4G通信網(wǎng)絡(luò)安全體系架構(gòu)研究

1、信息通信技術(shù)安全標(biāo)準(zhǔn)路線圖lijun2003gmail 2011.8.184G4G4G4G通信網(wǎng)絡(luò)安全體系架構(gòu)研究Page 2 lijun2003gmail 目 錄4G的定義和特點(diǎn)4G網(wǎng)絡(luò)體系架構(gòu)4G安全體系架構(gòu)X.805標(biāo)準(zhǔn)IdM身份管理技術(shù)安全威脅分析結(jié)論及下一步工作Page 3 lijun2003gmail 4G的定義和特點(diǎn)定義符合國際電信聯(lián)盟IMT-Advanced標(biāo)準(zhǔn)功能特點(diǎn)高速移動(dòng)100 Mbit/s；靜止低速1 Gbit/s 世界范圍內(nèi)的高度通用性；與固網(wǎng)兼容；能與各種無線接入系統(tǒng)交互；高質(zhì)量的移動(dòng)服務(wù)；用戶終端可在全球范圍內(nèi)使用；易于使用的應(yīng)用、服務(wù)和設(shè)備；全球漫游能力；待選技

2、術(shù)標(biāo)準(zhǔn)LTE-AdvancedWirelessMAN-Advanced (WiMAX 802.16m)LTE*WiMAX 802.16e*HSPA+*: ITU于2010.12月決定加入4G候選標(biāo)準(zhǔn)Page 4 lijun2003gmail 移動(dòng)通信技術(shù)演進(jìn)路徑Page 5 lijun2003gmail 4G的定義和特點(diǎn)4G網(wǎng)絡(luò)體系架構(gòu)4G安全體系架構(gòu)X.805標(biāo)準(zhǔn)IdM身份管理技術(shù)安全威脅分析結(jié)論及下一步工作目 錄Page 6 lijun2003gmail 4G網(wǎng)絡(luò)體系架構(gòu)收斂的多元異構(gòu)訪問網(wǎng)絡(luò)基于分組的核心網(wǎng)絡(luò)（移動(dòng)IPv6）分層架構(gòu)物理層提供接入和路由選擇功能中間環(huán)境層QoS映射、地址變

3、換和管理等應(yīng)用層面向用戶提供個(gè)性化服務(wù)Page 7 lijun2003gmail WiMAX網(wǎng)絡(luò)架構(gòu)Mobile Station(MS): Mobile Station(MS): Mobile Station(MS): Mobile Station(MS): 最終用戶訪問網(wǎng)絡(luò)的終端設(shè)備The access service network(ASN):The access service network(ASN):The access service network(ASN):The access service network(ASN): 訪問服務(wù)網(wǎng)絡(luò)Base station (BS): Bas

4、e station (BS): Base station (BS): Base station (BS): 給MS提供空中接口；同時(shí)負(fù)責(zé)QoS、通道建立、DHCP代理、密鑰管理、會(huì)話管理等功能Access service network gateway (ASN-GW):Access service network gateway (ASN-GW):Access service network gateway (ASN-GW):Access service network gateway (ASN-GW): 鏈路層流量聚合點(diǎn)，同時(shí)負(fù)責(zé)位置管理、用戶配置緩存、解密密鑰、AAA客戶端、路由功能等等

5、。Connectivity service network (CSN):Connectivity service network (CSN):Connectivity service network (CSN):Connectivity service network (CSN): 連接服務(wù)網(wǎng)絡(luò)。提供與互聯(lián)網(wǎng)、ASP、公司網(wǎng)絡(luò)和其它公眾網(wǎng)絡(luò)的連接。包含AAA服務(wù)器以支持對(duì)設(shè)備、用戶和特定服務(wù)的身份認(rèn)證。同時(shí)為每個(gè)用戶提供QoS和安全策略管理，還負(fù)責(zé)IP地址管理，支持漫游及位置管理。Page 8 lijun2003gmail 3GPP LTE 網(wǎng)絡(luò)架構(gòu)eNB：提供了無線資源控制功能aGW：包括了

