An ninh trong mạng 4g LTESAE

Trang 1

AN NINH MẠNG THÔNG TIN

• Trần Tuấn Anh

• Lê Đức Diện

• Đặng Đình Bằng

• Phạm Tất Đạt

• Trần Trọng Tùng Anh

• Lê Văn Cường

• Đỗ Văn Hậu

• Nguyễn Hữu Tuấn

• Bùi Thế Thắng

An ninh trong mạng 4G LTE/SAE

Trang 2

9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng kết nối tới EPS.

9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá)

9.4.3 NAS SMC (lệnh chế độ an ninh NAS)

9.4.4 Tính toán các khoá toàn vẹn và mật mã.

9.4 CÁC THỦ TỤC AN NINH KHI UE KHỞI XƯỚNG KẾT NỐI ĐẾN EPS

2

Trang 3

9.4.1 Tổng quan các thủ tục an ninh khi

UE khởi xướng kết nối tới EPS

Trang 4

9.4.1 Tổng quan các thủ tục an ninh khi

UE khởi xướng kết nối tới EPS

• Các báo hiệu và thủ tục an ninh để UE thực hiện truy nhập mạng:

 Truy nhập mức vô tuyến và kênh điều khiển được thiết lập

 Bằng truy nhập ngẫu nhiên, UE truy nhập được vào eNode B

 Các bản tin RRC không được bảo vệ an ninh

 Bản tin NAS từ UE được cõng trong bản tin RRC

 Bản tin NAS có thể hoặc không được bảo vệ an ninh

• Các báo hiệu và thủ tục an ninh để UE thực hiện nhập mạng:

 UE cần đăng ký mạng

 Tất cả các chi tiết và UE và vô tuyến được gửi đi

 Nhận dạng UE có thể được kiểm tra bởi mạng

 Có thể được bảo vệ an ninh

4

Trang 5

• Tất cả các hoạt động cần thiết để bảo vệ an ninh của người sử dụng được thực hiện trong quá trình AKA, AKA được sử dụng trong EPS cũng giống như AKA trong 3G UMTS

Trang 6

• Theo yêu cầu kết nối của người sử dụng, MME yêu cầu thông tin nhận thực từ HSS trên giao diện Gr HSS trả lời bằng một tâp từ một đến 5 vecto nhận thực AV (Authentication Vecto)

•Mỗi AV chứa:

 RAND: hô lệnh ngẫu nhiễn, là một trong số các thông số đầu vào để tạo nên bốn phần tử của vecto

 XRES - Expected Response (trả lời kỳ vọng): được mạng sử dụng để nhận thực USIM

 AUTN - Authentication Token (thẻ nhận thực): được USIM sử dụng để nhận thực mạng

 K ASME : khoá mức cao nhất để tạo ra các khoá khác

6

Trang 7

Khi UE đăng ký lần đầu để nhập mạng phục vụ, MME trọng mạng phục vụ gửi yêu cầu nhận dạng người sử dụng để nhận thực USIM

 Để trả lời, UE gửi IMSI đến MME MME phát yêu cầu số liệu nhận thực đến gồm MCC + MNC và kiểu mạng phục vụ

 Nhận được yêu cầu số liệu nhận thực từ MME, HSS có thể đã có các vecto AUC hoặc AUC bắt đầu tính toán theo yêu cầu

và gửi đến HSS

 HSS gửi trả lời số liệu nhận thực đến MME chứa một dãy n EPS AV(1…n) nếu n>1, các EPS AV được sắp xếp theo thứ tự dựa trên số thứ tự dãy

 UE kiểm tra AUTN để nhận thực mạng và tính toán RES, CK và IK rồi gưi trả lời nhận thực cùng với RES đến MME

 MME so sánh RES và XRES để nhận thực UE, nếu giống nhau, thủ tục nhận thực thành công tái lại MME từ chối yêu cầu tru nhập

•Chi tiết thủ tục của giao thức EPS AKA như sau:

Trang 8

• Sau AKA, MME nhận được KASME là khoá mức cao nhất của phân cấp trong mạng NAS SMC đàm phán các giải

thuật toàn vẹn và mật mã bằng cho NAS

8

Trang 9

• AS SMC (Access Stratum Security Mode Command) lệnh chế độ an ninh tầng không truy nhập lựa chon giải thuật toàn vẹn và tính toán các khoá cho AS

Trang 10

9.4.4 Tính toán các khoá toàn vẹn và mật mã

• EPS AKA đảm bảo nhận thực, bảo mật và toàn vẹn cho mạng LTE

10

Trang 11

9.4.4 Tính toán các khoá toàn vẹn và mật mã

• Tính toán các luồn khoá cho mật mã hoá và các mã nhận thực (MAC) bảo vệ toàn vẹn được cho trên hình

Trang 12

9.5 THỦ TỤC AN NINH MẠNG TRUY NHẬP KHÔNG PHẢI 3GPP

Trang 13

• Khi đầu cuối định truy nhập mạng với truy nhập không phải 3GPP, không thể sử dụng quá trình AKA ở trên Trong trường hợp này đầu cuối (sử dụng USIM) sẽ nhận thực mạng thông qua AAA server sử dụng các giao thức không được

hỗ trợ bởi MME.

9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP

Trang 14

• Sau yêu cầu từ điểm truy nhập WLAN, đầu cuối gửi đi số nhận dạng của nó ở dạng NAI(Network Addres Identifier: Số nhận dạng địa chỉ mạng).

9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP

14

Trang 15

CHÂN THÀNH CẢM ƠN!

Định dạng
Số trang	15
Dung lượng	887,11 KB