bởi các nhà cung cấp GSM khác nhau không có sự gián đoạn dịch vụ.

4.2.2.Các thành phần dữ liệu trong giao thức nhận thực GSM

Giao thức an ninh GSM, kể cả đối với sự nhận thực người dùng, được dựa trên các công nghệ mã hoá đối xứng, với SIM và trung tâm nhận thực, cả hai đưa ra cùng IMSI và khoá nhận thực thuê bao (Ki) cho mỗi thuê bao GSM. Một cơ sở của giao thức bảo mật GSM là trong khi khoá nhận thực của thuê bao được lưu trong cả SIM và trung tâm nhận thực thì khoá này không bao giờ được truyền qua mạng.

Thành phần dữ liệu khoá của giao thức nhận thực GSM đưa ra bên dưới, cùng với các thành phần dữ liệu khác tạo nên “bộ ba ” GSM đã lập danh sách đầu tiên . Nhớ lại là các thành phần của bộ ba được sinh ra bởi trung tâm nhật thực, được lưu trữ đầu tiên trong HLR, và gửi tới VLR khi một thuê bao tìm cách thiết lập một phiên làm việc trong khi thuê bao đang chuyển vùng .

4.2.2.1 Các thành phần của bộ ba

Chương I: Tổng quan về thông tin di động

• RAND: RAND là một số ngẫu nhiên 128 bít được sinh ra bởi trung tâm nhận thực. Nó luôn được sử dụng trong giai đoạn đầu thực hiện thủ tục Challenge-reronce của chuỗi nhận thực GSM.

• SRES ( Signed Response) : Là một số 32 bít, SRES là kết quả khi sử dụng thuật toán A3 GSM cho RAND 128 bít.

• Kc (Session Key): Kc là một khoá phiên 64 bít, hoặc “khoá mật mã”, Kc sử dụng để mã hóa và giải mã hóa dữ liệu truyền giữa handset và BS trong một phiên truyền thông GSM đơn giản. Kc được sinh ra trong SIM về phía handset bằng cách cung cấp RAND 128 bít và khoá nhận dạng duy nhất của thuê bao Ki cho thuật toán A8. Do đó Kc là khóa duy nhất đối với cả thuê bao cá nhân (cho rằng Ki được sử dụng trong sự phát sinh Kc) và phiên truyền thông tương ứng này ( cho rằng việc sử dụng RAND như thành phần hạt giống thứ 2).

4.2.2.2 Các thành phần dữ liệu cần thiết khác

• Ki: (Subscriber Authentication Key-Khoá nhận thực thuê bao): là khoá duy nhất đối với mỗi thuê bao cá nhân, là một khoá đối xứng lưu giữ ở trong cả SIM và trung tâm nhận thực, nhưng không bao giờ phát quảng bá qua đường không.

• IMSI: (International Mobile Subscriber Identification – Nhận dạng thuê bao di động quốc tế): Là một số nhận dạng duy nhất đối với thuê bao cá nhân

• TMSI: (Temporary Mobile Subscriber Identification – Nhận dạng thuê bao di động tạm thời) là một số nhận dạng tạm thời được sử dụng trong phiên truyền thông GSM, thay cho IMSI trong mục đích duy trì bí mật thuê bao.

Chú ý rằng khoá nhận thực thuê bao được bảo vệ về mặt vật lý trong đó khóa này chỉ được lưu trữ ở server trung tâm nhận thực an toàn có thể đoán chừng và ghi trong SIM smartcart.

4.2.3 Hoạt động của giao thức nhận thực GSM

Các thành phần của hệ thống GSM đã cho và các phần tử dữ liệu an ninh được phác thảo trong hai phần trước, bây giờ chúng ta có thể tiếp tục phác thảo vài nét đại cương như thế nào là nhận thực thuê bao được thực hiện trong môi trường GSM thực tế. Về bản chất, GSM sử dụng một giao thức challenge- respond đơn giản. Giao thức này mang lợi thế của RAND và SRES được tính

Chương I: Tổng quan về thông tin di động

trước bởi trung tâm nhận thực và được đưa tới VLR. Quá trình thực hiện tiếp theo như sau:

1. Khi MS (GSM hand set) tiếp cận một BS trong một mạng tạm trú với yêu cầu thiết lập một phiên truyền thông, MS nhận biết IMSI của nó (bằng cách truyền IMSI của nó một cách công khai).

