Đang tải... (xem toàn văn)
An ninh trong mạng 4g LTESAE
AN NINH MẠNG THÔNG TIN • Trần Tuấn Anh • Lê Đức Diện • Đặng Đình Bằng • Phạm Tất Đạt • Trần Trọng Tùng Anh • Lê Văn Cường • Đỗ Văn Hậu • Nguyễn Hữu Tuấn • Bùi Thế Thắng 1 An ninh trong mạng 4G LTE/SAE 9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng kết nối tới EPS. 9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá) 9.4.3 NAS SMC (lệnh chế độ an ninh NAS) 9.4.4 Tính toán các khoá toàn vẹn và mật mã. 9.4 CÁC THỦ TỤC AN NINH KHI UE KHỞI XƯỚNG KẾT NỐI ĐẾN EPS 2 9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng kết nối tới EPS 3 9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng kết nối tới EPS • Các báo hiệu và thủ tục an ninh để UE thực hiện truy nhập mạng: Truy nhập mức vô tuyến và kênh điều khiển được thiết lập Bằng truy nhập ngẫu nhiên, UE truy nhập được vào eNode B Các bản tin RRC không được bảo vệ an ninh Bản tin NAS từ UE được cõng trong bản tin RRC Bản tin NAS có thể hoặc không được bảo vệ an ninh • Các báo hiệu và thủ tục an ninh để UE thực hiện nhập mạng: UE cần đăng ký mạng Tất cả các chi tiết và UE và vô tuyến được gửi đi Nhận dạng UE có thể được kiểm tra bởi mạng Có thể được bảo vệ an ninh 4 9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá) • Tất cả các hoạt động cần thiết để bảo vệ an ninh của người sử dụng được thực hiện trong quá trình AKA, AKA được sử dụng trong EPS cũng giống như AKA trong 3G UMTS. 5 • Theo yêu cầu kết nối của người sử dụng, MME yêu cầu thông tin nhận thực từ HSS trên giao diện Gr. HSS trả lời bằng một tâp từ một đến 5 vecto nhận thực AV (Authentication Vecto) 9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá) • Mỗi AV chứa: RAND: hô lệnh ngẫu nhiễn, là một trong số các thông số đầu vào để tạo nên bốn phần tử của vecto XRES - Expected Response (trả lời kỳ vọng): được mạng sử dụng để nhận thực USIM AUTN - Authentication Token (thẻ nhận thực): được USIM sử dụng để nhận thực mạng K ASME : khoá mức cao nhất để tạo ra các khoá khác 6 Khi UE đăng ký lần đầu để nhập mạng phục vụ, MME trọng mạng phục vụ gửi yêu cầu nhận dạng người sử dụng để nhận thực USIM Để trả lời, UE gửi IMSI đến MME. MME phát yêu cầu số liệu nhận thực đến gồm MCC + MNC và kiểu mạng phục vụ. Nhận được yêu cầu số liệu nhận thực từ MME, HSS có thể đã có các vecto AUC hoặc AUC bắt đầu tính toán theo yêu cầu và gửi đến HSS HSS gửi trả lời số liệu nhận thực đến MME chứa một dãy n EPS AV(1…n). nếu n>1, các EPS AV được sắp xếp theo thứ tự dựa trên số thứ tự dãy. UE kiểm tra AUTN để nhận thực mạng và tính toán RES, CK và IK rồi gưi trả lời nhận thực cùng với RES đến MME. MME so sánh RES và XRES để nhận thực UE, nếu giống nhau, thủ tục nhận thực thành công tái lại MME từ chối yêu cầu tru nhập. • Chi tiết thủ tục của giao thức EPS AKA như sau: 9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá) 7 9.4.3 NAS SMC (lệnh chế độ an ninh NAS) • Sau AKA, MME nhận được K ASME là khoá mức cao nhất của phân cấp trong mạng. NAS SMC đàm phán các giải thuật toàn vẹn và mật mã bằng cho NAS. 8 9.4.3 NAS SMC (lệnh chế độ an ninh NAS) • AS SMC (Access Stratum Security Mode Command) lệnh chế độ an ninh tầng không truy nhập lựa chon giải thuật toàn vẹn và tính toán các khoá cho AS 9 9.4.4 Tính toán các khoá toàn vẹn và mật mã • EPS AKA đảm bảo nhận thực, bảo mật và toàn vẹn cho mạng LTE 10 [...]... hình 11 9.5 THỦ TỤC AN NINH MẠNG TRUY NHẬP KHÔNG PHẢI 3GPP 12 9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP • Khi đầu cuối định truy nhập mạng với truy nhập không phải 3GPP, không thể sử dụng quá trình AKA ở trên Trong trường hợp này đầu cuối (sử dụng USIM) sẽ nhận thực mạng thông qua AAA server sử dụng các giao thức không được hỗ trợ bởi MME 13 9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP... qua AAA server sử dụng các giao thức không được hỗ trợ bởi MME 13 9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP • Sau yêu cầu từ điểm truy nhập WLAN, đầu cuối gửi đi số nhận dạng của nó ở dạng NAI(Network Addres Identifier: Số nhận dạng địa chỉ mạng) 14 CHÂN THÀNH CẢM ƠN! 15 . AN NINH MẠNG THÔNG TIN • Trần Tuấn Anh • Lê Đức Diện • Đặng Đình Bằng • Phạm Tất Đạt • Trần Trọng Tùng Anh • Lê Văn Cường • Đỗ Văn Hậu • Nguyễn Hữu Tuấn • Bùi Thế Thắng 1 An ninh trong mạng. an ninh Bản tin NAS từ UE được cõng trong bản tin RRC Bản tin NAS có thể hoặc không được bảo vệ an ninh • Các báo hiệu và thủ tục an ninh để UE thực hiện nhập mạng: UE cần đăng ký mạng . NAS SMC (lệnh chế độ an ninh NAS) 9.4.4 Tính toán các khoá toàn vẹn và mật mã. 9.4 CÁC THỦ TỤC AN NINH KHI UE KHỞI XƯỚNG KẾT NỐI ĐẾN EPS 2 9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng