مدل مدیریت امنیت در شبکه GSM

صفحه 1:


صفحه 2:
مقدمه - برای استخراج مدل مدیریتی امنیت به کار رفته در شبکه 250) می‌توان از استانداردها و توصیه‌نامه‌ها استفاده کرد. استانداردهای؛12.03 ‎GSM‏ ‎ETS! 132 101‏ و 614 300 ۶15۱ که به مدیریت امنیت می‌پردازند. منبع مناسبی برای تعریف روال‌ها و مکانیزم‌های مدیریت امنیت در ۷ ها است. 

صفحه 3:
مشترک (۱۳5۱) - همانطور که در بخش ویژگی‌های امنیتی ‎GSM aS.‏ توضیح داد شک شناسه موقت 111151 برای محرملنه ماندن شناسه دائمی مشترک(| 10۸5 بهره گرفته می‌شود. این مکانیزم در استاندارد 03.20 ‎GSM‏ و ساخته ‎GSM 03.03 o Justin! o TIMSI‏ معرفی شده است. 

صفحه 4:
مدیریت تاييد هویت )۱0۸5۱( ‏شسترک‎ i - مکانیزم تایید هویت شناسه مشترک در فصل ویژگی‌های امنیتی ‎GSM‏ ‏توضیح داده شد. 

صفحه 5:


صفحه 6:
= ‎CAs ps Lo‏ الگوریتم 3 ‎soe‏ < رمزنگاری - همانطور که توضیح داده شد. الگوریتم رمز. 25 الگوریتم تایید هویت. ۸۸3 و الگوریتم تولید کلید. ۸8 نامیده می‌شود. 83 و 88 بر روى 511/1 و مركز ‎BTS ics) » AS 5 AUC) cose an‏ 9 گوشی تلفن پیاده‌سازی هی و 

صفحه 7:
مديريت كليد رمزنگاری یادآوری می‌شود که دو نوع کلید در محرماتكى 6519/1 استفاده می‌شود؛ کلید ثابت تایید هویت (أ) و کلید متفییر رمزنگاری (ع. مدیریت زوج ( 5۱۰/() در استاندارد 12.02 650 و تولید > در 6500 12.20 توضیح داده شده است. 

صفحه 8:
مدیریت امنیت دستگاه‌های موبایل - شناسه دستگاه‌های موبایل(1/]) که برای امنیت دستگاه‌های موبایل بکار می‌روده در استاندارد 02.09 6558 تعریف شده است و محل ذضیر هآ در شبکه نیز ۴۱8 است. توابع مدیریت |۱۳۸۴ در استاندارد 5501 12:02 توضیح داده می‌شود. 

صفحه 9:
مکانیزم‌های مدیربتی امنيت به سه دسته قابل تقسیم هستند: - للف) مکانیزم‌هلیی که برای کنثرل خصیصههای امئیتی انستفاده میشوند. 5 مکانیزمهایی جهت یافتن اطلاعاتی نظیر تلاش‌های ممکن جهت ورود از طریق رخنههای امنیتی - چ) مکانیزم‌هایی که اجازه آفالیز مشکلات امنیتی را میذهد. 

صفحه 10:
مکانيزم‌هاي کنترل - جهت کنترل سیستم» ویژگی‌هایی برای ارائه جنبههاى .مختلف ‎Wists‏ ‏امنیتی تعریف می‌شوند. با تغییر مقادیر لین ویژگی‌ها رفتار سیستم تغییر پیدا كتد 

صفحه 11:
مكانيزمهاي جمع آوري اطلاعالات - - هدفء ثبت وقوع رويدادهاى امنيتى ميباشد كه براى رسيدن به لين مقصود ممكن اسث روش‌های متفاوتی وابسته به نوع اطلاعات میزان تکرار و اهمیت رویداد. به کار رود: استفاده از یک پوینده برای جمع آوری اطلاعات و گزارش دوره‌ای اطلاعات اندازه گیری شده برای رویداه های با فرکانس وقوع بالا پا رویدادهای با اهمیت زیاد. استفاده از یک شمارشگر برای یک موضوع قلبل اندازهگیری و تعیین یک آستانه برای آن و صدور اخطار در صورت عبور از حد مجاز وقوع. استفاده از هشدار های امنیتی برای رویدادهای نادر و رویدادهای با اهمیت بالا: 

صفحه 12:
- در مورد برخی از رویدادهای امنیتی لازم است که وقوع آن رویداد سریعا مورد بازبینی قرار گیرد تا الگوهای بروز مشکل و خطا به موقع شناسایی شوند. در مورد وقوع رویدادهایی که منجر به بروز رخنه‌های امنیتی میگردد. سیستم احتیاج به صدور هشدار برای مدیر سیستم را دارد. - همچنین نوع هشدار امنیتی و علت وقوع آن باید برای سیستم تعریف شده باشد. 