2. Mạng tạm trú đệ trình số nhận dạng riêng của nó cùng với IMSI của thuê bao tới trung tâm nhận thực(AuC). Trung tâm nhận thực đáp lại một bộ RAND, SRES và Kc (bộ ba). Trung tâm nhận thực sử dụng thuật toán A3 để sinh ra SRES từ số ngẫu nhiên RAND và khoá nhận thực thuê bao Ki. Thêm vào đó, AuC đã tính được khoá phiên Kc trong một cách tương tự, sử dụng thuật toán A8. Chú ý rằng mạng tạm trú bây giờ nhận ra cả RSES và khoá phiên Kc đối với phiên truyền thông riêng này, mạng tạm trú chưa thể có được khoá nhận thực thuê bao của thuê bao.

3. Mạng tạm trú gửi RAND 128 bít tới MS như một yêu cầu

4. SIM trong MS nhận được RAND từ GSM handset, SIM này sử dụng thuật A3 và khoá Ki để thực hiện thuật toán A3 sinh ra SRES riêng của nó. Handset truyền SRES này quay trở lại mạng tạm trú ( đáp lại yêu cầu của bước 3).

5. Mạng GSM tạm trú so sánh SRES nhận được từ MS với SRES nhận được sớm hơn từ trung tâm nhận thực ( được lưu trong VLR). Nếu hai giá trị này là bằng nhau, phiên truyền thông được thực hiện; nếu không, phiên truyền thông bị bác bỏ.

6. Khi phiên truyền thông được chấp nhận, SIM trong handset còn tính toán phiên bản của khoá phiên Kc riêng của nó, bằng cách sử dụng RAND và khoá nhận thực thuê bao Ki trong thuật toán A8. Chú ý rằng trong khi khoá phiên không được truyền từ BS đến MS thì cả mạng tạm trú và MS vẫn cùng chứa khoá phiên này.

7. Mục đích để hỗ trợ truyền thông an toàn trong sự trao đổi tiếp theo giữa mạng tạm trú và MS, cả MS( handset) và mạng GSM sử dụng khoá phiên Kc và một số chu kỳ TDMA(Time Division Multiple Acess – GSM xây dựng dựa trên giao thức truyền thông TDMA) tới thuật toán A5. Kết quả là một chuỗi 114 bít hoặc 2 khối 57 bít được truyền trong một chu kỳ TDMA đơn giản. Chú ý rằng trong khi Kc tiếp tục duy trì

Chương I: Tổng quan về thông tin di động

qua một phiên GSM , chuỗi 114 bít sẽ thay đổi ở mọi chu kỳ do sự thay đổi thứ tự chu kỳ TDMA.

Ki

A3

Kc

MSC

BSC BTS#1

=? No RAND

Yes

A3,8

AuC

HLR

(AuC) SRES

Kc Ki

SRES (SIM)

Authentication Successful

SRES (SIM)

RAND MS

(SIM)

SRES RAND

SIM

8

6 5 2

4 9

10 3

7 BS 1

Hình 4.2: Biểu đồ minh hoạ luồng thông tin trong chuỗi nhận thực thuê bao GSM

Random Chanllenge (RAND)

Secret Key (Ki) A3 Algorithm

Session Key (Ks)

[A3 Algorithm Inputs]

[ Algorithm Outputs]

Random Chanllenge (RAND)

Secret Key (Ki) A8 Algorithm [A8 Algorithm Inputs]

Chanllenge Response (SRES)

Hình 4.3: Quá trình vào ra dữ liệu của thuật toán A3 và A8 trong chuỗi nhận thực thuê bao GSM

4.2.4 Đánh giá về bảo mật nhận thực GSM

Cơ sở hạ tầng GSM đối với nhận thực thuê bao và bí mật phiên truyền thông đã giới thiệu là một tiến bộ quan trọng vượt trội các hệ thống tổ ong tương tự thế hệ thứ nhất. Tuy nhiên, khi GSM đã phát triển hoàn thiện, mở rộng vươn ra châu Âu và còn xa hơn thì các cơ cấu vận hành an ninh cơ sở đã chịu sự chỉ trích càng tăng. Việc đưa ra niềm tin chắc chắn về nhóm an ninh chỉ là giao thức có thể được kiểm tra và được tin tưởng( rằng bảo mật phụ thuộc vào bí mật của khoá và không phải của thuật toán). Chắc chắn rằng GSM sẽ phải tốn công sức đối với sự phụ thuộc của GSM vào các thuật toán A3,A8 vàA5 độcquyền. Nhiều nhà phân tích bảo mật nhận thấy rằng thuật toán này như hình thức mật mã yếu

Chương I: Tổng quan về thông tin di động

và vấn đề đối với sự tham gia bởi các cơ quan chính phủ, thêm nữa là xuất hiện những Hacker chuyên nghiệp giỏi.

