Актуальность проблемы безопасности в сети LTEСтр 1 из 4Следующая ⇒
По мере развертывания LTE по всему миру, бесшовные коммуникации среди всех форм устройств и способов доступа к ядру All-IP LTE развиваются с каждым днем. Эти достижения приносят не только новые возможности для получения прибыли, но и новые и угрозы безопасности. Исторически сложилось так, что телекоммуникационные сети операторского класса безопаснее для пользователя. Однако, сегодняшняя инфраструктура связи является более уязвимой, чем ее предшественники. Интернет становится неотъемлемой частью всех коммуникаций. От брешей в системах безопасности корпоративных сетей страдают миллионы пользователей — и сети должны решать эти проблемы на всех уровнях. Атаки могут происходить в самых разных формах — вредоносные программы, мошеннические звонки, спам, вирусы, кражи личных данных, DDoS. Рост угроз безопасности является отчасти следствием растущего развертывания инфраструктуры доступа Wi-Fi и малых сот в общественных местах, офисах и домах. Каждое предприятие является точкой IP-доступа к сети, которая потенциально может быть использована в качестве отправной точки злоумышленниками и хакерами. Операторы и предприятия должны принимать меры по обеспечению сетевой безопасности, продолжая отвечать на растущий спроса на повсеместное покрытие и более высокую скорость передачи данных как в домохозяйствах, так и в корпоративном сегменте. Развертывание LTE является основным фактором угроз безопасности, так как архитектура LTE гораздо более плоская и IP-ориентированная, чем 3G, то есть в ней нужно меньше шагов, чтобы получить доступ к основной сети. В 3G-сетях контроллер радиосети (RNC) управляет всем доступом к базовым станциям, что означает, что потенциальные хакеры не могут подобраться к ядру сети. В LTE транспортная сеть является обязательной, но RNC узел исключается, что дает потенциальному злоумышленнику более прямой путь к ядру сети. Обеспечению безопасности в сетях LTE уделяется огромное внимание. В Release 8 утверждается, что в сети LTE должен существовать такой уровень безопасности, который был бы не ниже, чем в существующих сетях 3GPP с пакетной коммутацией и коммутацией каналов, а также процедура аутентификации не должна зависеть от типа и технологи сети доступа. Как и в любой сети, в сети LTE операторы хотят быть уверены, что пользователи и устройства, подключенные к их сетям, действительно те, за кого себя выдают, что эти пользователи получают доступ к тем сервисам, к которым они допущены и что они сети платят за эти используемые сервисы. Пользователи же в свою очередь хотят быть уверены, что их частная информация защищена, что целостность данных, которые они принимают и отправляют, не нарушена, что они всегда могут получить доступ к сервисам, на которые подписаны. В любой сети необходимо учитывать ожидания как оператора, так и пользователя, которые могут быть достигнуты только совместными усилиями производителей оборудования, системных интеграторов и сетевых операторов. Угрозами безопасности для сетей LTE служат: · взаимодействие сети LTE с внешними сетями, как «надежными», так и «не надежными» · размещение базовых станций eNodeB в доступных местах · осуществление «местной» защиты оборудования и данных. · несанкционированное использование сервисов сети. · нарушение конфиденциальности и целостности пользовательских данных (например, подслушивание). Основные изменения и дополнения, предназначенные для удовлетворения новых требований к обеспечению безопасности, были сформулированы следующим образом: · – иерархическая ключевая инфраструктура, в рамках которой для решения различных задач используются различные ключи; · – разделение механизмов безопасности для слоя без доступа (NAS), на котором осуществляется поддержка связи между узлом ядра сети и мобильным терминалом (UE), и механизмов безопасности для слоя с доступом (AS), обеспечивающего взаимодействие между оконечным сетевым оборудованием (включая набор базовых станций NodeB(eNB)) и мобильными терминалами; · – концепция превентивной безопасности, которая способна снизить масштабы урона, наносимого при компрометации ключей; · – добавление механизмов безопасности для обмена данными между сетями 3G и LTE.
