GSMネットワークでの無線インターフェースの仕組み

私は、多くの人がセルラーネットワークの仕組みについて考えたことがあると思います。 結局のところ、私たちはほぼ毎日携帯電話を使用しています。 加入者の数とネットワークカバレッジの範囲は日々増加しています...古い標準は新しいものに置き換えられ、モバイルインターネットユーザーの「欲求」が増大しています。 すべてがどのように機能するかに興味がある場合は、カットしてください！ セルラーネットワークのインフラストラクチャは非常に大きく、その説明は1冊の本に及ぶ可能性があるため、この記事では、電話がオペレーターの機器や他の加入者とやり取りするUmインターフェイスに焦点を当てます。



注意、 怒っている犬にはたくさんの写真があります！

まえがき

セルラー通信はずっと前に登場しました。 20世紀の40年代に、研究はモバイル通信ネットワークの作成を目的として始まりました。 1956年、モバイルシステムA（MTA）がスウェーデンのいくつかの都市で発売されました。 1957年、同胞L.I. クプリヤノビッチは、彼が開発した携帯電話と彼のための基地局を公に実証しています。 その後、ソ連では、アルタイの民間携帯電話通信システムの開発が開始され、数年後には30を超えるソビエトの都市をカバーします。 ちなみに、ソビエト後のスペースのいくつかの都市では、アルタイはまだ働いています。例えば、ノボシビルスク（番号は+7（383）349-8XXX）です！ 80年代、モトローラは有名なDynaTAC 8000Xを3995ドルで発売しました。 そして、1992年にドイツでNMT-450、AMPS、ETACS、D-AMPS、NMT-900の後、GSM標準に基づくセルラー通信が開始されました。



今日、20年以上後、私たちは3Gや4Gなどの新世代ネットワークを使用していますが、GSMネットワークはどこにも姿を消していません.ATM、端末、アラーム、さらには最新の電話でさえ、エネルギーを節約して後方互換性を維持するために使用されています。 さらに、UMTS（またはW-CDMA）やLTEなどの新製品は、GSMと多くの共通点を持っています。 たとえば、TCP / IPとは異なり、セルラーネットワークは研究や研究のためにアクセスしにくいです。 多くの理由があります：機器のかなり高い価格から始まって、免許なしでGSMバンドの周波数の使用に関するほとんどの国の法律の禁止で終わる。 私の意見では、セルラーネットワークの原理を理解することは、情報セキュリティの分野の専門家だけでなく、非常に重要です。 それが私がこの出版物を書くことにした理由です。



内容：

1. セルラーネットワークの概要
   
   1.1携帯電話サービスプロバイダー
   
   1.2ネットワークカバレッジの原則
   
   1.3携帯電話インフラ
   
   1.4相互運用者の相互作用
   
   
2. Umインターフェイス（GSM Airインターフェイス）
   
   2.1周波数帯域
   
   2.2物理チャンネル、マルチアクセス共有
   
   2.3論理チャネル
   
   2.4バーストとは何ですか？
   
   2.5バーストの種類
   
   2.6周波数ホッピング
   
   2.7 MSとBTS間の相互作用の基本原則
   
   2.8ハンドオーバー
   
   2.9音声コーディング
   
   
3. セキュリティとプライバシー
   
   3.1基本的な攻撃ベクトル
   
   3.2発信者番号
   
   3.3認証
   
   3.4トラフィックの暗号化
   
   

1.セルラーネットワークの概要

1.1携帯電話サービスプロバイダー

インターネットプロバイダーとの類推により、「オペレーター」と呼ばれることが多い特定の企業は、携帯電話サービスを提供しています。 それぞれが独自のサービス範囲を提供し、料金プランも設定します。 ほとんどの場合、事業者は独自の機器を使用してメインネットワークインフラストラクチャを構築します。 たとえばロシアでは、ヨータオペレーターはメガフォンオペレーターの機器に基づいて作業します。



モバイルネットワークの通常の加入者の観点から見ると、事業者の個性は、提供される通信サービスの品質、特定の範囲の番号、自社ブランドのSIMカード、および料金プランにあります。 事業者自身および他の通信エリアでは、それぞれが国コード（MCC-モバイル国コード）および国内の一意のネットワークコード（MNC-モバイルネットワークコード）で識別されます。 さらに、加入者の識別は、私たちがよく知っている電話番号ではなく、国際加入者識別子-IMSI（International Mobile Subscriber Identity）によって実行されます。IMSI（International Mobile Subscriber Identity）は、加入者のSIMカードとオペレーターのデータベースに記録されます。 電話番号は特定のIMSIに単に「接続」されているため、加入者は電話番号を保存して、オペレーターを変更できます。

1.2ネットワークカバレッジの原則

セルラー通信で特定のエリアをカバーすることは、そのエリアにトランシーバーデバイスを配布することによって保証されます。 看板、さまざまな建物、さらには個々のマストでさえ、多くの人がそれらを見たと確信しています。 ほとんどの場合、これらは白色のいくつかの指向性アンテナであり、ワイヤが伸びる小さな建物です。 そのため、GSMの用語では、このような複合体はベースステーション（BTS）と呼ばれ、複数のトランシーバー（トランシーバー（TRX-トランスミッター/レシーバー））で構成されます。











セルラー通信の重要な機能は、カバレッジエリア全体がセル（セル）に分割され、個々のベースステーション（BS）のカバレッジエリアによって定義されることです。 ちなみに、「セルラーコミュニケーション」という名前はここから来ました。 各基地局は、1つ以上のセクターをカバーし、各セクターに1つ以上のトランシーバーも備えています。各トランシーバーは、独自の周波数で信号を発信します。 簡単に言えば、セルは、CI（セルID）と呼ばれる独自の一意の識別子を持つカバレッジセルの1つです。 セルは、対象地域の規模に応じて分類できます。マクロセル（最大35 km、場合によっては最大70 km）、レギュラーセル（最大5 km）、マイクロセル（最大1 km）、ピコセル（最大300メートル）、フェムトセル（より一般的な屋内、カバー数十メートル）。











近くの基地局は異なる周波数範囲で動作するため、異なる事業者のセルは部分的またはほぼ完全に重なり合う可能性があります。 連携して動作するベースステーションのセットは、ロケーションエリアコード（LAC）と呼ばれます。 すべての基地局は、MCC、MNC、Cell ID、LACなどの識別データを必ずブロードキャストするため、携帯電話はオペレーターのBTSにのみ接続されます。 さらに、一定の間隔で携帯電話はネットワークに現在の場所を通知します。 ラック この手順はロケーション更新と呼ばれますが、これについては後で詳しく説明します。

1.3携帯電話インフラ

基地局は単独では存在できないため、特定のLAC内にあり、基地局コントローラ-BSC（基地局コントローラ）に接続されています。 次に、コントローラは負荷分散を実行し、ネットワークとその「下位」間のトラフィック交換プロセスにも積極的に参加します。 BTSとBSCの相互作用は、A-bisインターフェースを介して行われます 。 ネットワーク内では、ほとんどのオペレーターは、ほとんどの場合、ネットワークのスイッチングノード（MSC-モバイルスイッチングセンター、SGSN-サービングGPRSサポートノード）へのAインターフェイスとGb インターフェイスを使用する複数のベースステーションコントローラーを持っています 。



MSCは、次の主要な要素を含むネットワークインフラストラクチャ（コアネットワーク）のコアを形成します。

• HLR（Home Location Register） -電話番号、料金プラン、接続サービスのリスト、および加入者が使用するSIMカードに関する情報を含む、各加入者の個人データを含むデータベース。
  
  
• VLR（Visitor Location Register） -特定のモバイルスイッチングセンターのカバレッジエリアにいる加入者の一時データベース。 ネットワーク内の各ベースステーションは特定のVLRに割り当てられるため、サブスクライバーは同時に複数のVLRに存在できません。
  
  
• AuC（認証センター） -ネットワークに接続された各SIMカードを認証する加入者認証センター。
  
  
• SMSC（SMSセンター）は、それらを保存およびルーティングする短いテキストメッセージングセンターです。
  
  
• GMSC（ゲートウェイMSC）は、固定電話ネットワークへのアクセスを提供するゲートウェイです。 この要素のおかげで、携帯電話と市の電話ネットワークの加入者間の通話が可能です。
  
  
• SGSN（Serving GPRS Support Node）は、基地局システム（BSS）とコアネットワーク（コアネットワーク）間の接続ポイントとして機能するGPRS加入者サービスノードです。 SGSNは、GSM MSCスイッチのアナログと呼ぶことができます。 SGSNは、データパケットの配信を監視し、オンラインユーザーを監視し、GSMフレームをグローバルインターネットコンピュータネットワークのTCP / IPプロトコルで使用される形式に変換し、ネットワークカバレッジエリアに新しく「出現」する加入者を登録または「アタッチ」し、暗号化データ、着信請求情報の処理、およびHLRネットワークの自身のサブスクライバーのレジスターとの対話も提供します。 上記のアイテムとは異なり、SGSNはBSCに直接接続します。
  
  

さらに、ネットワークのインフラストラクチャ内に請求システムがあり、そこに「残高」が保存され、サービスの使用料が引き落とされ、さまざまな支払い取引が処理されます。 オペレーターは、その裁量で他のサブシステムをネットワークのコアに接続できます。

1.4相互運用者の相互作用

さまざまなオペレーターのネットワークは互いに対話します。たとえば、オペレーターAのサブスクライバーであるアリスは、オペレーターBのサブスクライバーであるボブを呼び出すことができます。このネットワークはOKS-7またはSS7と呼ばれ、特別な有線/無線通信ネットワークに基づいて動作します。インターネット経由（はい、はい、ネットワークオーバーネットワーク）。 SS7は、さまざまなオペレーターの相互作用のための一連のプロトコルを提供します。 このネットワークのおかげでローミングも機能します。

2. Umインターフェース（GSMエアインターフェース）

2.1周波数帯域

セルラーネットワークの機器は、特定のインターフェイスを介して相互作用します。 すでに述べたように、基地局と加入者との間のデータの交換は、主に無線インターフェースであるUmインターフェースを介して実行されるため、電波の送受信のプロセスでデータ交換が発生します。 電波は、熱や光と同じ電磁放射です。 紫外線、X線、電離放射線も、特定の周波数範囲と特定の波長を持つ電磁放射線の一種です。 この写真を覚えていますか？







そのため、電波の範囲も娘周波数範囲に分割されます。たとえば、LF（30-300 kHz）、MF（300-3000 kHz）、HF（3-30 MHz）の範囲は、無線通信や放送に最もよく使用されます。 放送は、VHF（30-300 MHz）、UHF（300-3000 MHz）、およびSHF（3-30 GHz）の範囲で行われます。 WiFiなどのワイヤレスネットワークと衛星テレビは、同じSHFで動作します。 私たちが最も興味を持っているのは、GSMネットワークが動作するUHF帯域です。 3GPP TS 45.005規格によると、最大14のサブUHFバンドがオンエアで割り当てられており、国によって異なるバンドが使用されています。 最も一般的なものを検討してください。

特徴	GSM-850	P-GSM-900	E-GSM-900	DCS-1800	PCS-1900
アップリンク、MHz	824.2-849.2	890.0-915.0	880.0-915.0	1710.2-1784.8	1850.2-1909.8
ダウンリンク、MHz	869.2-893.8	935.0-960.0	925.0-960.0	1805.2-1879.8	1930.2-1989.8
ARFCN	128〜251	1〜124	975-1023、0-124	512〜885	512〜810

P-GSM-900、E-GSM-900およびDCS-1800は、主にヨーロッパおよびアジアで使用されています。 範囲GSM-850およびPCS-1900は、米国、カナダ、ラテンアメリカおよびアフリカの特定の国で使用されています。



セルラーネットワークに割り当てられた帯域は多くのセグメント（通常はそれぞれ200 KHz）に分割され、その一部はダウンリンクと呼ばれます-ここでは、基地局（BTS）のみがデータを送信し、一部は電話（MS）のみがブロードキャストされるアップリンクです。 1つがダウンリンクに属し、もう1つがアップリンクに属するこのようなセグメントのペアは、 ARFCN（絶対無線周波数チャネル番号）と呼ばれる無線周波数チャネルを形成します。 言い換えれば、電話機は同じ周波数でデータを送受信することができず、代わりに、送信時にアップリンク周波数に切り替え、ダウンリンクに受信するとき、切り替えプロセスは非常に高速です。

