Відавочна, брацца за распрацоўку новага стандарту сувязі, не думаючы аб механізмах забеспячэння бяспекі, - справа незвычайна сумнеўная і бескарыснае.

Архітэктура бяспекі 5G - сукупнасць механізмаў і працэдур бяспекі, рэалізаваных у сетках 5-га пакалення і якія ахопліваюць усе кампаненты сеткі, пачынальна ад ядра і сканчаючы радыёінтэрфейсамі.

Сеткі пятага пакалення з'яўляюцца, па сутнасці сваёй, эвалюцыяй. сетак 4. Пакалення LTE. Самым значным зменам падвергліся тэхналогіі радыёдоступу. Для сетак 5-га пакалення была распрацавана новая ПАЦУК (Radio Access Technology) - Новае радыё 5G. Што да ядра сеткі, яно зведала не такія значныя змены. У сувязі з гэтым, архітэктура бяспекі 5G-сетак была распрацавана з упорам на перавыкарыстанне адпаведных тэхналогій, прынятых у стандарце 4G LTE.

Аднак, варта адзначыць, што пераасэнсаванне такіх вядомых пагроз, як напады на радыёінтэрфейсы і ўзровень сігналізацыі (сігналізацыя plane), DDOS-напады, Man-In-The-Middle напады і інш., заахвоціла аператараў сувязі распрацаваць новыя стандарты і інтэграваць зусім новыя механізмы бяспекі ў сетцы 5. пакалення.

перадумовы

У 2015 годзе Міжнародным саюзам электрасувязі быў складзены першы ў сваім родзе глабальны план развіцця сетак пятага пакалення, з прычыны чаго пытанне распрацоўкі механізмаў і працэдур бяспекі ў 5G-сетках паўстала асабліва востра.

Новая тэхналогія прапаноўвала сапраўды ўражлівыя хуткасці перадачы дадзеных (больш за 1 Гбіт / с), затрымку менш за 1 мс і магчымасць адначасовага падлучэння каля 1 мільёна прылад у радыусе 1 км2. Такія высокія патрабаванні, якія прад'яўляюцца да сетак пятага пакалення, адбіліся і на прынцыпах іх арганізацыі.

Галоўным з іх стала дэцэнтралізацыя, якая мела на ўвазе размяшчэнне мноства лакальных баз дадзеных і цэнтраў іх апрацоўкі на перыферыі сеткі. Гэта дазваляла мінімізаваць затрымкі пры M2M-камунікацыях і разгрузіць ядро ​​сеткі з прычыны абслугоўвання велізарнай колькасці IoT-прылад. Такім чынам, мяжа сетак новага пакалення пашыралася аж да базавых станцый, дазваляючы ствараць лакальныя цэнтры камунікацыі і прадастаўляць хмарныя сэрвісы без рызыкі крытычных затрымак або адмовы ў абслугоўванні. Натуральна, зменены падыход да арганізацыі сетак і абслугоўванню кліентаў зацікавіў зламыснікаў, бо ён адчыняў перад імі новыя магчымасці для нападаў як на канфідэнцыйную інфармацыю карыстачоў, так і на самі кампаненты сеткі з мэтай выклікаць адмову ў абслугоўванні або захапіць вылічальныя рэсурсы аператара.

Асноўныя ўразлівасці сетак 5. пакалення

Вялікая паверхня атакі

Больш падрабязнаПры пабудове тэлекамунікацыйных сетак 3. і 4. пакаленняў аператары сувязі звычайна абмяжоўваліся працай з адным ці некалькімі вендарамі, якія адразу пастаўлялі комплекс апаратнага і праграмнага забеспячэння. Гэта значыць, усё магло працаваць, што завецца, са скрынкі досыць было толькі ўсталяваць і наладзіць абсталяванне, набытае ў вендара; пры гэтым не было неабходнасці замяняць або дапаўняць прапрыетарнае ПЗ. Сучасныя тэндэнцыі ідуць насуперак з такім «класічным» падыходам і накіраваныя на віртуалізацыю сетак, мультывендарны падыход да іх пабудовы і разнастайнасць ПЗ. Усё папулярнейшымі становяцца такія тэхналогіі як SDN (англ.: Software Defined Network) і NFV (англ.: Network Functions Virtualization), што прыводзіць да ўключэння велізарнай колькасці ПА, пабудаванага на базе адкрытых зыходных кодаў, у працэсы і функцыі кіравання сеткамі сувязі. Гэта дае зламыснікам магчымасць лепш вывучыць сетку аператара і выявіць большую колькасць уразлівасцяў, што, у сваю чаргу, павялічвае паверхню нападу сетак новага пакалення ў параўнанні з цяперашнімі.

Вялікая колькасць IoT-прылад

Больш падрабязнаДа 2021 года каля 57% прылад, падлучаных да 5G-сетак, будуць складаць IoT-прылады. Гэта азначае, што большасць хастоў будуць валодаць абмежаванымі крыптаграфічнымі магчымасцямі (гл. пункт 2) і, адпаведна, будуць уразлівыя да нападаў. Велізарная колькасць такіх прылад павялічыць рызыку распаўсюджвання ботнетов і дасць магчымасць ажыццяўляць яшчэ больш магутныя і размеркаваныя DDoS-напады.

Абмежаваныя крыптаграфічныя магчымасці IoT-прылад

Больш падрабязнаЯк ужо было сказана, сеткі 5. Пакалення актыўна задзейнічаюць перыферыйныя прылады, якія дазваляюць зняць частку нагрузкі з ядра сеткі і тым самым паменшыць затрымку. Гэта неабходна для такіх важных сэрвісаў як кіраванне беспілотнымі аўтамабілямі, сістэма экстранай абвесткі IMS і інш., для якіх забеспячэнне мінімальнай затрымкі крытычна, бо ад гэтага залежаць чалавечыя жыцці. З прычыны падлучэння вялікай колькасці IoT-прылад, якія, з прычыны сваіх невялікіх памераў і малога энергаспажывання, валодаюць вельмі абмежаванымі вылічальнымі рэсурсамі, сеткі 5G становяцца ўразлівымі да нападаў, накіраваным на перахоп кіравання з наступнай маніпуляцыяй такімі прыладамі. Напрыклад, магчымыя сцэнары заражэння IoT-прылад, якія з'яўляюцца часткай сістэмы.разумны дом», такімі тыпамі шкоднаснага ПЗ, як Ransomware і праграмы-вымагальнікі. Таксама магчымыя сцэнары перахопу кіравання беспілотнымі аўтамабілямі, якія атрымліваюць каманды і навігацыйную інфармацыю праз "воблака". Фармальна дадзеная ўразлівасць абумоўленая дэцэнтралізацыяй сетак новага пакалення, але наступны пункт акрэсліць праблему дэцэнтралізацыі больш відавочна.

Дэцэнтралізацыя і пашырэнне межаў сеткі

Больш падрабязнаПерыферыйныя прылады, якія граюць ролю лакальных ядраў сеткі, ажыццяўляюць маршрутызацыю карыстацкага трафіку, апрацоўку запытаў, а таксама лакальнае кэшаванне і захоўванне карыстацкіх дадзеных. Такім чынам, межы сетак 5-га пакалення пашыраюцца, апроч ядра, на перыферыю, у тым ліку на лакальныя базы дадзеных і радыёінтэрфейсы 5G-NR (ангел. 5G New Radio). Гэта стварае магчымасць для нападу на вылічальныя рэсурсы лакальных прылад, якія апрыёры абаронены слабей, чым цэнтральныя вузлы ядра сеткі, з мэтай выклікаць адмову ў абслугоўванні. Гэта багата адключэннем доступу ў інтэрнэт цэлых раёнаў, некарэктным функцыянаваннем IoT-прылад (напрыклад, у сістэме "разумны дом"), а таксама недаступнасцю сэрвісу экстраных абвестак IMS.

Аднак, у цяперашні час ETSI і 3GPP апублікавалі ўжо больш за 10 стандартаў, якія закранаюць розныя аспекты бяспекі 5G сетак. Пераважная большасць механізмаў, апісаных там, накіраваны на абарону ад уразлівасцяў (у тым ліку і апісаных вышэй). Адным з асноўных з'яўляецца стандарт TS 23.501 версіі 15.6.0, які апісвае архітэктуру бяспекі сетак 5. Пакалення.

Архітэктура 5G

Для пачатку звернемся да ключавых прынцыпаў архітэктуры 5G-сетак, якія дазволяць далей у поўнай меры расчыніць сэнс і зоны адказнасці кожнага праграмнага модуля і кожнай функцыі бяспекі 5G.

• Падзел сеткавых вузлоў на элементы, якія забяспечваюць працу пратаколаў. карыстацкай плоскасці (Ад англ. UP - User Plane) і элементы, якія забяспечваюць працу пратаколаў плоскасці кіравання (Ад англ. CP - Control Plane), што павышае гнуткасць у частцы маштабавання і разгортвання сеткі, т. Е. Магчыма цэнтралізаванае або дэцэнтралізаванае размяшчэнне асобных складнікаў сеткавых вузлоў.
• Падтрымка механізму network slicing, грунтуючыся на паслугах, якія прадстаўляюцца канкрэтным групам канчатковых карыстальнікаў.
• Рэалізацыя сеткавых элементаў у выглядзе віртуальных сеткавых функцый.
• Падтрымка адначасовага доступу да цэнтралізаваных і лакальных службаў, г. зн. рэалізацыя канцэпцый хмарных (ад англ. туманныя вылічэнні) і памежных (ад англ. край вылічэнняў) вылічэнняў.
• Рэалізацыя канвергентнай архітэктуры, якая аб'ядноўвае розныя тыпы сетак доступу – 3GPP 5G New Radio і non-3GPP (Wi-Fi і т. п.) - з адзіным ядром сеткі.
• Падтрымка адзіных алгарытмаў і працэдур аўтэнтыфікацыі незалежна ад тыпу сеткі доступу.
• Падтрымка сеткавых функцый без захавання стану (ад англ. stateless), у якіх вылічаемы рэсурс аддзелены ад сховішчы рэсурсаў.
• Падтрымка роўмінгу з маршрутызацыяй трафіку як праз хатнюю сетку (ад англ. home-routed roaming), так і з лакальным «прызямленнем» (ад англ. local breakout) у гасцявой сетцы.
• Узаемадзеянне паміж сеткавымі функцыямі прадстаўлена двума спосабамі: сэрвіс-арыентаванае и інтэрфейснае.

Канцэпцыя бяспекі сетак 5. Пакалення ўключае ў сябе.:

• Аўтэнтыфікацыю карыстальніка з боку сеткі.
• Аўтэнтыфікацыю сеткі з боку карыстальніка.
• Узгадненне крыптаграфічных ключоў паміж сеткай і карыстацкім абсталяваннем.
• Шыфраванне і кантроль цэласнасці сігнальнага трафіку.
• Шыфраванне і кантроль цэласнасці карыстацкага трафіку.
• Абарону ідэнтыфікатара карыстальніка.
• Абарону інтэрфейсаў паміж рознымі элементамі сеткі ў адпаведнасці з канцэпцыяй сеткавага дамена бяспекі.
• Ізаляцыю розных пластоў механізму network slicing і вызначэнне для кожнага пласта ўласных узроўняў бяспекі.
• Аўтэнтыфікацыю карыстальніка і абарону трафіку на ўзроўні канчатковых сэрвісаў (IMS, IoT і іншых).

Асноўныя праграмныя модулі і сеткавыя функцыі бяспекі 5G

AMF (Ад англ. Access & Mobility Management Function - функцыя кіравання доступам і мабільнасцю) - забяспечвае:

• Арганізацыю інтэрфейсаў плоскасці кіравання.
• Арганізацыю абмену сігнальным трафікам RRC, шыфраванне і абарону цэласнасці яго дадзеных.
• Арганізацыю абмену сігнальным трафікам NAS, шыфраванне і абарону цэласнасці яго дадзеных.
• Кіраванне рэгістрацыяй карыстацкага абсталявання ў сетцы і кантроль магчымых станаў рэгістрацыі.
• Упраўленне злучэннем карыстацкага абсталявання з сеткай і кантроль магчымых станаў.
• Кіраванне даступнасцю карыстацкага абсталявання ў сетцы ў стане CM-IDLE.
• Кіраванне мабільнасцю карыстацкага абсталявання ў сетцы ў стане CM-CONNECTED.
• Перадачу кароткіх паведамленняў паміж карыстацкім абсталяваннем і SMF.
• Кіраванне службамі геолокации.
• Вылучэнне ідэнтыфікатара патоку Прыбытак на акцыю для ўзаемадзеяння з EPS.

SMF (англ. Session Management Function - функцыя кіравання сесіямі) - забяспечвае:

• Упраўленне сесіямі сувязі, г. зн. стварэнне, змяненне і вызваленне сесіі, уключаючы падтрымку тунэля паміж сеткай доступу і UPF.
• Размеркаванне і кіраванне IP-адрасамі карыстацкага абсталявання.
• Выбар выкарыстоўванага шлюза UPF.
• Арганізацыю ўзаемадзеяння з PCF.
• Упраўленне прымяненнем палітык QoS.
• Дынамічную настройку карыстацкага абсталявання з дапамогай пратаколаў DHCPv4 і DHCPv6.
• Кантроль збору тарыфікацыйных дадзеных і арганізацыя ўзаемадзеяння з сістэмай білінгу.
• Бясшвоўнасць прадастаўлення паслуг (ад англ. SSC - Session and Service Continuity).
• Узаемадзеянне з гасцявымі сеткамі ў рамках роўмінгу.

UPF (англ. User Plane Function - функцыя карыстацкай плоскасці) - забяспечвае:

• Узаемадзеянне з вонкавымі сеткамі перадачы даных, у тым ліку да глабальнага Інтэрнэту.
• Маршрутызацыю пакетаў карыстальнікаў.
• Маркіроўку пакетаў у адпаведнасці з палітыкамі QoS.
• Дыягностыку пакетаў карыстальнікаў (напрыклад, выяўленне прыкладанняў на аснове сігнатур).
• Прадастаўленне справаздач аб выкарыстанні трафіку.
• UPF таксама з'яўляецца якарнай кропкай для падтрымкі мабільнасці як унутры адной, так і паміж рознымі тэхналогіямі радыёдоступу.

УДМ (англ. Unified Data Management - уніфікаваная база дадзеных) - забяспечвае:

• Кіраванне дадзенымі профіляў карыстальнікаў, у тым ліку захоўванне і мадыфікацыю пераліку даступных карыстальнікам паслуг і адпаведных ім параметраў.
• Кіраванне SUPI
• Генерацыю уліковых дадзеных аўтэнтыфікацыі 3GPP AKA.
• Аўтарызацыю доступу на аснове дадзеных профіля (напрыклад, абмежаванне роўмінгу).
• Упраўленне рэгістрацыяй карыстальніка, г. зн. захоўванне абслуговай AMF.
• Падтрымку бясшвоўнасці абслугоўвання і сеансу сувязі, т. е. захоўванне прызначанага для бягучага сеансу сувязі SMF.
• Упраўленне дастаўкай SMS.
• Некалькі розных UDM могуць абслугоўваць аднаго карыстальніка ў рамках розных транзакцый.

UDR (англ.: Unified Data Repository — сховішча ўніфікаваных дадзеных) — забяспечвае захоўванне розных карыстацкіх дадзеных і з'яўляецца, па сутнасці, базай даных усіх абанентаў сеткі.

UDSF (англ. Unstructured Data Storage Function - функцыя захоўвання неструктураваных дадзеных) - забяспечвае захаванне модулямі AMF бягучых кантэкстаў зарэгістраваных карыстальнікаў. Дадзеная інфармацыя ў агульным выпадку можа быць прадстаўлена як дадзеныя нявызначанай структуры. Кантэксты карыстальнікаў могуць быць скарыстаны для забеспячэння бясшвоўнасці і бязабрыўнасці абаненцкіх сесій як пры планавай выснове з сэрвісу аднаго з AMF, так і пры ўзнікненні аварыйнай сітуацыі. У абодвух выпадках рэзервовы AMF "падхопіць" сэрвіс, выкарыстоўваючы кантэксты, захаваныя ў USDF.

Сумяшчэнне UDR і UDSF на адной фізічнай платформе з'яўляецца тыповай рэалізацыяй дадзеных сеткавых функцый.

ПКФ (англ. Policy Control Function - функцыя кантролю палітык) - фармуе і прызначае карыстальнікам тыя ці іншыя палітыкі абслугоўвання, уключаючы параметры QoS і правілы тарыфікацыі. Напрыклад, для перадачы таго ці іншага тыпу трафіку могуць дынамічна стварацца віртуальныя каналы з рознымі характарыстыкамі. Пры гэтым, да ўвагі могуць прымацца патрабаванні сэрвісу, які запытваецца абанентам, узровень загружанасці сеткі, аб'ём спажыванага трафіку і т. п.

NEF (англ.: Network Exposure Function - функцыя сеткавай экспазіцыі) - забяспечвае:

• Арганізацыю бяспечнага ўзаемадзеяння знешніх платформ і дадаткаў з ядром сеткі.
• Кіраванне параметрамі QoS і правіламі тарыфікацыі для пэўных карыстальнікаў.

МОРА (англ.: Security Anchor Function - якарная функцыя бяспекі) - сумесна з AUSF забяспечвае аўтэнтыфікацыю карыстальнікаў пры іх рэгістрацыі ў сетцы з любой тэхналогіяй доступу.

АУСФ (ангел. Authentication Server Function - функцыя сервера аўтэнтыфікацыі) - гуляе ролю сервера аўтэнтыфікацыі, які прымае і апрацоўвае запыты ад SEAF і што перанакіроўвае іх у ARPF.

ARPF (англ.: Authentication Credential Repository and Processing Function - функцыя сховішча і апрацоўкі уліковых дадзеных аўтэнтыфікацыі) - забяспечвае захоўванне персанальных сакрэтных ключоў (KI) і параметраў крыптаграфічных алгарытмаў, а таксама генерацыю вектараў аўтэнтыфікацыі ў адпаведнасці з алгарытмамі 5G-AKA або EAP-AKA. Размяшчаецца ў абароненым ад знешніх фізічных уздзеянняў ЦАД хатняга аператара сувязі і, як правіла, інтэгруецца з UDM.

SCMF (англ.: Security Context Management Function - функцыя кіравання кантэкстам бяспекі) - забяспечвае кіраванне жыццёвым цыклам кантэксту бяспекі 5G.

SPCF (англ.: Security Policy Control Function - функцыя кіравання палітыкай бяспекі) - забяспечвае ўзгадненне і прымяненне палітык бяспекі ў дачыненні да канкрэтных карыстальнікаў. Пры гэтым улічваюцца магчымасці сеткі, магчымасці карыстацкага абсталявання і патрабаванні канкрэтнай паслугі (напрыклад, узроўні абароны, якія забяспечваюцца сэрвісам крытычных камунікацый і сэрвісам бесправаднога шырокапалоснага доступу ў інтэрнэт могуць адрознівацца). Ужыванне палітык бяспекі складаецца з: выбар AUSF, выбар алгарытму аўтэнтыфікацыі, выбар алгарытмаў шыфравання дадзеных і кантролю цэласнасці, вызначэнне даўжыні і жыццёвага цыклу ключоў.

SIDF (англ. Subscription Identifier De-concealing Function — функцыя вымання ідэнтыфікатара карыстальніка) — забяспечвае атрыманне пастаяннага ідэнтыфікатара падпіскі абанента (англ. SUPI) з схаванага ідэнтыфікатара (англ. SUCI), атрыманага ў рамках запыту працэдуры аўтэнтыфікацыі "Auth Info Req".

Асноўныя патрабаванні бяспекі да сетак сувязі 5G

Больш падрабязнаАўтэнтыфікацыя карыстальніка: Абслугоўваючая 5G-сетка павінна аўтэнтыфікаваць SUPI карыстальніка ў працэсе 5G AKA паміж карыстальнікам і сеткай.

Аўтэнтыфікацыя абслуговай сеткі: Карыстальнік павінен аўтэнтыфікаваць ідэнтыфікатар абслуговай 5G-сеткі, прычым аўтэнтыфікацыя забяспечваецца праз паспяховае выкарыстанне ключоў, атрыманых у выніку працэдуры 5G AKA.

Аўтарызацыя карыстальніка: Абслугоўваючая сетка павінна аўтарызаваць карыстальніка па карыстацкім профілі, атрыманым з сеткі хатняга аператара сувязі.

Аўтарызацыя абслуговай сеткі сеткай хатняга аператара: Карыстальніку павінна быць прадастаўлена пацвярджэнне таго, што ён падключаны да абслуговай сеткі, якая аўтарызавана сеткай хатняга аператара для прадастаўлення паслуг. Аўтарызацыя з'яўляецца няяўнай у тым сэнсе, што забяспечваецца паспяховым завяршэннем працэдуры 5G AKA.

Аўтарызацыя сеткі доступу сеткай хатняга аператара: Карыстальніку павінна быць прадастаўлена пацвярджэнне таго, што ён падключаны да сеткі доступу, якая аўтарызавана сеткай хатняга аператара для прадастаўлення паслуг. Аўтарызацыя з'яўляецца няяўнай у тым сэнсе, што забяспечваецца паспяховым устанаўленнем бяспекі сеткі доступу. Гэты тып аўтарызацыі павінен прымяняцца для любога тыпу сеткі доступу.

Неаўтэнтыфікаваныя аварыйныя сэрвісы: Каб адпавядаць нарматыўным патрабаванням у некаторых рэгіёнах, 5G-сеткі павінны даваць магчымасць неаўтэнтыфікаванага доступу для аварыйных сэрвісаў.

Ядро сеткі і сетка радыёдоступу: У ядры сеткі 5G і сеткі радыёдоступу 5G павінна падтрымлівацца выкарыстанне алгарытмаў шыфравання і захаванні цэласнасці з даўжынёй ключа 128 біт для забеспячэння бяспекі AS и NAS. Сеткавыя ж інтэрфейсы павінны падтрымліваць 256-бітныя ключы шыфравання.

Асноўныя патрабаванні бяспекі да карыстацкага абсталявання

Больш падрабязна

• Карыстальніцкае абсталяванне павінна падтрымліваць шыфраванне, абарону цэласнасці і абарону ад нападаў паўторнага прайгравання карыстацкіх дадзеных, якія перадаюцца паміж ім і сеткай радыёдоступу.
• Карыстальніцкае абсталяванне павінна актываваць механізмы шыфравання і абароны цэласнасці дадзеных па ўказанні, атрыманым ад сеткі радыёдоступу.
• Карыстальніцкае абсталяванне павінна падтрымліваць шыфраванне, абарону цэласнасці і абарону ад нападаў паўторнага прайгравання сігнальнага трафіку RRC і NAS.
• Карыстальніцкае абсталяванне павінна падтрымліваць наступныя крыптаалгарытмы: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Карыстальніцкае абсталяванне можа падтрымліваць наступныя крыптаалгарытмы: 128-NEA3, 128-NIA3.
• Карыстальніцкае абсталяванне павінна падтрымліваць наступныя крыптаалгарытмы: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 у тым выпадку, калі яно падтрымлівае падлучэнне да сеткі радыёдоступу E-UTRA.
• Абарона прыватнасці карыстацкіх дадзеных, якія перадаюцца паміж карыстацкім абсталяваннем і сеткай радыёдоступу, апцыянальная, але павінна быць забяспечана ва ўсіх выпадках, калі гэта дазваляецца нарматыўна-прававымі актамі.
• Абарона прыватнасці сігнальнага трафіку RRC і NAS апцыянальная.
• Пастаянны ключ карыстальніка павінен быць абаронены і павінен захоўвацца ў добра абароненых кампанентах карыстацкага абсталявання.
• Пастаянны ідэнтыфікатар падпіскі абанента не павінен перадавацца ў адкрытым выглядзе праз сетку радыёдоступу за выключэннем інфармацыі, неабходнай для карэктнай маршрутызацыі (напрыклад MCC и MNC).
• Адкрыты ключ сеткі хатняга аператара, ідэнтыфікатар гэтага ключа, ідэнтыфікатар схемы абароны і маршрутызацыйны ідэнтыфікатар павінны захоўвацца ў USIM.

Кожнаму алгарытму шыфравання ставіцца ў адпаведнасць двайковы лік:

• "0000": NEA0 - Null ciphering algorithm
• "0001": 128-NEA1 - 128-bit СНЕГ 3G based algorithm
• "0010" 128-NEA2 - 128-bit AES based algorithm
• "0011" 128-NEA3 - 128-bit ЗУК based algorithm.

Шыфраванне дадзеных з выкарыстаннем 128-NEA1 і 128-NEA2

PS Схема запазычаная з TS 133.501

Выпрацоўка імітаўставак алгарытмамі 128-NIA1 і 128-NIA2 для забеспячэння цэласнасці

PS Схема запазычаная з TS 133.501

Асноўныя патрабаванні бяспекі да сеткавых функцый 5G

Больш падрабязна

• AMF павінна падтрымліваць першасную аўтэнтыфікацыю з выкарыстаннем SUCI.
• SEAF павінна падтрымліваць першасную аўтэнтыфікацыю з выкарыстаннем SUCI.
• UDM і ARPF павінны захоўваць пастаянны ключ карыстальніка і забяспечваць яго абарону ад крадзяжу.
• AUSF павінна падаваць SUPI лакальнай абслуговай сеткі толькі ў выпадку паспяховай першаснай аўтэнтыфікацыі з выкарыстаннем SUCI.
• NEF не павінна перасылаць утоеную інфармацыю аб ядры сеткі за межы дамена бяспекі аператара.

Асноўныя працэдуры бяспекі

Дамены даверу

У сетках пятага пакалення давер да элементаў сеткі зніжаецца па меры выдалення элементаў ад ядра сеткі. Гэтая канцэпцыя ўплывае на рашэнні, рэалізаваныя ў архітэктуры бяспекі 5G. Такім чынам, можна казаць аб мадэлі даверу 5G-сетак, якая вызначае паводзіны механізмаў бяспекі сеткі.

З боку карыстача дамен даверу ўтвораць UICC і USIM.

На баку сеткі дамен даверу мае больш складаную структуру.

Сетка радыёдоступу падзяляецца на дзве складнікі — DU (Ад англ. Distributed Units - размеркаваныя адзінкі сеткі) і CU (Ад англ. Central Units - цэнтральныя адзінкі сеткі). Разам яны фарміруюць gNB - Радыёінтэрфейс базавай станцыі сеткі 5G. DU не маюць непасрэднага доступу да карыстацкіх дадзеных, бо могуць быць разгорнутыя ў сегментах неабароненай інфраструктуры. CU ж павінны быць разгорнутыя ў абароненых сегментах сеткі, бо адказваюць за тэрмінацыю трафіку механізмаў бяспекі AS. У ядры сеткі размяшчаецца AMF, якая тэрмінуе трафік механізмаў бяспекі NAS. У бягучай спецыфікацыі 3GPP 5G Phase 1 апісана сумяшчэнне AMF з функцыяй бяспекі МОРА, утрымоўвальнай каранёвы ключ (таксама вядомы як «якарны ключ») наведвальнай (абслугоўваючай) сеткі. АУСФ адказвае за захоўванне ключа, атрыманага пасля паспяховай аўтэнтыфікацыі. Ён неабходны для паўторнага выкарыстання ў выпадках з адначасовым падключэннем карыстальніка да некалькіх сетак радыёдоступу. ARPF захоўвае ўліковыя дадзеныя карыстальнікаў і з'яўляецца аналагам USIM у абанентаў. UDR и УДМ захоўваюць карыстацкую інфармацыю, якую выкарыстоўваюць для вызначэння логікі генерацыі уліковых дадзеных, ідэнтыфікатараў карыстачоў, забеспячэнні бесперапыннасці сесіі і інш.

Іерархія ключоў і схемы іх размеркавання

У сетках 5-га пакалення, у адрозненне ад сетак 4G-LTE, працэдура аўтэнтыфікацыі мае дзве складнікі: першасную і другасную аўтэнтыфікацыю. Першасная аўтэнтыфікацыя абавязковая для ўсіх карыстацкіх прылад, якія падключаюцца да сеткі. Другасная аўтэнтыфікацыя можа здзяйсняцца па запыце ад знешніх сетак, калі абанент да такіх падключаецца.

Пасля паспяховага завяршэння першаснай аўтэнтыфікацыі і выпрацоўкі сумеснага ключа Да паміж карыстачом і сеткай, з ключа Да здабываецца KSEAF – адмысловы якарны (карэнны) ключ абслуговай сеткі. Пасля з гэтага ключа выпрацоўваюцца ключы, якія забяспечваюць канфідэнцыйнасць і цэласнасць дадзеных сігнальнага трафіку RRC і NAS.

Схема з тлумачэннямі
абазначэння:
CK (англ.: Cipher Key)
IK (англ. Integrity Key) - ключ, які выкарыстоўваецца ў механізмах абароны цэласнасці дадзеных.
CK' (англ.: Cipher Key) - іншы крыптаграфічны ключ, створаны з CK для механізму EAP-AKA.
IK' (англ. Integrity Key) - іншы ключ, які выкарыстоўваецца ў механізмах абароны цэласнасці дадзеных для EAP-AKA.
KAUSF - ствараецца функцыяй ARPF і абсталяваннем карыстальніка з CK и IK падчас 5G AKA і EAP-AKA.
KSEAF - якарны ключ, які атрымлівае функцыяй AUSF з ключа KAMFAUSF.
KAMF - ключ, які атрымлівае функцыяй SEAF з ключа KSEAF.
KNASint, KNASenc - ключы, якія атрымліваюцца функцыяй AMF з ключа KAMF для абароны сігнальнага трафіку NAS.
KRRCint, KRRCenc - ключы, якія атрымліваюцца функцыяй AMF з ключа KAMF для абароны сігнальнага трафіку RRC.
KUPint, KUPenc - ключы, якія атрымліваюцца функцыяй AMF з ключа KAMF для абароны сігнальнага трафіку AS.
NH - прамежкавы ключ, які атрымліваецца функцыяй AMF з ключа KAMF для забеспячэння бяспекі дадзеных пры хэндавер.
KgNB - ключ, які атрымлівае функцыяй AMF з ключа KAMF для забеспячэння бяспекі механізмаў мабільнасці.

Схемы выпрацоўкі SUCI з SUPI і наадварот

Схемы атрымання SUPI і SUCI

Выпрацоўка SUCI з SUPI і SUPI з SUCI:

аўтэнтыфікацыя

Першасная аўтэнтыфікацыя

У сетках 5G EAP-AKA і 5G AKA з'яўляюцца стандартнымі механізмамі першаснай аўтэнтыфікацыі. Разаб'ем механізм першаснай аўтэнтыфікацыі на дзве фазы: першая адказвае за ініцыяцыю аўтэнтыфікацыі і выбару метаду аўтэнтыфікацыі, другая - за ўзаемную аўтэнтыфікацыю паміж карыстачом і сеткай.

Ініцыяцыя

Карыстальнік адпраўляе запыт на рэгістрацыю ў SEAF, якая змяшчае ўтоены ідэнтыфікатар падпіскі карыстальніка SUCI.

SEAF адпраўляе ў AUSF паведамленне-запыт на аўтэнтыфікацыю (Nausf_UEAuthentication_Authenticate Request), якое змяшчае SNN (ад англ. Serving Network Name - імя абслуговай сеткі) і SUPI або SUCI.

AUSF правярае, ці дазволена запытальнаму аўтэнтыфікацыю SEAF выкарыстоўваць дадзены SNN. Калі абслуговая сетка не аўтарызавана выкарыстоўваць дадзены SNN, то AUSF адказвае паведамленнем пра памылку аўтарызацыі "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

Запыт уліковых дадзеных для аўтэнтыфікацыі з боку AUSF у UDM, ARPF або SIDF ажыццяўляецца па SUPI або SUCI і SNN.

Грунтуючыся на SUPI або SUCI і карыстацкай інфармацыі UDM/ARPF выбірае метад аўтэнтыфікацыі, які будзе выкарыстоўвацца далей і выдае уліковыя дадзеныя карыстальніка.

Узаемная аўтэнтыфікацыя

Пры выкарыстанні любога метаду аўтэнтыфікацыі сеткавыя функцыі UDM/ARPF павінны згенераваць вектар аўтэнтыфікацыі (ангел. AV).

EAP-AKA: UDM/ARPF спачатку генеруе вектар аўтэнтыфікацыі з падзяляльным бітам AMF = 1, пасля чаго генеруе CK' и IK' з CK, IK і SNN і складае новы вектар аўтэнтыфікацыі AV (RAND, AUTN, XRES*, CK', IK'), які адпраўляецца ў AUSF з указаннем выкарыстоўваць яго толькі для EAP-AKA.

5G AKA: UDM/ARPF атрымлівае ключ KAUSF з CK, IK і SNN, пасля чаго генеруе 5G HE AVангл. 5G Home Environment Authentication Vector). Вектар аўтэнтыфікацыі 5G HE AV (RAND, AUTN, XRES, KAUSF) адпраўляецца ў AUSF з указаннем выкарыстоўваць яго толькі для 5G AKA.

Пасля гэтага AUSF атрымліваецца якарны ключ KSEAF з ключа KAUSF і адпраўляе ў SEAF "Challenge" запыт у паведамленні "Nausf_UEAuthentication_Authenticate Response", які змяшчае таксама RAND, AUTN і RES*. Далей ажыццяўляецца перадача RAND і AUTN на карыстацкае абсталяванне з дапамогай абароненага сігнальнага паведамлення NAS. USIM карыстальніка вылічвае RES* з атрыманых RAND і AUTN і адпраўляе яго ў SEAF. SEAF рэтранслюе гэтае значэнне ў AUSF для праверкі.

AUSF параўноўвае які захоўваецца ў ім XRES* і атрыманы ад карыстача RES*. У выпадку супадзення, AUSF і UDM у хатняй сетцы аператара апавяшчаюцца аб паспяховай аўтэнтыфікацыі, а карыстач і SEAF незалежна сябар ад сябра генеруюць ключ KAMF з KSEAF і SUPI для далейшай камунікацыі.

Другасная аўтэнтыфікацыя

Стандарт 5G падтрымлівае апцыянальную другасную аўтэнтыфікацыю на аснове EAP-AKA паміж карыстацкім абсталяваннем і вонкавай сеткай перадачы дадзеных. У гэтым выпадку SMF гуляе ролю аўтэнтыфікатара EAP і абапіраецца на працу AAA-сервера знешняй сеткі, які аўтэнтыфікуе і аўтарызуе карыстальніка.

• Адбываецца абавязковая першасная аўтэнтыфікацыя карыстача ў хатняй сетцы і выпрацоўвае агульны з AMF кантэкст бяспекі NAS.
• Карыстальнік пасылае ў AMF запыт на ўсталяванне сесіі.
• AMF пасылае запыт на ўстанаўленне сесіі ў SMF з указаннем SUPI карыстальніка.
• SMF правярае ўліковыя дадзеныя карыстальніка ў UDM з выкарыстаннем прадстаўленага SUPI.
• SMF адпраўляе адказ на запыт ад AMF.
• SMF запускае працэдуру аўтэнтыфікацыі EAP з мэтай атрымаць дазвол на ўстанаўленне сесіі ад AAA-сервера знешняй сеткі. Для гэтага SMF і карыстач абменьваюцца паведамленнямі з мэтай ініцыяваць працэдуру.
• Карыстальнік і AAA-сервер знешняй сеткі далей абменьваюцца паведамленнямі, каб правесці аўтэнтыфікацыю і аўтарызацыю карыстальніка. Пры гэтым карыстач адсылае паведамленні ў SMF, які ў сваю чаргу абменьваецца паведамленнямі з вонкавай сеткай праз UPF.

Заключэнне

Нягледзячы на ​​тое, што архітэктура бяспекі 5G грунтуецца на перавыкарыстанні існых тэхналогій, перад ёй ставяцца зусім новыя задачы. Вялікая колькасць IoT-прылад, пашыраныя межы сеткі і элементы дэцэнтралізаванай архітэктуры – вось толькі некаторыя з ключавых прынцыпаў стандарту 5G, якія даюць волю фантазіі кіберзлачынцаў.

Асноўны стандарт па архітэктуры бяспекі 5G - TS 23.501 версіі 15.6.0 - змяшчае ключавыя моманты працы механізмаў і працэдур бяспекі. У прыватнасці, апісвае ролю кожнай з VNF у забеспячэнні абароны карыстацкіх дадзеных і вузлоў сеткі, у выпрацоўцы крыптаключоў і ў ажыццяўленні працэдуры аўтэнтыфікацыі. Але нават гэты стандарт не дае адказаў на вострыя пытанні бяспекі, якія ўстаюць перад аператарамі сувязі тым часцей, чым больш інтэнсіўна развіваюцца і ўводзяцца ў эксплуатацыю сеткі новага пакалення.

У сувязі з гэтым, жадаецца верыць, што цяжкасці эксплуатацыі і абароны сетак пятага пакалення ніяк не адаб'юцца на звычайных карыстачах, якім абяцаюць хуткасць перадачы і водгук як у сына мамінай сяброўкі ўжо не церпіцца апрабаваць усе заяўленыя магчымасці сетак новага пакалення.

Карысныя спасылкі

3GPP Specification series
5G security architecture
5G system architecture
5G Wiki
5G architecture notes
5G security overview

Крыніца: habr.com