問題已開啟 (普通問題)
KASME是什么
提問者: yy0326  提問時間: 2014-06-17    
 
  我要回答:
 

  請先 登錄注冊 再回答問題

更多 SME ASM KAS Kasme 相關(guān)問題
問題答案 ( 1 )

是加密算法的一部分:43289西7087K:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
http://labs.chinamobile.com/mblog/165_11831

3GPP長期演進(LTE)安全技術(shù)介紹

_@s4fads13K:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
標(biāo)簽: 移動通信安全 #(*)#$@&%K:JFD()$#本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
2009-01-30 11:51是4343K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
$#(*$#蔏:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
1.       引言$#(*$#什21fK:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
做過一段時間的LTE的安全研究,這里簡單介紹了3GPP長期演進(LTE)研究工作的開展背景和網(wǎng)絡(luò)架構(gòu),重點介紹了LTE/SAE的安全架構(gòu)、密鑰架構(gòu)、安全機制等。希望能對大家研究LTE的安全有所幫助。vmmvckjlureK:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
隨著移動通信的普及,移動通信中的安全問題正受到越來越多的關(guān)注,人們對移動通信中的信息安全也提出了更高的要求。在2G(以GSM網(wǎng)絡(luò)為例)中,用戶卡和網(wǎng)絡(luò)側(cè)配合完成鑒權(quán)來防止未經(jīng)授權(quán)的接入,從而保護運營商和合法用戶雙方的權(quán)益。但GSM網(wǎng)絡(luò)在身份認證及加密算法等方面存在著許多安全隱患:首先,由于其使用的COMP128-1算法的安全缺陷,用戶SIM卡和鑒權(quán)中心(AuC)間共享的安全密鑰可在很短的時間內(nèi)被破譯,從而導(dǎo)致對可物理接觸到的SIM卡進行克;GSM網(wǎng)絡(luò)沒有考慮數(shù)據(jù)完整性保護的問題,難以發(fā)現(xiàn)數(shù)據(jù)在傳輸過程被篡改等問題。
第三代移動通信系統(tǒng)(3G)在2G的基礎(chǔ)上進行了改進,繼承了2G系統(tǒng)安全的優(yōu)點,同時針對3G系統(tǒng)的新特性,定義了更加完善的安全特征與安全服務(wù)。R99側(cè)重接入網(wǎng)安全,定義了UMTS的安全架構(gòu),采用基于Milenage算法的AKA鑒權(quán),實現(xiàn)了終端和網(wǎng)絡(luò)間的雙向認證,定義了強制的完整性保護和可選的加密保護,提供了更好的安全性保護;R4增加了基于IP的信令的保護;R5增加了IMS的安全機制;R6增加了通用鑒權(quán)架構(gòu)GAAGeneric Authentication Architecture)和MBMSMultimedia Broadcast Multicast Service)安全機制。
3G技術(shù)的出現(xiàn)推動了移動通信網(wǎng)數(shù)據(jù)類業(yè)務(wù)的發(fā)展,在更大程度上滿足了個人通信和娛樂的需求,正在被廣泛推廣和應(yīng)用。為了進一步發(fā)展3G技術(shù),3GPP2004年將LTELong Time Evolution)作為3G系統(tǒng)的長期演進,并于2006年開始標(biāo)準(zhǔn)制定工作。在開展LTE研究項目的同時,啟動了SAESystem Architecture Evolution)的研究項目。LTE/SAE的安全功能也不斷得到完善、擴展和加強,本文對LTE/SAE的安全技術(shù)進行了簡要介紹。ds13禟:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 *(&#*K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
2.       LTE/SAE的網(wǎng)絡(luò)架構(gòu)
LTEUMTS網(wǎng)絡(luò)相比,LTE/SAE的接入網(wǎng)減少了節(jié)點數(shù)量,接入網(wǎng)中只有一個節(jié)點eNBEvolved Node B),該eNB可以位于不完全可信的區(qū)域。eNB之間通過X2接口連接,eNB和核心網(wǎng)設(shè)備MME/S-GWMobility Management Entity/Serving-Gateway)通過S1接口連接。LTE接入網(wǎng)架構(gòu)如下圖所示:@s4fads13東K:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
v545%#(么$*K:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有

