Uiteraard is dit 'n uiters twyfelagtige en vergeefse poging om die ontwikkeling van 'n nuwe kommunikasiestandaard aan te pak sonder om aan sekuriteitsmeganismes te dink.

5G-sekuriteitargitektuur — 'n stel sekuriteitsmeganismes en prosedures wat in 5de generasie netwerke en wat alle netwerkkomponente dek, van die kern tot die radio-koppelvlakke.

5de generasie netwerke is in wese 'n evolusie 4de generasie LTE-netwerke. Radiotoegangstegnologieë het die belangrikste veranderinge ondergaan. Vir 5de generasie netwerke, 'n nuwe RAT (Radio Toegang Tegnologie) - 5G nuwe radio. Wat die kern van die netwerk betref, het dit nie sulke beduidende veranderinge ondergaan nie. In hierdie verband is die sekuriteitsargitektuur van 5G-netwerke ontwikkel met die klem op die hergebruik van relevante tegnologieë wat in die 4G LTE-standaard aangeneem is.

Dit is egter opmerklik dat heroorweging van bekende bedreigings soos aanvalle op lugkoppelvlakke en die seinlaag (sein vliegtuig), DDOS-aanvalle, Man-In-The-Middle-aanvalle, ens., het telekommunikasie-operateurs aangespoor om nuwe standaarde te ontwikkel en heeltemal nuwe sekuriteitsmeganismes in 5de generasie netwerke te integreer.

voorvereistes

In 2015 het die Internasionale Telekommunikasie-unie die eerste van sy soort globale plan vir die ontwikkeling van vyfdegenerasie-netwerke opgestel, en daarom het die kwessie van die ontwikkeling van sekuriteitsmeganismes en -prosedures in 5G-netwerke veral akuut geword.

Die nuwe tegnologie het werklik indrukwekkende data-oordragspoed (meer as 1 Gbps), vertraging van minder as 1 ms en die vermoë gebied om gelyktydig sowat 1 miljoen toestelle binne 'n radius van 1 km2 te koppel. So die hoogste vereistes vir 5de generasie netwerke word ook weerspieël in die beginsels van hul organisasie.

Die belangrikste een was desentralisasie, wat die plasing van baie plaaslike databasisse en hul verwerkingsentrums op die periferie van die netwerk geïmpliseer het. Dit het dit moontlik gemaak om vertragings te verminder wanneer M2M-kommunikasie en verlig die netwerkkern as gevolg van die diens aan 'n groot aantal IoT-toestelle. Dus het die rand van volgende generasie netwerke uitgebrei tot by basisstasies, wat die skepping van plaaslike kommunikasiesentrums en die verskaffing van wolkdienste moontlik gemaak het sonder die risiko van kritieke vertragings of diensweiering. Natuurlik was die veranderde benadering tot netwerk- en kliëntediens van belang vir aanvallers, want dit het nuwe geleenthede vir hulle geopen om beide vertroulike gebruikersinligting en die netwerkkomponente self aan te val om 'n ontkenning van diens te veroorsaak of op die operateur se rekenaarhulpbronne beslag te lê.

Vernaamste kwesbaarhede van 5de generasie netwerke

Groot aanvalsoppervlak

meerBy die bou van telekommunikasienetwerke van die 3de en 4de generasie, was telekommunikasie-operateurs gewoonlik beperk om met een of meer verskaffers te werk wat onmiddellik 'n stel hardeware en sagteware verskaf het. Dit wil sê, alles kan werk, soos hulle sê, "uit die boks" - dit was genoeg om net die toerusting wat by die verkoper gekoop is, te installeer en op te stel; dit was nie nodig om eie sagteware te vervang of aan te vul nie. Moderne neigings is in stryd met hierdie "klassieke" benadering en is gemik op virtualisering van netwerke, 'n multi-verskaffer benadering tot hul konstruksie en sagteware diversiteit. Tegnologieë soos SDN (Engels sagteware-gedefinieerde netwerk) en NFV (English Network Functions Virtualization), wat lei tot die insluiting van 'n groot hoeveelheid sagteware wat gebou is op die basis van oopbronkodes in die prosesse en funksies van die bestuur van kommunikasienetwerke. Dit gee aanvallers die geleentheid om die operateur se netwerk beter te bestudeer en 'n groter aantal kwesbaarhede te identifiseer, wat op sy beurt die aanvaloppervlak van nuwe generasie netwerke verhoog in vergelyking met huidige.