2.2物理チャンネル、マルチアクセス共有

範囲が整理されています。 今、たくさんの人がいる小さな密閉された部屋を想像してください。 ある時点で全員が話し始めると、対話者がお互いを理解することは困難になります。 大声で話し始める人もいますが、それは状況を悪化させるだけです。 したがって、物理学ではこの現象は干渉と呼ばれます。 つまり、干渉は波の重ね合わせと呼ばれます。 セルラーGSMネットワークの場合、これは偽の現象であるため、複数のアクセス共有技術が役立ちます。



複数のアクセスを共有する必要性は長い間生じており、有線通信（I2C、USB、イーサネット）とワイヤレスの両方で使用されています。 セルラーネットワークでは、 FDMA（周波数分割多元接続） 、 TDMA（時分割多元接続） 、およびCDMA（コード分割多元接続）テクノロジが最もよく使用されます。 最初の2つは、第2世代ネットワーク（GSM）で一緒に使用されます。 CDMAは、セキュリティと最大データ転送速度の両方の点でGSMを上回る最新のセルラーネットワークの基盤です。 これはどんな魔法ですか？



無線システムの場合、周波数と時間という2つの主要なリソースがあります。 特定の周波数が各受信機と送信機に割り当てられている場合、周波数分割多重アクセスはFDMAと呼ばれます。 送信機と受信機の各ペアに、選択した期間全体のスペクトル全体またはその大部分が割り当てられる時分割は、TDMAと呼ばれます。 CDMAでは、周波数と時間に制限はありません。 代わりに、各送信機は各ユーザーに現在割り当てられている個々の数値コードを使用して信号を変調し、受信機は同様のコードを使用して信号の必要な部分を計算します。 さらに、 PAMA（Pulse-Address Multiple Access） 、 PDMA（Polarization Division Multiple Access） 、 SDMA（Space Division Multiple Access）などの技術もいくつかありますが、その説明はこの記事の範囲外です。



Fdma

この方法の原理は、利用可能な周波数スペクトルが受信機と送信機の間で等しいまたは等しくない周波数帯域に分割され、その一部はダウンリンク（BTSからMSへのトラフィック）で割り当てられ、一部はアップリンク（MSからBTSへのトラフィック）で割り当てられます。 これについてはすでに話しました。



TDMA

周波数分割（FDMA）とともに、GSMは時分割方式（TDMA）を使用します。 TDMAによれば、データストリーム全体がフレームに分割され、フレームは複数のタイムスロットに分割され、これらのタイムスロットがトランシーバデバイス間で分散されます。 その結果、電話は、ネットワークに割り当てられた特定の間隔でのみネットワークと情報を交換できます。











フレームは、次の2つのタイプのマルチフレームに結合されます。



コントロールマルチフレーム（51フレームを含む）









トラフィックマルチフレーム（26フレームを含む）









マルチフレームはスーパーフレームを形成し、すでにスーパーフレームはハイパーフレームを形成しています。 フレームの構造とその構成に関する詳細については、 こちら （画像ソース）およびこちらをご覧ください 。



その結果、受信機と送信機の間の物理チャネルは、周波数、割り当てられたフレーム、およびそれらのタイムスロット番号によって決定されます。 通常、基地局は1つ以上のARFCNチャネルを使用します。そのうちの1つは、放送中のBTSの存在を識別するために使用されます。 このチャネルのフレームの最初のタイムスロット（インデックス0）は、ベースサービスチャネル（ベース制御チャネルまたはビーコンチャネル）として使用されます。 ARFCNの残りの部分は、その裁量でCCHおよびTCHチャネルのオペレーターによって割り当てられます。

2.3論理チャネル

物理チャネルに基づいて、論理チャネルが形成されます。 um-interfaceは、ユーザー情報とサービスの両方の交換を意味します。 GSM仕様によると、各タイプの情報は、物理的に実装される特別なタイプの論理チャネルに対応しています。

• トラフィックチャネル（TCH-トラフィックチャネル）、
• サービス情報チャネル（CCH-制御チャネル）。

トラフィックチャネルは、主に2つのタイプに分けられます。TCH/ F-最大速度が22.8 KbpsのフルレートチャネルとTCH / H-最大速度が11.4 Kbpsのハーフレートチャネルです。 これらのタイプのチャンネルは、音声（TCH / FS、TCH / HS）およびユーザーデータ（TCH / F9.6、TCH / F4.8、TCH / H4.8、TCH / F2.4、TCH / H2）に使用できます。 4）たとえば、SMS。



