Безопасность в сетях LTE

Содержание

Слайд 2

Безопасность сети LTE

I - Безопасность сети доступа
II - Безопасность сетевого домена
III –

Безопасность сети LTE I - Безопасность сети доступа II - Безопасность сетевого
Безопасность пользовательского домена
IV- Безопасность домена приложений
V – Управление и конфигурирование безопасности

Слайд 3

Принципы безопасности в сетях LTE

Взаимная аутентификация абонентов в сети
Шифрование сообщений в радиоканале
Защита

Принципы безопасности в сетях LTE Взаимная аутентификация абонентов в сети Шифрование сообщений
целостности передаваемых сообщений
Защита аутентификационных данных абонентов

M-TMSI, S-RNTI, C-RNTI

АКА – процедура аутентификации и соглашения о ключах и выработка ключа Kasme

Протокол безопасности ESP инкапсулирующий IPsec

Слайд 4

Особенности

иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются различные

Особенности иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются
ключи;
разделение механизмов безопасности для слоя без доступа (NAS), на котором осуществляется поддержка связи между узлом ядра сети и мобильным терминалом (UE), и механизмов безопасности для слоя с доступом (AS), обеспечивающего взаимодействие между оконечным сетевым оборудованием (включая набор базовых станций NodeB(eNB)) и мобильными терминалами;
концепция превентивной безопасности, которая способна снизить масштабы урона, наносимого при компрометации ключей;
добавление механизмов безопасности для обмена данными между сетями 3G и LTE.

Слайд 5

Алгоритм AKA

I. Запрос на аутентификацию.
II. а) генерация вектора аутентификации; б)генерация ключа KASME

Алгоритм AKA I. Запрос на аутентификацию. II. а) генерация вектора аутентификации; б)генерация
.
III. Завершение процедуры аутентификации.

I.

Слайд 6

II. а) Алгоритм создания вектора аутентификации

На стороне сети
(HSS)

На абонентском устройстве

II. а) Алгоритм создания вектора аутентификации На стороне сети (HSS) На абонентском устройстве (USIM)
(USIM)

Слайд 7

Параметры различных элементов

ключ K – 128 бит;
случайное число RAND – 128

Параметры различных элементов ключ K – 128 бит; случайное число RAND –
бит;
номер последовательности SQN – 48 бит;
анонимный ключ AK (anonymity key) – 48 бит;
поле управления аутентификацией AMF (authentication management field) – 16 бит;
код сообщения аутентификации MAC (message authentication code) – 64 бит;
ключ шифрования CK (cipher key) – 128 бит;
ключ контроля целостности IK (integrity key) – 128 бит;
маркер аутентификации AUTN (authentication token – 128 бит;
ключ управления защитой доступа KASME (access security management entity) – 256 бит;
отклик аутентификации RES (authentication response) – 416 октетов.

Слайд 8

II. б) Второй этап генерации вектора аутентификации

AMF = 0, то это сеть

II. б) Второй этап генерации вектора аутентификации AMF = 0, то это
GERAN/UMTS
Вектор аутентификации состоит из чисел RAND, XRES, ключей CK, IK и числа AUTN представляющего собой запись в строку трех параметров: SQN Å AK, AMF и МАС.

AMF = 0, то это сеть
E-UTRAN

Ключи CK и IK в открытом виде в ядро сети не передают.
HSS генерирует KASME с помощью алгоритма KDF (Key Derivation Function), для которого исходными параметрами являются CK и IK, а также идентификатор обслуживающей сети и SQN ÅAK.
Вектор аутентификации содержит RAND, XRES, AUTN и KASME, на основе которого происходит генерация ключей шифрации и целостности.

Слайд 9

III. Завершение процедуры аутентификации

KASME - Key Access Security Management Entries

III. Завершение процедуры аутентификации KASME - Key Access Security Management Entries

Слайд 10

Генерация ключа KASME

Ключи для защиты NAS сигнального трафика:
KNASint – ключ, используемый для

Генерация ключа KASME Ключи для защиты NAS сигнального трафика: KNASint – ключ,
контроля целостности NAS сигнального трафика; вычисляется абонентским терминалом (UE) и MME из KASME.
KNASenc – ключ, используемый для шифрования NAS сигнального трафика; вычисляется абонентским терминалом (UE) и MME из KASME.
Ключи для защиты RRC сигнального трафика:
KRRCint – ключ, используемый для контроля целостности RRC сигнального трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
KRRCenc – ключ, используемый для шифрования RRC сигнального трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
Ключи для защиты пользовательского трафика
KUPint – ключ, используемый для контроля целостности пользовательского трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
KUPenc – ключ, используемый для шифрования пользовательского трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.

Слайд 11

Распределение ключей и параметров по разным узлам LTE

Распределение ключей и параметров по разным узлам LTE

Слайд 12

Процедура аутентифкации

Процедура аутентифкации

Слайд 13

Диаграмма аутентификации и генерации ключа

Диаграмма аутентификации и генерации ключа

Слайд 14

Слои безопасности

Безопасность NAS (Non-Access Stratum - слоя без доступа):
Выполнена для NAS сообщений

Слои безопасности Безопасность NAS (Non-Access Stratum - слоя без доступа): Выполнена для
и принадлежит области UE и MME.
(Non Access Stratum включает в себя протоколы обеспечивающие управление вызовом, управление мобильностью и прочие.)
Безопасность AS (Access Stratum - слоя с доступом):
Выполнена для RRC и плоскости пользовательских данных, принадлежащих области UE и eNB.
(Access Stratum объединяет в себе протоколы радио доступа. Включает в себя протоколы обеспечивающие совместное использование радио ресурсов оборудования пользователя UE и сети доступа. AS обеспечивает взаимодействие между UE и CN, так называемых Radio Access Bearer (RAB) соединений.)

Слайд 16

Процедуры безопасности

Процедуры безопасности

Слайд 17

Алгоритм шифрования сообщений

Исходные параметры в алгоритме :
шифрующий ключ KEY (128 бит),

Алгоритм шифрования сообщений Исходные параметры в алгоритме : шифрующий ключ KEY (128

счетчик пакетов (блоков) COUNT (32 бита),
идентификатор сквозного канала BEARER (5 бит),
указатель направления передачи DIRECTION (1 бит)
длина шифрующего ключа LENGTH.
В соответствии с выбранным алгоритмом шифрации ЕЕА (EPS Encryption Algorithm) вырабатывается шифрующее число KEYSTREAM BLOCK, которое при передаче складывают по модулю два с шифруемым исходным текстом блока PLAINTEXT BLOCK. При дешифрации на приемном конце повторно совершают эту же операцию.

Слайд 18

Типы алгоритмов и размеры ключей в сетях LTE

В качестве алгоритмов шифрования используются

Типы алгоритмов и размеры ключей в сетях LTE В качестве алгоритмов шифрования
следующие:
128-EEA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UEA2, специфицированный для сетей UMTS
128-EEA2 основанный на алгоритме AES
Для проверки целостности данных, спецификации предлагают следующие алгоритмы:
128-EIA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UIA2, специфицированный для сетей UMTS
128-EIA2 основанный на алгоритме AES

Слайд 21

ПРИКАЗ от 25 июня 2018 года N 319. Об утверждении Правил применения

ПРИКАЗ от 25 июня 2018 года N 319. Об утверждении Правил применения
оборудования коммутации сетей подвижной радиотелефонной связи.
Имя файла: Безопасность-в-сетях-LTE.pptx
Количество просмотров: 57
Количество скачиваний: 1