Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5111 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Шифрование сообщений.docx
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
1.06 Mб
Скачать
►Содержание►

1.3 Шифрование в umts

Обеспечение секретности UMTS базируется на механизмах, разработанных для сетей 2G. Основные функции обеспечения секретности:

  • Аутентификация (проверка прав доступа) пользователя

  • Шифрование данных для передачи по радио интерфейсу

  • Временные идентификации

Однако в системе UMTS есть важные изменения, например:

  • Порядковый номер гарантирует, что мобильная станция может идентифицировать сеть, чтобы отражать "атаки фальшивых базовых станций"

  • Более длинный "ключ" обеспечивает более строгие алгоритмы для обеспечения целостности и шифрования

  • Включены механизмы поддержки секретности внутри сети и между сетями

  • Секретность базируется на CN вместо BSS (как в 2G). Поэтому линии защищены от UE до CN

  • Механизмы обеспечения целостности для идентификации терминала (IMEI) были разработаны с самого начала - IMEI был введен в сетях 2G позднее

Работа по обеспечению секретности UMTS ведется в 3GPP и существуют разные подходы к уровню секретности, который следует применять. Одно предложение - шифрование должно защищать практически все интерфейсы (сигнализации и пользовательских данных). Другое предложение - шифровать только важные пользовательские данные (например, ключи шифрования) в процессе роуминга между разными сетями.

Рисунок 6 - Обзор архитектуры обеспечения секретности в 4-й версии

Определено пять функциональных групп обеспечения секретности. Каждая из этих функциональных групп соответствует определенным угрозам и выполняет определенные нормы по безопасности:

Защита доступа к сети (I): средство защиты доступа, обеспечивающее пользователям конфиденциальный доступ к услугам 3G, и которое в частности защищает от вторжений на линии (радио) доступа. Примеры функциональных возможностей группы I:

  • Защита от подслушивания для получения информации о номере IMSI

  • Аутентификация пользователей и сети

  • Конфиденциальность соглашения о шифрах

Защита домена сети (II): средство защиты, позволяющее узлам в домене провайдера конфиденциально обмениваться данными сигнализации, и защищающее от вторжений в сети радиосвязи. Примеры функциональных возможностей группы II:

  • Сбор информации о мошенничестве

  • Защита домена пользователей (III): средство защиты, обеспечивающее безопасный доступ к UE. Примеры функциональных возможностей группы III:

  • Аутентификация пользователь-USIM (например, PIN-код)

Защита домена приложений (IV): средство защиты, позволяющее приложениям в домене пользователя и провайдера конфиденциально обмениваться информацией. Примеры функциональных возможностей группы IV:

  • Конфиденциальный обмен сообщениями между USIM и сетью

Видимость и конфигурирование защиты (V): функциональная возможность, позволяющая пользователю выяснить, функционирует ли средство защиты и будет ли использование и предоставление услуг зависеть от функции обеспечения секретности

Принципы регистрации и организации соединения в пределах сети UMTS с доменом услуг CS и доменом услуг PS эквиваленты GSM/GPRS - (временная) идентификация пользователя, аутентификация и ключевое соглашение - которые имеют место независимо в каждом домене услуг. Трафик плоскости пользователей будет шифроваться с использованием ключа шифрования (CK), принятого для соответствующего домена услуг, тогда как для данных плоскости управления будет выполняться шифрование и защита целостности с помощью ключей шифрования и обеспечения целостности одного любого домена услуг.

В UTRAN может шифроваться информация, передаваемая между UE и RNC. Это выполняется либо на уровне MAC, либо на уровне RLC протоколов. От CN к RAN передается CK, который после аутентификации совместно используется CN и UE. Затем RNC может активизировать шифрование.

В версии R99 шифрование определялось только для сети доступа (UTRAN). В последующих версиях шифрование также предусматривается в CN. Для этого в настоящее время определяется два метода: MAPsec и IPsec. MAPsec, определяемый для версии 4, является протоколом, используемым для шифрования информации плоскости управления (сигнализации), т.е. операции MAP. IPsec, определяемый для версии 5, является протоколом, используемым для шифрования плоскости пользователей, т.е. данных IP. В дополнение к протоколам шифрования необходимы новые сетевые элементы - Центры административного управления ключами (KAC) и шлюзы обеспечения секретности (SEG) - обеспечивающие перенос ключей шифрования между сетями.

Рисунок 7 - Обеспечение секретности между сетями.

Плоскость управления сети UMTS подразделяется на домены секретности, которые обычно совпадают с границами оператора. Граница между доменами секретности защищается SEG. Шлюзы SEG отвечают за осуществление политики секретности в домене по отношению к другим SEG в домене секретности получателя. Сетевой оператор может иметь несколько SEG в сети для целей резервирования или производительности. Обеспечение секретности доменов сети UMTS не распространяется на плоскость пользователей и, следовательно, домены секретности и связанные SEG по отношению к другим доменам не включают Gi-интерфейс плоскости пользователей по направлению к другим сетям IP.

В архитектуре секретности доменов сети UMTS (NDS) управление ключом и распределение ключей между SEG выполняется с помощью обмена ключами в протоколе Интернет (IKE). Основная цель IKE - согласование, выполнение и обслуживание Ассоциаций Секретности (SA) между частями, требующими защищенные соединения. Концепция SA является центральной в IPsec и IKE. SA определяет, какой протокол должен использоваться, режим SA и оконечные точки SA.

В NDS UMTS протокол обеспечения секретности IPsec должен всегда быть инкапсулированной загрузкой обеспечения секретности (ESP), а режим SA всегда должен быть режимом с туннелированием. В NDS дополнительно требуется, чтобы использовалась защита целостности/аутентификация сообщений вместе с защитой anti-replay (защита от копирования информации).

NDS/IP предоставляют следующие услуги обеспечения секретности:

  • Целостность данных

  • Аутентификация источника данных

  • Защита от копирования информации

  • Конфиденциальность (дополнительно)

  • Ограниченная защита от анализа потока трафика в случае применения конфиденциальности

MAPsec обеспечивает секретность для протокола MAP на прикладном уровне. Это выполняется путем добавления заголовка секретности к операциям MAP. MAPsec не зависит от используемых сетевых и транспортных протоколов.

Прежде чем применить защиту, выполняется SA между вовлеченными сетевыми элементами MAP. SA определяет ключи, алгоритмы, профили защиты и т.д., которые должны использоваться для защиты сигнализации MAP. Необходимость в MAPSA между узлами согласовывается соответствующими сетевыми операторами. Согласованная SA будет действовать по всей PLMN и распределяться по всем сетевым элементам, которые обеспечивают секретность прикладного уровня MAP в пределах сети PLMN. Однако автоматическое управление ключами и распределение ключей (для настройки SA) не является частью сети 4-й версии. Поэтому эти операции должны выполняться другими средствами (см. 3GPP TS 33.200 Приложение A).

MAPsec предусматривает три разных режима защиты:

Режим защиты 0: без защиты

Режим защиты 1: целостность, достоверность

Режим защиты 2: конфиденциальность, целостность и достоверность (шифрование)

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности