Очевидно поемането на разработването на нов комуникационен стандарт без да се мисли за механизмите за сигурност е изключително съмнително и безполезно начинание.

5G архитектура за сигурност — набор от механизми и процедури за сигурност, внедрени в 5-то поколение мрежи и обхваща всички мрежови компоненти, от ядрото до радио интерфейсите.

Мрежите от 5-то поколение по същество са еволюция 4-то поколение LTE мрежи. Технологиите за радио достъп претърпяха най-значителни промени. За мрежи от 5-то поколение, нов ПЛЪХ (Технология за радио достъп) - 5G ново радио. Що се отнася до ядрото на мрежата, то не е претърпяло толкова значителни промени. В тази връзка архитектурата за сигурност на 5G мрежите е разработена с акцент върху повторното използване на съответните технологии, възприети в стандарта 4G LTE.

Заслужава обаче да се отбележи, че преосмислянето на известни заплахи като атаки срещу въздушни интерфейси и сигнализиращия слой (сигнализация самолет), DDOS атаки, атаки Man-In-The-Middle и др., подтикнаха телекомуникационните оператори да разработят нови стандарти и да интегрират изцяло нови механизми за сигурност в мрежи от 5-то поколение.

Предпосылки

През 2015 г. Международният съюз по телекомуникации изготви първия по рода си глобален план за развитие на мрежи от пето поколение, поради което въпросът за разработването на механизми и процедури за сигурност в 5G мрежите стана особено остър.

Новата технология предложи наистина впечатляващи скорости на трансфер на данни (повече от 1 Gbps), латентност под 1 ms и възможност за едновременно свързване на около 1 милион устройства в радиус от 1 km2. Такива най-високи изисквания към мрежите от 5-то поколение са отразени и в принципите на тяхната организация.

Основната беше децентрализацията, която предполагаше разполагането на много локални бази данни и техните центрове за обработка в периферията на мрежата. Това даде възможност да се сведат до минимум закъсненията, когато M2M-комуникации и облекчаване на ядрото на мрежата поради обслужването на огромен брой IoT устройства. По този начин ръбът на мрежите от следващо поколение се разшири чак до базовите станции, позволявайки създаването на локални комуникационни центрове и предоставянето на облачни услуги без риск от критични забавяния или отказ на услуга. Естествено, промененият подход към мрежите и обслужването на клиенти представляваше интерес за нападателите, тъй като им разкри нови възможности да атакуват както поверителна потребителска информация, така и самите мрежови компоненти, за да причинят отказ на услуга или да завладеят изчислителните ресурси на оператора.

Основни уязвимости на мрежи от 5-то поколение

Голяма атакуваща повърхност

ОщеПри изграждането на телекомуникационни мрежи от 3-то и 4-то поколение телекомуникационните оператори обикновено се ограничават до работа с един или няколко доставчици, които незабавно доставят набор от хардуер и софтуер. Това означава, че всичко може да работи, както се казва, „извън кутията“ - достатъчно е просто да инсталирате и конфигурирате оборудването, закупено от доставчика; нямаше нужда да се заменя или допълва патентован софтуер. Съвременните тенденции са в противоречие с този „класически“ подход и са насочени към виртуализация на мрежите, подход от различни доставчици към тяхното изграждане и софтуерно разнообразие. Технологии като SDN (английска софтуерно дефинирана мрежа) и NFV (англ. Network Functions Virtualization), което води до включването на огромно количество софтуер, изграден на базата на кодове с отворен код, в процесите и функциите за управление на комуникационните мрежи. Това дава възможност на атакуващите да проучат по-добре мрежата на оператора и да идентифицират по-голям брой уязвимости, което от своя страна увеличава повърхността на атака на мрежи от ново поколение в сравнение с настоящите.

Голям брой IoT устройства

ОщеДо 2021 г. около 57% от устройствата, свързани към 5G мрежи, ще бъдат IoT устройства. Това означава, че повечето хостове ще имат ограничени криптографски възможности (вижте точка 2) и съответно ще бъдат уязвими на атаки. Огромен брой такива устройства ще увеличат риска от разпространение на ботнет и ще направят възможно извършването на още по-мощни и разпределени DDoS атаки.

