Mạng GSM/PLMN được dành 124 kênh sóng mang, sóng này ở dải tần: - Đường lên (MS - BTS): 890 - 915 MHz.
- Đường xuống (BTS - MS): 935 - 960 MHz.
Băng tần đường lên 890,2 – 914,8 MHz và đường xuống 935,2 – 959,8 MHz. Mỗi tần số sóng mang cách nhau 200 KHz, trên mỗi sóng mang thực hiện ghép kênh theo thời gian, thực hiện ghép khung TDMA ta có số kênh bằng: 124x8 (TS) = 992 kênh.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 35 1.4.1.1. Kênh vật lý.
Kênh vật lý là một khe thời gian ở một tần số vô tuyến dành để truyền tải thông tin ở đường vô tuyến của GSM. Mỗi một kênh tần số vô tuyến được tổ chức thành các khung TDMA dài 4,615 ms gồm có 8 khe thời gian (một khe dài 577μs). Tại BTS, các khung TDMA ở các kênh tần số ở cả đường lên và đường xuống đều được đồng bộ, mỗi MS được cấp một khe thời gian có cùng số thứ tự ở hướng lên hay hướng xuống để truyền bán song công.
Về mặt thời gian, các kênh vật lý ở một kênh tần số được tổ chức theo cấu trúc khung, đa hung, siêu đa hung, siêu siêu hung như hình vẽ:
Hình 1.17: Tổ chức khung trong GSM.
Một ênh siêu hung được chia thành 2048 siêu khung với thời gian là 6,12s. Siêu khung lại được chia thành các đa hung, có hai loại đa hung.
- Đa hung 26 hung chứa 26 khung TDMA. Đa hung này được sử dụng để mang TCH (SACCH + FACCh). 51 đa hung này tạo nên một siêu khung. - Đa hung 51 hung chứa 51 khung TDMA. Đa hung này sử dụng để mang
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 36 Kênh vật lý được tổ chức theo quan niệm truyền dẫn. Đối với TDMA GSM thì kênh vật lý là một khe thời gian ở tần số sóng mang vô tuyến được chỉ định trước.
1.4.1.2. Kênh logic.
Các ênh logic là các ênh được phân biệt theo chức năng, mang các thông tin điều khiển, báo hiệu giữa các BTS và MS các kênh logic này được đặt vào các kênh vật lý nói trên. Có thể chia các kênh logic này gồm hai loại kênh: Các kênh lưu lượng (TCH) và các kênh báo hiệu điều khiển.
Hình 1.18: Phân loại kênh logic.
Kênh lưu lượng (TCH - Traffic Channel):
TCH mang tiếng được mã hoá hoặc số liệu của người sử dụng, có hai kênh lưu lượng.
Bm hay TCH toàn tốc (TCH/F - Traffic Channel at Fullrate): Kênh này mang thông tin tiếng hoặc số liệu ở tốc độ khoảng 22,8 Kbps.
Lm hay TCH bán tốc (TCH/H - Traffic Channel at Halfrate): Kênh này mang thông tin tiếng hoặc số liệu ở tốc độ khoảng 11,4 Kbps.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 37
Kênh báo hiệu điều khiển CCH:
Các kênh báo hiệu điều khiển được chia làm ba loại: ênh điều khiển quảng bá, ênh điều khiển chung, kênh dành riêng.
Kênh quảng bá BCH (Broadcast Channel) lại bao gồm các kênh nhỏ:
- Kênh hiệu chỉnh tần số FCCH (Frenquency Correction Channel): mang thông tin để hiệu chỉnh tần số MS.
- ênh đồng bộ SCH (Synchronous Channel): mang thông tin để đồng bộ khung (số khung TDMA) mang thông tin để hiệu chỉnh tần số MS.
- ênh điều khiển quảng bá (BCCH - Broadcast Common Control Channel): Kênh phát quảng bá các thông tin chung về ô. Các bản tin này gọi là thông tin hệ thống, BCCH chỉ sử dụng cho đường xuống.
Các ênh điều khiển chung (CCCH - Common Control Channel) gồm:
- Kênh tìm gọi (PCH - Paging Channel) sử dụng cho đường xuống từ BTS để tìm gọi máy di động MS.
- Kênh thâm nhập ngẫu nhiên (RACH - Random Access Channel): là kênh hướng lên để MS dùng để yêu cầu cung cấp một kênh dành riêng SDCCH. Yêu cầu này thể hiện trong bản tin đầu của MS gửi đến BTS trong quá trình một cuộc liên lạc.
- Kênh cho phép thâm nhập (AGCH - Access Grant Channel): là ênh hướng xuống, mang tin tức đá lại của BTS đối với bản tin yêu cầu kênh của MS để thực hiện một ênh lưu lượng và kênh DCCH cho MS.
