Рассмотрим процедуры аутентификации и идентификации, которые выполняются при каждом установлении связи. О первой из них мы уже упоминали ранее.
Аутентификация — процедура подтверждения подлинности (действительности, законности, наличия прав на пользование услугами сотовой связи) абонента системы подвижной связи. Необходимость введения этой процедуры вызвана неизбежным соблазном получения несанкционированного доступа к услугам сотовой связи, приводящим к многочисленным и разнообразным проявлениям особого рода мошенничества — фрода в сотовой связи, о котором мы расскажем подробнее позже. Слово аутентификация (английское authentication) происходит от греческого authentikos — подлинный, исходящий из первоисточника. В русском языке довольно часто используется родственный юридический термин — аутентичные тексты, например тексты договора на нескольких языках, имеющие равную силу.
Идентификация — процедура отождествления подвижной станции (абонентского радиотелефонного аппарата), т.е. процедура установления принадлежности к одной из групп, обладающих определенными свойствами или признаками. Эта процедура используется для выявления утерянных, украденных или неисправных аппаратов. Слово идентификация (английское identification) происходит от средневекового латинского identificare — отождествлять.
Первоначально, в аналоговых системах сотовой связи первого поколения, процедура аутентификации имела простейший вид: подвижная станция передавала свой уникальный идентификатор (электронный серийный номер — Electronic Serial Number, ESN), и если таковой отыскивался среди зарегистрированных в домашнем регистре, то процедура аутентификации считалась успешно выполненной. Столь примитивная аутентификация оставляла большие возможности для фрода, поэтому со временем и в аналоговых системах, и тем более в системах сотовой связи второго поколения с использованием дополнительных возможностей цифровых методов передачи информации процедура аутентификации была значительно усовершенствована.
Идея процедуры аутентификации в цифровой системе сотовой связи заключается в шифровании некоторых паролей-идентификаторов с использованием квазислучайных чисел, периодически передаваемых на подвижную станцию с центра коммутации, и индивидуального для каждой подвижной станции алгоритма шифрования. Такое шифрование, с использованием одних и тех же исходных данных и алгоритмов, производится как на подвижной станции, так и в центре коммутации (или в центре аутентификации), и аутентификация считается закончившейся успешно, если оба результата совпадают.
В стандарте GSM процедура аутентификации связана с использованием модуля идентификации абонента (Subscriber Identity Module — SIM), называемого также SIM-картой (SIM-card) или смарт-картой (smart-card), о котором мы расскажем чуть подробнее, поскольку до сих пор такого повода нам не предоставлялось. Модуль SIM — это съемный модуль, напоминающий по внешнему виду пластиковую кредитную карточку и вставляемый в соответствующее гнездо абонентского аппарата. Модуль вручается абоненту одновременно с аппаратом и в принципе позволяет вести разговор с любого аппарата того же стандарта, в том числе с таксофонного. Модуль содержит персональный идентификационный номер абонента (Personal Identification Number — PIN), международный идентификатор абонента подвижной связи (International Mobile Subscriber Identity — IMSI), индивидуальный ключ аутентификации абонента Ki, индивидуальный алгоритм аутентификации абонента A3, алгоритм вычисления ключа шифрования А8. Для аутентификации используется зашифрованный отклик (signed response) S, являющийся результатом применения алгоритма A3 к ключу Ki и квазислучайному числу R, получаемому подвижной станцией от центра аутентификации через центр коммутации. Алгоритм А8 используется для вычисления ключа шифрования сообщений. Уникальный идентификатор IMSI для текущей работы заменяется временным идентификатором TMSI (Temporary Mobile Subscriber Identity — временный идентификатор абонента подвижной связи), присваиваемым аппарату при его первой регистрации в конкретном регионе, определяемом идентификатором LAI (Location Area Identity — идентификтор области местоположения), и сбрасываемым при выходе аппарата за пределы этого региона. Идентификатор PIN — код, известный только абоненту, который должен служить защитой от несанкционированного использования SIM-карты, например при ее утере. После трех неудачных попыток набора PIN-кода SIM-карта блокируется, и блокировка может быть снята либо набором дополнительного кода — персонального кода разблокировки (Personal unblocking key — PUK), либо по команде с центра коммутации.
Рис.2.16. Схема процедуры аутентификации (стандарт GSM): R — случайное число; A3 — алгоритм аутентификации; А8 — алгоритм вычисления ключа шифрования; Ki — ключ аутентификации, Кс — ключ шифрования; S — зашифрованный отклик (Signed Response — SRES)
Процедура аутентификации стандарта GSM схематически показана на рис. 2.16. Пунктиром отмечены элементы, не относящиеся непосредственно к процедуре аутентификации, но используемые для вычисления ключа шифрования Кс. Вычисление производится каждый раз при проведении аутентификации.
Процедура идентификации заключается в сравнении идентификатора абонентского аппарата с номерами, содержащимися в соответствующих «черных списках» регистра аппаратуры, с целью изъятия из обращения украденных и технически неисправных аппаратов. Идентификатор аппарата делается таким, чтобы его изменение или подделка были трудными и экономически невыгодными. В принципе может быть целесообразен и оперативный обмен информацией между регистрами аппаратуры — межоператорский и международный, в интересах объединения усилий операторов в борьбе с фродом в сотовой связи.