صفحه 13:
مکانیزم‌های اعلام هشدا - هنگام وقوع یک رویداد که تاثیر قلبل توجهی در امنیت 01۱۷1 دارد» به مدیر باید هشدار داده شود. هشدار امنیتی باید علت وقوع هشدار راهکار مقابله و علت رویداد را بیان کند. - چگونگی لین هشداردر 2۰736 ۲۲ات و ذخیره‌سازی:هشدار امنیتی :در 1 تعريف مىشود. 

صفحه 14:
- برخی روال‌های امنیتی(تایید هویت. تخصیص مجدد ‎(IMEI 21) TMSI‏ به طور مشروط فعال میشوند که اجرای آنها توسط یکسری محرک‌های امنیتی قابل نظارت. کنترل ميشود. این محرک‌های امنیت برای گروه‌های مختلف مشترکین تعریف ميشود. مثلا به روز رسانی موقعیت برای کاربران متفاوت (مهمان. خانگی و ...۰ ) به شکل‌ها و کیفیت‌های متفاوتی اجرا ‎Aptis‏ - هر زمانی که یک تلبع امنیتی فراخوانی می‌شود. تنها زمانی اجرا میشود که آن تابع برای آن مشترک در ]۷ تعریف شده باشد. 

صفحه 15:
روالهاي مدیریت - میزان تناوب تخصیص محده : زربي انكى مشترك ممما دو اين ميزان با توجه به دو > فركلنس تخصيص مجددا5] با تعداد دفعات به روز رسانى موقعيت(لاا) در سيستم - انتخاب روالهاى ۱/۸۳ ‎]١|‏ از موبايل كه نياز به تخصيص مجدد 211/51 دارند. 

صفحه 16:
زمانسنج جهت به روز + رساني دوره‌ای _ - مقدار زمانستع به اروز ساني نويج از طييق كانال 80611 به اكلا موبليل منتقل ميشود. افزاي ش#وكانس به روز رسانى موقعيت به دليل افزايش فرکانس تخصیص مجدد |۲5 باعث افزایش محرمانگی مشترک میشود ولی منجر به افزایش بار ترافیکی شبکه نیز میگردد. 

صفحه 17:
انتخاب کننده زمان - فركانس تخصيص مجدد 11/151 به تعداد برتامه‌ها و سرویس‌هایی از ۱۸۵۴ دب مجدد ۲5۱ دارند. نیز وابسته میباشد. تخصیص مجدد 11۷51 را می‌توان در روال درخواست دسترسی فرایندهای ۷/۸۴ مبتنی بر مقادیر کنترلی زیره فعال یا غیر فعال نمود: ls Suplimantary Service ‏فعال سازی‎ - - تماس از طرف کاربر - تماس مجدد از طرف کاربر 7 تماس‌های ضروری 7 تماس دریافتی SMS - 

صفحه 18:
تخسیس مجده 71851 در بمروز رسانی موفتیت در 0۳۴ مببی لا زیر قابل فعال یا غير فعال كردن است: به‌روزسانی موقعیت عادی به‌روزسانی موقعیت دوره‌ای به‌روزسانی همراه با ۱۲/5۱ یکی دیگر از عوامل موثر بر فرکلئس تخصیص مجدد ۲5 فناوری ساخت سیستم (مانتد بط 56-۷1۹ ) میباشد. 

صفحه 19:
— امنیت تایید هویت وابسته به ویزگیهای زیر میباشد: < للف) چه زملنی تایبد هویت بلید انجام پذیرد. ب) چه زملنی روال تایید هویت باید تکرار شود و ج) چه زمانی بردار تایید هویت مورد استفاده مجدد قرار گیرد. 7 برای مدیریت موارد فوق باید موارد زير را کنترل کرد: ۱- کدام یک از کاربردهای موبایل (۷1/0۳) احتیاج به تایید هویت دارند. > ۲ در چه شرایطی تایید هویت مشترک باید تکرار شود. ۳- استفاده مجدد از بردار تایید هویت کنترل گردد. 

