Аутентификация [43] – процедура подтверждения подлинности (действительности, законности, наличия прав на пользование услугами сотовой связи) абонента системы подвижной связи. Необходимость введения этой процедуры вызвана неизбежным соблазном получения несанкционированного доступа к услугам сотовой связи, приводящим к многочисленным и разнообразным проявлениям особого рода мошенничества – фрода (от английского froud мошенничества, заключающегося в несанкционированном использовании ресурсов системы) в сотовой связи. Слово аутентификация (английское Authentication) происходит от греческого authentikos – подлинный, исходящий из первоисточника.
Идентификация – процедура отождествления мобильной станции, т.е. процедура установления ее принадлежности к одной из групп, обладающих определенными свойствами или признаками. Эта процедура используется для выявления утерянных, украденных или неисправных мобильных станций. Слово идентификация (английское Identification) происходит от средневекового латинского Identificare – отождествлять.
|
|
Первоначально в аналоговых системах сотовой связи первого поколения процедура аутентификации имела простейший вид: подвижная станция передавала свой уникальный идентификатор (электронный серийный номер – Electronic Serial Number, ESN), и если таковой отыскивался среди зарегистрированных в домашнем регистре, процедура аутентификации считалась успешно выполненной. Подобная простейшая аутентификация оставляла большие возможности для фрода, поэтому со временем и в аналоговых системах, и тем более в системах сотовой связи второго поколения с использованием дополнительных возможностей цифровых методов передачи информации, процедура аутентификации была значительно усовершенствована.
Идея процедуры аутентификации в цифровой системе сотовой связи заключается в шифровании некоторых паролей-идентификаторов с использованием квазислучайных чисел, периодически передаваемых на подвижную станцию с центра коммутации, и индивидуального для каждой подвижной станции алгоритма шифрования. Такое шифрование, с использованием одних и тех же исходных данных и алгоритмов, производится как на подвижной станции, так и в центре коммутации (или в центре аутентификации) и аутентификация считается закончившейся успешно, если оба результата совпадают.
В стандарте GSM процедура аутентификации связана с использованием модуля идентификации абонента (Subscriber Identity Module – SIM), называемого также SIM-картой (SIM-card) или смарт-картой (Smart-card). Модуль SIM – это съемный модуль, вставляемый в соответствующее гнездо абонентского аппарата. Модуль вручается абоненту одновременно с аппаратом и, в принципе, позволяет вести разговор с любого аппарата того же стандарта. Модуль содержит персональный идентификационный номер абонента (Personal Identification Number – PIN), международный идентификатор абонента подвижной связи (International Mobile Subscriber Identity – IMSI), индивидуальный ключ аутентификации абонента Ki, индивидуальный алгоритм аутентификации абонента A3, алгоритм вычисления ключа шифрования А8. Для аутентификации используется зашифрованный отклик (signed response) S, являющийся результатом применения алгоритма A3 к ключу Ki и квазислучайному числу R, получаемому подвижной станцией от центра аутентификации через центр коммутации.
|
|
Алгоритм А8 используется для вычисления ключа шифрования сообщений. Уникальный идентификатор IMSI для текущей работы заменяется временным идентификатором TMSI (Temporary Mobile Subscriber Identity – временный идентификатор абонента подвижной связи), присваиваемым аппарату при его первой регистрации в конкретном регионе (определяемом идентификатором LAI (Location Area Identity – идентификатор области местоположения), и сбрасываемым при выходе аппарата за пределы этого региона.
Идентификатор PIN-код, известный только абоненту, который должен служить защитой от несанкционированного использования SIM-карты, например при ее утере. После трех неудачных попыток набора PIN-кода SIM-карта блокируется, и блокировка может быть снята либо набором дополнительного кода – персонального кода разблокировки (Personal Unblocking Key – PUK), либо по команде с центра коммутации.
Процедура аутентификации стандарта GSM схематически показана на рис. 5.1.
Пунктиром отмечены элементы, не относящиеся непосредственно к процедуре аутентификации, но используемые для вычисления ключа шифрования Кс. Вычисление производится каждый раз при проведении аутентификации.
Рис. 5.1. Схема процедуры аутентификации в стандарте GSM:
R – случайное число; A3 – алгоритм аутентификации; А8 – алгоритм вычисления ключа
шифрования; Ki – ключ аутентификации; Кс – ключ шифрования; S – зашифрованный
отклик (Signed Response – SRES)
Процедура идентификации заключается в сравнении идентификатора абонентского аппарата с номерами, содержащимися в соответствующих «черных списках» регистра аппаратуры, с целью изъятия из обращения украденных и технически неисправных аппаратов. Идентификатор аппарата делается таким, чтобы его изменение или подделка были трудными и экономически невыгодными.