슬라이드 제목 없음 - krnet · 보안 메커니즘 및 프로토콜 보안...

ETRI

IMT-2000 Security 2003. 6. 26.

정보보호연구본부 정보보호기반연구팀

류 희 수 연락처 : [email protected]

Krnet 2003 정보보호기반연구팀/정보보호연구본부

P.2

목 차

▣ 3G Security Overview

▣ WCDMA Security Architecture

▣ WCDMA Access Security Mechanism

ETRI

3G Security Overview


P.4

3G security objects

▣사용자에 의해 생성되거나 사용자에 관련된 정보 보호

▣SN(Serving Network)와 HE(Home Environment)에 의해

제공되는 자원과 서비스 보호

▣보안 특성(security feature)들은 상호 운영성과 로밍을

보장하도록 표준화

▣표준화된 보안 특성들은 국제적인 availability 보장

▣고정망에 비할만한 security 제공

▣2G 시스템의 보안 특성들을 유지하거나 강화


P.5

3G Security Threats ▣중요 데이터에 대한 불법적인 액세스(기밀성 침해)

◈ 도청, 위장, 트래픽 분석, 위치 정보 노출

▣중요 데이터에 대한 불법적인 조작(무결성 침해) ◈ 수정, 삽입, 재연, 삭제 등의 메시지 조작

▣서비스 거부 공격(denial of service attack) ◈ 허가된 사용자의 서비스 사용을 방해

◈ 자원 소비

◈ 통신 개체로 위장하여 서비스 거부

◈ 긴급 서비스 남용

▣부인(repudiation) ◈ 과금 부인, 트래픽 출처 부인, 트래픽 전달 부인

▣서비스에 대한 불법적인 접근 ◈ 사용자, SN, HE로 위장


P.6

3G Security Requirements ▣ 3G 서비스의 시큐리티에 관한 요구 사항들

◈ 안전한 서비스 접근에 관한 요구 사항

– 3G 서비스 접근을 위해 유효한 USIM 요구

– 공격자가 허가된 사용자로 위장하여 3G 서비스에 허가되지 않은

접근을 획득하는 것을 방지

◈ 안전한 서비스 제공에 관한 요구 사항

– 서비스의 시작 또는 서비스 제공 과정에서 사용자 인증

– 서비스의 잘못된 사용을 검출하고 방지: 시큐리티 관련 이벤트에

대한 alarm 발생 및 audit log 유지

– 특정 USIM의 접근을 방지

– 무선 인터페이스 상에서 사용자 트래픽, 시그널링 데이터, 제어

데이터의 출처를 인증

– Network operator들간에 안전한 인프라 존재


P.7

3G Security Requirements

▣시스템 무결성에 관한 요구 사항

◈사용자 트래픽의 무결성 보호

◈특정 시그널링 데이터와 제어 데이터의 무결성 보호

◈단말기 또는 USIM으로 다운로드되거나 저장된 사용자 관련 데

이터의 무결성 보호

◈Service provider에 의해 저장되거나 처리되는 사용자 관련 데

이터의 무결성 보호

◈단말기 또는 UICC에 다운로드된 어플리케이션 또는 데이터의

출처와 무결성 보호

◈인증 데이터의 출처, 무결성, freshness 보장

◈operator들간에 안전한 인프라 존재


P.8

3G Security Requirements ▣개인 데이터의 보호에 관한 요구 사항

◈사용자 관련 전송 데이터의 시큐리티

– 사용자 트래픽, 특정 시그널링 데이터와 제어 데이터의 기밀성 보

호

– 사용자 identity 데이터 기밀성 보호

– 사용자에 관한 위치 데이터 기밀성 보호

– 기밀성이 보호되는지의 여부를 사용자가 확인할 수 있어야 하고,

최소한의 사용자 activity를 요구해야 한다

◈사용자 관련 저장 데이터 보호

– Provider에 의해 저장되거나 처리되는 사용자 관련 데이터의 기밀

성 보호

– 단말기 또는 USIM에 저장된 사용자 관련 데이터의 기밀성 보호


P.9

3G Security Requirements

▣단말기/USIM에서 요구 사항

◈도난/복제 단말기/USIM 식별

◈USIM의 보안 관련 데이터 접근 제어

◈단말기 identity 조작 방지

◈특정 단말기의 접근을 방지


P.10

보안 메커니즘 및 프로토콜

▣보안 메커니즘(Security mechanism)