サービス情報チャネルは次のように分類されます。

• ブロードキャスト（BCH-ブロードキャストチャネル）。
  
  
  • FCCH-周波数補正チャンネル。 周波数補正のために携帯電話で必要な情報を提供します。
  • SCH-同期チャンネル。 基地局（BTS）とのTDMA同期に必要な情報とそのBSIC IDを携帯電話に提供します。
  • BCCH-ブロードキャスト制御チャネル。 サービスチャネルの編成方法、アクセス許可メッセージ用に予約されたブロック数、ページング要求間のマルチフレーム（それぞれ51 TDMAフレーム）の数など、基地局に関する基本情報を送信します。
• 汎用チャンネル（CCCH-共通制御チャンネル）
  
  
  • PCH-ページングチャネル。 今後は、ページングは​​携帯電話の一種のpingであり、特定のカバレッジエリアでの可用性を判断できることを説明します。 このチャネルは、このために特別に設計されています。
  • RACH-ランダムアクセスチャネル。 携帯電話が独自のSDCCHサービスチャネルを要求するために使用します。 排他的アップリンクチャネル。
  • AGCH-アクセス許可チャネル。 このチャネルでは、基地局は携帯電話のRACH要求に応答し、SDCCHを割り当てるか、すぐにTCHします。
• カスタムチャネル（DCCH-専用制御チャネル）
  
  TCHなどの独自のチャネルは、特定の携帯電話に割り当てられます。 いくつかの亜種があります。
  
  
  • SDCCH-スタンドアロンの専用制御チャネル。 このチャネルは、携帯電話の認証、暗号化キーの交換、場所の更新手順（場所の更新）に使用されるほか、音声通話やSMSメッセージの交換にも使用されます。
  • SACCH-遅い関連制御チャネル。 通話中、またはSDCCHチャネルが既に使用されている場合に使用されます。 BTSは、その助けを借りて、タイミングと信号強度の変更に関する定期的な指示を電話機に送信します。 反対方向には、受信信号レベル（RSSI）、TCH品質、および最も近い基地局の信号レベル（BTS測定）に関するデータがあります。
  • FACCH-高速関連制御チャネル。 このチャネルはTCHとともに提供され、たとえば、ある基地局から別の基地局への移行中に緊急メッセージを送信できます（ Handover ）。
  
  
  

2.4バーストとは何ですか？

空中のデータは、タイムスロット内で最も頻繁に「バースト」と呼ばれるビットシーケンスの形式で送信されます。 「バースト」という用語は「バースト」という言葉に最も適していますが、多くのアマチュアラジオ愛好家にはおなじみのはずです。また、ラジオ放送を分析するためのグラフィックモデルを作成するときに登場する可能性があります。 この素晴らしい記事 （画像のソース）でそれらについて詳しく読むことができます。最も重要なことに焦点を当てます。 バーストの概略図は次のようになります。











ガード期間

干渉（つまり、2つのbusrtの重なり）を避けるため、バースト期間は常に「ガード期間」と呼ばれる特定の値（0.577-0.546 = 0.031 ms）だけタイムスロット期間よりも短くなります。 この期間は、信号伝送で発生する可能性のある時間遅延を補正するための一種の時間的余裕です。



テールビット

これらのマーカーは、バーストの開始と終了を決定します。



情報

加入者データやサービストラフィックなどのバーストペイロード。 2つの部分で構成されます。



盗みフラグ

これらの2ビットは、TCHチャネルのバーストデータの両方の部分がFACCHチャネルで送信されるときに設定されます。 2つではなく1つの送信ビットは、FACCHで1つのバーストのみが送信されることを意味します。



トレーニングシーケンス

バーストのこの部分は、電話と基地局間のチャネルの物理的特性を決定するために受信機によって使用されます。

2.5バーストの種類

各論理チャネルは、特定のタイプのバーストに対応しています。











通常のバースト

このタイプのシーケンスは、ネットワークと加入者の間のトラフィックチャネル（TCH）と、CCCH、BCCH、およびDCCHのすべての種類の制御チャネル（CCH）を実装します。



周波数補正バースト

名前はそれ自体を物語っています。 一方向FCCHダウンリンクチャネルを実装します。これにより、携帯電話はBTS周波数により正確にチューニングできます。



同期バースト

周波数補正バーストのようなこのタイプのバーストは、空中の基地局の存在を識別するように設計された、SCHのみのダウンリンクチャネルを実装します。 WiFiネットワークのビーコンパケットと同様に、各バーストは全出力で送信され、フレームレート、識別データ（ BSIC ）などの同期に必要なBTSに関する情報も含まれます。



ダミーバースト

未使用のタイムスロットを埋めるためにベースステーションによって送信されたダミーバースト。 実際には、チャネルにアクティビティがない場合、現在のARFCNの信号強度は大幅に低下します。 この場合、携帯電話は基地局から遠いように見えるかもしれません。 これを回避するために、BTSは未使用のタイムスロットを無意味なトラフィックで埋めます。



アクセスバースト

BTSとの接続を確立すると、携帯電話はRACHで専用SDCCHの要求を送信します。 そのようなバーストを受信した基地局は、AGCHチャネルでFDMAシステムのタイミングと応答を加入者に割り当て、その後、携帯電話は通常のバーストを送受信できます。 最初は時間遅延に関する情報が電話または基地局に知られていないため、Guard時間の増加した期間に注目する価値があります。 RACH要求がタイムスロットに該当しない場合、携帯電話は擬似ランダムな時間間隔後に再度要求を送信します。

2.6周波数ホッピング

ウィキペディアからの引用：



動作周波数の擬似ランダムチューニング（FHSS-英語。周波数ホッピングスペクトラム拡散）は、無線で情報を送信する方法であり、その特徴は、搬送周波数の頻繁な変更です。 周波数は、送信者と受信者の両方に知られている数字の擬似ランダムシーケンスに従って変化します。 この方法により、通信チャネルのノイズ耐性が向上します。

周波数ホッピング（FHSS）は、スペクトルを拡散する方法の 1つです。 GSMネットワークに加えて、この方法の変形がBluetoothで使用されます。 なんで？

• 干渉の影響を減らす。 周波数が頻繁に変化するため、干渉は短時間だけ信号に影響を与えます。
  
  
• 不正アクセスからのデータ保護。 信号周波数が変化するアルゴリズムを知らなければ、ノイズのようなストリームから必要なデータを抽出することは不可能です。
  
  
• ジャミングの合併症。 周波数ホッピングにより、信号の妨害を「ターゲット」にする（つまり、特定のデバイスまたはデバイスのセットを妨害する）ことが難しくなります。 この場合、占有周波数範囲全体を妨害する必要があり、より高価で強力な機器を使用する必要があります。
  
  

2.7 MSとBTS間の相互作用の基本原則

まず、携帯電話の電源を入れるとどうなりますか。 ほとんどの場合、バッテリーが挿入された状態で電話機の電源をオフにしても、動作し続けます。 現在、「ブートローダー」と呼ばれる小さなプログラムが実行されています。 ブートローダーは、電源キーが押されるのを待機し、充電器が接続されると充電プロセスを開始し、場合によってはアラームを鳴らします。 それはすべて特定の電話モデルに依存します。 電源キーが押されるとすぐに、オペレーティングシステムのロードプロセスが開始され、SIMカードの存在が最初にチェックされ、次にオペレーターのネットワークを探して空気のスキャンが開始されます。 SIMカードがない場合でも、電話は最も近いベースステーションに接続しているため、緊急コールの可能性があります。 SIMカードが所定の位置にある場合、ロケーション更新要求が行われ、加入者の現在のLANのネットワークに通知されます。 次に、基地局は電話のIMEIとSIMカードのIMSIを要求して、加入者を識別します（ID要求）。 提供されたIMEIが加入者が以前に接続したものと異なる場合、オペレーターはインターネット設定を送信できます。 ところで、盗まれた電話さえ見つけることができます。 その後、認証が実行され、その後、電話機は次の2つの状態のいずれかになります。

• IDLE- 「アイドルモード」。 電話機は、CCCHを聞いている間はネットワークデータを送信しません。
  
  
• 専用 -ネットワークと電話の間にアクティブな接続が確立され、その間、電話は定期的に信号品質情報をネットワークに送信し、ユーザーデータを交換します。
  
  

次に、ネットワークに接続するプロセスについて説明します。 各基地局には、特定のARFCNのゼロタイムスロットにあるブロードキャストチャネルCCCHが必ず必要です。 空気をスキャンするプロセスで、電話はチューナー周波数を順次切り替え、受信信号の電力を測定します。 最も強い信号を持つBTSが見つかるとすぐに、電話はその同期チャネル（SCH）に切り替わります。次に、最初の同期バーストを受信した電話機は、タイムスロットの順序と、NCC（ネットワークカラーコード）およびBCC（ベースステーションカラーコード）で構成されるBSIC識別データを決定します。接続の許可された識別子と禁止された識別子のリストは、SIMカードに保存されます。



電話機が許可されたBCCHを見つけるとすぐに、RACH要求が送信され、基地局は特定の物理チャネルを割り当て、加入者を認証し、VLRおよびHLRに到着を登録します。その後、電話機はアイドルモードになります。着信コールまたはSMSメッセージが送信されると、現在のLACのすべてのベースステーションがページング要求の送信を開始し、イベントについてサブスクライバーに通知します。電話がそれを「聞いた」場合、応答し、ネットワークは加入者に割り当てられたリソース（周波数、タイムスロット番号など）を説明する即時割り当てパケットを送信します。インターネット上のPingに非常に似ています。この瞬間から、電話は接続が切断されるまで専用モードになります。



サブスクライバー自身が接続のイニシエーターとして機能する場合、最初にCMサービスリクエストを送信してから、ネットワークからの即時割り当てを待つ必要があります。

2.8ハンドオーバー

ハンドオーバー（アメリカ版-ハンドオフ）-セルラー通信において、電話での会話またはデータ転送セッション中に、ある基地局から別の基地局に加入者を転送するプロセス。このプロセスは、加入者が1つの基地局のカバレッジエリアを離れ、別の基地局のカバレッジエリアに入るときに発生します。また、現在の基地局が過負荷であるか、その物理チャネルのノイズが大きすぎる場合、ハンドオーバーを実行できます。



ハンドオーバーには次の2つのタイプがあります。

• handover («break-before-make»). BTS , . , . handover . :)
  
  
• handover («make-before-break»). , BTS, , BTS . , .
  
  

2.9

すでに述べたように、加入者の音声はTCHチャネルで送信されます。TCHチャネルには、フルレート（FR）とハーフレート（HR）の2つのタイプがあります。GSMモバイルネットワークのオーディオストリームのエンコードには、次の標準が適用されます（それだけではありません）。

• GSM-FR（フルレート、13 Kbps）は、最新の標準と比較してかなり低い音質を提供する最初のデジタル音声コーディング標準です。最新のコーデックが存在するにもかかわらず、GSM-FRには依然として非常に幅広い用途があります。
  
  
• GSM-HR（ハーフレート、5.6 Kbps）は、省電力モードの電話機で使用されるコーデックです。フルレートチャネルの半分の帯域幅を占有します。バッテリーを最大30％節約できます。
  
  
• GSM-EFR (Enhanced Full Rate, 12,2 /) — , Nokia , GSM-FR. , 5% GSM-FR.
  
  
• AMR (Adaptive multi rate) — . GSM UMTS, . / .
  
  

3.

加入者のデータの機密性とセキュリティを確保するための基本的なアルゴリズムを検討するときが来ました。情報セキュリティの分野で注目を集めているスキャンダルと啓示の中で、このトピックは非常に重要です。GSMは、他の複雑なシステムと同様に、独自のセキュリティメカニズムと脆弱性を備えています。これについては、この章で検討します。暗号化中のビット変換の低レベルのプロセスなどについては説明しません。さもなければ、この記事は巨大な太った本に変わります。興味のある人は誰でもこれらの資料を読むことができます：



ウィキペディア、GSMセキュリティ

Habrahabr、GSMネットワークセキュリティ：データ暗号化 GitHubリポジトリのこのトピックに関する多数

のプレゼンテーションと記事

3.1基本的な攻撃ベクトル

Um- , «» , BTS. , , , (, , OsmocomBB, RTL-SDR) .



: . , — . , , , . / .



モバイルネットワークの加入者がさらされる最も危険なタイプの攻撃は区別できます。

• スニッフィング
• 個人データ、SMS、音声通話の漏洩
• ロケーションリーク
• なりすまし（FakeBTSまたはIMSI Catcher）
• リモートSIMキャプチャ、任意のコード実行（RCE）
• サービス妨害（DoS）

3.2発信者番号

記事の冒頭ですでに述べたように、加入者の識別はIMSIによって実行され、加入者のSIMカードとオペレーターのHLRに記録されます。携帯電話は、シリアル番号（IMEI）で識別されます。ただし、認証後、オープン形式のIMSIもIMEIも無線でブロードキャストしません。ロケーション更新手順の後、加入者には一時的な識別子-TMSI（Temporary Mobile Subscriber Identity）が割り当てられ、彼の助けを借りてさらなる対話が実行されます。



攻撃方法

理想的には、TMSI加入者は携帯電話と携帯電話ネットワークのみに知られています。ただし、この保護を回避する方法があります。定期的にサブスクライバーを呼び出すか、SMSメッセージ（できればサイレントSMS）を送信し、PCHチャネルを観察して相関を実行すると、攻撃されたサブスクライバーのTMSIを特定の精度で分離できます。



さらに、SS7相互運用者ネットワークにアクセスできるので、電話番号で所有者のIMSIとLACを見つけることができます。問題は、SS7ネットワークでは、すべてのオペレーターが相互に「信頼」し、それによって加入者のデータの機密性レベルが低下することです。

3.3認証

スプーフィングから保護するために、ネットワークはサービスを開始する前に加入者を認証します。IMSIに加えて、Kiというランダムに生成されたシーケンスがSIMカードに保存され、ハッシュ形式でのみ返されます。KiもHLR演算子に保存され、クリアテキストで送信されることはありません。一般に、認証プロセスは4ウェイハンドシェイクの原則に基づいています。

1. サブスクライバーは、ロケーション更新要求を実行してから、IMSIを提供します。
2. ネットワークは擬似ランダムRAND値を送信します。
3. 携帯電話のSIMカードは、A3アルゴリズムを使用してKiとRANDをハッシュします。A3（RAND、Ki）= SRAND。
4. ネットワークは、A3アルゴリズムに従ってKiとRANDもハッシュします。
5. 加入者側のSRAND値がネットワーク側の計算値と一致する場合、加入者は認証に合格しています。

RANDおよびSRAND値を使用したKi列挙の攻撃方法には、かなり時間がかかる場合があります。さらに、オペレーターは自分のハッシュアルゴリズムを使用できます。ネットワークでのブルートフォース攻撃については、かなりの情報があります。ただし、すべてのSIMカードが完全に保護されているわけではありません。一部の研究者は、SIMカードのファイルシステムに直接アクセスし、Kiを抽出することができました。

3.4トラフィックの暗号化

仕様によれば、ユーザートラフィックには3つの暗号化アルゴリズムがあります。

• A5 / 0は、暗号化の欠如とWiFiネットワークのOPENの正式な指定です。私自身、暗号化なしでネットワークに出会ったことはありませんが、gsmmap.orgによると、A5 / 0はシリアと韓国で使用されています。
  
  
• A5/1 — . , , . 2 , Linux Kraken .
  
  
• A5/2 — . , .
  
  
• A5/3 — , 2002 . , . , 2G-. , .. . . , 3GPP-.
  
  

攻撃方法

既に述べたように、スニッフィング機器と2 TBのメモリとKrakenを備えたコンピューターを使用すると、A5 / 1セッション暗号化キーをすばやく見つけて（数秒で）、トラフィックを解読できます。 2009年にドイツの暗号学者Karsten Nohlは、A5 / 1をハッキングする方法を示しました。数年後、KarstenとSylvian Munoは、いくつかの古いMotorola電話（OsmocomBBプロジェクト）を使用して、電話での会話を傍受し、解読する方法を示しました。

おわりに

私の長い話は終わりました。より詳細に、そして実際的な面で、セルラーネットワークの操作の原理は、残りの部分を追加するとすぐに、一連の記事OsmocomBBを理解するで見つけることができます。私はあなたに何か新しいことや面白いことを伝えることができたと思います。フィードバックとコメントを待っています！