Vorlesung Mobilfunksysteme

Mobilfunk der 2. Generation (2G)

GSM: Systemarchitektur, Mobilitätsmanagement und
Sicherheitskonzept
GSM 2.5: HSCSD, GPRS, EDGE

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Systemarchitektur

RSS: Radio Station Sub-Systems

Funkzelle
BTS: Base Transceiver Station
MS MS
MS: Mobile Station
Funkzelle BSC: Base Station Controller

RSS BTS MS TRAU: Transcoding and Rate Adaption Unit

BTS NSS: Network Sub-System

BSC MSC: Mobile Switching Center
BSC GMSC: Gateway MSC
TRAU

HLR: Home Location Register

MSC MSC VLR: Visitor Location Register
VLR VLR
EIR: Equipment Identify Register
NSS
GMSC AC: Authentication Center
HLR
Telefonnetz
OMC: Operations and Maintenance
Datennetz
Center
EIR AC OMC

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Radio Sub-System
Das Radio Sub-System (RSS) enthält die
Komponenten und Funktionen für die Funk-
kommunikation zwischen den mobilen
Teilnehmern und dem Netzwerk.
Die Basisstationen (BTS) übernehmen als
Schnittstelle zu den Endgeräten nachrichten-
und funktechnische Aufgaben, z. B.
Komprimierung und Kanalcodierung/-
decodierung der Sprachdaten,
Messen der Signalempfangsstärke im Uplink.
Die Base Station Controller (BSC) sind für den
Aufbau und Abbau sowie die Aufrechterhaltung BTS und BSC kooperieren, z. B. bei
der Verbindungen des BSS verantwortlich, z. B. Verschlüsselung/Entschlüsselung der
Zuordnung der logischen Kanäle auf die Sprachdaten,
Funkkanäle und deren Management, Ausrufen eines Teilnehmers (Paging),
Aktualisierung des Aufenthaltsortes des Sendeleistungsregelung der Mobiles.
Teilnehmers (Location Update),
Authentifizierung des Teilnehmers, Die TRAU setzt die Datenrate des GSM-
Messen des Traffic, Sprachsignals auf die Datenrate des
Intra-BSC-Handover. Kernnetzes um.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Protokollarchitektur
Um Abis A

MS BTS BSC MSC

CM CM

MM MM

BSSMAP
BSSMAP
RR
RR’
RR’ BTSM BTSM
SS7 SS7
LAPDm LAPDm LAPD LAPD

Funk Funk PCM PCM PCM PCM

16/64 kbit/s 64 kbit/s /

CM: Connection Management 2,048 Mbit/s
MM: Mobility Management BTSM: BTS Management Bildquelle: J. Schiller,
RR: Radio Resource Management BSSMAP: Base Station System Management Mobilkommunikation,
LAPDm: Link Protocol für Um Application Part 2. Aufl., Pearson, 2003

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Sprachübertragung

Bildquelle: C. Lüders,
Mobilfunksysteme,
Vogel, 2001

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Kanalcodierung während der GSM-Sprachübertragung

Bildquelle: C. Lüders,
Mobilfunksysteme,
Vogel, 2001

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Physikalische Kanäle

In einem GSM-Mobilfunknetz werden die

Nutzdaten und die Steuerinformationen
(Signalisierungsdaten) in den Zeitschlitzen
des TDMA-Rahmens übertragen.
Da dabei zu festgelegten, regelmäßigen
Zeitabständen ein kurzes Datenpaket
gesendet bzw. empfangen wird, wird das
Datenpaket als Burst bezeichnet.
Der „Normal Burst“ wird hauptsächlich für
die Nutzdatenübertragung eingesetzt. Er
besteht aus:
2 x 3 Tail-Bits (Null-Bits), geben den
Anfang bzw. das Ende des Burst an, 2 Stealing-Flags, die bei der Nutzung
während dessen die Sendeleistung hoch- des Bursts zur Übertragung dringender
bzw. heruntergetastet werden kann, Signalisierungsdaten gesetzt werden
114 Bit Nutzdaten, (z. B. Handover),
26 Bit Trainingsdaten zur Kompensation 8,25 Bit Schutzzeit, um größere Echo-
der Echo-Signale des Mobilfunkkanals, Laufzeiten während der Übertragung
auszugleichen.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

PCM-Übertragung im digitalen Fernsprechnetz

Die PCM-Übertragung im Fernsprechnetz wurde international standardisiert (G.711).