صفحه 20:
تایید هویت مشترک ممکن است در روال یک فرایند ۷۱۵۴ برای درخواست دسترسی و یا روال به روز رسانی موقعیت ۱۷/۸۳ شروع شود. همان انتخاب ویژگی‌ها در تخصیص مجدد 11۷/51 نیز کاربرد دارد. در مجموع تایید هویت در چندین روال. باعث حفاظت از شبکه در مقلبل دسترسی های غیر مجاز میگردد. در صورت فعال بودن قسمت رمزنگاری. یکبار تایید هویت کافی بوده و در مراحل بعدی میتوان از کلید رمزنگاری قبلی استفاده نمود. لی مکانیزم باید طوری باشد که در هنگام غیر فعال شدن واحد رمزنگاری» تایید هویت برای تماس ها فعال شود. در مواقعی که 11۷/51 مشترک در ۷۱ شنا< رد. احتیاج به تایید هویت مجدد با استفاده از ارسال ۱5۱ میباشد که لین امر موجب عدم گمنامی مشترک خواهد شد (حداقل تا زمان تخصٍ مجده ]۲۳/5 جدیدٌ 

صفحه 21:
پارامترهای موثر بر تولید - دو پارامتر بر توليد و استفاده از بردار تاييد هويت تاثير كذارند. اين يارامترها عبار: - الف) تعداد بردارهای تایید ‎MADD...‏ میشوند (ظرفیت ‎VLR‏ كه وابسته به ساختار فیزیکی آن میباشد) - ب) تعداد دفعات مجاز استفاده از بردار تایید هویت. - استفاده مكرر از 41110 و 55 باعث کاهش محرمانگی هویت شده و میتولند منجر به لو رفتن > و حتی أ6ا شود. در بخش حمله به شبکه ‎GSM‏ نيز حملهاى بر اين اساس معرفی خواهد شد. - اگر در ۷1 بردار جدیدی برای تایید هویت موجود نباشد و اجازه استفاده مجدد از بردارهای قبلی را نیز نداشته باشیم . آنگاه ارتباط بدون رمزنگاری برقرار خواهد شد. 

صفحه 22:
روال‌های و بو — - استفاده: از رمزنگاری از انتخابهای شبکه میباشد: گوشی ‎Piss SN‏ رمزنگاری قلبل پشتیبلنی خود را برای شبکه ارسال میکند و شبکه الگوریتم مناسب را انتحاب کرده و به اطلاغ مشت رک میرساند. 

صفحه 23:
wu js do ‏روال‌های‎ رمزنگاری 0000 برای مدیریت انواع حالات رمزنگاری موجود پارامتری به نام کنترل رمزنگاری با مقادیرٌ زیر تعریف میشود بدون رمزنگاری 7 پشتیبانی رمزنگاری 7 الزام رمزنگاری مقدار پارامتر فوق, در شروع مکالمه تست شده و شبکه با نوجه به جدول نقدم ورزاحر تعربف شده و امکانات :85 و ایستگاه موبایل به مذاکره با 85 در مورد الگوریتمهای ممکن پرداخته و نتیجه را به اطلاع مشترک (ایستگاه موبایل) میرساند. 

صفحه 24:
روال‌های مدیریت رمزنگاری - برای مدیریت الگوریتم رمزنگاری. دو لیست (احتمالاً تک عنصری) بلید تعریف شود. ‎MSC‏ باید از میان لیست الگوریتم‌هایی که توسط گوشی تلفن اعلام می‌شود: انسحات مي‌تماید. لين انتخاب بر اسانی لیستی از الگوریتم‌هاست 5 شبگة پشتیبانی می‌کند. اشتراک این دو لیست فر سیگنالینگ به ‎BSC‏ ‎JLo‏ می‌شود. ‎BSC‏ 0 اولویت مدیریتی مشخص شده و توانایی ‎BTS‏ از پشتیبانی الگوریتم‌های رمزنگاری گزینه مناسب را انتخاب می‌کند. 

صفحه 25:
IMEI cu pro ‏روال‎ - هویت تجهیزات موبلیل با درخواست 1181 از دستگاه موبایل احراز مگ شبکه ممکن است به دلایل متفاوت با توجه به مکانیزم امنیتی تعریف شده برای آن) اقدام به بررسی کردن شماره 1۴| نماید. دلایلی نظیر روبرو: برای تشخیص اینکه گوشی در چه لیستی قرار دارد (سیاه-خاکسری-سفید) , يا برای به روز رسانی موقعیت گوشی و .... 

