В качестве альтернативной системы связи во время стихийного бедствия,Частные сети LTEпринять различные политики безопасности на нескольких уровнях, чтобы предотвратить доступ незаконных пользователей к данным или их кражу, а также защитить безопасность пользовательских сигналов и бизнес-данных.
Физический слой
●Используйте выделенные полосы частот для физической изоляции доступа оборудования с нелицензированной полосой частот.
●Пользователи используютТактическое решение IWAVEмобильные телефоны и карты UIM для предотвращения несанкционированного доступа к устройствам.
Сетевой уровень
●Алгоритм Milenage и пятикратные параметры аутентификации используются для достижения двусторонней аутентификации между UE и сетью.
Когда терминал получает доступ к сети, сеть аутентифицирует терминал, чтобы предотвратить доступ незаконных пользователей.В то же время терминал также будет аутентифицировать сеть, чтобы предотвратить доступ к фишинговой сети.
Рисунок 1: Алгоритм генерации ключей
Рисунок 2: Зависимости параметров аутентификации
●Сигнальные сообщения радиоинтерфейса поддерживают защиту целостности и шифрование, а данные пользователя также поддерживают шифрование.Алгоритм защиты целостности и шифрования использует ключ длиной 128 бит и имеет высокий уровень безопасности.На рисунке 3 ниже показан процесс генерации параметров, связанных с аутентификацией, в котором HSS и MME являются внутренними функциональными модулями тактической сети LTE.
Рисунок 3. Процесс генерации параметров аутентификации частной сети.
Рисунок 4: Процесс генерации параметров аутентификации терминала
●Когдабеспроводной терминал передачи данных 4g lteперемещается, переключается или осуществляет повторный доступ между узлами eNodeB, он может использовать механизм повторной аутентификации для повторной аутентификации и обновления ключей для обеспечения безопасности во время мобильного доступа.
Рисунок 5. Обработка клавиш при переключении
Рисунок 6: Периодическая аутентификация терминалов с помощью eNB
●Процесс сигнализации аутентификации
Аутентификация требуется, когда UE инициирует вызов, вызывается и регистрируется.Защита шифрования/целостности также может выполняться после завершения аутентификации.UE вычисляет RES (параметры ответа аутентификации на SIM-карте), CK (ключ шифрования) и IK (ключ защиты целостности) на основе RAND, отправленного частной сетью LTE, и записывает новые CK и IK на SIM-карту.и отправить RES обратно в частную сеть LTE.Если частная сеть LTE считает, что RES верен, процесс аутентификации завершается.После успешной аутентификации частная сеть LTE решает, следует ли выполнять процесс контроля безопасности.Если да, это инициируется частной сетью LTE, а защита шифрования/целостности реализуется eNodeB.
Рисунок 7: Процесс сигнализации аутентификации
Рисунок 8: Процесс сигнализации безопасного режима
Прикладной уровень
●При доступе пользователей на уровне приложений реализуется безопасная аутентификация для предотвращения несанкционированного доступа пользователей.
●Пользовательские данные могут использовать механизм IPSEC для обеспечения безопасности пользовательских данных.
●Если во время приложения обнаруживается проблема, пользователь с этой проблемой может быть вынужден перейти в автономный режим, запланировав такие операции, как принудительное отключение и удаленное уничтожение.
Сетевая безопасность
●Бизнес-система частной сети может подключаться к внешней сети через брандмауэр, чтобы обеспечить защиту частной сети от внешних атак.В то же время внутренняя топология сети экранируется и скрывается, чтобы предотвратить незащищенность сети и обеспечить сетевую безопасность.
Время публикации: 25 апреля 2024 г.
