0 Aspekte zur Aufklärung von Mobilfunksystemen der 2. und 3. Generation H.P. Stuch Fraunhofer FKIE
Begriffe und Bezeichnungen 1 2. und 3. Generation 1G - 2G - 3G - 4G t AMPS GSM UMTS Advanced Mobile Phone Services IS-95 CDMA 2000 LTE Long Term Evolution Interims Standard 95 Global System for Mobile Communications Groupe Special Mobile Universal Mobile Telecommunications System
GSM und UMTS 2 Gebiet ist räumlich in betrieblichen Einheiten strukturiert Zellen BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS BS
GSM 3 BTS MS Downlink DL Mobilfunkzelle Basisstation BTS BTS MS Uplink UL DL UL Mobilstationen MS
Struktur eines GSM-Netzes Infrastruktur Funkteilsystem RSS Vermittlungsteilsystem NSS ISC Betriebsteilsystem OSS PLMN Internat. OMC 4 Funkschnittstelle U m Funkschnittstelle Schnittstelle A bis PSTN ISDN MS BTS BSC MSC GMSC EIR AUC MS BTS HLR MS BTS VLR MS BTS BSC MSC HLR Mobile Station Base Tranceiver Station Base Station Controller Mobile Switching Center Home Location Register VLR OMC GMSC AUC EIR Visitor Location Register Operation and Maintenance Center Gateway MSC Authentication Center Equipment Identity Register ISC PSTN ISDN PLMN Internat. International Switching Center Public Switched Telephone Network Integrated Services Digital Network Public Lands Mobile Network International
Identifikation von Gerät und Benutzer 5 Mobilstation International Mobile station Equipment Identity IMEI *#06# Benutzer Benutzer International Mobile Subscriber Identity IMSI Temporary International Mobile Subscriber Identity TMSI
6 Grundlegendes zur Aufklärung von GSM- und UMTS- Mobilfunksystemen
Grundlegendes zur Aufklärung von Mobilfunksystemen 7 Autorisierte vs. nicht-autorisierte Aufklärung Autorisierte Maßnahmen: Bereitstellen von übertragenem Audio bzw. Daten in Deutschland stets auf Grundlage eines richterlichen Beschlusses möglich (G-10) GSM und UMTS Mobilfunksysteme haben im System-Design entsprechende Schnittstellen keine besondere technische Ausrüstung notwendig
Grundlegendes zur Aufklärung von Mobilfunksystemen 8 Autorisierte vs. nicht-autorisierte Aufklärung Nicht-autorisierte Maßnahmen: nicht-kooperatives Umfeld Szenario:Luftschnittstelle zwischen Mobil- und Basisstation GSM und UMTS Mobilfunksysteme enthalten im System-Design Vorkehrungen, die der nicht-autorisierten Nachrichtenbeschaffung entgegen wirken aufwendige technische Ausrüstung notwendig
GSM Technik 9 GSM aus technischer Sicht
GSM Technik 10 Kombination aus FDMA und TDMA Bandbreite eines Frequenzkanals: 200 khz Modulationsart: GMSK Gaussian Minimum Shift Keying 270 kbit/s 1 Bit 3.69 μs
GSM Technik 11 GSM-Varianten, Frequenzen und Frequenzkanäle 1000 MHz 2000 MHz Downlink- Frequenz BTS DL UL MS GSM 900 GSM-E GSM-R Downlink [MHz] Uplink [MHz] Duplexabstand [MHz] GSM 1800 GSM 1900 Anzahl Frequenzkanäle GSM-R 921-925 876-880 45 20 GSM-E 925-935 880-890 45 49 GSM 900 935-960 890-915 45 124 GSM 1800 1805-1880 1710-1785 95 374 GSM 1900 1930-1990 1850-1910 80 300
GSM Technik 12 Ein Frequenzkanal überträgt kontinuierlich 8 unabhängige Informationskanäle 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Zeit Festes Zeitraster, in dem jeder der 8 Kanäle übertragen wird 3 3 3 3 Zeitschlitze
GSM Technik 13 Bursts 3 4 5 6 7 8 1 2 3 4 5 6 7 8 148 Nutzbit Burst: 156.25 Bit 576 μs 8.25 Bit Schutzintervall
GSM 14 Ausstattung einer Basisstation Transceiver Unit 1 Frequenzkanal 1 2 3 4 5 6 7 8 Anbindung zum Netz Transceiver Unit 1 Frequenzkanal 1 Frequenzkanal mit 8 Zeitschlitzen
GSM 15 Ausstattung eines Standortes 120 120 120 Anbindung zum Netz Transceiver Unit 1 Frequenzkanal Transceiver Unit 1 Frequenzkanal Transceiver Unit 1 Frequenzkanal