◈보안 특성을 구현하기 위해 사용되는 수단

▣3G 보안 메커니즘 요구사항

◈최소의 long-distance real-time signalling 요구

◈최소의 상호간 사전 협의(pre-arrangement) 요구

◈암호학적 키 관리 수단 요구

◈암호 키의 분배 및 변경의 용이성

◈interoperability와 roaming에 필요한 범위까지 표준화 요구

◈메커니즘 갱신과 수정을 위해 version control management 지

원 요구

◈보안 위반의 발견, 통지, 시스템 회복 수단 제공


P.11

보안 메커니즘 및 프로토콜 (계속)

◈법적 요구 사항 만족

◈사용자 이동성과 단말기 이동성 모두를 지원

– 사용자 관련 보호 특성과 단말기 관련 보호 특성의 독립적 취급

▣기밀성(confidentiality)

◈허가되지 않은 개체에게 정보가 노출되는 것을 방지

◈대칭키 암호 알고리즘과 비대칭키(공개키) 암호 알고리즘

◈하나 이상의 알고리즘 존재 가능

◈로밍을 위해 표준화 필요


P.12


▣무결성(Integrity)

◈데이터가 불법적으로 변경되는 것을 방지

(1) 대칭키 기법

◈MAC(Message Authentication Code) : 비밀키 요구

◈MDC(Manipulation Detection Code) : MDC 값을 암호화하여 전송

(2) 비대칭키 기법

◈부가형 디지털 서명 사용

◈계산 복잡성


P.13


▣인증(authentication)

◈통신에 참여하는 개체들의 신분과 데이터의 출처를 보증

(1) 대칭키 기반 메커니즘

◈UIM 또는 secured database에 저장된 공유 비밀키를 이용한 one-way function 기반 challenge-response 형태

◈ID와 비밀키의 연관성 증명

◈장점

– 단순하고 빠른 알고리즘, 소량의 data량

◈단점

– 키 분배와 안전한 database 관리

– 확장성의 문제


P.14


▣인증 (계속)

(2) 비대칭키 기반 메커니즘 ◈공개키 알고리즘 기반 디지털 서명 형태의 인증

◈공개키 분배 방식 : certificate, 공개 database

◈장점 – 키 관리의 효율성

– 확장성

◈단점 – 계산 복잡성과 많은 data량

– certification authority 요구

단순성과 고속성으로 인해 3G 시스템은 대칭키 기반 메커니즘 사용


P.15


대칭키 기반 인증

난수 : r

C

K : 공유 비밀키

C = EK(r, Alice) C =? EK(r, Alice)

공개키 기반 인증

c = Epk(r, Bob)

공개키 pk, 개인키 : sk

(r, Bob) = Dsk(c)

r

공개키 pk

pk


P.16


▣익명성(anonymity)

◈관계된 개체들의 신분을 숨기는 것

(1) 대칭키를 사용한 임시 ID(temporary identity)

◈disposable and short lifetime

◈한 location area에서만 유일, 모든 위치 갱신에서 재할당됨

◈임시 ID 할당은 암호화에 의해 안전하게 보호되어야 함

◈장점

– 짧은 길이

◈단점

– 중복 가능성(부가적 메시지 요구)

– 에러 발생시 영구 ID 사용(ID 노출)


P.17


▣익명성 (계속)

(2) 비대칭키 기반 ID 비밀성(confidentiality)

◈영구 ID를 난수와 함께 공개키 암호 알고리즘을 이용하여 암호화하여 전송

◈장점

– temporary ID 요구하지 않음

– ID 노출 완전 방지

◈단점

– 보다 긴 암호화된 ID


P.18


▣사용자 증명(user verification) ◈UIM/단말기의 실제 사용자인지를 검사

◈두 가지 방법 – One-way protocol : PIN(personal identity number) 이용

– challenge/response protocol

▣등록(registration) ◈각 단말기는 고유한 단말기 ID를 가짐

◈네트워크는 단말기의 ID를 요구

◈네트워크는 단말기 ID 리스트의 DB 유지 : white list, gray list, black list

▣Call count

◈복제 검출의 한 방법

◈네트워크로부터의 명령에 의해 UIM에서 갱신됨


P.19


◈특정 UIM이 불연속적인 count 값을 가지면 적법한 UIM으로 위장한 복제인 것으로 판단

◈단말기 복제 검출을 위해 단말기 ID와 관련된 call count를 가지는 형태로 적용 가능

▣부인 방지(Non-repudiation)

◈데이터가 전송자에 의해 전송되거나 수신자에 의해 수신되었다는 사실을 전송자나 수신자가 나중에 부인하는 것을 방지

◈비대칭 알고리즘을 이용한 디지털 서명 기법 사용

ETRI

WCDMA Security Architecture (TS 33.102 중심)


P.21

WCDMA 보안 개요

▣GSM security의 토대 위에 구성

◈GSM으로부터 필요한 security 요소들 채택

◈GSM망과의 연동성(compatibility) 보장

▣GSM security의 문제점들을 수정

◈단말기와 네트워크의 상호 인증 제공

◈강한 encryption과 integrity 알고리즘을 위한 키 길이의 증

가 (64bits 128bits)

▣새로운 security 요소들을 추가

◈3G에 의해 제공되는 새로운 서비스에 필요한 security 제공

◈Network architecture의 변화를 고려


P.22

GSM Security의 문제점

▣Unilateral authentication

◈네트워크에게 사용자 인증만 제공

▣Active attack

◈False BTS와 같은 네트워크 개체로 위장하는 것이 가능

▣Key transmission

◈암호 키들이 네트워크 내에서 평문으로 전달됨

▣Channel hijack

◈Radio channel hijack에 대한 보호는 암호화에 의존하지만, 대부분의 네트워크는 암호화를 사용하지 않음

▣ Implicit data integrity

◈Integrity 알고리즘이 제공되지 않음


P.23

GSM Security의 문제점

▣Weak cryptographic algorithm

◈짧은 키 길이. 인증 알고리즘(A3, A8)과 암호화 알고리즘(A5)이 취약함


P.24

New Security Features

▣Mutual authentication

◈네트워크와 사용자가 서로를 상호 인증

▣Explicit integrity

◈무결성 알고리즘에 의해 데이터 무결성이 보장됨

▣Network security

◈네트워크내 그리고 네트워크 사이에 보안이 제공됨

▣Switch based security

◈BS가 아닌 스위치 내에서 시큐리티가 제공됨

▣Visibility and Configurability


P.25

WCDMA 보안 구조

Home

stratum/

Serving

Stratum

USIM HE/AuC ME

Transport

stratum MT

SN/

VLR/

SGSN

AN

Application

stratum User Application Provider Application

III.

IV.

I.

I. I.

I.

I.

II.

Ⅰ. 네트워크 접근 보호

(Network access security)

Ⅱ. 네트워크 영역 보호

(Provider domain security)

Ⅲ. 사용자 영역 보호

(User domain security)

Ⅳ. 응용 영역 보호

(Application security)


P.26

WCDMA 보안 특성

▣네트워크 접근 보호

◈사용자 신분 비밀성

– 사용자 ID 비밀성, 사용자 위치 비밀성, 사용자 추적 불가능성

임시 ID에 의해 신분 확인, 방문망이 변경될 때마다 임시 ID 재할

당 필요

사용자 신분 정보에 관련된 모든 데이터의 암호화 필요

◈개체 인증

– 사용자 인증, 네트워크 인증

사용자와 네트워크 사이의 연결 설정에서 발생

상호 인증 메커니즘 필요


P.27

WCDMA 보안 특성 (계속)

