CC BY
0
УДК 004.056.5
ПРЕДЛОЖЕНИЯ В РАБОТЕ АУТЕНТИФИКАЦИИ ПРОТОКОЛА
LTE EPS-AKA
И. А. Храмцов
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: Ilia.khramcov@yandex.ru
Угрозы реализации безопасности мобильных сетей, является актуальным вопросом в работе современных мобильных сетей, так как одной из нескольких ключевых задач в обеспечении работы мобильной сети является обеспечение предотвращения возможности угрозы кражи, хищения, перехвата и прослушки конфиденциальной и личной информации оператора и абонентов мобильной сети.
Ключевые слова: Мобильные сети, базовая станция, метод аутентификации и шифрование, LTE, информационная безопасность, EPS-AKA.
RECOMMENDATIONS FOR THE LTE EPC-AKA PROTOCOL ALGORITHM
I. A. Khramcov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: Ilia.khramcov@yandex.ru
Threats the implementation of security I mobile networks, is an important issue in modern mobile set as a key objective in the provision of mobile networks is the prevention of possible threats of theft, theft, interception and eavesdropping of confidential and personal information of the operator and the subscribers of the mobile network.
Keywords: Mobile networks, base station, authentication method and encryption, LTE, information security.
Введение. Важным моментом при реализации инструментов безопасности мобильной сети является необходимость разделять сигналы на потоки управления и непосредственно на потоки пользователя, на чем основывается модель безопасности (ITU-T X805) [1]. С помощью модели иерархической архитектуры безопасности, оператор мобильной сети получает возможность проводить анализы угроз безопасности мобильной сети, реализовывать и применять методы в обеспечении решения проблемы сетевой безопасности. Механизм аутентификации EPS - AKA Механизм безопасности AKA основан на секретном ключе, разделяемом между USIM-картой (Universal Identifier Module) и AuC (центром аутентификации). Для обеспечения конфиденциальности данных пользователей во время аутентификации для каждого абонента генерируются разные ключи [2]. Данный механизм имеет ряд уязвимостей для определенного вида атак, основным фактором реализации которых является отправка IMSI в мобильной сети в не защищенном виде. Так же среди прочих уязвимостей, можно выделить отсутствие защиты конфиденциальности и возможная реализация DoS - атаки. При этом DoS - атака может быть запущена злоумышленником как
Актуальные проблемы авиации и космонавтики - 2020. Том 2
на MME, так и на HSS, который маскируется, чтобы пройти идентификацию, постоянно направляя поддельные IMSI для подавления HSS.
Предложение в работе аутентификации протокола LTE EPS-AKA с применением вектора безопасности и процедуры регистрации абонента в сети. Рассматривая возможные угрозы со стороны злоумышленника, можно упомянуть что данные лица могут использовать легальное UE для постоянной отправки поддельных IMSI что приведет к перегрузки HSS/AuC, и в результате приведет к потреблению большей вычислительной мощности и переполнит буфер памяти. Так же, в зависимости от количества атак и учитывая технические характеристики программного и аппаратного и обеспечения HSS то результат такой атаки может стать отключение HSS от обслуживания.
Поэтому предлагается реализовать подход к совершенствованию использования аутентификации EPS-AKA с применением вектора безопасности (SV), в котором будет реализован алгоритм, где HSS будет первым делом выполнять сравнение в запросах аутентификации с одного и того же аппаратного адреса UE, и только потом на основании анализа данных вычислять вектор аутентификации. Сам Физический адрес UE будет сохраняться в SV и, если в векторе безопасности будет допущен новый запрос, HSS/AuC реализует отмену запроса от UE в течение короткого периода времени. Реализация данного алгоритма позволит не перегружать HSS/MME устройству, которое пытается провести DoS-атаку.
Сам вектор безопасности будет иметь длину, предположим равную 300 значениям физических адресов UE, чтобы иметь возможность сохранять данные в буфер HSS и не запрашивать мощности дополнительно свыше своих при проверке в вычисленных запросах. Проверка IMEI вычисляется, используя две функции FOR и IF, чтобы проверить, находится ли новый IMEI в SV.
При регистрации телефона абонента в мобильной сети, сеть реализует запрос для регистрации. В результате чего телефон абонента генерирует случайную 26-битную идентификацию (временную), которую называют T-TMSI. Для процесса аутентификации телефон абонента генерирует зашифрованное открытым ключом (ключ генерируется поставщиком услуг телефона абонента) случайное 26-битное число, которое в дальнейшем служит TMSI (T-TMSI) и IMSI мобильного устройства. Далее T-TMSI проходит на базовую станцию вместе с зашифрованным ключом, и так же в отправку идет незашифрованная часть IMSI (MCC и MNC), которая в дальнейшем позволит MME сделать запрос к правильному провайдеру услуг HSS. По итогу базовая станция, получив данные TMSI и IMSI перенаправляет их в MME, и MME в дальнейшем проверяет открытый T-TMSI на совпадение с последними 26 битами существующего M-TMSI.
Если в ходе проверки T-TMSI совпадает с существующими битами M-TMSI, MME создает новый не имеющий совпадений MMB-номер и отправляет его на мобильное устройство вместе с сообщением об ошибке, при получении которого, мобильное устройство создает новый запрос аутентификации, содержащий уникальный T-TMSI. При получении уникального T-TMSI, MME кэширует его, после чего отправляет (TTMSI, IMSI) в HSS. Важно отметить тот момент, что T-TMSI не отправляется в HSS напрямую, а входит в зашифрованную часть. HSS расшифровывает полученный код и, если IMSI действителен, создает AUTH, XRES и KASME и отправляет их в MME (как в случае аутентификации EPS AKA) вместе с T-TMSI, полученным из зашифрованного запроса. Как только MME получает значения от HSS, он сравнивает два значения T-TMSI, только что полученного от HSS и того, что хранится кэше, при их совпадении, он вычисляет KSIasme, который впоследствии станет значением индекса для проверки промежуточного ключа. Далее MME направляет RAND, AUTH и KSIASME на мобильное устройство, которое, используя принятые RAND и Ki (в UICC), проверяет (расшифровывает) AUTH от HSS и тем самым аутентифицирует сеть. Затем AUTH создает ключ KASME, который будет использоваться для шифрования и создания
ключевого потока проверки целостности (CK и IK). Как только сеть успешно прошла аутентификацию, мобильным телефоном генерируется ответ в MME (RES) для аутентификации, если во время прохождения аутентификации сети возникли ошибки, то запрос на присоединение к этой сети не отправляется, указывая на то, что имеется сеть, которой нельзя доверять.
Процесс аутентификацией UICC выполняется в результате работы MME, который сравнивает полученный RES с заранее полученным от HSS XRES. В дальнейшем MME остается реализовать предоставленные услуги в ходе запроса абонента сети. Для большей функциональности MME так же создает еще одну шестибитную часть M-TMSI для T-TMSI, которая добавляет M-TMSI информацию о местоположении, создает GUMMEI, и уникальный GUTI, и дальше отправляет информацию IMSI на основные сервера, (транспортной и сервисную сеть), с дальнейшем кешированием IMSI, M-TMSI, GUMMEI и GUTI и обработки запросов на обслуживание абонента мобильной сети. Ключевым моментом в данном методе аутентификации является то, что, при создании T-TMSI - IMSI никогда не отправляется в незащищенной виде в сеть, (в состав которой входит UE, ENB и MME) и тем самым обеспечивает конфиденциальность пользователь.
Заключение. Необходимость обеспечением конфиденциальности информации в мобильной связи имеет большое значение, так как большую часть ущерба наносит именно реализация угроз конфиденциальной информации. IMSI является очень чувствительным компонентом, и некоторые злоумышленники могут использовать его для отслеживания пользователей (определение конфиденциального местоположения), выдавать себя за законных пользователей (MIM) и тем самым не санкционировано использовать ресурсы сети. Использование расшифровки PKI в алгоритме аутентификации EPS AKA ведет к уменьшению шанса реализации угрозы IMSI, что что в дальнейшем позволит обеспечить безопасность и конфиденциальность данных мобильной сети без негативного влияния на функциональность, качество обслуживания (QoS) и производительность сети. В некоторых других уязвимых областях 4G LTE требуется дополнительная работа. Этими оставшимися уязвимостями может воспользоваться злоумышленник, например, отказ в обслуживании и атаки подкачки. Но внедрение взаимной аутентификации между мобильным телефоном и базовой станцией поможет минимизировать риск безопасности (DoS) в 4G LTE.
Библиографические ссылки
1. Кормильцев Н.В., Уваров А.Д., Корнилов Г.С., Перухин М.Ю. Оптимизация процесса аутентификации для защиты конфиденциальных данных пользователей при подключении к сети LTE // Вестник Технологического университета. 2018. Т. 21. № 3. С. 134-138.
2. Степутин А.Н., Николаев А.Д. Мобильная связь на пути к 6G. Вологда: Инфра-Инженерия, 2017. Т. 1. С. 23-45.4. В.О. Тихвинский, C.B. Терентьев, А.Б. Юрчук, Сети мобильной связи LTE: технологии и архитектура. Эко-Трендз, Москва, 2010, 284 с.
© Храмцов И. А, 2020
