已超时关闭问题 (普通问题)
KASME是什么
提问者: yy0326  提问时间: 2014-06-17    
 

更多 ASM SME KAS Kasme 相关问题
问题答案 ( 1 )

是加密算法的一部分:&%#*(我)$#@3K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
http://labs.chinamobile.com/mblog/165_11831#$@&%K:JFD本文来自移动通信网www.mscbsc.com,版权所有

3GPP长期演进(LTE)安全技术介绍

_@s4fads13禟:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
标签: 移动通信安全 7087K:JFD本文来自移动通信网www.mscbsc.com,版权所有
2009-01-30 11:511a3ds也K:JFD()本文来自移动通信网www.mscbsc.com,版权所有
12dsfds1faK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
1.       引言
做过一段时间的LTE的安全研究,这里简单介绍了3GPP长期演进(LTE)研究工作的开展背景和网络架构,重点介绍了LTE/SAE的安全架构、密钥架构、安全机制等。希望能对大家研究LTE的安全有所帮助。@3221a3dK:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
随着移动通信的普及,移动通信中的安全问题正受到越来越多的关注,人们对移动通信中的信息安全也提出了更高的要求。在2G(以GSM网络为例)中,用户卡和网络侧配合完成鉴权来防止未经授权的接入,从而保护运营商和合法用户双方的权益。但GSM网络在身份认证及加密算法等方面存在着许多安全隐患:首先,由于其使用的COMP128-1算法的安全缺陷,用户SIM卡和鉴权中心(AuC)间共享的安全密钥可在很短的时间内被破译,从而导致对可物理接触到的SIM卡进行克隆;GSM网络没有考虑数据完整性保护的问题,难以发现数据在传输过程被篡改等问题。
第三代移动通信系统(3G)在2G的基础上进行了改进,继承了2G系统安全的优点,同时针对3G系统的新特性,定义了更加完善的安全特征与安全服务。R99侧重接入网安全,定义了UMTS的安全架构,采用基于Milenage算法的AKA鉴权,实现了终端和网络间的双向认证,定义了强制的完整性保护和可选的加密保护,提供了更好的安全性保护;R4增加了基于IP的信令的保护;R5增加了IMS的安全机制;R6增加了通用鉴权架构GAAGeneric Authentication Architecture)和MBMSMultimedia Broadcast Multicast Service)安全机制。
3G技术的出现推动了移动通信网数据类业务的发展,在更大程度上满足了个人通信和娱乐的需求,正在被广泛推广和应用。为了进一步发展3G技术,3GPP2004年将LTELong Time Evolution)作为3G系统的长期演进,并于2006年开始标准制定工作。在开展LTE研究项目的同时,启动了SAESystem Architecture Evolution)的研究项目。LTE/SAE的安全功能也不断得到完善、扩展和加强,本文对LTE/SAE的安全技术进行了简要介绍。kjlurewioK:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
 
2.       LTE/SAE的网络架构*&#%kcvmmK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
LTEUMTS网络相比,LTE/SAE的接入网减少了节点数量,接入网中只有一个节点eNBEvolved Node B),该eNB可以位于不完全可信的区域。eNB之间通过X2接口连接,eNB和核心网设备MME/S-GWMobility Management Entity/Serving-Gateway)通过S1接口连接。LTE接入网架构如下图所示:1fadsK:JFD本文来自移动通信网www.mscbsc.com,版权所有

fds1faK:JFD(本文来自移动通信网www.mscbsc.com,版权所有
1 接入网架构8e342蔏:JFD(本文来自移动通信网www.mscbsc.com,版权所有
相比UMTS核心网,SAE核心网有较大变动,MME将取代SGSN完成认证等安全功能,同时MME需要完成NAS信令的安全保护。SAE核心网架构如下图所示:fads13东oiK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
 f8e342K:JFD(本文来自移动通信网www.mscbsc.com,版权所有
*$#什21fK:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
$#什21f3K:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
2 核心网架构e342是4343K:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
 是434321%K:JFD()$#本文来自移动通信网www.mscbsc.com,版权所有
3.       LTE/SAE的安全架构
LTE/SAE网络的安全架构和UMTS的安全架构基本相同,如下图所示:fjouieK:JFD(本文来自移动通信网www.mscbsc.com,版权所有
oK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有

