• Сети и стандарты мобильной связи на территории российской федерации. Как работает радиоинтерфейс в GSM-сетях

    Впервые акроним GSM был использован в 1982 г. и означал Groupe Speciale Mobile – французское название рабочей группы CEPT (Сonference des administrations Europennes des Postes et Telecommunications – Европейская администрация почты и электросвязи).

    Перед рабочей группой CEPT стояла задача разработки спецификаций нового цифрового стандарта мобильной связи в диапазоне 900 МГц. Со временем (1989 г.) эти работы из CEPT перешли в новую организацию ETSI.

    Днем рождения GSM считается 01.07.1991 г. – в г. Хельсинки (Финляндия) был сделан первый телефонный вызов в этой системе.

    Значение акронима GSM изменилось и стало означать Global System for Mobile Communications.

    «GSM Казахстан» - оператор сотовой связи стандарта GSM 900, предоставляющий услуги под брендами «Activ» и «Kcell». Основан 30.09.1998 г. Акционеры «GSM Казахстан» - национальный оператор связи АО «Казахтелеком» и финcко-шведо-турецкая компания «FinTur».

    Первым среди операторов Казахстана осуществил коммерческий запуск услуги «Мобильное видео», услуг на основе GPRS (MMS, WAP, Мобильный Интернет).

    Сети систем радиосвязи в технической литературе называются сетями подвижной, мобильной и сотовой связи. Все названия используются как синонимы, однако в этом вопросе намечаются некоторые расхождения.

    Беспроводные технологии активно осваивают рынок ноутбуков и ПК, пользователям которых необходима высокая скорость передачи при ограниченной мобильности как в скорости передвижения и так и в непрерывности связи.

    Исходя из этого, мобильным можно назвать все, что можно перенести и через что можно войти в сеть связи в любом месте.

    Подвижной сетью можно назвать традиционную сотовую связь.

    Термин сотовая (cellular) означает разделение сети на ячейки – соты (географических участков). Каждой соте назначается частотный диапазон, который можно использовать и в других сотах.

    В каждой соте имеется базовая станция, которая содержит радиопередающее и радиопринимающее оборудование и обеспечивает радиосвязь с мобильными телефонами, оказавшимися территориально в этой соте.

    Рисунок 18. Соты в системе мобильной (подвижной) связи

    Зона охвата соты зависит от ряда факторов:

    мощности передатчика базовой станции;

    мощности мобильного телефона;

    высоты антенны базовой станции;

    топологии местности.

    Размеры сот варьируются и потому, каждая сота может обслуживать только ограниченное количество сотовых телефонов, которые называются мобильными терминалами, мобильным оборудованием МЕ, мобильными станциями MS.



    Количество мобильных терминалов составляет 600 – 800. Соты становятся меньше в зонах с более высокой плотностью населения. Охват соты лежит в пределах от 100 м до десятков километров.

    Выбор шестиугольной формы соты объясняется следующим.

    Квадратная сота (соответствующая кварталам города) со стороной будет иметь четыре граничащие с ней стороны на расстоянии от ее центра до центров этих четырех ячеек.

    Центры каждой из четырех ячеек, граничащих с ячейкой, будут располагаться от центра рассматриваемой ячейки на расстоянии .

    Такая конфигурация создает проблемы при переключении на новую антенну абонента при его движении от центра ячейки.

    Для эффективного переключения желательно, чтобы центры всех ячеек были на одинаковом расстоянии друг от друга. Это достигается при шестиугольной конфигурации.

    При шестиугольной конфигурации ячейки расстояния между центрами ячеек будет равно . Антенны базовой станции BS будут находиться на одинаковом расстоянии друг от друга вне зависимости от направления перемещения мобльного абонента.

    Рассматривая архитектуру и функциональные возможности сети GSM, будем иметь в виду, что именно GSM является фундаментом ряда более совершенных технологий поколения 2,5G, GPRS.

    Сеть GSM состоит из следующих основных конструктивных блоков:

    1. Приемопередающая BS;

    2. Контроллер BS;

    3. Блок перекодировки и аддаптации скорости передачи TRAU (Transcoding and Rate Adaptation Unit).

    4. Центр коммутации MSC.

    5. Домашний регистр HLR (Home Location Register) – сетевая база данных, в которой хранятся справочные данные об абонентах, постоянно зарегистрированных в зоне, которую контролирует HLR (адреса, информация об услугах).

    6. Гостевой регистр VLR (Visitor Location Register) – сетевая база данных, в которой хранится информация о перемещениях абонентов. Накопленная информация хранится до тех пор, пока абонент находится в зоне, контролируемой MSC.

    7. Регистр идентификации оборудования EIR (Equipment Identity Register).

    8. Центр аутентификации AuC (Authentication Center).

    Рисунок 18. Архитектура системы GSM 2G

    С целью изучения удобно рассмотреть технологию GSM-900, так как эта технология после незначительной модификации используется в GSM-1800 и GSM-1900. GSM-1900 в США используется также под названием PSC-1900 (Personal Communication Services). GSM-1800 отличается от GSM-900 меньшей мощностью базовых станций BS, мобильных терминалов MS и меньшим размером сот.

    Рассмотрим принцип работы технологии GSM (рисунок 18).

    Мобильный терминал MS (mobile station) связывается через радиоинтерфейс с базовой приемоперадающей станцией BTS (Base Transceiver Station).

    MS состоит из двух частей: самой трубки, т.е. мобильным оборудованием (терминалом) ME (Mobile Equipment) и SIM-карты (Subscriber Identity Module).

    SIM-карта – это микроконтроллер, размещенный в небольшом куске пластика, хранящий программу работы с сетью GSM и информацию об абоненте и операторе связи.

    Станция BTS соеденены с контролером базовой станции BSC (Base Station Controller), который обеспечивает ряд функций, связанных:

    с управлением радиоресурсом RR (Radio Resource);

    с поддержкой мобильности MM (Mobile Management) в зоне охвата станций BTS;

    ряд функций эксплуатационного управления всей радиосетью.

    Станции BTS и контроллеры базовой станции BSC образуют подсистему базовой станции BSS (Base Station Subsystem). BSS обеспечивает радиодоступ для мобильного терминала ME.

    Остальные сетевые элементы отвечают за функции управления и за базы данных, необходимые для установления соединения в сети GSM, например, шифрование, аутентификацию и роуминг.

    Контроллер базовых станций BSC – это сетевой элемент, являющийся ядром подсистемы радиосети (BSS) сотовой связи стандарта GSM.

    SIM-карта (Subscriber Identity Module) – это модуль идентификации абонента, пластиковая карта, вставляемая в мобильный терминал МЕ и обеспечивающий возможность санкционированного доступа в сеть мобильной (сотовой) связи.

    Микрочип SIM-карты имеет размеры 85,5×54×0,76 мм, универсален для разных мобильных устройств. Защищена специальным паролем или персональным идентификационным номером, содержит уникальный международный идентификатор абонента IMSI (International Mobile Subscriber Identity).