Các ênh điều khiển dành riêng (DCCH-Dedicated Control Channel) gồm: - ênh điều khiển dành riêng đứng một mình (SDCCH - Stand Alone
DCCH): là ênh dùng để cập nhật vị trí và thiết lập cuộc gọi trước khi ấn định một TCH. ênh đường lên/ ênh đường xuống, điểm đến điểm.
- ênh điều khiển liên kết chậm (SACCH - Slow Associcated Control Channel): liên kết với một TCH hay một SDCCH, là kênh số liệu liên tục, mang thông tin liên tục như các thông báo đo đạc từ các trạm di động về cường độ tín hiệu thu từ ô (Cell) hiện thời và các ô (Cell) lân cận. Thông tin này cần cho chức năng chuyển giao. ênh này còn được sử dụng để điều chỉnh công suất của MS và để đồng bộ thời gian. ênh đường lên/ xuống, điểm đến điểm.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 38 - ênh điều khiển liên kết nhanh (FACCH - Fast Associcated Control Channel): liên kết với một TCH. FACCH làm việc ở chế độ lấy lên bằng cách thay đổi lưu lượng tiếng hay số liệu bằng báo hiệu.
1.4.2. Sắp xếp các kênh logic ở các kênh vật lý.
Xét một BTS với n sóng mang (truyền song công, mỗi sóng mang Co, ... , Cn) có 8 khe thời gian Ts. Với Co đường xuống, Ts0 được dùng chỉ định sắp xếp các ênh điều khiển.
Các ênh logic được sắp xếp từ Co như sau:
- Các ênh điều khiển BCCH, FCCH, SCH, PCH, AGCH được sắp xếp Ts0 đường xuống, còn kênh RACH ở ênh Ts0 đường lên. Chu kỳ lặp là 51 Ts. - Ts1 được sử dụng để sắp xế các ênh điều khiển riêng SDCCH và SACCH
với chu kỳ lặp 102 Ts (Times slot).
- Từ Ts2 đến Ts7 là các ênh lưu thông TCH, chu kỳ lặp là 26 Ts.
Các sóng mang khác (C1 – Cn): chỉ được sử dụng cho ênh lưu lượng TCH, nghĩa là từ Ts0 – Ts7 đều là TCH.
Hình 1.19: Ghép các BCH và CCCH ở Ts0.
F (FCCH): tại đây trạm di động đồng bộ tần số.
S (SCH): trạm di động đọc số khung TDMA và BSIC.
B (BCCH): trạm di động đọc thông tin chung về ô (Cell) này. C (CCCH): có thể tìm gọi một trạm di động và dành một SDCCH.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 39
Hình 1.20: Ghép RAC ở Ts0.
Các Ts2 – Ts7 của C0 sử dụng cho ênh lưu lương TCH được sắp xếp ở các kênh vật lý như sau:
Hình 1.21: Ghép kênh TCH.
Đường xuống ở C0, thông tin ở Ts2 tạo thành một TCH. Tất cả có 26 Ts, sau khi Ts để trống nó lại bắt đầu lại. T (TCH): chứa tiếng hoặc số liệu mã hoá.
A (SACCH): nằm ở Ts13, báo hiệu điều khiển.
Cấu trúc đường lên cũng tương tự như đường xuống, điều khác nhau duy nhất là sự dịch về mặt thời gian. Ts2 ở đường xuống không xảy ra cùng thời gian như là ở đường lên. Thời gian dịch là 3 khe thời gian.
1.5. CÁC DỊCH VỤ TRONG GSM.
Các dịch vụ trong GSM thông thường là dịch vụ chuyển mạch kênh. Giao diện vô tuyến sau hi đã thực hiện sửa sai là 12 Kbps (hoặc 13 Kbps cho thoại). Tốc độ tối đa cho người sử dụng là 9,6 Kbps giữa MS và MSC. Trong nền tảng đ , GSM có các nhóm dịch vụ sau:
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 40
1.5.1. Dịch vụ thoại.
Là dịch vụ quan trọng nhất của GSM . Nó cho phép các cuộc gọi hai hướng diễn ra giữa người sử dụng GSM với thuê bao bất kỳ ở một mạng điện thoại nói chung nào.
Dịch vụ cuộc gọi khẩn là một loại dịch vụ khác bắt nguồn từ dịch vụ thoại. N cho hé người dùng có thể liên lạc với các dịch vụ khẩn cấ như cảnh sát hay cứu hoả mà có thể có hoặc hông SIM Card trong máy di động. Một dịch vụ khác nữa là VMS, cho phép các bản tin thoại có thể được lưu trữ rồi lấy ra ở thời điểm bất kỳ.