1 接入網(wǎng)架構(gòu)*@#(_K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
相比UMTS核心網(wǎng),SAE核心網(wǎng)有較大變動,MME將取代SGSN完成認證等安全功能,同時MME需要完成NAS信令的安全保護。SAE核心網(wǎng)架構(gòu)如下圖所示:afd5aK:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 )#$@&%#*(我)K:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
*(我)$#@3K:JFD()$#本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
瞗12dsfds1fK:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
2 核心網(wǎng)架構(gòu)$#(*)#$@&%K:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 
3.       LTE/SAE的安全架構(gòu)3dsaf12zcv54K:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
LTE/SAE網(wǎng)絡(luò)的安全架構(gòu)和UMTS的安全架構(gòu)基本相同,如下圖所示:(哦*&K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
s1fd知1fkjK:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
*(&#*K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
3 安全架構(gòu)纇$#$K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
LTE/SAE網(wǎng)絡(luò)的安全也分為5個域:不21fds3K:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
1)       網(wǎng)絡(luò)接入安全(I)
2)       網(wǎng)絡(luò)域安全(II)
3)       用戶域安全 (III)fd3s1fd知1fkK:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
4)       應(yīng)用域安全 (IV)0874*$#(*)#$K:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
5)       安全服務(wù)的可視性和可配置性(V
LTE/SAE的安全架構(gòu)和UMTS的網(wǎng)絡(luò)安全架構(gòu)相比,有如下區(qū)別:13東oitre432K:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
1)       MESN之間增加了雙向箭頭表明MESN之間也存在非接入層安全。
2)       ANSN之間增加雙向箭頭表明ANSN之間的通信需要進行安全保護。
3)       增加了服務(wù)網(wǎng)認證的概念,因此HESN之間的箭頭由單向箭頭改為雙向箭頭。
45%#(么$*@#K:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
4.       LTE/SAE的安全層次mmvckjlK:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有

fads1K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
4 安全層次(*$#什21K:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
LTE/SAE中,由于eNB處于一個不完全信任區(qū)域,因此LTE/SAE的安全包括兩個層次:接入層(AS)和非接入層(NAS)的安全:也f12dsfds1fK:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
1)     接入層(AS)安全:UEeNB之間的安全,主要執(zhí)行AS信令的加密和完整性保護,用戶面UP的加密性保護。*($(哦K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
2)     非接入層(NAS)安全:UEMME之間的安全,主要執(zhí)行NAS信令的加密和完整性保護。(么$*@K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 89西70874*$#K:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
5.       LTE/SAE的密鑰架構(gòu)
LTE/SAE的密鑰層次架構(gòu)如下圖所示,由K派生出較多層次的密鑰,分別實現(xiàn)各層的保密性和完整性保護,提高了通信中的安全性。
4fads13東K:JFD()$#本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
($(哦*&#%kK:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
mmvckjlurewiK:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
5 密鑰架構(gòu)
LTE/SAE網(wǎng)絡(luò)的密鑰層次架構(gòu)中包含如下密鑰:
1)       UEHSS間共享的密鑰:
l         K:存儲在USIM和認證中心AuC的永久密鑰。f12dsfds1fK:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         CK/IKAuCUSIMAKA認證過程中生成的密鑰對。與UMTS相比,CK/IK不應(yīng)離開HSS。f8e34K:JFD本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
2)       MEASME共享的中間密鑰:K:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KASMEUEHSS根據(jù)CK/IK推演得到的密鑰,用于推演下層密鑰。f12zcv5K:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
3)       UEeNBMME的共享密鑰:*@#(_@s4fK:JFD()$#本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KNASintUEMME根據(jù)KASME推演得到的密鑰,用于保護UEMMENAS流量的完整性。a21fd3s1K:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KNASencUEMME根據(jù)KASME推演得到的密鑰,用于保護UEMMENAS流量的保密性。0874*$#K:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KeNBUEMME根據(jù)KASME推演得到的密鑰。KeNB用于推導(dǎo)AS層密鑰。什21f3K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KUPencUEeNB根據(jù)KeNB和加密算法的標(biāo)識符推演得到,用于保護UEeNBUP的保密性。
l         KRRCintUEeNB根據(jù)KeNB和完整性算法的標(biāo)識符推演得到,用于保護UEeNBRCC的完整性。e43289西70K:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
l         KRRCencUEeNB根據(jù)KeNB和加密算法的標(biāo)識符推演得到,用于保護UEeNBRCC的保密性。ads不2K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 2是4343K:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
6.       LTE/SAE的安全鑒權(quán)(AKA)機制
LTE/SAEAKA鑒權(quán)過程和UMTS中的AKA鑒權(quán)過程基本相同,采用Milenage算法,繼承了UMTS中五元組鑒權(quán)機制的優(yōu)點,實現(xiàn)了UE和網(wǎng)絡(luò)側(cè)的雙向鑒權(quán)。2zcv545%K:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
UMTS相比,SAEAVAuthentication Vector)與UMTSAV不同,UMTS AV包含CK/IK,而SAE AV僅包含KasmeHSSUE根據(jù)CK/IK推演得到的密鑰,參見下文)。LTE/SAE使用AV中的AMF來標(biāo)識此AVSAE AV還是UMTS AV,UE利用該標(biāo)識來判斷認證挑戰(zhàn)是否符合其接入網(wǎng)絡(luò)類型,網(wǎng)絡(luò)側(cè)也可以利用該標(biāo)識隔離SAE AVUMTS AV,防止獲得UMTS AV的攻擊者假冒SAE網(wǎng)絡(luò)。
LTE/SAE中還定義了UEeNBMME之間切換間的安全機制、EUTRANUTRAN、GERAN、non-3GPP間的切換等安全機制。289西708K:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
 ?&#%kcvmmvK:JFD()$#_*本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
7.       網(wǎng)絡(luò)域安全
LTE/SAE中將網(wǎng)絡(luò)劃分不同的安全域,使用NDS/IP的方式(IKEIPsec)保護網(wǎng)絡(luò)域的安全,如下圖所示:
?1f3dsafK:JFD()$#本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有

6 NDS/IP的安全架構(gòu)圖tre4328K:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
將可以將上圖轉(zhuǎn)換為LTE/SAE實體,若MME/S-GWeNB位于不同的安全域時(如MME/S-GWeNB通過Internet相連),則圖中NE A-1可看成MME/S-GWNE B-1可看成eNB。安全網(wǎng)關(guān)可集成在NE中,也可能是一個獨立的設(shè)備。若SEGNE之間連接是可信的(如MME/S-GWSEG之間的連接位于同一個大樓內(nèi)),那么在它們之間不需要附加其他的安全措施(物理措施除外)。若MME/S-GWeNB位于相同的安全域內(nèi),則MME/S-GWeNB可能分別對應(yīng)NE A-1NE A-2,在他們之間使用可選的Zb接口進行安全保護。jlurewioK:JFD()$#_本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
若多個節(jié)點部署在同一個信任環(huán)境中,那么應(yīng)該將安全集中在一個獨立的設(shè)備(即信任域邊界的SEG)上。在一般的場景下,終結(jié)Za(即SEG功能)或Zb口的IPsec功能應(yīng)該集成在eNB中,也可以使用SEG匯聚多個eNB的流量。NDS/IP可以采用基于預(yù)共享密鑰和證書等的方式來提供密鑰管理。
 1fd3s1fdK:JFD()$本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
8.       結(jié)束語
本文詳細介紹了3GPP LTE/SAE結(jié)構(gòu)和安全技術(shù),3GPP LTE/SAE R7的安全工作即將完成,其機構(gòu)和安全機制也將不斷得到完善、擴展和加強,為移動通信和業(yè)務(wù)開展提供更為安全的網(wǎng)絡(luò)環(huán)境。
作者:彭華熹,中國移動通訊有限公司研究院終端所研究員,專注于移動通信網(wǎng)絡(luò)、數(shù)據(jù)業(yè)務(wù)、信息安全、智能卡等領(lǐng)域的研究和產(chǎn)品開發(fā)。希望與大家一起探討!emailhuaxipeng@gmail.com

s1fadsK:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有

權(quán)限:公開   來自:labs 聲明: 本文僅代表作者個人觀點。其原創(chuàng)性及文中表達的意見、判斷、數(shù)據(jù)、觀點和陳述文字等內(nèi)容均與中國移動研究院無關(guān)。移動Labs博客致力于為ICT領(lǐng)域的研 究者及從業(yè)者提供技術(shù)和業(yè)務(wù)交流的網(wǎng)絡(luò)平臺,對本文中全部或部分內(nèi)容的真實性、完整性不作任何保證或承諾,僅供讀者參考交流。 s也f12dK:JFD()本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有


poej道K:JFD(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有
1fd3s1fd知1fK:JFD()$#_*(本文來自移動通信網(wǎng)gg1fic3.cn,版權(quán)所有

回答者: OscarDon     回答時間:2014-06-17 11:31    

39        43        

中國通信人才網(wǎng) | 江蘇通信人才網(wǎng) | 山東通信人才網(wǎng) | 武漢通信人才網(wǎng) | 浙江通信人才網(wǎng) | 湖南通信人才網(wǎng)
重慶信科通信工程有限公司 聘:GSC數(shù)通工程師
需求人數(shù):10 人 地點:西安市
北京宜通華瑞科技有限公司 聘:專項優(yōu)化中高級(江西急聘)
需求人數(shù):5 人 地點:上饒市,景德鎮(zhèn)市,南昌市,鷹潭市
南京格安信息系統(tǒng)有限責(zé)任公司 聘:RF中高級優(yōu)化工程師
需求人數(shù):2 人 地點:北京市
怡利科技發(fā)展有限公司 聘:網(wǎng)優(yōu)工程師(初級)
需求人數(shù):5 人 地點:貴州省
杭州東信網(wǎng)絡(luò)技術(shù)有限公司 聘:廊坊-滄州-高/中/網(wǎng)優(yōu)工程師
需求人數(shù):5 人 地點:滄州市
上海德專信息技術(shù)有限公司 聘:內(nèi)蒙古通遼初中級后臺
需求人數(shù):2 人 地點:通遼市
北京電旗通訊技術(shù)股份有限公司 聘:網(wǎng)優(yōu)實習(xí)生通信應(yīng)屆生(云南)
需求人數(shù):1 人 地點:昆明市,思茅市,昭通市
西安長河通訊有限責(zé)任公司 聘:網(wǎng)絡(luò)優(yōu)化工程師
需求人數(shù):4 人 地點:渭南市,商洛市,漢中市,安康市
南京華蘇科技有限公司 聘:高鐵高速地鐵優(yōu)化工程師
需求人數(shù):1 人 地點:廈門市
杭州華星博鴻通信技術(shù)有限公司 聘:優(yōu)化規(guī)劃工程師(后臺-安徽)
需求人數(shù):5 人 地點:馬鞍山市
熱點問題
更多精彩

聯(lián)系我們 - 問通信專家 Powered by MSCBSC 移動通信網(wǎng)  © 2006 -