Você está na página 1de 65

Dissertação

Mecanismos de Segurança em Redes UMTS

Universidade Estadual de Campinas


UNICAMP
Instituto de Computação

Curso: Extensão em Redes de Computadores


Disciplina: INF541 - Criptografia
Aluno: Austerli Nunes Vieira
Professor: Prof. Dr. Ricardo Dahab

Campinas, 2/Julho/2006
ii

Resumo

E s t e d o c u m e n t o a p r e s e n t a o s m e c a n i s m o s d e s e gu r a n ç a u s a d o s
em UMTS (“Universal Mobile Telecommunications Network”),
de forma a atender às condições de avaliação final da disciplina
IN F 5 4 1 ( C r i p t o g r a f i a ) q u e é p a r t e d o C u r s o d e E x t e n s ã o e m
Redes de Computadores que está sendo frequentado por Austerli
N u n e s V i e i r a n o In s t i t u t o d e C o m p u t a ç ã o d a U n i v e r s i d a d e
E s t a d u a l d e C a m p i n a s ( U N IC A M P ) .

Campinas, 2/Julho/2006
iii

Abstract

This document presents the security mechanisms used in UMTS


(Universal Mobile Telecommunications Network), in order to
accomplish the final evaluation conditions of the discipline
IN F 5 4 1 ( C r yp t o g r a p h y) w h i c h i s p a r t o f t h e E x t e n s i o n C o u r s e i n
Computer Networks being attended by Austerli Nunes Vieira in
t h e C o m p u t i n g In s t i t u t e o f t h e S t a t e U n i v e r s i t y o f C a m p i n a s
( U N IC A M P ) .

Campinas, July/2nd/2006
iv

Agradecimentos

À minha esposa – Elenice Haider Nunes Vieira - pelo apoio, compreensão, paciência e
incentivo.

A meu pai – Nílson Nunes - e à minha mãe – Ébia Vieira Nunes - que sempre me
incentivaram ao estudo e à persistência.

A Aquele que me deu o ser. Sem Ele nada posso mas com Ele tudo é possível. A Ele graças
e louvores por tudo que me dá e que por mim faz.
v

Mecanismos de Segurança em Redes UMTS


Índice

RESUMO ................................................................................................................................II

ABSTRACT ..........................................................................................................................III

AGRADECIMENTOS ........................................................................................................ IV

LISTA DE FIGURAS .........................................................................................................VII

LISTA DE TABELAS ...................................................................................................... VIII

1 INTRODUÇÃO................................................................................................................1

2 CONCEITOS....................................................................................................................4
2.1 AS ARQUITETURAS DO UMTS................................................................................................................4
2.2 A ARQUITETURA IMS.............................................................................................................................9
2.3 IDENTIFICAÇÃO DO USUÁRIO UMTS....................................................................................................11
2.4 IDENTIFICAÇÃO DA LOCALIZAÇÃO DO USUÁRIO ..................................................................................13
2.5 IDENTIFICAÇÃO DO USUÁRIO IMS ........................................................................................................15
2.5.1 Identidade Privada de Usuário....................................................................................................15
2.5.2 Identidade Pública de Usuário ....................................................................................................15
3 ESPECIFICAÇÕES 3GPP ...........................................................................................17

4 TIPOS DE ATAQUES...................................................................................................20

5 VISÃO GERAL DOS RECURSOS DE SEGURANÇA EM UMTS .......................21


5.1 SEGURANÇA DE ACESSO À REDE ...........................................................................................................22
5.1.1 Confidencialidade da Identidade do Usuário..............................................................................22
5.1.2 Autenticação de uma entidade .....................................................................................................22
5.1.3 Confidencialidade ........................................................................................................................23
5.1.4 Integridade de Dados...................................................................................................................23
5.1.5 Identificação do Equipamento Móvil...........................................................................................23
5.2 SEGURANÇA NO DOMÍNIO DA REDE......................................................................................................24
5.3 SEGURANÇA NO DOMÍNIO DO USUÁRIO ................................................................................................24
5.4 SEGURANÇA NO DOMÍNIO DA APLICAÇÃO............................................................................................24
5.5 VISIBILIDADE E CAPACIDADE DE CONFIGURAÇÃO DA SEGURANÇA ......................................................24
6 MECANISMOS DE SEGURANÇA DE ACESSO À REDE UMTS.......................25
6.1 IDENTIFICAÇÃO POR IDENTIDADES TEMPORÁRIAS ...............................................................................25
6.2 AKA (AUTENTICAÇÃO E ACORDO DE CHAVE).....................................................................................25
6.2.1 Gerenciamento de Autenticação pela Operadora .......................................................................27
6.2.2 Geração do Vetor de Autenticação pelo HE / AuC .....................................................................27
6.2.3 Os Procedimentos Usados no AKA (Autenticação e Acordo de Chave).....................................29
6.3 UIA: ALGORITMO DE INTEGRIDADE DO UMTS....................................................................................32
6.4 INTEGRIDADE DOS DADOS NO ENLACE DE ACESSO ..............................................................................37
6.5 CONFIDENCIALIDADE DOS DADOS NO ENLACE DE ACESSO ..................................................................37
6.6 MAPSEC: PROTEÇÃO DA SINALIZAÇÃO MAP......................................................................................40
7 SEGURANÇA DE ACESSO PARA SERVIÇOS BASEADOS EM IP ..................41
vi
7.1 VISÃO GERAL ........................................................................................................................................41
7.2 ACESSO SEGURO AO IMS......................................................................................................................43
7.2.1 Autenticação do Usuário e da Rede.............................................................................................43
7.2.2 Proteção de Confidencialidade....................................................................................................44
7.2.3 Proteção de Integridade...............................................................................................................44
7.2.4 Uso de TLS ...................................................................................................................................44
7.2.5 Ocultamento da Topologia da Rede.............................................................................................45
7.2.6 Tratamento da Privacidade SIP na Rede IMS............................................................................45
7.2.7 Tratamento da Privacidade SIP em Interações com Redes não IMS.........................................45
7.3 MECANISMOS DE SEGURANÇA IMS......................................................................................................46
7.3.1 IMS AKA: Autenticação e Acordo de Chave no IMS...................................................................46
7.3.2 Mecanismo de Confidencialidade no IMS ...................................................................................46
7.3.3 Mecanismo de Integridade no IMS ..............................................................................................47
7.3.4 Função de Expansão de Chave para IPSec ESP.........................................................................47
7.3.5 Mecanismo de Ocultamento da Topologia da Rede ....................................................................48
7.3.6 CSCF Interagindo com Proxy Localizado em Rede não IMS .....................................................49
8 CONCLUSÕES ..............................................................................................................50

9 ABREVIATURAS E ACRÔNIMOS ...........................................................................52

10 BIBLIOGRAFIA............................................................................................................56
vii

Lista de Figuras

# Título Página
Figura
1 Requisitos Mínimos de Taxas de Dados para o IMT-2000 do ITU 1
2 Propostas IMT-2000 para a Rede Terrestre do UMTS 2
3 Evolução dos Padrões Globais de Comunicações Sem Fio 3
4 Visão Geral da Arquitetura UMTS do “Release” 99 4
5 Arquitetura do “Release” 4 do UMTS 7
6 Arquitetura do “Release” 5 do UMTS 8
7 Arquitetura IMS 9
8 “Release” 5 do UMTS - Configuração Básica de uma rede PLMN 10
9 IMSI - Identidade Internacional do Assinante Móvil 12
10 Áreas de Registro de um UE 14
11 Arquitetura de Segurança do UMTS 21
12 Procedimentos de Autenticação do UMTS 26
13 Geração do Vetor de Autenticação pelo HE / AuC 29
14 Autenticação e Acordo de Chave 30
15 Função de Autenticação do Usuário no USIM 30
16 Construção do parâmetro AUTS 31
17 Função de Integridade f9 34
18 KASUMI 35 e 36
19 Obtenção de MAC-I (ou XMAC-I) para uma mensagem de sinalização 37
20 Cifragem de dados e sinalização do usuário enviados no enlace de rádio 38
21 Aruitetura de Segurança IMS 41
22 Segurança entre redes diferentes para nós SIP quando a P-CSCF reside na 42
VN
23 Segurança entre redes diferentes para nós SIP quando a P-CSCF reside na 43
HN
viii

Lista de Tabelas

# Tabela Título Página


1 Parâmetros usados no AKA 29
2 Entradas para f9 33
3 Saídas de f9 33
4 Entradas para f8 38
5 Saídas de f8 38
1

1 Introdução

UMTS (“Universal Mobile Telecommunications System”) - Sistema Universal de


Telecomunicações Móveis – é um sistema público de telecomunicações via rádio que tem
por objetivo permitir aos seus usuários acessar informações de voz, dados e multimídia de
forma padronizada, eficiente e aberta.

O UMTS foi estruturado a partir de iniciativas dos fabricantes e provedores das redes de
GSM (“Global System for Mobile Communucations” – Sistema Global para Comunicações
Móveis) e GPRS (“General Packet Radio Service” – Serviço Geral de Pacotes por Rádio).
Tem como objetivo o acesso aos serviços referenciados com maior vazão de dados na
interface aérea, de forma amigável e interativa entre o usuário e as aplicações.

Alguns detalhes dos requisitos da interface aérea do UMTS podem ser vistos na figura
abaixo.

Requisitos Mínimos de Taxas de Dados para o IMT-2000 do ITU

Mega Cell

Macro Cell

Micro Cell
Global: Pico Cell

inclui sistemas “Indoor “


Regional Local
por satélite
Corporação / Lar

≥2.048 Mb/s

≥ 384 Kb/s

≥ 144 Kb/s

≥ 9.6 Kb/s

Figura 1 - Requisitos Mínimos de Taxas de Dados para o IMT-2000 do ITU

A interface aérea do UMTS apresenta diferentes requisitos de taxas de dados e alcances,


bem como diferentes tipos de células de rádio. Estes requisitos foram analisados
exaustivamente pela comunidade internacional durante vários anos em um projeto do ITU
(“International Telecommunication Union”) - União Internacional de Telecomunicação -
denominado IMT-2000. Várias propostas de interfaces aéreas foram consideradas (Figura
2). Algumas foram aceitas e adotadas para diferentes propósitos e diferentes regiões do
2
mundo. A maioria delas usa variações da codificação CDMA (“Code Division
Multiplexing Access” – Acesso por Multiplexação por Divisão de Código).

Propostas IMT-2000 para a Rede Terrestre do UMTS

IMT-
IMT-2000

Europa Ásia América do Norte

ETSI/UTRA JAPAN (ARIB) ATIS T1P1


W-CDMA W-CDMA W-CDMA
EP: DECT KOREA (TTA) TIA TR46.1
DECT CDMA I (W-CDMA) WIMS
CDMA II (CDMA2000) TIA TR45.5
CHINA CDMA2000
TD--SCDMA TIA TR45.3
UWC-136

Figura 2. - Propostas IMT-2000 para a Rede Terrestre do UMTS


(Nota: ver “Abreviaturas e Acrônimos” no final da dissertação)

Este programa de melhorias que o UMTS visa obter faz parte do que é chamado de “3a
Geração” de aplicações móveis. A diferença básica entre as diferentes “gerações” de
sistemas móveis está principalmente relacionada com a máxima vazão de dados que é
possível obter na interface aérea para cada uma delas. A 1a Geração (1G) se refere aos
primeiros sistemas celulares desenvolvidos (exemplo: AMPS nos Estados Unidos). A 2a
Geração (2G) se refere à grande maioria dos sistemas atuais (GSM, TDMA, cdmaOne, etc).
A 3a Geração (3G) se refere aos sistemas que permitem acesso às aplicações via rádio com
pelo menos 2 MB na interface aérea (medidos quando o usuário não está em movimento) ou
144 Kbps quando em movimento rápido (100 Km/h) ou 384 Kbps quando em movimento
lento, por exemplo, caminhando.
A Figura 3 apresenta os diferetes tipos de padrões usados nas diferentes gerações de
sistemas móveis, bem como as possibilidades ou tendências naturais de evolução de uma
geração a outra, usando os diferentes padrões.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


3
Evolução dos Padrões Globais de Comunicações Sem Fio

2G 2.5G 3G-CDMA – Conforme IMT-2000

CDMA CDMA2000 CDMA2000 CDMA2000


IS-95-B 1xEV-DV
IS-95-A 1X 1xEV-DO
• 2.4 Mbps Pacotes • Alta capacidade de
• Voz • Voz • Alta Capacidade • Compatibilidade voz e dados
• 14.4 kbps • 64 kbps Pacotes de voz reversa de RF • Compatibilidade
• CSD & PD •Compatibilidade • 153 kbps Pacotes reversa de RF
reversa de RF • Compatibidade reversa
de RF.
TDMA
IS-136 EDGE (US)
• Voz EDGE (Europa)
• 9.6 kbps CSD • 384 kbps Pacotes
GSM GSM GPRS W-CDMA
(Europa)
• Voz • 114 kbps Pacotes
• 9.6 kbps CSD • Compatibilidade W-CDMA •Alta Capacidade Voz
PDC PDC reversa de RF (Japão) • 384+ kbps Pacotes
• Nova RF
• Voz • Voz
• 9.6 kbps • 28.8 kbps
• Compatibilidade
reversa de RF

1995 1999 2000 2001 2002 2003+

Figura 3 - Evolução dos Padrões Globais de Comunicações Sem Fio


(Nota: ver “Abreviaturas e Acrônimos” no final da dissertação)

Os estudos e as normas associadas ao UMTS são coordenados pelo 3GPP (“3rd Generation
Partnership Program”) – Programa de Parcerias para a 3a Geração. Após uma versão inicial
aprovada em 1999 – chamada “Release” 99 – várias versões foram sendo sucessivamente
discutidas e aprovadas e foram sucessivamente denomindas de “Release” 4, 5 e 6 (esta
última aprovada no final de 2005). Atualmente (junho/2006) o “Release” 7 vém sendo
estudado. As normas associadas a todas as versões podem ser encontradas em [3GPP].

Austerli-UMTS Security-v9 - 2/7/2006 22:30


4

2 Conceitos

2.1 As Arquiteturas do UMTS

Uma grande quantidade de definições pode ser vista em [VOCAB]. Aqui somente são
apresentados os conceitos relevantes ao objetivo desta dissertação.

Para a grande maioria das aplicações, a interface de rádio do UMTS usa codificação CDMA
de banda larga, denominda WCDMA (“Wideband CDMA” – CDMA de Banda Larga).
Outras formas de codificações possíveis são mostradas na Figura 2.

Embora a interface de acesso de rádio do UMTS não use os princípios TDM (“Time
Division Multiplexing” – Multiplexação por Divisão do Tempo) usados no GSM e no
GPRS, o núcleo da rede UMTS, desde a sua arquitetura inicial (aprovada no “Release” 99
do UMTS) é baseada na arquitetura já existente do GSM e do GPRS.

Uma visão simplificada das partes componentes de uma rede UMTS, conforme inicialmente
vista no “Release” 99 pode ser vista na Figura 4.

UMTS Rel 99

Uu Iu-CS

RNS Domínio de Comutação por


Node B Circuitos

USIM RNC 3G-MSC GMSC PLMN


PSTN
Node B

Cu Iub Iur HLR

Node B
ME RNC SGSN GGSN Internet

Node B Domínio de Comutação por


UE UTRAN Pacotes
CN
Redes Externas
Iu-PS

CSCF - Call Session Control Function MGW-C – Media Gateway Controller SIM – Subscriber Identity Module
GPRS - General Packet Radio Service MGCF – Media Gateway Controller Function UE - User Equipment
GGSN - Gateway GPRS Support Node PLMN - Public Land Mobile Network USIM - UMTS SIM
HSS – Home Subscriber Server RAN - Radio Access Network UMTS = Universal Mobile
ME - Mobile Equipment RNC - Radio Network Controller Telecommunication System
MGW – Media Gateway RNS - Radio Network Subsystem UTRAN - UMTS Terrestrial RAN
SGSN - Serving GPRS Support Node

Figura 4 – Visão Geral da Arquitetura UMTS do “Release” 99


(Nota: ver “Abreviaturas e Acrônimos” no final da dissertação)

A rede UMTS do “Release 99” possui as seguintes partes básicas:


1) o equipamento do usuário (UE),

Austerli-UMTS Security-v9 - 2/7/2006 22:30


5
2) a rede de acesso através de rádio (UTRAN – “UMTS Terrestiral Radio Access
Network” – Rede de Acesso de Rádio Terrestre para UMTS) e
3) os núcleos de comutação por circuitos e por pacotes.

