4G通信网络安全体系架构研究

1、信息通信技术安全标准路线图lijun2003gmail 2011.8.184G4G4G4G通信网络安全体系架构研究Page 2 lijun2003gmail 目 录4G的定义和特点4G网络体系架构4G安全体系架构X.805标准IdM身份管理技术安全威胁分析结论及下一步工作Page 3 lijun2003gmail 4G的定义和特点定义符合国际电信联盟IMT-Advanced标准功能特点高速移动100 Mbit/s；静止低速1 Gbit/s 世界范围内的高度通用性；与固网兼容；能与各种无线接入系统交互；高质量的移动服务；用户终端可在全球范围内使用；易于使用的应用、服务和设备；全球漫游能力；待选技

2、术标准LTE-AdvancedWirelessMAN-Advanced (WiMAX 802.16m)LTE*WiMAX 802.16e*HSPA+*: ITU于2010.12月决定加入4G候选标准Page 4 lijun2003gmail 移动通信技术演进路径Page 5 lijun2003gmail 4G的定义和特点4G网络体系架构4G安全体系架构X.805标准IdM身份管理技术安全威胁分析结论及下一步工作目 录Page 6 lijun2003gmail 4G网络体系架构收敛的多元异构访问网络基于分组的核心网络（移动IPv6）分层架构物理层提供接入和路由选择功能中间环境层QoS映射、地址变

3、换和管理等应用层面向用户提供个性化服务Page 7 lijun2003gmail WiMAX网络架构Mobile Station(MS): Mobile Station(MS): Mobile Station(MS): Mobile Station(MS): 最终用户访问网络的终端设备The access service network(ASN):The access service network(ASN):The access service network(ASN):The access service network(ASN): 访问服务网络Base station (BS): Bas

4、e station (BS): Base station (BS): Base station (BS): 给MS提供空中接口；同时负责QoS、通道建立、DHCP代理、密钥管理、会话管理等功能Access service network gateway (ASN-GW):Access service network gateway (ASN-GW):Access service network gateway (ASN-GW):Access service network gateway (ASN-GW): 链路层流量聚合点，同时负责位置管理、用户配置缓存、解密密钥、AAA客户端、路由功能等等

5、。Connectivity service network (CSN):Connectivity service network (CSN):Connectivity service network (CSN):Connectivity service network (CSN): 连接服务网络。提供与互联网、ASP、公司网络和其它公众网络的连接。包含AAA服务器以支持对设备、用户和特定服务的身份认证。同时为每个用户提供QoS和安全策略管理，还负责IP地址管理，支持漫游及位置管理。Page 8 lijun2003gmail 3GPP LTE 网络架构eNB：提供了无线资源控制功能aGW：包括了

6、MME（移动管理实体）、SGW（服务网关）和PGW（分组数据网网关），提供了AAA和加密功能Page 9 lijun2003gmail 3GPP IMS（IP多媒体子系统）功能架构S-CSCF: S-CSCF: S-CSCF: S-CSCF: 维护每一个IMS会话的状态；并使用AuC认证用户身份P-CSCF: P-CSCF: P-CSCF: P-CSCF: 终端接触的第一联络点；与终端的通信采用IPsec加密I-CSCF: I-CSCF: I-CSCF: I-CSCF: 运营商网络中的联络点，审查所有进入的会话Page 10 lijun2003gmail 下一代网络（NGN）逻辑架构ANI:

7、ANI: ANI: ANI: the application network interfaceNNI:NNI:NNI:NNI: the network network interfaceSNI:SNI:SNI:SNI: the service network interfaceUNI:UNI:UNI:UNI: the user network interfacePage 11 lijun2003gmail 4G的定义和特点4G网络体系架构4G安全体系架构X.805标准IdM身份管理技术安全威胁分析结论及下一步工作目 录Page 12 lijun2003gmail 4G安全体系架构 - 安全目

8、标可用性 availability保证网络网络和服务不会被破坏或中断，例如恶意攻击互操作性 interoperability确保安全解决方案能够避免互操作性问题，例如通过使用适用于大多数下一代网络应用和服务场景的通用解决方案易用性 usability可以让最终用户容易使用安全功能和服务QoS保证 QoS guarantee类似加密算法的安全解决方案应该满足语音和多媒体业务的QoS限制低成本高效益 cost-effectiveness尽量减少安全方案带来的额外费用，使之低于威胁风险的成本灵活性 flexibility安全体系结构必须足够灵活，以适应未来的威胁、自身的脆弱性和不断变化的的安全要求P

9、age 13 lijun2003gmail 4G安全体系架构 - WiMax 2(IEEE 802.16m) 安全架构分为两大功能实体：安全管理功能实体和加密和完整性功能实体安全管理功能整体安全管理与控制EAP(Extensible Authentication Protocol)封装/解封私钥管理(PKMv3)定义了如何控制所有安全组件，例如密钥的派生/更新/使用等认证及安全联盟(SA)控制位置保密加密和完整性功能传输数据加密/身份认证处理控制信息认证处理控制信息保密Page 14 lijun2003gmail 4G安全体系架构 - IMS安全体系：目标与安全架构IMS(IP Multime

10、dia Subsystem)安全目标通过提供自己的身份验证和授权机制，以及通讯流量保护来实现终端用户和IMS服务器之间的所有IMS会话。IMS安全架构1. 提供UE和主网络之间的相互认证。2. 在UE和P-CSCF之间提供安全链接和SA (Security Association)3. 提供网络域内部接口的安全。4. 在不同网络的SIP结点之间提供安全。5. 在内部网络的SIP结点之间提供安全。UE: UE: UE: UE: User EquipmentUA: UA: UA: UA: User AgentISIM:ISIM:ISIM:ISIM: IM Services Identity Mod

11、ulePS:PS:PS:PS: Packet SwitchedPage 15 lijun2003gmail 4G安全体系架构 - IMS安全体系：第一跳安全第一跳（first-hop）安全保护从终端用户到代理呼叫会话控制功能单元（P-CSCF）的第一跳。主要解决用户身份鉴定以及用户信号的完整性问题，避免ToS(Theft of Service)。每一个用户对应于唯一的个人安全上下文，这种安全机制基于IMS的用户识别模块（ISIM），通过位于每个终端用户设备的普通集成电路卡（UICC）来实现。Page 16 lijun2003gmail 4G安全体系架构 - IMS安全体系：网络域安全网络域安全

12、（Network Domain Security）提供对IMS核心内会话控制功能单元（CSCFs）之间的通信安全。它又进一步划分为域间和域内，它代表两个不同安全域之间的以及同一个安全域中的不同部分之间的接口。IMS的安全依赖于网际安全协议在隧道模式的封装安全载荷（ESP）来提供安全功能和Internet密钥交换（IKE）、协商、建立和维护密钥。NE: NE: NE: NE: Network EntitySEG: SEG: SEG: SEG: Security GatewayIKE:IKE:IKE:IKE: Internet Key ExchangeESP:ESP:ESP:ESP: Encaps

13、ulating Security PayloadZa:Za:Za:Za: Interface between SEGs belonging to different networks/security domainsZb: Zb: Zb: Zb: Interface between SEGs and NEs and interface between NEs within the same network/security domain Za Zb Zb Zb SEG A Security Security Security Security domain Adomain Adomain Ad

14、omain A Security Security Security Security domain Bdomain Bdomain Bdomain B SEG B NE A - 1 NE A - 2 Zb Zb Zb NE B - 1 NE B - 2 IKE connection ESP Security Association Page 17 lijun2003gmail 4G安全体系架构 - 下一代网络NGN安全NGN的安全主要是继承了IMS的安全性接入安全（“第一跳”安全）NGN核心网安全（运营商内部域安全） 互通安全（不同运营商之间域的安全）CPECPECPECPE:（Custom

15、er Premises Equipment，用户侧设备）NASSNASSNASSNASS:（Network Attachment Sub-System，网络连接子系统）UPSFUPSFUPSFUPSF:（User Profile Server Function，用户属性服务器功能）PESPESPESPES:（PSTN Emulation Subsystem，PSTN仿真子系统）RACSRACSRACSRACS:（Resource and Admission Control Subsystem，资源与接纳控制子系统）Page 18 lijun2003gmail 4G安全体系架构 - 下一代网络N

16、GN安全架构Page 19 lijun2003gmail 4G的定义和特点4G网络体系架构4G安全体系架构X.805标准IdM身份管理技术安全威胁分析结论及下一步工作目 录Page 20 lijun2003gmail X.805标准 - 端到端通信系统安全框架由ITU-T负责制定 - 为通信网络安全提供整体解决思路定义威胁模型（X.800）Destruction（毁坏）、Corruption（损坏/讹错）、Removal（移除）、Disclosure（泄露）、Interruption（终端）定义安全层次Infrastructure Security Layer（基础设施安全层）Services

17、 Security Layer （服务安全层）Application Security Layer （应用安全层）定义安全平面用户平面、控制信号平面、管理平面定义安全维度1-访问控制，2-身份认证，3-不可否认性，4-数据机密性，5-通信安全性，6-数据完整性，7-可用性，8-私密性创建整体架构和模块化方法Page 21 lijun2003gmail X.805标准 - 安全的三个层次Page 22 lijun2003gmail X.805标准 - 安全的三个平面Page 23 lijun2003gmail X.805标准 - 安全的八个维度Page 24 lijun2003gmail X.8

18、05标准 - 安全威胁与安全维度的映射矩阵安全维度安全威胁（X.800）信息或其它资源被毁坏信息被损坏或篡改信息或其它资源被偷窃、移除或丢失信息被泄露服务被中断1-访问控制YYYY2-身份认证YY3-不可否认性YYYYY4-数据机密性YY5-通信安全性YY6-数据完整性YY7-可用性YY8-私密性YPage 25 lijun2003gmail X.805标准 - 端到端通信系统安全框架Page 26 lijun2003gmail X.805标准 - 安全模块表格Page 27 lijun2003gmail 4G的定义和特点4G网络体系架构4G安全体系架构X.805标准IdM身份管理技术安全威胁

19、分析结论及下一步工作目 录Page 28 lijun2003gmail IdM身份管理技术定义数字身份管理是指以信息和网络技术为基础，对用户数字化身份的生命周期（使用过程）以及这些身份与网络应用服务之间的关系进行管理，例如对访问应用和资源的用户进行认证或授权等。IdM理想模型在互联网上形成以用户、服务提供商（Service Provider, SP）和身份提供商（Identity Provider, IDP）为主体的网络活动，在全球范围内实现单点登录（Single Sign-On, SSO）。当用户使用IDP为其提供的身份并向SP请求服务时，SP根据IDP的认证结果判断用户身份是否合法，如果合

20、法则向用户提供服务，否则拒绝服务。IdM的理想模型有力地保证了合法用户享受服务的权力，保证了SP的合法权益不受侵害，保证了网络活动的可溯源性。“你是谁” 这是一个哲学终极问题 :-) :-) :-) :-)Page 29 lijun2003gmail IdM系统构成用户SP服务和IDP服务的消费者类型多样性信任等级不同SP应用服务提供者IDP信任状身份服务(Credential Identity Service)信任状是用户认证或授权的数据，可以是数字证书或指纹虹膜等生物特征。标识符身份服务(Identifier Identity Service)标识符是分配给用户的名字或表达式，可以与信任状

21、永久绑定，也可以是非绑定的、临时的。属性身份服务(Attribute Identity Service)属性是描述用户身份相关性质的信息，如名字、物理地址、联系信息等。身份模式服务(Pattern Identity Service)身份模式是指用户的声誉、名誉、信任记录以及历史访问记录。这些信息可用来描述、标识一个或者一类用户的身份。Page 30 lijun2003gmail IdM服务模式查询/应答机制不同的IdM技术之间的互操作性是当前的热点关注问题Page 31 lijun2003gmail IdM通用框架(1)身份代理(2)身份验证服务(3)令牌服务(4)认证服务(5)个人可确认信息

