EPC网络中的安全性基本要求

admin

本帖翻译自TS23.401的8.1　基本要求章节。

EPS系统的安全架构如图所示，安全系统的基本要求包括：

- EPS系统应该提供比Rel7 3GPP系统相同甚至更高的安全性。
- EPS系统在一个接入系统中的漏洞，不能影响其他接入系统的安全性。
- 归属运营商能够控制EPS系统的安全策略。
- 在UE移动的时候，业务提供者和终端应该感觉不到安全性的变化。
- 一个USIM如果已经被3GPP系统或者EPS系统鉴权之后，当改变接入系统的时候，该USIM不应该被要求重新鉴权，除非运营商特殊要求。
- EPS系统应该能够对没有授权的第三方隐藏用户ID。
- EPS系统应该能够阻止没有授权的用户获取一个合法IP地址，然后利用该IP地址进行通信或者对EPS系统进行攻击。
- EPS系统支持合法监听。
- EPS系统支持业务保护措施。
- EPS系统能够利用UICC上的USIM应用对用户进行鉴权，USIM同时也能够验证发起鉴权的EPC系统的合法性。
- EPS系统支持在UE和MME之间对NAS(非接入层)消息进行加密与完整性保护。

在EPC网络中采用的安全方式包括：
- 对用户平面，应进行加密；对RRC层，应进行加密和完整性保护；对NAS层，应进行加密和完整性保护；
- 防止未鉴权的EPS业务的使用（通过对UE的鉴权和业务请求的合法性来实现）
- 提供用户标识的保密性（通过临时标识和加密算方式）
- 提供用户数据和信令的保密性（通过加密方式）
- 提供信令数据的鉴权（完整性保护）
- UE对网络进行鉴权。

admin

8.2　鉴权和密钥管理

EPS系统支持网络对UE的鉴权，也支持UE对网络的鉴权，EPS鉴权程序是EPS AKA，具体参考3GPP TS33.401。 EPS系统支持对安全上下文（含密钥）的管理，具体参考3GPP TS33.401。

8.3　接入层的安全

EPS系统支持AS（接入层）的安全性，包括空中接口用户数据的加密和RRC信令的加密以及完整性。MME通过给eNodeB发送必要的安全参数，来触发RRC级别的AS安全模式命令，具体参考3GPP TS33.401。

8.4　非接入层的安全

EPS系统支持NAS(非接入层)的安全，包括UE到MME之间NAS信令的加密与完整性保护。MME用NAS Security Mode Command程序建立UE和MME之间的NAS安全连接。如果要改变安全算法，也可以用该程序。具体参考3GPP TS33.401。

8.5　用户标识的安全

EPS系统使用M-TMSI在UE和MME之间来标识用户，M-TMSI和IMSI的关系只有UE和MME知道。

8.6　移动性的安全

EPS系统支持当UE在E-UTRAN和UTRAN\GERAN之间移动的时候，不同接入系统之间的密钥可以相互映射。具体参考3GPP TS33.401。

hou3331

爱总，可以讲解下4G 鉴权向量到3G鉴权向量的映射关系吗？发觉SGSN从mme中取到的MM context vector和HSS下发的不一样。

爱卫生

hou3331 发表于 2013-10-28 16:57
爱总，可以讲解下4G 鉴权向量到3G鉴权向量的映射关系吗？发觉SGSN从mme中取到的MM context vector和HSS下发 ...

先复制、粘贴一段，请不要嫌弃。：
“标准的LTE终端接入LTE网络鉴权的流程如下。

(1)终端向网络发起接入请求，MME向HSS请求鉴权矢量。

(2)HSS中保存着与(U)SIM卡中相同的鉴权密钥K,HSS生成一个随机数RAND，与K生成四元组鉴权矢量“RAND、AUTN、XRES、Kasme”，发送给MME。

(3)MME向终端发送消息（携带RAND和AUTN)，启动鉴权流程，终端生成RES，返回给MME，MME将RES和XRES进行比对，相同则鉴权通过，不同则鉴权失败。

3GPP标准定义LTE与3G网络间互操作采用五元组鉴权，其鉴权流程如下（以终端从LTE网络切换到3G网络为例)。
(1)终端向SGSN发送接入请求。
(2)SGSN向MME获取用户上下文。
(3)MME返回给SGSN五元组鉴权矢量。
(4)SGSN向终端发送消息（携带RAND和AUTN)，启动鉴权流程。
(5)终端根据RAND和(U)SIM卡里的K计算出RES,发送给SGSN，SGSN比对RES和XRES，相同则鉴权通过,不同则鉴权失败，同时终端使用AUTN实现对网络的鉴权。”

hou3331

嗯，这个流程中碰到了2个问题：
1. MME向HSS只取了一组4元组鉴权向量，并立刻使用了，但接下来切换到SGSN后，MME还是给sgsn回复了一组5元组鉴权向量，不知是从哪儿来的？
2. SGSN用从MME取来的5元组对从MME RAU过来的UE鉴权，UE回复了synch failure，并在authentication response中带了一组不认识的AUTS？

hou3331

是不是MME应该在使用后直接清空4元组，并且不应该再把此值传递给SGSN？

hou3331

爱总，更新下这个问题：当从3G RAU到4G，MME可以使用从SGSN context response中接收过来的5元组鉴权向量吗？若不能用的话，是得直接从HSS提取，那对于sgsn传过来的鉴权向量，是再在4G->3G过程中传回给SGSN吗？想了解下3G和4G鉴权向量之间的映射。

爱总，更新下这个问题：当从3G RAU到4G，MME可以使用从SGSN context response中接收过来的5元组鉴权向量吗？若不能用的话，是得直接从HSS提取，那对于sgsn传过来的鉴权向量，是再在4G->3G过程中传回给SGSN吗？想了解下3G和4G鉴权向量之间的映射。

爱卫生

hou3331 发表于 2013-10-31 11:10
爱总，更新下这个问题：当从3G RAU到4G，MME可以使用从SGSN context response中接收过来的5元组鉴权向量吗？ ...

个人感觉可以。可以参考规范TS33.401。理论依据如下：“

6.1.6 Distribution of IMSI and UMTS authentication vectors between MMEs or between MME and SGSN
This subclause applies to both distribution of UMTS authentication vectors within one serving network domain and distribution of UMTS authentication vectors between different serving network domains. The following rules apply to the distribution of UMTS authentication vectors between two MMEs, and between an SGSN and an MME:
a) MME to MME
UMTS authentication vectors that were previously received from an SGSN shall not be forwarded between MME's.
b) SGSN to MME
An SGSN may forward unused UMTS authentication vectors to an MME. only if MME and SGSN are in the same serving network domain. SGSN可以将未使用的UMTS鉴权向量发送给MME。
c) MME to SGSN
UMTS AVs which were previously stored in the MME may be forwarded back towards the same SGSN.
UMTS AVs which were previously stored in the MME shall not be forwarded towards other SGSNs.”

因此，MME可以将没用的UMTS AV传回去，但不能传给其他的SGSN。只能是谁给我的，然后没用完又还给谁。

hou3331

多谢爱总的大力解答，后来在33.401，33.102中也找到此描述了，但还是有2个疑问：
1. 若SGSN收到了5组AV,这5组必须顺序发给UE鉴权吗？还是可以乱序发的？
2. 假如发生了authen synch failure，该怎么去复现和查证哦？

ccc123

学习了.....

kongshiwen

学习了，之前对这块一直处于朦胧状态.