Groot aantal IoT-toestelle

meerTeen 2021 sal ongeveer 57% van toestelle wat aan 5G-netwerke gekoppel is, IoT-toestelle wees. Dit beteken dat die meeste gashere beperkte kriptografiese vermoëns sal hê (sien punt 2) en gevolglik kwesbaar sal wees vir aanvalle. 'N Groot aantal sulke toestelle sal die risiko van botnet-verspreiding verhoog en dit moontlik maak om selfs kragtiger en verspreide DDoS-aanvalle uit te voer.

Beperkte kriptografiese vermoëns van IoT-toestelle

meerSoos reeds genoem, gebruik 5de generasie netwerke aktief perifere toestelle, wat dit moontlik maak om 'n deel van die las van die netwerkkern te verwyder en sodoende latensie te verminder. Dit is nodig vir sulke belangrike dienste soos beheer van onbemande voertuie, noodwaarskuwingstelsel IMS en ander, vir wie dit van kritieke belang is om minimale vertraging te verseker, omdat menselewens daarvan afhang. As gevolg van die koppeling van 'n groot aantal IoT-toestelle, wat weens hul klein grootte en lae kragverbruik baie beperkte rekenaarhulpbronne het, word 5G-netwerke kwesbaar vir aanvalle wat daarop gemik is om beheer en daaropvolgende manipulasie van sulke toestelle te onderskep. Daar kan byvoorbeeld scenario's wees waar IoT-toestelle wat deel is van die stelsel besmet is "slim Huis", tipes wanware soos Losprysware en losprysware. Scenario's van onderskepping van beheer van onbemande voertuie wat opdragte en navigasie-inligting deur die wolk ontvang, is ook moontlik. Formeel is hierdie kwesbaarheid te wyte aan die desentralisasie van nuwe generasie netwerke, maar die volgende paragraaf sal die probleem van desentralisasie duideliker uiteensit.

Desentralisasie en uitbreiding van netwerkgrense

meerPerifere toestelle, wat die rol van plaaslike netwerkkerne speel, voer roetering van gebruikersverkeer uit, verwerk versoeke, sowel as plaaslike kas en berging van gebruikersdata. Dus brei die grense van 5de generasie netwerke, benewens die kern, uit na die periferie, insluitend plaaslike databasisse en 5G-NR (5G New Radio) radio-koppelvlakke. Dit skep die geleentheid om die rekenaarhulpbronne van plaaslike toestelle aan te val, wat a priori swakker beskerm is as die sentrale nodusse van die netwerkkern, met die doel om 'n ontkenning van diens te veroorsaak. Dit kan lei tot die ontkoppeling van internettoegang vir hele gebiede, verkeerde funksionering van IoT-toestelle (byvoorbeeld in 'n slimhuisstelsel), asook die onbeskikbaarheid van die IMS-noodwaarskuwingsdiens.

ETSI en 3GPP het egter nou meer as 10 standaarde gepubliseer wat verskeie aspekte van 5G-netwerksekuriteit dek. Die oorgrote meerderheid van die meganismes wat daar beskryf word, is daarop gemik om teen kwesbaarhede te beskerm (insluitend dié wat hierbo beskryf is). Een van die belangrikste is die standaard TS 23.501 weergawe 15.6.0, wat die sekuriteitsargitektuur van 5de generasie netwerke beskryf.

5G argitektuur

Kom ons kyk eers na die sleutelbeginsels van 5G-netwerkargitektuur, wat die betekenis en verantwoordelikheidsareas van elke sagtewaremodule en elke 5G-sekuriteitsfunksie verder volledig sal openbaar.