◈비밀성

– 암호화 알고리즘 일치, 암호화 키 일치

인증과 키 일치(Authentication and Key Agreement: AKA) 메커니

즘 필요

– 사용자 데이터 암호화, Signalling 데이터 암호화

암호화 메커니즘 필요

◈무결성

– 무결성 알고리즘 일치, 무결성 키 일치

인증과 키 일치 메커니즘 필요

– 데이터 무결성과 데이터 출처 인증

무결성 알고리즘 필요


P.28


▣네트워크 영역 보호

◈핵심망의 signalling 프로토콜 보호

◈전송(transport) 프로토콜로 IP가 사용되는 경우, 네트워크 계층

에서 보호 : IPSec

◈SS7 기반 전송이 사용되는 네트워크들 사이에서는 응용 계층에

서 보호

◈데이터 무결성, 데이터 출처 확인, 재연 공격 방지, 비밀성 제공

등이 필요

▣사용자 영역 보호

◈사용자와 USIM 사이의 인증

– PIN과 같은 공유 비밀 데이터 이용


P.29


◈USIM과 단말기 사이의 안전한 접근 제공

– USIM과 단말기에 안전하게 저장된 비밀 데이터 공유

▣응용 영역 보호

◈응용 서비스에서 전송되는 메시지 보호

◈개체 인증, 데이터 무결성, 데이터 출처 인증, 재연 공격 방지, 수신 증명, 데이터의 비밀성 등

ETRI

WCDMA Access Security


P.31

WCDMA Access Security 구조


P.32

사용자 식별

▣TMSI(Temporary Mobile Subscriber Identity)

◈방문망에서 할당하고, 그 망에서만 의미를 가짐

◈외부에서는 망 식별자 LAI가 동반됨

▣TMSI 구성

◈4 octets

◈All 1 인 TMSI : 유효하지 않은 TMSI 표시

◈Structure와 coding은 운영자와 서비스 제공자의 요구에 맞게 결정

◈암호화된 형태로 할당

◈SGSN 서비스와 MSC 서비스 구분을 위해 상위 2비트 할당

– 00, 01, 10 ; MSC-based 서비스

– 11 : SGSN-based 서비스


P.33

사용자 식별 (계속)

▣LAI(Location Area Identity)

◈ 5 octets

◈ 3개의 식별 값으로 구성

– MCC(Mobile Country Code) : GSM PLMN 망이 소속된 국가 코드(3 digits)

– MNC(Mobile Network Code) : 한 국가 내에서 PLMN에 해당하는 식별 값(2 ~ 3 digits)

– LAC(Location Area Code) : 한 GSM PLMN에서 Location Area 식별 값(2 octets)


P.34


▣ TMSI 할당 절차

◈ 무선 구간이 암호화 모드일 때 수행되며 VLR에 의해 시작됨

(1) VLR은 새로운 TMSI 생성, IMSI와 함께 DB에 저장

(2) VLR은 TMSI를 사용자에게 전송, 필요하다면 새로운 LAI와 함께 전송

(3) 사용자는 이전의 TMSI를 새로운 TMSI로 갱신, 할당 완료 메시지 전송

(4) VLR은 DB에서 이전의 TMSI 제거

▣ 방문자망 갱신

◈ 방문자망 VLRn이 이전 방문망 VLRo 과 다른 경우, VLRn 은 TMSI와 관련된 IMSI 등의 데이터가 없음

◈ VLRo 에 요청하여 TMSI를 이용한 사용자 확인 수행


P.35


▣ IMSI에 의한 사용자 신분 확인

◈ TMSI에 의해 IMSI 확인이 되지 않거나 TMSI로부터 유도된 IMSI를 이용한 인증 절차가 실패한 경우

◈ VLR에 의해 시작됨

(1) VLR은 사용자에게 IMSI를 보낼 것을 요구

(2) 사용자는 자신의 IMSI가 포함된 응답 메시지를 전송

◈ IMSI가 평문으로 전달됨

– 사용자 ID 비밀성 보장이 되지 않음


P.36


▣ IMSI(International Mobile Subscriber Identity)

◈Mobile Country Code(MCC)

– 3 digit, Mobile subscriber의 국가를 유일하게 표현

MCC

Not more than 15 digits

3 digits 2 or 3 digits

MNC MSIN

NMSI

IMSI


P.37


◈Mobile Network Code(MNC)

– 2~3 digit, Mobile subscriber의 home GSM PLMN을 표현

◈Mobile Subscriber Identification Number(MSIN)