Ограничени криптографски възможности на IoT устройства

ОщеКакто вече споменахме, мрежите от 5-то поколение активно използват периферни устройства, които позволяват да се премахне част от натоварването от ядрото на мрежата и по този начин да се намали забавянето. Това е необходимо за такива важни услуги като контрол на безпилотни превозни средства, система за аварийно предупреждение IMS и други, за които осигуряването на минимално забавяне е критично, защото от това зависят човешки животи. Поради свързването на голям брой IoT устройства, които поради малкия си размер и ниска консумация на енергия имат много ограничени изчислителни ресурси, 5G мрежите стават уязвими за атаки, насочени към прихващане на контрол и последващо манипулиране на такива устройства. Например, може да има сценарии, при които IoT устройствата, които са част от системата, са заразени "умна къща“, видове зловреден софтуер като Рансъмуер и рансъмуер. Възможни са и сценарии за прихващане на управлението на безпилотни превозни средства, които получават команди и навигационна информация през облака. Формално тази уязвимост се дължи на децентрализацията на мрежите от ново поколение, но следващият параграф ще очертае проблема с децентрализацията по-ясно.

Децентрализация и разширяване на границите на мрежата

ОщеПериферните устройства, които играят ролята на ядра на локалната мрежа, извършват маршрутизиране на потребителския трафик, обработка на заявки, както и локално кеширане и съхранение на потребителски данни. По този начин границите на мрежите от 5-то поколение се разширяват, в допълнение към ядрото, към периферията, включително локални бази данни и 5G-NR (5G New Radio) радиоинтерфейси. Това създава възможност за атака на изчислителните ресурси на локалните устройства, които априори са по-слабо защитени от централните възли на ядрото на мрежата, с цел причиняване на отказ от услуга. Това може да доведе до прекъсване на интернет достъпа за цели области, неправилно функциониране на IoT устройства (например в система за интелигентен дом), както и недостъпност на услугата за спешно предупреждение IMS.

Въпреки това, ETSI и 3GPP вече са публикували повече от 10 стандарта, покриващи различни аспекти на сигурността на 5G мрежата. По-голямата част от механизмите, описани там, са насочени към защита срещу уязвимости (включително описаните по-горе). Един от основните е стандартът TS 23.501 версия 15.6.0, описващ архитектурата за сигурност на мрежи от 5-то поколение.

5G архитектура

Първо, нека се обърнем към ключовите принципи на 5G мрежовата архитектура, които допълнително ще разкрият напълно значението и областите на отговорност на всеки софтуерен модул и всяка 5G функция за сигурност.

• Разделяне на мрежовите възли на елементи, които осигуряват работата на протоколите персонализиран самолет (от английски UP - User Plane) и елементи, които осигуряват работата на протоколите контролна равнина (от английски CP - Control Plane), което увеличава гъвкавостта по отношение на мащабирането и разгръщането на мрежата, т.е. възможно е централизирано или децентрализирано разполагане на отделни компонентни мрежови възли.
• Поддръжка на механизма мрежово нарязване, въз основа на услугите, предоставяни на конкретни групи крайни потребители.
• Внедряване на мрежови елементи във формата виртуални мрежови функции.
• Поддръжка за едновременен достъп до централизирани и локални услуги, т.е. внедряване на облачни концепции (от англ. изчисления за мъгла) и граница (от англ. крайни изчисления) изчисления.
• Изпълнение конвергентен архитектура, комбинираща различни видове мрежи за достъп - 3GPP 5G Ново радио и не-3GPP (Wi-Fi и др.) - с едно мрежово ядро.
• Поддръжка на единни алгоритми и процедури за удостоверяване, независимо от вида на мрежата за достъп.
• Поддръжка за мрежови функции без състояние, при които изчисленият ресурс е отделен от хранилището на ресурси.
• Поддръжка за роуминг с маршрутизиране на трафика както през домашната мрежа (от английски home-routed roaming), така и с локално „кацане“ (от английски local breakout) в мрежата за гости.
• Взаимодействието между мрежовите функции е представено по два начина: ориентирани към услугите и интерфейс.