    Несколько BS присоединены к контроллеру базовой станций BSC (Base Station Controller), который содержит логику управления каждой из этих станций.

    Все BSC присоединены к центру коммутации подвижной связи МSC (Mobile Switching Center), который управляет установлением соединений к мобильным абонентам и от них.

    Центр МSC представляет функциональные возможности стандартного коммутатора и, дополнительно, ряд специальных функций для мобильной связи.

    К этим функциям, в частности, относится, функции хэндовера и роуминга.

    Функция хэндовера (handover или handoff) заключается в перепоручении новой соте управления обслуживания вызова во время соединения мобильного абонента при перемещении из одной соты в другую.

    Фактически хэндовер означает переключение абонента с одно радиоканала и (или) временного интервала на другой, без уведомления абонента об этом изменении.

    Если интенсивность сигнала падает ниже заданного уровня (пользователь перемещается в другую соту или приближается к границе текущей соты), то проверяется, не принимает ли соседняя сота сигнал с более высоким уровнем.

    При подтверждении этого обслуживание мобильного абонента переключается на эту соту.

    В современных технологиях для этого используется метод MAHO (Mobile Assisted Handover), в котором мобильный терминал сам периодических измеряет уровень сигнала и качество сигналов, принятых как от обслуживающего BS, так и от соседних, и передает в сеть соответствующее сообщение.

    От характера этого сообщения зависит принятие решения: нужно ли производить хэндовер или нет.

    При технологии подвижной связи абонент перемещается из соты в соту в пределах сети, а так же из одной сети в другую. Перемещение (местонахождение) необходимо отслеживать с определенной точностью, чтобы адресовать ему вызовы (сообщение).

    Задача эта решается следующим образом.

    1. Абонент первоначально включает свой мобильный терминал.

    Устройство самостоятельно посылает регистрационное сообщение к местному центру MSC. В состав сообщения входит уникальный идентификатор абонента.

    В состав сообщения входит уникальный идентификатор абонента.

    На основе его центр MSC может определить регистр HLR, которому принадлежит абонент и передать регистрационное сообщение в регистр HLR, чтобы информировать его о том, какой центр MSC в данное время обслуживает абонента.

    2. Регистр HLR – передает сообщение отмены регистрации в тот центр MSC, который до этого обслуживал этого абонента (если таковой имеется), и посылает подтверждение в новый обслуживающий центр MSC.

    В каждой трубке хранятся 15 цифр идентификатора IMEI (International Mobile Equipment Identity) – уникальный международный идентификатор мобильного терминала или 16 цифр IMEISV (International Mobile Equipment Identity and Software Version Number) – уникальный международный идентификатор мобильного терминала и номер версии программного обеспечения (ПО).

    Чтобы узнать IMEI своего мобильного телефона, введите комбинацию «*#06#». Полезно записать этот номер на тот случай, если мобильный телефон будет похищен.

    В регистре EIR хранятся три списка – черный, серый и белый.

    В черном списке может находиться и полный номер IMEI и номер IMEI SV. Если полный номер IMEI появляются в черном списке, значит вызовы с этого мобильного терминала запрещены.

    Если эти значения появляются в сером списке, то вызовы могут быть разрешены. Но могут быть и запрещены по усмотрению Оператора.

    Когда эти значения появляются в белом списке, вызовы разрешены.

    В белом списке содержатся все серии идентификационных номеров оборудования для различных стран.

    В черном списке содержатся идентификационные номера мобильных аппаратов, запрещенных к использованию в данной сети.

    В сером списке содержится информация о дефектном или нелицензированном (несертификацированном) оборудовании.

    Аутентификация (англ. authentication) – проверка принадлежности субъекту доступа предъявленного им идентификатора.

    Аутентификацию не следует путать с идентификацией и авторизацией.

    В пластмассовом корпусе маленького телефона, кроме аккумулятора, держателя карточки SIM и дисплея, мы обнаружим очень немного деталей. Печатная плата, несколько распаянных на ней микросхем, встроенная приёмо-передающая антенна, клавиатура (самая обычная «резинка» с пластмассовыми клавишами), световые индикаторы. Ну, ещё крошечный фотомодуль в камерофонах – с пластмассовыми линзочками объектива и очень маленькой светочувствительной матрицей, спрятанной в корпусе модуля (сенсор намного меньше, чем в самом дешёвом цифровом фотоаппарате, размером с рисовое зерно). Завершают эту печальную картину несколько соединительных проводков… Короче, ничего особенного. На первый взгляд сотовый телефон устроен ничуть ни сложней современного радиоприёмника. Портативный аналоговый (не цифровой!) радиоприёмник кажется даже более мудрёным – в нём есть верньер, шкала настройки с механической системой перемещения движка… За что же платим такие деньги? Что такого особенного скрывает в себе сотовый телефон?

    Впрочем, не будем забывать, что сотовая связь одна из последних (вместе с персональным компьютером и Интернетом) великих технологий прошлого века. Люди уже побывали на Луне, посадили на Венеру автоматический зонд, опустились на дно глубочайшей в мире Марианской впадины, создали огромные воздушные и автомобильные транспортные системы, открыли строение атома и взорвали ядерную бомбу, а маленький радиотелефон с неограниченной зоной действия оставался лишь мечтой.

    Телефон, как и компьютер, прошёл несколько стадий развития. Сначала он был здоровенным чемоданом с телефонной трубкой. В чемодане располагалось множество схем и деталей, а вес «портативного» устройства приближался к десятку килограммов. Потом появились телефоны «кирипичи». Они были полегче, поменьше, но их устройство тоже было достаточно, скажем так, насыщенным. Большая многодиапазонная радиола по сравнению с этим телефоном выглядела, как бутафорский надувной автомобиль рядом с настоящим лимузином. И только в начале 90-х годов сотовый телефон стал тем маленьким устройством карманного размера, которое мы используем сегодня. И всё это благодаря усилиям разработчиков нового (на то время) стандарта сотовой связи GSM. Только введением в сотовую телефонию цифровых технологий удалось уменьшить мощность передатчиков, повысить чувствительность приёмников и достичь высокого качества связи при ничтожно малых размеров самого абонентского устройства – сотового телефона.

    Сегодня мы пользуемся маленьким телефоном и даже не задумываемся – а как, собственно, он работает? Что происходит внутри сотового телефона? Почему это маленькое и уже доступное всем и каждому устройство относят к области высоких технологий? В чём, собственно, его сложность (между тем обычный проводной телефон устройство до удивления простое – проще кофемолки или электробритвы)? И… что такое GSM?

    История GSM началась в 80-е годы прошлого века, когда страны Европы имели собственные, несовместимые между собой, сети сотовой связи. Собственными сетями были оснащены страны Скандинавии, Великобритания, Франция и Германия. Несовместимость стандартов мешала распространению сотовой телефонии, усложняла жизнь и операторам, и абонентам. Невозможно было, к примеру, осуществлять автоматический роуминг при перемещении из зоны действия одной сети в зону действия другой. И абонентские устройства, сами сотовые телефоны, были далеко не универсальными. Для каждого типа сотовой связи нужно было разрабатывать уникальную аппаратуру.