6、MME（移動(dòng)管理實(shí)體）、SGW（服務(wù)網(wǎng)關(guān)）和PGW（分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)），提供了AAA和加密功能Page 9 lijun2003gmail 3GPP IMS（IP多媒體子系統(tǒng)）功能架構(gòu)S-CSCF: S-CSCF: S-CSCF: S-CSCF: 維護(hù)每一個(gè)IMS會(huì)話的狀態(tài)；并使用AuC認(rèn)證用戶身份P-CSCF: P-CSCF: P-CSCF: P-CSCF: 終端接觸的第一聯(lián)絡(luò)點(diǎn)；與終端的通信采用IPsec加密I-CSCF: I-CSCF: I-CSCF: I-CSCF: 運(yùn)營商網(wǎng)絡(luò)中的聯(lián)絡(luò)點(diǎn)，審查所有進(jìn)入的會(huì)話Page 10 lijun2003gmail 下一代網(wǎng)絡(luò)（NGN）邏輯架構(gòu)ANI:

7、ANI: ANI: ANI: the application network interfaceNNI:NNI:NNI:NNI: the network network interfaceSNI:SNI:SNI:SNI: the service network interfaceUNI:UNI:UNI:UNI: the user network interfacePage 11 lijun2003gmail 4G的定義和特點(diǎn)4G網(wǎng)絡(luò)體系架構(gòu)4G安全體系架構(gòu)X.805標(biāo)準(zhǔn)IdM身份管理技術(shù)安全威脅分析結(jié)論及下一步工作目 錄Page 12 lijun2003gmail 4G安全體系架構(gòu) - 安全目

8、標(biāo)可用性 availability保證網(wǎng)絡(luò)網(wǎng)絡(luò)和服務(wù)不會(huì)被破壞或中斷，例如惡意攻擊互操作性 interoperability確保安全解決方案能夠避免互操作性問題，例如通過使用適用于大多數(shù)下一代網(wǎng)絡(luò)應(yīng)用和服務(wù)場景的通用解決方案易用性 usability可以讓最終用戶容易使用安全功能和服務(wù)QoS保證 QoS guarantee類似加密算法的安全解決方案應(yīng)該滿足語音和多媒體業(yè)務(wù)的QoS限制低成本高效益 cost-effectiveness盡量減少安全方案帶來的額外費(fèi)用，使之低于威脅風(fēng)險(xiǎn)的成本靈活性 flexibility安全體系結(jié)構(gòu)必須足夠靈活，以適應(yīng)未來的威脅、自身的脆弱性和不斷變化的的安全要求P

9、age 13 lijun2003gmail 4G安全體系架構(gòu) - WiMax 2(IEEE 802.16m) 安全架構(gòu)分為兩大功能實(shí)體：安全管理功能實(shí)體和加密和完整性功能實(shí)體安全管理功能整體安全管理與控制EAP(Extensible Authentication Protocol)封裝/解封私鑰管理(PKMv3)定義了如何控制所有安全組件，例如密鑰的派生/更新/使用等認(rèn)證及安全聯(lián)盟(SA)控制位置保密加密和完整性功能傳輸數(shù)據(jù)加密/身份認(rèn)證處理控制信息認(rèn)證處理控制信息保密Page 14 lijun2003gmail 4G安全體系架構(gòu) - IMS安全體系：目標(biāo)與安全架構(gòu)IMS(IP Multime