صفحه 26:
استفاده از شمارندهها . . براي اهداف امنيتي 

صفحه 27:
شمارنده دفعات ارسال ۱۳5۱ - شمارنده‌هایی برای تعداد ارسال بدون رمرنگایی شماره ۲۱5۱ و 105۱ ۵ نظر گرفتهرشده است که اطلاعلنی در مورد کیفیت.سرویس محرمانگ له می‌دهد. 

صفحه 28:
شمارنده‌های مرتبط با ۱۳۴۱ - شمارنده های متعددی به منظور شمارش تعداد دفعات تبادل |11 در استانداید12.04 ‎GSM‏ تعریف شدهاند؛ تعداد درخواستهای چک کردن ۱۸۸8 ارسالی. در ۸5 تعداد پاسخهای سفید در 5 تعداد پاسخهای خاکسری در 5. تعداد پاسخهای سیاه در 5 تعداد پاسخهای |10 ناشناخته در 56 تعداد درخواستهای چک کردن |11 دریافتی در ‎EIR‏ ‏تعداد پاسخهای سفید در ‎EIR‏ تعداد پاسخهای خاکسری 55 ‎EIR‏ تعداد پاسخهای سیاه 59 ‎EIR‏ تعداد پاسخهای ۱۱۱ ناشناخته در ‎۴۱٩‏ 

صفحه 29:
شمارنده عدم تایید هویت عدم موفقيت در تاييد هويت در موارد زير به وقوع ميييوندد: مقادير 51815 هاى متفاوت. عدم دریافت 55 در موعد مقرر عدم شناسایی شماره ۲/5 مشترک در ‎VLR‏ تخصیص |۲۱۷5 به یک ۷5| متفاوت زمان‌سنج هایی برای شمارش این رویدادها تعریف شدهاند : - تعداد اقدامات تایید هویت انجام شده در ‎MLR‏ > تعداد تایید هویتهای انجام شده موفق در ‎۷۱٩‏ 

صفحه 30:
گزارش‌گيري امنیتی - یکسری از هشدارهای امنیتی بایستی به محض وقوع عامل آنها. تولید و به اپراتور شبکه 250) نمایش داده شوند. این هشدارها با توجه به نوع مدل‌سازی شبکه در یک عنصر شبکه ذخیره میشوند و یا به سبستم‌عامل شبکه ارسال میگردند. 

صفحه 31:
عدم موفقيت در تاييد هويت در ‎VLR‏ - در لین خطا علاوه بر شماره شناسایی ۷1-۹ و زمان وقوع خطاء اطلاعات زیر نیز میبایست در دست باشند: ۱۳5۱ - - ۱۱2۱ (لختبی ف قطوقتی‌که در دسترس‌بود) - نوع عدم موفقيت (عدم تطابق 9۳5 یا گم شدن ‎(SRES‏ - اطلاعات موقعیت 

صفحه 32:
خطاي چک کردن ۱۳۱۶۱ در ۷۱۴ - زملنی که ۷1-۳ پاسخ «در لیست سفید نمیباشد» را از ۴1۳ دریافت کرد» هشدار امنیتی را به علاوه اطلاعات زیر باید گزارش کند: ۱5۱ - IMEI - < اطلاعات موقعیت 7 نوع عدم موفقیت (لیست سياه - ليست خاکسری 7 ناشناس 7 عدم دريافت ‎(EIR 3! aul‏ 

صفحه 33:
خطا در درخواست ۱۳۶۱ در ۱۷۱۴ - لین خطا زملنی بروز میکند که ایستگاه موبایل شماره ۱۳/۴ خود را در جواب درخواست ‎VLR‏ ارسال نکند. هشدار فوق باید شامل اطلاعات زیر باشد : IMSI - > 11151 للكرور مسرسس وم - اطلاعات موقعيت 

صفحه 34:
خطا در درخواست 1۳5۱ در ۷۱8 - این خظا مربوط به زملنی است که ایستگاه موبانل پس از عدم موف شناسایی با شماره ۰۲۱۷/5۱ شماره ۱45۱ خود را در پاسخ درخواست شبکه فاش نکند. این هشدار فقط حاوی اطلاعات زیر است: TMSI - - اطلاعات موقعیت 

صفحه 35: