UMTS Security v9

Dissertao
Mecanismos de Segurana em Redes UMTS
Universidade Estadual de Campinas

UNICAMP Instituto de Computao
Curso: Disciplina:
Extenso em Redes de Computadores INF541 - Criptografia
Aluno: Professor:
Austerli Nunes Vieira Prof. Dr. Ricardo Dahab
Campinas, 2/Julho/2006
ii
Resumo
E s t e d o c u m e n t o a p r e s e n t a o s m e c a n i s m o s d e s e gu r a n a u s a d o s em UMTS (Universal Mobile Telecommunications Network), de forma a atender s condies de avaliao final da disciplina IN F 5 4 1 ( C r i p t o g r a f i a ) q u e p a r t e d o C u r s o d e E x t e n s o e m Redes de Computadores que est sendo frequentado por Austerli N u n e s V i e i r a n o In s t i t u t o d e C o m p u t a o d a U n i v e r s i d a d e E s t a d u a l d e C a m p i n a s ( U N IC A M P ) . Campinas, 2/Julho/2006
iii
Abstract
This document presents the security mechanisms used in UMTS (Universal Mobile Telecommunications Network), in order to accomplish the final evaluation conditions of the discipline IN F 5 4 1 ( C r yp t o g r a p h y) w h i c h i s p a r t o f t h e E x t e n s i o n C o u r s e i n Computer Networks being attended by Austerli Nunes Vieira in t h e C o m p u t i n g In s t i t u t e o f t h e S t a t e U n i v e r s i t y o f C a m p i n a s ( U N IC A M P ) . Campinas, July/2nd/2006
iv
Agradecimentos
minha esposa Elenice Haider Nunes Vieira - pelo apoio, compreenso, pacincia e incentivo.
A meu pai Nlson Nunes - e minha me bia Vieira Nunes - que sempre me incentivaram ao estudo e persistncia.
A Aquele que me deu o ser. Sem Ele nada posso mas com Ele tudo possvel. A Ele graas e louvores por tudo que me d e que por mim faz.
Mecanismos de Segurana em Redes UMTS

ndice
RESUMO ................................................................................................................................II ABSTRACT ..........................................................................................................................III AGRADECIMENTOS ........................................................................................................ IV LISTA DE FIGURAS .........................................................................................................VII LISTA DE TABELAS ...................................................................................................... VIII 1 2 INTRODUO................................................................................................................1 CONCEITOS....................................................................................................................4
2.1 AS ARQUITETURAS DO UMTS................................................................................................................4 2.2 A ARQUITETURA IMS.............................................................................................................................9 2.3 IDENTIFICAO DO USURIO UMTS....................................................................................................11 2.4 IDENTIFICAO DA LOCALIZAO DO USURIO ..................................................................................13 2.5 IDENTIFICAO DO USURIO IMS ........................................................................................................15 2.5.1 Identidade Privada de Usurio....................................................................................................15 2.5.2 Identidade Pblica de Usurio ....................................................................................................15
3 4 5
ESPECIFICAES 3GPP ...........................................................................................17 TIPOS DE ATAQUES...................................................................................................20 VISO GERAL DOS RECURSOS DE SEGURANA EM UMTS .......................21
5.1 SEGURANA DE ACESSO REDE ...........................................................................................................22 5.1.1 Confidencialidade da Identidade do Usurio..............................................................................22 5.1.2 Autenticao de uma entidade .....................................................................................................22 5.1.3 Confidencialidade ........................................................................................................................23 5.1.4 Integridade de Dados...................................................................................................................23 5.1.5 Identificao do Equipamento Mvil...........................................................................................23 5.2 SEGURANA NO DOMNIO DA REDE......................................................................................................24 5.3 SEGURANA NO DOMNIO DO USURIO ................................................................................................24 5.4 SEGURANA NO DOMNIO DA APLICAO............................................................................................24 5.5 VISIBILIDADE E CAPACIDADE DE CONFIGURAO DA SEGURANA ......................................................24
MECANISMOS DE SEGURANA DE ACESSO REDE UMTS.......................25

6.1 IDENTIFICAO POR IDENTIDADES TEMPORRIAS ...............................................................................25 6.2 AKA (AUTENTICAO E ACORDO DE CHAVE).....................................................................................25 6.2.1 Gerenciamento de Autenticao pela Operadora .......................................................................27 6.2.2 Gerao do Vetor de Autenticao pelo HE / AuC .....................................................................27 6.2.3 Os Procedimentos Usados no AKA (Autenticao e Acordo de Chave).....................................29 6.3 UIA: ALGORITMO DE INTEGRIDADE DO UMTS....................................................................................32 6.4 INTEGRIDADE DOS DADOS NO ENLACE DE ACESSO ..............................................................................37 6.5 CONFIDENCIALIDADE DOS DADOS NO ENLACE DE ACESSO ..................................................................37 6.6 MAPSEC: PROTEO DA SINALIZAO MAP......................................................................................40
SEGURANA DE ACESSO PARA SERVIOS BASEADOS EM IP ..................41
vi 7.1 VISO GERAL ........................................................................................................................................41 7.2 ACESSO SEGURO AO IMS......................................................................................................................43 7.2.1 Autenticao do Usurio e da Rede.............................................................................................43 7.2.2 Proteo de Confidencialidade....................................................................................................44 7.2.3 Proteo de Integridade...............................................................................................................44 7.2.4 Uso de TLS ...................................................................................................................................44 7.2.5 Ocultamento da Topologia da Rede.............................................................................................45 7.2.6 Tratamento da Privacidade SIP na Rede IMS............................................................................45 7.2.7 Tratamento da Privacidade SIP em Interaes com Redes no IMS.........................................45 7.3 MECANISMOS DE SEGURANA IMS......................................................................................................46 7.3.1 IMS AKA: Autenticao e Acordo de Chave no IMS...................................................................46 7.3.2 Mecanismo de Confidencialidade no IMS ...................................................................................46 7.3.3 Mecanismo de Integridade no IMS ..............................................................................................47 7.3.4 Funo de Expanso de Chave para IPSec ESP.........................................................................47 7.3.5 Mecanismo de Ocultamento da Topologia da Rede ....................................................................48 7.3.6 CSCF Interagindo com Proxy Localizado em Rede no IMS .....................................................49
8 9
CONCLUSES ..............................................................................................................50 ABREVIATURAS E ACRNIMOS ...........................................................................52
10 BIBLIOGRAFIA............................................................................................................56
vii
Lista de Figuras
# Figura 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Ttulo Requisitos Mnimos de Taxas de Dados para o IMT-2000 do ITU Propostas IMT-2000 para a Rede Terrestre do UMTS Evoluo dos Padres Globais de Comunicaes Sem Fio Viso Geral da Arquitetura UMTS do Release 99 Arquitetura do Release 4 do UMTS Arquitetura do Release 5 do UMTS Arquitetura IMS Release 5 do UMTS - Configurao Bsica de uma rede PLMN IMSI - Identidade Internacional do Assinante Mvil reas de Registro de um UE Arquitetura de Segurana do UMTS Procedimentos de Autenticao do UMTS Gerao do Vetor de Autenticao pelo HE / AuC Autenticao e Acordo de Chave Funo de Autenticao do Usurio no USIM Construo do parmetro AUTS Funo de Integridade f9 KASUMI Obteno de MAC-I (ou XMAC-I) para uma mensagem de sinalizao Cifragem de dados e sinalizao do usurio enviados no enlace de rdio Aruitetura de Segurana IMS Segurana entre redes diferentes para ns SIP quando a P-CSCF reside na VN Segurana entre redes diferentes para ns SIP quando a P-CSCF reside na HN Pgina 1 2 3 4 7 8 9 10 12 14 21 26 29 30 30 31 34 35 e 36 37 38 41 42 43
viii
Lista de Tabelas # Tabela 1 2 3 4 5 Ttulo Parmetros usados no AKA Entradas para f9 Sadas de f9 Entradas para f8 Sadas de f8 Pgina 29 33 33 38 38
Introduo
UMTS (Universal Mobile Telecommunications System) - Sistema Universal de Telecomunicaes Mveis um sistema pblico de telecomunicaes via rdio que tem por objetivo permitir aos seus usurios acessar informaes de voz, dados e multimdia de forma padronizada, eficiente e aberta. O UMTS foi estruturado a partir de iniciativas dos fabricantes e provedores das redes de GSM (Global System for Mobile Communucations Sistema Global para Comunicaes Mveis) e GPRS (General Packet Radio Service Servio Geral de Pacotes por Rdio). Tem como objetivo o acesso aos servios referenciados com maior vazo de dados na interface area, de forma amigvel e interativa entre o usurio e as aplicaes. Alguns detalhes dos requisitos da interface area do UMTS podem ser vistos na figura abaixo.
Requisitos Mnimos de Taxas de Dados para o IMT-2000 do ITU
Mega Cell Macro Cell Micro Cell Global: inclui sistemas por satlite Regional Local Pico Cell Indoor Corporao / Lar 2.048 Mb/s 384 Kb/s 144 Kb/s 9.6 Kb/s
Figura 1 - Requisitos Mnimos de Taxas de Dados para o IMT-2000 do ITU A interface area do UMTS apresenta diferentes requisitos de taxas de dados e alcances, bem como diferentes tipos de clulas de rdio. Estes requisitos foram analisados exaustivamente pela comunidade internacional durante vrios anos em um projeto do ITU (International Telecommunication Union) - Unio Internacional de Telecomunicao denominado IMT-2000. Vrias propostas de interfaces areas foram consideradas (Figura 2). Algumas foram aceitas e adotadas para diferentes propsitos e diferentes regies do
mundo. A maioria delas usa variaes da codificao CDMA (Code Division Multiplexing Access Acesso por Multiplexao por Diviso de Cdigo).
Propostas IMT-2000 para a Rede Terrestre do UMTS
IMT-2000 IMT-
Europa ETSI/UTRA W-CDMA EP: DECT DECT
sia JAPAN (ARIB) W-CDMA KOREA (TTA) CDMA I (W-CDMA) CDMA II (CDMA2000) CHINA TD--SCDMA
Amrica do Norte ATIS T1P1 W-CDMA TIA TR46.1 WIMS TIA TR45.5 CDMA2000 TIA TR45.3 UWC-136
Figura 2. - Propostas IMT-2000 para a Rede Terrestre do UMTS (Nota: ver Abreviaturas e Acrnimos no final da dissertao) Este programa de melhorias que o UMTS visa obter faz parte do que chamado de 3a Gerao de aplicaes mveis. A diferena bsica entre as diferentes geraes de sistemas mveis est principalmente relacionada com a mxima vazo de dados que possvel obter na interface area para cada uma delas. A 1a Gerao (1G) se refere aos primeiros sistemas celulares desenvolvidos (exemplo: AMPS nos Estados Unidos). A 2a Gerao (2G) se refere grande maioria dos sistemas atuais (GSM, TDMA, cdmaOne, etc). A 3a Gerao (3G) se refere aos sistemas que permitem acesso s aplicaes via rdio com pelo menos 2 MB na interface area (medidos quando o usurio no est em movimento) ou 144 Kbps quando em movimento rpido (100 Km/h) ou 384 Kbps quando em movimento lento, por exemplo, caminhando. A Figura 3 apresenta os diferetes tipos de padres usados nas diferentes geraes de sistemas mveis, bem como as possibilidades ou tendncias naturais de evoluo de uma gerao a outra, usando os diferentes padres.
Austerli-UMTS Security-v9 - 2/7/2006 22:30
Evoluo dos Padres Globais de Comunicaes Sem Fio