Концепцията за мрежова сигурност от 5-то поколение включва:

• Удостоверяване на потребителя от мрежата.
• Мрежово удостоверяване от потребителя.
• Договаряне на криптографски ключове между мрежата и потребителското оборудване.
• Криптиране и наблюдение на целостта на сигналния трафик.
• Криптиране и контрол на целостта на потребителския трафик.
• Защита на потребителския идентификатор.
• Защита на интерфейсите между различни мрежови елементи в съответствие с концепцията за домейн за мрежова сигурност.
• Изолиране на различни слоеве на механизма мрежово нарязване и дефиниране на собствените нива на сигурност на всеки слой.
• Удостоверяване на потребителя и защита на трафика на ниво крайни услуги (IMS, IoT и други).

Ключови софтуерни модули и функции за сигурност на 5G мрежата

AMF (от английски Access & Mobility Management Function - функция за управление на достъпа и мобилността) - осигурява:

• Организация на интерфейсите на контролната равнина.
• Организация на обмен на сигнален трафик RRC, криптиране и защита на целостта на данните.
• Организация на обмен на сигнален трафик NAS, криптиране и защита на целостта на данните.
• Управление на регистрацията на потребителско оборудване в мрежата и наблюдение на възможни състояния на регистрация.
• Управление на свързването на потребителско оборудване към мрежата и наблюдение на възможни състояния.
• Контролирайте наличността на потребителско оборудване в мрежата в състояние CM-IDLE.
• Управление на мобилността на потребителското оборудване в мрежата в състояние CM-CONNECTED.
• Предаване на кратки съобщения между потребителско оборудване и SMF.
• Управление на услуги за местоположение.
• Разпределение на ID на нишка EPS за взаимодействие с EPS.

SMF (на английски: Session Management Function - функция за управление на сесии) - осигурява:

• Управление на комуникационни сесии, т.е. създаване, модифициране и освобождаване на сесии, включително поддържане на тунел между мрежата за достъп и UPF.
• Разпределение и управление на IP адреси на потребителско оборудване.
• Избор на UPF шлюз за използване.
• Организация на взаимодействие с PCF.
• Управление на прилагането на политиката QoS.
• Динамично конфигуриране на потребителско оборудване с помощта на протоколите DHCPv4 и DHCPv6.
• Мониторинг на събирането на тарифни данни и организиране на взаимодействие със системата за таксуване.
• Безпроблемно предоставяне на услуги (от англ. SSC - Непрекъснатост на сесията и услугата).
• Взаимодействие с мрежи за гости в роуминг.

УПФ (Английска функция за потребителска равнина - функция за потребителска равнина) - осигурява:

• Взаимодействие с външни мрежи за данни, включително глобалната Интернет.
• Маршрутизиране на потребителски пакети.
• Маркиране на пакети в съответствие с политиките за QoS.
• Диагностика на потребителски пакет (например откриване на приложение, базирано на сигнатура).
• Предоставяне на отчети за използването на трафика.
• UPF е и опорната точка за поддържане на мобилността както в рамките на, така и между различни технологии за радио достъп.

UDM (английски Unified Data Management - единна база данни) - осигурява:

• Управление на данните от потребителския профил, включително съхраняване и модифициране на списъка с услуги, достъпни за потребителите, и съответните им параметри.
• Управление SUPI
• Генерирайте идентификационни данни за 3GPP удостоверяване AKA.
• Упълномощаване за достъп въз основа на данни от профила (например ограничения за роуминг).
• Управление на регистрацията на потребители, т.е. съхранение на обслужващи AMF.
• Поддръжка за безпроблемно обслужване и комуникационни сесии, т.е. съхраняване на SMF, присвоен на текущата комуникационна сесия.
• Управление на доставката на SMS.
• Няколко различни UDM могат да обслужват един и същ потребител в различни транзакции.