A figura realça as partes componentes da UTRAN e os principais elementos dos núcleos de


comutação por circuito e por pacotes.

ME (“Mobile Equipment” ) – Equipamento Móvil: é o equipamento do usuário. Ë também


referenciado como UE.

UE (“User Equipment”) – Equipamento do Usuário: é o dispositivo que permite que o


usuário acesse a rede de serviços, através da rede de rádio. É separado em duas partes
(domínios): USIM e ME – que podem ser implementados em um ou mais dispositivos de
hardware.

UICC: é um dispositivo físico seguro, um cartão IC (ou “smart card”) que pode se inserido
ou removido do equipamento terminal. Pode conter uma ou mais aplicações. Uma delas
pode ser um USIM.

USIM (“Universal Subscriber Identity Module”) - Módulo Universal de Identidade do


Assinante: às vezes chamado de UMTS SIM (SIM para UMTS): é uma aplicação que reside
no UICC e que é usada para acessar serviços providos pelas redes móveis. Permite o registro
seguro do usuário na rede e o uso seguro das aplicações da rede.

Nó B (“Node B”) – é o nome da “estação de rádio” do UMTS.

RNC (“Radio Network Controller”) – Controlador da Rede de Rádio: é o equipamento que


controla o uso e a integridade dos recursos de rádio. É responsável pelo controle de vários
“Nós B”.

RNS (“Radio Network Subsystem”)- Subsistema de Rede de Rádio: é a parte responsável


pela alocação e liberação dos recursos de transmissão e recepção de rádio num conjunto de
células UMTS. Ë parte da UTRAN e é composta de Nós B e RNC.

A UTRAN (“UMTS Radio Access Network”) – Rede de Acesso Rádio do UMTS é a parte
composta por um ou mais RNS.

No núcleo (domínio) de comutação por circuitos estão a 3G-MSC (“3rd Generation Mobile
Switching Center”) - Central de Comutação Móvil de 3a Geração, a GMSC (“Gateway MSC
- Gateway Mobile Switching Center”) - Central “Gateway” de Comutação Móvil e o HLR
(“Home Location Register”) – Registrador de Localização da Rede de Origem. A 3G-MSC
trata as chamadas comutadas por voz. O HLR é uma base de dados com o perfil e a
localização atualizada do assinante móvil. A GMSC trata as interações de comutação de voz
por circuitos entre o resto do mundo (outras redes) e a rede UMTS. Embora não mostrado na
figura, por simplificação ou mesmo porque muitas vezes está implementado dentro do
“hardware” da MSC, há também o VLR (“Visitor Location Register” – Registrador de
Localização de Visitantes) que mantém informações e localização do assinante que está
sendo atendido pela MSC e que também mantém registro de todos os móveis visitantes.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


6
Outro elemento (também não mostrado na figura) é o EIR (“Equipment Identity Register”
– Registrador de Identidade de Equipamento). É responsável pelo armazenamento da
identidade do equipamento móvil (IMEI – detalhes a seguir). Guarda o estado de cada
equipamento em 3 tipos de listas”: branca”, “cinza” ou “negra”. Todos os números de séries
que são permitidos usar na rede UMTS são guardados na lista branca. Os equipamentos que
devem ser barrados são mantidos na lista negra e aqueles que a operadora quiser rastrear e
avaliar a adequação de uso são mantidos na lista cinza [TS22016].

O núcleo (domínio) de comutação por pacotes usa os mesmos elementos do núcleo GPRS
que já era usado nas redes de 2a geração, ou seja, é composto de um servidor (SGSN) e de
um “gateway” (GGSN) mas os elementos dos núcleos GSM / GPRS foram adaptados para
atender funcionalmente às necessidades das redes UMTS. Para isto alguns protocolos que
não existem nas redes GSM / GPRS foram adicionados ao UMTS. Como a parte de rádio do
UMTS é diferente daquela do GSM / GPRS foi também necessário definir interfaces
adicionais entre os núcleos de dados e pacotes e a UTRAN.

Cada uma das partes da rede UMTS se interliga através de interfaces bem definidas,
identificadas (de forma parcial e simplificada) na Figura 4. A cada uma destas interfaces
estão assciadas camadas de protocolos e procedimentos adequados. As interfaces associadas
com a UTRAN são mostradas na Figura 4 e identificadas conforme abaixo:
• Uu: interface (aérea) entre o UE e a UTRAN
• Iub: interface (lógica) entre Nós B
• Iur: interface (física e lógica) entre RNCs
• Iu-cs: interface (física e lógica) entre o RNC e a rede de comutação de circuitos
• Iu-ps: interface (física e lógica) entre o RNC e a rede de comutação de pacotes

As demais interfaces, associadas aos núcleos de comutação por circuitos e por comutação de
dados, serão mostradas posteriormente.

O “Release” 4 do UMTS (Figura 5), entre outras coisas, separou o tratamento lógico das
chamadas (por exemplo, a sinalização e a lógica do estabelecimento de uma chamada de
voz) do tratamento do meio físico (“bearer”) - que conduz os dados da chamada (isto é, o
meio físico em que trafega a informação de voz da conversação entre os usuários finais). Até
então isto era feito de forma conjunta, sem separação, pela 3G-MSC. Para permitir tal
separação, dois elementos novos foram introduzidos no núcleo de comutação por circuitos:
o MGW (“Media Gateway”) - para tratar o meio (“bearer”) e o MGW-C (“Media Gateway
Controller”) – Controlador de MGW. O MGW também cuida de todas as adaptações
advindas do interfuncionamento entre meios físicos diferentes e o MGW-C cuida do
controle lógico do tratamento da chamanda e comanda o MGW para prover os recursos de
interligação efetiva entre os diferentes tipos de meios físicos usados.

Até o “Release” 4 do UMTS, todo o transporte e os núcleos do UMTS são feitos por redes
ATM (“Asynchronous Transfer Mode”) – Modo de Transferência Assíncrono e que redes IP
só são usadas a partir do “Release” 5.

Um exemplo de adaptação de meio feito pelo MGW é entre os feixes PCM (Pulse Code
Modulation” – Modulação por Código de Pulsos) da rede PSTN (“Public Switched
Telephone Network” – Rede Telefônica Pública de Comutação, RTPC) e os “canais”
internos (“bearers”) da rede UMTS (ATM ou IP ) .

Austerli-UMTS Security-v9 - 2/7/2006 22:30


7

“Release” 4 do UMTS
Uu Iu-CS

RNS Comutação por Circuitos


Node B

USIM RNC MGW GMSC PLMN


PSTN
Node B

Cu Iub Iur MGW-C HLR

Node B
ME RNC SGSN GGSN Internet

Node B Comutação por Pacotes


UE UTRAN CN

Redes Externas
Iu-PS

CSCF - Call Session Control Function MGW-C – Media Gateway Controller SIM – Subscriber Identity Module
GPRS - General Packet Radio Service MGCF – Media Gateway Controller Function UE - User Equipment
GGSN - Gateway GPRS Support Node PLMN - Public Land Mobile Network USIM - UMTS SIM
HSS – Home Subscriber Server RAN - Radio Access Network UMTS = Universal Mobile
ME - Mobile Equipment RNC - Radio Network Controller Telecommunication System
MGW – Media Gateway RNS - Radio Network Subsystem UTRAN - UMTS Terrestrial RAN
SGSN - Serving GPRS Support Node

Figura 5 – Arquitetura do “Release” 4 do UMTS

No “Reelase” 5 do UMTS (Figura 6) as principais modificações introduzidas nas redes


UMTS foram:
• a criação do conceito de sessão multimídia,
• a introdução do subsistema de tratamento destas sessões – IMS (“IP Multimedia
Subsystem”) – Subsistema Multimídia IP – e
• o uso das redes IP (“Internet Protocol”) – Protocolo da Internet.

As funções do HLR foram expandidas (passou a ser chamado de HSS – ““Home Subscriber
Server”, Servidor de Origem de Assinante) e passou a tratar não somente voz mas também
dados e multimídia, através de uma base de dados única para todos estes tipos de sessões:
voz, dados e multimídia. O HSS possui os perfis dos assinantes e age como o Centro de
Autenticação para fins de segurança da rede UMTS.

O “Release” 99 e o “Release” 4 do UMTS incluem um elemento que foi incorporado ao


HSS do “Release 5”: o AuC (“Authentication Centre” – Centro de Autenticação). A função
básica do AuC é armazenar a chave de identidade para cada assinante. Esta chave é usada
para gerar segurança dos dados de cada assinante:
• autenticação mútua do número do assinante (IMSI – detalhado a seguir);
• verificar a integridade da comunicação no enlace de rádio;
• cifrar a comunicação no enlace de rádio.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


8
Embora incorporado ao HSS no “Release” 5, nos “Releases” 99 e 4 o AuC se comunica
com o HLR através da interface H - que não é objeto de padronização. O HLR solicita ao
AuC os dados necessários para a autenticação e a cifragem, através desta interface e os envia
ao VLR e ao SGSN que usarão estes dados para proverem as funções de segurança para a
estação móvil.

“Release” 4 do UMTS

Uu Iu-CS
Iu

RNS Comutação por Circuitos


Node B

USIM RNC MGW GMSC PLMN


PSTN
Node B

Cu Iub Iur HSS

Node B
ME RNC SGSN GGSN Internet

Node B Comutação por Pacotes


UE UTRAN CN

Redes Externas
Iu-PS
CSCF/
MGCF

CSCF - Call Session Control Function MGW-C – Media Gateway Controller SIM – Subscriber Identity Module
GPRS - General Packet Radio Service MGCF – Media Gateway Controller Function UE - User Equipment
GGSN - Gateway GPRS Support Node PLMN - Public Land Mobile Network USIM - UMTS SIM
HSS – Home Subscriber Server RAN - Radio Access Network UMTS = Universal Mobile
ME - Mobile Equipment RNC - Radio Network Controller Telecommunication System
MGW – Media Gateway RNS - Radio Network Subsystem UTRAN - UMTS Terrestrial RAN
SGSN - Serving GPRS Support Node

Figura 6 – Arquitetura do “Release” 5 do UMTS

O “Release” 6 do UMTS introduziu modificações principalemente na interface aérea do


enlace reverso (UE para Nó B) de forma a permitir maiores taxas de dados, menores atrasos
de propagação do sinal e menor “jitter” (variação do atraso), de forma a poder garantir QoS
(“Quality of Service” – Qualidade de Serviço) sobretudo para VoIP (“Voice Over IP” –
Voz Sobre IP). Assim, é possível atingir até 5,76 Mbps no enlace reverso e até 14, 4 Mbps
no enlace direto (nó B para UE). Os elementos de rede são basicamente os mesmos do
“Release 5”.

O “Release” 7 do UMTS ainda está em estudos, analisando, entre outras coisas, alternativas
de comunicações “multicast” e “broadcast” na interface aérea e melhorias na segurança
das redes UMTS.

Outros elementos das arquiteturas UMTS não serão tratados aqui mas podem ser vistos em
[TS23002]. Exemplos:
• IWF (“Interworking Function” – Função de Interoperabilidade): usado para
interações entre a rede UMTS e outras redes (RDSI, RTPC, CDMA, etc);
• entidades de tratamento de localização do usuário;

Austerli-UMTS Security-v9 - 2/7/2006 22:30


9
• entidades da rede inteligente, etc.

2.2 A Arquitetura IMS

Para tratar as sessões multimídia foram introduzidos algumas funções adicionais no núcleo
IMS (Figura 7). Note que o IMS se sobrepõe aos elementos dos “Release” 5 e/ou seguintes,
sem os substituir.

Uma das funções introduzidas no IMS é a CSCF (“Call Session Control Function” ) –
Função de Controle da Sessão de Chamada. Ela é responsável pelo tratamento da
sinalização e da lógica necessárias para estabelecer os diferentes tipos de sessões: voz, dados
e multimídia.

IMS - Modelo de Referência do 3GPP (Rel 5)

Redes IP Multimídia
Controle e sinalização
PSTN
Transporte e meio
Mb Mb Mb (“bearer”)
BGCF CSCF
Bases de Dados
PSTN Mm
Mk Mk
Equipamento de
Mw Usuário
Mj BGCF
Cx
IMS
IM-LNG MGCF CSCF HSS
-MGW Mc Mg Protocolos de
Sinalização:
Mb Mw
Mr Dx SLF
• COPS
P-CSCF • Diameter
MRFP MRFC PCF
PDF UE • H.248 / Megaco
Mp Gm • ISUP
• SIP
Mb Mb Mb
Go Subsistema IP Multimídia

Figura 7 - Arquitetura IMS


(Nota: ver “Abreviaturas e Acrônimos” no final da dissertação).

As funcionalidades desempenhadas pela CSCF estão subdivididas em 3 tipos de CSCF:


1) P-CSCF (“proxy-CSCF” – CSCF “proxy”): é o ponto de contacto inicial para todos
dispositivos IMS;
2) I-CSCF (“Interrogating-CSCF” – CSCF interrogador): é o ponto de contacto
inicial para os dispositivos IMS de outras redes;
3) S-CSCF (“Serving-CSCF” – CSCF servidor): responsável pelo controle da sessão.

Além da CSCF e do HSS o IMS introduz a função BGCF (“Breakout Gateway Control
Function” – Função de Controle de “Obtenção de Gateway”) para selecionar a rede PSTN

Austerli-UMTS Security-v9 - 2/7/2006 22:30


10
com a qual a rede UMTS pode ter necessidade de interagir, por exemplo, quando um
usuário de uma rede UMTS precisa interagir com um usuário de uma rede PSTN.
PSTN Go Gi Gp
PSTN PSTN

CS- Mc
GMSC GGSN
MGW server

C
Gc
HSS
Nc
PSTN (HLR,AuC) Gn
Nb
Gr
D EIR
F Gf
G
VLR VLR
B Gs
B E SGSN
MSC server Nc MSC server
Mc
Mc
CN
CS-MGW CS-MGW
Nb
A Gb
IuCS IuCS IuPS
IuPS

BSS RNS
Iur
BSC RNC RNC
Abis Iub

BTS BTS Node B Node B


cell

Um Uu

ME

SIM-ME i/f or Cu

SIM USIM

MS

Figura 8 - “Release” 5 do UMTS - Configuração Básica de uma rede PLMN


Referência: 3GPP TS 23.002 - Figura 1.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


11
Foram feitas mudanças nas interfaces e nos protocolos necessários para as interações
destas novas entidades funcionais do IMS entre si, bem como entre elas e as demais
entidades UMTS. Por exemplo: o protocolo RADIUS (“Remote Authentication Dial In
User Service” – Serviço de Autenticação Remota de Usuário com Discagem) foi expandido,
gerando o protocolo DIAMETER, de forma a permitir tratar os diferentes tipos de sessões.

A CSCF interage com as demais entidades do UMTS, conforme mostrado na Figura 7,


usando protocolos que estão associados aos tipos de interfaces que podem ser vistos nesta
mesma figura. Por exemplo, para interação com a função de controle do MGW (MGC-F) a
interface Mg é usada. As demais interfaces podem ser vistas nas Figuras 7 e 8.

A PDF (“Policy Decision Function” – Função de Decisão de Políticas) trata as solicitações


de QoS.

A SLF (“Subscriber Location Function” – Função de Localização de Assinante) é usada


para localizar um certo assinante quando mais de um HSS é usado na mesma rede UMTS.
Quando há somente um HSS na rede a SLF não é usada.