    Для преодоления барьера несовместимости в 1982 году была создана международная группа по разработке общего стандарта сотовой связи – Groupe Special Mobile или GSM. В 1990 году европейский институт телекоммуникационных стандартов, к которому перешли полномочия группы GSM, опубликовал спецификации так называемой "фазы I", а в середине 1991 года началась коммерческая эксплуатация первой сети этого стандарта. Сегодня GSM является самой распространенной системой сотовой связи в мире, а её название расшифровывается иначе - Global System for Mobile telecommunications или «глобальная система мобильных телекоммуникаций».

    Следует заметить, что GSM первый общепринятый цифровой стандарт сотовой связи. К моменту принятия решения о его введении в мире уже существовало несколько развитых аналоговых систем – кроме скандинавской NMT, это были английская TACS и американская AMPS. Но разработчики новой системы резонно полагали, что цифровые методы сжатия и кодирования информации значительно расширят применения сотовой связи, обеспечат лучшее качество и предоставят пользователям невиданные ранее сервисы.

    В сотовой связи стандарта GSM используются радиочастоты 900, 1800 или 1900 МГц (трехдиапазонные телефоны при этом могут использоваться в сетях любого из перечисленных частотных диапазонов). В сравнении с аналоговыми стандартами GSM имеет целый ряд преимуществ. Основные из них – применение маломощных передатчиков в абонентских аппаратах и в базовых станциях. Это удешевляет саму аппаратуру, но не сказывается на качестве связи. Кроме того, передача информации в цифровом виде позволяет легко обеспечить высокую степень конфиденциальности переговоров.

    Технология GSM это на самом деле целый «букет» сложнейших технологий. Первая из них – технология оцифровка и кодирование звука. Поскольку оцифровка звука требует немалых вычислительных ресурсов, в каждом сотовом телефоне, даже в самом дешевом, работает достаточно мощный специализированный компьютер, который выполняет функции аналого-цифрового и цифро-аналогового преобразователей - АЦП и ЦАП.

    Далее – технология многоканального выравнивания. Дело в том, что в диапазоне 900 МГц и выше радиосигнал легко отражается от стен зданий и других препятствий. В результате телефон получат множество отличающихся по фазе сигналов, из которых выделяет нужный, а остальные игнорирует.

    При передвижении абонента сотовый телефон должен автоматически переходить с частоты на частоту без прерывания сеанса связи. Это обеспечивает технология «медленного частотного скачка». При этом каждая «порция» информации (а весь поток цифровой информации разделяется на «порции» в рамках так называемого тайм-слота – временного промежутка) передается по разным частотам.

    Ещё одна любопытная технология GSM – прерывистая передача. Обратите внимание, как мы говорим по телефону. Скажем слово, пауза, скажем еще одно слово, снова пауза. Так вот, когда мы молчим, телефон отключает передатчик. Как только заговорим – включает. Этот механизм позволяет свести к минимуму энергопотребление сотового телефона. Умная получается машинка!

    Еще какая умная – телефон и на прием работает тоже «прерывисто». Во включенном состоянии он ожидает сигнала базовой станции, но включается только на короткое время и тут же отключается… Теперь понятен смысл мигающего светового индикатора на вашем телефоне?

    Все сотовые телефоны в зависимости от мощности встроенных радиопередатчиков подразделяются на несколько классов – от 20 ватт (настоящие монстры!), до 0,8 ватт (большинство популярных моделей). Но обычно, когда базовая станция находится рядом с абонентским устройством (а "соты" GSM в больших городах располагаются достаточно густо, чтобы избежать "мертвых" зон между строениями), полная мощность передатчика телефона для поддержания устойчивой связи не нужна. Для регулировки мощности используется механизм анализа количества ошибок при передаче-приёме. На его основе мощность передатчика базовой станции и телефона понижается до уровня, когда качество связи достаточно стабильно. Этот контроль мощности вещь очень тонкая. Большинство жалоб пользователей на плохое качество связи на его "совести".

    © Николай Надеждин ,

    Эта статья первая из цикла статей про сотовую связь. В данном цикле я хотел бы подробно описать принципы работы сетей сотовой связи второго, третьего и четвертого поколений. Стандарт GSM относится ко второму поколению (2G).

    Сотовая связь первого поколения была аналоговой и сейчас не используются, поэтому рассматривать мы ее не будем. Второе поколение является цифровым и эта особенность позволила полностью вытеснить сети 1G. Цифровой сигнал по сравнению с аналоговым более помехоустойчивый, что является крупным преимуществом в подвижной радиосвязи. Кроме того, цифровой сигнал помимо речи позволяет передавать данные (SMS, GPRS). Стоит отметить, что данная тенденция по переходу с аналогового сигнала на цифровой является характерной не только для сотовой связи.

    GSM (Global System Mobile) — глобальный стандарт цифровой мобильной связи, с разделение каналов по времени TDMA и частоте FDMA. Разработан под эгидой Европейского института стандартизации электросвязи (ETSI) в конце 1980-х годов.

    GSM обеспечивает поддержку услуг:

    • Передачи данных GPRS
    • Передача речи
    • Передача коротких сообщений SMS
    • Передача факса

    Кроме того, существуют дополнительные услуги:

    • Определение номера
    • Переадресация вызова
    • Ожидание и удержание вызова
    • Конференц-связь
    • Голосовая почта

    Архитектура сети GSM

    Рассмотрим подробнее из каких элементов строится сеть GSM и каким образом они взаимодействуют между собой.

    Сеть GSM делится на две системы: SS (Switching System) — коммутационная подсистема, BSS (Base Station System) — система базовых станций. SS выполняет функции обслуживания вызовов и установления соединений, а также отвечает за реализацию всех назначенных абоненту услуг. BSS отвечает за функции, относящиеся к радиоинтерфейсу.

    SS включает в себя:

    • MSC (Mobile Switching Center) — узел коммутации сети GSM
    • GMSC (Gate MSC) — коммутатор, который обрабатывает вызовы от внешних сетей
    • HLR (Home Location Register) — база данных домашних абонентов
    • VLR (Visitor Location Register) — база данных гостевых абонентов
    • AUC (Authentication Cetner) — центр аутентификации (проверки подлинности абонента)

    BSS включает в себя:

    • BSC (Base Station Controller) — контроллер базовых станций
    • BTS (Base Transeiver Station) — приемо-передающая станция
    • MS (Mobile Station) — мобильная станция

    Состав коммутационной подсистемы SS

    MSC выполняет функции коммутации для мобильной связи. Данный центр контролирует все входящие и исходящие вызовы, поступающие из других телефонных сетей и сетей передачи данных. К данным сетям можно отнести PSTN, ISDN, сети передачи данных общего пользования, корпоративные сети, а также сети мобильной связи других операторов. Функции проверки подлинности абонентов также выполняются в MSC. MSC обеспечивает маршрутизацию вызовов и функции управления вызовами. На MSC возлагаются функции коммутации. MSC формирует данные, необходимые для тарификации предоставленных сетью услуг связи, накапливает данные по состоявшимся разговорам и передаёт их в центр расчётов (биллинг-центр). MSC составляет также статистические данные, необходимые для контроля работы и оптимизации сети. MSC не только участвует в управлении вызовами, но также управляет процедурами регистрации местоположения и передачи управления.

