#-[ ETUDE SUR LES FONTIONNEMENT DES RÉSEAUX GSM ET DE LEUR SÉCURITÉS ]-# #--------------------------# #--------------[ 3LRVS (http://3lrvs.tuxfamily.org) ]--------------# (*) Chapitre 1: Etude des réseaux G.S.M -Pré-requis: 1-Zone cellulaire : Zone couverte Les cellules sont plus ou moins grandes en fonction du nombre potentiel d abonnés qu elles doivent gérer. Ainsi, les zones de couverture des cellules voient leur taille diminuer ( + d'abonnés == cellules plus petites ) pour garantir une large bande passante aux utilisateurs. 2-Routage: Construction d un chemin de communication entre deux téléphones mobiles. [+] Architecture d'un Réseau GSM 1) Le MS : Dans réseau GSM, le terminal mobile MS (Mobile Segment)a trois aspects : * Le téléphone de voiture * Le portable d'une puissance de 8 W * Le portatif (terminal de poche), d'un poids compris entre 150 et 350 grammes et d'une puissance d'environ 2W Le terminal est scindé en deux parties : * Le combiné téléphonique identifié par un numéro unique : l'imei (International Mobile Equipement Identity) qui est l'identité internationale spécifique à chaque combiné. En pratique ce numéro n'est que peu utilisé * La carte SIM (Subscriber Identity Module) et qui contient les informations suivantes : o- Le numéro d'identification temporaire attribué par le réseau qui permet la localisation et qui est utilisé sur les canaux radio (TMSI Temporary Station Identity) o- La liste des fréquences à écouter pour identifier la meilleure Station de Base (BTS) o- Les algorithmes de chiffrement
Cette liste n'est pas exhaustive. D'autres informations sont stockées sur cette carte, tel que le code permettant de la débloquer : une carte SIM se bloque automatiquement après un certain nombre d'erreurs sur le code entré par l'utilisateur. Cet ensemble permet d'accéder aux services d'un PLMN GSM. Cette découpe permet à l'usager d'utiliser n'importe que terminal GSM car son identification complète est portée par la carte SIM. L'établissement d'une communication commence toujours par une phase d'authentification durant laquelle le réseau dialogue avec la carte SIM. Le terminal mobile a pour seule interface les équipements de type BTS et ses fonctionnalités sont : * La gestion de la liaison de données avec le BTS (protocole LAPDm) * La surveillance périodique de l'environnement par des séries de mesure stockées sur la carte SIM * La restitution des données vocales ou non (messagerie) destinées à l'abonné * Les opérations de chiffrement 2)Le BSS (Base Station sub System) comprend : *BTS ( Base Transceiver Station) Les stations de base (BTS) assurent la couverture de l aire de service : Chaque cellule dispose d une BTS et d une seule,une BTS gère la transmission radio. -Une BTS est reliée à un contrôleur de station de base BSC (BSC, base station controller). *BSC (Base Station Controller) Un BSC est lui-même relié à un commutateur de service mobile (MSC, mobiles services switching center). ensemble de BTS ) ( 1 seule BTS par cellule mais un BSC gère un Le BSC organise la supervision, l allocation et la relâche des canaux radios (routage), conformément aux demandes reçues du MSC.
3) Le NSS comprend : des bases de données (HLR) et des commutateurs (MSC) *HLR (Home Location Register) Un HLR est une base de données de localisation et de caractérisation des abonnés. A l aide du numéro appelé (appel entrant), on en déduit la localisation du destinataire grâce à l enregistreur de localisation nominal (HLR). Le HLR fournit l adresse du MSC, BSC, et BTS couvrant l aire dans laquelle se trouve le destinataire. *MSC (Mobile-services Switching Center) Les MSC sont des commutateurs mobiles associés en général aux bases de données VLR (Visitor Location Register). Le MSC gère l établissement d appel, la relâche d appel, et tout ce qui est lié aux identités des abonnés *VLR (Visitor Location Register) C'est la base de données qui gère les abonnés présents dans une certaine zone géographique. Ces informations sont une copie de l'original conservé dans le HLR. *AuC (Authentication Center) Il mémorise pour chaque abonné une clé secrète utilisée pour authentifier les demandes de services et pour le chiffrement des communications. Un AuC est en général associé à chaque HLR. [+] Schéma simplifié d'un réseau GSM ( topologie de type "Arbre") : http://3lrvs.tuxfamily.org/images/sch%c3%a9ma-r%c3%a9seau-gsm.jpg
4) Les interfaces : *a)l interface Um C est l interface entre les deux sous systèmes MS (Mobile Station) et le BSS (Base Station Sub-system. On la nomme couramment «interface radio» ou «interface air». *b)l interface Abis C est l interface entre les deux composants du sous système BSS : la BTS (Base Station Transceiver) et le BSC (Base Station Controler). *c)l interface A C est l interface entre les deux sous systèmes BSS (Base Station Sub System) et le NSS (Network Sub System). (*) Chapitre 2: étude des Sécuritsé sur l'interface Um [+] Fréquences de travail du GSM : Le systeme GSM/DCS utilise 2 fréquences : une autour des 900 MHz (GSM) et l autre autour de 1,8 GHz (DCS). Chacune est elle meme divisée en 2 sous bandes servantent l une pour le transfert d informations entre le mobile et la station de base ( voie montante ), et l autre pour la liaison entre la station de base et le mobile ( voie descendante ) : # bande EGSM étendue ( bande de largeur totale 35 MHz ) - de 880 à 915 MHz du mobile vers la base (voie montante) le mobile (voie descendante) - de 925 à 960 MHz de la base vers