– GSM PLMN내의 mobile subscriber를 나타냄

◈National Mobile Subscriber Identity(NMSI)

– MNC와 MSIN으로 구성


P.38

▣사용자와 네트워크의 상호 인증

◈USIM과 AuC가 공유한 비밀키의 지식을 보임으로써 수행

▣암호화 키/무결성 키 일치 프로토콜

◈암호화 키(cipher key) : CK (128 bit)

◈무결성 키 (integrity key) : IK (128 bit)

◈CK/IK가 이전에 사용된 적이 없음을 사용자와 네트워크에 보장

ISO/IEC 9798-4에 기술된 네트워크 인증을 위한 sequence number 기반 one-pass 프로토콜과 결합된 GSM 가입자 인증과 키 설정 프로토콜과 유사한 challenge/response 프로토콜

인증과 키 일치 : Authentication and Key Agreement(AKA)


P.39

Authentication and Key Agreement(AKA) (계속)

▣AuC와 USIM은 다음을 공유

◈사용자 고유의 비밀키(secret key) : K

◈메시지 인증 함수 : f1, f1*, f2

◈키 생성 함수 : f3, f4, f5, f5*

▣AuC는 난수 생성기(random number generator) 필요함

▣AuC은 새로운 수열(fresh sequence number)을 생성하는

기법 필요함

▣USIM은 전달된 수열의 freshness를 검증하는 기법 필요함


P.40

AKA 메커니즘 개요

USIM SN/VLR HE/AuC

인증 데이터 요구 , IMSI

인증 데이터 응답 , AV(1..n)

인증 벡터들 AV(1..n) 생성

인증 벡터들 저장

사용자 인증 요구

RAND(i) || AUTN(i)

HE에서 SN으로의

인증 벡터들의 분배

사용자 인증 응답

RES(i)

AUTN(i) 증명(네트워크 인증)

RES(i) 계산

RES(i)와 XRES(i)의 비교

CK(i)와 IK(i)의 계산 CK(i)와 IK(i) 선택

인증과 키 설정

인증 벡터 AV(i) 선택 (AV(i) =RAND || XRES || CK || IK || AUTN) (AUTN=SQN||AMF||MAC)


P.41

인증 벡터 생성 및 분배

▣인증 벡터 생성 : 사용자의 홈망에 연결된 AuC에서 생성

RAND

f1 f2 f3 f4 f5

SQN 생성

RAND 생성

SQN

AMF

K

MAC XRES CK IK AK

AUTN = SQN[ AK]||AMF||MAC

Quintet = RAND||XRES||CK||IK||AUTN

optional


P.42

인증 벡터 생성 및 분배 (계속)

▣AuC에서 사용되는 AKA 함수 입/출력 파라메터

입력 & 길이 출력 & 길이

f0 난수 발생 알고리즘 내부 상태 RAND

128bits

f1 네트워크 인증 함수 SQN, RAND, AMF

192bits MAC-A (XMAC-A)

64bits

f1* 재동기화 메시지

인증 함수 SQN, RAND, AMF

192bits MAC-S (XMAC-SA)

64bits

f2 사용자 인증 함수 RAND 128bits

RES (XRES) 32 ~ 128 bits

f3 암호화 키 생성 함수 RAND 128bits

CK 128bits

f4 무결성 키 생성 함수 RAND 128bits

IK 128bits

f5 익명 키 생성 함수(옵션) RAND 128bits

AK 48bits


P.43

인증 벡터 생성 및 분배 (계속)

▣인증 벡터 분배

◈VLR이 사용자 인증을 위해 인증 벡터가 필요한 경우, 사용자의 IMSI로

부터 사용자의 HLR을 알아내어 HLR/AuC로 인증 벡터 생성 요구 메

시지를 전송

◈HLR/AuC는 해당 사용자의 비밀키를 이용하여 인증 벡터 쌍을 생성하

여 VLR로 전송


P.44

MS와 VLR간의 AKA

▣MS와 VLR의 상호 인증, 새로운 암호화 키와 무결성 키 설정

▣MS와 VLR 간에 AKA를 수행하는 경우

◈VLR이나 HLR에서 가입자 관련 정보 요소의 변경

– 예 : 서비스 변경 또는 VLR 변경

◈서비스에 접속

◈MSC/VLR이 restart 한 후, 네트워크에 처음 접속

◈암호화 키, 무결성 키의 불일치


P.45

MS와 VLR간의 AKA (계속)