    В системе GSM каждый оператор располагает базой данных, содержащей информацию обо всех абонентах принадлежащих своей PLMN. В сети одного оператора логически HLR – один, а физически их много, т.к. это
    распределенная база данных. Информация об абоненте заносится в HLR в момент регистрации абонента (заключения абонентом контракта на обслуживание) и хранится до тех пор, пока абонент не расторгнет контракт и не будет удалён из регистра HLR.
    Хранящаяся информация в HLR включает в себя:

    • Идентификаторы (номера) абонента.
    • Дополнительные услуги, закрепленные за абонентом
    • Информацию о местоположении абонента, с точностью до номера MSC/VLR
    • Аутентификационную информацию абонента (триплеты)

    HLR может быть выполнен как встроенная функция в MSC/VLR, так и отдельно. Если емкость HLR исчерпана, то может быть добавлен дополнительный HLR. И в случае организации нескольких HLR база данных остаётся единой – распределённой. Запись данных об абоненте всегда остаётся единственной. К данным, хранящихся в HLR, могут получить доступ MSC и VLR, относящиеся к другим сетям, в рамках обеспечения межсетевого роуминга абонентов.

    База данных VLR содержит информацию о всех абонентах мобильной связи, расположенных в данный момент в зоне обслуживания MSC. Таким образом, для каждого MSC на сети существует свой VLR. В VLR временно хранится информация о услугах, и благодаря этому связанный с ним MSC может обслуживать всех абонентов, находящихся в зоне обслуживания данного MSC. В HLR и VLR хранится очень похожая информация об абоненте, но есть некоторые отличия, которые будут рассмотрены в следующих главах. Когда абонент перемещается в зону обслуживания нового MSC, VLR, подключенный к данному MSC, запрашивает информацию об абоненте из того HLR, в котором хранятся данные этого абонента. HLR посылает копию информации в VLR и обновляет у себя информацию о местоположении абонента. После того как информация обновится, MS может осуществлять исходящие/входящие соединения.

    Для исключения несанкционированного использования ресурсов системы связи вводятся механизмы аутентификации – удостоверения подлинности абонента. AUC — центр проверки подлинности абонента, состоит из нескольких блоков и формирует ключи аутентификации и шифрации (осуществляется генерация паролей). С его помощью MSC проверяет подлинность абонента, и при установлении соединения на радиоинтерфейсе будет включена шифрация передаваемой информации.

    Состав подсистемы базовых станций BSS

    BSC управляет всеми функциями, относящимися к работе радиоканалов в сети GSМ. Это коммутатор, который обеспечивает такие функции, как хэндовер MS, назначение радиоканалов и сбор данных о конфигурации сот. Каждый MSC может управлять несколькими BSC.

    BTS управляет радиоинтерфейсом с MS. BTS включает в себя такое радиооборудование, как приемо-передатчики и антенны, которые необходимы для обслуживание каждой соты в сети. Контроллер BSC управляет несколькими BTS.

    Географическое построение сетей GSM

    Каждая телефонная сеть нуждается в определенной структуре для маршрутизации вызовов к требуемой станции и далее к абоненту. В сети мобильной связи эта структура особенно важна, так как абоненты перемещаются по сети, то есть меняют свое местоположение и это местоположение должно постоянно отслеживаться.

    Не смотря на то, что сота является базовой единицей системы связи GSM, дать четкое определение очень сложно. Привязать этот термин к антенне или к базовой станции невозможно, т.к. существуют различные соты. Тем не менее, сота – это некоторая географическая область, которая обслуживается одной или несколькими базовыми станциями и в которой действует одна группа контрольных логических каналов GSM (сами каналы будут рассмотрены в следующих главах). Каждой соте назначается свой уникальной номер, называемый Глобальным идентификатором соты (CGI). В сети, охватывающей, например, целую страну, число сот может быть очень большим.

    Зона местоположения (LA) определяется как группа сот, в которой будет производиться вызов мобильной станции. Местоположение абонента в пределах сети связано с той LA, в которой в данный момент находится абонент. Идентификатор данной зоны (LAI) хранится в VLR. Когда MS пересекает границу между двумя сотами, принадлежащими различным LA, она передает в сеть информацию о новой LA. Это происходит только в том случае, если MS находится в режиме Idle. Информация о новом местоположении не передается в течение установленного соединения, этот процесс будет происходить после окончания соединения. Если MS пересекает границу между сотами в пределах одной LA, она не сообщает сети о своем новом местоположении. При поступлении входящего вызова к MS пейджинговое сообщение распространяется в пределах всех сот, принадлежащих одной LA.

    Зона обслуживания MSC состоит из некоторого числа LA и отображает географическую часть сети, находящуюся под управлением одного MSC. Для того, чтобы направить вызов к MS информация о зоне обслуживания MSC также необходима, поэтому зона обслуживания также отслеживается и информация о ней записывается в базе данных (HLR).

    Зона обслуживания PLMN представляет собой совокупность сот, обслуживаемых одним оператором и определяется как зона, в которой оператор обеспечивает абоненту радиопокрытие и доступ к своей сети. В любой стране может быть несколько PLMN, по одной на каждого оператора. Определение роуминг употребляется в случае перемещения MS из одной области обслуживания PLMN в другую. Так называемый внутри сетевой роуминг представляет собой смену MSC/VLR.

    Зона обслуживания GSM представляет собой всю географическую область, в которой абонент может получить доступ к сети GSM. Зона обслуживания GSM увеличивается по мере того, как новые операторы подписывают контракты, предусматривающие совместную работу по обслуживанию абонентов. В настоящее время зона обслуживания GSM охватывает с некоторыми промежутками многие страны от Ирландии до Австралии и от Южной Африки до Америки.

    Международный роуминг – это термин, который применяется в том случае, когда MS перемещается от одной национальной PLMN в другую национальную PLMN.

    Частотный план GSM

    GSM включает в себя несколько диапазонов частот, наиболее распространены: 900, 1800, 1900 МГц. Изначально под стандарт GSM был выделен диапазон 900 МГц. В настоящее время данный диапазон остаётся всемирным. В некоторых странах используются расширенные диапазоны частот, обеспечивающие большую ёмкость сети. Расширенные диапазоны частот называются E-GSM и R-GSM, в то время как обычный диапазон носит название P-GSM (primary).

