7.3G通信网络域安全_2012330133326812.pptVIP

3G移动通信系统网络域安全实现 中国科学技术大学 软件学院 核心网安全需求 GSM和3G系统网络中的控制信令通过MAP协议实现的，传统的MAP协议运行在7号信令系统(SS7)之上； 由于运营商的增加，导致网络互通需求增加，SS7不再只掌握在少数大机构域中，安全威胁随之增加； 3G骨干网中引入了IP，不仅用于信令流传输，还用于业务流传输，系统向着全开放、易接入协议演进，同时也带来了新的攻击和风险； 要点 全网范围安全 网络域安全机制 IP网络层安全 MAP协议安全保护 NDS/AF 全网范围安全 2G中只能提供UE到RNC的数据和信令安全 3G的全网加密功能扩展了安全功能的范围，提供整个网络内的用户业务通道上的安全保护模式； 整个核心网内的固定链路部分也得到了保护； 提供全网安全?接入网的安全机制可以用全网的机制代替?UE和RNC间信令数据依旧使用接入链路保密功能； 全网安全影响合法侦听?保留合法侦听接口?侦听通信； 使用同步流密码实现加密传输： 基于端到端的加密； 加密通道端点处的密钥管理； 加密方法 建议全网安全使用的加密算法应与接入链路上同步流密码加密算法类似，最好相同； 密码流的同步通过初始值完成，同步信息传送可以在业务间隙完成，也可以利用现成的帧结构来完成； 密钥管理 要点 全网范围安全 网络域安全机制 IP网络层安全 MAP协议安全保护 NDS/AF 网络域安全机制概述 同一个通信网络的网络成员间传送数据只使用第二、三层，不用第一层； 同一运营商的网络都要执行第二层功能； 密钥交换采用上述密钥交换方式； 第二层密钥管理中心KAC把协商好的用于发送和接收数据的会话密钥分发给相关网络成员； 第三层使用对称加密算法，采用分发好的密钥安全地交换敏感数据； Eksxy(数据)表示了网络x使用对称密钥算法加密数据发送给网络Y。 如果在同一个网络内，x=y； KAC KAC (Key Authentication Center)密钥管理中心； 每一个网络只有一个KAC： 产生保存自己的(签名、认证、加密和解密)公私钥对； 保存其他网络KAC的公钥对； 产生保存向其他网络发送敏感数据的对称对话密钥； 接收保存用于解密其他网络发送来的敏感数据的对称对话密钥； 安全分发对称会话密钥到本网的成员实体。 会话密钥的传送与分发 1.用非对称算法产生向Y发送数据的会话密钥KSXY 加密信息传送 第三层消息采用MAP协议传送； 定义三种保护模式： 模式0：没有保护； 模式1：提供完整性和真实性保护； 模式2：提供机密性、完整性和真实性保护； 保护模式与第三层消息格式 第三层消息体与明文形式的MAP消息体是相同的 要点 全网范围安全 网络域安全机制 IP网络层安全 MAP协议安全保护 NDS/AF 基于IP协议的网络域安全 IP通信网络中，为了保障通信安全，将网络划分为一个个安全域进行管理； 安全域是一个由单一管理机构所管理的网络，尽管一个运营商操作的网络可以划分为几个独立的子网，但是一个运营商的网络就构成一个安全域； NDS/IP相关概念： 安全域 网络层保护IPSec； 安全网关(SEG) 安全关联SA 密钥交换IKE 网络域安全密钥管理和密钥分配 安全域 NDS中最核心的概念是安全域； 在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的； 在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口； 其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。 网络层保护IPSec 基于本地IP协议的通信网，由网络层提供安全服务； 网络层的安全措施由IETF(Internet Engineering Task Force，互联网工程工作组)的IPSec工作组定义； IETF的IPSec工作组已经定义了12个RFC，内容包含了体系、管理密钥、基本协议及为了实现基本协议进行的强制转码等； IPSec各组件间的交互关系： 网络层保护IPSec 验证头(AH)和封装安全负荷(ESP)： 定义了协议、负荷头的格式以及它们提供的服务； 定义了包的处理规则； 没有指定用来实现这些能力的具体转码方式； IKE协议(Internet密钥交换)协议： 为IPSec协议生成密钥，也可为其他需要密钥的协议协商密钥； IKE协商的参数同需要密钥的协议本身分隔开来； 协商的参数被归于一个单独的文档，称为IPSec解释域； 转码方式： 定义了如何对数据进行转换以确保其安全； 包括了算法、密钥大小及转变方式、转码程序及算法专用信息； 对必要的信息来说，确保它们的唯一性显得尤其重要，只有这样才能使不同的实施方案相互间能够操作