• Verdeling van netwerknodusse in elemente wat die werking van protokolle verseker pasgemaakte vliegtuig (van die Engelse UP - User Plane) en elemente wat die werking van protokolle verseker beheer vliegtuig (van die Engelse CP - Control Plane), wat buigsaamheid verhoog in terme van skaal en ontplooiing van die netwerk, dit wil sê gesentraliseerde of gedesentraliseerde plasing van individuele komponent netwerk nodusse is moontlik.
• Meganisme ondersteuning netwerk sny, gebaseer op die dienste wat aan spesifieke groepe eindgebruikers verskaf word.
• Implementering van netwerkelemente in die vorm virtuele netwerkfunksies.
• Ondersteuning vir gelyktydige toegang tot gesentraliseerde en plaaslike dienste, dit wil sê implementering van wolkkonsepte (uit Engels. misberekening) en grens (uit Engels. rand rekenaar) berekeninge.
• Implementering konvergente argitektuur wat verskillende tipes toegangsnetwerke kombineer - 3GPP 5G Nuwe Radio en nie-3GPP (Wi-Fi, ens.) - met 'n enkele netwerkkern.
• Ondersteuning van eenvormige algoritmes en verifikasieprosedures, ongeag die tipe toegangsnetwerk.
• Ondersteuning vir staatlose netwerkfunksies, waarin die berekende hulpbron van die hulpbronstoor geskei word.
• Ondersteuning vir roaming met verkeersroetering beide deur die tuisnetwerk (vanaf die Engelse tuisroute) en met 'n plaaslike "landing" (vanaf die Engelse plaaslike wegbreek) in die gasnetwerk.
• Die interaksie tussen netwerkfunksies word op twee maniere voorgestel: diensgerig и koppelvlak.

Die 5de generasie netwerk sekuriteit konsep sluit in:

• Gebruikerstawing vanaf die netwerk.
• Netwerkverifikasie deur die gebruiker.
• Onderhandeling van kriptografiese sleutels tussen die netwerk en gebruikertoerusting.
• Enkripsie en integriteitsbeheer van seinverkeer.
• Enkripsie en beheer van die integriteit van gebruikersverkeer.
• Gebruikers-ID-beskerming.
• Beskerming van koppelvlakke tussen verskillende netwerkelemente in ooreenstemming met die konsep van 'n netwerksekuriteitsdomein.
• Isolasie van verskillende lae van die meganisme netwerk sny en die definisie van elke laag se eie sekuriteitsvlakke.
• Gebruikersverifikasie en verkeersbeskerming op die vlak van einddienste (IMS, IoT en ander).

Sleutel sagteware modules en 5G netwerk sekuriteit kenmerke

AMF (van die Engelse Access & Mobility Management Function - toegangs- en mobiliteitsbestuurfunksie) - verskaf:

• Organisasie van beheervlak-koppelvlakke.
• Organisasie van seinverkeeruitruiling RRC, enkripsie en beskerming van die integriteit van sy data.
• Organisasie van seinverkeeruitruiling NAS, enkripsie en beskerming van die integriteit van sy data.
• Bestuur die registrasie van gebruikertoerusting op die netwerk en monitering van moontlike registrasietoestande.
• Bestuur die verbinding van gebruikertoerusting aan die netwerk en monitering van moontlike toestande.
• Beheer die beskikbaarheid van gebruikertoerusting op die netwerk in die CM-IDLE-toestand.
• Mobiliteitsbestuur van gebruikertoerusting in die netwerk in die CM-VERBONDEN toestand.
• Oordrag van kort boodskappe tussen gebruikertoerusting en SMF.
• Bestuur van liggingdienste.
• Draad ID toekenning EPS om met EPS te kommunikeer.

SMF (Engels: Sessiebestuursfunksie - sessiebestuurfunksie) - verskaf:

• Kommunikasiesessiebestuur, dit wil sê die skep, wysiging en vrystelling van sessies, insluitend die instandhouding van 'n tonnel tussen die toegangsnetwerk en die UPF.
• Verspreiding en bestuur van IP-adresse van gebruikerstoerusting.
• Kies die UPF-poort om te gebruik.
• Organisasie van interaksie met PCF.
• Bestuur van beleidstoepassing QoS.
• Dinamiese konfigurasie van gebruikerstoerusting deur die DHCPv4- en DHCPv6-protokolle te gebruik.
• Monitering van die versameling van tariefdata en organisering van interaksie met die faktuurstelsel.
• Naatlose verskaffing van dienste (uit Engels. SSC - Sessie en Diens Kontinuïteit).
• Interaksie met gasnetwerke binne roaming.

UPF (Engelse gebruikersvlakfunksie - gebruikersvlakfunksie) - verskaf:

• Interaksie met eksterne datanetwerke, insluitend die globale internet.
• Routing van gebruikerspakkies.
• Merk van pakkies in ooreenstemming met QoS-beleide.
• Gebruikerpakketdiagnostiek (byvoorbeeld handtekeninggebaseerde toepassingopsporing).
• Verskaf verslae oor verkeersgebruik.
• UPF is ook die ankerpunt vir die ondersteuning van mobiliteit binne sowel as tussen verskillende radiotoegangstegnologieë.

