Mobilfunknetz

Etablieren der Verbindung mit dem Mobilfunknetz:

Das mobile Endgerät (ME) versucht ständig an einer Basisstation (BTS) in Reichweite angemeldet zu sein, damit Anrufe oder SMS-Nachrichten jederzeit empfangen bzw. versendet werden können. Dieser Betriebszustand, bei dem keine aktive Verbindung besteht, wird als „Idle-Mode“ bezeichnet. Das ME empfängt und verarbeitet jedoch ständig Daten aus folgenden Funkkanälen der Luftschnittstelle Um der BTS:

  • BCCH: Broadcast Control Channel zur Identifikation des Netzes (BSIC) und Übermittlung aller nötigen Parameter, um die Kommunikation mit der Basisstation aufzunehmen.
  • CBCH: Cell Broadcast Channel überträgt aktuelle Nachrichten, z.B. Wetter-daten oder die lokale Verkehrssituation.
  • PCH: Paging Channel kündigt eingehende Anrufe oder SMS an (Downlink).
  • RACH: Random Access Channel wird genutzt um sich bei der BTS anzumelden (Shared Uplink).
  • AGCH: (Access Grant Channel) dieser Kanal ist dem ME als Downlink zugewiesen. Auf diesem Frequenzband können Signale empfangen werden.

Ist das ME noch gar nicht am Funknetz angemeldet, scannt es nach verfügbaren Stationen, indem es sich zunächst mit einem Sender synchronisiert und dann den BCCH ausliest. Auf diesem Broadcast Channel werden Systeminformationen der BTS gesendet.

An die Station mit der höchsten Sendeleistung wird dann ein „Access Burst“ gesendet, der aus einer „Channel Request Message“ auf dem RACH besteht. 

Danach wird dem ME eine Frequenz (ARF Channel) und ein „Time-Slot“ zugewiesen, damit es sich über den SDCCH bei dem Netzwerk anmelden kann. Hierzu sendet das Mobilteil ein „Location Update Request“, in dem die IMSI und LAI im Klartext an das Mobilfunknetz gesendet werden.

 
 

Anmeldeprozedur an einem 2G-Mobilfunknetz:

 

Comp-128

 

 

Der geheime Schlüssel Ki und der berechnete „Session Key“ Kc, werden niemals über das Netz gesendet. Kc wird später zur Übertragungsverschlüsslung benutzt.

Nach dieser „IMSI-Attach“-Prozedur wird zum Schutz der Privatsphäre anstatt der IMSI die TMSI berechnet und zur weiteren Identifikation benutzt.

Die TMSI ist nur in dem Aufenthaltsbereich LAI gültig und wird bei einem Wechsel in eine andere Funkzelle oder in regelmäßigen Zeitabständen (Periodic Location Update) erneuert, wodurch das Anlegen eines Bewegungsprofils erschwert werden soll. Das Smartphone ist jetzt mit einer Basisstation verbunden. 

 
 
Nummerierungsplan: 

Die IMSI befindet sich auf der SIM Karte sowie in der Datenbank des Providers (HLR „Home Location Register“). Diese weltweit einmalige Nummer wird zur Identifikation des Nutzers benötigt. Wenn die IMSI bei einem Provider registriert ist, darf sich das Smartphone bei der Station anmelden.

Die national/regional eindeutige LAI (Location Area Identity) beinhaltet Informationen über den geografischen Bereich, in der die SIM-Karte zuletzt eingebucht war. Gemeinsam mit der MSISDN (Telefonnummer), TMSI (Temporary MSI) und der Mobile Station Roaming Number (MSRN) wird der Nummerierungsplan gebildet. Eine weitere,  eindeutig zuweisbare Nummer ist die IMEI, die im Mobilteil gespeichert ist.

IMSI IMEI
BSIC MSRN digits
MSISDN  LAI

 

Verbindungsverschlüsselung (A5/1, A5/2, A5/3):

Auf der Luftschnittstelle (Um) zwischen dem ME und der BTS wird der Verschlüsselungsalgorithmus A5 eingesetzt. Als A5/1 und A5/2 in den späten achtziger Jahren entwickelt wurde, entschied man sich zur „Security By Obscurity“ (Sicherheit durch Unklarheit), was bedeuten soll, dass die Sicherheit des Verfahrens auf die Geheimhaltung des Algorithmus angewiesen ist. Bis 1999 wurden beide Stromchiffre-Verfahren von Marc Briceno und anderen Wissenschaftlern durch Reverse Engineering untersucht und schließlich veröffentlicht. 

In Europa und den USA wird A5/1 eingesetzt. Der viel schwächere A5/2 wurde für Länder entwickelt, in denen eine starke Verschlüsslung verboten ist. Seit 2007 darf dieser Algorithmus laut Standardisierungs-Komitee nicht mehr eingesetzt werden.

 
 

Netzwerk-Topologie:

Sprach-Anrufe werden immer noch leitungsvermittelt (CS) im Mobilfunknetz übertragen. Die Verschlüsselung (A5) findet zwischen Mobilteil und BTS (Basisstation) statt. Bei der Datenverbindung hingegen, ist das SGSN (Serving GPRS Support Node, bzw. UMTS Serving GRPS Support Node) der Kommunikationspartner.

2G Mobilfunknetz

 

Bis zu dem Controller des jeweiligen Zugangsnetzes (BSC bei 2G- oder RNC bei 3G-Netzen) werden die paketvermittelten (PS) Daten und die CS Daten über die gleichen Komponenten übertragen.
Erst dann wird für CS- in das „Network & Switching Subsystem“ (NSS) oder für PS-Dienste in das „GPRS Core Network“ weiter vermittelt. Deshalb wir bei der paketvermittelten Datenverbindung zwischen dem Mobilteil und dem 

 

Funkverbindung zur BasisstationDie ermittelten Angriffsvektoren zu dieser Kategorie finden Sie hier:

Luftschnittstelle

Smartphone Security