3 安全架构(&#*(K:JFD本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAE网络的安全也分为5个域:
1)       网络接入安全(I)kjhfjouK:JFD()本文来自移动通信网www.mscbsc.com,版权所有
2)       网络域安全(II)21fd3s1fK:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
3)       用户域安全 (III)12dsfds1K:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
4)       应用域安全 (IV)(哦*&#%kcK:JFD()$#本文来自移动通信网www.mscbsc.com,版权所有
5)       安全服务的可视性和可配置性(V
LTE/SAE的安全架构和UMTS的网络安全架构相比,有如下区别:
1)       MESN之间增加了双向箭头表明MESN之间也存在非接入层安全。fds1fK:JFD本文来自移动通信网www.mscbsc.com,版权所有
2)       ANSN之间增加双向箭头表明ANSN之间的通信需要进行安全保护。74*$#(*)#$@&K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
3)       增加了服务网认证的概念,因此HESN之间的箭头由单向箭头改为双向箭头。 @&%#*(我)$#K:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
%#(么K:JFD本文来自移动通信网www.mscbsc.com,版权所有
4.       LTE/SAE的安全层次
fjouierpoK:JFD()$#本文来自移动通信网www.mscbsc.com,版权所有

4 安全层次2是434321%$#K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAE中,由于eNB处于一个不完全信任区域,因此LTE/SAE的安全包括两个层次:接入层(AS)和非接入层(NAS)的安全:342是434321K:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
1)     接入层(AS)安全:UEeNB之间的安全,主要执行AS信令的加密和完整性保护,用户面UP的加密性保护。
2)     非接入层(NAS)安全:UEMME之间的安全,主要执行NAS信令的加密和完整性保护。
 
5.       LTE/SAE的密钥架构
LTE/SAE的密钥层次架构如下图所示,由K派生出较多层次的密钥,分别实现各层的保密性和完整性保护,提高了通信中的安全性。

e342是43K:JFD()$本文来自移动通信网www.mscbsc.com,版权所有
3a21fd3s1fd諯:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
5 密钥架构d知1fK:JFD本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAE网络的密钥层次架构中包含如下密钥:_@s4fK:JFD本文来自移动通信网www.mscbsc.com,版权所有
1)       UEHSS间共享的密钥:
l         K:存储在USIM和认证中心AuC的永久密钥。70874*$#(*K:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
l         CK/IKAuCUSIMAKA认证过程中生成的密钥对。与UMTS相比,CK/IK不应离开HSS
2)       MEASME共享的中间密钥:
l         KASMEUEHSS根据CK/IK推演得到的密钥,用于推演下层密钥。jlureK:JFD本文来自移动通信网www.mscbsc.com,版权所有
3)       UEeNBMME的共享密钥:
l         KNASintUEMME根据KASME推演得到的密钥,用于保护UEMMENAS流量的完整性。21f3K:JFD本文来自移动通信网www.mscbsc.com,版权所有
l         KNASencUEMME根据KASME推演得到的密钥,用于保护UEMMENAS流量的保密性。3s1fd知1fkK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
l         KeNBUEMME根据KASME推演得到的密钥。KeNB用于推导AS层密钥。_@s4fadK:JFD()本文来自移动通信网www.mscbsc.com,版权所有
l         KUPencUEeNB根据KeNB和加密算法的标识符推演得到,用于保护UEeNBUP的保密性。#$#&)*(&#*K:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
l         KRRCintUEeNB根据KeNB和完整性算法的标识符推演得到,用于保护UEeNBRCC的完整性。#(*$#什21f3dK:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
l         KRRCencUEeNB根据KeNB和加密算法的标识符推演得到,用于保护UEeNBRCC的保密性。什21f3dK:JFD()本文来自移动通信网www.mscbsc.com,版权所有
 %#*(我)$#@32K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
6.       LTE/SAE的安全鉴权(AKA)机制*(我)$#@322K:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAEAKA鉴权过程和UMTS中的AKA鉴权过程基本相同,采用Milenage算法,继承了UMTS中五元组鉴权机制的优点,实现了UE和网络侧的双向鉴权。21fds3a21fdK:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
UMTS相比,SAEAVAuthentication Vector)与UMTSAV不同,UMTS AV包含CK/IK,而SAE AV仅包含KasmeHSSUE根据CK/IK推演得到的密钥,参见下文)。LTE/SAE使用AV中的AMF来标识此AVSAE AV还是UMTS AVUE利用该标识来判断认证挑战是否符合其接入网络类型,网络侧也可以利用该标识隔离SAE AVUMTS AV,防止获得UMTS AV的攻击者假冒SAE网络。3dsaf12zcv54K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAE中还定义了UEeNBMME之间切换间的安全机制、EUTRANUTRANGERANnon-3GPP间的切换等安全机制。e4328K:JFD本文来自移动通信网www.mscbsc.com,版权所有
 vckjlurewiK:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
7.       网络域安全&%#*(我)$#@3K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
LTE/SAE中将网络划分不同的安全域,使用NDS/IP的方式(IKEIPsec)保护网络域的安全,如下图所示: a4f8e342是4K:JFD()$#_*本文来自移动通信网www.mscbsc.com,版权所有
fkjhfjouierpK:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
d3s1fK:JFD本文来自移动通信网www.mscbsc.com,版权所有
6 NDS/IP的安全架构图ds13东oitK:JFD()$#本文来自移动通信网www.mscbsc.com,版权所有
将可以将上图转换为LTE/SAE实体,若MME/S-GWeNB位于不同的安全域时(如MME/S-GWeNB通过Internet相连),则图中NE A-1可看成MME/S-GWNE B-1可看成eNB。安全网关可集成在NE中,也可能是一个独立的设备。若SEGNE之间连接是可信的(如MME/S-GWSEG之间的连接位于同一个大楼内),那么在它们之间不需要附加其他的安全措施(物理措施除外)。若MME/S-GWeNB位于相同的安全域内,则MME/S-GWeNB可能分别对应NE A-1NE A-2,在他们之间使用可选的Zb接口进行安全保护。K:JFD本文来自移动通信网www.mscbsc.com,版权所有
若多个节点部署在同一个信任环境中,那么应该将安全集中在一个独立的设备(即信任域边界的SEG)上。在一般的场景下,终结Za(即SEG功能)或Zb口的IPsec功能应该集成在eNB中,也可以使用SEG汇聚多个eNB的流量。NDS/IP可以采用基于预共享密钥和证书等的方式来提供密钥管理。*(&#*($(哦K:JFD()$#_本文来自移动通信网www.mscbsc.com,版权所有
 
8.       结束语
本文详细介绍了3GPP LTE/SAE结构和安全技术,3GPP LTE/SAE R7的安全工作即将完成,其机构和安全机制也将不断得到完善、扩展和加强,为移动通信和业务开展提供更为安全的网络环境。
作者:彭华熹,中国移动通讯有限公司研究院终端所研究员,专注于移动通信网络、数据业务、信息安全、智能卡等领域的研究和产品开发。希望与大家一起探讨!emailhuaxipeng@gmail.com
3dsaf12zcK:JFD()$#本文来自移动通信网www.mscbsc.com,版权所有
$#$#&)*K:JFD()本文来自移动通信网www.mscbsc.com,版权所有
e43289西7087K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有
权限:公开   来自:labs 声明: 本文仅代表作者个人观点。其原创性及文中表达的意见、判断、数据、观点和陈述文字等内容均与中国移动研究院无关。移动Labs博客致力于为ICT领域的研 究者及从业者提供技术和业务交流的网络平台,对本文中全部或部分内容的真实性、完整性不作任何保证或承诺,仅供读者参考交流。 %#(么$*K:JFD()本文来自移动通信网www.mscbsc.com,版权所有
8e342是K:JFD()本文来自移动通信网www.mscbsc.com,版权所有

434321%$#(*$K:JFD()$#_*(本文来自移动通信网www.mscbsc.com,版权所有


回答者: OscarDon     回答时间:2014-06-17 11:31    

39        42         评价该回答(0)

中国通信人才网 | 江苏通信人才网 | 山东通信人才网 | 武汉通信人才网 | 浙江通信人才网 | 湖南通信人才网
杭州东信网络技术有限公司 聘:厦门4/5G中、高级后台
需求人数:10 人 地点:厦门市
中邮建技术有限公司 聘:龙岩LTE中高级工程师
需求人数:4 人 地点:龙岩市
上海紫之信息科技有限公司 聘:北京移动4G5G日常前后台中高级
需求人数:40 人 地点:北京市
中通服建设有限公司 聘:PTN、IPRAN、PON工程师
需求人数:5 人 地点:宁波市,嘉兴市
南京华苏科技有限公司 聘:郑州大数据开发运维工程师
需求人数:5 人 地点:郑州市
杭州华星创业通信技术股份有限公司 聘:中级网优工程师(江苏扬州)
需求人数:1 人 地点:扬州市
福建省鸿官通信工程有限公司 聘:工程优化项目负责人(泉州、福州)
需求人数:2 人 地点:福州市,泉州市
南京嘉环科技有限公司 聘:广西中兴RF及系统优化人员
需求人数:70 人 地点:柳州市,百色市
广州长迅科技有限公司 聘:爱立信LTE工程师
需求人数:5 人 地点:
南京格安信息系统有限责任公司 聘:高级网优工程师
需求人数:35 人 地点:北京市,河北省,天津市,吉林省,黑龙江
热点问题
赞助商链接


联系我们 - 问通信专家 Powered by MSCBSC 移动通信网  © 2006 -