▣AKA 절차

◈VLR이 RAND, AUTN을 포함한 Authentication Request 메시지

전송

◈USIM은 XMAC 계산하여 VLR로부터 수신한 MAC과 같은지 비

교

– XMAC MAC : 네트워크에 대한 인증 실패, Authentication

Reject 메시지를 VLR로 전송

– XMAC = MAC

– VLR로부터 수신한 SQN과 USIM에 저장된 SQNMS 값을 비교하여

SQN의 유효성 판별

– 유효한 경우 RES를 포함한 Authentication Response 메시지 전송

– 유효하지 않은 경우, SQN 실패를 알리는 파라메터와 재동기화에 필

요한 AUTS를 구성하여 Authentication Failure 메시지를 전송


P.46

MS와 VLR간의 AKA (계속)

◈VLR이 MS로부터 Authentication Response 메시지를 수신한 경

우

– VLR은 자신이 갖고 있던 XRES와 비교하여 같으면 새로운 암호화 키

와 무결성 키를 포함한 Security Mode Command 메시지를 RNC로

전송하여 보안 모드 협정 단계로 들어감

◈VLR이 MS로부터 AUTS를 포함한 Authentication Failure 메시지

를 수신한 경우

– HLR과 재동기화 과정을 수행

◈VLR이 MS로부터 MAC 실패에 기인한 Authentication Reject 메

시지를 수신한 경우

– 인증 실패를 알리는 Authentication failure report 를 HLR에게 전송

– HLR은 정책에 따라 IMSI에 의한 신원 확인 및 인증 벡터 분배 과정

을 다시 수행


P.47

USIM에서 인증과 키 유도 과정

f1 f2 f3 f4

K

XMAC RES CK IK

MAC = XMAC 확인

SQN이 올바른 범위에 있는지 확인

f5

RAND

AK

SQN

SQN[ AK] AMF MAC

AUTN optional


P.48

재동기화 과정 ▣AUTS

◈USIM에서 SQN과 SQNMS를 비교하여 재동기화가 필요하다고 판단될 때 구성하여 보내는 토큰

SQNMS

AMF*

RAND

f1* XOR f5*

MAC-S AK SQNMS AK

K

AUTS=SQNMS[ AK]||MAC-S

optional

optional


P.49

재동기화 과정 (계속)

▣ AuC에서 재동기화 과정 ◈ HLR/AuC는 VLR로부터 AUTS와 RAND를 전송받아 재동기화

수행

(1) f5*(RAND) 계산, (SQNMSAK*)와 XOR하여 SQNMS 를 얻음

(2) SQNHE 와 SQNMS 를 비교하여 SQNHE 가 올바른 범위에 있는지 확인

– 올바른 범위에 있는 경우 : SQNHE 를 이용하여 생성한 새로운 인증 벡터를 VLR로 전송

– 올바른 범위에 있지 않는 경우 : f1*(SQNMS, AMF*, RAND)를 계산하여 AUTS에 포함된 MAC-S와 비교 – 일치하는 경우 : SQNHE 를 SQNMS 로 설정한 후 새로운 인증 벡터를

생성하여 VLR로 전송

– 일치하지 않는 경우 : SQNHE 를 그대로 이용하여 새로운 인증 벡터를 생성하여 VLR로 전송

(3) 인증 벡터를 받은 VLR은 이전의 인증 벡터들을 삭제한 후, 다시 AKA 과정을 실시


P.50

암호화 /무결성 키의 라이프타임과 식별

▣ 키의 라이프타임

◈액세스 링크 키에 의해 보호되는 데이터 양을 제한

◈USIM은 STARTCS와 STARTPS을 CK/IK와 함께 저장

◈STARTCS와 STARTPS가 THRESHOLD에 도달하면, CK/IK를 삭제하고 새로운 액세스 링크 키 생성 개시

▣ KSI(Key Set Identifier)