1.5.2. Dịch vụ số liệu.
GSM được thiết kế để đưa ra rất nhiều dịch vụ số liệu. Các dịch vụ số liệu được phân biệt với nhau bởi người sử dụng hương tiện (người sử dụng điện thoại PSTN, ISDN hoặc các mạng đặc biệt ...), bởi bản chất các luồng thông tin đầu cuối (dữ liệu thô, Fax, Videotex, Teletex ...), bởi hương tiện truyền dẫn (gói hay mạch, đồng bộ hay hông đồng bộ ...) và bởi bản chất thiết bị đầu cuối.
Các dịch vụ này chưa thực sự thích hợp với môi trường di động. Một trong các vấn đề đ là do yêu cầu thiết bị đầu cuối khá cồng kềnh, chỉ phù hợp với mục đích bán cố định hoặc thiết bị đặt trên ô tô.
1.5.3. Dịch vụ bản tin ngắn.
Dịch vụ bản tin ngắn khá phù hợp với môi trường di động. Các bản tin ngắn độ dài vài octet có thể được tiếp nhận bằng thiết bị đầu cuối rất nhỏ.
Có hai loại dịch vụ bản tin ngắn:
Dịch vụ bản tin ngắn truyền điểm - điểm: Dịch vụ bản tin ngắn kết cuối di động, điểm - điểm (SMS - MO/PP): cho hé người sử dụng GSM nhận các bản tin ngắn.
Dịch vụ bản tin ngắn kết cuối di động, điểm - điểm (SMS - MO/PP): cho hé người sử dụng GSM nhận các bản tin ngắn.
Dịch vụ bản tin ngắn phát quảng bá: cho phép bản tin ngắn gửi đến máy di động trong một vùng địa lý nhất định.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 41
1.5.4. Các dịch vụ khác.
Các dịch vụ sửa đổi và làm phong phú thêm các dịch vụ cơ bản, chủ yếu cho hé người sử dụng lựa chọn cuộc gọi đến và đi sẽ được mạng xử lý như thế nào hoặc cung cấ cho người sử dụng các thông tin cho phép sử dụng dịch vụ hiệu quả hơn.
Các dịch vụ như:
Chặn hướng cuộc gọi (CB). Giữ cuộc gọi (CH).
Chuyển cuộc gọi (CF).
Hiển thị số máy chủ gọi (CLIP). Cấm hiển thị số máy chủ gọi (CLIR). Đợi cuộc gọi (CW).
Tính cước cho thuê bao. Hội nghị (MPTY). Nhóm thuê (CUG).
Cho phép thuê bao chuyển vùng. Cho phép thuê bao chuyển mạng.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 42
CHƯƠNG 2. VẤN ĐỀ AN NINH TRONG MẠNG GSM. 2.1. MÔ HÌNH BẢO MẬT GSM.
2.1.1. Mục đích của bảo mật GSM.
Do đặc thù của cơ chế dùng s ng radio để liên lạc giữa thiết bị di động đầu cuối và trạm thu phát sóng, mạng GSM có những rủi ro bảo mật như:
Tấn công giả mạo thiết bị di động đầu cuối. Nghe lén cuộc gọi.
Tấn công dùng hương thức người đứng giữa (man in the middle attack). Vì vậy mục đích của bảo mật GSM là giảm thiểu các rủi ro trên bằng các cơ chế:
Xác thực vào dịch vụ di động.
Mã h a các thông tin trao đổi trên môi trường radio.
2.1.2. Xác thực chủ thể thuê bao.
Trước hi được cho phép vào mạng, mạng di động sẽ xác thực máy di động đầu cuối bằng các bước như sau:
Thiết bị di động gửi mã IMSI (lấy từ SIM) vào mạng di động đăng ý (trạm thu phát sóng gần nhất).
Mạng di động nhận dạng mã số IMSI và tìm số bí mật Ki ứng với mã số IMSI trên cơ sở dữ liệu của nhà cung cấp dịch vụ.
Mạng di động tạo ra một số ngẫu nhiên c độ dài 128 bit và gửi lại thiết bị di động.
Thiết bị di động sử dụng thuật toán A3, sử dụng giá trị ngẫu nhiên trên và số Ki (lấy từ SIM), tính ra được kết quả gọi là SRES.
Cũng trong thời gian đ , mạng di động tính toán số SRES sử dụng cùng thuật toán A3 từ các giá trị đầu vào như trên.
Thiết bị di động gửi số SRES cho mạng di động.