    • P-GSM900 890-915/935-960 MHz
    • E-GSM900 880-915/925-960 MHz
    • R-GSM900 890-925/935-970 MHz
    • R-GSM1800 1710-1785/1805-1880 MHz

    В 1990 г. для увеличения конкуренции между операторами, в Великобритании начали развивать новую версию GSM, которая адаптирована к диапазону частот 1800. Сразу после утверждения данного диапазона несколько стран сделали заявку на использование данного диапазона частот. Введение данного диапазона увеличило рост количества операторов, приводя к увеличению конкуренции и, соответственно, улучшению качества
    обслуживания. Применение данного диапазона позволяет увеличивать емкость сети за счёт увеличения полосы пропускания и, соответственно, увеличение количества несущих. Диапазон частот 1800 использует следующие диапазоны частот: GSM 1710-1805/1785-1880 MHz. До 1997 года стандарт 1800 носил название Digital Cellular System (DCS) 1800 MHz, в настоящее время носит название GSM 1800.

    В 1995 году в США была специфицирована концепция PCS (Personal Cellular System). Основной идеей этой концепции является возможность предоставления персональной связи, то есть связи между двумя абонентами, а не между двумя мобильными станциями. PCS не требует, чтобы эти услуги были реализованы на основе сотовой технологии, но в настоящее время эта технология признана наиболее эффективной для данной концепции. Частоты, доступные для реализации PCS, находятся в области 1900 МГц. Поскольку в Северной Америке стандарт GSM 900 не может быть использован из-за того, что эта полоса частот занята другим стандартом, стандарт GSM 1900 является возможностью заполнения этого пробела. Основным различием между американским стандартом GSM 1900 и GSM 900 является то, что GSM 1900 поддерживает сигнализацию ANSI.

    Традиционно полоса 800 МГц была занята распространенным в США стандартом TDMA (AMPS и D-AMPS). Как и в случае со стандартом GSM 1800 этот стандарт дает возможность получения дополнительных лицензий, то есть расширяет область работы стандарта на национальных сетях предоставляя операторам дополнительную емкость.

    В результате, физический канал между приемником и передатчиком определяется частотой, выделенными фреймами и номерами таймслотов в них. Обычно базовые станции используют один или несколько каналов ARFCN, один из которых используется для идентификации присутствия BTS в эфире. Первый таймслот (индекс 0) фреймов этого канала используется в качестве базового служебного канала (base-control channel или beacon-канал). Оставшаяся часть ARFCN распределяется оператором для CCH и TCH каналов на свое усмотрение.

    2.3 Логические каналы

    На основе физических каналов формируются логические. Um-интерфейс подразумевает обмен как пользовательской информацией, так и служебной. Согласно спецификации GSM, каждому виду информации соответствует специальный вид логических каналов, реализуемых посредством физических:

    • каналы трафика (TCH - Traffic Channel),
    • каналы служебной информации (CCH - Control Channel).
    Каналы трафика делятся на два основных вида: TCH/F - Full rate канал с максимальной скоростью до 22,8 Кбит/с и TCH/H - Half rate канал с максимальной скоростью до 11,4 Кбит/с. Данные виды каналов могут быть использованы для передачи речи (TCH/FS, TCH/HS) и пользовательских данных (TCH/F9.6, TCH/F4.8, TCH/H4.8, TCH/F2.4, TCH/H2.4), например, SMS.

    Каналы служебной информации делятся на:

    • Широковещательные (BCH - Broadcast Channels).
      • FCCH - Frequency Correction Channel (канал коррекции частоты). Предоставляет информацию, необходимую мобильному телефону для коррекции частоты.
      • SCH - Synchronization Channel (канал синхронизации). Предоставляет мобильному телефону информацию, необходимую для TDMA-синхронизации с базовой станцией (BTS), а также ее идентификационные данные BSIC .
      • BCCH - Broadcast Control Channel (широковещательный канал служебной информации). Передает основную информацию о базовой станции, такую как способ организации служебных каналов, количество блоков, зарезервированных для сообщений предоставления доступа, а также количество мультифреймов (объемом по 51 TDMA-фрейму) между Paging-запросами.
    • Каналы общего назначения (CCCH - Common Control Channels)
      • PCH - Paging Channel. Забегая вперед, расскажу, что Paging - это своего рода ping мобильного телефона, позволяющий определить его доступность в определенной зоне покрытия. Данный канал предназначен именно для этого.
      • RACH - Random Access Channel (канал произвольного доступа). Используется мобильными телефонами для запроса собственного служебного канала SDCCH. Исключительно Uplink-канал.
      • AGCH - Access Grant Channel (канал уведомлений о предоставлении доступа). На этом канале базовые станции отвечают на RACH-запросы мобильных телефонов, выделяя SDCCH, либо сразу TCH.
    • Собственные каналы (DCCH - Dedicated Control Channels)
      Собственные каналы, так же как и TCH, выделяются определенным мобильным телефонам. Существует несколько подвидов:
      • SDCCH - Stand-alone Dedicated Control Channel. Данный канал используется для аутентификации мобильного телефона, обмена ключами шифрования, процедуры обновления местоположения (location update), а также для осуществления голосовых вызовов и обмена SMS-сообщениями.
      • SACCH - Slow Associated Control Channel. Используется во время разговора, либо когда уже задействован канал SDCCH. С его помощью BTS передает телефону периодические инструкции об изменении таймингов и мощности сигнала. В обратную сторону идут данные об уровне принимаемого сигнала (RSSI), качестве TCH, а также уровень сигнала ближайших базовый станций (BTS Measurements).
      • FACCH - Fast Associated Control Channel. Данный канал предоставляется вместе с TCH и позволяет передавать срочные сообщения, например, во время перехода от одной базовой станции к другой (Handover).

    2.4 Что такое burst?

    Данные в эфире передаются в виде последовательностей битов, чаще всего называемых «burst», внутри таймслотов. Термин «burst», наиболее подходящим аналогом которому является слово «всплеск», должен быть знаком многим радиолюбителям, и появился, скорее всего, при составлении графических моделей для анализа радиоэфира, где любая активность похожа на водопады и всплески воды. Подробнее о них можно почитать в этой замечательной статье (источник изображений), мы остановимся на самом главном. Схематичное представление burst может выглядеть так:

    Guard Period
    Во избежание возникновения интерференции (т.е. наложения двух busrt друг на друга), продолжительность burst всегда меньше продолжительности таймслота на определенное значение (0,577 - 0,546 = 0,031 мс), называемое «Guard Period». Данный период представляет собой своего рода запас времени для компенсации возможных задержек по времени при передаче сигнала.

    Tail Bits
    Данные маркеры определяют начало и конец burst.

    Info
    Полезная нагрузка burst, например, данные абонентов, либо служебный трафик. Состоит из двух частей.

    Stealing Flags
    Эти два бита устанавливаются когда обе части данных burst канала TCH переданы по каналу FACCH. Один переданный бит вместо двух означает, что только одна часть burst передана по FACCH.

    Training Sequence
    Эта часть burst используется приемником для определения физических характеристик канала между телефоном и базовой станцией.

    2.5 Виды burst

    Каждому логическому каналу соответствуют определенные виды burst:

    Normal Burst
    Последовательности этого типа реализуют каналы трафика (TCH) между сетью и абонентами, а также все виды каналов управления (CCH): CCCH, BCCH и DCCH.

    Frequency Correction Burst
    Название говорит само за себя. Реализует односторонний downlink-канал FCCH, позволяющий мобильным телефонам более точно настраиваться на частоту BTS.