10、dia Subsystem)安全目標(biāo)通過提供自己的身份驗(yàn)證和授權(quán)機(jī)制，以及通訊流量保護(hù)來實(shí)現(xiàn)終端用戶和IMS服務(wù)器之間的所有IMS會(huì)話。IMS安全架構(gòu)1. 提供UE和主網(wǎng)絡(luò)之間的相互認(rèn)證。2. 在UE和P-CSCF之間提供安全鏈接和SA (Security Association)3. 提供網(wǎng)絡(luò)域內(nèi)部接口的安全。4. 在不同網(wǎng)絡(luò)的SIP結(jié)點(diǎn)之間提供安全。5. 在內(nèi)部網(wǎng)絡(luò)的SIP結(jié)點(diǎn)之間提供安全。UE: UE: UE: UE: User EquipmentUA: UA: UA: UA: User AgentISIM:ISIM:ISIM:ISIM: IM Services Identity Mod

11、ulePS:PS:PS:PS: Packet SwitchedPage 15 lijun2003gmail 4G安全體系架構(gòu) - IMS安全體系：第一跳安全第一跳（first-hop）安全保護(hù)從終端用戶到代理呼叫會(huì)話控制功能單元（P-CSCF）的第一跳。主要解決用戶身份鑒定以及用戶信號(hào)的完整性問題，避免ToS(Theft of Service)。每一個(gè)用戶對(duì)應(yīng)于唯一的個(gè)人安全上下文，這種安全機(jī)制基于IMS的用戶識(shí)別模塊（ISIM），通過位于每個(gè)終端用戶設(shè)備的普通集成電路卡（UICC）來實(shí)現(xiàn)。Page 16 lijun2003gmail 4G安全體系架構(gòu) - IMS安全體系：網(wǎng)絡(luò)域安全網(wǎng)絡(luò)域安全

12、（Network Domain Security）提供對(duì)IMS核心內(nèi)會(huì)話控制功能單元（CSCFs）之間的通信安全。它又進(jìn)一步劃分為域間和域內(nèi)，它代表兩個(gè)不同安全域之間的以及同一個(gè)安全域中的不同部分之間的接口。IMS的安全依賴于網(wǎng)際安全協(xié)議在隧道模式的封裝安全載荷（ESP）來提供安全功能和Internet密鑰交換（IKE）、協(xié)商、建立和維護(hù)密鑰。NE: NE: NE: NE: Network EntitySEG: SEG: SEG: SEG: Security GatewayIKE:IKE:IKE:IKE: Internet Key ExchangeESP:ESP:ESP:ESP: Encaps

13、ulating Security PayloadZa:Za:Za:Za: Interface between SEGs belonging to different networks/security domainsZb: Zb: Zb: Zb: Interface between SEGs and NEs and interface between NEs within the same network/security domain Za Zb Zb Zb SEG A Security Security Security Security domain Adomain Adomain Ad

14、omain A Security Security Security Security domain Bdomain Bdomain Bdomain B SEG B NE A - 1 NE A - 2 Zb Zb Zb NE B - 1 NE B - 2 IKE connection ESP Security Association Page 17 lijun2003gmail 4G安全體系架構(gòu) - 下一代網(wǎng)絡(luò)NGN安全NGN的安全主要是繼承了IMS的安全性接入安全（“第一跳”安全）NGN核心網(wǎng)安全（運(yùn)營商內(nèi)部域安全） 互通安全（不同運(yùn)營商之間域的安全）CPECPECPECPE:（Custom

15、er Premises Equipment，用戶側(cè)設(shè)備）NASSNASSNASSNASS:（Network Attachment Sub-System，網(wǎng)絡(luò)連接子系統(tǒng)）UPSFUPSFUPSFUPSF:（User Profile Server Function，用戶屬性服務(wù)器功能）PESPESPESPES:（PSTN Emulation Subsystem，PSTN仿真子系統(tǒng)）RACSRACSRACSRACS:（Resource and Admission Control Subsystem，資源與接納控制子系統(tǒng)）Page 18 lijun2003gmail 4G安全體系架構(gòu) - 下一代網(wǎng)絡(luò)N

16、GN安全架構(gòu)Page 19 lijun2003gmail 4G的定義和特點(diǎn)4G網(wǎng)絡(luò)體系架構(gòu)4G安全體系架構(gòu)X.805標(biāo)準(zhǔn)IdM身份管理技術(shù)安全威脅分析結(jié)論及下一步工作目 錄Page 20 lijun2003gmail X.805標(biāo)準(zhǔn) - 端到端通信系統(tǒng)安全框架由ITU-T負(fù)責(zé)制定 - 為通信網(wǎng)絡(luò)安全提供整體解決思路定義威脅模型（X.800）Destruction（毀壞）、Corruption（損壞/訛錯(cuò)）、Removal（移除）、Disclosure（泄露）、Interruption（終端）定義安全層次Infrastructure Security Layer（基礎(chǔ)設(shè)施安全層）Services

17、 Security Layer （服務(wù)安全層）Application Security Layer （應(yīng)用安全層）定義安全平面用戶平面、控制信號(hào)平面、管理平面定義安全維度1-訪問控制，2-身份認(rèn)證，3-不可否認(rèn)性，4-數(shù)據(jù)機(jī)密性，5-通信安全性，6-數(shù)據(jù)完整性，7-可用性，8-私密性創(chuàng)建整體架構(gòu)和模塊化方法Page 21 lijun2003gmail X.805標(biāo)準(zhǔn) - 安全的三個(gè)層次Page 22 lijun2003gmail X.805標(biāo)準(zhǔn) - 安全的三個(gè)平面Page 23 lijun2003gmail X.805標(biāo)準(zhǔn) - 安全的八個(gè)維度Page 24 lijun2003gmail X.8

18、05標(biāo)準(zhǔn) - 安全威脅與安全維度的映射矩陣安全維度安全威脅（X.800）信息或其它資源被毀壞信息被損壞或篡改信息或其它資源被偷竊、移除或丟失信息被泄露服務(wù)被中斷1-訪問控制YYYY2-身份認(rèn)證YY3-不可否認(rèn)性YYYYY4-數(shù)據(jù)機(jī)密性YY5-通信安全性YY6-數(shù)據(jù)完整性YY7-可用性YY8-私密性YPage 25 lijun2003gmail X.805標(biāo)準(zhǔn) - 端到端通信系統(tǒng)安全框架Page 26 lijun2003gmail X.805標(biāo)準(zhǔn) - 安全模塊表格Page 27 lijun2003gmail 4G的定義和特點(diǎn)4G網(wǎng)絡(luò)體系架構(gòu)4G安全體系架構(gòu)X.805標(biāo)準(zhǔn)IdM身份管理技術(shù)安全威脅

19、分析結(jié)論及下一步工作目 錄Page 28 lijun2003gmail IdM身份管理技術(shù)定義數(shù)字身份管理是指以信息和網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，對(duì)用戶數(shù)字化身份的生命周期（使用過程）以及這些身份與網(wǎng)絡(luò)應(yīng)用服務(wù)之間的關(guān)系進(jìn)行管理，例如對(duì)訪問應(yīng)用和資源的用戶進(jìn)行認(rèn)證或授權(quán)等。IdM理想模型在互聯(lián)網(wǎng)上形成以用戶、服務(wù)提供商（Service Provider, SP）和身份提供商（Identity Provider, IDP）為主體的網(wǎng)絡(luò)活動(dòng)，在全球范圍內(nèi)實(shí)現(xiàn)單點(diǎn)登錄（Single Sign-On, SSO）。當(dāng)用戶使用IDP為其提供的身份并向SP請(qǐng)求服務(wù)時(shí)，SP根據(jù)IDP的認(rèn)證結(jié)果判斷用戶身份是否合法，如果合

