AN NINH MẠNG THÔNG TIN
•
Trần Tuấn Anh
•
Lê Đức Diện
•
Đặng Đình Bằng
•
Phạm Tất Đạt
•
Trần Trọng Tùng Anh
•
Lê Văn Cường
•
Đỗ Văn Hậu
•
Nguyễn Hữu Tuấn
•
Bùi Thế Thắng
1
An ninh trong mạng 4G LTE/SAE
9.4.1 Tổng quan các thủ tục an ninh khi UE khởi xướng kết nối tới EPS.
9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả thuận khoá)
9.4.3 NAS SMC (lệnh chế độ an ninh NAS)
9.4.4 Tính toán các khoá toàn vẹn và mật mã.
9.4 CÁC THỦ TỤC AN NINH
KHI UE KHỞI XƯỚNG KẾT NỐI ĐẾN EPS
2
9.4.1 Tổng quan các thủ tục an ninh khi
UE khởi xướng kết nối tới EPS
3
9.4.1 Tổng quan các thủ tục an ninh khi
UE khởi xướng kết nối tới EPS
•
Các báo hiệu và thủ tục an ninh để UE thực hiện truy nhập mạng:
Truy nhập mức vô tuyến và kênh điều khiển được thiết lập
Bằng truy nhập ngẫu nhiên, UE truy nhập được vào eNode B
Các bản tin RRC không được bảo vệ an ninh
Bản tin NAS từ UE được cõng trong bản tin RRC
Bản tin NAS có thể hoặc không được bảo vệ an ninh
•
Các báo hiệu và thủ tục an ninh để UE thực hiện nhập mạng:
UE cần đăng ký mạng
Tất cả các chi tiết và UE và vô tuyến được gửi đi
Nhận dạng UE có thể được kiểm tra bởi mạng
Có thể được bảo vệ an ninh
4
9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả
thuận khoá)
•
Tất cả các hoạt động cần thiết để bảo vệ an ninh của người sử dụng được thực hiện trong quá trình AKA, AKA
được sử dụng trong EPS cũng giống như AKA trong 3G UMTS.
5
•
Theo yêu cầu kết nối của người sử dụng, MME yêu cầu thông tin nhận thực từ HSS trên giao diện Gr. HSS trả lời
bằng một tâp từ một đến 5 vecto nhận thực AV (Authentication Vecto)
9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả
thuận khoá)
•
Mỗi AV chứa:
RAND: hô lệnh ngẫu nhiễn, là một trong số các thông số đầu vào để tạo nên bốn phần tử của vecto
XRES - Expected Response (trả lời kỳ vọng): được mạng sử dụng để nhận thực USIM
AUTN - Authentication Token (thẻ nhận thực): được USIM sử dụng để nhận thực mạng
K
ASME
: khoá mức cao nhất để tạo ra các khoá khác
6
Khi UE đăng ký lần đầu để nhập mạng phục vụ, MME trọng mạng phục vụ gửi yêu cầu nhận dạng người sử dụng để nhận
thực USIM
Để trả lời, UE gửi IMSI đến MME. MME phát yêu cầu số liệu nhận thực đến gồm MCC + MNC và kiểu mạng phục vụ.
Nhận được yêu cầu số liệu nhận thực từ MME, HSS có thể đã có các vecto AUC hoặc AUC bắt đầu tính toán theo yêu cầu
và gửi đến HSS
HSS gửi trả lời số liệu nhận thực đến MME chứa một dãy n EPS AV(1…n). nếu n>1, các EPS AV được sắp xếp theo thứ tự
dựa trên số thứ tự dãy.
UE kiểm tra AUTN để nhận thực mạng và tính toán RES, CK và IK rồi gưi trả lời nhận thực cùng với RES đến MME.
MME so sánh RES và XRES để nhận thực UE, nếu giống nhau, thủ tục nhận thực thành công tái lại MME từ chối yêu cầu
tru nhập.
•
Chi tiết thủ tục của giao thức EPS AKA như sau:
9.4.2 Thủ tục AKA (Authentication and Key Agreement: nhận thực và thoả
thuận khoá)
7
9.4.3 NAS SMC (lệnh chế độ an ninh NAS)
•
Sau AKA, MME nhận được K
ASME
là khoá mức cao nhất của phân cấp trong mạng. NAS SMC đàm phán các giải
thuật toàn vẹn và mật mã bằng cho NAS.
8
9.4.3 NAS SMC (lệnh chế độ an ninh NAS)
•
AS SMC (Access Stratum Security Mode Command) lệnh chế độ an ninh tầng không truy nhập lựa chon giải thuật
toàn vẹn và tính toán các khoá cho AS
9
9.4.4 Tính toán các khoá toàn vẹn và mật mã
•
EPS AKA đảm bảo nhận thực, bảo mật và toàn vẹn cho mạng LTE
10
9.4.4 Tính toán các khoá toàn vẹn và mật mã
•
Tính toán các luồn khoá cho mật mã hoá và các mã nhận thực (MAC) bảo vệ toàn vẹn được cho trên hình
11
12
9.5 THỦ TỤC AN NINH
MẠNG TRUY NHẬP KHÔNG PHẢI 3GPP
•
Khi đầu cuối định truy nhập mạng với truy nhập không phải 3GPP, không thể sử dụng quá trình AKA ở trên. Trong
trường hợp này đầu cuối (sử dụng USIM) sẽ nhận thực mạng thông qua AAA server sử dụng các giao thức không được
hỗ trợ bởi MME.
9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP
13
•
Sau yêu cầu từ điểm truy nhập WLAN, đầu cuối gửi đi số nhận dạng của nó ở dạng NAI(Network Addres Identifier: Số
nhận dạng địa chỉ mạng).
9.5 Thủ tục an ninh truy nhập mạng không phải 3GPP
14
15
CHÂN THÀNH CẢM ƠN!