GSM Technik 16 Leistungsregelung BTS und MS arbeiten mit dynamisch geregelter Sendeleistung Verkehrskanäle werden mit angepasster Sendeleistung übertragen Broadcast-Frequenzkanal wird -im Downlink- mit konstanter Sendeleistung gesendet
GSM Technik 17 Sendeleistungen bei GSM Mobilstation Nach Standard möglich: GSM 900 0.8 8 W GSM1800 0.25 4 W Basisstation Nach Standard möglich: GSM 900 2.5 320 W GSM1800 2.5 20 W
GSM 18 Betriebliche Kennwerte einer Zelle jede Zelle: Cell Identity CI 16 Bit Location Area Identification LAI MCC 1111 MNC Local Area Code LAC Nation Provider vom Provider vergeben CI und LAI kennzeichnen eine Zelle im Netz eindeutig Sendung im Broadcast-Frequenzkanal
GSM 19 Grundzüge des Verbindungsaufbaus bei GSM Mobile Terminated Call MTC Mobile Originated Call MOC Paging der MS durch die BTS Channel Request BTS MS Zuteilung Steuerkanal Service Request BTS MS Anforderung Authentifizierung der MS
GSM 20 Authentifizierung Netz BTS MS K i AuC Authentication Center RAND A3 RAND = 128 Bit lange Zufallszahl RAND A3 SIM K i SRES SRES SRES = SRES? 32 Bit langes Ergebnis MS authentifiziert sich gegenüber dem Netz
GSM 21 Verschlüsselung K i Netz AuC Authentication Center RAND A8 BTS RAND = 128 Bit lange Zufallszahl MS RAND A8 SIM K i K c K c A5 A5 A5 Algorithmus
GSM 22 A5 Algorithmus A5/0 keine Verschlüsselung A5/1 starke Verschlüsselung A5/2 schwache Verschlüsselung A5/3 Kasumi oder 3GPP8 Einsatz bei UMTS
Aufklärung von GSM 23 Szenario Luftschnittstelle MS BTS BTS BTS BSC BTS
Aufklärung von GSM 24 Was ist an der Luftschnittstelle aufklärbar? Mit nötigem Aufwand kann ein Gespräch mitgehört werden! BTS
Aufklärung von GSM 25 Aufklären der GSM-Infrastruktur im betrachteten Gebiet BTS_1_2 BTS_1_1 BTS_2_2 BTS_3_2 BTS_4_2 BTS_4_3 BTS_6_2 BTS_2_1 BTS_3_1 BTS_4_1 BTS_5_2 BTS_6_3 BTS_2_3 BTS_5_1 BTS_6_1 BTS_3_3 BTS_5_3 BTS LAC CI Provider Standort BTS_1_1 2A8F 16 357A 16 T-Mobile Lon 7 11 42 Lat 50 40 34 BTS_1_2 2A8F 16 357C 16 T-Mobile Lon 7 11 42 Lat 50 40 33 BTS_2_1 2A93 16 0538 16 T-Mobile Lon 7 12 53 Lat 50 37 18
Aufklärung von GSM 26 Zur Verfügung stehende Aufklärungsmittel Normale MS im Netzmonitor-Modus Normale MS mit freiverfügbarer Software MessMobiles Drive Test Systeme IMSI-Catcher High End Passive GSM Aufklärung
Aufklärung von GSM 27 Normale MS im Netzmonitor-Modus durch Eingabe einer bestimmten Kombination wird eine normale MS in den Netzmonitor-Modus geschaltet Trium Mars: 4329 bei ständig gedrückter Taste * Anzeigen
Aufklärung von GSM 28 Normale MS mit freiverfügbarer Software Programm: Field Test Beispiel: Field Test auf Nokia 6680
Aufklärung von GSM 29 MessMobile MessMobile stellt die intern verarbeiteten Daten auf dem Display und/oder an einer Schnittstelle bereit Vertrieb durch Handy-Hersteller Beispiel: Sagem OT190 Drive Test System in Kombination mit der OTDrive Software
Aufklärung von GSM 30 Drive Test System Tool für Netzbetreiber zur Ermittlung der Netzabdeckung TSMQ betrachtet die Umgebung wie ein Analyse-Tool RF-Frontend mit Digitalisierer und Signalverarbeitung Mess-Mobile sieht die Umgebung als reales Handy stellt intern verarbeitete Information an ROMES bereit ROMES GPS-Modul
Aufklärung von GSM 31 Ergebnisse des Drive Test Systems Koordinaten der Basisstationsstandorte mit den betrieblichen Kennwerten der BTS
Aufklärung von GSM 32 Nutzen im Sinne der Aufklärung Beispiel: Vorwissen für den Einsatz von Störsendern Steigerung der Effizienz bei Konzentration auf reale Bedrohung Amplitude Selektiver Störer Breitbandstörer Frequenz
Aufklärung von GSM 33 IMSI-Catcher Verschlüsselung nicht aktivieren Kontrolle über MS Basisstation MS IMSI-Catcher Steuerung Pseudo- Basisstation MITHÖREN!
Aufklärung von GSM 34 IMSI-Catcher Verschlüsselung nicht aktivieren Kontrolle über MS Basisstation!! SIM ist Clone!! MS IMSI-Catcher Steuerung Pseudo- Basisstation MITHÖREN!
Aufklärung von GSM 35 Nutzen im Sinne der Aufklärung IMSI-Catcher Kontrollieren einer MS zu einer Zeit: Mithören Erkenntnisse über vorhandene betriebsbereite MS in Verbindung mit weiterer Intelligence wertvolle Information welches Handy hält sich wo auf Hilfe für die Zuordnung Handy Person
Aufklärung von GSM 36 Verschlüsselung A5/1
Aufklärung von GSM 37 Verschlüsselung A5/1 kann auch nicht-autorisiert entschlüsselt werden Passive GSM-Aufklärungssysteme Hoher Rechenaufwand Prinzip: Beginn einer verschlüsselten Übertragung ist bekannt Daraus kann der Schlüssel errechnet werden
UMTS 38 UMTS Universal Mobile Telecommunications System
UMTS 39 Veränderte Luftschnittstelle Veränderte Terminologie Basisstation: Node B Mobilstation: User Equipment UE Radio Network Controller: RNC
UMTS 40 Veränderte Luftschnittstelle Frequenzmanagement 1920-1980 MHz 2110-2170 MHz 1500 MHz 2000 MHz Frequenz Node B DL UL Uplink: 1920 1980 MHz Downlink: 2110 2170 MHz UE
UMTS 41 FDD Frequency Division Duplex Uplink und Downlink benutzen unterschiedliche Frequenzkanäle zu einer Zeit TDD Time Division Duplex Uplink und Downlink benutzen einen Frequenzkanal zu unterschiedlichen Zeiten
UMTS 42 Eigenschaften der UMTS-Signale Übertragungsrate: 3.84 MChips/s Bandbreite: ca. 4 MHz Die aktiven Teilnehmer befinden sich im gleichen Frequenzkanal Selektion durch unterschiedliche Codes
UMTS 43 Sendeleistungen von UMTS-Signalen Node B: 0.25 6 W UE: 0.125 2 W Benutzung eines gemeinsamen Frequenzkanals erfordert Minimierung der Sendeleistung für eine Verbindung wesentlich wichtiger als bei GSM Komplexe Regelvorgänge Abstimmrate <= 1.5 khz
UMTS 44 Authentifizierung (prinzipiell) Netz / Node B UE K RAND, AUTN Netz authentifiziert sich dem UE RAND, AUTN o.k.?? K -SIM- RES = XRES? UE authentifiziert sich dem Netz RES ermitteln AUTN Authentication Token K = 128 Bit RAND = 128 Bit lange Zufallszahl AUTN = Vektor aus 3 Elementen RES = 32... 128 Bit
UMTS 45 Authentifizierung Bei UMTS authentifizieren sich Netz und User Equipment gegenseitig
UMTS 46 Verschlüsselung Netz / Node B UE RAND RAND K F3 F3 K SIM- K c K c UEA UEA UEA UMTS Encryption Algorithm (A5/3)
UMTS 47 Soft Handover Handover Handover ohne Wechsel des Frequenzkanals Intra-RNC-Soft Handover Inter-RNC-Soft-Handover Softer Handover Handover an einem Standort ohne Wechsel des Frequenzkanals Hard Handover Handover mit Wechsel des Frequenzkanals auch UMTS GSM
48 Aufklärung von UMTS
Aufklärung von UMTS 49 Zur Verfügung stehende Mittel Normale MS mit freiverfügbarer Software MessMobiles Drive Test Systeme IMSI-Catcher
Aufklärung von UMTS 50 IMSI Catcher Hindernis: Aufwendigere und gegenseitige Authentisierung und Verschlüsselung Option UMTS-Verbindung mit Störsender jammen Hardhandover nach GSM IMSI-Catcher (GSM) wirksam einsetzen (Mithören)
Trends des Mobilfunks in der nahen Zukunft 51 Mobilfunktechnik nach UMTS 4G LTE 4. Generation Long Term Evolution Nutzen schneller Funktechniken Datenraten x00 MBit/s (DL) IP basiert Schwerpunkt: Datenübertragung / mobiles Internet
Telekommunikation 52 Telekommunikation im Trend der Zeit BIO Telefonzelle Cell Phone Zelle NodeB Zellen beherrschen die Telekommunikation