A MRFC (“Multi-Media Resource Function Control” – Controle da Função de Recurso


Multimídia) gerencia os servidores destes recursos.

MRFP é a parte processadora da MRFC, isto é, provê os recursos controlados pelo MRFC.
Exemplo: para conferência entre várias partes, faz a combinação dos feixes de dados de
provenientes de cada uma das partes.

O ISIM (“IM Services Identity Module” – Módulo de Identidade de Serviços IM) pode ser
uma aplicação no UICC com todas as funções e dados de segurança IMS.

O protocolo de sinalização SIP (“Session Initiation Protocol” – Protocolo de Iniciação de


Sessão) é usado para as interações entre várias entidades do núcleo do IMS (CSCF, BGCF e
MGCF).

As interfaces de uma rede UMTS com IMS (“Release” 5 em diante) podem ser vistas na
Figura 8.

2.3 Identificação do Usuário UMTS

Há uma identidade permanente para o assinante e outra para seu equipmanento: IMSI
(International Mobile Subscriber Identity) - Identidade Internacional do Assinante Móvil e
IMEI (“International Mobile Station Equipment Identity”) – Identidade Internacional de
Equipamento de Estação Móvil.

O IMEI é um número único que é alocado para cada equipamento de estação móvil
individual numa rede pública terrestre de comunicação móvil e que somente é atribuído pelo
fabricante do móvil.

O IMSI é o número internacional que identifica o usuário UMTS em qualquer rede mundial
e é composto de várias partes, conforme Figura 9.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


12
Identidades Temporárias do Assinante:

São alocadas para manter confidencial a identidade do assinante na rede UMTS que
ele estiver usando. Cada uma delas é comunicada ao UE em forma cifrada. A partir
da atribuição de uma identidade temporária a um UE ele é identificado por ela para
todos seus serviços. São usadas duas indentidades temporárias – uma para os
serviços da rede de comutação de pacotes e outra para os serviços da rede de
comutação de circuitos. Cada uma delas tem significado somente na rede de
comutação associada: LA (“Location Area” - Área de Localização) ou RA
(“Routing Area” – Área de Roteamento) – que estão definidas no item 2.4.

TMSI (“Temporary Mobile Subscriber Identity” – Identidade Temporária de


Assinante Móvil):
usada na rede de comutação de circuitos; é alocada pelo VLR; possui 4
bytes; a partir da atribuição de uma TMSI a um UE ele é identificado pela
TMSI para todos seus serviços comutados por circuitos;

P-TMSI (“Packet TMSI” – TMSI para Pacotes):


usada na rede de comutação de pacotes; possui 3 bytes e é alocada pelo
SGSN e é comunicada de forma cifrada para o UE.

IMSI (“International Mobile Subscriber Identity”)


Identidade Internacional do Assinante Móvil

IMSI: até 15 dígitos

3 Dígitos 2 or 3 Dígitos

MCC MNC MSIM

NMSI

IMSI = “International Mobile Subscriber Identity” – Identidade Internacional do Assinante Móvil


MCC = “Mobile Country Code” – Código do País do Assinante
MNC = “Mobile Network Code (PLMN id)” – Código da Rede Móvil
MSIN = “Mobile Subscriber Identification Number” – Númeo de Identificação do Assinante Móvil
NMSI = “National Subscriber Identity” – Identidade Nacional do Assinante
PLMN = “Public Land Mobile Network” – Rede Pública Terrestre Móvil

Figura 9 - IMSI - Identidade Internacional do Assinante Móvil

RNTI (“Radio Network Temporary Identity ” – Identidade Temporária da Rede de


Rádio:

Austerli-UMTS Security-v9 - 2/7/2006 22:30


13
Além das duas identidades citadas acima a RNTI é usada como identidade
temporária entre o UE e a UTRAN e só tem significado na UTRAN. Assim
como a TMSI, a RNTI é usada para ocultar a identidade do assinante. A
relação entre a RNTI e a TMSI somente é conhecida pelo UE e pela
UTRAN.

2.4 Identificação da Localização do Usuário

Quando um assinante se move de um local para outro, vários mecanismos automáticos


“rastreiam” sua posição, de forma a saber onde ele está. Isto é usado, por exemplo, para que
o usuário possa receber chamadas. Sua localização é rastreada tanto sob o ponto de vista de
qual Nó B e qual RNC que o serve quanto sob o ponto de vista de qual SGSN e qual MSC
que o serve. Bases de dados centralizadas (no HLR / HSS e no SGSN), localizadas no
núcleo da rede UMTS mantêm sempre a última posição onde o assinante foi encontrado.

“Paging”
quando um usuário recebe uma chamada é preciso localizar onde ele está. Para isto
são enviadas mensagens de “busca” para tentar localizá-lo em todos Nós B da área
onde o assinante foi encontrado pela última vez que contactou a rede UMTS. Estas
mensagens de busca são denominadas “paging”.

“Roaming”.
é quando um usuário sai de sua rede de origem (“home network”) para ser atendido
por outra rede que está visitando (“serving / visited network”).

“Handover”
é a transferência de uma conexão de um usuário desde um canal de rádio a outro (em
um mesmo Nó B ou em outro diferente). Usa-se o termo “Hard Handoff” para
quando um usuário muda de uma portadora de um Nó B a outra, sem que mais de
uma portadora atenda ao mesmo usuário simultaneamente e “Soft Handoff”quando
um usuário muda de uma portadora a outra sem interrupção do atendimento, de
forma que, durante um certo tempo curto, de passagem de uma portadora a outra, há
mais de uma portadora atendendo ao mesmo usuário. O “Handoff” pode ocorrer
entre duas portadoras (“Soft Handoff”) ou três portadoras (“Softer Handoff”) de um
mesmo Nó B ou entre portadoras de diferentes Nós B.

LA (“Location Area”) - Área de Localização


Localiza o assinante na rede de comutação de circuitos.
É a subdivisão da área total da rede para otimizar a busca feita pelo “paging”.
Pode conter uma ou mais células (Nós B).
Em uma LA os Nós B associados aos RNCs devem estar na mesma MSC.
Não há atualização dos dados de localização enquanto um assinante está em uma
mesma LA.

RA (“Routing Area”) – Área de Roteamento


Localiza o assinante na rede de comutação de pacotes.
Pode estar relacionada com uma ou mais células (Nós B).
Está associada a um único SGSN.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


14
Não há atualização da localização para um móvel que continue dentro de uma
mesma RA.
Está sempre contida dentro de uma certa LA.

Áreas de Registro de Um Equipamento de Usuário em UMTS

SGSN 1 SGSN 2 SGSN 3

RA2 RA3 RA6


RA1 RA4 RA5 RA7
URA URA URA
URA URA URA URA URA URA
URA URA URA
URA URA URA URA URA URA
URA URA URA
LA1 LA2
LA3

MSC 1 MSC 2

Limites de LA, RA e SGSN Limites de LA, RA e MS Limites de RA e SGSN


Necessário atualizar LA e RA Necessário atualizar LA e RA Somente necessário atualizar RA

Nota: atualizações de RA são sempre necessárias quando o UE cruza o limite da RA.

Figura 10 – Áreas de Registro de um UE

Áreas de Registro do Equipamento do Usuário (UE)

O UMTS rastreia a localização de um UE através de vários tipos de áreas de registros:


1) em uma célula (Nó B de uma UTRAN): através da Área da Célula;
2) em uma UTRAN, através da URA (“UTRAN Registration Area” - Área de
Registro da UTRAN);
3) para a rede de comutação de circuitos (CS – “Circuit Switching”) através da
LA ( “Location Area” - Área de Localização);
4) para a rede de comutação de pacotes (PS – “Packet Switching”) através da RA
(“Routing Area” - Área de Roteamento).

Uma certa central de comutação móvel (MSC – “Mobile Switching Center”) pode conter
múltiplas LAs. UM SGSN pode controlar múltiplas RAs. Uma RA pode estar contida em
uma LA.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


15
2.5 Identificação do Usuário IMS

Um usuário IMS possui uma identidade pública e uma privada. Elas estão apresentadas a
seguir.

2.5.1 Identidade Privada de Usuário

Todo usuário do núcleo IMS precisa ter uma ou mais Identidade Privada de Usuário. Ela é
uma identidade global única definida pela operadora da rede de origem. Pode ser usada
dentro da rede de origem para identificar a assinatura do assinante (por exemplo,
capacidades de serviço IM). Ela identifica a assinatura e não o usuário. Não é usada para fins
de roteamento de mensagens SIP mas para solicitações de registro entre o UE e a rede de
origem.

Um ISIM armazena de forma segura esta identidade e não a pode modificar. Ela também
fica armazenada no HSS e pode ser usada nos registros de bilhetagem, conforme opção da
operadora.

A S-CSCF a obtém e a armazena após o registro do usuário.

Ela É atribuída pela operadora da rede de origem e é usada, por exemplo, para registro,
autorização, administração e bilhetagem.

Esta identidade segue a forma NAI (“Network Access Identifier” – Identificador de Acesso à
Rede) definida em [RFC2486].

Exemplos de NAI válidos encontrados em [RFC2486):

• fred@3com.com,

• fred@foo-9.com,

• fred@bigco.com,

• fred_smith@big-co.com, etc.

2.5.2 Identidade Pública de Usuário

Todo usuário IMS tem uma ou mais identidade pública. Ela é usada quando o usuário
solicita comunicação com outro usuário. Pode estar incluída, por exemplo, em um cartão de
identidade comercial.

Uma aplicação ISIM deve armazenar pelo menos uma identidade pública mas não a pode
modificar e não é necessário que todas identidades públicas adicionais de um certo usuário
sejam armazenadas na aplicação ISIM.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


16
As identidades públicas do usuário não são autenticads pela rede quando é feito o registro
do usuário.

Tanto o sistema de numeração telefônico quanto o da Internet pode ser usado como
endereço de usuário, conforme a identidade pública que o usuário tenha.

A identidade pública é da forma SIP URI (“Uniform Resource Identifier” – Identificador


Uniforme de Recurso) [RFC3261] e [RFC2396].

Exemplos de URI [RFC2396]:


• ftp://ftp.is.co.za/rfc/rfc1808.txt

• gopher://spinaltap.micro.umn.edu/00/Weather/California/Los%20Angeles

• http://www.math.uio.no/faq/compression-faq/part1.html

• mailto:mduerst@ifi.unizh.ch

• news:comp.infosystems.www.servers.unix

• telnet://melvyl.ucop.edu/

O roteamento da sinalização SIP no IMS é feito usando URIs SIP ou outra URI absoluta
[RFC2396].

O formato telefônico de um número discado [E164] não é usado para roteamento dentro do
IMS e quando há uma solicitação de sessão com identidade baseada neste formato é preciso
fazer conversão deste formato para o formato URI SIP para uso interno no IMS.

Os nós IMS que usam SIP são identificados por uma URI SIP (CSCF, BGCF e MGCF) nas
interfaces que usam o protocolo SIP, ex.:
• Gm (UE/P-CSCF),

• Mw CSCF/CSCF mesma rede IMS),

• Mm (CSCF/ outra rede IP) e

• Mg (MGCF/CSCF).

Estas URIs SIP identificam estes nós nas mensagens SIP mas isto não quer dizer que tais
URIs sejam publicadas de forma global via DNS.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


17

3 Especificações 3GPP

Os aspectos de segurança das redes UMTS podem ser encontrados na série 33 de


especificações do 3GPP [SÉRIE33] e os algoritmos de segurança na série 35 [SÉRIE35]. As
especificações identificadas com (*) foram descontinuadas mas estão marcadas somente
para evemtuais referências.

TS 33.102 3G security; Security architecture


TS 33.103 3G security; Integration guidelines
TS 33.105 Cryptographic algorithm requirements
TS 33.106 Lawful interception requirements
TS 33.107 3G security; Lawful interception architecture and functions
TS 33.108 3G security; Handover interface for Lawful Interception (LI)
Bootstrapping of application security using AKA and support for subscriber certificates; System
TS 33.109 (*)
description

TS 33.110 Key establishment between a UICC and a terminal

TS 33.120 Security Objectives and Principles


TS 33.141 Presence service; Security
3G Security; Network Domain Security (NDS); Mobile Application Part (MAP) application
TS 33.200
layer security
TS 33.201 Access domain security
TS 33.203 3G security; Access security for IP-based services
3G Security; Network Domain Security (NDS); Transaction Capabilities Application Part
TS 33.204
(TCAP) user security
TR 33.20U Security principles for the UMTS (*)
TS 33.210 3G security; Network Domain Security (NDS); IP network layer security
TS 33.21U Security requirements (*)
TS 33.220 Generic Authentication Architecture (GAA); Generic bootstrapping architecture
TS 33.221 Generic Authentication Architecture (GAA); Support for subscriber certificates
Generic Authentication Architecture (GAA); Access to network application functions using
TS 33.222
Hypertext Transfer Protocol over Transport Layer Security (HTTPS)
TS 33.234 3G security; Wireless Local Area Network (WLAN) interworking security
TS 33.246 3G Security; Security of Multimedia Broadcast/Multicast Service (MBMS)
TS 33.310 Network domain security; Authentication framework (NDS/AF)
TR 33.800 Principles for Network Domain Security (*)
TR 33.801 Access security review
TR 33.802 Feasibility study on IMS security extensions
3G Security; Network Domain Security / Authentication Framework (NDS/AF); Feasibility
TR 33.810
Study to support NDS/IP evolution
Feasibility study on (Universal) Subscriber Interface Module (U)SIM security reuse by
TR 33.817
peripheral devices on local interfaces
TR 33.878 Security aspects of early IMS (*)
TR 33.900 Guide to 3G security
TR 33.901 Criteria for cryptographic Algorithm design process
TR 33.902 Formal Analysis of the 3G Authentication Protocol
TR 33.903 Access Security for IP based services
TR 33.904 Report on the Evaluation of 3GPP Standard Confidentiality and Integrity Algorithms (*)
TR 33.905 Trust recommendations for open platforms
3G Security; General report on the design, specification and evaluation of 3GPP standard
TR 33.908
confidentiality and integrity algorithms

Austerli-UMTS Security-v9 - 2/7/2006 22:30


18
3G Security; Report on the design and evaluation of the MILENAGE algorithm set; Deliverable
TR 33.909
5: An example algorithm for the 3GPP authentication and key generation functions
3G Security; Network Domain Security / Authentication Framework (NDS/AF); Feasibility
TR 33.910 (*)
Study to support NDS/IP evolution
(Universal) Subscriber Interface Module (U)SIM security reuse by peripheral devices on local
TR 33.917 (*)
interfaces
Generic Authentication Architecture (GAA); Early implementation of Hypertext Transfer
TR 33.918 Protocol over Transport Layer Security (HTTPS) connection between a Universal Integrated
Circuit Card (UICC) and a Network Application Function (NAF)
TR 33.919 3G Security; Generic Authentication Architecture (GAA); System description
TR 33.920 SIM card based Generic Bootstrapping Architecture (GBA); Early Implementation Feature
Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) Push
TR 33.923
function
TR 33.941 Presence service; Security
TR 33.978 Security aspects of early IP Multimedia Subsystem (IMS)
Liberty Alliance and 3GPP security interworking; Interworking of Liberty Alliance Identity
TS 33.980 Federation Framework (ID-FF), Identity Web Services Framework (ID-WSF) and Generic
Authentication Architecture (GAA)
(*) – somente para referência; especificação descontinuada.