UDR (Английски Unified Data Repository - съхранение на унифицирани данни) - осигурява съхранение на различни потребителски данни и всъщност е база данни за всички абонати на мрежата.

UDSF (Функция за съхранение на неструктурирани данни на английски - функция за съхранение на неструктурирани данни) - гарантира, че AMF модулите запазват текущия контекст на регистрираните потребители. По принцип тази информация може да се представи като данни с неопределена структура. Потребителските контексти могат да се използват за осигуряване на безпроблемни и непрекъснати абонатни сесии, както по време на планираното оттегляне на един от AMF от услугата, така и в случай на спешност. И в двата случая резервният AMF ще „вземе“ услугата, използвайки контексти, съхранени в USDF.

Комбинирането на UDR и UDSF на една и съща физическа платформа е типична реализация на тези мрежови функции.

PCF (на английски: Policy Control Function - функция за контрол на правилата) - създава и присвоява определени политики за услуги на потребителите, включително QoS параметри и правила за таксуване. Например, за предаване на един или друг вид трафик могат динамично да се създават виртуални канали с различни характеристики. В същото време могат да се вземат предвид изискванията на услугата, заявена от абоната, нивото на претоварване на мрежата, количеството консумиран трафик и др.

NEF (Английска функция за излагане на мрежа - функция за излагане на мрежа) - осигурява:

• Организиране на сигурно взаимодействие на външни платформи и приложения с ядрото на мрежата.
• Управлявайте параметрите на QoS и правилата за таксуване за конкретни потребители.

SEAF (на английски: Security Anchor Function) - заедно с AUSF осигурява удостоверяване на потребителите при регистрация в мрежа с всякаква технология за достъп.

AUSF (English Authentication Server Function - функция на сървър за удостоверяване) - играе ролята на сървър за удостоверяване, който получава и обработва заявки от SEAF и ги пренасочва към ARPF.

ARPF (на английски: Authentication Credential Repository and Processing Function - функция за съхраняване и обработка на идентификационни данни за удостоверяване) - осигурява съхранение на лични секретни ключове (KI) и параметри на криптографски алгоритми, както и генериране на вектори за удостоверяване в съответствие с 5G-AKA или EAP-известен още като Той се намира в центъра за данни на домашния телеком оператор, защитен от външни физически влияния и като правило е интегриран с UDM.

SCMF (Английска функция за управление на контекста на сигурността - функция за управление контекст на сигурността) - Осигурява управление на жизнения цикъл за контекста на сигурността на 5G.

SPCF (Английска функция за контрол на политиката за сигурност - функция за управление на политиката за сигурност) - осигурява координацията и прилагането на политики за сигурност по отношение на конкретни потребители. Това взема предвид възможностите на мрежата, възможностите на потребителското оборудване и изискванията на конкретната услуга (например нивата на защита, осигурени от критичната комуникационна услуга и услугата за безжичен широколентов достъп до Интернет, може да се различават). Прилагането на политики за сигурност включва: избор на AUSF, избор на алгоритъм за удостоверяване, избор на алгоритми за криптиране на данни и контрол на целостта, определяне на дължината и жизнения цикъл на ключовете.

SIDF (English Subscription Identifier De-concealing Function - функция за извличане на потребителски идентификатор) - гарантира извличането на постоянния абонаментен идентификатор на абоната (англ. SUPI) от скрит идентификатор (англ. SUCI), получена като част от заявката за процедура за удостоверяване „Auth Info Req“.

Основни изисквания за сигурност за 5G комуникационни мрежи

ОщеУдостоверяване на потребителя: Обслужващата 5G мрежа трябва да удостовери SUPI на потребителя в процеса 5G AKA между потребителя и мрежата.

