4G通信网络安全体系架构研究

信息通信技术安全标准路线图lijun2003@gmail.com2011.8.184G4G4G4G通信网络安全体系架构研究Page2lijun2003@gmail.com目录•4G的定义和特点•4G网络体系架构•4G安全体系架构•X.805标准•IdM身份管理技术•安全威胁分析•结论及下一步工作Page3lijun2003@gmail.com4G的定义和特点•定义–符合国际电信联盟IMT-Advanced标准•功能特点–高速移动100Mbit/s；静止低速1Gbit/s–世界范围内的高度通用性；–与固网兼容；–能与各种无线接入系统交互；–高质量的移动服务；–用户终端可在全球范围内使用；–易于使用的应用、服务和设备；–全球漫游能力；•待选技术标准–LTE-Advanced–WirelessMAN-Advanced(WiMAX802.16m)–LTE*–WiMAX802.16e*–HSPA+**:ITU于2010.12月决定加入4G候选标准Page4lijun2003@gmail.com移动通信技术演进路径Page5lijun2003@gmail.com•4G的定义和特点•4G网络体系架构•4G安全体系架构•X.805标准•IdM身份管理技术•安全威胁分析•结论及下一步工作目录Page6lijun2003@gmail.com4G网络体系架构•收敛的多元异构访问网络•基于分组的核心网络（移动IPv6）•分层架构–物理层•提供接入和路由选择功能–中间环境层•QoS映射、地址变换和管理等–应用层•面向用户提供个性化服务Page7lijun2003@gmail.comWiMAX网络架构•MobileStation(MS):MobileStation(MS):MobileStation(MS):MobileStation(MS):最终用户访问网络的终端设备•Theaccessservicenetwork(ASN):Theaccessservicenetwork(ASN):Theaccessservicenetwork(ASN):Theaccessservicenetwork(ASN):访问服务网络–Basestation(BS):Basestation(BS):Basestation(BS):Basestation(BS):给MS提供空中接口；同时负责QoS、通道建立、DHCP代理、密钥管理、会话管理等功能–Accessservicenetworkgateway(ASN-GW):Accessservicenetworkgateway(ASN-GW):Accessservicenetworkgateway(ASN-GW):Accessservicenetworkgateway(ASN-GW):链路层流量聚合点，同时负责位置管理、用户配置缓存、解密密钥、AAA客户端、路由功能等等。•Connectivityservicenetwork(CSN):Connectivityservicenetwork(CSN):Connectivityservicenetwork(CSN):Connectivityservicenetwork(CSN):连接服务网络。提供与互联网、ASP、公司网络和其它公众网络的连接。包含AAA服务器以支持对设备、用户和特定服务的身份认证。同时为每个用户提供QoS和安全策略管理，还负责IP地址管理，支持漫游及位置管理。Page8lijun2003@gmail.com3GPPLTE网络架构•eNB：提供了无线资源控制功能•aGW：包括了MME（移动管理实体）、SGW（服务网关）和PGW（分组数据网网关），提供了AAA和加密功能Page9lijun2003@gmail.com3GPPIMS（IP多媒体子系统）功能架构•S-CSCF:S-CSCF:S-CSCF:S-CSCF:维护每一个IMS会话的状态；并使用AuC认证用户身份•P-CSCF:P-CSCF:P-CSCF:P-CSCF:终端接触的第一联络点；与终端的通信采用IPsec加密•I-CSCF:I-CSCF:I-CSCF:I-CSCF:运营商网络中的联络点，审查所有进入的会话Page10lijun2003@gmail.com下一代网络（NGN）逻辑架构•ANI:ANI:ANI:ANI:theapplicationnetworkinterface•NNI:NNI:NNI:NNI:thenetworknetworkinterface•SNI:SNI:SNI:SNI:theservicenetworkinterface•UNI:UNI:UNI:UNI:theusernetworkinterfacePage11lijun2003@gmail.com•4G的定义和特点•4G网络体系架构•4G安全体系架构•X.805标准•IdM身份管理技术•安全威胁分析•结论及下一步工作目录Page12lijun2003@gmail.com4G安全体系架构--安全目标•可用性availability–保证网络网络和服务不会被破坏或中断，例如恶意攻击•互操作性interoperability–确保安全解决方案能够避免互操作性问题，例如通过使用适用于大多数下一代网络应用和服务场景的通用解决方案•易用性usability–可以让最终用户容易使用安全功能和服务•QoS保证QoSguarantee–类似加密算法的安全解决方案应该满足语音和多媒体业务的QoS限制•低成本高效益cost-effectiveness–尽量减少安全方案带来的额外费用，使之低于威胁风险的成本•灵活性flexibility–安全体系结构必须足够灵活，以适应未来的威胁、自身的脆弱性和不断变化的的安全要求Page13lijun2003@gmail.com4G安全体系架构--WiMax2(IEEE802.16m)安全架构•分为两大功能实体：安全管理功能实体和加密和完整性功能实体•安全管理功能–整体安全管理与控制–EAP(ExtensibleAuthenticationProtocol)封装/解封–私钥管理(PKMv3)定义了如何控制所有安全组件，例如密钥的派生/更新/使用等–认证及安全联盟(SA)控制–位置保密•加密和完整性功能–传输数据加密/身份认证处理–控制信息认证处理–控制信息保密Page14lijun2003@gmail.com4G安全体系架构--IMS安全体系：目标与安全架构•IMS(IPMultimediaSubsystem)安全目标–通过提供自己的身份验证和授权机制，以及通讯流量保护来实现终端用户和IMS服务器之间的所有IMS会话。•IMS安全架构–1.提供UE和主网络之间的相互认证。–2.在UE和P-CSCF之间提供安全链接和SA(SecurityAssociation)–3.提供网络域内部接口的安全。–4.在不同网络的SIP结点之间提供安全。–5.在内部网络的SIP结点之间提供安全。UE:UE:UE:UE:UserEquipmentUA:UA:UA:UA:UserAgentISIM:ISIM:ISIM:ISIM:IMServicesIdentityModulePS:PS:PS:PS:PacketSwitchedPage15lijun2003@gmail.com4G安全体系架构--IMS安全体系：第一跳安全•第一跳（first-hop）安全–保护从终端用户到代理呼叫会话控制功能单元（P-CSCF）的第一跳。–主要解决用户身份鉴定以及用户信号的完整性问题，避免ToS(TheftofService)。–每一个用户对应于唯一的个人安全上下文，这种安全机制基于IMS的用户识别模块（ISIM），通过位于每个终端用户设备的普通集成电路卡（UICC）来实现。Page16lijun2003@gmail.com4G安全体系架构--IMS安全体系：网络域安全•网络域安全（NetworkDomainSecurity）–提供对IMS核心内会话控制功能单元（CSCFs）之间的通信安全。它又进一步划分为域间和域内，它代表两个不同安全域之间的以及同一个安全域中的不同部分之间的接口。IMS的安全依赖于网际安全协议在隧道模式的封装安全载荷（ESP）来提供安全功能和Internet密钥交换（IKE）、协商、建立和维护密钥。NE:NE:NE:NE:NetworkEntitySEG:SEG:SEG:SEG:SecurityGatewayIKE:IKE:IKE:IKE:InternetKeyExchangeESP:ESP:ESP:ESP:EncapsulatingSecurityPayloadZa:Za:Za:Za:InterfacebetweenSEGsbelongingtodifferentnetworks/securitydomainsZb:Zb:Zb:Zb:InterfacebetweenSEGsandNEsandinterfacebetweenNEswithinthesamenetwork/securitydomainZaZbZbZbSEGASecuritySecuritySecuritySecuritydomainAdomainAdomainAdomainASecuritySecuritySecuritySecuritydomainBdomainBdomainBdomainBSEGBNEA-1NEA-2ZbZbZbNEB-1NEB-2IKEconnectionESPSecurityAssociationPage17lijun2003@gmail.com4G安全体系架构--下一代网络NGN安全•NGN的安全主要是继承了IMS的安全性–接入安全（“第一跳”安全）–NGN核心网安全（运营商内部域安全）–互通安全（不同运营商之间域的安全）CPECPECPECPE::::（CustomerPremisesEquipment，用户侧设备）NASSNASSNASSNASS::::（NetworkAttachmentSub-System，网络连接子系统）UPSFUPSFUPSFUPSF::::（UserProfileServerFunction，用户属性服务器功能）PESPESPESPES::::（PSTNEmulationSubsystem，PSTN仿真子系统）RACSRACSRACSRACS::::（ResourceandAdmissionControlSubsystem，资源与接纳控制子系统）Page18lijun2003@gmail.com4G安全体系架构--下一代网络NGN安全架构Page19lijun2003@gmail.com•4G的定义和特点•4G网络体系架构•4G安全体系架构•X.805标准•IdM身份管理技术•安全威胁分析•结论及下一步工作目录Page20lijun2003@gmail.comX.805标准--端到端通信系统安全框架•由ITU-T负责制定-为通信网络安全提供整体解决思路•定义威胁模型（X.800）–Destruction（毁坏）、Corruption（损坏/讹错）、Removal（移除）、Disclosure（泄露）、Interruption（终端）•定义安全层次–InfrastructureSecurityLayer（基础设施安全层）–ServicesSecurityLayer（服务安全层）–ApplicationSecurityLayer（应用安全层）•定义安全平面–用户平面、控制\信号平面、管理平面•定义安全维度–1-访问控制，2-身份认证，3-不可否认性，4-数据机密性，5-通信安全性，6-数据完整性，7-可用性，8-私密性•创建整体架构和模块化方法Page21lijun2003@gmail.comX.805标准--安全的三个层次Page22lijun2003@gmail.comX.805标准--安全的三个平面Page23lijun2003@gmail.comX.805标准--安全的八个维度Page24lijun2003@