Безопасность в сетях LTE

Содержание

Слайд 2

Безопасность сети LTE

I - Безопасность сети доступа
II - Безопасность сетевого домена
III –

Безопасность сети LTE I - Безопасность сети доступа II - Безопасность сетевого
Безопасность пользовательского домена
IV- Безопасность домена приложений
V – Управление и конфигурирование безопасности

Слайд 3

Принципы безопасности в сетях LTE

Взаимная аутентификация абонентов в сети
Шифрование сообщений в радиоканале
Защита

Принципы безопасности в сетях LTE Взаимная аутентификация абонентов в сети Шифрование сообщений
целостности передаваемых сообщений
Защита аутентификационных данных абонентов

M-TMSI, S-RNTI, C-RNTI

АКА – процедура аутентификации и соглашения о ключах и выработка ключа Kasme

Протокол безопасности ESP инкапсулирующий IPsec

Слайд 4

Особенности

иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются различные

Особенности иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются
ключи;
разделение механизмов безопасности для слоя без доступа (NAS), на котором осуществляется поддержка связи между узлом ядра сети и мобильным терминалом (UE), и механизмов безопасности для слоя с доступом (AS), обеспечивающего взаимодействие между оконечным сетевым оборудованием (включая набор базовых станций NodeB(eNB)) и мобильными терминалами;
концепция превентивной безопасности, которая способна снизить масштабы урона, наносимого при компрометации ключей;
добавление механизмов безопасности для обмена данными между сетями 3G и LTE.

Слайд 5

Алгоритм AKA

I. Запрос на аутентификацию.
II. а) генерация вектора аутентификации; б)генерация ключа KASME

Алгоритм AKA I. Запрос на аутентификацию. II. а) генерация вектора аутентификации; б)генерация
.
III. Завершение процедуры аутентификации.

I.

Слайд 6

II. а) Алгоритм создания вектора аутентификации

На стороне сети
(HSS)

На абонентском устройстве

II. а) Алгоритм создания вектора аутентификации На стороне сети (HSS) На абонентском устройстве (USIM)
(USIM)

Слайд 7

Параметры различных элементов

ключ K – 128 бит;
случайное число RAND – 128

Параметры различных элементов ключ K – 128 бит; случайное число RAND –
бит;
номер последовательности SQN – 48 бит;
анонимный ключ AK (anonymity key) – 48 бит;
поле управления аутентификацией AMF (authentication management field) – 16 бит;
код сообщения аутентификации MAC (message authentication code) – 64 бит;
ключ шифрования CK (cipher key) – 128 бит;
ключ контроля целостности IK (integrity key) – 128 бит;
маркер аутентификации AUTN (authentication token – 128 бит;
ключ управления защитой доступа KASME (access security management entity) – 256 бит;
отклик аутентификации RES (authentication response) – 416 октетов.

Слайд 8

II. б) Второй этап генерации вектора аутентификации

AMF = 0, то это сеть

II. б) Второй этап генерации вектора аутентификации AMF = 0, то это
GERAN/UMTS
Вектор аутентификации состоит из чисел RAND, XRES, ключей CK, IK и числа AUTN представляющего собой запись в строку трех параметров: SQN Å AK, AMF и МАС.

AMF = 0, то это сеть
E-UTRAN

Ключи CK и IK в открытом виде в ядро сети не передают.
HSS генерирует KASME с помощью алгоритма KDF (Key Derivation Function), для которого исходными параметрами являются CK и IK, а также идентификатор обслуживающей сети и SQN ÅAK.
Вектор аутентификации содержит RAND, XRES, AUTN и KASME, на основе которого происходит генерация ключей шифрации и целостности.

Слайд 9

III. Завершение процедуры аутентификации

KASME - Key Access Security Management Entries

III. Завершение процедуры аутентификации KASME - Key Access Security Management Entries

Слайд 10

Генерация ключа KASME

Ключи для защиты NAS сигнального трафика:
KNASint – ключ, используемый для

Генерация ключа KASME Ключи для защиты NAS сигнального трафика: KNASint – ключ,
контроля целостности NAS сигнального трафика; вычисляется абонентским терминалом (UE) и MME из KASME.
KNASenc – ключ, используемый для шифрования NAS сигнального трафика; вычисляется абонентским терминалом (UE) и MME из KASME.
Ключи для защиты RRC сигнального трафика:
KRRCint – ключ, используемый для контроля целостности RRC сигнального трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
KRRCenc – ключ, используемый для шифрования RRC сигнального трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
Ключи для защиты пользовательского трафика
KUPint – ключ, используемый для контроля целостности пользовательского трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.
KUPenc – ключ, используемый для шифрования пользовательского трафика; вычисляется абонентским терминалом (UE) и базовой станцией (eNodeB) из KeNB.

Слайд 11

Распределение ключей и параметров по разным узлам LTE

Распределение ключей и параметров по разным узлам LTE

Слайд 12

Процедура аутентифкации

Процедура аутентифкации

Слайд 13

Диаграмма аутентификации и генерации ключа

Диаграмма аутентификации и генерации ключа

Слайд 14

Слои безопасности

Безопасность NAS (Non-Access Stratum - слоя без доступа):
Выполнена для NAS сообщений

Слои безопасности Безопасность NAS (Non-Access Stratum - слоя без доступа): Выполнена для
и принадлежит области UE и MME.
(Non Access Stratum включает в себя протоколы обеспечивающие управление вызовом, управление мобильностью и прочие.)
Безопасность AS (Access Stratum - слоя с доступом):
Выполнена для RRC и плоскости пользовательских данных, принадлежащих области UE и eNB.
(Access Stratum объединяет в себе протоколы радио доступа. Включает в себя протоколы обеспечивающие совместное использование радио ресурсов оборудования пользователя UE и сети доступа. AS обеспечивает взаимодействие между UE и CN, так называемых Radio Access Bearer (RAB) соединений.)

Слайд 16

Процедуры безопасности

Процедуры безопасности

Слайд 17

Алгоритм шифрования сообщений

Исходные параметры в алгоритме :
шифрующий ключ KEY (128 бит),

Алгоритм шифрования сообщений Исходные параметры в алгоритме : шифрующий ключ KEY (128

счетчик пакетов (блоков) COUNT (32 бита),
идентификатор сквозного канала BEARER (5 бит),
указатель направления передачи DIRECTION (1 бит)
длина шифрующего ключа LENGTH.
В соответствии с выбранным алгоритмом шифрации ЕЕА (EPS Encryption Algorithm) вырабатывается шифрующее число KEYSTREAM BLOCK, которое при передаче складывают по модулю два с шифруемым исходным текстом блока PLAINTEXT BLOCK. При дешифрации на приемном конце повторно совершают эту же операцию.

Слайд 18

Типы алгоритмов и размеры ключей в сетях LTE

В качестве алгоритмов шифрования используются

Типы алгоритмов и размеры ключей в сетях LTE В качестве алгоритмов шифрования
следующие:
128-EEA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UEA2, специфицированный для сетей UMTS
128-EEA2 основанный на алгоритме AES
Для проверки целостности данных, спецификации предлагают следующие алгоритмы:
128-EIA1 основанный на алгоритме Snow 3G. В точности повторяет алгоритм UIA2, специфицированный для сетей UMTS
128-EIA2 основанный на алгоритме AES

Слайд 21

ПРИКАЗ от 25 июня 2018 года N 319. Об утверждении Правил применения

ПРИКАЗ от 25 июня 2018 года N 319. Об утверждении Правил применения
оборудования коммутации сетей подвижной радиотелефонной связи.
Имя файла: Безопасность-в-сетях-LTE.pptx
Количество просмотров: 113
Количество скачиваний: 1
- Предыдущая
Республика Таджикистан
Следующая -
Ма221 ПР8 Программный принцип работы компьютера

Похожие презентации

Система управления базами данных Access
Sem1_10_chars_strings
2_Prakticheskaya_rabota
Время в дисплее
You have received an email message
Операторы организации циклов. Простой и составной операторы. Лекция 6
Типы участия в группе
Создание Web - документов
Файлы и файловые структуры
Продуктовый магазин. Правила проверки. Логин, пароль, аутентификация
Рекламная подписка
Пользовательский интерфейс
Trends. Why is Rob Jones trying to meet all 700 of his Facebook friends?
Формы записи алгоритмов. Типы алгоритмов. Линейные алгоритмы. 6 класс
Защита компьютерной информации
Прошагай город. Маршрутная карта
Рекурсия в С++
Режимы и способы обработки данных
Контент (7-8 класс)
Анализ ui/ux дизайна сайтов
Программируемые контроллеры Omron. Распределение памяти
Рекурсия. Картинка
Азы пользования компьютером для пенсионеров
Изучение системы технических средств защиты информации
Creating Internet applications. HTML Technology
Ethernet операторского класса
Разработка сайта для сервисной компании ООО Юрубчен-5
Платформа MODX (10)
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть