Современные
информационные технологии/4. Информационная безопасность
Носов Д.В., магистрант
Казахский агротехнический университет им. С.Сейфуллина. Республика
Казахстан
Некоторые особенности обеспечения
информационной безопасности в сетях LTE в сравнении с сетями мобильной
связи третьего поколения
Архитектура сетей LTE сильно отличается от
схемы, используемой в сетях третьего поколения, что обуславливает адаптацию и усовершенствование
механизмов обеспечения информационной безопасности. Существующие требования
таковы:
1.
иерархическая ключевая
инфраструктура, использующая решения различные ключи, в зависимости от задачи;
2.
отделение механизмов
безопасности для слоя без доступа от механизмов безопасности для слоя с
доступом;
3.
концепция «превентивной
безопасности», способствующая минимизации урона, вызванного компрометацией
ключей.
Широко используемые механизмы безопасности
для сетей 3G позволяют обеспечить аутентификацию абонентов, конфиденциальность
пользовательских данных, а также конфиденциальность данных при их передаче по
протоколам U-Plane и C-Plane, а также комплексную защиту протокола C-Plane при
его совместном использовании с другими международными стандартами обмена. Для
аутентификации применятся процедура аутентификации и согласования ключей AKA
(Authentication and Key Agreement). Базовые станции (eNB) осуществляют хранение
ключа шифрования только на период сеанса связи с мобильным терминалом. Рассмотрим
пример, когда связь с мобильным терминалом не установлена. Отличие от сетей третьего
поколения заключается в том, что ключ шифрования для закрытия управляющих
сообщений не хранится в памяти.
В сетях LTE алгоритмы шифрования и
обеспечения комплексной безопасности основываются на стандарте AES. Помимо этих
двух алгоритмов, технологией LTE используются два дополнительных алгоритма таким
образом, чтобы обеспечить безопасность телекоммуникационной сети даже в том
случае, если один из них будет взломан.
Для закрытия данных в сетях LTE
используется потоковое шифрование методом наложения на открытую информацию псевдослучайной
последовательности с помощью оператора «исключающее или», аналогично сетям
третьего поколения. Следует отметить тот факт, что псевдослучайная
последовательность практически никогда не повторяется. Алгоритмы, выработки
псевдослучайной последовательности вырабатывают последовательность конечной
длины. Следовательно, для предотвращения коллизий ключи, используемые для
генерации псевдослучайной последовательности, регулярно изменяются (например, в
случае подключении устройства к сети, при инициализации передачи данных и т.д.).
Так же, как и в сетях третьего поколения,
приложение USIM и Центр аутентификации (AuC) осуществляет предварительное
распределение ключей (ключа К). Когда механизм AKA инициализируется для осуществления
двусторонней аутентификации пользователя и сети, генерируются ключ шифрования
CK и ключ общей защиты, которые затем передаются из программного обеспечения
USIM в Мобильное оборудование (ME) и из Центра аутентификации в Центр
регистрации (HSS).
Мобильное оборудование и Центр регистрации,
используя ключевую пару (CK;IK) и ID используемой сети, вырабатывает ключ
KASME. Устанавливая зависимость ключа от ID сети, Центр регистрации гарантирует
возможность использования ключа только в рамках этой сети. Далее KASME
передается из Центра регистрации в устройство мобильного управления (MME)
текущей сети, где используется в качестве базовой информации ключевой иерархии.
На основании KASME вырабатывается ключ
KNASenc, необходимый для шифрования данных протокола NAS между мобильным
устройством и устройством мобильного управления (MME), и ключ KNASint,
необходимый для защиты целостности. Когда мобильное устройство подключается к
сети, MME генерирует ключ KeNB и передает его базовым станциям.
В свою очередь, из ключа KeNB
вырабатывается ключ KUPenc, используемый для шифрования пользовательских данных
протокола U-Plane, ключ KRRCenc для протокола RRC (Radio Resource Control -
протокол взаимодействия между Мобильными устройствами и базовыми станциями) и
ключ KRRClint, предназначенный для защиты целостности.
Литература:
1. Хенкин П.,
Трофимова О.: «Защита данных в сетях LTE».
2. Dan Forsberg,
Günther Horn, Wolf-Dietrich Moeller and Valtteri Niemi «LTE Security», 2010 John Wiley &
Sons