UDM (Engels Unified Data Management - verenigde databasis) - verskaf:

• Bestuur gebruikersprofieldata, insluitend die stoor en wysiging van die lys dienste wat aan gebruikers beskikbaar is en hul ooreenstemmende parameters.
• bestuur SUPI
• Genereer 3GPP-verifikasiebewyse Aka.
• Toegangmagtiging gebaseer op profieldata (byvoorbeeld swerfbeperkings).
• Gebruikersregistrasiebestuur, dit wil sê berging van bedienende AMF.
• Ondersteuning vir naatlose diens- en kommunikasiesessies, dit wil sê die stoor van die SMF wat aan die huidige kommunikasiesessie toegewys is.
• SMS aflewering bestuur.
• Verskeie verskillende UDM's kan dieselfde gebruiker oor verskillende transaksies bedien.

UDR (Engels Unified Data Repository - berging van verenigde data) - verskaf berging van verskeie gebruikersdata en is in werklikheid 'n databasis van alle netwerkintekenare.

UDSF (Engelse ongestruktureerde databergingsfunksie - ongestruktureerde databergingsfunksie) - verseker dat AMF-modules die huidige kontekste van geregistreerde gebruikers stoor. Oor die algemeen kan hierdie inligting aangebied word as data van 'n onbepaalde struktuur. Gebruikerskontekste kan gebruik word om naatlose en ononderbroke intekenaarsessies te verseker, beide tydens die beplande onttrekking van een van die AMF's uit die diens, en in die geval van 'n noodgeval. In beide gevalle sal die rugsteun-AMF die diens "optel" deur kontekste wat in USDF gestoor is.

Die kombinasie van UDR en UDSF op dieselfde fisiese platform is 'n tipiese implementering van hierdie netwerkfunksies.

PCF (Engels: Policy Control Function - policy control function) - skep en ken sekere diensbeleide toe aan gebruikers, insluitend QoS-parameters en heffingreëls. Om byvoorbeeld een of ander soort verkeer oor te dra, kan virtuele kanale met verskillende eienskappe dinamies geskep word. Terselfdertyd kan die vereistes van die diens wat deur die intekenaar aangevra word, die vlak van netwerkopeenhoping, die hoeveelheid verkeer verbruik, ens., in ag geneem word.

NEF (Engelse netwerkblootstellingsfunksie - netwerkblootstellingsfunksie) - verskaf:

• Organisasie van veilige interaksie van eksterne platforms en toepassings met die netwerkkern.
• Bestuur QoS-parameters en laaireëls vir spesifieke gebruikers.

SEAF (English Security Anchor Function - anker sekuriteit funksie) - saam met AUSF, verskaf verifikasie van gebruikers wanneer hulle registreer op die netwerk met enige toegang tegnologie.

Ausf (English Authentication Server Function - stawing bediener funksie) - speel die rol van 'n verifikasie bediener wat versoeke van SEAF ontvang en verwerk en dit herlei na ARPF.

ARPF (Engels: Authentication Credential Repository and Processing Function - funksie van die stoor en verwerking van stawing geloofsbriewe) - verskaf berging van persoonlike geheime sleutels (KI) en parameters van kriptografiese algoritmes, sowel as generering van verifikasie vektore in ooreenstemming met 5G-AKA of OBP-AKA. Dit is geleë in die datasentrum van die tuistelekommunikasie-operateur, beskerm teen eksterne fisiese invloede, en is as 'n reël geïntegreer met UDM.

SCMF (Engelse sekuriteitskonteksbestuursfunksie - bestuursfunksie sekuriteit konteks) - Verskaf lewensiklusbestuur vir die 5G-sekuriteitskonteks.

SPCF (Engels Security Policy Control Function - sekuriteitsbeleidbestuursfunksie) - verseker die koördinering en toepassing van sekuriteitsbeleide met betrekking tot spesifieke gebruikers. Dit neem die vermoëns van die netwerk, die vermoëns van die gebruikertoerusting en die vereistes van die spesifieke diens in ag (byvoorbeeld, die vlakke van beskerming wat deur die kritieke kommunikasiediens en die draadlose breëband-internettoegangsdiens verskaf word, kan verskil). Toepassing van sekuriteitsbeleide sluit in: seleksie van AUSF, seleksie van verifikasiealgoritme, seleksie van data-enkripsie en integriteitbeheeralgoritmes, bepaling van die lengte en lewensiklus van sleutels.