TS 35.10U UMTS Terminal aspects;Man Machine Interface (MMI) (*)


Specification of the 3GPP confidentiality and integrity algorithms; Document 1: f8 and f9
TS 35.201
specification
Specification of the 3GPP confidentiality and integrity algorithms; Document 2: Kasumi
TS 35.202
specification
Specification of the 3GPP confidentiality and integrity algorithms; Document 3: Implementors'
TS 35.203
test data
Specification of the 3GPP confidentiality and integrity algorithms; Document 4: Design
TS 35.204
conformance test data
3G Security; Specification of the MILENAGE Algorithm Set: An example algorithm set for the
TS 35.205 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 1:
General
3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the
TS 35.206 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 2:
Algorithm specification
3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the
TS 35.207 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 3:
Implementors’ test data
3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the
TS 35.208 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 4:
Design conformance test data
3G Security; Specification of the MILENAGE algorithm set: An example algorithm Set for the
TS 35.209 3GPP Authentication and Key Generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 5: (*)
Summary and results of design and evaluation
Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document
TS 35.215
1: UEA2 and UIA2 specifications
Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document
TS 35.216
2: SNOW 3G specification
Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document
TS 35.217
3: Implementors’ test data
Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document
TS 35.218
4: Design conformance test data
3G Security; Specification of the MILENAGE algorithm set: an example algorithm set for the
TR 35.909 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*; Document 5:
Summary and results of design and evaluation

Austerli-UMTS Security-v9 - 2/7/2006 22:30


19
Specification of the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2; Document
TR 35.919
5: Design and evaluation report
(*) – somente para referência; especificação descontinuada.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


20

4 Tipos de Ataques

Há cinco tipos de ataques aos quais um usuário pode estar sujeito em uma rede móvil
[TEK]:
1. roubo de voz e dados (“eavesdropping”);
2. identificação não autorizada;
3. uso não autorizado dos serviços;
4. ofender a integridade dos dados (falsificação dos dados);
5. observação ilegal:
a. deteção da localização corrente;
b. observação da relação de comunicação (quem está falando com quem);
c. geração de perfis de comportamento.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


21

5 Visão Geral dos Recursos de Segurança em UMTS

Há cinco grupos de recursos para prover segurança nas redes UMTS. Cada um deles tem por
objetivo resolver diferentes tipos de problemas.

1) Segurança de acesso à Rede


Provê recursos para acesso seguro dos usuários à rede UMTS e os protege contra
ataques na interface aérea (letra A na Figura 11).

2) Segurança no Domínio da Rede


Provê recursos contra ataques nos núcleos das redes UMTS e permite que os nós das
redes troquem sinalização de dados entre si de forma segura e protegem contra
ataques na parte cabeada da rede UMTS (letra B na Figura 11).

3) Segurança no Domínio do Usuário


Provê acesso seguro às estações móveis (letra C na Figura 11).

4) Segurança no Domínio da Aplicação


Provê troca segura de mensagens entre as aplicações no usuário e no domínio do
provedor (letra D na Figura 11).

5) Visibilidade e capacidade de configuração da segurança


Permite ao usuário saber se um certo recurso de segurança está ou não ativado em
um certo instante e se o uso e aprovisionamento de serviços dependem do recurso de
segurança.

Aplicação
(D)
Usuário Provedor

(A) (A)
(C)
USIM HE
(B)
(A) (A) Re Rede Origem / Servidora
SN

(A)
ME AN

Transporte
Figura 11 - Arquitetura de Segurança do UMTS (baseada na Figura 1 de
[TS33102]). Nota: ver “Abreviaturas e Acrônimos” no final da dissertação.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


22

5.1 Segurança de acesso à Rede

5.1.1 Confidencialidade da Identidade do Usuário

Conforme [TS33102] os seguintes recursos devem ser providos:

1) Confidencialidade da identidade do usuário: a identidade permanente do


usuário (IMSI) não deve poder ser “obtida” (“eavesdropped”) na interface aérea.

2) Confidencialidade da localização do usuário: a presença ou a chegada de um


certo usuário em uma certa área não deve poder ser determinada “por escuta”
(“eavesdropping”) na interface aérea.

3) Incapacidade de rastreio de usuário: um intruso não deve poder deduzir que


diferentes serviços são providos a um certo usuário, “escutando” o enlace de rádio.

Para obter estes recursos o usuário em geral é identificado por uma identidade temporária,
através da qual ele é conhecido pela rede servidora visitada.

Este mecanismo deve ser usado nas solicitações de atualização de localização, solicitações
de serviços, solicitações de desligamento (“dettach”), solicitações de re-estabelecimento de
conexão, etc.

A identidade temporária não é usada por um período de tempo longo para evitar que o
usuário possa ser rastreado.

Todos os dados do usuário bem como a sinalização associada a ele (que possa revelar a
identidade do usuário) são cifrados na rede de acesso por rádio.

5.1.2 Autenticação de uma entidade

Tanto o usuário quanto a rede devem ser autenticados. Através da autenticação do usuário a
rede servidora valida a identidade do usuário. Através da autenticação da rede, o usuário se
assegura que a rede à qual está se conectando como rede servidora é uma rede autorizada
pelo seu HE – que provê serviços para tal usuário.

A autenticação da entidade ocorre a cada conexão entre a rede e o usuário. São usados dois
mecanismos:
1) um mecanismo de autenticação que usa um vetor de autenticação que é fornecido
pelo HE do usuário à rede servidora e

2) um mecanismo de autenticação local que usa uma chave de integridade


estabelecida entre o usuário e a rede servidora durante a execução anterior da
autenticação e o procedimento de estabelecimento de chave associado.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


23

5.1.3 Confidencialidade

Inclue os seguintes aspectos:


1) acordo de algoritmo de cifragem:
a MS e a SN negociam o algoritmo que deverá ser usado;
2) acordo de chave de cifragem:
a MS e a SN acordam entre si o algoritmo que deverá ser usado;
3) confidencialidade dos dados do usuário:
os dados do usuário não podem ser “escutados” (“overhead”) na interface de
acesso de rádio;
4) confidencialidade da sinalização de dados:
a sinalização de dados não pode ser “escutada” (“overhead”) na interface de
acesso de rádio.

Para isto é feito um acordo de chave de cifragem durante a execução do mecanismo de


autenticação e estabelecimento de acordo de chave.

5.1.4 Integridade de Dados

Inclue os seguintes aspectos:

1) acordo de algoritmo de integridade a ser usado:


a MS e a SN negociam, de forma segura, o algoritmo de integridade que elas
irão usar;
2) acordo de chave de integridade que será usada:
feito entre a MS e a SN;
3) autenticação de origem e integridade de dados dos dados de sinalização:
a entidade recebedora (MS ou SN) verifica se a sinalização de dados não foi
modificada de forma não autorizada desde que ela foi enviada pela entidade
enviadora (SN ou MS) e que a origem dos dados de sinalização recebidos é
efetivamente aquele que é apresentado.

O acordo de chave de integridade é feito durante a execução do mecanismo de


autenticação e estabelecimento de chave.

O acordo de algoritmo de integridade é feito por meio de um mecanismo de


negociação do modo de segurança entre o usuário e a rede.

5.1.5 Identificação do Equipamento Móvil

O SN pode solicitar que o MS lhe envie o IMEI do terminal. O IMEI deve ser armazenado
de forma segura no terminal mas sua apresentação para a rede é permitida e pode ser feita
sem proteção.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


24
5.2 Segurança no Domínio da Rede

Diz respeito ao Sistema de Obtenção de Informações de Fraudes mas os recursos para


troca de informação entre provedores UMTS ainda estão pendentes para serem definidos.

5.3 Segurança no Domínio do Usuário

Autenticação do Usuário Para USIM: o acesso ao USIM é restrito até que ele tenha
autenticado o usuário. Para isto, o usuário e o USIM compartilhanm um número secreto (por
exemplo, um PIN (“Personal Identification Number”) – Número de Identificação Pessoal -
que é armazenado de forma segura no USIM.

Interconexão USIM-Terminal: o acesso a um terminal ou outro equipamento do usuário


pode ser restringido a um USIM autorizado. Para isto, o USIM e o terminal compartilham
um segredo que é armazenado em ambos.

5.4 Segurança no Domínio da Aplicação

Troca Segura de Messagens entre o USIM e a Rede: permite que as operadoras ou


terceiros possam criar aplicações que residam no USIM. O nível de segurança das
mensagens trocadas com a rede pelas aplicações USIM é escolhido pela operadora ou pelo
provedor da aplicação.

5.5 Visibilidade e capacidade de configuração da segurança

A visibilidade é a capacidade de informar o usuário sobre aspectos relacionados à segurança


tais como os listados a seguir.

1) Indicação de uso de cifragem para acesso à rede: o usuário é informado se a


confidencialidade dos dados do usuário está protegida no enlace de rádio, principalmente
quando o estabelecimento de chamadas é feito sem uso de cifragem.

2) Indicação do nível de segurança: o usuário é informado sobre o nível de segurança que


é provido pela rede visitada, particularmente quando o usuário passa para uma rede de
menor nível de segurança (3G para 2G) através de “handover” ou “roaming”.

A capacidade de configuração permite ao usuário configurar se o uso ou o aprovisionamento


de um serviço deve depender de um certo recurso de segurança estar ou não em operação.
Por exemplo:
1) habilitar ou inibir a autenticação usuário-USIM;
2) aceitar ou rejeitar chamadas terminadas não cifradas;
3) iniciar ou não chamadas quando os recursos de cifragem não estão habilitados
pela rede;
4) aceitar ou rejeitar o uso de certos algoritmos de cifragem.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


25

6 Mecanismos de Segurança de Acesso à Rede UMTS

6.1 Identificação por Identidades Temporárias

Este mecanismo é usado para identificar um usuário no enlance de acesso por rádio através
de uma identidade temporária do assinante móvil (TMSI / P-TMSI). A associação entre as
identidades temporárias é feita pelo VLR / SGSN em que o usuário estiver registrado.
Sempre que um usuário deixa uma LA ou uma RA é necessário fazer a atualização
associada. Estas identidades temporárias são usadas nas solicitações de “paging”,
atualizações de localização, solicitações de “conexão” e “desconexão” (“attach” e
“detach”), solicitações de serviços, solicitações de re-estabelecimento de conexões, etc.

6.2 AKA (Autenticação e Acordo de Chave)

O mecanismo AKA (“Authentication and Key Agreement” - Autenticação e Acordo de


Chave) foi escolhido de forma a manter compatibilidade com os mecanismos de segurança
usados nas redes GSM. Permite autenticação mútua do usuário e da rede através do uso de
uma chave secreta K (“key” - Chave). A chave secreta K é uma chave secreta de longa
duração, compartilhada entre o USIM e o AuC; é mantida tanto no USIM quanto no AuC
na HE do usuário.

O método consiste de um protocolo de desafio e resposta idêntico ao protocolo de


autenticação de assinante e estabelecimento de chave usado no GSM, combinado com um
protocolo de um passo baseado em um número de sequência para autenticação da rede
conforme [ISO9798].

É também provida a autenticação da rede através dos contadores (SQNMS e SQNHE).


Um número sequencial SQNHE é usado como um contador individual para cada usuário. O
seu uso é específico para os métodos de geração e verificação dos números de sequência.
Um método para gerar este número no AuC e outro para verificar este número no USIM
pode ser visto em [TS33102]. O número sequencial SQNMS indica o maior número de
sequência aceito pelo USIM.

Ao receber uma solicitação do VLR / SGSN, o HE / AuC envia uma matriz de n vetores de
autenticação (equivalente à tripla (“triplet”) do GSM) para o VLR / SGSN. Estes vetores são
ordenados com base em um número de sequência (ver passos 1 e 2 na Figura 12). Cada
vetor possui 5 elementos (“quintet”- “quinteto”):
1)- um número aleatório (RAND),
2)- uma resposta esperada (XRES),
3)- uma chave de cifragem (CK),
4)- uma chave de integridade (IK) e
5)- uma ficha de autenticação (AUTN).

Cada vetor de autenticação é adequado para uma autenticação e um acordo de chave entre o
VLR / SGSN e o USIM.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


26

Quando o VLR / SGSN inicia uma autenticação e acordo de chave, ele seleciona o próximo
vetor de autenticação da matriz ordenada e envia os parâmetros RAND e AUTN para o
usuário (passo 3 na Figura 12).

Os vetores de autenticação em um certo nó UMTS são usados segundo uma mesma ordem:
o primeiro que entra é o primeiro que sai.

O USIM checa se o AUTN pode ser aceito e produz um RES que é enviado de volta ao
VLR / SGSN (passo 4 na Figura 12). O USIM também calcula CK e IK.

O VLR / SGSN compara o RES recebido com o XRES. Se eles “batem” um com o outro, o
VLR / SGSN considera a autenticação e acordo de chave bem sucedida.

As chaves CK e IK que foram estabelecidas serão transferidas pelo USIM e pelo o VLR /
SGSN para as entidades que forem usar as funções de cifragem e integridade (passo 5 na
Figura 12).

Procedimentos de Autenticação do UMTS

MS/USIM UTRAN SGSN / VLR HE / AuC


1
Enviar informações de Autenticação
(Send Authentication Info)

2
Enviar reconhecimento de
informação de autenticação
[Send Authentication Info Ack
(authentication quintet vectors)]

RAND, AUTN,
3 XRES, CK, IK
Solicitação de Autenticação e Cifragem
[Authentication & Ciphering Request (RAND, AUTN)]

USIM :
- AUTN ok
- new CK & IK

4
Resposta de Autenticação e Cifragem
[Authentication & Ciphering Response (RES)]
VLR/SGSN:
RES & XRES
5 ok
A partir daqui a cifragem pode ser usada

Figura 12 - Procedimentos de Autenticação do UMTS

O VLR / SGSN pode oferecer um serviço seguro mesmo quando os enlaces HE / AuC não
estão disponíveis. Para isto são usadas chaves de cifragem e de integridade previamente
derivadas para um usuário de forma que uma conexão segura possa ainda ser estabelecida
sem a necessidade de um acordo de autenticação e chave.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


27
Nos casos em que há interoperação entre GSM e UMTS (por exemplo, quando há
handover entre estas duas tecnologias e o GSM usado é anterior ao “Release” 99) é preciso
obter os três parâmetros (“triplet”, triplas) do GSM (equivalentes ao quinteto do UMTS).
Para isto são usadas funções de conversão que permitem obter as triplas do GSM a partir dos
quintetos do UMTS. Três funções de conversão (c1, c2 e c3) são definidas:
• c1: RAND[GSM] = RAND
• c2: SRES[GSM] = XRES*1 xor XRES*2 xor XRES*3 xor XRES*4
• c3: Kc[GSM] = CK1 xor CK2 xor IK1 xor IK2
Mais detalhes podem ser vistos em [TS33102].

6.2.1 Gerenciamento de Autenticação pela Operadora

O Campo AMF (“Authentication Management Field” – Campo de Gerenciamento de


Autenticação) indica o uso de parâmetros adicionais específicos para o gerenciamento de
segurança no domínio de uma certa operadora. O seu formato e a sua interpretação pelo
USIM deve ser o mesmo para todas as implementações no domínio da operadora.

Exemplos de uso do AMF:

1) – suportar múltiplos algoritmos de autenticação e chaves;


• isto é útil para recuperação em disastres; o AMF pode ser usado para indicar o
algoritmo e a chave usada para gerar um AV específico; o USIM rastreia o
algoritmo de autenticação e o identificador da chave e atualiza-o de acordo com
o valor recebido na ficha de autenticação aceita na rede (AUTN);

2) – mudar os parâmetros de verificação do número de sequência;


• o USIM pode estabelecer um limite L da diferença entre o SEQMS (o maior
número de sequência recebido até então) e o número de sequência recebido
(SEQ); é util ter um mecanismo para mudar L dinamicamente uma vez que o
melhor valor a usar pode mudar ao longo do tempo; o AMF é usado para indicar
o novo valor L a ser usado pelo USIM;

3) – estabelecer valores limites para restringir o tempo de vida das chaves de cifragem e
integridade.

6.2.2 Geração do Vetor de Autenticação pelo HE / AuC

O HE e o AuC geram o AV (“Authentication Vector” - Vetor de Autenticação) conforme


explicado a seguir (ver Figura 13).