◈인증 절차가 완료된 후, CK/IK에 할당되는 값

◈네트워크가 인증 과정 수행없이 CK/IK를 식별할 수 있게 함

– 연속적인 연결 설정 과정동안 CK/IK의 재사용을 가능하게 함

◈3비트, 0 ~ 6사이의 값 중 VLR이 선택하여 Authentication Request 메시지에 포함하여 전송

◈MS가 initial L3 메시지 전송시에 포함시킴

◈암호화 키, 무결성 키의 불일치 경우에 해당하는지 판별하는 기준


P.51

보안 모드 구성 절차 ▣보안 모드 구성 절차 : 암호화/무결성 보호 설정 절차

RRC connection establishment -> START; UEAMS, UIAMS ->

Initial L3 메시지 (사용자 ID, KSI 등)

AKA / No AKA 결정

인증 및 키 일치(AKA)

Security 모드 명령

UEACN, UIACN, CK, IK

UEA와 UIA 선택, FRESH 생성 ; 무결성 보호 시작

무결성 보호 시작, 암/복호화 시작

암/복호화 시작

Security 모드 명령

UEA, UIA, FRESH, MAC-I (최초의 무결성 보호 메시지)

MS RNC VLR/SGSN

Security 모드 완료 응답

MAC-I

Security 모드 완료 응답


P.52

MILENAGE 알고리즘

▣TS 35.205 ~ 35.208

▣AKA를 위한 example algorithm

▣ETSI SAGE, GEMPLUS, MITSUBISHI, NOKIA의 암호학자들

이 개발

▣128비트의 블록 암호를 핵심 함수로 사용

◈AES 표준으로 선정된 RIJNDAEL 블록 암호 사용

▣운영자에 의존하는 값인 128비트 OP 사용


P.53

MILENAGE 알고리즘 (계속)


P.54

3GPP Air-interface 무결성(f9) 구조

▣security 모드 구성 후 시그널 메시지의 데이터 무결성을

위해 적용

▣무결성 함수 f9 사용

◈0001 : UIA1, Kasumi

f9 IK

COUNT-I

MESSAGE

DIRECTION

FRESH

MAC

f9 IK

COUNT-I

MESSAGE

DIRECTION

FRESH

XMAC

송신자 ME or RNC

수신자 ME or RNC


P.55

3GPP Air-interface 무결성(f9) 구조 (계속)

▣Termination points

사용자: ME(Mobile Equipment), 네트워크: RNC(Radio Network

Controller)

▣무결성 보호 : 계층 3

◈RRC 부계층

▣키 입력 값들

◈COUNT-I : 32비트 무결성 sequence number

– 28비트 RRC HFN(Hyper Frame Number) + 4비트 RRC

sequence number

◈IK : 128비트 무결성 키


P.56

3GPP Air-interface 무결성(f9) 구조 (계속)

◈FRESH : 32비트 난수로 시그널 메시지의 재연 공격 방지

◈DIRECTION : 1비트의 방향 식별자

– ME RNC : 0 , RNC ME : 1

▣출력 값

◈MAC-I/XMAC-I : 32비트의 Message authentication code


P.57

3GPP Air-interface 암호화(f8) 구조

▣사용자 트래픽과 시그널 메시지에 적용

▣동기식 스트림 암호 함수 f8 사용

◈0000 : UEA0, no encryption

◈0001 : UEA1, KASUMI

f8 CK

COUNT-C

BEARER

DIRECTION

LENGTH

키스트림 블록

평문 블록

f8 CK

COUNT-C

BEARER

DIRECTION

LENGTH

키스트림 블록

평문 블록 암호문 블록

송신자 ME or RNC

수신자 ME or RNC


P.58

3GPP Air-interface 암호화(f8) 구조 (계속)

▣Termination points

사용자: ME(Mobile Equipment), 네트워크: RNC(Radio Network

Controller)

▣암호화 : 계층 2

◈RLC 부계층 : 불투명(non-transparent) RLC 모드 (시그널,

데이터)

◈MAC 부계층 : 투명(transparent) RLC 모드 (음성)