SIDF (English Subscription Identifier De-concealing Function - gebruiker identifiseerder onttrekking funksie) - verseker die onttrekking van 'n intekenaar se permanente intekening identifiseerder (Engels SUPI) van 'n versteekte identifiseerder (Engels SUCI), ontvang as deel van die verifikasieprosedureversoek "Auth Info Req".

Basiese sekuriteitsvereistes vir 5G-kommunikasienetwerke

meerGebruikersverifikasie: Die bedienende 5G-netwerk moet die gebruiker se SUPI in die 5G AKA-proses tussen die gebruiker en die netwerk staaf.

Bedien netwerkverifikasie: Die gebruiker moet die 5G-bedieningsnetwerk-ID staaf, met verifikasie wat verkry word deur die suksesvolle gebruik van sleutels wat verkry is deur die 5G AKA-prosedure.

Gebruikersmagtiging: Die bedienende netwerk moet die gebruiker magtig deur gebruik te maak van die gebruikersprofiel wat van die tuistelekommunikasie-operateur se netwerk ontvang is.

Magtiging van die bedienende netwerk deur die tuisoperateurnetwerk: Die gebruiker moet voorsien word van bevestiging dat hy gekoppel is aan 'n diensnetwerk wat deur die tuisoperateurnetwerk gemagtig is om dienste te lewer. Magtiging is implisiet in die sin dat dit verseker word deur die suksesvolle voltooiing van die 5G AKA-prosedure.

Magtiging van die toegangsnetwerk deur die tuisoperateurnetwerk: Die gebruiker moet voorsien word van bevestiging dat hy gekoppel is aan 'n toegangsnetwerk wat deur die tuisoperateurnetwerk gemagtig is om dienste te lewer. Magtiging is implisiet in die sin dat dit afgedwing word deur die sekuriteit van die toegangsnetwerk suksesvol te vestig. Hierdie tipe magtiging moet vir enige tipe toegangsnetwerk gebruik word.

Ongewaarmerkte nooddienste: Om aan regulatoriese vereistes in sommige streke te voldoen, moet 5G-netwerke ongeverifieerde toegang vir nooddienste verskaf.

Netwerkkern en radiotoegangsnetwerk: Die 5G-netwerkkern en 5G-radiotoegangsnetwerk moet die gebruik van 128-bis enkripsie en integriteitalgoritmes ondersteun om sekuriteit te verseker AS и NAS. Netwerkkoppelvlakke moet 256-bis enkripsiesleutels ondersteun.

Basiese veiligheidsvereistes vir gebruikerstoerusting

meer

• Die gebruikertoerusting moet enkripsie, integriteitbeskerming en beskerming teen herspeelaanvalle ondersteun vir gebruikersdata wat tussen dit en die radiotoegangsnetwerk oorgedra word.
• Die gebruikertoerusting moet enkripsie- en data-integriteitbeskermingsmeganismes aktiveer soos aangedui deur die radiotoegangsnetwerk.
• Gebruikerstoerusting moet enkripsie, integriteitbeskerming en beskerming teen herhalingsaanvalle vir RRC- en NAS-seinverkeer ondersteun.
• Gebruikerstoerusting moet die volgende kriptografiese algoritmes ondersteun: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Gebruikerstoerusting kan die volgende kriptografiese algoritmes ondersteun: 128-NEA3, 128-NIA3.
• Gebruikerstoerusting moet die volgende kriptografiese algoritmes ondersteun: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 as dit verbinding met die E-UTRA-radiotoegangsnetwerk ondersteun.
• Beskerming van die vertroulikheid van gebruikersdata wat tussen die gebruikertoerusting en die radiotoegangsnetwerk oorgedra word, is opsioneel, maar moet verskaf word wanneer dit ook al deur regulasie toegelaat word.
• Privaatheidsbeskerming vir RRC- en NAS-seinverkeer is opsioneel.
• Die gebruiker se permanente sleutel moet beskerm word en in goed beveiligde komponente van die gebruikertoerusting gestoor word.
• 'n Intekenaar se permanente intekenidentifiseerder moet nie in duidelike teks oor die radiotoegangsnetwerk versend word nie, behalwe vir inligting wat nodig is vir korrekte roetering (byvoorbeeld MCC и MNC).
• Die tuisoperateur se openbare netwerksleutel, die sleutelidentifiseerder, die sekuriteitskema-identifiseerder en die roete-identifiseerder moet gestoor word in USIM.

Elke enkripsie-algoritme word geassosieer met 'n binêre getal:

• "0000": NEA0 - Nul-kodeeralgoritme
• "0001": 128-NEA1 - 128-bis SNOW 3G-gebaseerde algoritme
• "0010" 128-NEA2 - 128-bis AES gebaseerde algoritme
• "0011" 128-NEA3 - 128-bis ZUC gebaseerde algoritme

Data-enkripsie met 128-NEA1 en 128-NEA2

NS Die stroombaan is geleen by TS 133.501

Generering van gesimuleerde insetsels deur algoritmes 128-NIA1 en 128-NIA2 om integriteit te verseker

NS Die stroombaan is geleen by TS 133.501

Basiese sekuriteitsvereistes vir 5G-netwerkfunksies

meer

• AMF moet primêre verifikasie met SUCI ondersteun.
• SEAF moet primêre verifikasie met SUCI ondersteun.
• UDM en ARPF moet die gebruiker se permanente sleutel stoor en verseker dat dit teen diefstal beskerm word.
• Die AUSF sal slegs SUPI aan die plaaslike bediennetwerk verskaf na suksesvolle aanvanklike verifikasie met SUCI.
• NEF moet nie verborge kernnetwerkinligting buite die operateur se sekuriteitsdomein aanstuur nie.

Basiese Veiligheidsprosedures

Vertrou domeine

In 5de generasie netwerke neem vertroue in netwerkelemente af namate elemente wegbeweeg van die netwerkkern. Hierdie konsep beïnvloed die besluite wat in die 5G-sekuriteitsargitektuur geïmplementeer word. Ons kan dus praat oor 'n vertrouensmodel van 5G-netwerke wat die gedrag van netwerksekuriteitsmeganismes bepaal.

Aan die gebruikerskant word die trustdomein gevorm deur UICC en USIM.

Aan die netwerkkant het die trustdomein 'n meer komplekse struktuur.

Die radiotoegangsnetwerk word in twee komponente verdeel − DU (van die Engelse Distributed Units - distributed network units) en CU (van die Engelse Central Units - sentrale eenhede van die netwerk). Saam vorm hulle gNB — radio-koppelvlak van die 5G-netwerkbasisstasie. DU's het nie direkte toegang tot gebruikersdata nie, aangesien dit op onbeskermde infrastruktuursegmente ontplooi kan word. CU's moet in beskermde netwerksegmente ontplooi word, aangesien hulle verantwoordelik is vir die beëindiging van verkeer vanaf AS-sekuriteitsmeganismes. Die kern van die netwerk is geleë AMF, wat verkeer van NAS-sekuriteitsmeganismes beëindig. Die huidige 3GPP 5G Fase 1-spesifikasie beskryf die kombinasie AMF met veiligheidsfunksie SEAF, wat die wortelsleutel (ook bekend as die "ankersleutel") van die besoekte (bedienende) netwerk bevat. Ausf is verantwoordelik vir die stoor van die sleutel wat verkry is na suksesvolle verifikasie. Dit is nodig vir hergebruik in gevalle waar die gebruiker gelyktydig aan verskeie radiotoegangsnetwerke gekoppel is. ARPF stoor gebruikersbewyse en is 'n analoog van USIM vir intekenare. UDR и UDM stoor gebruikerinligting, wat gebruik word om die logika te bepaal vir die generering van geloofsbriewe, gebruiker-ID's, om sessiekontinuïteit te verseker, ens.

Hiërargie van sleutels en hul verspreidingskemas

In 5de generasie netwerke, anders as 4G-LTE netwerke, het die verifikasie prosedure twee komponente: primêre en sekondêre verifikasie. Primêre stawing word vereis vir alle gebruikertoestelle wat aan die netwerk koppel. Sekondêre verifikasie kan op versoek van eksterne netwerke uitgevoer word, indien die intekenaar aan hulle koppel.