Inicialmente é gerado um número de sequência (SQN), um número aleatório para a


sequência de desafio (RAND) e um contador para cada usuário (SQNHE).

O AV é calculado a partir do SQN, do RAND, do AMF e da chave secreta de longa


duração (K). Estes dados são usados como informações de entrada em 5 algoritmos (f1 a f5)

Austerli-UMTS Security-v9 - 2/7/2006 22:30


28
que são usados para calcular, respectivamente, os diferentes elementos do AV listados a
seguir.
1)- MAC (“Message Authentication Code” – Código de Autenticação de
Mensagem)
• MAC = f1K(SQN || RAND || AMF)
onde f1 é uma função de autenticação de mensagem.

2)- XRES (“Expected Response” - Resposta Esperada) para o número de desafio


aleatório (RAND , “Random challenge”)
• XRES = f2K (RAND)
onde f2K é uma função de autenticação de mensagem.
3)- CK ( “Cipher Key” - Chave de Cifragem)
• CK = f3K (RAND)
onde f3K é uma função de geração de chave.
4)- IK (“Integrity Key” - chave de integridade)
• IK = f4K (RAND)
onde f4K é uma função de geração de chave.
5)- AK (“Anonymity Key” – Chave de Anonimato)
• AK = f5K (RAND)
onde f5K é uma função de geração de chave ou f5 ≡ 0.
AK é usada como chave para manter a anonimidade quando o uso de SQN
puder expor a identidade e a localização do usuário. O objetivo de esconder o
número de sequência é proteger contra ataques passivos. Se isto não for
necessário, então
f5 ≡ 0 (AK = 0).

Usando SQN, AK, AMF e MAC, é calculada a ficha de autenticação (AUTN), usando
operações lógicas - “OU exclusivo” (⊕) e concatenação (||):
• AUTN := SQN ⊕ AK || AMF || MAC

O vetor de autenticação (AV) é calculado usando RAND, XRES, CK, IK, AUTN e
operações lógicas de concatenação (||):
• AV := RAND || XRES || CK || IK || AUTN

Austerli-UMTS Security-v9 - 2/7/2006 22:30


29
Gera SQN

Gera RAND

SQN
RAND
AMF

f1 f2 f3 f4 f5

MAC XRES CK IK AK

AUTN := SQN ⊕ AK || AMF || MAC

AV := RAND || XRES || CK || IK || AUTN

Figura 13 - Geração do Vetor de Autenticação pelo HE / AuC

Identificação do Parâmetro Tamanho


AK “Anonymity Key” Chave de Anonimato 48 bits
AMF “Authentication management field” Campo de Gerenciamento de Autenticação 16 bits
AUTN “Authentication Token” Ficha de Autenticação 64 bits
AV “Authentication Vector” Vetor de Autenticação
CK “Cipher Key” Chave de Cifragem 128 bits
IK “Integrity Key” Chave de Integridade 128 bits
K “Authentication Key Chave de Autenticação 128 bits
MAC “The message authentication code” Código de Autenticação de Mensagem 64 bits
RAND “Random challenge” Desafio Aleatório 128 bits
SQN “Sequence number” Número de Sequência 48 bits
SQNHE “Individual sequence - HLR/AuC” Número Individual de Sequência para cada
Usuário mantido no HLR/AuC.
SQNMS “The highest sequence number- O maior número de sequência recebido pelo
USIM” USIM
XRES “Expected Response” Resposta Esperada 4 a 16 bytes
Tabela 1 - Parâmetros usados no AKA

6.2.3 Os Procedimentos Usados no AKA (Autenticação e Acordo de Chave)

Conforme dito anteriormente, este procedimento autentica o usuário e estabelece um novo


par de chaves de cifragem e de integridade entre o VLR/SGSN e o USIM.
Durante a autenticação o USIM verifica quão recente é o vetor de atualização que está sendo
usado.
A seguir mostramos como o procedimento funciona.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


30

USIM VLR/SGSN

Solicitação de Autenticação do Usuário


(User authentication request [RAND || AUTN])

Resposta de Autenticação do Usuário


(User authentication response[RES])

Rejeição de Autenticação de Usuário


(User authentication reject[CAUSE])

Figura 14 - Autenticação e Acordo de Chave

O VLR / SGSN seleciona o próximo AV ainda não usado e invoca o procedimento.

O VLR / SGSN envia o desafio aleatório (RAND) ao USIM, junto com a ficha de
autenticação da rede (AUTN).

Usando RAND, K e a função f5, o USIM calcula a chave de anonimato (AK, ver Figura 15):
• AK = f5K (RAND)

RAND AUTN

f5 SQN ⊕ AK AMF MAC

AK ⊕

SQN
K

f1 f2 f3 f4

XMAC RES CK IK

Verifica se MAC = XMAC

Verifica se SQN está na faixa permitida

Figura 15 – Função de Autenticação do Usuário no USIM

Com AK o USIM obtém SQN:


• SQN = (SQN ⊕ AK) ⊕ AK.

A seguir, usando K, SQN, AMF (contido de AUTN) e RAND (recebido na mensagem


recebida do VLR / SGSN), o USIM calcula XMAC (“The Expected Message
Authentication Code” – o Código de Autenticação de Mensagem que é Esperado pelo
USIM):
• XMAC = f1K (SQN || RAND || AMF)

Austerli-UMTS Security-v9 - 2/7/2006 22:30


31
O USIM compara XMAC com MAC. Se eles não são iguais o USIM envia uma
mensagem de rejeição para o VLR / SGSN indicando a causa e interrompe o procedimento.
Neste caso o VLR / SGSN inicia um procedimento de relatório de falha de autenticação para
o HLR. O VLR / SGSN também pode iniciar um novo procedimento de autenticação com o
USIM.

A seguir o USIM verifica se o número de sequência (SQN) está na faixa correta.

Se o USIM considerar que o número de sequência não está correto ele envia uma mensagem
de falha de sincronização para o VLR / SGSN e interrompe o processo. Esta mensagem do
USIM para o VLR / HLR leva o parâmetro AUTS (“Authentication Token
Synchronization” – Sincronização de Ficha de Autenticação). Este parâmetro é calculado
pelo USIM conforme mostrado na Figura 16, levando em conta os seguintes parâmetros:

· AK: “Anonymity Key” Chave de Anonimato


· AMF: “Authentication management field” Campo de Gerenciamento de Autenticação
· RAND: “Random challenge” Desafio Aleatório
· SQNMS: “The highest sequence number-USIM” O maior número de sequência recebido pelo USIM
SQNMS
K
RAND
AMF
f1* f5* xor

MAC-S AK SQNMS ⊕ AK

AUTS = SQNMS ⊕ AK || MAC-S

Figura 16 - Construção do parâmetro AUTS

AUTS = Conc(SQNMS ) || MAC-S


• onde:
o Conc(SQNMS) é o valor do contador SQNMS na MS (“Concealed value of
the counter SQNMS in the MS”) e é calculado por:
Conc(SQNMS) = SQNMS ⊕ f5*K(RAND)
o f5* é a função de geração usada para calcula AK nos procedimentos de
resincronização;
 nenhuma informação de valor a respeito de f1, f1*, f2, ... , f5 pode
ser inferida dos valores da função f5* e vice-versa
o MAC-S = f1*K(SQNMS || RAND || AMF)
o RAND = o valor aleatório recebido na solicitação em curso de autenticação
do usuário
o f1* = uma função de código de autenticação de mensagem (MAC);
 nenhuma informação de valor a respeito de f1, ... , f5, f5* pode ser
inferida dos valores de f1* e vice-versa

Se o USIM considerar que o número de sequência está na faixa correta, o USIM calcula
RES = f2K (RAND)

Austerli-UMTS Security-v9 - 2/7/2006 22:30


32
e inclui este parâmetro na resposta de autenticação do usuário que é enviada de volta ao
VLR / SGSN.
A seguir o USIM calcula a chave de cifragem (CK) e a chave de integridade (IK):
CK = f3K (RAND)
IK = f4K (RAND)

Note que RES, CK e IK também podem ser calculados tão logo RAND é recebido.
Se o USIM suportar a função de conversão c3 (para interoperação entre UMTS e GSM), a
chave de cifragem GSM (Kc) deve ser obtida a partir de CK e IK.

O USIM deve guardar CK e IK até a próxima execução bem sucedida do AKA.

Ao receber a resposta de autenticação do usuário o VLR / SGSN compara o RES recebido


com o XRES do vetor de autenticação selecionado. Se XRES é igual a RES a autenticação
do usuário foi bem sucedida. O VLR / SGSN seleciona as chaves de cifragem (CK) e de
integridade (IK) apropriadas do vetor de autenticação selecionado. Se XRES e RES são
diferentes, o VLR / SGSN inicia um relatório de falha de autenticação para o HLR. O VLR /
SGSN também pode iniciar um novo processo de autenticação como o usuário.

Como o USIM verifica SQN, a MS rejeita tentativas do VLR / SGSN reusarem um certo
quinteto para estabelecer um contexto de segurança no UMTS mais que uma vez. Em geral
o quinteto é usado uma única vez. No entanto o VLR / SGSN podem retransmitir um
mesmo quinteto quando o VLR / SGSN envia uma mensagem de solicitação de autenticação
e recebe uma mensagem de rejeição da MS (ou não recebe uma mensagem de resposta da
MS). Tão logo a mensagem de resposta chegar não mais pode ser usada qualquer
retransmissão do mesmo quinteto.

6.3 UIA: Algoritmo de Integridade do UMTS

O Algoritmo de Integridade do UMTS (UIA,“UMTS Integrity Algorithm”) atualmente


definido é o Kasumi. Corresponde à função f9 do UMTS ([TS35201] e [TS35202]), é
denominado UIA1, identificado pelo número 1 em um campo de 4 bits ("00012") e é de
implementação obrigatória nos UEs e RNCs.

O algoritmo de integridade f9 calcula um Código de Autenticação de Mensagem (MAC,


“Message Authentication Code”) em uma mensagem de entrada, usando uma chave de
integridade IK. Não há limite no comprimento da mensagem de entrada. Para facilitar a
implementação o mesmo bloco de cifragem usado em f9 (KASUMI) é também usado pelo
algoritmo de confidencialidade (f8) e está detalhado em [TS35202].

As entradas do algoritmo estão listadas na Tabela 2 e a saída na Tabela 3.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


33
ParâmetroTamanho Comentário
(bits)
COUNT-I 32 Entrada dependente do quadro COUNT-I[0]…COUNT-I[31]
FRESH 32 Número Aleatório FRESH[0]…FRESH[31]
DIRECTION 1 Direção de Transmissão DIRECTION[0]
IK 128 Chave de Integridade IK[0]…IK[127]
LENGTH Número de bits a serem tratados (‘MAC’d)
MESSAGE LENGTH Feixe de bits de entrada
Tabela 2 - Entradas para f9

Parâmetro Tamanho Comentário


(bits)
MAC-I 32 Código de Autenticação de Mensagem MAC-I[0]…MAC-I[31]
Tabela 3 - Saída de f9
As variáveis usadas por f9 são listadas abaixo
A, B variávies auxiliaries de 64 bits, usadas para guardar valores de cálculos
intermediários
BLOCKS indica o número de aplicações sucessivas de KASUMI que precisam ser
aplicadas
COUNT entrada que varia com o tempo, 32-bits
DIRECTION entrada de um bit para indicar a direção da transmissão (“uplink” ou
“downlink”).
FRESH entrada aleatória de 32-bits
KM uma constante de 128 bits - que é usada para modificar uma chave
LENGTH número de bits do feixe de entrada
MAC-I Código de Autenticação de Mensagem (MAC), 32 bits, saída de f9
MESSAGE feixe de bits de entrada de comprimento dado por LENGTH bits que
será processado por f9
PS feixe de entrada com bits de preenchimento adicionais (“padding”) a ser
processado por f9

Os componentes e a arquitetura podem ser vistos nas Figuras 17 e 18.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


34
COUNT || FRESH || M E S S A G E || DIRECTION || 1 || 0 … 0

PS0 PS1 PS2 PSBLOCKS-1

IK KASUMI IK KASUMI IK KASUMI IK KASUMI

IK ⊕ KM KASUMI

MAC-I (left 32-bits)

Figura 17 – Função de Integridade f9

KASUMI é usado de forma encadeada para gera um resumo (“digest”) de 64 bits da


mensagem de entrada. Os 32 bits mais da esquerda do resumo são tomados como valor de
saída MAC-I.

Detalhes sobre o funcionamento da arquitetura acima podem ser encontrados em [35202].

KASUMI tem um conjunto de características que podem ser exploradas para permitir uma
fácil implementação em hardware. Por exemplo: precisa de pouca lógica combinacional (ao
invés de grandes tabelas), algumas caixas podem ser implementadas em paralelo (como S7 e
S9 em FI, na Figura 18), etc.

No início dos cálculos, as variáveis auxiliares A e B, usadas para guardar valores de cálculos
intermediários e KM, uma constante de 128 bits - que é usada para modificar uma chave -
recebem os valores iniciais indicados abaixo:

A = 0
B = 0
KM = 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Austerli-UMTS Security-v9 - 2/7/2006 22:30


35

L0 64 R0 32 16
32 32 16 16 9 7
KL1 KO1, KI1 KOi,1
S9
FL1 FO1 FIi1 KIi,1
zero-extend

KO2, KI2 KL2


KOi,2 S7
FO2 FL2 truncate
FIi2 KIi,2
KIi,j,1 KIi,j,2
KL3 KO3, KI3

FL3 FO3 KOi,3 S9

FIi3 KIi,3 zero-extend


KO4, KI4 KL4

FO4 FL4
S7

truncate
KL5 KO5, KI5

FL5 FO5

Fig.2: FO Function Fig.3: FI Function


KO6, KI6 KL6
32
FO6 FL6 16 16

KLi,1
KL7 KO7, KI7

FL7 FO7 KLi,2

KO8, KI8 KL8

FO8 FL8

bitwise AND operation

bitwise OR operation
L8 R8
one bit left rotation
C

Fig. 1: KASUMI Fig.4: FL Function

Figura 18 – KASUMI (1a parte)


Referência: [TS35202] - Figuras 1 a 4

Austerli-UMTS Security-v9 - 2/7/2006 22:30


36
16 32
9 7 16 16

S9 S7
FIi,1 FIi,2

S9 S7 FIi,3

Fig.5: FI Function Fig.6: FO Function

Figura 18 – KASUMI (2a parte)


Referência: [TS35202] - Figuras 5 e 6

Concatena-se COUNT, FRESH, MESSAGE e DIRECTION. Adiciona-se um único “1”,


seguido de 0 a 63 bits “0”, de forma que o comprimento total do string resultante, PS seja
múltiplo de 64 bits:
PS = COUNT[0]…COUNT[31] FRESH[0]…FRESH[31] MESSAGE[0]…
MESSAGE[LENGTH-1] DIRECTION[0] 1 0*
onde 0* indica 0 a 63 bits “0”.

Os bits do feixe de entrada com bits de preenchimento adicionais (PS) são divididos em
blocos de 64 bits PSi onde
PS = PS0 || PS1 || PS2 || …. || PSBLOCKS-1
onde BLOCKS indica o número de aplicações sucessivas de KASUMI que precisam ser
aplicadas.

Para cada n na faixa 0 ≤ n ≤ BLOCKS-1 as seguintes operações são feitas:


A = KASUMI[ A ⊕ PSn ]IK
B = B⊕A
Faz-se uma aplicação adicional de KASUMI usando uma forma modificada da chave de
integridade IK:
B = KASUMI[ B ]IK ⊕ KM

os 32-bits do MAC-I são os 32 bits mais da esquerda do resultado:

Austerli-UMTS Security-v9 - 2/7/2006 22:30


37
MAC-I = lefthalf[ B ]
Isto é, para cada inteiro i na faixa 0 ≤ i ≤ 31 define-se:
MAC-I[i] = B[i].
Os bits B[32]…B[63] são desconsiderados.