Mạng di động kiểm tra xem hai số SRES có trùng khớp. Nếu trùng khớp, quá trình xác thực được hoàn tất và thiết bị di động “được hé ” gia nhập mạng.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 43 Cơ chế xác thực trên dựa trên tính bí mật của số Ki và IMSI. Số này được tạo ra khi nhà cung cấ di động lập trình thẻ SIM. Số i được lưu trên SIM và lưu trên cơ sở dữ liệu của nhà cung cấp dịch vụ di động.
Tuy nhiên nếu nhìn qua cơ chế xác thực trên, có thể thấy số IMSI được gửi trong bước một của quá trình xác thực, và nếu lấy được số này, hac er xem như sẽ c được 50% thông tin cần thiết để nhân bản SIM (số còn lại cần lấy là mã Ki). Chính vì vậy, cơ chế xác thực được biến đổi lại để mã IMSI chỉ gửi đi lần đầu khi người dùng bật điện thoại di động lên. Sau hi đã gia nhập mạng, một mã số nhận dạng tạm thời TMSI được sử dụng trong suốt các quá trình trao đổi thông tin giữa thiết bị di động và mạng di động (kể cả khi thiết bị di động di chuyển và gia nhập vào trạm thu nhận sóng mới).
2.1.3. Mã hóa cuộc gọi.
GSM sử dụng một h a đặc biệt nhằm mã hóa cuộc gọi và dữ liệu trên môi trường sóng radio đầy rủi ro bị nghe lén. Khi thiết bị di động đã được xác thực, một mã số bí mật được tạo ra từ một số ngẫu nhiên và số Ki bằng thuật toán A8 (thuật toán này nằm trên SIM). Mã số này được đồng thuận sử dụng giữa thiết bị di động và mạng di động nhằm mã h a thông tin trao đổi. Thuật toán mã h a được sử dụng là thuật toán A5. Thuật toán A5 được lưu trữ bằng phần cứng trên thiết bị di động, bộ xử lý của điện thoại di động (ĐTDĐ) sẽ chịu trách nhiệm thực hiện.
2.1.4. Bảo vệ định danh thuê bao.
IMSI (số nhận dạng thuê bao di động quốc tế) được chứa trong thẻ SIM. Số IMSI thường là một chuỗi 15 chữ số, bao gồm một MCC (mobile country code), một MNC (mobile network code) và một MSIN (mobile station identification number). Nhằm đảm bảo số IMSI không bị đánh cắp dễ dàng, số IMSI chỉ được gửi đến mạng di động lần đầu khi thiết bị di động được bật lên gia nhập mạng. Sau đ số TMSI được sử dụng thay cho số IMSI. Cơ chế này nhằm giảm thiểu rủi ro IMSI bị đánh cắp. Tuy nhiên hacker vẫn có khả năng ăn cắ được số IMSI này bằng thủ thuật người đứng giữa.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 44
Hình 2.1: Cơ chế hoạt động của mạng di động GSM.
2.1.5. Các hạn chế về bảo mật của GSM.
Với cơ chế bảo mật hiện nay, GSM có các hạn chế sau: 2.1.5.1. Bảo mật bằng tính bất khả định.
Bảo mật bằng tính bất khả định c nghĩa là bảo mật bằng cách giấu kín thuật toán, cách thi hành, không cho cộng đồng biết được cơ chế bảo mật. Trong cơ chế bảo mật GSM, các thuật toán A3, A5, A8 đều được giấu kín. Tuy nhiên, quan điểm hiện đại về an toàn thông tin cho rằng hương thức bảo mật bằng tính bất khả định này sẽ không an toàn. Lý do là một thuật toán cho dù tốt đến đâu cũng c thể mắc lỗi, và nếu hông được công hai để cộng đồng kiểm chứng thì hoàn toàn có thể bị mắc những lỗi nghiêm trọng mà chưa ai biết. Thực tế đã chứng minh là dù được nhà sản xuất cố gắng giữ bí mật sau nhiều năm, hac er đã tìm được thông tin khá đầy đủ về các thuật toán A3, A5 và A8.
2.1.5.2. Chính sách mã hóa có thể bị thay đổi.
Thuật toán A5 được dùng để mã h a đường truyền sóng radio thoại và dữ liệu. Tuy nhiên có 3 chính sách mã hóa khác nhau: A5/0 (không mã hóa) và hai thuật toán A5/1 và A5/2. Sở dĩ c sự phân loại này là do các pháp chế về vấn đề xuất khẩu thuật toán bảo mật. Ba chính sách mã h a A5 được phân loại như sau:
Thuật toán A5/1 được sử dụng bởi những quốc gia là thành viên của tổ chức Viễn thông châu Âu CEPT, Mỹ, một số nước châu Á.
Nghiên cứu giải pháp an toàn tín hiệu thoại theo công nghệ GSM. Page 45 Thuật toán A5/2 được sử dụng ở Úc, châu Á và một số khu vực vùng lãnh