    Synchronization Burst
    Burst данного типа, так же как и Frequency Correction Burst, реализует downlink-канал, только уже SCH, который предназначен для идентификации присутствия базовых станций в эфире. По аналогии с beacon-пакетами в WiFi-сетях, каждый такой burst передается на полной мощности, а также содержит информацию о BTS, необходимую для синхронизации с ней: частота кадров, идентификационные данные (BSIC), и прочие.

    Dummy Burst
    Фиктивный burst, передаваемый базовой станцией для заполнения неиспользуемых таймслотов. Дело в том, что если на канале нет никакой активности, мощность сигнала текущего ARFCN будет значительно меньше. В этом случае мобильному телефону может показаться, что он далеко от базовой станции. Чтобы этого избежать, BTS заполняет неиспользуемые таймслоты бессмысленным трафиком.

    Access Burst
    При установлении соединения с BTS мобильный телефон посылает запрос выделенного канала SDCCH на канале RACH. Базовая станция, получив такой burst, назначает абоненту его тайминги системы FDMA и отвечает на канале AGCH, после чего мобильный телефон может получать и отправлять Normal Bursts. Стоит отметить увеличенную продолжительность Guard time, так как изначально ни телефону, ни базовой станции не известна информация о временных задержках. В случае, если RACH-запрос не попал в таймслот, мобильный телефон спустя псевдослучайный промежуток времени посылает его снова.

    2.6 Frequency Hopping

    Цитата из Википедии:

    Псевдослучайная перестройка рабочей частоты (FHSS - англ. frequency-hopping spread spectrum) - метод передачи информации по радио, особенность которого заключается в частой смене несущей частоты. Частота меняется в соответствии с псевдослучайной последовательностью чисел, известной как отправителю, так и получателю. Метод повышает помехозащищённость канала связи.


    3.1 Основные векторы атак

    Посколько Um-интерфейс является радиоинтерфейсом, весь его трафик «виден» любому желающему, находящемуся в радиусе действия BTS. Причем анализировать данные, передаваемые через радиоэфир, можно даже не выходя из дома, используя специальное оборудование (например, старый мобильный телефон, поддерживаемый проектом OsmocomBB, или небольшой донгл RTL-SDR) и прямые руки самый обычный компьютер.

    Выделяют два вида атаки: пассивная и активная. В первом случае атакующий никак не взаимодействует ни с сетью, ни с атакуемым абонентом - исключительно прием и обработка информации. Не трудно догадаться, что обнаружить такую атаку почти не возможно, но и перспектив у нее не так много, как у активной. Активная атака подразумевает взаимодействие атакующего с атакуемым абонентом и/или сотовой сетью.

    Можно выделить наиболее опасные виды атак, которым подвержены абоненты сотовых сетей:

    • Сниффинг
    • Утечка персональных данных, СМС и голосовых звонков
    • Утечка данных о местоположении
    • Спуфинг (FakeBTS или IMSI Catcher)
    • Удаленный захват SIM-карты, исполнение произвольного кода (RCE)
    • Отказ в обслуживании (DoS)

    3.2 Идентификация абонентов

    Как уже упоминалось в начале статьи, идентификация абонентов выполняется по IMSI, который записан в SIM-карте абонента и HLR оператора. Идентификация мобильных телефонов выполняется по серийному номеру - IMEI. Однако, после аутентификации ни IMSI, ни IMEI в открытом виде по эфиру не летают. После процедуры Location Update абоненту присваивается временный идентификатор - TMSI (Temporary Mobile Subscriber Identity), и дальнейшее взаимодействие осуществляется именно с его помощью.

    Способы атаки
    В идеале, TMSI абонента известен только мобильному телефону и сотовой сети. Однако, существуют и способы обхода данной защиты. Если циклически звонить абоненту или отправлять SMS-сообщения (а лучше Silent SMS), наблюдая за каналом PCH и выполняя корреляцию, можно с определенной точностью выделить TMSI атакуемого абонента.

    Кроме того, имея доступ к сети межоператорного взаимодействия SS7, по номеру телефона можно узнать IMSI и LAC его владельца. Проблема в том, что в сети SS7 все операторы «доверяют» друг другу, тем самым снижая уровень конфиденциальности данных своих абонентов.

    3.3 Аутентификация

    Для защиты от спуфинга, сеть выполняет аутентификацию абонента перед тем, как начать его обслуживание. Кроме IMSI, в SIM-карте хранится случайно сгенерированная последовательность, называемая Ki, которую она возвращает только в хэшированном виде. Также Ki хранится в HLR оператора и никогда не передается в открытом виде. Вцелом, процесс аутентификации основан на принципе четырехстороннего рукопожатия:

    1. Абонент выполняет Location Update Request, затем предоставляет IMSI.
    2. Сеть присылает псевдослучайное значение RAND.
    3. SIM-карта телефона хэширует Ki и RAND по алгоритму A3. A3(RAND, Ki) = SRAND.
    4. Сеть тоже хэширует Ki и RAND по алгоритму A3.
    5. Если значение SRAND со стороны абонента совпало с вычисленным на стороне сети, значит абонент прошел аутентификацию.

    Способы атаки
    Перебор Ki, имея значения RAND и SRAND, может занять довольно много времени. Кроме того, операторы могут использовать свои алгоритмы хэширования. В сети довольно мало информации о попытках перебора. Однако, не все SIM-карты идеально защищены. Некоторым исследователям удавалось получить прямой доступ к файловой системе SIM-карты, а затем извлечь Ki.

    3.4 Шифрование трафика

    Согласно спецификации, существует три алгоритма шифрования пользовательского трафика:
    • A5/0 - формальное обозначение отсутствия шифрования, так же как OPEN в WiFi-сетях. Сам я ни разу не встречал сетей без шифрования, однако, согласно gsmmap.org , в Сирии и Южной Корее используется A5/0.
    • A5/1 - самый распространенный алгоритм шифрования. Не смотря на то, что его взлом уже неоднократно демонстрировался на различных конференциях, используется везде и повсюду. Для расшифровки трафика достаточно иметь 2 Тб свободного места на диске, обычный персональный компьютер с Linux и программой Kraken на борту.
    • A5/2 - алгоритм шифрования с умышленно ослабленной защитой. Если где и используется, то только для красоты.
    • A5/3 - на данный момент самый стойкий алгоритм шифрования, разработанный еще в 2002 году. В интернете можно найти сведения о некоторых теоретически возможных уязвимостях, однако на практике его взлом еще никто не демонстрировал. Не знаю, почему наши операторы не хотят использовать его в своих 2G-сетях. Ведь для это далеко не помеха, т.к. ключи шифрования известны оператору и трафик можно довольно легко расшифровывать на его стороне. Да и все современные телефоны прекрасно его поддерживают. К счастью, его используют современные 3GPP-сети.
    Способы атаки
    Как уже говорилось, имея оборудование для сниффинга и компьютер с 2 Тб памяти и программой Kraken, можно довольно быстро (несколько секунд) находить сессионные ключи шифрования A5/1, а затем расшифровывать чей-угодно трафик. Немецкий криптолог Карстен Нол (Karsten Nohl) в 2009 году способ взлома A5/1. А через несколько лет Карстен и Сильвиан Мюно продемонстрировали перехват и способ дешифровки телефонного разговора с помошью нескольких старых телефонов Motorola (проект OsmocomBB).

    Заключение

    Мой длинный рассказ подошел к концу. Более подробно и с практической стороны с принципами работы сотовых сетей можно будет познакомиться в цикле статей , как только я допишу оставшиеся части. Надеюсь, у меня получилось рассказать Вам что-нибудь новое и интересное. Жду Ваших отзывов и замечаний!
  • мобильные устройства
  • радиоканал
  • радиосвязь
    • Добавить метки

    В результате, физический канал между приемником и передатчиком определяется частотой, выделенными фреймами и номерами таймслотов в них. Обычно базовые станции используют один или несколько каналов ARFCN, один из которых используется для идентификации присутствия BTS в эфире. Первый таймслот (индекс 0) фреймов этого канала используется в качестве базового служебного канала (base-control channel или beacon-канал). Оставшаяся часть ARFCN распределяется оператором для CCH и TCH каналов на свое усмотрение.

    2.3 Логические каналы

    На основе физических каналов формируются логические. Um-интерфейс подразумевает обмен как пользовательской информацией, так и служебной. Согласно спецификации GSM, каждому виду информации соответствует специальный вид логических каналов, реализуемых посредством физических:

    • каналы трафика (TCH - Traffic Channel),
    • каналы служебной информации (CCH - Control Channel).
    Каналы трафика делятся на два основных вида: TCH/F - Full rate канал с максимальной скоростью до 22,8 Кбит/с и TCH/H - Half rate канал с максимальной скоростью до 11,4 Кбит/с. Данные виды каналов могут быть использованы для передачи речи (TCH/FS, TCH/HS) и пользовательских данных (TCH/F9.6, TCH/F4.8, TCH/H4.8, TCH/F2.4, TCH/H2.4), например, SMS.

    Каналы служебной информации делятся на:

    • Широковещательные (BCH - Broadcast Channels).
      • FCCH - Frequency Correction Channel (канал коррекции частоты). Предоставляет информацию, необходимую мобильному телефону для коррекции частоты.
      • SCH - Synchronization Channel (канал синхронизации). Предоставляет мобильному телефону информацию, необходимую для TDMA-синхронизации с базовой станцией (BTS), а также ее идентификационные данные BSIC .
      • BCCH - Broadcast Control Channel (широковещательный канал служебной информации). Передает основную информацию о базовой станции, такую как способ организации служебных каналов, количество блоков, зарезервированных для сообщений предоставления доступа, а также количество мультифреймов (объемом по 51 TDMA-фрейму) между Paging-запросами.
    • Каналы общего назначения (CCCH - Common Control Channels)
      • PCH - Paging Channel. Забегая вперед, расскажу, что Paging - это своего рода ping мобильного телефона, позволяющий определить его доступность в определенной зоне покрытия. Данный канал предназначен именно для этого.
      • RACH - Random Access Channel (канал произвольного доступа). Используется мобильными телефонами для запроса собственного служебного канала SDCCH. Исключительно Uplink-канал.
      • AGCH - Access Grant Channel (канал уведомлений о предоставлении доступа). На этом канале базовые станции отвечают на RACH-запросы мобильных телефонов, выделяя SDCCH, либо сразу TCH.
    • Собственные каналы (DCCH - Dedicated Control Channels)
      Собственные каналы, так же как и TCH, выделяются определенным мобильным телефонам. Существует несколько подвидов:
      • SDCCH - Stand-alone Dedicated Control Channel. Данный канал используется для аутентификации мобильного телефона, обмена ключами шифрования, процедуры обновления местоположения (location update), а также для осуществления голосовых вызовов и обмена SMS-сообщениями.
      • SACCH - Slow Associated Control Channel. Используется во время разговора, либо когда уже задействован канал SDCCH. С его помощью BTS передает телефону периодические инструкции об изменении таймингов и мощности сигнала. В обратную сторону идут данные об уровне принимаемого сигнала (RSSI), качестве TCH, а также уровень сигнала ближайших базовый станций (BTS Measurements).
      • FACCH - Fast Associated Control Channel. Данный канал предоставляется вместе с TCH и позволяет передавать срочные сообщения, например, во время перехода от одной базовой станции к другой (Handover).

    2.4 Что такое burst?

    Данные в эфире передаются в виде последовательностей битов, чаще всего называемых «burst», внутри таймслотов. Термин «burst», наиболее подходящим аналогом которому является слово «всплеск», должен быть знаком многим радиолюбителям, и появился, скорее всего, при составлении графических моделей для анализа радиоэфира, где любая активность похожа на водопады и всплески воды. Подробнее о них можно почитать в этой замечательной статье (источник изображений), мы остановимся на самом главном. Схематичное представление burst может выглядеть так:

    Guard Period
    Во избежание возникновения интерференции (т.е. наложения двух busrt друг на друга), продолжительность burst всегда меньше продолжительности таймслота на определенное значение (0,577 - 0,546 = 0,031 мс), называемое «Guard Period». Данный период представляет собой своего рода запас времени для компенсации возможных задержек по времени при передаче сигнала.

    Tail Bits
    Данные маркеры определяют начало и конец burst.

    Info
    Полезная нагрузка burst, например, данные абонентов, либо служебный трафик. Состоит из двух частей.

    Stealing Flags
    Эти два бита устанавливаются когда обе части данных burst канала TCH переданы по каналу FACCH. Один переданный бит вместо двух означает, что только одна часть burst передана по FACCH.

    Training Sequence
    Эта часть burst используется приемником для определения физических характеристик канала между телефоном и базовой станцией.

    2.5 Виды burst

    Каждому логическому каналу соответствуют определенные виды burst:

    Normal Burst
    Последовательности этого типа реализуют каналы трафика (TCH) между сетью и абонентами, а также все виды каналов управления (CCH): CCCH, BCCH и DCCH.

    Frequency Correction Burst
    Название говорит само за себя. Реализует односторонний downlink-канал FCCH, позволяющий мобильным телефонам более точно настраиваться на частоту BTS.

    Synchronization Burst
    Burst данного типа, так же как и Frequency Correction Burst, реализует downlink-канал, только уже SCH, который предназначен для идентификации присутствия базовых станций в эфире. По аналогии с beacon-пакетами в WiFi-сетях, каждый такой burst передается на полной мощности, а также содержит информацию о BTS, необходимую для синхронизации с ней: частота кадров, идентификационные данные (BSIC), и прочие.

    Dummy Burst
    Фиктивный burst, передаваемый базовой станцией для заполнения неиспользуемых таймслотов. Дело в том, что если на канале нет никакой активности, мощность сигнала текущего ARFCN будет значительно меньше. В этом случае мобильному телефону может показаться, что он далеко от базовой станции. Чтобы этого избежать, BTS заполняет неиспользуемые таймслоты бессмысленным трафиком.