6.4 Integridade dos Dados no Enlace de Acesso

A maioria dos elementos de informação de sinalização de controle que são enviados entre a
MS e a rede devem ter sua integridade protegida. Uma função de autenticação de mensagem
é aplicada para estes elementos quando são transmitidos entre o ME e o RNC. A Figura 19
mostra o uso do algoritmo de integridade f9 para autenticar a integridade dos dados de uma
mensagem de sinalização.

COUNT- DIRECTION COUNT- DIRECTION


I I
MESSAGE FRESH MESSAGE FRESH

IK f9 IK f9

MAC -I XMAC -I
Transmissor Receptor
UE ou RNC RNC ou UE
Figure 19 - Obtenção de MAC-I (ou XMAC-I) para uma mensagem de sinalização

Ver parâmetros usados nas Tabela 2 e 3.

A entidade transmissora obtém MAC-I e a inclui na mensagem que a seguir é enviada


através do enlace de rádio. A entidade receptora calcula XMAC-I e compara com MAC-I da
mensagem que recebeu para verificar a integridade da mensagem.

6.5 Confidencialidade dos Dados no Enlace de Acesso

Os dados do usuário e alguns elementos de informação de sinalização precisam ter proteção


de confidencialidade. Para isto, a identidade temporária do usuário (TMSI / PTMSI) precisa
ser enviada em modo protegido sempre que ela tiver que ser enviada na interface aérea. A
cifragem é feita no RNC e no ME e o contexto necessário para a cifragem (CDK, HFN -
Número do Hiper Quadro da mensagem,“Hyper Frame Number”), etc. só é conhecido pelo
RNC e ME.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


38
COUNT-C DIRECTION COUNT-C DIRECTION

BEARER LENGTH BEARER LENGTH

CK f8 CK f8

Bloco de Feixe de Bloco de Feixe de


Chaves Chaves

Bloco Original Bloco de Texto Bloco Original


de Texto Pleno Cifrado de Texto Pleno

Transmissor Receptor
UE ou RNC RNC ou UE

Figura 20 – Cifragem de dados e sinalização do usuário enviados no enlace de rádio.


O algoritmo de confidencialidade f8 é uma feixe de cifras que cifra / decifra blocos de dados
de 1 a 20.000 bits de comprimento [TS35201]. Ele cifra um texto pleno aplicando-lhe um
“feixe chave”(“keystream”) usando uma adição bit a bit entre texto pleno e o “keystream”.
O texto pleno original pode ser recuperado usando o mesmo “feixe chave”, os mesmos
parâmetros de entrada e aplicando uma adição bit a bit com o texto cifrado.
O parâmetro de entrada “LENGHT” (comprimento) não afeta o conteúdo do bloco de feixe
chave (“KEYSTREAM BLOCK”) mas somente o seu tamanho.

As variáveis usadas por f8 são listadas abaixo:

Parâmetro Tamanho Comentário


(bits)
COUNT-C 32 Entrada dependente do tempo
COUNT-I[0]…COUNT-I[31]
BEARER 5 Identidade da Portadora BEARER[0]…BEARER[4]
DIRECTION 1 Direção de Transmissão
DIRECTION[0] - (“uplink” ou “downlink”)
CK 128 chave de confidencialidade CK[0]….CK[127]
LENGTH Número de bits a serem cifrados / decifrados
(1-20000); comprimento do bloco de feixe chave
(“keystream”),
IBS 1-20.000 Feixe de bits de entrada (“Input Bit Stream”)
IBS[0]….IBS[LENGTH-1]
Table 4 - Entradas de f8

Parâmetro Tamanho Comentário


(bits)
OBS 1-20000 Feixe de bits de saída OBS[0]….OBS[LENGTH-1]

Austerli-UMTS Security-v9 - 2/7/2006 22:30


39
Table 5 - Saídas de f8
BEARER é a identidade da portadora, 5 bits; há um tal parâmetro para cada portadora de
rádio associada com um certo usuário e multiplexada no mesmo quadro de 10 ms da
camada física. Esta identidade da portadora de rádio é usada para evitar que um conjunto
idêntico de valores de parâmetro de entrada seja usado para diferentes feixes de chaves.
O gerador de feixe chave é baseado no bloco de cifragem KASUMI, já apresentado
anteriormente. KASUMI é usado num modo de realimentação de saída e gera um feixe
chave em míltiplos de 64 bits. O dado de realimentação é mofificado por um dado
estático mantido em um registrador de 64 bits (A) e um contador (que é incrementado) de
64 bits (BLKCNT).
No início dos cálculos, o registrador de 64 bits (A) recebe
COUNT || BEARER || DIRECTION || 0…0
(justificado à esquerda com os 26 bits mais à direita iguais a zero:
A = COUNT[0]…COUNT[31] BEARER[0]…BEARER[4] DIRECTION[0] 0…0
O contador BLKCNT é zerado:
BLKCNT = 0
O modificador de chave KM é iniciado com o valor abaixo
KM = 0x55555555555555555555555555555555

KSBi (“Keystream Block”, Bloco de Feixe Chave ) é o i-ésimo bloco de feixe chave
(“keystream”) produzido pelo gerador de feixe chave; cada um destes blocos possui 64
bits.
Inicia-se KSB0 = 0

Uma operação de KASUMI é aplicada ao registrador A usando a versão modificada da


chave de confidencialidade:
A = KASUMI[ A ]CK ⊕ KM
O textro pleno a ser cifrado (ou o texto cifrado a ser decifrado) consiste em 1 a 20.000 bits
(LENGTH). O gerador de feixe de bits produz os bits deste feixe em múltiplos de 64 bits.
Conforme o número de bits necessários (LENGTH), os bits menos significantes (0 a 63) são
desconsiderados do último bloco.
Cada KSB é gerado da forma mostrada a seguir.
Para cada n entre 1 ≤ n ≤ BLOCKS
KSBn = KASUMI[ A ⊕ BLKCNT ⊕ KSBn-1]CK
onde
BLKCNT = n-1
Os bits individuais do feixe chave são extraídos de KSB1 até KSBBLOCKS, primeiro o bit
mais significante, aplicando a operação que se detalha a seguir.
Para n = 1 até BLOCKS, e para cada inteiro i entre 0 ≤ i ≤ 63:
KS[((n-1)*64)+i] = KSBn[i]

Austerli-UMTS Security-v9 - 2/7/2006 22:30


40
As operações de cifragem e de decifragem são idênticas, feitas através de um OU
exlusivo do dado de entrada (IBS, “Input Bit Stream” - Feixe de bits de entrada) com o
feixe chave gerado (KS, “keystream”)
Para cada i na faixa 0 ≤ i ≤ LENGTH-1
define-se o feixe de bits de saída, OBS[i] dado por

OBS[i] = IBS[i] ⊕ KS[i]

6.6 MAPSec: Proteção da Sinalização MAP

No GSM e no UMTS as mensagens de sinalização MAP são usadas para atualização de


localização, serviços suplementares e controle de chamadas. O MAP usa o protocolo de
sinalização número 7 do ITU-T (SS7) como protocolo de camada de transporte. Como o
SS7 não possui qualquer método de segurança, as mensagens MAP ficam sujeitas a vários
mecanismos de ataques. Por exemplo: uma mensagem MAP pode ser modificada,
adicionada ou apagada.

O protocolo previsto pelo 3GPP para proteger as mensagens MAP é denominado MAPSec
[MOBILE]. Ele fica na camada de aplicação e é independente das camadas de rede e
transporte. Faz o gerenciamento de segurança e a troca de chaves de forma independente.

Uma entidade adicional é necessária: o centro de administração de chaves (KAC). Os KACs


de diferentes redes estabelecem as associações de segurança (SA) através de negociações
IKE. As SAs definem o modo, a chave e o algoritmo de cifragem usado para proteger a
sinalização MAP. Elas são válidas dentro de toda a rede móvil e são distribuídos para as
entidades da rede que implementam o MAPSec. As SAs são negociadas, atualizadas e
distribuídas através do KAC.

Um cabeçalho adicional precisa ser adicionado à mensagem MAP para implementar


MAPSec, o que aumenta a sobrecarga destas mensagens.

Três modos de proteção são possíveis.

O modo zero identifica a condição em que nenhuma proteção é usada.

No modo 1 é provida proteção de integridade para a sinalização MAP. O algoritmo f7 é


usado para inserir uma assinatura digital no cabeçalho e texto pleno da mensagem, de forma
a prover proteção de integridade.

No modo 2 é provida proteção completa, isto é, de integridade e de confidencialidade.

O algoritmo f6 é usado para cifrar o texto pleno e prover proteção de confidencialidade e o


algoritmo f7 é usado da mesma forma que no modo 2.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


41

7 Segurança de Acesso Para Serviços Baseados em IP

7.1 Visão Geral

O IMS (”IP Multimedia Core Network Subsystem”, Subsistema de Rede de Núcleo


Multimídia IP) é uma sobreposição ao domínio de comutação por pacotes. É necessária uma
associação de segurança separada entre o cliente multimídia e o IMS antes de os serviços
mutimídias serem acessados. Os mecanismos de segurança de IMS são independentes
daqueles dos núcleos CS e PS.
A aquitettura de segurança IMS pode ser vista na Figura 21.

Figura 21 – Aruitetura de Segurança IMS


(Referência: [33203] – Figura 1)

As chaves e as funções de autenticação do lado do usuário são armazenadas no UICC. Elas


devem ser indenpendentes das usadas para a autenticação no domínio PS mas isto não
proibe o uso de chaves e as funções de autenticação comuns entre IMS e PS.

Há cinco diferentes associações e diferentes necessidades de proteção conforme mostrado na


Figura 21 e listado a seguir.

1)- Autenticação mútua


O HSS é responsável por gerar as chaves e os desafios mas delega a autenticação do
assinante ao S-CSCF. O assinante possui uma Identidade IM Privada (interna à rede)
(IMPI) e pelo menos uma Identidade IM Pública (externa) (IMPU). A chave de
longa duração no ISIM e no HSS está associada à IMPI.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


42

2)- Proteção do Ponto de Referência Gm (entre o UE e a P-CSCF)


É feito através de um enlace seguro e uma associação de segurança entre o UE e a P-
CSCF. É feita a autenticação da origem dos dados, isto é, a verificação de que a
fonte dos dados recebidos é efetivamente quem afirma ser.

3)- Segurança interna no domínio da rede na interface Cx (entre HSS e I/S-CSCF)


Não será abordada aqui em detalhes – que podem ser vistos em [TS33210].

4)- Segurança entre redes diferentes para nós SIP


Esta associação de segurança somente é aplicável quando a P-CSCF reside na VN
(“Visited Network” – Rede Visitada); se a P-CSCF reside na HN (“Home Network”
– Rede de Origem) o ponto 5 da Figura 21 é aplicável. Ver Figuras 22 e 23.
Não será abordada aqui em detalhes – que podem ser vistos em [TS33210].

Figura 22- Segurança entre redes diferentes para nós SIP quando a P-CSCF
reside na VN (Referência: [TS33203]-Figura 2)

Austerli-UMTS Security-v9 - 2/7/2006 22:30


43

Figura 23- Segurança entre redes diferentes para nós SIP quando a P-CSCF
reside na HN - Referência: [TS33203]-Figura 3

5)- Segurança interna da rede entre nós SIP


Também se aplica quando a P-CSCF reside na HN.
Detalhes podem ser vistos em [TS33210].

É necessária autenticação mútua entre o UE e a HN.

Há outras interfaces e pontos de referência no IMS que ainda não foram consideradas nas
figuras acima e que podem ser vistas em [TS33210].

A proteção de confidencialidade e integridade para sinalização SIP é provida nó a nó (”hop-


by-hop”), conforme Figuras 22 e 23. O caso relativo ao primeiro nó, entre UE e a P-CSCF
está especificado em em [TS33203], os dos outros nós, inter-domínio e intra-domínio está
especificado em [TS33210].

7.2 Acesso Seguro ao IMS

7.2.1 Autenticação do Usuário e da Rede

A rede de origem pode autenticar o assinante a qualquer instante, através dos procedimentos
de registro. No registro, uma S-CSCF é atribuída ao assinante pela I-CSCF. O perfil do
assinante é buscado no HSS pelo S-CSCF, através do ponto de referência Cx, de forma que,

Austerli-UMTS Security-v9 - 2/7/2006 22:30


44
quando o assinante solicitar acesso ao IMS a S-CSCF verificará se tal assinante tem o
direito a tal acesso.
Os mesmos prinicípios do UMTS AKA são usados para o IMS AKA. O método para
calcular os parâmetros é o mesmo mas os parâmetros são transportados de formas diferentes.
No UMTS a resposta RES do UE é enviada sem proteção enquanto a RES do IMS é enviada
protegida, combinada com outros parâmetros, conforme [RFC3310].
O registro inicial sempre é autenticado. Uma nova autenticação iniciada pela S-CSCF pode
ser feita, a critério da operadora IMS, de forma que um novo registro pode não ser
autenticado.
Uma mensagem SIP de registro (”SIP Register”) pode ser considerada o registro inicial mas
ela não tem proteção de integridade no primeiro nó (”hop”).
A S-CSCF pode iniciar um novo registro autenticado de um ussuário a qualquer instante,
independentemente de registros anteriores.

7.2.2 Proteção de Confidencialidade

Os mecanismos de confidencialidade entre CSCFs e entre estes e o HSS estão especificados


em [TS33210].
As mensagens de sinalização SIP entre o UE e a P-CSCF têm proteção de confidencialidade.
A solução usada tem que levar em conta os requisitos de ”roaming” locais. Na camada SIP
os seguintes mecanismos são providos:
1) – O UE deve sempre oferecer algoritmos de cifragem para a P-CSCF para serem
usados na sessão.

2) – A P-CSCF deve decidir qual mecanismo usar. Se usado, o UE e a P-CSCF


devem acordarem entre si as associaçõoes de segurança a usar, o que inclui a chave
de cifragem a ser usada para a proteção de confidencialidade. O mecanismo é
baseado no IMS AKA.

7.2.3 Proteção de Integridade

É usada entre o UE e a P-CSCF para proteção da sinalização SIP.


A UE e a P-CSCF negociam entre si o algoritmo a ser usado na sessão e acordam entre si as
associações de segurança a usar, o que inclui as chave para a proteção de integridade. O
mecanismo é baseado no IMS AKA. A UE e a P-CSCF devem ambas verificar que o dado
recebido é originado de um nó que tenha uma chave de integridade acordada. Esta
verificação também é usada para verificar se o dado foi falsificado. Os mecanismos de
proteção entre CSCFs e entre estes e o HSS estão especificados em [TS33210].

7.2.4 Uso de TLS

O uso de TLS (“Transport-Layer Security” – Segurança na Camada de Transporte) em


protocolo orientado a conexão - no caso, TCP para SIP - é obrigatório, de acordo com a
RFC de SIP [RFC3261] e as operadoras podem usá-lo em sua rede, ao invés de em cima de
IPSec, uma vez que a interface intra-domínio Za é opcional e TLS pode também ser usado
entre redes IMS no topo de IPSec. No entanto, até a época em que esta dissertação foi

Austerli-UMTS Security-v9 - 2/7/2006 22:30


45
escrita, junho/06, as especificações 3GPP não davam suporte para o gerenciamento de
certificado TLS, nem asseguravam compatibilidade reversa com as CSCFs do Release 5,
nem interoperabilidade com outras redes que não usarem TLS, caso TLS seja usado por
CSCF do Release 6. Estes problemas de capacidades e gerenciamento têm que ser
resolvidos através de configuração manual entre as operadoras envolvidas.