Das analoge Sprachsignal wird auf 3,4 kHz bandbegrenzt, mit einer Abtastfrequenz von
8 kHz abgetastet und nichtlinear quantisiert. Die resultierende Datenrate je Telefonkanal
beträgt 64 kbit/s. Die Übertragung erfolgt im Basisband mithilfe eines pseudoternären AMI-
Codes (HDB-4-Code).
In einem PCM30-System werden 30 Sprachkanäle im Zeitmultiplex zusammen mit zwei
Signalisierungskanälen (Synchronisation, Vermittlung) übertragen. Die Bitrate des
PCM30-Systems beträgt somit 32 x 64 kbit/s = 2,048 Mbit/s.

OVSt: Ortsvermittlungsstelle Bildquelle: L. Winkler, Vorlesung „Grundlagen

FVSt: Fernvermittlungsstelle der Kommunikationstechnik“

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

 GSM: Network Sub-System
Das Network Sub-System (NSS) ist das GSM-
Backbone, das die regionalen MSC und das
zentrale GMSC über Glasfaserkabel und
Richtfunkstrecken miteinander verbindet.
Die Mobile Switching Center (MSC) arbeiten
als Vermittlungsstelle. Das Gateway-MSC
(G-MSC) verbindet das GSM mit anderen
Mobilfunknetzen, Festnetzen (Telefon, ISDN)
und mit dem Internet.
Jeder MSC ist eine Datenbank (Visitor
Die MSC erfüllen u. a. die folgenden Location Register, VLR) zugeordnet, in der
Aufgaben: Informationen über aktuelle Teilnehmer
Registrierung des Teilnehmers, verwaltet werden.
Verbindungsaufbau, Die Daten im VLR sind temporäre Kopien
Weiterleiten von Kurznachrichten (SMS), der Teilnehmerdaten, die sich im zentralen
Authentifizierung, Home Location Register (HLR) befinden.
Aktualisierung des Aufenthaltsortes, Das Equipment Identify Register (EIR)
Handover zwischen Funkzellen speichert Informationen über die Endgeräte.
verschiedener BSS, Das Authentication Center (AC) verwaltet
Billing-Records zur Abrechnung erzeugen. Schlüssel zur IT-Sicherheit.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Teilnehmerdaten

Abk. Name Bedeutung Speicherort

Mobile Subscriber ISDN
MSISDN Öffentlich bekannte Rufnummer HLR, SIM, VLR*
Number
Aufenthaltsnummer während der
Mobile Subscriber Roaming HLR*, SIM*, VLR*
MSRN Vermittlung eines Anrufes, die den
Number
Teilnehmer und das V-MSC identifiziert.
International Mobile Equipment EIR,
IMEI Gerätekennung des Mobile
Identity Mobile Station
International Mobile Subscriber HLR, SIM, VLR*
IMSI Identifizierung des Teilnehmers
Identity
Temporary Mobile Subscriber VLR*, SIM*
TMSI Anonymisierung des Teilnehmers
Identity
PIN Personal Identification Number Zugangsnummer zur SIM-Karte SIM
Individual Subscriber symmetrischer Schlüssel des
Ki AC, SIM
Authentication Key Teilnehmers
Kc Cipher Key Chiffrier-Schlüssel AC*, SIM*
Location Area Identity
LAI Gebietserkennung VLR*, SIM*
LAI = MCC+MNC+LAC
* : temporär
Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport
IMSI

Die IMSI (International Subscriber Identity)

dient der eindeutigen Identifizierung des
Teilnehmers und wird weltweit einmalig
pro SIM-Karte von den Mobilfunk-
Providern vergeben.
Die IMSI ist maximal 15 Ziffern lang und
setzt sich wie folgt zusammen: Vorteile der IMSI:
MCC: Mobile Country Code Telefonieren im Ausland (Roaming) mit
MNC: Mobile Network Code derselben SIM-Karte möglich,
MSIN: Mobile Subscriber Identification mehrere MSISDN je Teilnehmer
Number möglich,
ist im nationalen Netzwerk eindeutig Wechsel der MSISDN ohne Austausch
Im Gegensatz zur IMSI ist die MSISDN der SIM-Karte.
nicht auf der SIM-Karte gespeichert. Die IMSI-Catcher: Mithilfe eines IMSI-Catcher
Zuordnung der MSISDN zur IMSI erfolgt können IMSI gelesen, die Standorte der
im HLR. Teilnehmer, ihre Bewegungsprofile
bestimmt und sogar ihre Telefonate
mitgehört werden.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Mobilitätsmanagement: Location Area, Location Update