Các chỉ trích về chế độ bảo mật GSM là:

1. Cả hai thuật toán A3 và A8 đã sử dụng tương ứng với sự nhận thực người dùng và sự phát sinh khoá phiên đều được thực hiện điển hình bởi nhà cung cấp dịch vụ GSM. Cùng với một thuật toán có tên gọi là COMP128. COMP128 được xây dựng ngựơc lại bởi Barkeley vào năm 1998, sự phân tích mã hoá bởi nhà phân tích Barkeley chỉ ra rằng giao thức có thể bị phá huỷ bằng 219 câu hỏi từ một BS xỏ lá tới GSM SIM card , sự phá huỷ này có thể đạt được trong 8 giờ. Hơn thế nữa, sự phân tích ứng dụng thuật toán COMP128 của GSM đã nhận thấy rõ ràng phép toán này đã bị làm yếu đi một cách có tính toán. Thuật toán COMP128 yêu cầu một khoá 64 bít nhưng tổng bit của 10 khóa này nhất định được đặt bằng không, sự giảm đột ngột về an ninh đã xảy ra bởi việc thực hiện thuật toán A8.

2. Nếu khoá phiên Kc bị tổn thương, một kẻ xâm nhập nào đó có thể bắt trước VLR của GSM một cách hợp lệ không phải tự nhận thực theo chu kỳ. Ngoài ra, điều đáng ngại là việc lưu trữ bộ ba RAND, SRES, và Kc

trong VLR, trong khi bộ ba này đang chờ sử dụng thì sự sơ hở của nó cũng tăng, đặc biệt đối với sự xâm nhập nội bộ.

3. Dưới giao thức nhận thực GSM, trạm gốc GSM nhận thực MS (GSM handset) tìm cách thiết lập một phiên truyền thông. Tuy nhiên điều đối mặt là không đúng, do MS không có sự đảm bảo rằng nó đang liên lạc với một node đang bắt trước một trạm gốc GSM. Tình hình trở lên tồi hơn, cùng một yêu cầu ngẫu nhiên được sử dụng để nhận thực một MS, khi thực hiện thuật toán A8 còn trở thành mầm mống cho sự phát sinh của một khoá phiên. Hơn thế nữa, giao thức bản tin nhận thực Challenge-response không bao gồm thời gian xác nhận. Do đó, nếu một trạm xỏ lá thực hiện giả dạng thành công một trạm gốc GSM, nó có thể lấy được một khoá phiên, khoá này sẽ cho phép giải mã bất kỳ một bản tin nào gửi đi cùng với khoá qua một giai đoạn kéo dài tiềm năng.

4. nhận thực GSM( còn cả an ninh trong thế hệ này) bảo vệ liên kết vô tuyến giữa MS và BS của GSM đang phục vụ MS. Cơ cấu an ninh không bảo vệ sự truyền thông tin giữa AuC về mạng thường trú của người sử dụng và mạng dịch vụ. Sự thiếu bảo mật này trong mạng dây dẫn thể hiện một sơ hở lớn đối với GSM, rõ ràng việc truyền thông giữa

Chương I: Tổng quan về thông tin di động

trạm gốc GSM và mạng dây dẫn thực tế được truyền bằng liên kết sóng ngắn dễ dàng bị chặn bắt.

5. Hai biến thể của thuật toán mã hoá dữ liệu A5 yếu hơn gọi là A5/2. thuật toán này có thể được xuất khẩu ở bất cứ nơi nào trên thế giới và không có giới hạn. Theo thông tin được xuất bản bởi BruceSchneiner, A5/2

được phát triển với sự giúp đỡ từ NSA và có thể bị xâm phạm trong thời gian thực với thừa số giá trị ≈216. A5/1 mạnh hơn A5/2, A5/1 dễ bị tấn công và có thể phá huỷ nó với một thừa số mang giá trị 240, có nghĩa là gần với thời gian thực có thể được thoả hiệp nếu kẻ tấn công sử dụng phần cứng chuyên dụng.

Một phần của tài liệu Các thủ tục nhận thực và bảo mật trong mạng CDMA.doc (Trang 53 - 60)

Tải bản đầy đủ (DOC)

(87 trang)
w