2G CDMA IS-95-A Voz 14.4 kbps CSD & PD IS-95-B Voz 64 kbps Pacotes Compatibilidade reversa de RF 2.5G CDMA2000 1X
3G-CDMA Conforme IMT-2000 CDMA2000 CDMA2000 1xEV-DV 1xEV-DO 2.4 Mbps Pacotes Alta capacidade de Alta Capacidade Compatibilidade voz e dados de voz reversa de RF Compatibilidade 153 kbps Pacotes reversa de RF Compatibidade reversa de RF. EDGE (US) EDGE (Europa) 384 kbps Pacotes GSM GPRS 114 kbps Pacotes Compatibilidade reversa de RF W-CDMA (Europa) W-CDMA (Japo) Alta Capacidade Voz 384+ kbps Pacotes Nova RF
TDMA IS-136 Voz 9.6 kbps CSD GSM Voz 9.6 kbps CSD PDC Voz 9.6 kbps PDC Voz 28.8 kbps Compatibilidade reversa de RF 1999 2000 2001
1995
2002
2003+
Figura 3 - Evoluo dos Padres Globais de Comunicaes Sem Fio (Nota: ver Abreviaturas e Acrnimos no final da dissertao) Os estudos e as normas associadas ao UMTS so coordenados pelo 3GPP (3rd Generation Partnership Program) Programa de Parcerias para a 3a Gerao. Aps uma verso inicial aprovada em 1999 chamada Release 99 vrias verses foram sendo sucessivamente discutidas e aprovadas e foram sucessivamente denomindas de Release 4, 5 e 6 (esta ltima aprovada no final de 2005). Atualmente (junho/2006) o Release 7 vm sendo estudado. As normas associadas a todas as verses podem ser encontradas em [3GPP].
2 2.1
Conceitos As Arquiteturas do UMTS
Uma grande quantidade de definies pode ser vista em [VOCAB]. Aqui somente so apresentados os conceitos relevantes ao objetivo desta dissertao. Para a grande maioria das aplicaes, a interface de rdio do UMTS usa codificao CDMA de banda larga, denominda WCDMA (Wideband CDMA CDMA de Banda Larga). Outras formas de codificaes possveis so mostradas na Figura 2. Embora a interface de acesso de rdio do UMTS no use os princpios TDM (Time Division Multiplexing Multiplexao por Diviso do Tempo) usados no GSM e no GPRS, o ncleo da rede UMTS, desde a sua arquitetura inicial (aprovada no Release 99 do UMTS) baseada na arquitetura j existente do GSM e do GPRS. Uma viso simplificada das partes componentes de uma rede UMTS, conforme inicialmente vista no Release 99 pode ser vista na Figura 4.
UMTS Rel 99
Uu Iu-CS
Node B USIM Node B Cu Iub Node B ME Node B UE
RNS RNC
Domnio de Comutao por Circuitos 3G-MSC GMSC PLMN PSTN
Iur
HLR
RNC
SGSN
GGSN
Internet
UTRAN
Domnio de Comutao por Pacotes CN Redes Externas Iu-PS
CSCF - Call Session Control Function GPRS - General Packet Radio Service GGSN - Gateway GPRS Support Node HSS Home Subscriber Server ME - Mobile Equipment MGW Media Gateway
MGW-C Media Gateway Controller MGCF Media Gateway Controller Function PLMN - Public Land Mobile Network RAN - Radio Access Network RNC - Radio Network Controller RNS - Radio Network Subsystem SGSN - Serving GPRS Support Node
SIM Subscriber Identity Module UE - User Equipment USIM - UMTS SIM UMTS = Universal Mobile Telecommunication System UTRAN - UMTS Terrestrial RAN
Figura 4 Viso Geral da Arquitetura UMTS do Release 99 (Nota: ver Abreviaturas e Acrnimos no final da dissertao) A rede UMTS do Release 99 possui as seguintes partes bsicas: 1) o equipamento do usurio (UE),
2) a rede de acesso atravs de rdio (UTRAN UMTS Terrestiral Radio Access Network Rede de Acesso de Rdio Terrestre para UMTS) e 3) os ncleos de comutao por circuitos e por pacotes. A figura reala as partes componentes da UTRAN e os principais elementos dos ncleos de comutao por circuito e por pacotes. ME (Mobile Equipment ) Equipamento Mvil: o equipamento do usurio. tambm referenciado como UE. UE (User Equipment) Equipamento do Usurio: o dispositivo que permite que o usurio acesse a rede de servios, atravs da rede de rdio. separado em duas partes (domnios): USIM e ME que podem ser implementados em um ou mais dispositivos de hardware. UICC: um dispositivo fsico seguro, um carto IC (ou smart card) que pode se inserido ou removido do equipamento terminal. Pode conter uma ou mais aplicaes. Uma delas pode ser um USIM. USIM (Universal Subscriber Identity Module) - Mdulo Universal de Identidade do Assinante: s vezes chamado de UMTS SIM (SIM para UMTS): uma aplicao que reside no UICC e que usada para acessar servios providos pelas redes mveis. Permite o registro seguro do usurio na rede e o uso seguro das aplicaes da rede. N B (Node B) o nome da estao de rdio do UMTS. RNC (Radio Network Controller) Controlador da Rede de Rdio: o equipamento que controla o uso e a integridade dos recursos de rdio. responsvel pelo controle de vrios Ns B. RNS (Radio Network Subsystem)- Subsistema de Rede de Rdio: a parte responsvel pela alocao e liberao dos recursos de transmisso e recepo de rdio num conjunto de clulas UMTS. parte da UTRAN e composta de Ns B e RNC. A UTRAN (UMTS Radio Access Network) Rede de Acesso Rdio do UMTS a parte composta por um ou mais RNS. No ncleo (domnio) de comutao por circuitos esto a 3G-MSC (3rd Generation Mobile Switching Center) - Central de Comutao Mvil de 3a Gerao, a GMSC (Gateway MSC - Gateway Mobile Switching Center) - Central Gateway de Comutao Mvil e o HLR (Home Location Register) Registrador de Localizao da Rede de Origem. A 3G-MSC trata as chamadas comutadas por voz. O HLR uma base de dados com o perfil e a localizao atualizada do assinante mvil. A GMSC trata as interaes de comutao de voz por circuitos entre o resto do mundo (outras redes) e a rede UMTS. Embora no mostrado na figura, por simplificao ou mesmo porque muitas vezes est implementado dentro do hardware da MSC, h tambm o VLR (Visitor Location Register Registrador de Localizao de Visitantes) que mantm informaes e localizao do assinante que est sendo atendido pela MSC e que tambm mantm registro de todos os mveis visitantes.
Outro elemento (tambm no mostrado na figura) o EIR (Equipment Identity Register Registrador de Identidade de Equipamento). responsvel pelo armazenamento da identidade do equipamento mvil (IMEI detalhes a seguir). Guarda o estado de cada equipamento em 3 tipos de listas: branca, cinza ou negra. Todos os nmeros de sries que so permitidos usar na rede UMTS so guardados na lista branca. Os equipamentos que devem ser barrados so mantidos na lista negra e aqueles que a operadora quiser rastrear e avaliar a adequao de uso so mantidos na lista cinza [TS22016]. O ncleo (domnio) de comutao por pacotes usa os mesmos elementos do ncleo GPRS que j era usado nas redes de 2a gerao, ou seja, composto de um servidor (SGSN) e de um gateway (GGSN) mas os elementos dos ncleos GSM / GPRS foram adaptados para atender funcionalmente s necessidades das redes UMTS. Para isto alguns protocolos que no existem nas redes GSM / GPRS foram adicionados ao UMTS. Como a parte de rdio do UMTS diferente daquela do GSM / GPRS foi tambm necessrio definir interfaces adicionais entre os ncleos de dados e pacotes e a UTRAN. Cada uma das partes da rede UMTS se interliga atravs de interfaces bem definidas, identificadas (de forma parcial e simplificada) na Figura 4. A cada uma destas interfaces esto assciadas camadas de protocolos e procedimentos adequados. As interfaces associadas com a UTRAN so mostradas na Figura 4 e identificadas conforme abaixo: Uu: interface (area) entre o UE e a UTRAN Iub: interface (lgica) entre Ns B Iur: interface (fsica e lgica) entre RNCs Iu-cs: interface (fsica e lgica) entre o RNC e a rede de comutao de circuitos Iu-ps: interface (fsica e lgica) entre o RNC e a rede de comutao de pacotes As demais interfaces, associadas aos ncleos de comutao por circuitos e por comutao de dados, sero mostradas posteriormente. O Release 4 do UMTS (Figura 5), entre outras coisas, separou o tratamento lgico das chamadas (por exemplo, a sinalizao e a lgica do estabelecimento de uma chamada de voz) do tratamento do meio fsico (bearer) - que conduz os dados da chamada (isto , o meio fsico em que trafega a informao de voz da conversao entre os usurios finais). At ento isto era feito de forma conjunta, sem separao, pela 3G-MSC. Para permitir tal separao, dois elementos novos foram introduzidos no ncleo de comutao por circuitos: o MGW (Media Gateway) - para tratar o meio (bearer) e o MGW-C (Media Gateway Controller) Controlador de MGW. O MGW tambm cuida de todas as adaptaes advindas do interfuncionamento entre meios fsicos diferentes e o MGW-C cuida do controle lgico do tratamento da chamanda e comanda o MGW para prover os recursos de interligao efetiva entre os diferentes tipos de meios fsicos usados. At o Release 4 do UMTS, todo o transporte e os ncleos do UMTS so feitos por redes ATM (Asynchronous Transfer Mode) Modo de Transferncia Assncrono e que redes IP s so usadas a partir do Release 5. Um exemplo de adaptao de meio feito pelo MGW entre os feixes PCM (Pulse Code Modulation Modulao por Cdigo de Pulsos) da rede PSTN (Public Switched Telephone Network Rede Telefnica Pblica de Comutao, RTPC) e os canais internos (bearers) da rede UMTS (ATM ou IP ) .
7
Release 4 do UMTS
Uu Iu-CS
RNS RNC
Comutao por Circuitos MGW GMSC PLMN PSTN
Iur
MGW-C
HLR
RNC
SGSN
GGSN
Internet
UTRAN
Comutao por Pacotes CN Redes Externas Iu-PS
SIM Subscriber Identity Module UE - User Equipment USIM - UMTS SIM UMTS = Universal Mobile Telecommunication System UTRAN - UMTS Terrestrial RAN
Figura 5 Arquitetura do Release 4 do UMTS No Reelase 5 do UMTS (Figura 6) as principais modificaes introduzidas nas redes UMTS foram: a criao do conceito de sesso multimdia, a introduo do subsistema de tratamento destas sesses IMS (IP Multimedia Subsystem) Subsistema Multimdia IP e o uso das redes IP (Internet Protocol) Protocolo da Internet. As funes do HLR foram expandidas (passou a ser chamado de HSS Home Subscriber Server, Servidor de Origem de Assinante) e passou a tratar no somente voz mas tambm dados e multimdia, atravs de uma base de dados nica para todos estes tipos de sesses: voz, dados e multimdia. O HSS possui os perfis dos assinantes e age como o Centro de Autenticao para fins de segurana da rede UMTS. O Release 99 e o Release 4 do UMTS incluem um elemento que foi incorporado ao HSS do Release 5: o AuC (Authentication Centre Centro de Autenticao). A funo bsica do AuC armazenar a chave de identidade para cada assinante. Esta chave usada para gerar segurana dos dados de cada assinante: autenticao mtua do nmero do assinante (IMSI detalhado a seguir); verificar a integridade da comunicao no enlace de rdio; cifrar a comunicao no enlace de rdio.
Embora incorporado ao HSS no Release 5, nos Releases 99 e 4 o AuC se comunica com o HLR atravs da interface H - que no objeto de padronizao. O HLR solicita ao AuC os dados necessrios para a autenticao e a cifragem, atravs desta interface e os envia ao VLR e ao SGSN que usaro estes dados para proverem as funes de segurana para a estao mvil.
Release 4 do UMTS
Uu Iu-CS Iu
RNS RNC
Comutao por Circuitos MGW GMSC PLMN PSTN
Iur
HSS
RNC
SGSN
GGSN
Internet
UTRAN
Comutao por Pacotes CN Redes Externas Iu-PS CSCF/ MGCF SIM Subscriber Identity Module UE - User Equipment USIM - UMTS SIM UMTS = Universal Mobile Telecommunication System UTRAN - UMTS Terrestrial RAN
Figura 6 Arquitetura do Release 5 do UMTS O Release 6 do UMTS introduziu modificaes principalemente na interface area do enlace reverso (UE para N B) de forma a permitir maiores taxas de dados, menores atrasos de propagao do sinal e menor jitter (variao do atraso), de forma a poder garantir QoS (Quality of Service Qualidade de Servio) sobretudo para VoIP (Voice Over IP Voz Sobre IP). Assim, possvel atingir at 5,76 Mbps no enlace reverso e at 14, 4 Mbps no enlace direto (n B para UE). Os elementos de rede so basicamente os mesmos do Release 5. O Release 7 do UMTS ainda est em estudos, analisando, entre outras coisas, alternativas de comunicaes multicast e broadcast na interface area e melhorias na segurana das redes UMTS. Outros elementos das arquiteturas UMTS no sero tratados aqui mas podem ser vistos em [TS23002]. Exemplos: IWF (Interworking Function Funo de Interoperabilidade): usado para interaes entre a rede UMTS e outras redes (RDSI, RTPC, CDMA, etc); entidades de tratamento de localizao do usurio;
2.2
entidades da rede inteligente, etc. A Arquitetura IMS
Para tratar as sesses multimdia foram introduzidos algumas funes adicionais no ncleo IMS (Figura 7). Note que o IMS se sobrepe aos elementos dos Release 5 e/ou seguintes, sem os substituir. Uma das funes introduzidas no IMS a CSCF (Call Session Control Function ) Funo de Controle da Sesso de Chamada. Ela responsvel pelo tratamento da sinalizao e da lgica necessrias para estabelecer os diferentes tipos de sesses: voz, dados e multimdia.
IMS - Modelo de Referncia do 3GPP (Rel 5)