▣키 입력 값들

◈COUNT-C : 32비트 암호화 sequence number

◈CK : 128비트 암호화 키

◈BEARER : 5비트 무선 베어러 식별자


P.59

3GPP Air-interface 암호화(f8) 구조 (계속)

◈DIRECTION : 1비트의 방향 식별자

◈LENGTH : 16비트 길이 지시자, 키스트림 블록의 길이를 결정


P.60

KASUMI (TS 35.202) ▣ f8, f9를 위한 building block으로 블록 암호 MISTY1을 변형

▣64비트 블록 크기와 128비트 키를 가진 8라운드 블록 암호

▣MISTY보다 단순한 키 스케줄

▣Cryptanalysis를 복잡하게 하는 부가적인 함수

▣통계적인 성질을 향상시키기 위한 변화

▣Hardware를 단순화하고 속도를 향상시키기 위한 변화

▣Stream ciphering f8은 output feedback 모드로 KASUMI 사

용

◈Cycling을 방지하기 위해 BLKCNT(Block Count) 사용

◈선택 평문 공격과 충돌을 방지하기 위해 initial extra encryption 추가


P.61

KASUMI (TS 35.202)

▣ Integrity 함수 f9는 CBC MAC 형태로 KASUMI 사용

◈2nd feedforward의 non-standard addition


P.62

KASUMI (계속)

C

Fig. 1: KASUMI

P

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi1

KOi1

FIi2 KIi2

KOi2

FIi3 KIi3

KOi3

S9

S7

S9

zero-extend

zero-extend

truncate

KIij1 KIij2

32 32

64

16 16

32 16

9 7

Fig.2: FO Function Fig.3: FI Function

Fig.4: FL Function

bitwise AND operation

bitwise OR operation

one bit left rotation

32

16 16

KLi1

KLi2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

S7

truncate

C

Fig. 1: KASUMI

P

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi1

KOi1

FIi2 KIi2

KOi2

FIi3 KIi3

KOi3

S9

S7

S9

zero-extend

zero-extend

truncate

KIij1 KIij2

32 32

64

16 16

32 16

9 7


Fig.4: FL Function




32

16 16

KLi1

KLi2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

S7

truncate

C

Fig. 1: KASUMI

P

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi1

KOi1

FIi2 KIi2

KOi2

FIi3 KIi3

KOi3

S9

S7

S9

zero-extend

zero-extend

truncate

KIij1 KIij2

32 32

64

16 16

32 16

9 7


Fig.4: FL Function




32

16 16

KLi1

KLi2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

S7

truncateC

Fig. 1: KASUMI

P

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi1

KOi1

FIi2 KIi2

KOi2

FIi3 KIi3

KOi3

S9

S7

S9

zero-extend

zero-extend

truncate

KIij1 KIij2

32 32

64

16 16

32 16

9 7


Fig.4: FL Function




32

16 16

KLi1

KLi2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

S7

truncateFO 함수 FI 함수

FL 함수

C

Fig. 1: KASUMI

P

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi1

KOi1

FIi2 KIi2

KOi2

FIi3 KIi3

KOi3

S9

S7

S9

zero-extend

zero-extend

truncate

KIij1 KIij2

32 32

64

16 16

32 16

9 7


Fig.4: FL Function




32

16 16

KLi1

KLi2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

S7

truncate


P.63

3GPP 스트림 암호 f8과 KASUMI (TS 35.201)

KASUMI

A

KASUMI KASUMI KASUMI KASUMI

CK KM

CK CK CK CK

BLKCNT=BLOCK-1 BLKCNT=1 BLKCNT=2 BLKCNT=0

KS[0]…KS[63] KS[64]…KS[127] KS[128]…KS[191] ……

COUNT || BEARER || DIRECTION ||0…0


P.64

3GPP 무결성 함수 f9와 KASUMI (TS 35.201)

KASUMI KASUMI KASUMI KASUMI

KASUMI

IK IK IK IK

COUNT || FRESH || MESSAGE || DIRECTION || 1|| 0…0

PS0 PSBLOCK-1 PS2 PS1

IK KM

MAC-I(left 32-bits)

슬라이드 제목 없음 - krnet · 보안 메커니즘 및 프로토콜 보안...

Documents