22、服务(6)审查和监控服务(7)身份属性服务(8)信任状管理服务(9)信用管理服务(10)有效性验证服务(11)注册服务(12)身份与资源发现服务(13)身份关系服务(14)身份转换以及桥接服务Page 32 lijun2003gmail IdM产品及应用 - OpenID是什么OpenID是一种安全的、更快更容易地登录web站点的方案。它是一个以用户为中心的数字身份识别框架，是一个以URL为身份标识的分散式身份验证解决方案，它具有开放、分散、自由等特性。OpenID的创建理念可以通过URL来认证一个网站的唯一身份，同理，也可以让每个人通过一个URL（一个OpenID身份就是一个URL），在多个

23、网站上进行登录，作为用户的身份认证。谁将拥有或控制OpenID？OpenID的出现缘于开源社区，其目的是为了解决现有技术所不能轻易解决的问题。OpenID不属于任何人，任何人都可以选择成为一个OpenID用户或成为一个OpenID的免费提供方，而不需要注册或者被任何组织批准允许。OpenID基金会的成立，目的是为了协助开源社区的管理和发展，以促进和支持OpenID的扩展和应用 。Page 33 lijun2003gmail 基本原理与功能特色OpenID系统由三部分角色组成：End User ：终端用户，使用OpenID作为网络通行证的互联网用户； Relying Part（RP） ：Open

24、ID支持方，支持End User用OpenID登录自己的网站 OpenID Provider（OP） ：OpenID提供方，提供OpenID注册、存储等服务。OpenID的功能特色是以用户为中心的IdM系统：用户可以自由控制身份信息及隐私策略能够实现单点登录；具有开放的特性：使用URI、HTTP、SSL、Diffie-Hellman 等技术进行身份信息的传输、认证与共享用户可以在不同OpenID 提供商之间转换，具有较大的灵活性。Page 34 lijun2003gmail 优点分析 - 用户得到的好处对于用户1. 1. 1. 1. 简化注册登录流程：一定程度上避免了重复注册、填写身份资料的繁

25、琐过程，不需要注册邮件确认，登录更快捷。2. 2. 2. 2. 一处注册，处处通行：免去记忆大量账号密码的麻烦，一个OpenID就在任何支持OpenID的网站自由登录。3. 3. 3. 3. 减少密码泄露风险：频繁登录各种网站，容易被垃圾网站暗地里收集密码和资料，或者冒充用户身份发送垃圾信息。4. 4. 4. 4. 用户拥有账号信息控制权：根据对网站的信任程度，用户可以清楚的控制哪些profile信息可以被共享，例如姓名、地址、 号码等。Page 35 lijun2003gmail 优点分析 - 网站（RP）得到的好处对于网站（RP）1. 1. 1. 1. 共享用户资源：给所有支持 OpenI

26、D 的网站带来了价值。.用户无需创建新帐号：已经有相当数量的高端注册用户可以直接使用，不必从零开始；.减少用户管理系统成本：可以不负担自己建立会员系统或登录功能所需要的开发成本、机器、带宽、安全费用；.吸引用户登录：由于免去繁琐的注册操作，减少了记忆多个密码的麻烦，用户愿意登录；.用户数据是安全的：用户数据不统一存储，用户可以任意选择、更换存储的server。没有组织，没有任何一个地方可以做root，没有任何一个机构或者个人能够从这里面获利。Page 36 lijun2003gmail 缺点分析 1. 任何人都可以建立一个网站提供Open

27、ID验证服务，而网站性能参差不齐，导致OpenID的验证过程不是很稳定。2. 如果提供OpenID验证服务的网站突然关闭的话，可能会导致大量用户无法使用多个网站的服务。3. 目前几乎所有支持OpenID的网站都很谨慎地将其做为一种可供选择的辅助登录方法，这会在很大程度上阻碍OpenID的发展。4. 目前支持OpenID的网站还不算很多，其独特的使用方法并不被多数用户所熟悉。Page 37 lijun2003gmail 在国内外的发展情况国外OpenID帐号的数量达到千万获得主流知名网站的支持国内Relying Part: 乐铺，OpenID Provider: OpenID ，豌豆，类OpenID: 单向有选择性的开放，提供接口，通过合作或开放