Şifreleme yoluyla LTE Güvenlik Uygulaması nasıl

Şifreleme (hem kontrol düzlemi (RRC) verileri hem de kullanıcı düzlemi verileri) ve bütünlük koruması (yalnızca kontrol düzlemi (RRC) verileri için) yoluyla güvenlik uygulayın; bu, PDCP katmanının sorumluluğundadır. Bir PDCP Veri PDU sayacı (LTE spesifikasyonlarında “COUNT” olarak bilinir), algoritma güvenliğine girdi olarak kullanılır. COUNT değeri, RRC bağlantısı sırasında her PDCP PDU verisi için artırılır ve RRC bağlantısı için kabul edilebilir bir süre sağlamak amacıyla 32 bit uzunluğa sahiptir.

Bir RRC bağlantısı olduğunda, sayım hem UE hem de eNodeB tarafından iletilen/alınan her PDCP veri PDU’sunu sayarak sürdürülür. Paket kaybına karşı sağlamlığı sağlamak için, korunan her PDCP PDU verisi, sayımın en az önemli bitlerine karşılık gelen bir PDCP sıra numarası (SN) içerir. Dolayısıyla, bir veya daha fazla paketin kaybolması durumunda, yeni bir paketin doğru sayım değeri PDCP SN kullanılarak belirlenebilir. Bu, sayım değerinin, en az anlamlı bitlerin PDCP SN değerine karşılık geldiği bir sonraki en yüksek sayımla ilişkili olduğu anlamına gelir.

Kullanıcı ekipmanı ile eNodeB arasındaki sayım değerinin senkronizasyonunun kaybı, maksimum SN’ye karşılık gelen bir dizi paketin ardı ardına kaybolması durumunda meydana gelebilir. Prensip olarak, bu tür bir senkronizasyon kaybının meydana gelme olasılığı, her bir PDCP veri PDU setindeki sayım değerinin iletiminin ölçümünde bile, SN’nin uzunluğunun arttırılmasıyla en aza indirilebilir. Ancak bu, güçlü bir aşırı yüke neden olur ve bu nedenle SN olarak yalnızca en önemsiz bitler kullanılır; gerçek uzunluğun SN’si, PDU’nun yapılandırmasına ve türüne bağlıdır.

Sayacın bu kullanımı, saldırganın daha önce COUNT kullanılarak hesaplanan bir paketi ele geçirmeye çalıştığı, tekrarlama saldırısı olarak bilinen bir saldırı türüne karşı koruma sağlamak üzere tasarlanmıştır; ardışık modelleri karşılaştırarak kullanılan model türetmeyi ve şifreleme anahtarını hedef alan saldırılara karşı koruma sağlar. . COUNT değerinin kullanılması nedeniyle aynı paket iki kez iletilse bile şifre modeli iki iletim arasında tamamen korelasyonsuz hale gelecek ve böylece olası güvenlik ihlallerinin önüne geçilecektir.

Bütünlük koruması, her RRC mesajı için “Bütünlük için Mesaj Kimlik Doğrulama Kodu” (MAC-I) olarak bilinen bir alanın eklenmesiyle gerçekleştirilir. Bu kod, erişim katmanından (AS) türetilen anahtarlara, mesaj kimliğine, yöndeki radyo taşıyıcısına (yukarı bağlantı veya aşağı bağlantı yani) ve COUNT değerine dayanır.

Bütünlük kontrolü başarısız olursa mesaj atılır ve RRC katmanı için bütünlük doğrulama hatası gösterilir, böylece yeniden RRC bağlantı prosedürü gerçekleştirilebilir. Şifreleme, türetilmiş anahtarlar AS, radyo taşıyıcısı kimlik yönü (yani yukarı bağlantı veya aşağı bağlantı) ve COUNT değeri temelinde şifreleme algoritması tarafından oluşturulan mesaj ve şifreleme akışıyla bir XOR işlemi gerçekleştirilerek gerçekleştirilir.

Şifreleme PDCP Veri PDU’suna uygulanabilir. PDCP Kontrol PDU’su (ROHC geri bildirimi veya PPPC durumuna ilişkin raporlar gibi) şifrelenmez veya bütünlük korumalı değildir. Aynı yeniden iletimler haricinde, aynı COUNT değerinin anahtar güvenliği için birkaç kez kullanılmasına izin verilmez. ENodeB, radyo taşıyıcı kimliği tabanlı anahtar ve AS algoritmasının aynı kombinasyonunun yeniden sayılmasını önlemekten sorumludur. Bu tür bir yeniden kullanımı önlemek için, eNodeB örneğin ardı ardına birimler taşıyan farklı radyo radyo taşıyıcısı kimliklerini kullanabilir, bir hücreyi tetikleyebilir veya boşta bağlı ve tekrar bağlı UE’nin durum geçişini tetikleyebilir.

Recent Updates

Related Posts