Redes IP Multimdia PSTN
Mb Mb Mb PSTN Mj IMS MGCF IM-LNG -MGW Mc Mb MRFP Mp Mb Mb Mb Go MRFC BGCF Mk BGCF CSCF Mk Mw Cx CSCF Mg Mr PDF PCF Gm Mw P-CSCF UE Dx SLF
COPS Diameter H.248 / Megaco ISUP SIP Controle e sinalizao Transporte e meio (bearer)
Mm
Bases de Dados Equipamento de Usurio
HSS
Protocolos de Sinalizao:
Subsistema IP Multimdia
Figura 7 - Arquitetura IMS (Nota: ver Abreviaturas e Acrnimos no final da dissertao). As funcionalidades desempenhadas pela CSCF esto subdivididas em 3 tipos de CSCF: 1) P-CSCF (proxy-CSCF CSCF proxy): o ponto de contacto inicial para todos dispositivos IMS; 2) I-CSCF (Interrogating-CSCF CSCF interrogador): o ponto de contacto inicial para os dispositivos IMS de outras redes; 3) S-CSCF (Serving-CSCF CSCF servidor): responsvel pelo controle da sesso. Alm da CSCF e do HSS o IMS introduz a funo BGCF (Breakout Gateway Control Function Funo de Controle de Obteno de Gateway) para selecionar a rede PSTN
10
com a qual a rede UMTS pode ter necessidade de interagir, por exemplo, quando um usurio de uma rede UMTS precisa interagir com um usurio de uma rede PSTN.
PSTN PSTN PSTN Go Gi Gp
CSMGW
Mc
GMSC server
C
Nc
GGSN
Gc Gn Gr
PSTN Nb
HSS (HLR,AuC)
D
EIR
F Gf Gs
VLR
B
G E Nc
VLR
B
MSC server
Mc
MSC server
Mc
SGSN CN
CS-MGW
Nb
CS-MGW
A IuCS Gb IuPS IuCS IuPS
BSS BSC
Abis
RNS RNC
Iub
Iur
RNC Node B
BTS Um
BTS
Node B
cell
Uu ME
SIM-ME i/f or Cu
SIM
USIM
MS
Figura 8 - Release 5 do UMTS - Configurao Bsica de uma rede PLMN Referncia: 3GPP TS 23.002 - Figura 1.
11
Foram feitas mudanas nas interfaces e nos protocolos necessrios para as interaes destas novas entidades funcionais do IMS entre si, bem como entre elas e as demais entidades UMTS. Por exemplo: o protocolo RADIUS (Remote Authentication Dial In User Service Servio de Autenticao Remota de Usurio com Discagem) foi expandido, gerando o protocolo DIAMETER, de forma a permitir tratar os diferentes tipos de sesses. A CSCF interage com as demais entidades do UMTS, conforme mostrado na Figura 7, usando protocolos que esto associados aos tipos de interfaces que podem ser vistos nesta mesma figura. Por exemplo, para interao com a funo de controle do MGW (MGC-F) a interface Mg usada. As demais interfaces podem ser vistas nas Figuras 7 e 8. A PDF (Policy Decision Function Funo de Deciso de Polticas) trata as solicitaes de QoS. A SLF (Subscriber Location Function Funo de Localizao de Assinante) usada para localizar um certo assinante quando mais de um HSS usado na mesma rede UMTS. Quando h somente um HSS na rede a SLF no usada. A MRFC (Multi-Media Resource Function Control Controle da Funo de Recurso Multimdia) gerencia os servidores destes recursos. MRFP a parte processadora da MRFC, isto , prov os recursos controlados pelo MRFC. Exemplo: para conferncia entre vrias partes, faz a combinao dos feixes de dados de provenientes de cada uma das partes. O ISIM (IM Services Identity Module Mdulo de Identidade de Servios IM) pode ser uma aplicao no UICC com todas as funes e dados de segurana IMS. O protocolo de sinalizao SIP (Session Initiation Protocol Protocolo de Iniciao de Sesso) usado para as interaes entre vrias entidades do ncleo do IMS (CSCF, BGCF e MGCF). As interfaces de uma rede UMTS com IMS (Release 5 em diante) podem ser vistas na Figura 8. 2.3 Identificao do Usurio UMTS
H uma identidade permanente para o assinante e outra para seu equipmanento: IMSI (International Mobile Subscriber Identity) - Identidade Internacional do Assinante Mvil e IMEI (International Mobile Station Equipment Identity) Identidade Internacional de Equipamento de Estao Mvil. O IMEI um nmero nico que alocado para cada equipamento de estao mvil individual numa rede pblica terrestre de comunicao mvil e que somente atribudo pelo fabricante do mvil. O IMSI o nmero internacional que identifica o usurio UMTS em qualquer rede mundial e composto de vrias partes, conforme Figura 9.
12
Identidades Temporrias do Assinante: So alocadas para manter confidencial a identidade do assinante na rede UMTS que ele estiver usando. Cada uma delas comunicada ao UE em forma cifrada. A partir da atribuio de uma identidade temporria a um UE ele identificado por ela para todos seus servios. So usadas duas indentidades temporrias uma para os servios da rede de comutao de pacotes e outra para os servios da rede de comutao de circuitos. Cada uma delas tem significado somente na rede de comutao associada: LA (Location Area - rea de Localizao) ou RA (Routing Area rea de Roteamento) que esto definidas no item 2.4. TMSI (Temporary Mobile Subscriber Identity Identidade Temporria de Assinante Mvil): usada na rede de comutao de circuitos; alocada pelo VLR; possui 4 bytes; a partir da atribuio de uma TMSI a um UE ele identificado pela TMSI para todos seus servios comutados por circuitos; P-TMSI (Packet TMSI TMSI para Pacotes): usada na rede de comutao de pacotes; possui 3 bytes e alocada pelo SGSN e comunicada de forma cifrada para o UE.
IMSI (International Mobile Subscriber Identity) Identidade Internacional do Assinante Mvil
IMSI: at 15 dgitos
3 Dgitos
2 or 3 Dgitos
MCC
MNC
MSIM
NMSI
IMSI = International Mobile Subscriber Identity Identidade Internacional do Assinante Mvil MCC = Mobile Country Code Cdigo do Pas do Assinante MNC = Mobile Network Code (PLMN id) Cdigo da Rede Mvil MSIN = Mobile Subscriber Identification Number Nmeo de Identificao do Assinante Mvil NMSI = National Subscriber Identity Identidade Nacional do Assinante PLMN = Public Land Mobile Network Rede Pblica Terrestre Mvil
Figura 9 - IMSI - Identidade Internacional do Assinante Mvil RNTI (Radio Network Temporary Identity Identidade Temporria da Rede de Rdio:
13
Alm das duas identidades citadas acima a RNTI usada como identidade temporria entre o UE e a UTRAN e s tem significado na UTRAN. Assim como a TMSI, a RNTI usada para ocultar a identidade do assinante. A relao entre a RNTI e a TMSI somente conhecida pelo UE e pela UTRAN. 2.4 Identificao da Localizao do Usurio
Quando um assinante se move de um local para outro, vrios mecanismos automticos rastreiam sua posio, de forma a saber onde ele est. Isto usado, por exemplo, para que o usurio possa receber chamadas. Sua localizao rastreada tanto sob o ponto de vista de qual N B e qual RNC que o serve quanto sob o ponto de vista de qual SGSN e qual MSC que o serve. Bases de dados centralizadas (no HLR / HSS e no SGSN), localizadas no ncleo da rede UMTS mantm sempre a ltima posio onde o assinante foi encontrado. Paging quando um usurio recebe uma chamada preciso localizar onde ele est. Para isto so enviadas mensagens de busca para tentar localiz-lo em todos Ns B da rea onde o assinante foi encontrado pela ltima vez que contactou a rede UMTS. Estas mensagens de busca so denominadas paging. Roaming. quando um usurio sai de sua rede de origem (home network) para ser atendido por outra rede que est visitando (serving / visited network). Handover a transferncia de uma conexo de um usurio desde um canal de rdio a outro (em um mesmo N B ou em outro diferente). Usa-se o termo Hard Handoff para quando um usurio muda de uma portadora de um N B a outra, sem que mais de uma portadora atenda ao mesmo usurio simultaneamente e Soft Handoffquando um usurio muda de uma portadora a outra sem interrupo do atendimento, de forma que, durante um certo tempo curto, de passagem de uma portadora a outra, h mais de uma portadora atendendo ao mesmo usurio. O Handoff pode ocorrer entre duas portadoras (Soft Handoff) ou trs portadoras (Softer Handoff) de um mesmo N B ou entre portadoras de diferentes Ns B. LA (Location Area) - rea de Localizao Localiza o assinante na rede de comutao de circuitos. a subdiviso da rea total da rede para otimizar a busca feita pelo paging. Pode conter uma ou mais clulas (Ns B). Em uma LA os Ns B associados aos RNCs devem estar na mesma MSC. No h atualizao dos dados de localizao enquanto um assinante est em uma mesma LA. RA (Routing Area) rea de Roteamento Localiza o assinante na rede de comutao de pacotes. Pode estar relacionada com uma ou mais clulas (Ns B). Est associada a um nico SGSN.
14
No h atualizao da localizao para um mvel que continue dentro de uma mesma RA. Est sempre contida dentro de uma certa LA.
reas de Registro de Um Equipamento de Usurio em UMTS
SGSN 1
SGSN 2
SGSN 3
RA2 RA1 URA URA URA URA LA1 URA
RA3 URA URA URA URA LA2 URA URA RA4 URA RA5 URA URA
RA6 URA URA URA URA URA URA RA7 URA
LA3 MSC 1
Limites de LA, RA e SGSN Necessrio atualizar LA e RA Limites de LA, RA e MS Necessrio atualizar LA e RA
MSC 2
Limites de RA e SGSN Somente necessrio atualizar RA
Nota: atualizaes de RA so sempre necessrias quando o UE cruza o limite da RA.
Figura 10 reas de Registro de um UE reas de Registro do Equipamento do Usurio (UE) O UMTS rastreia a localizao de um UE atravs de vrios tipos de reas de registros: 1) em uma clula (N B de uma UTRAN): atravs da rea da Clula; 2) em uma UTRAN, atravs da URA (UTRAN Registration Area - rea de Registro da UTRAN); 3) para a rede de comutao de circuitos (CS Circuit Switching) atravs da LA ( Location Area - rea de Localizao); 4) para a rede de comutao de pacotes (PS Packet Switching) atravs da RA (Routing Area - rea de Roteamento). Uma certa central de comutao mvel (MSC Mobile Switching Center) pode conter mltiplas LAs. UM SGSN pode controlar mltiplas RAs. Uma RA pode estar contida em uma LA.
15
2.5
Identificao do Usurio IMS
Um usurio IMS possui uma identidade pblica e uma privada. Elas esto apresentadas a seguir. 2.5.1 Identidade Privada de Usurio
Todo usurio do ncleo IMS precisa ter uma ou mais Identidade Privada de Usurio. Ela uma identidade global nica definida pela operadora da rede de origem. Pode ser usada dentro da rede de origem para identificar a assinatura do assinante (por exemplo, capacidades de servio IM). Ela identifica a assinatura e no o usurio. No usada para fins de roteamento de mensagens SIP mas para solicitaes de registro entre o UE e a rede de origem. Um ISIM armazena de forma segura esta identidade e no a pode modificar. Ela tambm fica armazenada no HSS e pode ser usada nos registros de bilhetagem, conforme opo da operadora. A S-CSCF a obtm e a armazena aps o registro do usurio. Ela atribuda pela operadora da rede de origem e usada, por exemplo, para registro, autorizao, administrao e bilhetagem. Esta identidade segue a forma NAI (Network Access Identifier Identificador de Acesso Rede) definida em [RFC2486]. Exemplos de NAI vlidos encontrados em [RFC2486): 2.5.2 fred@3com.com, fred@foo-9.com, fred@bigco.com, fred_smith@big-co.com, etc. Identidade Pblica de Usurio
Todo usurio IMS tem uma ou mais identidade pblica. Ela usada quando o usurio solicita comunicao com outro usurio. Pode estar includa, por exemplo, em um carto de identidade comercial. Uma aplicao ISIM deve armazenar pelo menos uma identidade pblica mas no a pode modificar e no necessrio que todas identidades pblicas adicionais de um certo usurio sejam armazenadas na aplicao ISIM.
16
As identidades pblicas do usurio no so autenticads pela rede quando feito o registro do usurio. Tanto o sistema de numerao telefnico quanto o da Internet pode ser usado como endereo de usurio, conforme a identidade pblica que o usurio tenha. A identidade pblica da forma SIP URI (Uniform Resource Identifier Identificador Uniforme de Recurso) [RFC3261] e [RFC2396]. Exemplos de URI [RFC2396]: ftp://ftp.is.co.za/rfc/rfc1808.txt gopher://spinaltap.micro.umn.edu/00/Weather/California/Los%20Angeles http://www.math.uio.no/faq/compression-faq/part1.html mailto:mduerst@ifi.unizh.ch news:comp.infosystems.www.servers.unix telnet://melvyl.ucop.edu/
O roteamento da sinalizao SIP no IMS feito usando URIs SIP ou outra URI absoluta [RFC2396]. O formato telefnico de um nmero discado [E164] no usado para roteamento dentro do IMS e quando h uma solicitao de sesso com identidade baseada neste formato preciso fazer converso deste formato para o formato URI SIP para uso interno no IMS. Os ns IMS que usam SIP so identificados por uma URI SIP (CSCF, BGCF e MGCF) nas interfaces que usam o protocolo SIP, ex.: Gm (UE/P-CSCF), Mw CSCF/CSCF mesma rede IMS), Mm (CSCF/ outra rede IP) e Mg (MGCF/CSCF).
Estas URIs SIP identificam estes ns nas mensagens SIP mas isto no quer dizer que tais URIs sejam publicadas de forma global via DNS.
17
Especificaes 3GPP
Os aspectos de segurana das redes UMTS podem ser encontrados na srie 33 de especificaes do 3GPP [SRIE33] e os algoritmos de segurana na srie 35 [SRIE35]. As especificaes identificadas com (*) foram descontinuadas mas esto marcadas somente para evemtuais referncias.
TS 33.102 TS 33.103 TS 33.105 TS 33.106 TS 33.107 TS 33.108 3G security; Security architecture 3G security; Integration guidelines Cryptographic algorithm requirements Lawful interception requirements 3G security; Lawful interception architecture and functions 3G security; Handover interface for Lawful Interception (LI) Bootstrapping of application security using AKA and support for subscriber certificates; System TS 33.109 (*) description TS 33.110 Key establishment between a UICC and a terminal TS 33.120 Security Objectives and Principles TS 33.141 Presence service; Security 3G Security; Network Domain Security (NDS); Mobile Application Part (MAP) application TS 33.200 layer security TS 33.201 Access domain security TS 33.203 3G security; Access security for IP-based services 3G Security; Network Domain Security (NDS); Transaction Capabilities Application Part TS 33.204 (TCAP) user security TR 33.20U Security principles for the UMTS (*) TS 33.210 3G security; Network Domain Security (NDS); IP network layer security TS 33.21U Security requirements (*) TS 33.220 Generic Authentication Architecture (GAA); Generic bootstrapping architecture TS 33.221 Generic Authentication Architecture (GAA); Support for subscriber certificates Generic Authentication Architecture (GAA); Access to network application functions using TS 33.222 Hypertext Transfer Protocol over Transport Layer Security (HTTPS) TS 33.234 3G security; Wireless Local Area Network (WLAN) interworking security TS 33.246 3G Security; Security of Multimedia Broadcast/Multicast Service (MBMS) TS 33.310 Network domain security; Authentication framework (NDS/AF) TR 33.800 Principles for Network Domain Security (*) TR 33.801 Access security review TR 33.802 Feasibility study on IMS security extensions 3G Security; Network Domain Security / Authentication Framework (NDS/AF); Feasibility TR 33.810 Study to support NDS/IP evolution Feasibility study on (Universal) Subscriber Interface Module (U)SIM security reuse by TR 33.817 peripheral devices on local interfaces TR 33.878 Security aspects of early IMS (*) TR 33.900 Guide to 3G security TR 33.901 Criteria for cryptographic Algorithm design process TR 33.902 Formal Analysis of the 3G Authentication Protocol TR 33.903 Access Security for IP based services TR 33.904 Report on the Evaluation of 3GPP Standard Confidentiality and Integrity Algorithms (*) TR 33.905 Trust recommendations for open platforms 3G Security; General report on the design, specification and evaluation of 3GPP standard TR 33.908 confidentiality and integrity algorithms
TR 33.909 TR 33.910 TR 33.917 TR 33.918 TR 33.919 TR 33.920 TR 33.923 TR 33.941 TR 33.978 TS 33.980
18 3G Security; Report on the design and evaluation of the MILENAGE algorithm set; Deliverable 5: An example algorithm for the 3GPP authentication and key generation functions 3G Security; Network Domain Security / Authentication Framework (NDS/AF); Feasibility (*) Study to support NDS/IP evolution (Universal) Subscriber Interface Module (U)SIM security reuse by peripheral devices on local (*) interfaces Generic Authentication Architecture (GAA); Early implementation of Hypertext Transfer Protocol over Transport Layer Security (HTTPS) connection between a Universal Integrated Circuit Card (UICC) and a Network Application Function (NAF) 3G Security; Generic Authentication Architecture (GAA); System description SIM card based Generic Bootstrapping Architecture (GBA); Early Implementation Feature Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push function Presence service; Security Security aspects of early IP Multimedia Subsystem (IMS) Liberty Alliance and 3GPP security interworking; Interworking of Liberty Alliance Identity Federation Framework (ID-FF), Identity Web Services Framework (ID-WSF) and Generic Authentication Architecture (GAA)
(*) somente para referncia; especificao descontinuada.

TS 35.10U TS 35.201 TS 35.202 TS 35.203 TS 35.204 TS 35.205 UMTS Terminal aspects;Man Machine Interface (MMI) (*) Specification of the 3GPP confidentiality and integrity algorithms; Document 1: f8 and f9 specification Specification of the 3GPP confidentiality and integrity algorithms; Document 2: Kasumi specification Specification of the 3GPP confidentiality and integrity algorithms; Document 3: Implementors' test data Specification of the 3GPP confidentiality and integrity algorithms; Document 4: Design conformance test data 3G Security; Specification of the MILENAGE Algorithm Set: An example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 1: General 3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 2: Algorithm specification 3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 3: Implementors test data 3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 4: Design conformance test data 3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 5: (*) Summary and results of design and evaluation Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 1: UEA2 and UIA2 specifications Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 2: SNOW 3G specification Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 3: Implementors test data Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 4: Design conformance test data 3G Security; Specification of the MILENAGE algorithm set: an example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 5: Summary and results of design and evaluation
TS 35.206
TS 35.207
TS 35.208
TS 35.209 TS 35.215 TS 35.216 TS 35.217 TS 35.218 TR 35.909
TR 35.919
19 Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 5: Design and evaluation report
(*) somente para referncia; especificao descontinuada.
20
Tipos de Ataques
H cinco tipos de ataques aos quais um usurio pode estar sujeito em uma rede mvil [TEK]: 1. roubo de voz e dados (eavesdropping); 2. identificao no autorizada; 3. uso no autorizado dos servios; 4. ofender a integridade dos dados (falsificao dos dados); 5. observao ilegal: a. deteo da localizao corrente; b. observao da relao de comunicao (quem est falando com quem); c. gerao de perfis de comportamento.
21
Viso Geral dos Recursos de Segurana em UMTS
H cinco grupos de recursos para prover segurana nas redes UMTS. Cada um deles tem por objetivo resolver diferentes tipos de problemas. 1) Segurana de acesso Rede Prov recursos para acesso seguro dos usurios rede UMTS e os protege contra ataques na interface area (letra A na Figura 11). 2) Segurana no Domnio da Rede Prov recursos contra ataques nos ncleos das redes UMTS e permite que os ns das redes troquem sinalizao de dados entre si de forma segura e protegem contra ataques na parte cabeada da rede UMTS (letra B na Figura 11). 3) Segurana no Domnio do Usurio Prov acesso seguro s estaes mveis (letra C na Figura 11). 4) Segurana no Domnio da Aplicao Prov troca segura de mensagens entre as aplicaes no usurio e no domnio do provedor (letra D na Figura 11). 5) Visibilidade e capacidade de configurao da segurana Permite ao usurio saber se um certo recurso de segurana est ou no ativado em um certo instante e se o uso e aprovisionamento de servios dependem do recurso de segurana.
Aplicao
(D)
Usurio
Provedor
(C)
(A)
(A)
USIM
(A) (A) (A)
HE SN Re
(B)
Rede Origem / Servidora
ME
AN Transporte
Figura 11 - Arquitetura de Segurana do UMTS (baseada na Figura 1 de [TS33102]). Nota: ver Abreviaturas e Acrnimos no final da dissertao.
22
5.1 5.1.1
Segurana de acesso Rede Confidencialidade da Identidade do Usurio
Conforme [TS33102] os seguintes recursos devem ser providos: 1) Confidencialidade da identidade do usurio: a identidade permanente do usurio (IMSI) no deve poder ser obtida (eavesdropped) na interface area. 2) Confidencialidade da localizao do usurio: a presena ou a chegada de um certo usurio em uma certa rea no deve poder ser determinada por escuta (eavesdropping) na interface area. 3) Incapacidade de rastreio de usurio: um intruso no deve poder deduzir que diferentes servios so providos a um certo usurio, escutando o enlace de rdio. Para obter estes recursos o usurio em geral identificado por uma identidade temporria, atravs da qual ele conhecido pela rede servidora visitada. Este mecanismo deve ser usado nas solicitaes de atualizao de localizao, solicitaes de servios, solicitaes de desligamento (dettach), solicitaes de re-estabelecimento de conexo, etc. A identidade temporria no usada por um perodo de tempo longo para evitar que o usurio possa ser rastreado. Todos os dados do usurio bem como a sinalizao associada a ele (que possa revelar a identidade do usurio) so cifrados na rede de acesso por rdio. 5.1.2 Autenticao de uma entidade
Tanto o usurio quanto a rede devem ser autenticados. Atravs da autenticao do usurio a rede servidora valida a identidade do usurio. Atravs da autenticao da rede, o usurio se assegura que a rede qual est se conectando como rede servidora uma rede autorizada pelo seu HE que prov servios para tal usurio. A autenticao da entidade ocorre a cada conexo entre a rede e o usurio. So usados dois mecanismos: 1) um mecanismo de autenticao que usa um vetor de autenticao que fornecido pelo HE do usurio rede servidora e 2) um mecanismo de autenticao local que usa uma chave de integridade estabelecida entre o usurio e a rede servidora durante a execuo anterior da autenticao e o procedimento de estabelecimento de chave associado.
23
5.1.3
Confidencialidade
Inclue os seguintes aspectos: 1) acordo de algoritmo de cifragem: a MS e a SN negociam o algoritmo que dever ser usado; 2) acordo de chave de cifragem: a MS e a SN acordam entre si o algoritmo que dever ser usado; 3) confidencialidade dos dados do usurio: os dados do usurio no podem ser escutados (overhead) na interface de acesso de rdio; 4) confidencialidade da sinalizao de dados: a sinalizao de dados no pode ser escutada (overhead) na interface de acesso de rdio. Para isto feito um acordo de chave de cifragem durante a execuo do mecanismo de autenticao e estabelecimento de acordo de chave. 5.1.4 Integridade de Dados
Inclue os seguintes aspectos: 1) acordo de algoritmo de integridade a ser usado: a MS e a SN negociam, de forma segura, o algoritmo de integridade que elas iro usar; 2) acordo de chave de integridade que ser usada: feito entre a MS e a SN; 3) autenticao de origem e integridade de dados dos dados de sinalizao: a entidade recebedora (MS ou SN) verifica se a sinalizao de dados no foi modificada de forma no autorizada desde que ela foi enviada pela entidade enviadora (SN ou MS) e que a origem dos dados de sinalizao recebidos efetivamente aquele que apresentado. O acordo de chave de integridade feito durante a execuo do mecanismo de autenticao e estabelecimento de chave. O acordo de algoritmo de integridade feito por meio de um mecanismo de negociao do modo de segurana entre o usurio e a rede. 5.1.5 Identificao do Equipamento Mvil
O SN pode solicitar que o MS lhe envie o IMEI do terminal. O IMEI deve ser armazenado de forma segura no terminal mas sua apresentao para a rede permitida e pode ser feita sem proteo.
24
5.2
Segurana no Domnio da Rede
Diz respeito ao Sistema de Obteno de Informaes de Fraudes mas os recursos para troca de informao entre provedores UMTS ainda esto pendentes para serem definidos. 5.3 Segurana no Domnio do Usurio
Autenticao do Usurio Para USIM: o acesso ao USIM restrito at que ele tenha autenticado o usurio. Para isto, o usurio e o USIM compartilhanm um nmero secreto (por exemplo, um PIN (Personal Identification Number) Nmero de Identificao Pessoal que armazenado de forma segura no USIM. Interconexo USIM-Terminal: o acesso a um terminal ou outro equipamento do usurio pode ser restringido a um USIM autorizado. Para isto, o USIM e o terminal compartilham um segredo que armazenado em ambos. 5.4 Segurana no Domnio da Aplicao
Troca Segura de Messagens entre o USIM e a Rede: permite que as operadoras ou terceiros possam criar aplicaes que residam no USIM. O nvel de segurana das mensagens trocadas com a rede pelas aplicaes USIM escolhido pela operadora ou pelo provedor da aplicao. 5.5 Visibilidade e capacidade de configurao da segurana
A visibilidade a capacidade de informar o usurio sobre aspectos relacionados segurana tais como os listados a seguir. 1) Indicao de uso de cifragem para acesso rede: o usurio informado se a confidencialidade dos dados do usurio est protegida no enlace de rdio, principalmente quando o estabelecimento de chamadas feito sem uso de cifragem. 2) Indicao do nvel de segurana: o usurio informado sobre o nvel de segurana que provido pela rede visitada, particularmente quando o usurio passa para uma rede de menor nvel de segurana (3G para 2G) atravs de handover ou roaming. A capacidade de configurao permite ao usurio configurar se o uso ou o aprovisionamento de um servio deve depender de um certo recurso de segurana estar ou no em operao. Por exemplo: 1) habilitar ou inibir a autenticao usurio-USIM; 2) aceitar ou rejeitar chamadas terminadas no cifradas; 3) iniciar ou no chamadas quando os recursos de cifragem no esto habilitados pela rede; 4) aceitar ou rejeitar o uso de certos algoritmos de cifragem.
25
6 6.1
Mecanismos de Segurana de Acesso Rede UMTS

Identificao por Identidades Temporrias
Este mecanismo usado para identificar um usurio no enlance de acesso por rdio atravs de uma identidade temporria do assinante mvil (TMSI / P-TMSI). A associao entre as identidades temporrias feita pelo VLR / SGSN em que o usurio estiver registrado. Sempre que um usurio deixa uma LA ou uma RA necessrio fazer a atualizao associada. Estas identidades temporrias so usadas nas solicitaes de paging, atualizaes de localizao, solicitaes de conexo e desconexo (attach e detach), solicitaes de servios, solicitaes de re-estabelecimento de conexes, etc. 6.2 AKA (Autenticao e Acordo de Chave)
O mecanismo AKA (Authentication and Key Agreement - Autenticao e Acordo de Chave) foi escolhido de forma a manter compatibilidade com os mecanismos de segurana usados nas redes GSM. Permite autenticao mtua do usurio e da rede atravs do uso de uma chave secreta K (key - Chave). A chave secreta K uma chave secreta de longa durao, compartilhada entre o USIM e o AuC; mantida tanto no USIM quanto no AuC na HE do usurio. O mtodo consiste de um protocolo de desafio e resposta idntico ao protocolo de autenticao de assinante e estabelecimento de chave usado no GSM, combinado com um protocolo de um passo baseado em um nmero de sequncia para autenticao da rede conforme [ISO9798]. tambm provida a autenticao da rede atravs dos contadores (SQNMS e SQNHE). Um nmero sequencial SQNHE usado como um contador individual para cada usurio. O seu uso especfico para os mtodos de gerao e verificao dos nmeros de sequncia. Um mtodo para gerar este nmero no AuC e outro para verificar este nmero no USIM pode ser visto em [TS33102]. O nmero sequencial SQNMS indica o maior nmero de sequncia aceito pelo USIM. Ao receber uma solicitao do VLR / SGSN, o HE / AuC envia uma matriz de n vetores de autenticao (equivalente tripla (triplet) do GSM) para o VLR / SGSN. Estes vetores so ordenados com base em um nmero de sequncia (ver passos 1 e 2 na Figura 12). Cada vetor possui 5 elementos (quintet- quinteto): 1)- um nmero aleatrio (RAND), 2)- uma resposta esperada (XRES), 3)- uma chave de cifragem (CK), 4)- uma chave de integridade (IK) e 5)- uma ficha de autenticao (AUTN). Cada vetor de autenticao adequado para uma autenticao e um acordo de chave entre o VLR / SGSN e o USIM.
26
Quando o VLR / SGSN inicia uma autenticao e acordo de chave, ele seleciona o prximo vetor de autenticao da matriz ordenada e envia os parmetros RAND e AUTN para o usurio (passo 3 na Figura 12). Os vetores de autenticao em um certo n UMTS so usados segundo uma mesma ordem: o primeiro que entra o primeiro que sai. O USIM checa se o AUTN pode ser aceito e produz um RES que enviado de volta ao VLR / SGSN (passo 4 na Figura 12). O USIM tambm calcula CK e IK. O VLR / SGSN compara o RES recebido com o XRES. Se eles batem um com o outro, o VLR / SGSN considera a autenticao e acordo de chave bem sucedida. As chaves CK e IK que foram estabelecidas sero transferidas pelo USIM e pelo o VLR / SGSN para as entidades que forem usar as funes de cifragem e integridade (passo 5 na Figura 12).
Procedimentos de Autenticao do UMTS
MS/USIM UTRAN SGSN / VLR HE / AuC
1 Enviar informaes de Autenticao (Send Authentication Info)
2 Enviar reconhecimento de informao de autenticao [Send Authentication Info Ack (authentication quintet vectors)] RAND, AUTN, XRES, CK, IK
3 Solicitao de Autenticao e Cifragem [Authentication & Ciphering Request (RAND, AUTN)] USIM : - AUTN ok - new CK & IK 4 Resposta de Autenticao e Cifragem [Authentication & Ciphering Response (RES)] VLR/SGSN: RES & XRES ok
5 A partir daqui a cifragem pode ser usada
Figura 12 - Procedimentos de Autenticao do UMTS O VLR / SGSN pode oferecer um servio seguro mesmo quando os enlaces HE / AuC no esto disponveis. Para isto so usadas chaves de cifragem e de integridade previamente derivadas para um usurio de forma que uma conexo segura possa ainda ser estabelecida sem a necessidade de um acordo de autenticao e chave.
27
Nos casos em que h interoperao entre GSM e UMTS (por exemplo, quando h handover entre estas duas tecnologias e o GSM usado anterior ao Release 99) preciso obter os trs parmetros (triplet, triplas) do GSM (equivalentes ao quinteto do UMTS). Para isto so usadas funes de converso que permitem obter as triplas do GSM a partir dos quintetos do UMTS. Trs funes de converso (c1, c2 e c3) so definidas: c1: RAND[GSM] = RAND c2: SRES[GSM] = XRES*1 xor XRES*2 xor XRES*3 xor XRES*4 c3: Kc[GSM] = CK1 xor CK2 xor IK1 xor IK2
Mais detalhes podem ser vistos em [TS33102]. 6.2.1 Gerenciamento de Autenticao pela Operadora
O Campo AMF (Authentication Management Field Campo de Gerenciamento de Autenticao) indica o uso de parmetros adicionais especficos para o gerenciamento de segurana no domnio de uma certa operadora. O seu formato e a sua interpretao pelo USIM deve ser o mesmo para todas as implementaes no domnio da operadora. Exemplos de uso do AMF: 1) suportar mltiplos algoritmos de autenticao e chaves; isto til para recuperao em disastres; o AMF pode ser usado para indicar o algoritmo e a chave usada para gerar um AV especfico; o USIM rastreia o algoritmo de autenticao e o identificador da chave e atualiza-o de acordo com o valor recebido na ficha de autenticao aceita na rede (AUTN); 2) mudar os parmetros de verificao do nmero de sequncia; o USIM pode estabelecer um limite L da diferena entre o SEQMS (o maior nmero de sequncia recebido at ento) e o nmero de sequncia recebido (SEQ); util ter um mecanismo para mudar L dinamicamente uma vez que o melhor valor a usar pode mudar ao longo do tempo; o AMF usado para indicar o novo valor L a ser usado pelo USIM; 3) estabelecer valores limites para restringir o tempo de vida das chaves de cifragem e integridade. 6.2.2 Gerao do Vetor de Autenticao pelo HE / AuC
O HE e o AuC geram o AV (Authentication Vector - Vetor de Autenticao) conforme explicado a seguir (ver Figura 13). Inicialmente gerado um nmero de sequncia (SQN), um nmero aleatrio para a sequncia de desafio (RAND) e um contador para cada usurio (SQNHE). O AV calculado a partir do SQN, do RAND, do AMF e da chave secreta de longa durao (K). Estes dados so usados como informaes de entrada em 5 algoritmos (f1 a f5)
28
que so usados para calcular, respectivamente, os diferentes elementos do AV listados a seguir. 1)- MAC (Message Authentication Code Cdigo de Autenticao de Mensagem) MAC = f1K(SQN || RAND || AMF) onde f1 uma funo de autenticao de mensagem. 2)- XRES (Expected Response - Resposta Esperada) para o nmero de desafio aleatrio (RAND , Random challenge) XRES = f2K (RAND) onde f2K uma funo de autenticao de mensagem. 3)- CK ( Cipher Key - Chave de Cifragem) CK = f3K (RAND) onde f3K uma funo de gerao de chave. 4)- IK (Integrity Key - chave de integridade) IK = f4K (RAND) onde f4K uma funo de gerao de chave. 5)- AK (Anonymity Key Chave de Anonimato) AK = f5K (RAND) onde f5K uma funo de gerao de chave ou f5 0. AK usada como chave para manter a anonimidade quando o uso de SQN puder expor a identidade e a localizao do usurio. O objetivo de esconder o nmero de sequncia proteger contra ataques passivos. Se isto no for necessrio, ento f5 0 (AK = 0). Usando SQN, AK, AMF e MAC, calculada a ficha de autenticao (AUTN), usando operaes lgicas - OU exclusivo () e concatenao (||): AUTN := SQN AK || AMF || MAC O vetor de autenticao (AV) calculado usando RAND, XRES, CK, IK, AUTN e operaes lgicas de concatenao (||): AV := RAND || XRES || CK || IK || AUTN
29
Gera SQN Gera RAND SQN AMF K
RAND
f1
f2
f3
f4
f5
MAC
XRES
CK
IK
AK
AUTN := SQN AK || AMF || MAC AV := RAND || XRES || CK || IK || AUTN
Figura 13 - Gerao do Vetor de Autenticao pelo HE / AuC

AK AMF AUTN AV CK IK K MAC RAND SQN SQNHE SQNMS XRES Identificao do Parmetro Anonymity Key Chave de Anonimato Authentication management field Campo de Gerenciamento de Autenticao Authentication Token Ficha de Autenticao Authentication Vector Vetor de Autenticao Cipher Key Chave de Cifragem Integrity Key Chave de Integridade Authentication Key Chave de Autenticao The message authentication code Cdigo de Autenticao de Mensagem Random challenge Desafio Aleatrio Sequence number Nmero de Sequncia Individual sequence - HLR/AuC Nmero Individual de Sequncia para cada Usurio mantido no HLR/AuC. The highest sequence numberO maior nmero de sequncia recebido pelo USIM USIM Expected Response Resposta Esperada Tamanho 48 bits 16 bits 64 bits
128 bits 128 bits 128 bits 64 bits 128 bits 48 bits
4 a 16 bytes
Tabela 1 - Parmetros usados no AKA 6.2.3 Os Procedimentos Usados no AKA (Autenticao e Acordo de Chave)
Conforme dito anteriormente, este procedimento autentica o usurio e estabelece um novo par de chaves de cifragem e de integridade entre o VLR/SGSN e o USIM. Durante a autenticao o USIM verifica quo recente o vetor de atualizao que est sendo usado. A seguir mostramos como o procedimento funciona.
30
USIM VLR/SGSN
Solicitao de Autenticao do Usurio (User authentication request [RAND || AUTN]) Resposta de Autenticao do Usurio
(User authentication response[RES])
Rejeio de Autenticao de Usurio

(User authentication reject[CAUSE])
Figura 14 - Autenticao e Acordo de Chave O VLR / SGSN seleciona o prximo AV ainda no usado e invoca o procedimento. O VLR / SGSN envia o desafio aleatrio (RAND) ao USIM, junto com a ficha de autenticao da rede (AUTN). Usando RAND, K e a funo f5, o USIM calcula a chave de anonimato (AK, ver Figura 15): AK = f5K (RAND)
RAND f5 AK AUTN AMF MAC
SQN AK
SQN
f1
f2
f3
f4
XMAC
RES
CK
IK
Verifica se MAC = XMAC Verifica se SQN est na faixa permitida
Figura 15 Funo de Autenticao do Usurio no USIM Com AK o USIM obtm SQN: SQN = (SQN AK) AK. A seguir, usando K, SQN, AMF (contido de AUTN) e RAND (recebido na mensagem recebida do VLR / SGSN), o USIM calcula XMAC (The Expected Message Authentication Code o Cdigo de Autenticao de Mensagem que Esperado pelo USIM): XMAC = f1K (SQN || RAND || AMF)
31
O USIM compara XMAC com MAC. Se eles no so iguais o USIM envia uma mensagem de rejeio para o VLR / SGSN indicando a causa e interrompe o procedimento. Neste caso o VLR / SGSN inicia um procedimento de relatrio de falha de autenticao para o HLR. O VLR / SGSN tambm pode iniciar um novo procedimento de autenticao com o USIM. A seguir o USIM verifica se o nmero de sequncia (SQN) est na faixa correta. Se o USIM considerar que o nmero de sequncia no est correto ele envia uma mensagem de falha de sincronizao para o VLR / SGSN e interrompe o processo. Esta mensagem do USIM para o VLR / HLR leva o parmetro AUTS (Authentication Token Synchronization Sincronizao de Ficha de Autenticao). Este parmetro calculado pelo USIM conforme mostrado na Figura 16, levando em conta os seguintes parmetros:
AK: AMF: RAND: SQNMS:
Anonymity Key Authentication management field Random challenge The highest sequence number-USIM
SQNMS K RAND AMF f1* MAC-S f5* AK xor SQNMS AK
Chave de Anonimato Campo de Gerenciamento de Autenticao Desafio Aleatrio O maior nmero de sequncia recebido pelo USIM
AUTS = SQNMS AK || MAC-S
Figura 16 - Construo do parmetro AUTS
AUTS = Conc(SQNMS ) || MAC-S onde: o Conc(SQNMS) o valor do contador SQNMS na MS (Concealed value of the counter SQNMS in the MS) e calculado por: Conc(SQNMS) = SQNMS f5*K(RAND) o f5* a funo de gerao usada para calcula AK nos procedimentos de resincronizao; nenhuma informao de valor a respeito de f1, f1*, f2, ... , f5 pode ser inferida dos valores da funo f5* e vice-versa o MAC-S = f1*K(SQNMS || RAND || AMF) o RAND = o valor aleatrio recebido na solicitao em curso de autenticao do usurio o f1* = uma funo de cdigo de autenticao de mensagem (MAC); nenhuma informao de valor a respeito de f1, ... , f5, f5* pode ser inferida dos valores de f1* e vice-versa Se o USIM considerar que o nmero de sequncia est na faixa correta, o USIM calcula RES = f2K (RAND)
32
e inclui este parmetro na resposta de autenticao do usurio que enviada de volta ao VLR / SGSN. A seguir o USIM calcula a chave de cifragem (CK) e a chave de integridade (IK): CK = f3K (RAND) IK = f4K (RAND) Note que RES, CK e IK tambm podem ser calculados to logo RAND recebido. Se o USIM suportar a funo de converso c3 (para interoperao entre UMTS e GSM), a chave de cifragem GSM (Kc) deve ser obtida a partir de CK e IK. O USIM deve guardar CK e IK at a prxima execuo bem sucedida do AKA. Ao receber a resposta de autenticao do usurio o VLR / SGSN compara o RES recebido com o XRES do vetor de autenticao selecionado. Se XRES igual a RES a autenticao do usurio foi bem sucedida. O VLR / SGSN seleciona as chaves de cifragem (CK) e de integridade (IK) apropriadas do vetor de autenticao selecionado. Se XRES e RES so diferentes, o VLR / SGSN inicia um relatrio de falha de autenticao para o HLR. O VLR / SGSN tambm pode iniciar um novo processo de autenticao como o usurio. Como o USIM verifica SQN, a MS rejeita tentativas do VLR / SGSN reusarem um certo quinteto para estabelecer um contexto de segurana no UMTS mais que uma vez. Em geral o quinteto usado uma nica vez. No entanto o VLR / SGSN podem retransmitir um mesmo quinteto quando o VLR / SGSN envia uma mensagem de solicitao de autenticao e recebe uma mensagem de rejeio da MS (ou no recebe uma mensagem de resposta da MS). To logo a mensagem de resposta chegar no mais pode ser usada qualquer retransmisso do mesmo quinteto. 6.3 UIA: Algoritmo de Integridade do UMTS
O Algoritmo de Integridade do UMTS (UIA,UMTS Integrity Algorithm) atualmente definido o Kasumi. Corresponde funo f9 do UMTS ([TS35201] e [TS35202]), denominado UIA1, identificado pelo nmero 1 em um campo de 4 bits ("00012") e de implementao obrigatria nos UEs e RNCs. O algoritmo de integridade f9 calcula um Cdigo de Autenticao de Mensagem (MAC, Message Authentication Code) em uma mensagem de entrada, usando uma chave de integridade IK. No h limite no comprimento da mensagem de entrada. Para facilitar a implementao o mesmo bloco de cifragem usado em f9 (KASUMI) tambm usado pelo algoritmo de confidencialidade (f8) e est detalhado em [TS35202]. As entradas do algoritmo esto listadas na Tabela 2 e a sada na Tabela 3.
33
Tamanho (bits) COUNT-I 32 FRESH 32 DIRECTION 1 IK 128 LENGTH MESSAGE LENGTH
Parmetro
Comentrio Entrada dependente do quadro COUNT-I[0]COUNT-I[31] Nmero Aleatrio FRESH[0]FRESH[31] Direo de Transmisso DIRECTION[0] Chave de Integridade IK[0]IK[127] Nmero de bits a serem tratados (MACd) Feixe de bits de entrada Tabela 2 - Entradas para f9
Parmetro MAC-I
Tamanho Comentrio (bits) 32 Cdigo de Autenticao de Mensagem MAC-I[0]MAC-I[31] Tabela 3 - Sada de f9
As variveis usadas por f9 so listadas abaixo A, B varivies auxiliaries de 64 bits, usadas para guardar valores de clculos intermedirios BLOCKS COUNT indica o nmero de aplicaes sucessivas de KASUMI que precisam ser aplicadas entrada que varia com o tempo, 32-bits
DIRECTION entrada de um bit para indicar a direo da transmisso (uplink ou downlink). FRESH KM LENGTH MAC-I MESSAGE PS entrada aleatria de 32-bits uma constante de 128 bits - que usada para modificar uma chave nmero de bits do feixe de entrada Cdigo de Autenticao de Mensagem (MAC), 32 bits, sada de f9 feixe de bits de entrada de comprimento dado por LENGTH bits que ser processado por f9 feixe de entrada com bits de preenchimento adicionais (padding) a ser processado por f9
Os componentes e a arquitetura podem ser vistos nas Figuras 17 e 18.
34
COUNT || FRESH
||
M E S S A G E
|| DIRECTION || 1 || 0 0
PS0
PS1
PS2
PSBLOCKS-1
IK
KASUMI
IK
KASUMI
IK
KASUMI
IK
KASUMI
IK KM
KASUMI
MAC-I (left 32-bits)
Figura 17 Funo de Integridade f9 KASUMI usado de forma encadeada para gera um resumo (digest) de 64 bits da mensagem de entrada. Os 32 bits mais da esquerda do resumo so tomados como valor de sada MAC-I. Detalhes sobre o funcionamento da arquitetura acima podem ser encontrados em [35202]. KASUMI tem um conjunto de caractersticas que podem ser exploradas para permitir uma fcil implementao em hardware. Por exemplo: precisa de pouca lgica combinacional (ao invs de grandes tabelas), algumas caixas podem ser implementadas em paralelo (como S7 e S9 em FI, na Figura 18), etc. No incio dos clculos, as variveis auxiliares A e B, usadas para guardar valores de clculos intermedirios e KM, uma constante de 128 bits - que usada para modificar uma chave recebem os valores iniciais indicados abaixo: A = 0 B = 0 KM = 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
35
L0 32 KL1 FL1 FO1 KO1, KI1 FIi1 64 R0 32 16 KOi,1 KIi,1 32 16 9 S9 zero-extend 16 7
KO2, KI2 FO2 FL2
KL2 KOi,2 FIi2 KIi,2 KIi,j,1 KIi,j,2 S7 truncate
KL3 FL3 FO3
KO3, KI3 KOi,3 KL4 FL4 S7 truncate FIi3 KIi,3 S9 zero-extend
KO4, KI4 FO4
KL5 FL5 FO5
KO5, KI5
Fig.2: FO Function KO6, KI6 FO6 FL6 KL6 32 16 KLi,1
Fig.3: FI Function
16
KL7 FL7 FO7
KO7, KI7
KLi,2
KO8, KI8 FO8 FL8
KL8
bitwise AND operation L8 C Fig. 1: KASUMI Fig.4: FL Function R8 bitwise OR operation one bit left rotation
Figura 18 KASUMI (1a parte) Referncia: [TS35202] - Figuras 1 a 4
36
16 9 7 16 32 16
S9
S7
FIi,1
FIi,2
S9
S7
FIi,3
Fig.5: FI Function
Fig.6: FO Function
Figura 18 KASUMI (2a parte) Referncia: [TS35202] - Figuras 5 e 6 Concatena-se COUNT, FRESH, MESSAGE e DIRECTION. Adiciona-se um nico 1, seguido de 0 a 63 bits 0, de forma que o comprimento total do string resultante, PS seja mltiplo de 64 bits: PS = COUNT[0]COUNT[31] FRESH[0]FRESH[31] MESSAGE[0] MESSAGE[LENGTH-1] DIRECTION[0] 1 0* onde 0* indica 0 a 63 bits 0. Os bits do feixe de entrada com bits de preenchimento adicionais (PS) so divididos em blocos de 64 bits PSi onde PS = PS0 || PS1 || PS2 || . || PSBLOCKS-1 onde BLOCKS indica o nmero de aplicaes sucessivas de KASUMI que precisam ser aplicadas. Para cada n na faixa 0 n BLOCKS-1 as seguintes operaes so feitas: A = KASUMI[ A PSn ]IK B = BA Faz-se uma aplicao adicional de KASUMI usando uma forma modificada da chave de integridade IK: B = KASUMI[ B ]IK KM os 32-bits do MAC-I so os 32 bits mais da esquerda do resultado:
37
MAC-I = lefthalf[ B ] Isto , para cada inteiro i na faixa 0 i 31 define-se: MAC-I[i] = B[i]. Os bits B[32]B[63] so desconsiderados. 6.4 Integridade dos Dados no Enlace de Acesso
A maioria dos elementos de informao de sinalizao de controle que so enviados entre a MS e a rede devem ter sua integridade protegida. Uma funo de autenticao de mensagem aplicada para estes elementos quando so transmitidos entre o ME e o RNC. A Figura 19 mostra o uso do algoritmo de integridade f9 para autenticar a integridade dos dados de uma mensagem de sinalizao.
COUNTI DIRECTION FRESH COUNTDIRECTION I MESSAGE FRESH
MESSAGE
IK
f9
IK
f9
MAC -I Transmissor UE ou RNC
XMAC -I Receptor RNC ou UE
Figure 19 - Obteno de MAC-I (ou XMAC-I) para uma mensagem de sinalizao Ver parmetros usados nas Tabela 2 e 3. A entidade transmissora obtm MAC-I e a inclui na mensagem que a seguir enviada atravs do enlace de rdio. A entidade receptora calcula XMAC-I e compara com MAC-I da mensagem que recebeu para verificar a integridade da mensagem. 6.5 Confidencialidade dos Dados no Enlace de Acesso
Os dados do usurio e alguns elementos de informao de sinalizao precisam ter proteo de confidencialidade. Para isto, a identidade temporria do usurio (TMSI / PTMSI) precisa ser enviada em modo protegido sempre que ela tiver que ser enviada na interface area. A cifragem feita no RNC e no ME e o contexto necessrio para a cifragem (CDK, HFN Nmero do Hiper Quadro da mensagem,Hyper Frame Number), etc. s conhecido pelo RNC e ME.
38
COUNT-C DIRECTION LENGTH COUNT-C DIRECTION LENGTH BEARER BEARER
CK
f8
Bloco de Feixe de Chaves
CK
f8
Bloco de Feixe de Chaves
Bloco Original de Texto Pleno Transmissor UE ou RNC
Bloco de Texto Cifrado Receptor RNC ou UE
Bloco Original de Texto Pleno
Figura 20 Cifragem de dados e sinalizao do usurio enviados no enlace de rdio. O algoritmo de confidencialidade f8 uma feixe de cifras que cifra / decifra blocos de dados de 1 a 20.000 bits de comprimento [TS35201]. Ele cifra um texto pleno aplicando-lhe um feixe chave(keystream) usando uma adio bit a bit entre texto pleno e o keystream. O texto pleno original pode ser recuperado usando o mesmo feixe chave, os mesmos parmetros de entrada e aplicando uma adio bit a bit com o texto cifrado. O parmetro de entrada LENGHT (comprimento) no afeta o contedo do bloco de feixe chave (KEYSTREAM BLOCK) mas somente o seu tamanho. As variveis usadas por f8 so listadas abaixo: Parmetro COUNT-C BEARER DIRECTION CK LENGTH IBS Tamanho Comentrio (bits) 32 Entrada dependente do tempo COUNT-I[0]COUNT-I[31] 5 Identidade da Portadora BEARER[0]BEARER[4] 1 Direo de Transmisso DIRECTION[0] - (uplink ou downlink) 128 chave de confidencialidade CK[0].CK[127] Nmero de bits a serem cifrados / decifrados (1-20000); comprimento do bloco de feixe chave (keystream), 1-20.000 Feixe de bits de entrada (Input Bit Stream) IBS[0].IBS[LENGTH-1] Table 4 - Entradas de f8 Tamanho Comentrio (bits) 1-20000 Feixe de bits de sada OBS[0].OBS[LENGTH-1]
Parmetro OBS
Table 5 - Sadas de f8
39
BEARER a identidade da portadora, 5 bits; h um tal parmetro para cada portadora de rdio associada com um certo usurio e multiplexada no mesmo quadro de 10 ms da camada fsica. Esta identidade da portadora de rdio usada para evitar que um conjunto idntico de valores de parmetro de entrada seja usado para diferentes feixes de chaves. O gerador de feixe chave baseado no bloco de cifragem KASUMI, j apresentado anteriormente. KASUMI usado num modo de realimentao de sada e gera um feixe chave em mltiplos de 64 bits. O dado de realimentao mofificado por um dado esttico mantido em um registrador de 64 bits (A) e um contador (que incrementado) de 64 bits (BLKCNT). No incio dos clculos, o registrador de 64 bits (A) recebe COUNT || BEARER || DIRECTION || 00 (justificado esquerda com os 26 bits mais direita iguais a zero: A = COUNT[0]COUNT[31] BEARER[0]BEARER[4] DIRECTION[0] 00 O contador BLKCNT zerado: BLKCNT = 0 O modificador de chave KM iniciado com o valor abaixo KM = 0x55555555555555555555555555555555 KSBi (Keystream Block, Bloco de Feixe Chave ) o i-simo bloco de feixe chave (keystream) produzido pelo gerador de feixe chave; cada um destes blocos possui 64 bits. Inicia-se KSB0 = 0 Uma operao de KASUMI aplicada ao registrador A usando a verso modificada da chave de confidencialidade: A = KASUMI[ A ]CK KM O textro pleno a ser cifrado (ou o texto cifrado a ser decifrado) consiste em 1 a 20.000 bits (LENGTH). O gerador de feixe de bits produz os bits deste feixe em mltiplos de 64 bits. Conforme o nmero de bits necessrios (LENGTH), os bits menos significantes (0 a 63) so desconsiderados do ltimo bloco. Cada KSB gerado da forma mostrada a seguir. Para cada n entre 1 n BLOCKS KSBn = KASUMI[ A BLKCNT KSBn-1]CK onde BLKCNT = n-1 Os bits individuais do feixe chave so extrados de KSB1 at KSBBLOCKS, primeiro o bit mais significante, aplicando a operao que se detalha a seguir. Para n = 1 at BLOCKS, e para cada inteiro i entre 0 i 63: KS[((n-1)*64)+i] = KSBn[i]
40
As operaes de cifragem e de decifragem so idnticas, feitas atravs de um OU exlusivo do dado de entrada (IBS, Input Bit Stream - Feixe de bits de entrada) com o feixe chave gerado (KS, keystream) Para cada i na faixa 0 i LENGTH-1 define-se o feixe de bits de sada, OBS[i] dado por OBS[i] = IBS[i] KS[i]
6.6
MAPSec: Proteo da Sinalizao MAP
No GSM e no UMTS as mensagens de sinalizao MAP so usadas para atualizao de localizao, servios suplementares e controle de chamadas. O MAP usa o protocolo de sinalizao nmero 7 do ITU-T (SS7) como protocolo de camada de transporte. Como o SS7 no possui qualquer mtodo de segurana, as mensagens MAP ficam sujeitas a vrios mecanismos de ataques. Por exemplo: uma mensagem MAP pode ser modificada, adicionada ou apagada. O protocolo previsto pelo 3GPP para proteger as mensagens MAP denominado MAPSec [MOBILE]. Ele fica na camada de aplicao e independente das camadas de rede e transporte. Faz o gerenciamento de segurana e a troca de chaves de forma independente. Uma entidade adicional necessria: o centro de administrao de chaves (KAC). Os KACs de diferentes redes estabelecem as associaes de segurana (SA) atravs de negociaes IKE. As SAs definem o modo, a chave e o algoritmo de cifragem usado para proteger a sinalizao MAP. Elas so vlidas dentro de toda a rede mvil e so distribudos para as entidades da rede que implementam o MAPSec. As SAs so negociadas, atualizadas e distribudas atravs do KAC. Um cabealho adicional precisa ser adicionado mensagem MAP para implementar MAPSec, o que aumenta a sobrecarga destas mensagens. Trs modos de proteo so possveis. O modo zero identifica a condio em que nenhuma proteo usada. No modo 1 provida proteo de integridade para a sinalizao MAP. O algoritmo f7 usado para inserir uma assinatura digital no cabealho e texto pleno da mensagem, de forma a prover proteo de integridade. No modo 2 provida proteo completa, isto , de integridade e de confidencialidade. O algoritmo f6 usado para cifrar o texto pleno e prover proteo de confidencialidade e o algoritmo f7 usado da mesma forma que no modo 2.
41
7 7.1
Segurana de Acesso Para Servios Baseados em IP

Viso Geral
O IMS (IP Multimedia Core Network Subsystem, Subsistema de Rede de Ncleo Multimdia IP) uma sobreposio ao domnio de comutao por pacotes. necessria uma associao de segurana separada entre o cliente multimdia e o IMS antes de os servios mutimdias serem acessados. Os mecanismos de segurana de IMS so independentes daqueles dos ncleos CS e PS. A aquitettura de segurana IMS pode ser vista na Figura 21.
Figura 21 Aruitetura de Segurana IMS (Referncia: [33203] Figura 1) As chaves e as funes de autenticao do lado do usurio so armazenadas no UICC. Elas devem ser indenpendentes das usadas para a autenticao no domnio PS mas isto no proibe o uso de chaves e as funes de autenticao comuns entre IMS e PS. H cinco diferentes associaes e diferentes necessidades de proteo conforme mostrado na Figura 21 e listado a seguir. 1)- Autenticao mtua O HSS responsvel por gerar as chaves e os desafios mas delega a autenticao do assinante ao S-CSCF. O assinante possui uma Identidade IM Privada (interna rede) (IMPI) e pelo menos uma Identidade IM Pblica (externa) (IMPU). A chave de longa durao no ISIM e no HSS est associada IMPI.
42
2)- Proteo do Ponto de Referncia Gm (entre o UE e a P-CSCF) feito atravs de um enlace seguro e uma associao de segurana entre o UE e a PCSCF. feita a autenticao da origem dos dados, isto , a verificao de que a fonte dos dados recebidos efetivamente quem afirma ser. 3)- Segurana interna no domnio da rede na interface Cx (entre HSS e I/S-CSCF) No ser abordada aqui em detalhes que podem ser vistos em [TS33210]. 4)- Segurana entre redes diferentes para ns SIP Esta associao de segurana somente aplicvel quando a P-CSCF reside na VN (Visited Network Rede Visitada); se a P-CSCF reside na HN (Home Network Rede de Origem) o ponto 5 da Figura 21 aplicvel. Ver Figuras 22 e 23. No ser abordada aqui em detalhes que podem ser vistos em [TS33210].
Figura 22- Segurana entre redes diferentes para ns SIP quando a P-CSCF reside na VN (Referncia: [TS33203]-Figura 2)
43
Figura 23- Segurana entre redes diferentes para ns SIP quando a P-CSCF reside na HN - Referncia: [TS33203]-Figura 3 5)- Segurana interna da rede entre ns SIP Tambm se aplica quando a P-CSCF reside na HN. Detalhes podem ser vistos em [TS33210]. necessria autenticao mtua entre o UE e a HN. H outras interfaces e pontos de referncia no IMS que ainda no foram consideradas nas figuras acima e que podem ser vistas em [TS33210]. A proteo de confidencialidade e integridade para sinalizao SIP provida n a n (hopby-hop), conforme Figuras 22 e 23. O caso relativo ao primeiro n, entre UE e a P-CSCF est especificado em em [TS33203], os dos outros ns, inter-domnio e intra-domnio est especificado em [TS33210]. 7.2 7.2.1 Acesso Seguro ao IMS Autenticao do Usurio e da Rede
A rede de origem pode autenticar o assinante a qualquer instante, atravs dos procedimentos de registro. No registro, uma S-CSCF atribuda ao assinante pela I-CSCF. O perfil do assinante buscado no HSS pelo S-CSCF, atravs do ponto de referncia Cx, de forma que,
44
quando o assinante solicitar acesso ao IMS a S-CSCF verificar se tal assinante tem o direito a tal acesso. Os mesmos prinicpios do UMTS AKA so usados para o IMS AKA. O mtodo para calcular os parmetros o mesmo mas os parmetros so transportados de formas diferentes. No UMTS a resposta RES do UE enviada sem proteo enquanto a RES do IMS enviada protegida, combinada com outros parmetros, conforme [RFC3310]. O registro inicial sempre autenticado. Uma nova autenticao iniciada pela S-CSCF pode ser feita, a critrio da operadora IMS, de forma que um novo registro pode no ser autenticado. Uma mensagem SIP de registro (SIP Register) pode ser considerada o registro inicial mas ela no tem proteo de integridade no primeiro n (hop). A S-CSCF pode iniciar um novo registro autenticado de um ussurio a qualquer instante, independentemente de registros anteriores. 7.2.2 Proteo de Confidencialidade
Os mecanismos de confidencialidade entre CSCFs e entre estes e o HSS esto especificados em [TS33210]. As mensagens de sinalizao SIP entre o UE e a P-CSCF tm proteo de confidencialidade. A soluo usada tem que levar em conta os requisitos de roaming locais. Na camada SIP os seguintes mecanismos so providos: 1) O UE deve sempre oferecer algoritmos de cifragem para a P-CSCF para serem usados na sesso. 2) A P-CSCF deve decidir qual mecanismo usar. Se usado, o UE e a P-CSCF devem acordarem entre si as associaoes de segurana a usar, o que inclui a chave de cifragem a ser usada para a proteo de confidencialidade. O mecanismo baseado no IMS AKA. 7.2.3 Proteo de Integridade
usada entre o UE e a P-CSCF para proteo da sinalizao SIP. A UE e a P-CSCF negociam entre si o algoritmo a ser usado na sesso e acordam entre si as associaes de segurana a usar, o que inclui as chave para a proteo de integridade. O mecanismo baseado no IMS AKA. A UE e a P-CSCF devem ambas verificar que o dado recebido originado de um n que tenha uma chave de integridade acordada. Esta verificao tambm usada para verificar se o dado foi falsificado. Os mecanismos de proteo entre CSCFs e entre estes e o HSS esto especificados em [TS33210]. 7.2.4 Uso de TLS
O uso de TLS (Transport-Layer Security Segurana na Camada de Transporte) em protocolo orientado a conexo - no caso, TCP para SIP - obrigatrio, de acordo com a RFC de SIP [RFC3261] e as operadoras podem us-lo em sua rede, ao invs de em cima de IPSec, uma vez que a interface intra-domnio Za opcional e TLS pode tambm ser usado entre redes IMS no topo de IPSec. No entanto, at a poca em que esta dissertao foi
45
escrita, junho/06, as especificaes 3GPP no davam suporte para o gerenciamento de certificado TLS, nem asseguravam compatibilidade reversa com as CSCFs do Release 5, nem interoperabilidade com outras redes que no usarem TLS, caso TLS seja usado por CSCF do Release 6. Estes problemas de capacidades e gerenciamento tm que ser resolvidos atravs de configurao manual entre as operadoras envolvidas. 7.2.5 Ocultamento da Topologia da Rede
Os detalhes operacionais de uma rede de uma operadora so informaes de negcios que as operadoras procuram evitar que sejam conhecidos pelos seus competidores. Em alguns casos, no entanto, conveniente para a operadora, compartilhar tal tipo de informao, por exemplo com parceiros, de forma que deve existir a possibilidade de se compartilhar tais dados somente quando conveniente operadora. A funcionalidade deve permitir ocultar o nmero de S-CSCF, suas capacidades e as capacidades da rede. Isto feito pela I-CSCF que cifra os endereos das entidades da rede da operadora, nas mensagem SIP e depois decifra os endereos ao tratar a resposta a uma solicitao. A P-CSCF pode receber uma informao de roteamento que cifrada mas no ter a chave para decifrar tal informao. Diferentes I-CSCF na HN podem cifrar e decifrar os endereos de todas as entidades da rede da operadora. 7.2.6 Tratamento da Privacidade SIP na Rede IMS
Em alguns casos, privacidade e confidencialidade podem ter pontos em comum, por exemplo, ocultar informao (usando chaves de cifragem e encriptao) de todas entidades, exceto daquelas que so autorizadas a entender a informao. As extenses de privacidade SIP para IMS no permitia tal confidencialidade quando esta dissertao foi feita (junho/2006). O objetivo do mecanismo dar ao assinante IMS a possibilidade de manter em segredo certa informao de identidade tal como especificado na [RFC3263] Servidores SIP de Localizao - e na [RFC3602] - Algoritmos AES-CBC e seu uso com IPSec. 7.2.7 Tratamento da Privacidade SIP em Interaes com Redes no IMS
Quando uma rede IMS Release 6 est interagindo com uma rede no IMS, a CSCF na rede IMS tem que decidir que relao de confiana ter com o outro lado. O outro lado confivel quando o mecanismo de segurana para interoperao aplicado e h disponibilidade de acordo de interoperao. Se a rede no IMS no confivel, a informao de privacidade deve ser removida do trfego que flui em direo a tal rede. Nas interaes com redes no IMS sem mecanismos de segurana para interoperao, devem ser usados CSCFs separadas para as interfaces com as redes IMS e no IMS. A CSCF que faz a interface com as redes IMS confia implicitamente em todas as redes que forem alcanadas atravs de um SEG (Security Gateway Gateway de Segurana), que use os mecanismos de segurana de [TS33210]. Uma CSCF do Release 5 sempre assume esta relao de confiana e configurao de rede. Para uma CSCF do Release 6, esta confiana implcita uma opo de configurao que a operadora escolhe conforme sua configurao de rede e interface.
46
7.3 7.3.1
Mecanismos de Segurana IMS IMS AKA: Autenticao e Acordo de Chave no IMS
IMS AKA (IP Multimedia Core Network Subsystem Authentication and Key Agreement Autenticao e Acordo de Chave do Subsistema de Rede de Ncleo Multimdia IP) o mecanismo usado para a autenticao e o acordo de chaves no IMS, de forma a prover autenticao mtua entre o ISIM e a rede de origem (HN, Home Network). Usa a Identidade IM Privada para a autenticao, IMPI (IM Private Identity), na forma de um NAI. O HSS e o ISIM compartilham a chave de longa durao associada ao IMPI. Os parmetros de segurana so transportados atravs de SIP. A gerao do vetor de autenticao AV (RAND, XRES, CK, IK e AUTN) feita da mesma forma descrita anteriormente para a rede UMTS [TS33102] e o tamanho dos parmetros o mesmo [33102]. O ISIM e o HSS mantm, respectivamente, os contadores SQNISIM e SQNHSS. O campo AMF pode ser usado da mesma forma descrita para UMTS. Dois pares unilaterais de associaes de segurana so estabelecidos entre o UE e a P-CSCF e so atualizadas quando uma nova autenticao feita. Um assinante pode ter vrias IMPUs (IM Public Identity - Identidade IM Pblica) associadas a uma IMPI. Antes de um usurio obter acesso aso servios IM, pelo menso uma IMPU precisa ser registrada e uma IMPI autenticada no nvel da aplicao IMS. O registro feito atravs de mensagens SIP de solicitao e resposta entre o UE e o P-CSCF, da ao ICSCF, da ao HSS e da ao S-CSCF. Detalhes do fluxo de mensagens SIP podem ser vistos em [TS33203], [TS24229] e [TS24228]. A rede pode solicitar autenticao de um usurio j registrado. Para isto a S-CSCF envia uma solicitao ao UE para iniciar um novo procedimento de registro. Quando a S-CSCF recebe a solicitao do UE, o novo registro dispara um novo procedimento de AKA para o IMS que permitir que a S-CSCF autentique o usurio novamente. 7.3.2 Mecanismo de Confidencialidade no IMS
Se a poltica local no P-CSCF necessita uso de tal mecanismo entre o UE e a P-CSCF, a confidencialidade das mensagens de sinalizao SIP provida atravs de IPSeC ESP [RFC2406], protegendo tais mensagens no nvel IP. Os conceitos gerais IPSec ESP de gerenciamento de poltica de segurana, associaes de segurana e processamento de trfego IP descritos em [RFC2401] devem ser considerados. A confidencialidade ESP deve ser aplicada no modo de transporte entre UE e P-CSCF.
47
Como resultado do procedimento de registro autenticado, dois pares de SAs unidirecionais entre o UE e a P-CSCF, todas compartilhadas pelo TCP e pelo UDP, devem ser estabelecidas na P-CSCF e depois no UE. Um par de SA (Security Association Associao de Segurana) para o trfego entre a porta cliente no UE e a porta servidora na P-CSCF e a outra SA para o trfego entre a porta cliente na P-CSCF e a porta servidora no UE. A chave de cifragem CKESP a mesma para os dois pares de SAs estabelecidos. Esta chave obtida a partir da chave CKIM estabelecida como resultado do procedimento AKA usando uma funo de expanso de chave adequada no UE e na P-CSCF. 7.3.3 Mecanismo de Integridade no IMS
No nvel IP, a proteo da integridade da sinalizao SIP entre o UE e a P-CSCF provida por IPSeC ESP [RFC2406]. Os conceitos gerais IPSec ESP de gerenciamento de poltica de segurana, associaes de segurana e processamento de trfego descritos em [RFC2401] devem ser considerados. A integridade ESP deve ser aplicada no modo de transporte entre UE e P-CSCF. Como resultado do procedimento de registro autenticado, dois pares de SAs unidirecionais entre o UE e a P-CSCF, todas compartilhadas pelo TCP e pelo UDP, devem ser estabelecids na P-CSCF e depois no UE. Um par de SA para o trfego entre a porta cliente no UE e a porta servidora na P-CSCF e a outra SA para o trfego entre a porta cliente na P-CSCF e a porta servidora no UE. A chave de integridade IKESP a mesma para os dois pares de SAs estabelecidos. Esta chave de integridade obtida a partir da chave IKIM estabelecida como resultado do procedimento AKA usando uma funo de expanso de chave adequada no UE e na PCSCF. Esta funo de expanso de chave depende de um algoritmo de integridade ESP especificado no Anexo 1 de [TS33203] e mostrado no prximo item. A expanso da chave de integridade feita no UE e na P-CSCF. Um servio anti-replay habilitado no UE e na P-CSCF para todas SAs estabelecidas. 7.3.4 Funo de Expanso de Chave para IPSec ESP
Chaves de integridade: Se o algoritmo de autenticao selecionado HMAC-MD5-96 ento IKESP = IKIM. Se o algoritmo de autenticao selecionado HMAC-SHA-1-96 ento IKESP obtida de IKIM atravs da adio de 32 zeros no final de IKIM para criar um feixe de 160 bits. Chaves de Cifragem:
48
Dividir CKIM em dois blocos de 64 bits cada: CKIM = CKIM1 || CKIM2 onde CKIM1 so os 64 bits mais significantes e CKIM2 so os 64 bits menos significantes. A chave para DES-EDE3-CBC (DES-EDE3 como o 3-DES, triple DES referenciado na RFC 2451) ento definida por: CKESP = CKIM1 || CKIM2 || CKIM1 ... aps ajustar os bits de paridade para atender RFC 2451 .
Se o algoritmo de encriptao selecionado AES-CBC, tal como especificado na RFC 3602, com 128 bits para a chave, ento CKESP = CKIM. Mecanismo de Ocultamento da Topologia da Rede
7.3.5
A sua implementao opcional. Todas S-CSCFs na HN devem compartilhar a mesma chave de cifragem e decifragem Kv. Se o mecanismo usado e se a poltica da operadora define que a topologia da rede deva ser escondida, a I-CSCF deve cifrar os elementos de informao de ocultamento quando a ICSCF enviar as mensagens SIP de solicitao ou de resposta para fora do domnio da rede que deve ser escondida. Os elementos de informao ocultos so entradas nos cabealhos SIP que contm endereos dos proxies SIP na rede oculta. Quando a I-CSCF recebe uma mensagem SIP de fora do domnio da rede oculta, a I-CSCF decifra os elementos de informao que foram cifrados pela I-CSCF no domnio da rede oculta. Como o propsito da cifragem no ocultamento da rede proteger as identidades dos proxies SIP e a topologia da rede oculta, deve ser usado um algoritmo de encriptao no modo de confidencialidade. O mecanismo de ocultamento da rede no tratar os problemas de autenticao e proteo de integridade dos cabealhos SIP. O AES no modo CBC com bloco de 128 bits e chave de 128 bits usado para tal algoritmo de encriptao. No modo CBC, sob uma certa chave, se um IV [RFC2451] fixo para cifrar dois textos plenos iguais, ento os blocos de texto cifrado sero iguais. Como isto indesejvel para o ocultamento da rede, deve ser usado IV (Initialization Vector Vetor de Iniciao) aleatrio para cada encriptao. O mesmo IV usado para decifrar a informao. O IV deve ser incluido no mesmo cabealho SIP que inclui a informao cifrada.
7.3.6
CSCF Interagindo com Proxy Localizado em Rede no IMS
49
Para este caso, e de acordo com [RFC3261], possvel proteger a sinalizao SIP atravs de TLS. A CSCF pode solicitar a conexo TLS com um proxy externo publicando o URI SIP no servidor DNS que pode ser resolvido atravs do mecanismo NAPTR/SRV (Naming Authority Pointer - Apontador de Autoridade de Nome) especificado em [RFC3263]. Ao enviar / receber o certificado, durante a fase de troca de informaes (handshaking) do TLS, a CSCF verifica o nome no certificado em relao lista dos seus parceiros de interoperao. A sesso TLS pode ser iniciada por qualquer rede. A conexo TLS permite mltiplos dilogos SIP. O uso deste mtodo prev ataques no nvel SIP mas no probe o uso de outros mtodos de segurana para aumentar a segurana para as redes IP exemplo: firewalls, roteadores, filtragem de pacotes, etc [TS33210].
50
Concluses
O acesso por enlace de rdio tem suas complexidades inerentes ampliadas pelo fato de o UMTS ser uma rede pblica de voz e de dados de mbito mudial. A introduo da arquitetura IMS adicionou soluo UMTS a multiplicidade de sesses (voz, dados e multimdia) e a complexidade do mundo IP. A abrangncia do assunto muito grande e aborda uma quantidade muito grande de temas de segurana que vai desde a segurana em redes de voz e de dados at a segurana de sesses em redes IP. O uso dos mecanismos de segurana do UMTS tem sido objeto de contnuos estudos h muito tempo. Aproveitou-se o que j existia em GSM / GPRS, mas a introduo do IMS no UMTS criou um aspecto de segurana adicional relativamente novo no UMTS, em funo das redes IP que passaram a ser usadas. Para contornar este problema o 3GPP usou as padronizaes internacionais j existentes, feitas por outras entidades de renome, tal como o IETF (Internet Engineering Task Force Fora Tarefa de Engenharia da Internet). Mesmo assim o assunto ainda objeto de muitos estudos no 3GPP que ainda est com muitas padronizaes no concludas. Este problema agravado pelo fato de cada novo release do UMTS introduzir variveis novas que podem aumentar a complexidade do problema j existente. Assim, certamente a introduo de novas capacidades ainda em estudos no Release 7 aumentaro as necessidades de segurana associadas. Mesmo nos releases j existentes, ainda h pontos no concludos sob o ponto de vista de segurana no UMTS. Um destes pontos o sistema de obteno de informaes de fraudes. At a poca em que esta dissertao foi escrita, junho/06, as especificaes 3GPP no davam suporte para o gerenciamento de certificado TLS, nem asseguravam compatibilidade reversa com as CSCFs do Release 5, nem interoperabilidade com outras redes que no usarem TLS, caso TLS seja usado por CSCF do Release 6. Estes problemas de capacidades e gerenciamento ainda tm que ser resolvidos atravs de configurao manual entre as operadoras envolvidas e podem ser objeto de estudos adicionais. Por outro lado, atualmente o nico algoritmo de integridade do UMTS o Kasumi mas h campo para pesquisas de outros algoritmos que o UMTS deixa aberto para estudos. Vrios casos de vulnerabilidades do UMTS podem ser encontrados em [Chaffin]. Alguns so listados a seguir. A introduo gradativa das redes UMTS tambm introduziro arquiteturas parciais que podero comprometer a segurana. Por exemplo, o uso de IPv4 com IMS. Considerando que a migrao para IPv6 tome um tempo grande para ser efetivamente introduzida de forma ampla, isto introduz um tema interessante para um estudo complementar da segurana nas redes UMTS.O IMS foi estruturado para ser seguro aproveitando os recursos de segurana do IPv6. O uso de arquiteturas IMS inciais com IPv4 comprometer a segurana da rede UMTS.
51
Algumas redes IMS iniciais podem no suportar integralmente os recursos da interface com o ISIM e no serem capazes de suportar IPSec em algumas plataformas UE. Como o IMS baseado em SIP, ele tambm ter as vulnerabilidades do SIP. Por exemplo, SIP tem uma vulnerabilidade semelhante quela do ataque do homem no meio da comunicao (man-in-the middle). O SIP recomenda o uso da autenticao com resumo (digest) HTTP, que baseado no algoritmo de resumo MD5. No entanto este algoritmo fraco e no deve ser usado em sistemas com necessidade de alta segurana. Ao mesmo tempo, o algoritmo de autenticao com resumo do SIP no inclui todos os campos do cabealho, que tambm podem ser falsificados. A sinalizao SIP enviada em texto pleno que pode ser corrompido. Se uma mensagem SIP legtima enviada por um intruso, ele pode interferir numa sesso UMTS em andamento. Aps a fase de sinalizao SIP, a maioria das transmisses baseada em RTP. Um intruso pode bombardear qualquer lado com pacotes RTP e degradar a qualidade ou provocar falha no terminal. Esta dissertao abordou uma grande quantidade de tpicos apresentados no curso de criptografia e ajudou a firmar os conceitos associados e foi til para ver como eles podem ser usados de uma forma conjunta em uma mesma aplicao. Foi dada nesta dissertao uma viso geral do tema e deixadas referncias bibliogrficas para uso posterior.
52
Abreviaturas e Acrnimos
3rd Generation Partnership Program Programa de Parcerias para a 3a Gerao Authentication, Authorisation and Accounting Autenticao, Autorizao e Tarifao Advanced Encryption Standard Advanced Encryption Standard - Cipher Algorithm in Cipher Block Chaining Padro de Encriptao Avanada Algoritmo de Cifragem em Encadeamento de Bloco de Cifragem Anonymity Key Chave de Anonimato Authentication and Key Agreement Autenticao e Acordo de Chave Authentication Management Field Campo de Gerenciamento de Autenticao Access Network Rede de Acesso Authentication Token Ficha de Autenticao Authentication Token Synchronization Sincronizao de Ficha de Autenticao Authentication Vector Vetor de Autenticao Breakout Gateway Control Function Funo de Controle de Obteno de Gateway Cipher Block Chaining Encadeamento de Bloco de Cifragem Code Division Multiplexing Access Acesso por Multiplexao por Diviso de Cdigo Cipher Key Chave de Cifragem Cipher Key ESP Chave de Cifragem para ESP Cipher Key Integrity Mechanism Chave de Cifragem Mecanismo de Integridade Circuit Switching Comutao de Circuitos Call Session Control Function Funo de Controle da Sesso de Chamada Circuit Switched Data Dados Comutados por Circuitos Data Encryption Standard Padro de Encriptao de Dados Outro nome para 3-DES, triple DES, como referenciado na RFC 2451 Ampliao do RADIUS Domain Name Service Servio de Nome de Domnio Encapsulating Security Payload Encapsulamento Seguro de Dados Gateway GPRS Support Node N Servidor de Suporte GPRS Gateway MSC General Packet Radio Service Servio Geral de Pacotes por Rdio Global System for Mobile Communucations Sistema Global para Comunicaes Mveis Home Environment Ambiente de Origem Hyper Frame Number Nmero do Hiper Quadro da mensagem
3GPP AAA AES AES-CBC AK AKA AMF AN AUTN AUTS AV BGCF CBC CDMA CK CKESP CKIM CS CSCF CSD DES DES-EDE3 DIAMETER DNS ESP GGSN GMSC GPRS GSM HE HFN
53
HLR HMAC HN HSS IBS I-CSCF IETF IK IKESP IKIM IM IM IMEI IMPI IMPU IMS IMS IMS AKA IMSI IP IPSec ISDN ISIM ITU-T IV IWF K Kv LA LAI MAC MAP MAPSec MD5
Home Location Register Registro de Localizao de Origem Keyed-Hashing for Message Authentication Hashing Chaveado para Autenticao de Mensagem Home Network Rede de Origem Home Subscriber Server Servidor de Origem de Assinante Incoming Bit Stream - Feixe de bits de entrada Interrogating-CSCF CSCF Interrogador Internet Engineering Task Force Fora Tarefa de Engenharia da Internet Integrity Key Chave de Integridade Integrity Key ESP Chave de Integridade para ESP Integrity Key Integrity Mechanism Chave de Integridade Mecanismo de Integridade IP Multimedia Multimdia IP Integrity Mechanism Mecanismo de Integridade International Mobile Station Equipment Identity Identidade Internacional de Equipamento de Estao Mvil IM Private Identity Identidade IM Privada IM Public Identity Identidade IM Pblica IP Multimedia Core Network Subsystem Subsistema de Rede de Ncleo Multimdia IP IP Multimedia Core Network Subsystem Subsistema de Rede de Ncleo Multimdia IP IP Multimedia Core Network Subsystem Authentication and Key Agreement Autenticao e Acordo de Chave do Subsistema de Rede de Ncleo Multimdia IP International Mobilee Subscriber Identity Identidade Internacional do Assinante Mvil Internet Protocol Protocolo da Internet IP Encapsulating Security Segurana por Encapsulamento IP Integrated Service Digital Network (ISDN) Rede Digital de Servios Integrados (RDSI) IM Services Identity Module Mdulo de Identidade de Servios IM Unio Internacional de Telecomunicao Setor de Padronizao de Telecomunicaes (International Telecommunication Union) Initialization Vector Vetor de Iniciao Interworking Function Funo de Interoperabilidade Key Chave;long-term secret key shared between the USIM and the AuC chave secreta secreta de longa durao, compartilhada entre o USIM e o AuC Key Chave de cifragem/decifragem para ocultar a topologia da rede Location Area rea de Localizao Location Area Identity Identidade da rea de Localizao The message authentication code Cdigo de Autenticao de Mensagem Mobile Application Protocol Protocolo de Aplicao Mvil MAP Security Segurana para MAP Message-Digest Algorithm Algoritmo de Resumo de Mensagem
54
ME MG MGCF MGW-C MRFC MS MSC MT NAPT NAPTR PCM P-CSCF PD PD PDF PIN PLMN PS PSTN P-TMSI Q QoS RA RADIUS RAI RAN RAND RDSI RNC RNS RNTI RTPC SA S-CSCF SDP SEG SGSN SN SIM SIP SLF
Mobile Equipment Equipamento Mvil Media Gateway Media Gateway Controller Function Funo Controladora de MGW Media Gateway Controller Controlador de MGW Multi-Media Resource Function Control Controle da Funo de Recurso Multimdia Mobile Station Estao Mvil Mobile Switching Center Central de Comutao Mvel (Celular) Mobile e Termination Terminao Mvel Network Address and Port Translation Naming Authority Pointer Apontador de Autoridade de Nome (RFC 2915) Pulse Code Modulation Modulao por Cdigo de Pulsos Proxy-CSCF CSCF proxy Packet Data Dados (Comutados) por Pacotes Packet Data Dados por Pacotes Policy Decision Function Funo de Deciso de Polticas Personal Identification Number Nmero de Identificao Pessoal Public Land Mobile Network Rede Pblica Mvil Terrestre Packet Switching Comutao de Pacotes Public Switched Telephone Network Rede Telefnica Pblica de Comutao, RTPC Packet TMSI TMSI para Pacotes Quintet, UMTS Authentication Vector Quinteto, Vetor de Autenticao UMTS Quality of Service Qualidade de Servio Registration Area rea de Registro Remote Authentication Dial In User Service Servio de Autenticao Remota de Usurio com Discagem Routing Area Identifier Identificador de rea de Roteamento Radio Access Network Rede de Acesso por Rdio Random challenge Desafio Aleatrio Rede Digital de Servios Integrados; ISDN Integrated Service Digital Network Radio Network Controller Controlador da Rede de Rdio Radio Network Subsystem- Subsistema de Rede de Rdio Radio Network Temporary Identity Identidade Temporria da Rede de Rdio Rede Telefnica Pblica de Comutao; PSTN =Public Switched Telephone Network Security Association Associao de Segurana Serving-CSCF CSCF Servidor Session Description Protocol Protocolo de Descrio de Sesso Security Gateway Gateway de Segurana Serving GPRS Support Node N Servidor de Suporte GPRS Serving Network Rede Servidora Subscriber Identity Module Mdulo de Identidade do Assinante Session Initiation Protocol Protocolo de Iniciao de Sesso Subscriber Location Function Funo de Localizao de Assinante
55
SN SQN SQNHE SQNHSS SQNISIM SQNMS SRV T TDM TE TLS TMSI UE UEA UIA UICC UMTS URA URI USIM UTRAN VLR VN VoIP WCDMA XMAC XRES
Serving Network Rede Servidora Sequence number Nmero de Sequncia Individual sequence HLR/AuC Nmero Individual de Sequncia para cada Usurio mantido no HLR/AuC. SQN para HSS SQN para ISIM The highest sequence number-USIM O maior nmero de sequncia recebido pelo USIM Server- Servidor - RFC 2782 Triplet, GSM Authentication Vector Tripla, Vetor de Autenticao GSM Time Division Multiplexing Multiplexao por Diviso do Tempo Terminal Equipment Equipamento Terminal Transport-Layer Security Segurana na Camada de Transporte Temporary Mobile Subscriber Identity Identidade Temporria de Assinante Mvil User Equipment Equipamento do Usurio UMTS Encryption Algorithm Algoritmo de Cifragem do UMTS UMTS Integrity Algorithm, Algoritmo de Integridade do UMTS UMTS IC Card Carto de Circuito Integrado UMTS Universal Mobile Telecommunications System Sistema Universal de Telecomunicaes Mveis User Registration Area / UTRAN Registration Area rea de Registro do Usurio / rea de Registro na UTRAN Uniform Resource Identifier Identificador Uniforme de Recurso Universal Subscriber Identity Module Mdulo Universal de Identidade do Assinante UMTS Terrestiral Radio Access Network Rede de Acesso de Rdio Terrestre para UMTS Visitor Location Register Registrador de Localizao de Visitante Visited Network Rede Visitada Voice Over IP Voz Sobre IP Wideband CDMA CDMA de Banda Larga The expected message authentication code Cdigo de Autenticao de Mensagem Esperado (pelo USIM) Expected Response Resposta Esperada
56
10 Bibliografia [3GPP] [BOMAN] [CATAPULT] [CHAFFIN] [E164] [FLANAGAN] Especificaes 3GPP http://www.3gpp.org/specs/numbering.htm UMTS security - by K. Boman, G. Horn, P. Howard and V. Niemi http://www.c7.com/ss7/whitepapers/cellular/umts_security.pdf UMTS can stop hijackers said Catapult http://www.3gnewsroom.com/3g_news/aug_02/news_2406.shtml Practical VoIP Security - Larry Chaffin, Jan Kanclirz, Jr., Thomas Porter, Choon Shim, Andy Zmolek Syngress - March 2006 CCITT Recommendation E.164: Numbering plan for the ISDN era. Radio Access Link Security for Universal Mobile Telecommunication Systems (UMTS) - Tomas Flanagan, Tom Coffey, Reiner Dojen http://www.dcsl.ul.ie/papers/2001%20-%20EMES01%20%20Radio%20Access%20Link%20Security%20for%20Universal%20Mobil e.pdf IETF Request for Comments http://www.ietf.org/rfc.html ISO/IEC 9798 4: Information technology Security techniques Entity authentication Part 4: Mechanisms using a cryptographic check function. GSM and UMTS Security - Daniel Mc Keon, Colm Brewer, James Carter and Mark Mc Taggart http://ntrg.cs.tcd.ie/undergrad/4ba2.05/group7/index.html UMTS SECURITY THE ISSUES EXPLAINED http://www.mobileeurope.co.uk/magazine/features.ehtml?o=114 Security Mechanisms in UMTS - Stefan Ptz, Roland Schmitz, Tobias Martin http://fb1.hdm-stuttgart.de/skripte/Internetsecurity_2/Papers/UMTSSecurityMechanisms.pdf Security Architecture for the Internet Protocol IP Encapsulating Security Payload (ESP) The ESP CBC-Mode Cipher Algorithms The Network Access Identifier A DNS RR for specifying the location of services (DNS SRV) The Naming Authority Pointer (NAPTR) DNS Resource Record IETF RFC 3261 - SIP: Session Initiation Protocol Protocolo de Iniciao de Sesso IETF RFC 3263 Session Initiation Protocol (SIP): Locating SIP Servers IETF RFC 3310 (2002): "HTTP Digest Authentication Using AKA". April, 2002. IETF RFC 3602 The AES-CBC Cipher Algorithm and Its Use with Ipsec The AES-CBC Cipher Algorithm and Its Use with IPsec Aspectos de segurana das redes UMTS 3GPP srie 33 de especificaes http://www.3gpp.org/ftp/Specs/html-info/33-series.htm Algoritmos de segurana em redes UMTS http://www.3gpp.org/ftp/Specs/html-info/35-series.htm UMTS Security Features Tektronix 2FW-17826-0 www.tektronix.com 3GPP TS 22.016 V6.0.0 (2005-01) - International Mobile station Equipment Identities (IMEI) (Release 6) 3GPP TS 23.002 V7.1.0 (2006-03) - Network architecture - (Release 7) 3GPP TS 23.228 V7.4.0 (2006-06) - IP Multimedia Subsystem (IMS) - Stage
[IETF] [ISSO9798] [MCKEON] [MOBILE] [PTZ] [RFC2401] [RFC2406] [RFC2451] [RFC2486] [RFC2782] [RFC2915] [RFC3261] [RFC3263] [RFC3310] [RFC3602] [RFC3602] [SRIE33] [SRIE35] [TEK] [TS22016] [TS23002] [TS23228]
57
[TS24228] [TS24229] [TS33102] [TS33103] [TS33105] [TS33110] [TS33120] [TS33203] [TS33210] [TS35201] [TS35202] [USECA] [VANNESTE] [VOCAB] [WORLD] RFC2396
2 0 - Release 7 3GPP TS 24.228 V5.14.0 (2005-12) - Signalling flows for the IP multimedia call control based on SIPand Sdp - Stage 3- (Release 5) 3GPP TS 24.229 V7.4.0 (2006-06) - IP multimedia call control protocol based on SIP and SDP; Stage 3 - (Release 7) 3GPP TS 33.102 - 3G security; Security architecture - V7.0.0 (2005-12) 3GPP TS 33.103 - 3G security; Integration guidelines 3GPP TS 33.105 Cryptographic algorithm requirements 3GPP TS 33.110 - Key establishment between a UICC and a terminal 3GPP TS 33.120 - Security Objectives and Principles 3G security; Access security for IP-based services - (Release 7) 3G security; Network Domain Security; IP network layer security - (Release 7) 3GPP TS 35.201 V6.1.0 (2005-09) - Specification of the 3GPP Confidentiality and Integrity Algorithms; Document 1: f8 and f9 Specification - (Release 6) 3GPP TS 35.202 V6.1.0 (2005-09) - Specification of the 3GPP Confidentiality and Integrity Algorithms; Document 2: KASUMI Specification - (Release 6) USECA - UMTS Security Architecture - http://www.isrc.rhul.ac.uk/useca/ UMTS benefiting from public-key authentication - Genevive Vanneste, Nigel Jefferies, Eric Johnson http://www.esat.kuleuven.ac.be/cosic/aspect/papers/benefit.htm 3GPP TR 21.905 - Vocabulary for 3GPP Specifications http://www.3gpp.org/ftp/Specs/html-info/21905.htm UMTS Security - http://www.umtsworld.com/technology/security.htm IETF RFC 2396 Uniform Resource Identifiers (URI)

UMTS Security v9

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

UMTS Security v9

Enviado por

Direitos autorais:

Formatos disponíveis

Dissertao

Mecanismos de Segurana em Redes UMTS

Universidade Estadual de Campinas

Extenso em Redes de Computadores INF541 - Criptografia

Austerli Nunes Vieira Prof. Dr. Ricardo Dahab

Mecanismos de Segurana em Redes UMTS

MECANISMOS DE SEGURANA DE ACESSO REDE UMTS.......................25

SEGURANA DE ACESSO PARA SERVIOS BASEADOS EM IP ..................41

CONCLUSES ..............................................................................................................50 ABREVIATURAS E ACRNIMOS ...........................................................................52

Propostas IMT-2000 para a Rede Terrestre do UMTS

Europa ETSI/UTRA W-CDMA EP: DECT DECT

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Evoluo dos Padres Globais de Comunicaes Sem Fio

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Conceitos As Arquiteturas do UMTS

Node B USIM Node B Cu Iub Node B ME Node B UE

Domnio de Comutao por Circuitos 3G-MSC GMSC PLMN PSTN

Domnio de Comutao por Pacotes CN Redes Externas Iu-PS

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Node B USIM Node B Cu Iub Node B ME Node B UE

Comutao por Circuitos MGW GMSC PLMN PSTN

Comutao por Pacotes CN Redes Externas Iu-PS

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Node B USIM Node B Cu Iub Node B ME Node B UE

Comutao por Circuitos MGW GMSC PLMN PSTN

Austerli-UMTS Security-v9 - 2/7/2006 22:30

entidades da rede inteligente, etc. A Arquitetura IMS

IMS - Modelo de Referncia do 3GPP (Rel 5)

Bases de Dados Equipamento de Usurio

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

reas de Registro de Um Equipamento de Usurio em UMTS

RA2 RA1 URA URA URA URA LA1 URA

RA6 URA URA URA URA URA URA RA7 URA

Nota: atualizaes de RA so sempre necessrias quando o UE cruza o limite da RA.

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Identificao do Usurio IMS

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

(*) somente para referncia; especificao descontinuada.

TS 35.209 TS 35.215 TS 35.216 TS 35.217 TS 35.218 TR 35.909

Austerli-UMTS Security-v9 - 2/7/2006 22:30

(*) somente para referncia; especificao descontinuada.

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Viso Geral dos Recursos de Segurana em UMTS

Rede Origem / Servidora

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Segurana de acesso Rede Confidencialidade da Identidade do Usurio

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Segurana no Domnio da Rede

Austerli-UMTS Security-v9 - 2/7/2006 22:30

Mecanismos de Segurana de Acesso Rede UMTS

Austerli-UMTS Security-v9 - 2/7/2006 22:30

1 Enviar informaes de Autenticao (Send Authentication Info)

5 A partir daqui a cifragem pode ser usada

Austerli-UMTS Security-v9 - 2/7/2006 22:30