下一代移动宽带服务UMB安全研究

相关专题: 无线 中国联通

UMB作为下一代移动宽带服务的一项重大突破,允许传送本地IP、变长的数据包,速度比目前商用的技术高出几个数量级。其安全性也得到了很大提升,UMB的安全架构,包括安全协议、接入认证和密钥交换过程等日渐成为人们关注的重点。

安全架构

UMB的安全架构包括了以下几个部分:

eBS。eBS为AT到无线接入网的链接提供空中(OTA)信令和用户数据的传输服务。其功能包括数据包的空中传送、调度、加密、解密等。

SRNC。SRNC负责维护与AT的会话引用。同时也负责支持AT的空闲状态管理,在AT空闲的时候提供寻呼控制。SRNC为它支持的每个AT会话锚ANRI。

AGW。AGW是用户链接到网络的一个“IP连接点”实体。也就是说,AGW实际上是移动终端的第一跳路由。

AAA。这一功能实体在用户使用网络资源的时候,为其提供身份认证、授权和计费功能。AAA具有VAAA(Visited)、BAAA(Border)和HAAA(Home)三种角色。

空中接口的安全机制

空中接口具有层次化的结构,每一层都定义了一些接口。这种结构允许将来对协议层或协议进行单独修改。

空中接口的层次架构包括:

●物理层:物理层包括前向和反向信道上的信道结构、频率、电源输出、调制解调以及编码方面的规格说明;●MAC层:MAC层定义了物理层之上的接收和传输过程;●无线链路层:无线链路层的协议为应用层提供数据包的可靠和有序发送,多路传输,QoS协商等服务;●应用层:应用层提供了多种应用协议,包括用于控制空中接口消息传输的信令协议,传送来去其他路由的数据包的路由间隧道协议。其他协议有支持身份认证的可扩展身份认证协议,用来传输用户数据的IP协议、用于压缩数据包头部的ROHC协议以及从其他空中接口传输数据的协议。

安全功能包括密钥交换功能、加密功能和消息完整性保护功能。●密钥交换协议:基于PMK,为接入网和接入终端提供生成消息完整性密钥和加密密钥的功能;●消息完整性协议:为接入网和接入终端提供信令消息的完整性保护功能;●加密协议:为接入网和接入终端提供加密功能。

接入认证和密钥交换

UMB采用基于EAP的认证方法在AT和AAA之间进行认证。基本包括两个认证过程:初始认证和重新认证。

初始认证使用EAP-AKA对AT和HAAA进行认证。重新认证可以是一个EAP-AKA过程或者是一个ERP过程。ERP在AGW上进行快速重新认证,避免了相对复杂的EAP-AKA过程。

密钥交换包含两个层次:一个用来导出数据保护AT和SRNC之间的信令数据的安全密钥:另一个用来到处保护AT与eBS之间的信令和承载数据的安全密钥。

密钥交换过程需要的PMK由EAP协议中定义的MSK直接导出。然后,由PMK在密钥交换过程中导出TSK,用于会话数据的保护。

MSK只用于密钥的导出过程,并不直接用来保护EAP会话或者后续的会话数据。MSK在EAP-AKA过程中由AT和HAAA生成。SRNC从HAAA得到用于导出TSK的MSK。

对eBS来说,它有两种得到或更新MSK的途径。第一个途径是通过ERP过程,从AGW获得rMSK;第二个途径是在被添加到路由集合后,通过会话复制,从SRNC获得MSK'(MSK'由MSK导出)。

初始认证密钥交换:

初始认证发生在用户第一次接入网络的时候,UMB采用EAP-AKA认证方法,AT和HAAA在EAP-AKA过程中进行双向认证。认证通过之后,HAAA会把EAP协议中定义的MSK经AGW发送给SRNC。

在初始认证之后,AT和SRNC通过密钥交换产生一个TSK,用来保护AT和SRNC之间的后续数据。在这之后,AT和eBS通过密钥交换过程产生一个TSK,用来保护AT和SRNC之间的后续数据。

重新认证和密钥交换:

重新认证发生在MSK过期SRNC发生切换的时候。这种情况下,AT应当执行一个完整的EAP-AKA认证过程,并更新AT和SRNC共享的MSK。

否则,AT可以通过eBS执行ERP快速重新认证过程来更新AT和eBS共享的MSK。在这种情况下,eBS充当认证服务器,AGW充当ERP中定义的本地EAP重新认证服务器,由AGW产生的rMSK被发送到eBS。

紧随ERP过程,AT和eBS通过一个密钥交换过程更新了用户保护后续数据的TSK。

注意:因为ERP是基于EAP的快速重新认证协议,所以在ERP过程之前,必须有一个EAP-AKA过程。在EAP-AKA过程中,如果AT和AGW支持ERP,HAAA会生成一个DSRK,并发送给AGW。AGW用DSRK来导出rMSK。

如果AT向路由集添加一个新的eBS,MSK没有过期,且SRNC没有发生切换,那么eBS可以从SRNC得到一个MSK',并用MSK'来更新它的MSK。

   来源:中国联通网站
微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子