Um das mobile Endgerät bei einem

Verbindungsaufbau schnell zu erreichen, muss
dessen Aufenthaltsort bekannt sein.
Die Aktualisierung des Aufenthaltsorts erfolgt
durch ein Location Update, das durch das
Endgerät im Idle Mode ausgelöst wird.
Um zu vermeiden, dass ein Location Update
bei jedem Zellwechsel des Endgeräts
durchgeführt werden muss, werden die
Funkzellen in Location Area zusammen-
gefasst.
Vorteil: Die Signalisierungslast des
Netzwerkes und der Energieverbrauch des Die Größe der Location Area legt der
Endgeräts sinken. Netzbetreiber fest.
Nachteil: Bei einem ankommenden Gespräch Damit die Endgeräte erfahren, wo sie
oder bei einer SMS muss das Netzwerk das sich befinden, strahlt jede BTS
Endgerät im gesamten Location Area periodisch die Location Area ID
ausrufen (Paging). (LAI = MCC+MNC+LAC) und die Cell
ID (CI) aus.
Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport
GSM: Logische Kanäle

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Physikalische Kanäle

In einem GSM-Mobilfunknetz werden die

Nutzdaten und die Steuerinformationen
(Signalisierungsdaten) in den Zeitschlitzen
des TDMA-Rahmens übertragen.
Da dabei zu festgelegten, regelmäßigen
Zeitabständen ein kurzes Datenpaket
gesendet bzw. empfangen wird, wird das
Datenpaket als Burst bezeichnet.
Der „Normal Burst“ wird hauptsächlich für
die Nutzdatenübertragung eingesetzt. Er
besteht aus:
2 x 3 Tail-Bits (Null-Bits), geben den
Anfang bzw. das Ende des Burst an, 2 Stealing-Flags, die bei der Nutzung
während dessen die Sendeleistung hoch- des Bursts zur Übertragung dringender
bzw. heruntergetastet werden kann, Signalisierungsdaten gesetzt werden
114 Bit Nutzdaten, (z. B. Handover),
26 Bit Trainingsdaten zur Kompensation 8,25 Bit Schutzzeit, um größere Echo-
der Echo-Signale des Mobilfunkkanals, Laufzeiten während der Übertragung
auszugleichen.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Beispiel: Belegung der Zeitschlitze (Downlink) I

FN TS-0 TS-1 FN TS-2…7 FN TS-0 TS-1 FN TS-2…7

0 FCCH SDCCH/0 0 TCH 13 AGCH/PCH SDCCH/3 13 TCH
1 SCH SDCCH/0 1 TCH 14 AGCH/PCH SDCCH/3 14 TCH
2 BCCH SDCCH/0 2 TCH 15 AGCH/PCH SDCCH/3 15 TCH
3 BCCH SDCCH/0 3 TCH 16 AGCH/PCH SDCCH/4 16 TCH
4 BCCH SDCCH/1 4 TCH 17 AGCH/PCH SDCCH/4 17 TCH
5 BCCH SDCCH/1 5 TCH 18 AGCH/PCH SDCCH/4 18 TCH
6 AGCH/PCH SDCCH/1 6 TCH 19 AGCH/PCH SDCCH/4 19 TCH
7 AGCH/PCH SDCCH/1 7 TCH 20 FCCH SDCCH/5 20 TCH
8 AGCH/PCH SDCCH/2 8 TCH 21 SCH SDCCH/5 21 TCH
9 AGCH/PCH SDCCH/2 9 TCH 22 SDCCH/0 SDCCH/5 22 TCH
10 FCCH SDCCH/2 10 TCH 23 SDCCH/0 SDCCH/5 23 TCH
11 SCH SDCCH/2 11 TCH 24 SDCCH/0 SDCCH/6 24 TCH
12 AGCH/PCH SDCCH/3 12 SACCH 25 SDCCH/0 SDCCH/6 25 frei

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Beispiel: Belegung der Zeitschlitze (Downlink) II

FN TS-0 TS-1 FN TS-2…7 FN TS-0 TS-1 FN TS-2…7

26 SDCCH/1 SDCCH/6 0 TCH 39 SDCCH/3 SACCH/1 13 TCH
27 SDCCH/1 SDCCH/6 1 TCH 40 FCCH SACCH/2 14 TCH
28 SDCCH/1 SDCCH/7 2 TCH 41 SCH SACCH/2 15 TCH
29 SDCCH/1 SDCCH/7 3 TCH 42 SACCH/0 SACCH/2 16 TCH
30 FCCH SDCCH/7 4 TCH 43 SACCH/0 SACCH/2 17 TCH
31 SCH SDCCH/7 5 TCH 44 SACCH/0 SACCH/3 18 TCH
32 SDCCH/2 SACCH/0 6 TCH 45 SACCH/0 SACCH/3 19 TCH
33 SDCCH/2 SACCH/0 7 TCH 46 SACCH/1 SACCH/3 20 TCH
34 SDCCH/2 SACCH/0 8 TCH 47 SACCH/1 SACCH/3 21 TCH
35 SDCCH/2 SACCH/0 9 TCH 48 SACCH/1 frei 22 TCH
36 SDCCH/3 SACCH/1 10 TCH 49 SACCH/1 frei 23 TCH
37 SDCCH/3 SACCH/1 11 TCH 50 frei frei 24 TCH
38 SDCCH/3 SACCH/1 12 SACCH 25 frei

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

 GSM-Rahmenhierarchie
hyperframe
0 1 2 ... 2045 2046 2047 3 h 28 min 53,76 s

superframe
0 1 2 ... 48 49 50
6,12 s
0 1 ... 24 25

multiframe
Verkehrsvielfachrahmen 0 1 ... 24 25 120 ms

Steuerungsvielfachrahmen 0 1 2 ... 48 49 50 235,4 ms

frame
TDMA–Rahmen 0 1 ... 6 7 4,615 ms
slot
Burst burst 577 µs

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Common Channel

BCCH (Broadcast Control Channel): überträgt periodisch auf der ersten Trägerfrequenz
Informationen an alle angemeldeten aber nicht aktiven Endgeräte (Idle Mode), wie z. B.:
Location Area Identity (LAI = MCC+MNC+LAC), Cell ID und Base Station Identity Code
(BSIC). Mit dem Base Station Identity Code (BSIC) ist jede BTS eindeutig kennzeichnet.
Frequenzen der Nachbarzellen
Synchronisierungsinformationen:
FCCH (Frequency Correction Channel) sendet Frequency Correction Burst
SCH (Synchronization Channel) sendet Synchronization Burst.

PCH (Paging Channel): dient dem Paging der BTS, um nicht aktive Endgeräte bei einem
ankommenden Gespräch im Location Area auszurufen.

RACH (Random Access Channel): dient dem Endgerät, um einen dedizierten Kanal nach
dem Paging durch einen zufälligen Zugriff auf den Funkkanal im Uplink anzufordern
(Channel Request).

AGCH (Access Grant Channel): dient der BTS, um dem Endgerät nach dessen Channel
Request einen dedizierten Kanal (SDDCH oder TCH) zuzuweisen.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Dedicated Channel

SDCCH (Standalone Dedicated Control Channel)

dient der bidirektionalen Signalisierung zwischen MS und BTS, wenn noch keine
Verbindung aufgebaut ist, z. B. Aktualisierung des Aufenthaltsortes (Location Update),
Verbindungsaufbau, Senden und Empfangen einer SMS.
wird über den RACH von der MS angefordert und über den AGCH zugeteilt.

SACCH (Slow Associated Control Channel)

dient während einer Funkverbindung zur Synchronisierung zwischen MS und BTS ,
zur Übertragung der gemessenen Signalempfangsstärken der eigenen und der
Nachbarzellen, die zur Sendeleistungsregelung des Endgerätes und zu Handover-
Entscheidungen durch das Netzwerk führen.

FACCH (Fast Associated Control Channel)

dient der Übermittlung dringender Signalisierungsinformationen, z. B. Handover.
wird im gleichen Zeitschlitz wie der TCH übertragen und nutzt dessen Normal Burst
(Stealing Flags sind gesetzt).

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM: Weitere Burst-Typen

Frequency Correction Burst

Frequenzsynchronisierung (FCCH)
Synchronization Burst
Zeitsynchronisierung (SCH)
TDMA-Rahmennummer und BSIC
Dummy Burst
von der BTS ausgestrahlt, wenn der Zeitschlitz
nicht durch einen logischen Kanal belegt ist.
ermöglicht der MS Messungen der Signal-
empfangsstärken (eigene Funkzelle und
Nachbarzellen)
Access Burst
vom RACH für den zufälligen Zugriff der MS auf
den Funkkanal genutzt (Verbindungsaufbau)
Die größere Schutzzeit senkt die Wahrschein-
lichkeit, mit anderen MS zu kollidieren. Bildquelle: J. Eberspächer, et.al., GSM-Global System for
Mobile Communication, 3. Aufl., Teubner, 2001

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Mobilitätsmanagement: Mobile Terminated Call (MTC)

1: Ruf eines GSM-Teilnehmers mit MSISDN

4
2: Weiterleitung zum GMSC HLR V-MSC/VLR
rufende
Station 5
3: Feststellen der IMSI und des aktuellen MSC
(V-MSC) anhand der MSISDN im HLR 13
3 6 8 12
1
4: Ankündigung des Anrufes beim V-MSC/VLR
2 7
5: Übergabe einer temporären MSRN zur IMSI PSTN G-MSC V-MSC

6: Übergabe der MSRN an das G-MSC und somit 13 13

Bekanntgabe des Teilnehmers und des V-MSC/VLR 12
9
7: Anrufweiterleitung zum V-MSC mit der MSRN 9 9 13
8: Feststellen der Teilnehmerdaten (IMSI, TMSI, LAI, usw.)
BSS BSS BSS
9: Paging des Teilnehmers im Location Area durch das V-MSC
10 10 10
10: Paging des Teilnehmers durch die betreffenden BTS (PCH)
11: Antwort der gerufenen MS (RACH) 12
11
12: Authentifizierung und Aktivierung der Verschlüsselung (SDCCH) 13
13: Verbindungsaufbau und Gespräch (TCH) MS

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Mobilitätsmanagement: Short Message Service (SMS)

1: Teilnehmer A versendet eine SMS an Teilnehmer B.

Die SMS enthält die Textnachricht und die MSISDN von Teilnehmer B. 5 5
SMSC HLR VLR
2: Die SMS wird über das BSS an das MSC gesendet (SDCCH).
3: Das MSC leitet die SMS ohne Bearbeitung an das 3 4 10 8
Short Message Service Center (SMSC) weiter.
6
4: Das SMSC quittiert den Empfang der SMS an den Teilnehmer A.
MSC V-MSC
5: Das SMSC erhält vom HLR den Aufenthaltsort des Teilnehmers B.

6: Das SMSC sendet die SMS an das V-MSC des Teilnehmers B. 7 8

2 4
7: Das V-MSC ruft den Teilnehmer B über seine BSS aus. 7
8: Ist das Mobile B aktiv, authentifiziert es sich am Netzwerk.
BSS BSS BSS
9: Die SMS wird vom V-MSC zugestellt.
7 7
10: Die Zustellung wird dem SMSC vom V-MSC quittiert.
Daraufhin löscht das SMSC die SMS.
1 4 9 8
Ist der Teilnehmer B nicht erreichbar wird im VLR und im HLR
das „Message Waiting Flag“ gesetzt und die SMS im SMSC
MS A MS B
zwischengespeichert.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

 GSM-Mobilitätsmanagement: Handover-Szenarien

Inter–MSC

Inter-BSC/Intra-MSC

Inter-Cell/Intra-BSC
Intra-Cell

MS MS MS MS

BTS BTS BTS BTS

BSC BSC BSC

MSC MSC

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Mobilitätsmanagement: Intra-BSC-Handover

SABM: Set Up Asynchronous

Balanced Mode
Antrag auf Übergang in den
Quittungsbetrieb
UA: Unnumered Acknowledge
Bestätigung von SABM

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Sicherheitskonzept
Sicherheitsziele:
1. Zugangskontrolle / Authentifikation
Teilnehmer ⇔ SIM: Geheimnummer PIN
SIM ⇔ Netzwerk: Challenge-Response-Verfahren
wird ausgeführt bei: Aufenthaltsregistrierung, Aufenthaltswechsel (Location Update)
mit VLR-Wechsel, Verbindungsaufbau, SMS
2. Vertraulichkeit
Sprach- und Signalisierungsdaten werden nach erfolgreicher Authentifikation
verschlüsselt übertragen.
3. Anonymität durch die temporäre Teilnehmerkennung TMSI
TMSI wird bei jedem Aufenthaltswechsel (Location Update), Anruf oder dem
Versenden einer SMS neu vergeben.
TMSI wird vom Netzwerk an das Endgerät normalerweise verschlüsselt übertragen.
Algorithmen:
A3: Authentifikation (AC/SIM, nicht standardisiert, „geheim“, Schnittstellen standardisiert)
A5: Verschlüsselung (Endgerät, standardisiert)
A8: zur Schlüsselberechnung (SIM, „geheim“, Schnittstelle offengelegt)

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Authentifizierung des Teilnehmers (Challenge Response)

Der geheime, symmetrische Schlüssel Ki ist

im AC des HLR und auf der SIM-Karte des
Teilnehmers so gespeichert, dass er von
außen nicht ausgelesen werden kann.
Während der Verbindungsaufnahme fordert
das MSC beim HLR/AC ein Authentication
Triple an:
RAND: ist eine 128-Bit-Zufallszahl
SRES (Signed Response): wird aus dem
Ki und RAND mit dem Authentifizierungs-
algorithmus A3 erzeugt.
Kc (Ciphering Key): wird aus dem Ki und
Schwächen:
RAND erzeugt.
Das unverschlüsselte Authentication Triple
Das HLR/AC übergibt das Authentication können Angreifer abfangen.
Triple an das MSC. Die Zufallszahl wird von
der BTS an das Endgerät gesendet. Mit dem Challenge-Response-Verfahren
authentifiziert sich der Teilnehmer
Der geheime Schlüssel Ki verlässt das AC gegenüber dem Mobilfunknetz, aber nicht
nicht. umgekehrt (siehe IMSI-Catcher).

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Verschlüsselung auf der Luftschnittstelle

Der geheime, symmetrische Schlüssel Ki ist

im AC des HLR und auf der SIM-Karte des
Teilnehmers so gespeichert, dass er nicht
ausgelesen werden kann.
Das HLR/AC erzeugt eine Zufallszahl
RAND, die von der BTS an das Endgerät
übertragen wird.
HLR/AC und SIM-Karte berechnen aus der
Zufallszahl RAND und dem Ki einen Cipher
Key Kc mithilfe des Algorithmus A8.
BTS (Downlink) bzw. Endgerät (Uplink)
erzeugen mit dem Algorithmus A5 aus dem
Cipher Key Kc und der aktuellen TDMA-
Frame-Nummer einen Schlüsselblock der
Der verschlüsselte Datenblock wird im
mit dem Datenblock XOR-verknüpft wird.
Endgerät (Downlink) bzw. in der BTS (Uplink)
Das sich die TDMA-Frame-Nummer mit auf dieselbe Weise mit dem Schlüsselblock
jedem Burst, d. h. alle ca. 5 ms ändert, verknüpft, um den unverschlüsselten
ändert sich auch der Schlüsselblock. Datenblock wiederzugewinnen.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

SIM-Karte

Die SIM-Karte (Subscriber Identity Module)

enthält ein komplettes Mikrocontrollersystem.
Auf die Datenspeicher kann nur über den
Mikrocontroller zugegriffen werden.
Der ROM (40-100 kB) hält das Betriebssystem
der SIM. Die Benutzerdaten werden im
EEPROM (16-64 kB) gespeichert. Die
flüchtigen Daten sind im RAM (1-3 kB)
abgelegt.
Die Aufgaben des Mikrocontrollers
(8 o. 16 Bit, 10 MHz) sind u.a.: Außerdem kann der Mikrocontroller
Speicherverwaltung, auch Programme ausführen, die vom
Netzbetreiber auf die SIM-Karte
Berechnung der SRES übertragen wurden. Dafür wurde die
(Authentifizierung des Teilnehmers), Schnittstelle SIM Application Toolkit
Berechnung des Cipher-Key (SAT) zwischen SIM und Endgerät
(Verschlüsselung auf der Luftschnittstelle). standardisiert.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Sicherheitsschwächen und Angriffsmöglichkeiten

GSM-Sicherheitsschwächen:
Die kryptografischen Algorithmen sind „geheim“ und wurden deshalb nicht durch Experten
weltweit auf Schwächen untersucht.
Das symmetrische Verschlüsselungsverfahren erfordert die Speicherung des nutzer-
spezifischen, geheimen Schlüssels Ki beim Netzbetreiber.
Die Übertragung zwischen Besucher- und Heimnetzwerk ist unverschlüsselt.
Der Teilnehmer muss sich gegenüber dem Netzwerk authentifizieren, das Netzwerk jedoch
nicht gegenüber dem Teilnehmer.
Abhören der GSM-Luftschnittstelle (GSM Sniffing):
Die TMSI und die IMSI von Teilnehmern können abgefangen werden.
Bei Kenntnis des Kc können mitgeschnittene Telefonate/SMS entschlüsselt werden.
kostenloses Telefonieren:
Das Klonen der SIM-Karte wird durch Schwächen des Algorithmus COMP128v1 möglich,
welcher die Algorithmen A3 und A8 implementiert.
Durch die unverschlüsselten Übertragung (z. B. über Richtfunk) zwischen Besucher- und
Heimnetzwerk können die Authentifizierungsdaten (RAND, SRES, Kc) abgefangen werden.
Vortäuschen eines GSM-Netzes (IMSI-Catcher)

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

Wechsel der TMSI (Identity Request)

Die TMSI besteht aus 4 Oktetts (32 Bit).

Da die TMSI nur im VLR gespeichert wird,
kann der Netzbetreiber in Abstimmung mit
dem Hersteller den Algorithmus für die
Erzeugung der TMSI selbst bestimmen.
Die Neuvergabe der TMSI erfolgt
grundsätzlich bei jeder Authentifizierung
(Aufenthaltswechsel (Location Update),
Anruf eines Teilnehmers (Paging), SMS).
Außerdem kann das Netz jederzeit durch
einen Identity Request die Neuvergabe
der TMSI auslösen, z. B. nach einem
Fehler.
Die TMSI sollte vor der Übertragung über
die Luftschnittstelle an das Endgerät
verschlüsselt werden, z. B. mithilfe des
Algorithmus A5.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

IMSI-Catcher

Der IMSI-Catcher simuliert auf der einen

Seite das Verhalten einer regulären
Basisstation gegenüber dem Endgerät. Auf
der anderen Seite verhält er sich wie ein
Endgerät gegenüber der Basisstation eines
Mobilfunknetzwerks.
Dadurch ist es dem IMSI-Catcher möglich, in
einem Man-in-the-Middle-Angriff u. a. die
Identität eines Teilnehmers anzunehmen und
anstelle des Teilnehmers mit einem regulären
Mobilfunknetz zu kommunizieren. Bildquelle: https://www.hacking-lab.com/
Der IMSI-Catcher wird vom Angreifer in die
Der GSM-Standard schreibt die
Nähe der Zielperson platziert, um einen
Verschlüsselung auf der
möglichst hohe Signalempfangsleistung am
Luftschnittstelle nicht zwingend vor.
Endgerät des Teilnehmer zu erzielen. Zudem
arbeitet der IMSI-Catcher i. A. mit einer Dadurch kann der IMSI-Catcher die
höheren Sendeleistung als die reguläre reguläre BTS dazu veranlassen, eine
Basisstation einer Funkzelle. unverschlüsselte Kommunikation mit
dem Zielgerät aufzunehmen.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

IMSI-Catcher: Man-in-the-Middle-Angriff

PS > PS,BTS

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM-Evolution zwischen 2G und 3G

Bildquelle: J. Eberspächer, et.al.,

Global System for Mobile
Communication, 3. Aufl., Teubner,
2001

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GSM 2.5

Verbesserung der Sprachcodecs

Neue Datendienste mit höheren Datenrate (HSCSD, GPRS, EDGE)
CAMEL (Customized Applications for Mobile network Enhanced Logic):
Zusammenführung von GSM und Technologien des Intelligenten Netzwerkes
LCS (Location Based Service): Feststellen des Aufenthaltsortes einer MS bis auf 50 bis
200 m Meter genau, Anbieten von standortbezogenen Services
SAT (SIM Application Toolkit): standardisierte Schnittstelle zwischen SIM und Endgerät,
die es dem Netzbetreiber erlauben die SIM von GSM aus zu programmieren
WAP: (Wireless Application Protocol): Übertragung von Inhalten des Internets und
anderer interaktiver Dienste auf mobile Endgeräte.
MExE (Mobile Station Application Execution Environment): auf der Basis einer virtuellen
Maschine zur Ausführung von Java-Code können Anwendungen online auf das Terminal
geladen und dort lokal ausgeführt werden; schließt WAP ein.
ASCI (Advanced Speed Call Items): standardisierte Sprachdienste für Gruppen-
kommunikation wie Gruppenruf oder Push-To-Talk (PTT) mit schnellem
Verbindungsaufbau für Arbeitsgruppen (Polizei, Flughäfen, Bahn, Taxi).

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

HSCSD (High Speed Circuit Switched Data)
wurde von einigen Netzbetreibern in 2000
eingeführt, heute aber nicht mehr genutzt.
erforderte lediglich ein Software-Update
bei den Endgeräten und den MSCs.
Höhere Datenraten werden i. W. durch zwei
Neuerungen erzielt:
Erhöhung der Nutzdatenrate des Full-Rate- Nutzdatenrate TCH TCH TCH
Kanals auf 14,4 kbit/s durch Anpassung der [kbit/s] F4.8 F9.6 F14.4
Kanalcodierung, 4.8 1
Bündelung mehrerer Verkehrskanäle, 9.6 2 1
(asymmetrische Bündelung möglich). 14.4 3 1
Beibehaltung der leitungsorientierten 19.2 4 2
Vermittlung 28.8 3 2
Vorteil: konstante Datenrate unabhängig 38.4 4
von der Netzbelastung 43.2 3
Nachteile: 57.6 4
HSCSD-Kanäle durch Telefonie blockiert,
Gebühren für die Dauer der Verbindung, Bildquelle: J. Eberspächer, et.al., Global System for Mobile
Communication, 3. Aufl., Teubner, 2001
höherer Energieverbrauch der MS.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GPRS (General Packet Radio Service)

wurde seit 1992 entwickelt und ist seit 2001 in D flächendeckend verfügbar
paketorientierte Vermittlung
Belegung der Zeitschlitze nur wenn Daten vorhanden (z. B. 50 kbit/s bei kurzfristiger
Belegung von 4 Timeslots)
dient als Zugang in verschiedene existierende paketvermittelnde Datennetze
(z. B. IP-Netze)
Vorteile: Endgerät ist „always online“, Gebühren für das Datenvolumen, Schritt in Richtung
UMTS
Nachteile: mehr Investitionen durch neue Hardware
GPRS-Netzelemente
GSN (GPRS Support Nodes): GGSN and SGSN
GGSN (Gateway GSN)
Umsetzung zwischen GPRS und PDN (Packet Data Network)
SGSN (Serving GSN)
Unterstützung der MS (Lokalisierung, Abrechnung, Sicherheit)
GR (GPRS Register)
Benutzeradressen

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GPRS: Systemarchitektur

Anderes GPRS-Netz
SGSN
GGSN

Gn

Gp

MS BSS SGSN GGSN PDN

Um Gb Gn Gc Gi
Gr
Gs GSN: GPRS Support Nodes
SGSN: Serving GSN
MSC HLR
Gf GGSN: Gateway GSN
GR GR: GPRS Register
VLR EIR PDN: Packet Data Network

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

GPRS: Nutzdatenraten [kbit/s]

Zeitschlitze
Codier–
schema

1 2 3 4 5 6 7 8

CS–1 9,05 18,2 27,15 36,2 45,25 54,3 63,35 72,4

CS–2 13,4 26,8 40,2 53,6 67 80,4 93,8 107,2
CS–3 15,6 31,2 46,8 62,4 78 93,6 109,2 124,8
CS–4 21,4 42,8 64,2 85,6 107 128,4 149,8 171,2

maximal, praktisch

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

EDGE (Enhanced Data Rates for GSM Evolution)

seit 1997 diskutiert und danach standardisiert

erhöht die Nutzdatenrate im Vergleich zu HSCSD und GPRS durch die Verwendung
eines höherwertigen Modulationsverfahrens, d. h. einer 8-PSK.
Bei einer 8-PSK werden 3 Bits zu einem Symbol zusammengefasst.
Vorteil: Erhöhung der Datenrate um den Faktor 3
Nachteile: Verringerung der Störfestigkeit, höhere Anforderungen an die Linearität
der Leistungsverstärker in den Mobil– und Basisstationen
Steigt die BER über ein bestimmtes Maß an, wird wieder auf das herkömmliche
Modulationsverfahren (GMSK) umgeschaltet.
Leistungssteigerung sowohl von leitungsvermittelten als auch von paketvermittelten
Datendiensten
Enhanced Circuit Switched Data (ECSD)
Enhanced General Packet Radio Service (EGPRS)
Bei der Belegung aller 8 Zeitkanäle können theoretisch bis ca. 473,6 kbit/s erreicht
werden. In der Praxis sind es ca. 170 kbit/s.

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport

EDGE: Modulations– und Codierungsschemen

Modulations/ Modulation Coderate Datenrate pro

Codierungsschema Zeitschlitz [kbit/s]
MCS–1 GMSK 0,53 8,8
MCS–2 GMSK 0,66 11,2
MCS–3 GMSK 0,80 14,8
MCS–4 GMSK 1,00 17,6
MCS–5 8-PSK 0,37 22,4
MCS–6 8-PSK 0,49 29,6
MCS–7 8-PSK 0,76 44,8
MCS–8 8-PSK 0,92 54,4
MCS–9 8-PSK 1,00 59,2

Die Erhöhung der Redundanz durch den Fehlerschutz wird durch die Coderate R
ausgedrückt:
: Anzahl der Bits des Datenwortes
: Blocklänge: Gesamtzahl der Bits des Codewortes einschließlich der Prüfbits

Vorlesung Mobilfunksysteme, Prof. Dr.-Ing. Volker Delport