Na suksesvolle voltooiing van primêre verifikasie en die ontwikkeling van 'n gedeelde sleutel K tussen die gebruiker en die netwerk, word KSEAF onttrek uit sleutel K - 'n spesiale anker (wortel) sleutel van die bedienende netwerk. Vervolgens word sleutels uit hierdie sleutel gegenereer om die vertroulikheid en integriteit van RRC- en NAS-seinverkeerdata te verseker.

Diagram met verduidelikings
benamings:
CK Sifersleutel
IK (Engels: Integrity Key) - 'n sleutel wat gebruik word in data-integriteitbeskermingsmeganismes.
CK' (eng. Cipher Key) - nog 'n kriptografiese sleutel geskep uit CK vir die EAP-AKA meganisme.
IK' (Engelse integriteitsleutel) - nog 'n sleutel wat gebruik word in data-integriteitbeskermingsmeganismes vir EAP-AKA.
KAUSF - gegenereer deur die ARPF funksie en gebruiker toerusting van CK и IK tydens 5G AKA en EAP-AKA.
KSEAF - ankersleutel verkry deur die AUSF-funksie vanaf die sleutel KAMFAUSF.
KAMF — die sleutel wat deur die SEAF-funksie van die sleutel verkry word KSEAF.
KNASint, KNASenc — sleutels verkry deur die AMF-funksie vanaf die sleutel KAMF om NAS-seinverkeer te beskerm.
KRRCint, KRRCenc — sleutels verkry deur die AMF-funksie vanaf die sleutel KAMF om RRC-seinverkeer te beskerm.
KUPint, KUPenc — sleutels verkry deur die AMF-funksie vanaf die sleutel KAMF om AS-seinverkeer te beskerm.
NH — tussensleutel verkry deur die AMF-funksie vanaf die sleutel KAMF om datasekuriteit tydens oorhandigings te verseker.
KgNB — die sleutel wat deur die AMF-funksie van die sleutel verkry word KAMF om die veiligheid van mobiliteitsmeganismes te verseker.

Skemas vir die generering van SUCI vanaf SUPI en omgekeerd

Skemas vir die verkryging van SUPI en SUCI

Produksie van SUCI van SUPI en SUPI van SUCI:

verifikasie

Primêre verifikasie

In 5G-netwerke is EAP-AKA en 5G AKA standaard primêre verifikasiemeganismes. Kom ons verdeel die primêre verifikasiemeganisme in twee fases: die eerste is verantwoordelik vir die aanvang van verifikasie en die kies van 'n verifikasiemetode, die tweede is verantwoordelik vir wedersydse verifikasie tussen die gebruiker en die netwerk.

Inisiasie

Die gebruiker dien 'n registrasieversoek by SEAF in, wat die gebruiker se verborge intekening-ID SUCI bevat.

SEAF stuur aan AUSF 'n stawingversoekboodskap (Nausf_UEAuthentication_Authenticate Request) wat SNN (Diennetwerknaam) en SUPI of SUCI bevat.

AUSF kontroleer of die SEAF-verifikasieversoeker toegelaat word om die gegewe SNN te gebruik. As die diensnetwerk nie gemagtig is om hierdie SNN te gebruik nie, reageer die AUSF met 'n magtigingsfoutboodskap "Bedien netwerk nie gemagtig nie" (Nausf_UEAuthentication_Authenticate Response).

Stawingsbewyse word deur die AUSF aan UDM, ARPF of SIDF via SUPI of SUCI en SNN versoek.

Op grond van SUPI of SUCI en gebruikersinligting, kies UDM/ARPF die verifikasiemetode om volgende te gebruik en reik die gebruiker se geloofsbriewe uit.

Wedersydse verifikasie

Wanneer enige verifikasiemetode gebruik word, moet die UDM/ARPF-netwerkfunksies 'n verifikasievektor (AV) genereer.

EAP-AKA: UDM/ARPF genereer eers 'n verifikasievektor met skeibit AMF = 1, genereer dan CK' и IK' van CK, IK en SNN en vorm 'n nuwe AV-verifikasievektor (RAND, AUTN, XRES*, CK', IK'), wat na die AUSF gestuur word met instruksies om dit slegs vir EAP-AKA te gebruik.

5G AKA: UDM/ARPF kry die sleutel KAUSF van CK, IK en SNN, waarna dit 5G HE AV genereer. 5G-huisomgewing-verifikasievektor). 5G HE AV-verifikasievektor (RAND, AUTN, XRES, KAUSF) word na die AUSF gestuur met instruksies om dit slegs vir 5G AKA te gebruik.