В настоящий момент широко используются различные механизмы безопасности для сетей 3G, позволяющие обеспечить конфиденциальность пользовательских данных, аутентификацию абонентов, конфиденциальность данных при их передаче по протоколам U-Plane (пользовательские данные) и C-Plane (управляющие данные), а также комплексную защиту протокола C-Plane при его совместном использовании с другими международными стандартами обмена. Существуют четыре основных требования к механизмам безопасности технологии LTE: · – обеспечить как минимум такой же уровень безопасности, как и в сетях типа 3G, не доставляя неудобства пользователям; · – обеспечить защиту от Интернет-атак; · – механизмы безопасности для сетей LTE не должны создавать препятствий для перехода со стандарта 3G на стандарт LTE; · – обеспечить возможность дальнейшего использования программно-аппаратного модуля USIM (Universal Subscriber Identity Module, универсальная сим-карта). Последние два пункта обеспечиваются использованием механизма 3GPP AKA (Authentication and Key Agreement).
В конце концов, даже самая безопасная сеть не может защитить против «плохих» пакетов данных, которые она может получать от зараженных устройств. В этом случае, сеть должна иметь защиту на приемном конце соединения. Безопасность в сети, особенно в центрах обработки данных и узлах обслуживания, должна обеспечиваться приложениями безопасности с возможностями DPI (Deep Packet Inspection) для выявления скрытых угроз в пакетных потоках и предотвращения нападения на эти основные сетевые службы. Если сеть защищена, в ней не может быть никаких узких мест в производительности с точки зрения пропускной способности и задержки. Безопасность не может быть просто включенной; она также должна быть эффективной.
Процедура Attach С процедуры Attach (подключения) начинается каждый сеанс связи. При этом происходит регистрация UE(User Equipment) в сети, подсоединения UE к EPC(Evolved Packet System) для реализации услуг передачи пакетного трафика. Ядро сети организует сквозное соединение по протоколу IP: сквозной канал по умолчанию (default EPC bearer). После выполнения процедуры Attach могут быть добавлены один или несколько выделенных каналов (процедура Dedicated Bearer Establishment). При выполнении процедуры Attach происходит активизация или выделение абоненту IP-адреса. Предусмотриваются 3 варианта запуска процедуры: - когда UE находится в режиме с коммутацией пакетов, - когда UE находится в состоянии с коммутацией каналов/пакетов, - при организации срочных вызовов (emergency). При этом возможна ситуация, когда ММЕ (сеть) не поддерживает срочных вызовов. Существуют особенности процедуры Attach при межсистемных хэндоверах. Алгоритм процедуры приведен на рис.1[1]. Первое сообщение Attach Request (рис.1, п.1), которое UE посылает на eNB, содержит большое число параметров, в том числе: - идентификатор абонента (IMSI или GUTI = GUMMEI + M-TMSI), - идентификатор последней визитной зоны TAI (Tracking Area Identity), - UE Core Network Capability (возможность работы в разных сетях, поддержка IMS и проч.),тип процедуры (EPS Attach, Combined EPS/IMSI Attach, Emergency Attach), - параметры, необходимые для выполнения процедур безопасности, если они были установлены ранее. При этом UE может защитить целостность передаваемого сообщения Attach Request. При положительном результате проверки целостности пришедшего сообщения Attach Request ММЕ(Mobility Management Entity) использует для выполнения защиты информации хранящиеся в базе данных абонента вектора аутентификации. Attach Request также содержит указание требуемого типа пакетной сети (поддержка протоколов IPv4, IPv6 или IPv4/IPv6) и соответственный вариант IP-адреса. UE может установить прямой обмен параметрами с PDN GW (Packet Data Network Gateway) посредством РСО (Protocol Configuration Options), в том числе в зашифрованном виде. При этом UE передает на PDN GW имя точки доступа APN и совокупную максимальную скорость передачи в точке доступа APN-AMBR (Aggregated maximum Bit Rate). В п.2 eNB извлекает из Attach Request, переданного UE, идентификатор ММЕ, который обслуживал UE в предыдущем сеансе связи. Если eNB не имеет выхода на этот ММЕ, то он выбирает новый ММЕ, который будет обслуживать абонента. В сообщение Attach Request,направленном обслуживающему ММЕ, eNB дополнительно включает глобальный идентификатор зоны TAI и глобальный идентификатор соты ECGI (E-UTRAN Cell Global Identifier), откуда поступил запрос. TAI (Tracking Area Identity) состоит из кода страны, кода оператора и кода зоны TAC (Tracking Area Code – 16 бит). В ECGI в макро и микросетях идентификатор eNB определяют 20 бит, а в фемтосетях 28 бит являются кодом домашней базовой станции НeNB (Home eNodeB – домашняя базовая станция в фемтосоте сети LTE). Таким образом, уже на этапе подключения абонента к сети его можно локализовать с точностью до соты. П.3. Если произошла смена ММЕ после последнего сеанса связи, то новый ММЕ (new MME) пересылает Attach Request Message на старый ММЕ (old MME) для получения системного номера (IMSI) абонента. Старый ММЕ проверяет целостность полученного сообщения Attach Request и отвечает сообщением Identification Response. Оно содержит IMSI абонента и его базу данных (MM Context), сохраненную с предыдущего сеанса связи. Если база абонента удалена или целостность сообщения Attach Request нарушена, то старый ММЕ сообщает об ошибке и полностью производится процедура безопасности по протоколу ММ (пп. 4 – 6). П.4. Если идентификатор абонента IMSI не удалось определить, ММЕ посылает запрос абоненту Identity Request. Ответ Identity Response содержит IMSI. П.5а – процедуры взаимной аутентификации и установления режима шифрации выполняют обязательно, если параметры безопасности определяют заново. Если можно использовать результаты предыдущего сеанса связи, то необходимость выполнения п.5а определяет оператор. В п.5b осуществляют проверку мобильного терминала (IMEI – International Mobile Equipment Identity). П.6 выполняют в том случае, когда UE просит организовать в РСО шифрацию при передаче параметров подключения к IP-сети в PDN GW (п.1). П.7. Если при завершении предыдущего сеанса связи в контексте абонентских параметров, сохраненных в старом ММЕ, не были удалены параметры организованных сквозных каналов (процедура завершения сеанса связи Detach не была выполнена полностью), новый ММЕ удаляет эти каналы, посылая команду Delete Session Request в S-GW и PDN GW. PDN GW сообщает PCRF о завершении предыдущего сеанса связи и о высвобождении выделенного канального ресурса – блоки (Е) – (А). Это же относится и к блокам (F) – (B) п.10, когда произошла замена ММЕ. П.8. Если произошла смена ММЕ или база данных абонента в ММЕ организуется заново, то новый ММЕ направляет запрос Update Location Request в HSS(Home Subscriber Server – сервер данных абонентов домашней сети). HSS фиксирует идентификатор обслуживающего абонента ММЕ, даёт команду стереть базу данных абонента в старом ММЕ (Cancel Location, п.9) и посылает сообщение Update Location Ack) в новый ММЕ (п.11). В команде Update Location Ack передают IMSI абонента и Subscription Data – параметры услуг (PDN Subscription Context), которые могут быть предоставлены абоненту. В Subscription Data записаны параметры одной или нескольких услуг (РDN) для APN(Access Point Name). Каждая услуга в PDN Subscription Context содержит требования к качественным характеристикам: EPS Subscription QoS Profile. Новый ММЕ проверяет возможность обслуживания абонента в новой зоне. Если абонент не имеет прав на обслуживание в данной зоне, тогда ММЕ прерывает процедуру Attach, о чем UE получает соответствующее уведомление. П.12. Команда Create Session Request содержит все данные, которые необходимы для организации сквозного канала по умолчанию. В большинстве случаев UE передаёт имя точки доступа APN, что определяет адрес PDN GW. Если APN неизвестен, то ММЕ выделяет его по умолчанию. ММЕ выбирает S-GW(Serving Gateway – обслуживающий шлюз) и назначает идентификатор сквозного канала по умолчанию. В сообщении Create Session Request передают IMSI(International Mobile Subscriber Identity), MSISDN (Mobile Subscriber ISDN Number – номер абонента GSM/UMTS в сети ISDN), IMEI(International Mobile Equipment Identity), адрес PDN GW, параметры QoS организуемого канала, IP-адрес абонента, тип протокола на интерфейсе S5/S8, ECGI, временной пояс, где находится абонент, APN-AMBR(APN Aggregate Maximum Bit Rate – максимальная скорость передачи данных через точку доступа по каналу с негарантированной скоростью для UE) и ряд параметров, характеризующих сеть и особенности процедуры. CreateSession Request также содержит идентификатор туннеля TEID(Tunnel Endpoint Identifier – идентификатор конечной точки туннеля) на сигнальном интерфейсе S-11 в направлении S-GW → ММЕ. П.13. S-GW создаёт новую запись в таблице сквозных каналов и пересылает полученные от ММЕ параметры, в том числе информацию о локализации абонента, на PDN GW по адресу, указанному в команде (п.12). Сообщение (п.13) Create Session Request также сдержит конечные точки TEID туннелей в плоскости трафика и сигнальной плоскости на интерфейсе S5/S8 в направлении PDN GW → S-GW. Теперь S-GW готов буферизировать пакеты, следующие вниз от PDN GW. П.14. Получив сообщение Create Session Request, PDN GW осуществляет процедуру запуска сеанса связи IP-CAN (Connectivity Access Network) Session Establishment или его модификации (Modiification) в случае хэндовера. Всю информацию об абоненте и организуемой услуге: IMSI, IP-адрес абонента, APN, сеть обслуживания, данные о локализации и др. PDN GW направляет в PCRF(Policy and Charging Resource Function – узел управления ресурсами сети), который может принять, а может и изменить параметры QoS организуемого сквозного канала. При назначении тарифа для оплаты услуг используют данные о локализации абонента и часовом поясе, где он находится. П.15. PDN GW создаёт в базе данных сквозных каналов запись о новом канале и присваивает ему идентификатор для тарификации трафика (Charging Id). Теперь и в PDN GW, и в S-GW открыты базы данных абонента. Организуется сквозной канал для пакетного обмена между PDN GW и S-GW. Сообщение Create Session Response содержит все характеристики сквозного канала, в том числе варианты используемого протокола IP (IPv4 или IPv6). Активизируется PDN адрес абонента. Абонент может иметь статический или динамический адрес в домашней сети или получить динамический адрес в визитной сети. Выделение динамического адреса осуществляет DHCP (Domain Host Configuration Protocol). Для создания туннелей вверх на интерфейсе S5/S8 в Create Session Response передают TEID туннельных соединений в пользовательской и сигнальной плоскостях. Теперь пришедшие ранее пакеты данных из PDN GW могут быть переданы в буфер S-GW. П.16. Получив сообщение Create Session Response, S-GW заносит характеристики сквозного канала в базу данных и передаёт необходимые параметры в ММЕ для организации сквозного канала на интерфейсе S1 м радиоинтерфейсе. П.17. ММЕ передает на eNB 2 сигнальных сообщения. Внутреннее сообщение Attach Accept содержит параметры организованного сквозного канала, номер сигнального сообщения NAS(Non Access Stratum – недоступный слой (при сигнализации)) между UE и ММЕ и новый GUTI, если абонента стал обслуживать новый ММЕ. Сообщение Attach Accept в п. 18 будет далее переслано UE. В п.17 Attach Accept размещено в команде Initial Context Setup Request, где дополнительно для eNB передают параметры безопасности, а также сквозного канала на интерфейсе S1:, адрес S-GW и TEID туннеля вверх на S1. П.18. eNB направляет UE сообщение RRC Connection Reconfiguration, содержащее Attach Accept и идентификатор сквозного канала на радиоинтерфейсе EPS Radio Bearer Identity. UE получает имя точки доступа APN и активизированный IP-адрес. В ответном сообщении RRC Connection Reconfiguration Complete (п.19) UE подтверждает получение необходимой информации. П.20. Сообщение Initial Context Setup Response содержит адрес eNB и TEID сквозного канала вниз на интерфейсе S1. П.21. В сообщении Direct Transfer UE передаёт команду Attach Complete (идентификатор сквозного канала, номер сообщения NAS), адресованную ММЕ. eNB ретранслирует Attach Complete в ММЕ (п.22). После этого UE может начать передачу пакетов вверх. П.23. Сообщение Modify Bearer Request содержит идентификатор сквозного канала, адрес eNB, eNB TEID, что необходимо для организации на интерфейсе S1 туннеля вниз. При межсистемном хэндовере в Modify Bearer Request передают индикатор хэндовера и далее выполняют команды 23а и 23b (блок D). S-GW информирует PDN GW о завершении организации сквозного канала на участке eNB ‒ S-GW. Теперь пользовательские пакеты можно направлять на eNB по интерфейсу S1. П.24. Команда Modify Bearer Response является подтверждением получения команды Modify Bearer Request. Теперь модно начать прямую передачу пользовательских пакетов вниз. Сообщения пп.25 и 26 передают только в том случае, если ММЕ назначил для сквозного канала PDN GW отличный от того, что прописан в базе данных абонента в HSS. ММЕ информирует HSS о выбранном PDN GW и APN. HSS вносит их в базу данных абонента и отправляет в ММЕ подтверждение. Рис.1 Процедура Attach ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|