20、法則向用戶提供服務(wù)，否則拒絕服務(wù)。IdM的理想模型有力地保證了合法用戶享受服務(wù)的權(quán)力，保證了SP的合法權(quán)益不受侵害，保證了網(wǎng)絡(luò)活動(dòng)的可溯源性。“你是誰” 這是一個(gè)哲學(xué)終極問題 :-) :-) :-) :-)Page 29 lijun2003gmail IdM系統(tǒng)構(gòu)成用戶SP服務(wù)和IDP服務(wù)的消費(fèi)者類型多樣性信任等級(jí)不同SP應(yīng)用服務(wù)提供者IDP信任狀身份服務(wù)(Credential Identity Service)信任狀是用戶認(rèn)證或授權(quán)的數(shù)據(jù)，可以是數(shù)字證書或指紋虹膜等生物特征。標(biāo)識(shí)符身份服務(wù)(Identifier Identity Service)標(biāo)識(shí)符是分配給用戶的名字或表達(dá)式，可以與信任狀

21、永久綁定，也可以是非綁定的、臨時(shí)的。屬性身份服務(wù)(Attribute Identity Service)屬性是描述用戶身份相關(guān)性質(zhì)的信息，如名字、物理地址、聯(lián)系信息等。身份模式服務(wù)(Pattern Identity Service)身份模式是指用戶的聲譽(yù)、名譽(yù)、信任記錄以及歷史訪問記錄。這些信息可用來描述、標(biāo)識(shí)一個(gè)或者一類用戶的身份。Page 30 lijun2003gmail IdM服務(wù)模式查詢/應(yīng)答機(jī)制不同的IdM技術(shù)之間的互操作性是當(dāng)前的熱點(diǎn)關(guān)注問題Page 31 lijun2003gmail IdM通用框架(1)身份代理(2)身份驗(yàn)證服務(wù)(3)令牌服務(wù)(4)認(rèn)證服務(wù)(5)個(gè)人可確認(rèn)信息

22、服務(wù)(6)審查和監(jiān)控服務(wù)(7)身份屬性服務(wù)(8)信任狀管理服務(wù)(9)信用管理服務(wù)(10)有效性驗(yàn)證服務(wù)(11)注冊(cè)服務(wù)(12)身份與資源發(fā)現(xiàn)服務(wù)(13)身份關(guān)系服務(wù)(14)身份轉(zhuǎn)換以及橋接服務(wù)Page 32 lijun2003gmail IdM產(chǎn)品及應(yīng)用 - OpenID是什么OpenID是一種安全的、更快更容易地登錄web站點(diǎn)的方案。它是一個(gè)以用戶為中心的數(shù)字身份識(shí)別框架，是一個(gè)以URL為身份標(biāo)識(shí)的分散式身份驗(yàn)證解決方案，它具有開放、分散、自由等特性。OpenID的創(chuàng)建理念可以通過URL來認(rèn)證一個(gè)網(wǎng)站的唯一身份，同理，也可以讓每個(gè)人通過一個(gè)URL（一個(gè)OpenID身份就是一個(gè)URL），在多個(gè)

23、網(wǎng)站上進(jìn)行登錄，作為用戶的身份認(rèn)證。誰將擁有或控制OpenID？OpenID的出現(xiàn)緣于開源社區(qū)，其目的是為了解決現(xiàn)有技術(shù)所不能輕易解決的問題。OpenID不屬于任何人，任何人都可以選擇成為一個(gè)OpenID用戶或成為一個(gè)OpenID的免費(fèi)提供方，而不需要注冊(cè)或者被任何組織批準(zhǔn)允許。OpenID基金會(huì)的成立，目的是為了協(xié)助開源社區(qū)的管理和發(fā)展，以促進(jìn)和支持OpenID的擴(kuò)展和應(yīng)用 。Page 33 lijun2003gmail 基本原理與功能特色OpenID系統(tǒng)由三部分角色組成：End User ：終端用戶，使用OpenID作為網(wǎng)絡(luò)通行證的互聯(lián)網(wǎng)用戶； Relying Part（RP） ：Open