    Access Burst
    При установлении соединения с BTS мобильный телефон посылает запрос выделенного канала SDCCH на канале RACH. Базовая станция, получив такой burst, назначает абоненту его тайминги системы FDMA и отвечает на канале AGCH, после чего мобильный телефон может получать и отправлять Normal Bursts. Стоит отметить увеличенную продолжительность Guard time, так как изначально ни телефону, ни базовой станции не известна информация о временных задержках. В случае, если RACH-запрос не попал в таймслот, мобильный телефон спустя псевдослучайный промежуток времени посылает его снова.

    2.6 Frequency Hopping

    Цитата из Википедии:

    Псевдослучайная перестройка рабочей частоты (FHSS - англ. frequency-hopping spread spectrum) - метод передачи информации по радио, особенность которого заключается в частой смене несущей частоты. Частота меняется в соответствии с псевдослучайной последовательностью чисел, известной как отправителю, так и получателю. Метод повышает помехозащищённость канала связи.


    3.1 Основные векторы атак

    Посколько Um-интерфейс является радиоинтерфейсом, весь его трафик «виден» любому желающему, находящемуся в радиусе действия BTS. Причем анализировать данные, передаваемые через радиоэфир, можно даже не выходя из дома, используя специальное оборудование (например, старый мобильный телефон, поддерживаемый проектом OsmocomBB, или небольшой донгл RTL-SDR) и прямые руки самый обычный компьютер.

    Выделяют два вида атаки: пассивная и активная. В первом случае атакующий никак не взаимодействует ни с сетью, ни с атакуемым абонентом - исключительно прием и обработка информации. Не трудно догадаться, что обнаружить такую атаку почти не возможно, но и перспектив у нее не так много, как у активной. Активная атака подразумевает взаимодействие атакующего с атакуемым абонентом и/или сотовой сетью.

    Можно выделить наиболее опасные виды атак, которым подвержены абоненты сотовых сетей:

    • Сниффинг
    • Утечка персональных данных, СМС и голосовых звонков
    • Утечка данных о местоположении
    • Спуфинг (FakeBTS или IMSI Catcher)
    • Удаленный захват SIM-карты, исполнение произвольного кода (RCE)
    • Отказ в обслуживании (DoS)

    3.2 Идентификация абонентов

    Как уже упоминалось в начале статьи, идентификация абонентов выполняется по IMSI, который записан в SIM-карте абонента и HLR оператора. Идентификация мобильных телефонов выполняется по серийному номеру - IMEI. Однако, после аутентификации ни IMSI, ни IMEI в открытом виде по эфиру не летают. После процедуры Location Update абоненту присваивается временный идентификатор - TMSI (Temporary Mobile Subscriber Identity), и дальнейшее взаимодействие осуществляется именно с его помощью.

    Способы атаки
    В идеале, TMSI абонента известен только мобильному телефону и сотовой сети. Однако, существуют и способы обхода данной защиты. Если циклически звонить абоненту или отправлять SMS-сообщения (а лучше Silent SMS), наблюдая за каналом PCH и выполняя корреляцию, можно с определенной точностью выделить TMSI атакуемого абонента.

    Кроме того, имея доступ к сети межоператорного взаимодействия SS7, по номеру телефона можно узнать IMSI и LAC его владельца. Проблема в том, что в сети SS7 все операторы «доверяют» друг другу, тем самым снижая уровень конфиденциальности данных своих абонентов.

    3.3 Аутентификация

    Для защиты от спуфинга, сеть выполняет аутентификацию абонента перед тем, как начать его обслуживание. Кроме IMSI, в SIM-карте хранится случайно сгенерированная последовательность, называемая Ki, которую она возвращает только в хэшированном виде. Также Ki хранится в HLR оператора и никогда не передается в открытом виде. Вцелом, процесс аутентификации основан на принципе четырехстороннего рукопожатия:

    1. Абонент выполняет Location Update Request, затем предоставляет IMSI.
    2. Сеть присылает псевдослучайное значение RAND.
    3. SIM-карта телефона хэширует Ki и RAND по алгоритму A3. A3(RAND, Ki) = SRAND.
    4. Сеть тоже хэширует Ki и RAND по алгоритму A3.
    5. Если значение SRAND со стороны абонента совпало с вычисленным на стороне сети, значит абонент прошел аутентификацию.

    Способы атаки
    Перебор Ki, имея значения RAND и SRAND, может занять довольно много времени. Кроме того, операторы могут использовать свои алгоритмы хэширования. В сети довольно мало информации о попытках перебора. Однако, не все SIM-карты идеально защищены. Некоторым исследователям удавалось получить прямой доступ к файловой системе SIM-карты, а затем извлечь Ki.

    3.4 Шифрование трафика

    Согласно спецификации, существует три алгоритма шифрования пользовательского трафика:
    • A5/0 - формальное обозначение отсутствия шифрования, так же как OPEN в WiFi-сетях. Сам я ни разу не встречал сетей без шифрования, однако, согласно gsmmap.org , в Сирии и Южной Корее используется A5/0.
    • A5/1 - самый распространенный алгоритм шифрования. Не смотря на то, что его взлом уже неоднократно демонстрировался на различных конференциях, используется везде и повсюду. Для расшифровки трафика достаточно иметь 2 Тб свободного места на диске, обычный персональный компьютер с Linux и программой Kraken на борту.
    • A5/2 - алгоритм шифрования с умышленно ослабленной защитой. Если где и используется, то только для красоты.
    • A5/3 - на данный момент самый стойкий алгоритм шифрования, разработанный еще в 2002 году. В интернете можно найти сведения о некоторых теоретически возможных уязвимостях, однако на практике его взлом еще никто не демонстрировал. Не знаю, почему наши операторы не хотят использовать его в своих 2G-сетях. Ведь для это далеко не помеха, т.к. ключи шифрования известны оператору и трафик можно довольно легко расшифровывать на его стороне. Да и все современные телефоны прекрасно его поддерживают. К счастью, его используют современные 3GPP-сети.
    Способы атаки
    Как уже говорилось, имея оборудование для сниффинга и компьютер с 2 Тб памяти и программой Kraken, можно довольно быстро (несколько секунд) находить сессионные ключи шифрования A5/1, а затем расшифровывать чей-угодно трафик. Немецкий криптолог Карстен Нол (Karsten Nohl) в 2009 году продемонстрировал способ взлома A5/1. А через несколько лет Карстен и Сильвиан Мюно продемонстрировали перехват и способ дешифровки телефонного разговора с помошью нескольких старых телефонов Motorola (проект OsmocomBB).

    Заключение

    Мой длинный рассказ подошел к концу. Более подробно и с практической стороны с принципами работы сотовых сетей можно будет познакомиться в цикле статей Знакомство с OsmocomBB , как только я допишу оставшиеся части. Надеюсь, у меня получилось рассказать Вам что-нибудь новое и интересное. Жду Ваших отзывов и замечаний! Добавить метки
    Читать еще: