Am si eu o dilema. Da, inca una.

Situatia sta asa: am una bucata USIM, cu IMSI atasat, una bucata arie geografica in care s-a atasat acest USIM la reteaua identificata de VLRa. Am, ca urmare, un TMSI care identifica unic subscriberul pe acest VLRa si un CK cheie care cripteaza sesiunea curenta. Daca VLRa vrea sa-i schimbe TMSI-ul userului meu, atunci o face in mod securizat. Totul e ok, userul meu e fericit.

Apoi userul meu naravas schimba aria geografica, si se duce la VLRb. Cum userul meu e preocupat de securitate informatica, el nu vrea sa-si puna USIM-ul sa trimita IMSI-ul lui in clar, pe noua retea, catre VLRb. Atunci el se gandeste ca ar fi foarte cool ca VLRb sa poata vorbi securizat cu VLRa. In acest fel, USIM-ul userului ar trimite catre VLRb numai TMSI-ul anterior, inutil in noul context, si pe care nu e nevoit sa-l protejeze. El se asteapta ca VLRb sa ii ceara lui VLRa IMSI-ul corespunzator TMSI-ului trimis de USIM. Cum plecam de la premisa ca VLRa si VLRb au o relatie de “prietenie” si au incredere unul in celalalt, asta ar rezolva problema.

Numai ca pentru ca treaba asta sa mearga, ar trebui ca urmatoarele conditii sa fie indeplinite, _daca_ inteleg eu bine:

1. Relatia dintre “aria geografica” si VLR e de tipul 1-la-1. Da, nu, si daca da, pe ce release-uri? Oare e la fel si pe MSC-VLR din UMTS-Release 8 (LTE)?

2. CK e valabil numai pe o sesiune intre USIM/TMSI si VLR. –de bun simt, ca de-aia e cheie de sesiune

3. Care este marea utilitate a acestui TMSI? Doar sa “ascunda” IMSI-ul de transmiterea pe retea de prea multe ori? O data, initial, tot e trimis, deci de aici incolo am putea da mana libera CK-ului sa faca si identificare, si autentificare, si confidentialitate…sau nu?

4. Cum comunica intre ele doua VLR-uri, de la 2 provideri diferiti? Pe ce interfete? Cum stabilesc intre ei o relatie de incredere? PKI? PSK?…alt mecanism?

Tags: dileme, interesant, techie