Na hierdie AUSF word die ankersleutel verkry KSEAF van die sleutel af KAUSF en stuur 'n versoek aan SEAF “Challenge” in die boodskap “Nausf_UEAuthentication_Authenticate Response”, wat ook RAND, AUTN en RES* bevat. Vervolgens word die RAND en AUTN na die gebruikertoerusting oorgedra met behulp van 'n veilige NAS-seinboodskap. Die gebruiker se USIM bereken RES* uit die ontvangde RAND en AUTN en stuur dit na SEAF. SEAF stuur hierdie waarde aan AUSF oor vir verifikasie.

AUSF vergelyk die XRES* wat daarin gestoor is en die RES* wat van die gebruiker ontvang is. As daar 'n passing is, word die AUSF en UDM in die operateur se tuisnetwerk in kennis gestel van suksesvolle stawing, en die gebruiker en SEAF genereer onafhanklik 'n sleutel KAMF van KSEAF en SUPI vir verdere kommunikasie.

Sekondêre verifikasie

Die 5G-standaard ondersteun opsionele sekondêre verifikasie gebaseer op EAP-AKA tussen die gebruikertoerusting en die eksterne datanetwerk. In hierdie geval speel SMF die rol van die WHP-waarmerker en maak staat op die werk AAA-'n eksterne netwerkbediener wat die gebruiker staaf en magtig.

• Verpligte aanvanklike gebruikersverifikasie op die tuisnetwerk vind plaas en 'n algemene NAS-sekuriteitskonteks word met AMF ontwikkel.
• Die gebruiker stuur 'n versoek aan AMF om 'n sessie te vestig.
• AMF stuur 'n versoek om 'n sessie te vestig na SMF wat die gebruiker se SUPI aandui.
• SMF bekragtig die gebruiker se geloofsbriewe in UDM deur die verskafde SUPI te gebruik.
• Die SMF stuur 'n antwoord op die versoek van die AMF.
• SMF begin die EAP-verifikasieprosedure om toestemming te verkry om 'n sessie vanaf die AAA-bediener op die eksterne netwerk te vestig. Om dit te doen, ruil die SMF en die gebruiker boodskappe uit om die prosedure te begin.
• Die gebruiker en die eksterne netwerk AAA-bediener ruil dan boodskappe uit om die gebruiker te verifieer en te magtig. In hierdie geval stuur die gebruiker boodskappe na die SMF, wat op sy beurt boodskappe uitruil met die eksterne netwerk via UPF.

Gevolgtrekking

Alhoewel die 5G-sekuriteitsargitektuur gebaseer is op die hergebruik van bestaande tegnologieë, stel dit heeltemal nuwe uitdagings. ’n Groot aantal IoT-toestelle, uitgebreide netwerkgrense en gedesentraliseerde argitektuurelemente is maar enkele van die sleutelbeginsels van die 5G-standaard wat vrye teuels gee aan die verbeelding van kubermisdadigers.

Die kernstandaard vir 5G-sekuriteitsargitektuur is TS 23.501 weergawe 15.6.0 - bevat sleutelpunte van die werking van sekuriteitsmeganismes en -prosedures. In die besonder beskryf dit die rol van elke VNF in die versekering van die beskerming van gebruikersdata en netwerknodes, in die generering van kriptosleutels en in die implementering van die verifikasieprosedure. Maar selfs hierdie standaard bied nie antwoorde op dringende sekuriteitskwessies wat telekommunikasie-operateurs meer dikwels in die gesig staar hoe meer intensief nuwe generasie netwerke ontwikkel en in werking gestel word nie.

In hierdie verband wil ek glo dat die probleme om 5de generasie netwerke te bedryf en te beskerm nie op enige manier 'n invloed sal hê op gewone gebruikers nie, wat oordragspoed en reaksies belowe word soos die seun van 'n ma se vriend en wat reeds gretig is om alles uit te probeer. die verklaarde vermoëns van die nuwe generasie netwerke.

nuttige skakels

3GPP Spesifikasie reeks
5G sekuriteit argitektuur
5G stelsel argitektuur
5G Wiki
5G argitektuur notas
5G sekuriteit oorsig

Bron: will.com