45 MHz + écart entre les deux fréquences: - 174 canaux espacés de 200 khz # bande DCS ( bande de largeur totale 75 MHz ) - de 1710 à 1785 MHz du mobile vers la base (voie montante) le mobile (voie descendante) 95 MHz - de 1805 à 1880 MHz de la base vers + écart entre les deux fréquences: - 374 canaux espacés de 200 khz L'utilisation de fréquences moins élevées augmenterait sensiblement la portée des stations de base. Ainsi en 450 MHz, leur portée serait près du double de ce qu'elle serait en 900 MHz. Ericsson et Nokia travaillent à la mise au point d'une norme GSM fonctionnant en 450 MHz ou en 480 MHz. Dans la bande 450, les fréquences utilisées seraient 450,4 à 457,6 MHz pour les liaisons montantes (GSM vers station de base) et 460,4 à 467,6 MHz pour les liaisons descendantes. Une BTS émet en permanence des informations sur son canal BCH (Broadcast Channel appelé aussi voie balise) constituant ainsi un lien permanent entre mobile et station de base à partir de la mise en route du mobile jusqu à sa mise hors service, qu il soit en communication ou non. [+] Adresssage, Confidentialité et Sécurité de la transmission sur la voie radio (interface Um):: 1) I.M.S.I : *Numéro (identité) d'abonné se trouvant dans la SIM d'une part et dans la HLR d'autre part (logique) IMSI n'est connu qu'a l'intérieur du réseau GSM et doit ( autant que possible) rester secrete (d'ou l'utilisation de TMSI). 2) T.M.S.I : *Identifiant temporaire codé sur 4 Octets modifié a chaque changement de zone (gérer pas un VLR).
Le TMSI est utilisé pour identifier le mobile appelé ou appelant lors de l établissement d une communication. L'IMSI est transmis a la mise sous tension du mobile afin d'éviter de l'emmettre fréquemment de cette maniere il est plus difficile de l'intercepter. Une fois l'imsi transmis, les TMSI successives du mobile seront transmises. Ce n est qu en cas de perte du TMSI ou lorsque le VLR courant ne la reconnaît pas (par exemple après une panne) que l IMSI peut être retransmise. En cas d'echec lors de la vérification d'un de ces identifiants,on interdit l'accés aux services. L allocation d une nouvelle TMSI est faite au minimum à chaque changement de VLR, et suivant le choix de l opérateur, à chaque intervention du mobile. Son envoi à la station mobile a lieu en mode chiffré. * Le chiffrement GSM sur la voie radio (interface Um): Pour assurer la confidentialité de leurs abonnés, les opérateurs ont recours au éléments suivant : -Nombres aléatoire (RAND() ) -une clée appellée Ki pour l'authentification et la création d'une seconde clée Kc (la clée Ki,stockée dans la carte SIM et dans l'auc coté réseaux, est attribuée lors de l'abonnement avec l'imsi) -un algorithme A3 fournissant le nombre SRES à partir des arguments de RAND et de la clé Ki (contruction SRES) -un algorithme A8 pour la détermination de la clé Kc à partir des arguments de RAND et Ki (construction clée Kc) -un algorithme A5 pour le chiffrement / déchiffrement des données à partir de la clé Kc (chiffrement a proprement parlé) Chaque abonné utilise une clé Ki propre. Les algorithmes A3, A5 et A8 sont quant à eux les mêmes pour tous les abonnés d un même réseau. -- Schéma -- RAND() <-> SRES=A3[Rand(),Ki] <-> Kc=A8[Rand(),Ki] <-> [N de Trames, Clée Kc] <-> Algorithme A5 <-> Trames Chiffrées Le centre d authentification (AUC) stocke ainsi : -l algorithme d authentification A3, -l algorithme de génération de la clé de chiffrement A8 -les clés Ki des différents abonnés du réseau GSM.
Le HLR stocke les (Kc, RAND, SRES) pour chaque IMSI. Dans le VLR les (Kc, RAND, SRES) sont enregistrés pour chaque IMSI avec les couples TMSI - IMSI. La BTS quand a elle,stocke l algorithme de chiffrement A5 pour les données usager et pour les données de signalisation. La station mobile contient dans la carte SIM de l abonné : l algorithme d authentification A3, l algorithme de chiffrement A5, l algorithme de génération des clés de chiffrements A8, la clé d authentification individuelle de l utilisateur Ki, la clé de chiffrement Kc, le numéro de séquence de la clé de chiffrement et le TMSI. 3) M.S.I.S.D.N : *Numéro de l'abonné. C'est la seule donnée concernant l'identitée de l'abonné connu hors réseaux GSM. 4) M.S.R.N : *Numéro attribué lors de l'établissement d'un appel permettant d'acheminer les appels via les commutateurs (MSC) 5) I.M.E.I : *Numéro d'équipement mis en mémoire dans le portable a la fabrication, c'est donc l'identifiant de l'appareil. ##---( Ressources Utiles )---## - Chiffrement A1: http://fr.wikipedia.org/wiki/a5/1 - Réseaux cellulaires : http://wwwhds.utc.fr/~ducourth/tx/cel/celgsm.html - Réseaux cellulaires et fréquences utilisées : http://www.lebguide.com/internet_mobile.html