7.2.5 Ocultamento da Topologia da Rede

Os detalhes operacionais de uma rede de uma operadora são informações de negócios que as
operadoras procuram evitar que sejam conhecidos pelos seus competidores. Em alguns
casos, no entanto, é conveniente para a operadora, compartilhar tal tipo de informação, por
exemplo com parceiros, de forma que deve existir a possibilidade de se compartilhar tais
dados somente quando conveniente à operadora. A funcionalidade deve permitir ocultar o
número de S-CSCF, suas capacidades e as capacidades da rede. Isto é feito pela I-CSCF –
que cifra os endereços das entidades da rede da operadora, nas mensagem SIP e depois
decifra os endereços ao tratar a resposta a uma solicitação. A P-CSCF pode receber uma
informação de roteamento que é cifrada mas não terá a chave para decifrar tal informação.
Diferentes I-CSCF na HN podem cifrar e decifrar os endereços de todas as entidades da rede
da operadora.

7.2.6 Tratamento da Privacidade SIP na Rede IMS

Em alguns casos, privacidade e confidencialidade podem ter pontos em comum, por


exemplo, ocultar informação (usando chaves de cifragem e encriptação) de todas entidades,
exceto daquelas que são autorizadas a entender a informação. As extensões de privacidade
SIP para IMS não permitia tal confidencialidade quando esta dissertação foi feita
(junho/2006). O objetivo do mecanismo é dar ao assinante IMS a possibilidade de manter
em segredo certa informação de identidade tal como especificado na [RFC3263] –
Servidores SIP de Localização - e na [RFC3602] - Algoritmos AES-CBC e seu uso com
IPSec.

7.2.7 Tratamento da Privacidade SIP em Interações com Redes não IMS

Quando uma rede IMS Release 6 está interagindo com uma rede não IMS, a CSCF na rede
IMS tem que decidir que relação de confiança terá com o outro lado. O outro lado é
confiável quando o mecanismo de segurança para interoperação é aplicado e há
disponibilidade de acordo de interoperação. Se a rede não IMS não é confiável, a
informação de privacidade deve ser removida do tráfego que flui em direção a tal rede. Nas
interações com redes não IMS sem mecanismos de segurança para interoperação, devem ser
usados CSCFs separadas para as interfaces com as redes IMS e não IMS.
A CSCF que faz a interface com as redes IMS confia implicitamente em todas as redes que
forem alcançadas através de um SEG (“Security Gateway” – “Gateway” de Segurança),
que use os mecanismos de segurança de [TS33210].
Uma CSCF do Release 5 sempre assume esta relação de confiança e configuração de rede.
Para uma CSCF do Release 6, esta confiança implícita é uma opção de configuração que a
operadora escolhe conforme sua configuração de rede e interface.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


46

7.3 Mecanismos de Segurança IMS

7.3.1 IMS AKA: Autenticação e Acordo de Chave no IMS

IMS AKA (“IP Multimedia Core Network Subsystem Authentication and Key Agreement” -
Autenticação e Acordo de Chave do Subsistema de Rede de Núcleo Multimídia IP) é o
mecanismo usado para a autenticação e o acordo de chaves no IMS, de forma a prover
autenticação mútua entre o ISIM e a rede de origem (HN, “Home Network”). Usa a
Identidade IM Privada para a autenticação, IMPI (“IM Private Identity”), na forma de um
NAI. O HSS e o ISIM compartilham a chave de longa duração associada ao IMPI.

Os parâmetros de segurança são transportados através de SIP.

A geração do vetor de autenticação AV (RAND, XRES, CK, IK e AUTN) é feita da mesma


forma descrita anteriormente para a rede UMTS [TS33102] e o tamanho dos parâmetros é o
mesmo [33102].

O ISIM e o HSS mantêm, respectivamente, os contadores SQNISIM e SQNHSS.

O campo AMF pode ser usado da mesma forma descrita para UMTS. Dois pares unilaterais
de associações de segurança são estabelecidos entre o UE e a P-CSCF e são atualizadas
quando uma nova autenticação é feita.

Um assinante pode ter várias IMPUs (“IM Public Identity” - Identidade IM Pública)
associadas a uma IMPI. Antes de um usuário obter acesso aso serviços IM, pelo menso uma
IMPU precisa ser registrada e uma IMPI autenticada no nível da aplicação IMS. O registro é
feito através de mensagens SIP de solicitação e resposta entre o UE e o P-CSCF, daí ao I-
CSCF, daí ao HSS e daí ao S-CSCF. Detalhes do fluxo de mensagens SIP podem ser vistos
em [TS33203], [TS24229] e [TS24228].

A rede pode solicitar autenticação de um usuário já registrado. Para isto a S-CSCF envia
uma solicitação ao UE para iniciar um novo procedimento de registro. Quando a S-CSCF
recebe a solicitação do UE, o novo registro dispara um novo procedimento de AKA para o
IMS que permitirá que a S-CSCF autentique o usuário novamente.

7.3.2 Mecanismo de Confidencialidade no IMS

Se a política local no P-CSCF necessita uso de tal mecanismo entre o UE e a P-CSCF, a


confidencialidade das mensagens de sinalização SIP é provida através de IPSeC ESP
[RFC2406], protegendo tais mensagens no nível IP.

Os conceitos gerais IPSec ESP de gerenciamento de política de segurança, associações de


segurança e processamento de tráfego IP descritos em [RFC2401] devem ser considerados.

A confidencialidade ESP deve ser aplicada no modo de transporte entre UE e P-CSCF.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


47

Como resultado do procedimento de registro autenticado, dois pares de SAs unidirecionais


entre o UE e a P-CSCF, todas compartilhadas pelo TCP e pelo UDP, devem ser
estabelecidas na P-CSCF e depois no UE. Um par de SA (”Security Association” –
Associação de Segurança) é para o tráfego entre a porta cliente no UE e a porta servidora na
P-CSCF e a outra SA é para o tráfego entre a porta cliente na P-CSCF e a porta servidora no
UE.

A chave de cifragem CKESP é a mesma para os dois pares de SAs estabelecidos. Esta chave
é obtida a partir da chave CKIM estabelecida como resultado do procedimento AKA usando
uma função de expansão de chave adequada no UE e na P-CSCF.

7.3.3 Mecanismo de Integridade no IMS

No nível IP, a proteção da integridade da sinalização SIP entre o UE e a P-CSCF é provida


por IPSeC ESP [RFC2406].

Os conceitos gerais IPSec ESP de gerenciamento de política de segurança, associações de


segurança e processamento de tráfego descritos em [RFC2401] devem ser considerados.

A integridade ESP deve ser aplicada no modo de transporte entre UE e P-CSCF.

Como resultado do procedimento de registro autenticado, dois pares de SAs unidirecionais


entre o UE e a P-CSCF, todas compartilhadas pelo TCP e pelo UDP, devem ser estabelecids
na P-CSCF e depois no UE. Um par de SA é para o tráfego entre a porta cliente no UE e a
porta servidora na P-CSCF e a outra SA é para o tráfego entre a porta cliente na P-CSCF e a
porta servidora no UE.

A chave de integridade IKESP é a mesma para os dois pares de SAs estabelecidos. Esta
chave de integridade é obtida a partir da chave IKIM estabelecida como resultado do
procedimento AKA usando uma função de expansão de chave adequada no UE e na P-
CSCF. Esta função de expansão de chave depende de um algoritmo de integridade ESP
especificado no Anexo 1 de [TS33203] e mostrado no próximo item.

A expansão da chave de integridade é feita no UE e na P-CSCF. Um serviço “anti-replay” é


habilitado no UE e na P-CSCF para todas SAs estabelecidas.

7.3.4 Função de Expansão de Chave para IPSec ESP

Chaves de integridade:
• Se o algoritmo de autenticação selecionado é HMAC-MD5-96 então IKESP = IKIM.
• Se o algoritmo de autenticação selecionado é HMAC-SHA-1-96 então IKESP é
obtida de IKIM através da adição de 32 zeros no final de IKIM para criar um feixe de
160 bits.

Chaves de Cifragem:

Austerli-UMTS Security-v9 - 2/7/2006 22:30


48
• Dividir CKIM em dois blocos de 64 bits cada:
CKIM = CKIM1 || CKIM2
onde CKIM1 são os 64 bits mais significantes e
CKIM2 são os 64 bits menos significantes.

A chave para DES-EDE3-CBC (DES-EDE3 é como o 3-DES, “triple DES” é


referenciado na RFC 2451) é então definida por:
CKESP = CKIM1 || CKIM2 || CKIM1
... após ajustar os bits de paridade para atender à RFC 2451 .

• Se o algoritmo de encriptação selecionado é AES-CBC, tal como especificado na


RFC 3602, com 128 bits para a chave, então CKESP = CKIM.

7.3.5 Mecanismo de Ocultamento da Topologia da Rede

A sua implementação é opcional.

Todas S-CSCFs na HN devem compartilhar a mesma chave de cifragem e decifragem Kv.

Se o mecanismo é usado e se a política da operadora define que a topologia da rede deva ser
escondida, a I-CSCF deve cifrar os elementos de informação de ocultamento quando a I-
CSCF enviar as mensagens SIP de solicitação ou de resposta para fora do domínio da rede
que deve ser escondida.

Os elementos de informação ocultos são entradas nos cabeçalhos SIP que contêm endereços
dos ”proxies” SIP na rede oculta.

Quando a I-CSCF recebe uma mensagem SIP de fora do domínio da rede oculta, a I-CSCF
decifra os elementos de informação que foram cifrados pela I-CSCF no domínio da rede
oculta.

Como o propósito da cifragem no ocultamento da rede é proteger as identidades dos


”proxies” SIP e a topologia da rede oculta, deve ser usado um algoritmo de encriptação no
modo de confidencialidade.

O mecanismo de ocultamento da rede não tratará os problemas de autenticação e proteção


de integridade dos cabeçalhos SIP. O AES no modo CBC com bloco de 128 bits e chave de
128 bits é usado para tal algoritmo de encriptação. No modo CBC, sob uma certa chave, se
um IV [RFC2451]é fixo para cifrar dois textos plenos iguais, então os blocos de texto
cifrado serão iguais. Como isto é indesejável para o ocultamento da rede, deve ser usado IV
(“Initialization Vector” – Vetor de Iniciação) aleatório para cada encriptação. O mesmo IV
é usado para decifrar a informação. O IV deve ser incluido no mesmo cabeçalho SIP que
inclui a informação cifrada.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


49
7.3.6 CSCF Interagindo com Proxy Localizado em Rede não IMS

Para este caso, e de acordo com [RFC3261], é possível proteger a sinalização SIP através de
TLS. A CSCF pode solicitar a conexão TLS com um “proxy” externo publicando o URI SIP
no servidor DNS – que pode ser resolvido através do mecanismo NAPTR/SRV (“Naming
Authority Pointer” - Apontador de Autoridade de Nome) especificado em [RFC3263].

Ao enviar / receber o certificado, durante a fase de troca de informações (“handshaking”) do


TLS, a CSCF verifica o nome no certificado em relação à lista dos seus parceiros de
interoperação.

A sessão TLS pode ser iniciada por qualquer rede.

A conexão TLS permite múltiplos diálogos SIP.

O uso deste método prevê ataques no nível SIP mas não proíbe o uso de outros métodos de
segurança para aumentar a segurança para as redes IP – exemplo: “firewalls”, roteadores,
filtragem de pacotes, etc [TS33210].

Austerli-UMTS Security-v9 - 2/7/2006 22:30


50

8 Conclusões

O acesso por enlace de rádio tem suas complexidades inerentes ampliadas pelo fato de o
UMTS ser uma rede pública de voz e de dados de âmbito mudial. A introdução da
arquitetura IMS adicionou à solução UMTS a multiplicidade de sessões (voz, dados e
multimídia) e a complexidade do mundo IP.

A abrangência do assunto é muito grande e aborda uma quantidade muito grande de temas
de segurança que vai desde a segurança em redes de voz e de dados até a segurança de
sessões em redes IP.

O uso dos mecanismos de segurança do UMTS tem sido objeto de contínuos estudos há
muito tempo. Aproveitou-se o que já existia em GSM / GPRS, mas a introdução do IMS no
UMTS criou um aspecto de segurança adicional relativamente novo no UMTS, em função
das redes IP que passaram a ser usadas. Para contornar este problema o 3GPP usou as
padronizações internacionais já existentes, feitas por outras entidades de renome, tal como o
IETF (“Internet Engineering Task Force” – Força Tarefa de Engenharia da Internet).
Mesmo assim o assunto ainda é objeto de muitos estudos no 3GPP que ainda está com
muitas padronizações não concluídas. Este problema é agravado pelo fato de cada novo
“release” do UMTS introduzir variáveis novas que podem aumentar a complexidade do
problema já existente. Assim, certamente a introdução de novas capacidades ainda em
estudos no “Release” 7 aumentarão as necessidades de segurança associadas.

Mesmo nos “releases” já existentes, ainda há pontos não concluídos sob o ponto de vista de
segurança no UMTS. Um destes pontos é o sistema de obtenção de informações de fraudes.

Até a época em que esta dissertação foi escrita, junho/06, as especificações 3GPP não
davam suporte para o gerenciamento de certificado TLS, nem asseguravam compatibilidade
reversa com as CSCFs do “Release” 5, nem interoperabilidade com outras redes que não
usarem TLS, caso TLS seja usado por CSCF do Release 6. Estes problemas de capacidades
e gerenciamento ainda têm que ser resolvidos através de configuração manual entre as
operadoras envolvidas e podem ser objeto de estudos adicionais.

Por outro lado, atualmente o único algoritmo de integridade do UMTS é o Kasumi mas há
campo para pesquisas de outros algoritmos – que o UMTS deixa aberto para estudos.

Vários casos de vulnerabilidades do UMTS podem ser encontrados em [Chaffin]. Alguns


são listados a seguir.

A introdução gradativa das redes UMTS também introduzirão arquiteturas parciais que
poderão comprometer a segurança. Por exemplo, o uso de IPv4 com IMS. Considerando que
a migração para IPv6 tome um tempo grande para ser efetivamente introduzida de forma
ampla, isto introduz um tema interessante para um estudo complementar da segurança nas
redes UMTS.O IMS foi estruturado para ser seguro aproveitando os recursos de segurança
do IPv6. O uso de arquiteturas IMS inciais com IPv4 comprometerá a segurança da rede
UMTS.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


51
Algumas redes IMS iniciais podem não suportar integralmente os recursos da interface
com o ISIM e não serem capazes de suportar IPSec em algumas plataformas UE.

Como o IMS é baseado em SIP, ele também terá as vulnerabilidades do SIP. Por exemplo,
SIP tem uma vulnerabilidade semelhante àquela do ataque do “homem no meio da
comunicação” (“man-in-the middle”).

O SIP recomenda o uso da autenticação com “resumo” (“digest”) HTTP, que é baseado no
algoritmo de “resumo” MD5. No entanto este algoritmo é fraco e não deve ser usado em
sistemas com necessidade de alta segurança. Ao mesmo tempo, o algoritmo de autenticação
com “resumo” do SIP não inclui todos os campos do cabeçalho, que também podem ser
falsificados.

A sinalização SIP é enviada em texto pleno – que pode ser corrompido. Se uma mensagem
SIP legítima é enviada por um intruso, ele pode interferir numa sessão UMTS em
andamento.

Após a fase de sinalização SIP, a maioria das transmissões é baseada em RTP. Um intruso
pode bombardear qualquer lado com pacotes RTP e degradar a qualidade ou provocar falha
no terminal.

Esta dissertação abordou uma grande quantidade de tópicos apresentados no curso de


criptografia e ajudou a firmar os conceitos associados e foi útil para ver como eles podem
ser usados de uma forma conjunta em uma mesma aplicação.

Foi dada nesta dissertação uma visão geral do tema e deixadas referências bibliográficas
para uso posterior.

Austerli-UMTS Security-v9 - 2/7/2006 22:30


52

9 Abreviaturas e Acrônimos

3GPP “3rd Generation Partnership Program”– Programa de Parcerias para a


3a Geração
AAA Authentication, Authorisation and Accounting – Autenticação,
Autorização e Tarifação
AES “Advanced Encryption Standard”
AES-CBC “Advanced Encryption Standard - Cipher Algorithm in Cipher Block
Chaining” – Padrão de Encriptação Avançada – Algoritmo de
Cifragem em Encadeamento de Bloco de Cifragem
AK “Anonymity Key” – Chave de Anonimato
AKA “Authentication and Key Agreement” – Autenticação e Acordo de
Chave
AMF “Authentication Management Field” – Campo de Gerenciamento de
Autenticação
AN “Access Network” – Rede de Acesso
AUTN “Authentication Token” – Ficha de Autenticação
AUTS “Authentication Token Synchronization” – Sincronização de Ficha de
Autenticação
AV “Authentication Vector” – Vetor de Autenticação
BGCF “Breakout Gateway Control Function” – Função de Controle de
“Obtenção de Gateway”
CBC “Cipher Block Chaining” – Encadeamento de Bloco de Cifragem
CDMA “Code Division Multiplexing Access” – Acesso por Multiplexação por
Divisão de Código
CK “Cipher Key” – Chave de Cifragem
CKESP “Cipher Key – ESP” – Chave de Cifragem para ESP
CKIM “Cipher Key – Integrity Mechanism” – Chave de Cifragem –
Mecanismo de Integridade
CS “Circuit Switching” – Comutação de Circuitos
CSCF “Call Session Control Function” – Função de Controle da Sessão de
Chamada
CSD “Circuit Switched Data” – Dados Comutados por Circuitos
DES “Data Encryption Standard” – Padrão de Encriptação de Dados
DES-EDE3 Outro nome para 3-DES, “triple DES”, como referenciado na RFC 2451
DIAMETER Ampliação do RADIUS
DNS “Domain Name Service” – Serviço de Nome de Domínio
ESP “Encapsulating Security Payload” – Encapsulamento Seguro de Dados
GGSN “Gateway GPRS Support Node” – Nó Servidor de Suporte GPRS
GMSC “Gateway” MSC
GPRS “General Packet Radio Service” – Serviço Geral de Pacotes por Rádio
GSM “Global System for Mobile Communucations” – Sistema Global para
Comunicações Móveis
HE “Home Environment” – Ambiente de Origem
HFN “Hyper Frame Number” – Número do Hiper Quadro da mensagem

Austerli-UMTS Security-v9 - 2/7/2006 22:30


53
HLR “Home Location Register” – Registro de Localização de Origem
HMAC “Keyed-Hashing for Message Authentication” – “Hashing” Chaveado
para Autenticação de Mensagem
HN “Home Network” – Rede de Origem
HSS “Home Subscriber Server” – Servidor de Origem de Assinante
IBS “Incoming Bit Stream” - Feixe de bits de entrada
I-CSCF “Interrogating-CSCF” – CSCF Interrogador
IETF “Internet Engineering Task Force” – Força Tarefa de Engenharia da
Internet
IK “Integrity Key” – Chave de Integridade
IKESP “Integrity Key –ESP” – Chave de Integridade para ESP
IKIM “Integrity Key – Integrity Mechanism” – Chave de Integridade –
Mecanismo de Integridade
IM “IP Multimedia” – Multimídia IP
IM “Integrity Mechanism” – Mecanismo de Integridade
IMEI “International Mobile Station Equipment Identity” – Identidade
Internacional de Equipamento de Estação Móvil
IMPI “IM Private Identity” – Identidade IM Privada
IMPU “IM Public Identity” – Identidade IM Pública
IMS “IP Multimedia Core Network Subsystem” – Subsistema de Rede de
Núcleo Multimídia IP
IMS “IP Multimedia Core Network Subsystem” – Subsistema de Rede de
Núcleo Multimídia IP
IMS AKA “IP Multimedia Core Network Subsystem Authentication and Key
Agreement” – Autenticação e Acordo de Chave do Subsistema de
Rede de Núcleo Multimídia IP
IMSI “International Mobilee Subscriber Identity” – Identidade Internacional
do Assinante Móvil
IP “Internet Protocol” – Protocolo da Internet
IPSec “IP Encapsulating Security” – Segurança por Encapsulamento IP
ISDN “Integrated Service Digital Network (ISDN)” – Rede Digital de Serviços
Integrados (RDSI)
ISIM “IM Services Identity Module” – Módulo de Identidade de Serviços
IM
ITU-T União Internacional de Telecomunicação – Setor de Padronização de
Telecomunicações (“International Telecommunication Union”)
IV “Initialization Vector” – Vetor de Iniciação
IWF “Interworking Function” – Função de Interoperabilidade
K “Key” – Chave;“long-term secret key shared between the USIM and the
AuC” – chave secreta secreta de longa duração, compartilhada entre o
USIM e o AuC
Kv “Key” – Chave de cifragem/decifragem para ocultar a topologia da rede
LA “Location Area” – Área de Localização
LAI “Location Area Identity” – Identidade da Área de Localização
MAC “The message authentication code” – Código de Autenticação de
Mensagem
MAP “Mobile Application Protocol” – Protocolo de Aplicação Móvil
MAPSec “MAP Security” – Segurança para MAP
MD5 “Message-Digest Algorithm” – Algoritmo de Resumo de Mensagem

Austerli-UMTS Security-v9 - 2/7/2006 22:30


54
ME “Mobile Equipment” – Equipamento Móvil
MG “Media Gateway”
MGCF “Media Gateway Controller Function ”–Função Controladora de MGW
MGW-C “Media Gateway Controller” – Controlador de “MGW”
MRFC “Multi-Media Resource Function Control” – Controle da Função de
Recurso Multimídia
MS “Mobile Station” – Estação Móvil
MSC “Mobile Switching Center” – Central de Comutação Móvel (Celular)
MT “Mobile e Termination” – Terminação Móvel
NAPT Network Address and Port Translation
NAPTR “Naming Authority Pointer” – Apontador de Autoridade de Nome
(RFC 2915)
PCM “Pulse Code Modulation” – Modulação por Código de Pulsos
P-CSCF “Proxy-CSCF” – CSCF “proxy”
PD “Packet Data” – Dados (Comutados) por Pacotes
PD “Packet Data” – Dados por Pacotes
PDF “Policy Decision Function” – Função de Decisão de Políticas
PIN “Personal Identification Number” – Número de Identificação Pessoal
PLMN “Public Land Mobile Network” – Rede Pública Móvil Terrestre
PS “Packet Switching” – Comutação de Pacotes
PSTN “Public Switched Telephone Network” – Rede Telefônica Pública de
Comutação, RTPC
P-TMSI “Packet TMSI” – TMSI para Pacotes
Q “Quintet, UMTS Authentication Vector” – Quinteto, Vetor de
Autenticação UMTS
QoS “Quality of Service” – Qualidade de Serviço
RA “Registration Area” – Área de Registro
RADIUS “Remote Authentication Dial In User Service” – Serviço de
Autenticação Remota de Usuário com Discagem
RAI “Routing Area Identifier” – Identificador de Área de Roteamento
RAN “Radio Access Network” – Rede de Acesso por Rádio
RAND “Random challenge” – Desafio Aleatório
RDSI Rede Digital de Serviços Integrados; ISDN – “Integrated Service Digital
Network”
RNC “ Radio Network Controller” – Controlador da Rede de Rádio
RNS “Radio Network Subsystem”- Subsistema de Rede de Rádio
RNTI “Radio Network Temporary Identity ” – Identidade Temporária da Rede
de Rádio
RTPC Rede Telefônica Pública de Comutação; PSTN =“Public Switched
Telephone Network”
SA “Security Association” – Associação de Segurança
S-CSCF “Serving-CSCF” – CSCF Servidor
SDP “Session Description Protocol” – Protocolo de Descrição de Sessão
SEG “Security Gateway” – “Gateway” de Segurança
SGSN “Serving GPRS Support Node” – Nó Servidor de Suporte GPRS
SN “Serving Network” – Rede Servidora
SIM “Subscriber Identity Module” – Módulo de Identidade do Assinante
SIP “Session Initiation Protocol” – Protocolo de Iniciação de Sessão
SLF “Subscriber Location Function” – Função de Localização de Assinante

Austerli-UMTS Security-v9 - 2/7/2006 22:30


55
SN “Serving Network” – Rede Servidora
SQN “Sequence number” – Número de Sequência
SQNHE “Individual sequence – HLR/AuC” – Número Individual de Sequência
para cada Usuário mantido no HLR/AuC.
SQNHSS SQN para HSS
SQNISIM SQN para ISIM
SQNMS “The highest sequence number-USIM” – O maior número de
sequência recebido pelo USIM
SRV “Server”- Servidor - RFC 2782
T “Triplet, GSM Authentication Vector” – Tripla, Vetor de Autenticação
GSM
TDM “Time Division Multiplexing” – Multiplexação por Divisão do Tempo
TE “Terminal Equipment” – Equipamento Terminal
TLS “Transport-Layer Security” – Segurança na Camada de Transporte
TMSI “Temporary Mobile Subscriber Identity” – Identidade Temporária de
Assinante Móvil
UE “User Equipment” – Equipamento do Usuário
UEA “UMTS Encryption Algorithm” – Algoritmo de Cifragem do UMTS
UIA “UMTS Integrity Algorithm”, Algoritmo de Integridade do UMTS
UICC “UMTS IC Card” – Cartão de Circuito Integrado UMTS
UMTS “Universal Mobile Telecommunications System” – Sistema Universal de
Telecomunicações Móveis
URA “User Registration Area / UTRAN Registration Area” – Área de
Registro do Usuário / Área de Registro na UTRAN
URI “Uniform Resource Identifier” – Identificador Uniforme de Recurso
USIM “Universal Subscriber Identity Module” – Módulo Universal de
Identidade do Assinante
UTRAN “UMTS Terrestiral Radio Access Network” – Rede de Acesso de Rádio
Terrestre para UMTS
VLR “Visitor Location Register” – Registrador de Localização de Visitante
VN “Visited Network” – Rede Visitada
VoIP “Voice Over IP” – Voz Sobre IP
WCDMA “Wideband CDMA” – CDMA de Banda Larga
XMAC “The expected message authentication code” – Código de
Autenticação de Mensagem Esperado (pelo USIM)
XRES “Expected Response” – Resposta Esperada

Austerli-UMTS Security-v9 - 2/7/2006 22:30


56

10 Bibliografia

[3GPP] Especificações 3GPP – http://www.3gpp.org/specs/numbering.htm


[BOMAN] UMTS security - by K. Boman, G. Horn, P. Howard and V. Niemi -
http://www.c7.com/ss7/whitepapers/cellular/umts_security.pdf
[CATAPULT] UMTS can stop hijackers said Catapult -
http://www.3gnewsroom.com/3g_news/aug_02/news_2406.shtml
[CHAFFIN] Practical VoIP Security - Larry Chaffin, Jan Kanclirz, Jr., Thomas Porter,
Choon Shim, Andy Zmolek – Syngress - March 2006
[E164] CCITT Recommendation E.164: “Numbering plan for the ISDN era”.
[FLANAGAN] Radio Access Link Security for Universal Mobile Telecommunication
Systems (UMTS) - Tomas Flanagan, Tom Coffey, Reiner Dojen -
http://www.dcsl.ul.ie/papers/2001%20-%20EMES01%20-
%20Radio%20Access%20Link%20Security%20for%20Universal%20Mobil
e.pdf
[IETF] IETF “Request for Comments” – http://www.ietf.org/rfc.html
[ISSO9798] ISO/IEC 9798 4: “Information technology – Security techniques – Entity
authentication – Part 4: Mechanisms using a cryptographic check function”.
[MCKEON] GSM and UMTS Security - Daniel Mc Keon, Colm Brewer, James Carter
and Mark Mc Taggart -
http://ntrg.cs.tcd.ie/undergrad/4ba2.05/group7/index.html
[MOBILE] UMTS SECURITY - THE ISSUES EXPLAINED -
http://www.mobileeurope.co.uk/magazine/features.ehtml?o=114
[PÜTZ] Security Mechanisms in UMTS - Stefan Pütz, Roland Schmitz, Tobias Martin
- http://fb1.hdm-stuttgart.de/skripte/Internetsecurity_2/Papers/UMTS-
SecurityMechanisms.pdf
[RFC2401] “Security Architecture for the Internet Protocol”
[RFC2406] “IP Encapsulating Security Payload (ESP)”
[RFC2451] “The ESP CBC-Mode Cipher Algorithms”
[RFC2486] “The Network Access Identifier”
[RFC2782] “A DNS RR for specifying the location of services (DNS SRV)”
[RFC2915] “The Naming Authority Pointer (NAPTR) DNS Resource Record”
[RFC3261] IETF RFC 3261 - SIP: Session Initiation Protocol – Protocolo de Iniciação
de Sessão
[RFC3263] IETF RFC 3263 – “Session Initiation Protocol (SIP): Locating SIP Servers”
[RFC3310] IETF RFC 3310 (2002): "HTTP Digest Authentication Using AKA". April,
2002.
[RFC3602] IETF RFC 3602 – “The AES-CBC Cipher Algorithm and Its Use with Ipsec”
[RFC3602] “The AES-CBC Cipher Algorithm and Its Use with IPsec”
[SÉRIE33] Aspectos de segurança das redes UMTS – 3GPP série 33 de especificações -
http://www.3gpp.org/ftp/Specs/html-info/33-series.htm
[SÉRIE35] Algoritmos de segurança em redes UMTS -
http://www.3gpp.org/ftp/Specs/html-info/35-series.htm
[TEK] UMTS Security Features – Tektronix 2FW-17826-0 – www.tektronix.com
[TS22016] 3GPP TS 22.016 V6.0.0 (2005-01) - International Mobile station Equipment
Identities (IMEI) (Release 6)
[TS23002] 3GPP TS 23.002 V7.1.0 (2006-03) - Network architecture - (Release 7)
[TS23228] 3GPP TS 23.228 V7.4.0 (2006-06) - IP Multimedia Subsystem (IMS) - Stage

Austerli-UMTS Security-v9 - 2/7/2006 22:30


57
2 0 - Release 7
[TS24228] 3GPP TS 24.228 V5.14.0 (2005-12) - Signalling flows for the IP multimedia
call control based on SIPand Sdp - Stage 3- (Release 5)
[TS24229] 3GPP TS 24.229 V7.4.0 (2006-06) - IP multimedia call control protocol
based on SIP and SDP; Stage 3 - (Release 7) -
[TS33102] 3GPP TS 33.102 - 3G security; Security architecture - V7.0.0 – (2005-12)
[TS33103] 3GPP TS 33.103 - 3G security; Integration guidelines
[TS33105] 3GPP TS 33.105 – Cryptographic algorithm requirements
[TS33110] 3GPP TS 33.110 - Key establishment between a UICC and a terminal
[TS33120] 3GPP TS 33.120 - Security Objectives and Principles
[TS33203] 3G security; Access security for IP-based services - (Release 7)
[TS33210] 3G security; Network Domain Security; IP network layer security - (Release
7)
[TS35201] 3GPP TS 35.201 V6.1.0 (2005-09) - Specification of the 3GPP
Confidentiality
and Integrity Algorithms; Document 1: f8 and f9 Specification - (Release 6)
[TS35202] 3GPP TS 35.202 V6.1.0 (2005-09) - Specification of the 3GPP
Confidentiality
and Integrity Algorithms; Document 2: KASUMI Specification - (Release 6)
[USECA] USECA - UMTS Security Architecture - http://www.isrc.rhul.ac.uk/useca/
[VANNESTE] UMTS benefiting from public-key authentication - Geneviève Vanneste,
Nigel Jefferies, Eric Johnson -
http://www.esat.kuleuven.ac.be/cosic/aspect/papers/benefit.htm
[VOCAB] 3GPP TR 21.905 - Vocabulary for 3GPP Specifications -
http://www.3gpp.org/ftp/Specs/html-info/21905.htm
[WORLD] UMTS Security - http://www.umtsworld.com/technology/security.htm
RFC2396 IETF RFC 2396 – “Uniform Resource Identifiers (URI)”

Austerli-UMTS Security-v9 - 2/7/2006 22:30