24、ID支持方，支持End User用OpenID登錄自己的網(wǎng)站 OpenID Provider（OP） ：OpenID提供方，提供OpenID注冊(cè)、存儲(chǔ)等服務(wù)。OpenID的功能特色是以用戶為中心的IdM系統(tǒng)：用戶可以自由控制身份信息及隱私策略能夠?qū)崿F(xiàn)單點(diǎn)登錄；具有開放的特性：使用URI、HTTP、SSL、Diffie-Hellman 等技術(shù)進(jìn)行身份信息的傳輸、認(rèn)證與共享用戶可以在不同OpenID 提供商之間轉(zhuǎn)換，具有較大的靈活性。Page 34 lijun2003gmail 優(yōu)點(diǎn)分析 - 用戶得到的好處對(duì)于用戶1. 1. 1. 1. 簡化注冊(cè)登錄流程：一定程度上避免了重復(fù)注冊(cè)、填寫身份資料的繁

25、瑣過程，不需要注冊(cè)郵件確認(rèn)，登錄更快捷。2. 2. 2. 2. 一處注冊(cè)，處處通行：免去記憶大量賬號(hào)密碼的麻煩，一個(gè)OpenID就在任何支持OpenID的網(wǎng)站自由登錄。3. 3. 3. 3. 減少密碼泄露風(fēng)險(xiǎn)：頻繁登錄各種網(wǎng)站，容易被垃圾網(wǎng)站暗地里收集密碼和資料，或者冒充用戶身份發(fā)送垃圾信息。4. 4. 4. 4. 用戶擁有賬號(hào)信息控制權(quán)：根據(jù)對(duì)網(wǎng)站的信任程度，用戶可以清楚的控制哪些profile信息可以被共享，例如姓名、地址、 號(hào)碼等。Page 35 lijun2003gmail 優(yōu)點(diǎn)分析 - 網(wǎng)站（RP）得到的好處對(duì)于網(wǎng)站（RP）1. 1. 1. 1. 共享用戶資源：給所有支持 OpenI

26、D 的網(wǎng)站帶來了價(jià)值。.用戶無需創(chuàng)建新帳號(hào)：已經(jīng)有相當(dāng)數(shù)量的高端注冊(cè)用戶可以直接使用，不必從零開始；.減少用戶管理系統(tǒng)成本：可以不負(fù)擔(dān)自己建立會(huì)員系統(tǒng)或登錄功能所需要的開發(fā)成本、機(jī)器、帶寬、安全費(fèi)用；.吸引用戶登錄：由于免去繁瑣的注冊(cè)操作，減少了記憶多個(gè)密碼的麻煩，用戶愿意登錄；.用戶數(shù)據(jù)是安全的：用戶數(shù)據(jù)不統(tǒng)一存儲(chǔ)，用戶可以任意選擇、更換存儲(chǔ)的server。沒有組織，沒有任何一個(gè)地方可以做root，沒有任何一個(gè)機(jī)構(gòu)或者個(gè)人能夠從這里面獲利。Page 36 lijun2003gmail 缺點(diǎn)分析 1. 任何人都可以建立一個(gè)網(wǎng)站提供Open

27、ID驗(yàn)證服務(wù)，而網(wǎng)站性能參差不齊，導(dǎo)致OpenID的驗(yàn)證過程不是很穩(wěn)定。2. 如果提供OpenID驗(yàn)證服務(wù)的網(wǎng)站突然關(guān)閉的話，可能會(huì)導(dǎo)致大量用戶無法使用多個(gè)網(wǎng)站的服務(wù)。3. 目前幾乎所有支持OpenID的網(wǎng)站都很謹(jǐn)慎地將其做為一種可供選擇的輔助登錄方法，這會(huì)在很大程度上阻礙OpenID的發(fā)展。4. 目前支持OpenID的網(wǎng)站還不算很多，其獨(dú)特的使用方法并不被多數(shù)用戶所熟悉。Page 37 lijun2003gmail 在國內(nèi)外的發(fā)展情況國外OpenID帳號(hào)的數(shù)量達(dá)到千萬獲得主流知名網(wǎng)站的支持國內(nèi)Relying Part: 樂鋪，OpenID Provider: OpenID ，豌豆，類OpenID: 單向有選擇性的開放，提供接口，通過合作或開放