Обслужване на мрежово удостоверяване: Потребителят трябва да удостовери идентификатора на обслужващата 5G мрежа, като удостоверяването се постига чрез успешно използване на ключове, получени чрез процедурата 5G AKA.

Упълномощаване на потребителя: Обслужващата мрежа трябва да упълномощи потребителя, като използва потребителския профил, получен от мрежата на домашния телеком оператор.

Оторизация на обслужващата мрежа от мрежата на домашния оператор: Потребителят трябва да получи потвърждение, че е свързан към обслужваща мрежа, която е упълномощена от мрежата на домашния оператор да предоставя услуги. Упълномощаването е имплицитно в смисъл, че се гарантира от успешното завършване на процедурата 5G AKA.

Оторизация на мрежата за достъп от мрежата на домашния оператор: Потребителят трябва да получи потвърждение, че е свързан към мрежа за достъп, която е упълномощена от мрежата на домашния оператор да предоставя услуги. Упълномощаването е имплицитно в смисъл, че се налага чрез успешно установяване на сигурността на мрежата за достъп. Този тип оторизация трябва да се използва за всеки тип мрежа за достъп.

Неавтентифицирани служби за спешна помощ: За да отговорят на регулаторните изисквания в някои региони, 5G мрежите трябва да предоставят неупълномощен достъп за спешни услуги.

Ядро на мрежата и мрежа за радио достъп: Ядрото на 5G мрежата и 5G мрежата за радио достъп трябва да поддържат използването на 128-битово криптиране и алгоритми за интегритет, за да се гарантира сигурността AS и NAS. Мрежовите интерфейси трябва да поддържат 256-битови ключове за криптиране.

Основни изисквания за безопасност на потребителското оборудване

Още

• Потребителското оборудване трябва да поддържа криптиране, защита на целостта и защита срещу повторни атаки за потребителски данни, предавани между него и мрежата за радио достъп.
• Потребителското оборудване трябва да активира механизми за криптиране и защита на целостта на данните, както е указано от мрежата за радио достъп.
• Потребителското оборудване трябва да поддържа криптиране, защита на целостта и защита срещу повторни атаки за RRC и NAS сигнализиращ трафик.
• Потребителското оборудване трябва да поддържа следните криптографски алгоритми: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Потребителското оборудване може да поддържа следните криптографски алгоритми: 128-NEA3, 128-NIA3.
• Потребителското оборудване трябва да поддържа следните криптографски алгоритми: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, ако поддържа връзка към мрежата за радио достъп E-UTRA.
• Защитата на поверителността на потребителските данни, предавани между потребителското оборудване и мрежата за радио достъп, не е задължителна, но трябва да бъде осигурена винаги, когато това е разрешено от регламент.
• Защитата на поверителността за RRC и NAS сигнализиращ трафик не е задължителна.
• Постоянният ключ на потребителя трябва да бъде защитен и съхраняван в добре защитени компоненти на потребителското оборудване.
• Идентификаторът за постоянен абонамент на абоната не трябва да се предава в ясен текст по мрежата за радио достъп, освен информацията, необходима за правилното маршрутизиране (напр. MCC и MNC).
• Публичният мрежов ключ на домашния оператор, идентификаторът на ключа, идентификаторът на схемата за сигурност и идентификаторът за маршрутизиране трябва да се съхраняват в USIM.

Всеки алгоритъм за криптиране е свързан с двоично число:

• "0000": NEA0 - Нулев алгоритъм за шифроване
• "0001": 128-NEA1 - 128-битов SNOW 3G базиран алгоритъм
• "0010" 128-NEA2 - 128-битов AES базиран алгоритъм
• "0011" 128-NEA3 - 128-битов ZUC базиран алгоритъм.

Криптиране на данни с помощта на 128-NEA1 и 128-NEA2

PS Схемата е заимствана от TS 133.501

Генериране на симулирани вмъквания чрез алгоритми 128-NIA1 и 128-NIA2 за гарантиране на целостта

PS Схемата е заимствана от TS 133.501

Основни изисквания за сигурност за функциите на 5G мрежата

Още

• AMF трябва да поддържа първично удостоверяване с помощта на SUCI.
• SEAF трябва да поддържа първично удостоверяване с помощта на SUCI.
• UDM и ARPF трябва да съхраняват постоянния ключ на потребителя и да гарантират, че е защитен от кражба.
• AUSF предоставя SUPI на локалната обслужваща мрежа само при успешно първоначално удостоверяване с помощта на SUCI.
• NEF не трябва да препраща скрита информация за основната мрежа извън домейна за сигурност на оператора.

Основни процедури за безопасност

Доверителни домейни

В мрежите от 5-то поколение доверието в мрежовите елементи намалява, когато елементите се отдалечават от ядрото на мрежата. Тази концепция влияе върху решенията, приложени в архитектурата за сигурност на 5G. По този начин можем да говорим за модел на доверие на 5G мрежи, който определя поведението на механизмите за мрежова сигурност.

От страна на потребителя доверителният домейн се формира от UICC и USIM.

От страна на мрежата доверителният домейн има по-сложна структура.

Мрежата за радио достъп е разделена на два компонента − DU (от английските разпределени единици - разпределени мрежови единици) и CU (от английски Central Units - централни звена на мрежата). Заедно те образуват gNB — радиоинтерфейс на базовата станция на 5G мрежата. DU нямат директен достъп до потребителските данни, тъй като могат да бъдат разположени на незащитени инфраструктурни сегменти. CU трябва да бъдат разгърнати в защитени мрежови сегменти, тъй като те са отговорни за прекратяването на трафика от механизмите за сигурност на AS. В основата на мрежата се намира AMF, който прекратява трафика от механизмите за сигурност на NAS. Текущата спецификация 3GPP 5G Phase 1 описва комбинацията AMF с функция за безопасност SEAF, съдържащ основния ключ (известен също като "ключ за закрепване") на посетената (обслужваща) мрежа. AUSF отговаря за съхраняването на ключа, получен след успешно удостоверяване. Необходимо е за повторно използване в случаите, когато потребителят е свързан едновременно към няколко мрежи за радио достъп. ARPF съхранява потребителски идентификационни данни и е аналог на USIM за абонати. UDR и UDM съхранява потребителска информация, която се използва за определяне на логиката за генериране на идентификационни данни, потребителски идентификатори, осигуряване на непрекъснатост на сесията и др.

Йерархия на ключовете и техните схеми за разпределение

В мрежите от 5-то поколение, за разлика от 4G-LTE мрежите, процедурата за удостоверяване има два компонента: първично и вторично удостоверяване. Изисква се първично удостоверяване за всички потребителски устройства, свързващи се към мрежата. Вторичното удостоверяване може да се извърши при поискване от външни мрежи, ако абонатът се свърже с тях.

След успешно завършване на първичното удостоверяване и разработването на споделен ключ K между потребителя и мрежата, KSEAF се извлича от ключ K - специален ключ за котва (root) на обслужващата мрежа. Впоследствие от този ключ се генерират ключове, за да се гарантира поверителността и целостта на RRC и NAS сигнализиращите данни за трафика.

Диаграма с обяснения
наименования:
CK Ключ за шифър
IK (на английски: Integrity Key) - ключ, използван в механизмите за защита на целостта на данните.
CK' (англ. Cipher Key) - друг криптографски ключ, създаден от CK за механизма EAP-AKA.
И К' (English Integrity Key) - друг ключ, използван в механизмите за защита на целостта на данните за EAP-AKA.
KAUSF - генерирани от функцията ARPF и потребителско оборудване от CK и IK по време на 5G AKA и EAP-AKA.
KSEAF - ключ за котва, получен от функцията AUSF от ключа КАМФАУСФ.
КАМФ — ключът, получен от функцията SEAF от ключа KSEAF.
KNASint, KNASenc — ключове, получени от функцията AMF от ключа КАМФ за защита на сигналния трафик на NAS.
KRRCint, KRRCenc — ключове, получени от функцията AMF от ключа КАМФ за защита на RRC сигнализиращия трафик.
KUPint, КУПенц — ключове, получени от функцията AMF от ключа КАМФ за защита на сигналния трафик на AS.
NH — междинен ключ, получен от функцията AMF от ключа КАМФ за гарантиране на сигурността на данните по време на предаване.
KgNB — ключът, получен от функцията AMF от ключа КАМФ за да се гарантира безопасността на механизмите за придвижване.

Схеми за генериране на SUCI от SUPI и обратно

Схеми за получаване на СУПИ и СУИ

Производство на SUCI от SUPI и SUPI от SUCI:

заверка

Първично удостоверяване

В 5G мрежите EAP-AKA и 5G AKA са стандартни първични механизми за удостоверяване. Нека разделим основния механизъм за удостоверяване на две фази: първата е отговорна за иницииране на удостоверяване и избор на метод за удостоверяване, втората е отговорна за взаимното удостоверяване между потребителя и мрежата.

Посвещение

Потребителят изпраща заявка за регистрация до SEAF, която съдържа скрития ID на абонамента на потребителя SUCI.

SEAF изпраща на AUSF съобщение с искане за удостоверяване (Nausf_UEAuthentication_Authenticate Request), съдържащо SNN (име на обслужваща мрежа) и SUPI или SUCI.

AUSF проверява дали SEAF рикуестърът за удостоверяване има право да използва дадения SNN. Ако обслужващата мрежа не е упълномощена да използва този SNN, тогава AUSF отговаря със съобщение за грешка при оторизация „Обслужващата мрежа не е оторизирана“ (Nausf_UEAuthentication_Authenticate Response).

Идентификационните данни за удостоверяване се изискват от AUSF към UDM, ARPF или SIDF чрез SUPI или SUCI и SNN.

Въз основа на SUPI или SUCI и потребителска информация, UDM/ARPF избира следващия метод за удостоверяване и издава идентификационните данни на потребителя.

Взаимно удостоверяване

Когато използвате който и да е метод за удостоверяване, UDM/ARPF мрежовите функции трябва да генерират вектор за удостоверяване (AV).

EAP-AKA: UDM/ARPF първо генерира вектор за удостоверяване с разделителен бит AMF = 1, след което генерира CK' и И К' на CK, IK и SNN и съставлява нов AV вектор за удостоверяване (RAND, AUTN, XRES*, CK', И К'), който се изпраща на AUSF с инструкции да се използва само за EAP-AKA.

5G AKA: UDM/ARPF получава ключа KAUSF на CK, IK и SNN, след което генерира 5G HE AV. 5G Home Environment Authentication Vector). 5G HE AV вектор за удостоверяване (RAND, AUTN, XRES, KAUSF) се изпраща до AUSF с инструкции за използването му само за 5G AKA.

След този AUSF се получава ключът за котва KSEAF от ключа KAUSF и изпраща заявка до SEAF „Challenge“ в съобщението „Nausf_UEAuthentication_Authenticate Response“, което също съдържа RAND, AUTN и RES*. След това RAND и AUTN се предават към потребителското оборудване с помощта на защитено NAS сигнализиращо съобщение. USIM на потребителя изчислява RES* от получените RAND и AUTN и ги изпраща на SEAF. SEAF предава тази стойност на AUSF за проверка.

AUSF сравнява съхранените в него XRES* и RES*, получени от потребителя. Ако има съвпадение, AUSF и UDM в домашната мрежа на оператора се уведомяват за успешно удостоверяване и потребителят и SEAF независимо генерират ключ КАМФ на KSEAF и SUPI за допълнителна комуникация.

Вторично удостоверяване

Стандартът 5G поддържа незадължително вторично удостоверяване, базирано на EAP-AKA, между потребителското оборудване и външната мрежа за данни. В този случай SMF играе ролята на EAP удостоверител и разчита на работата AAA-външен мрежов сървър, който удостоверява и оторизира потребителя.

• Извършва се задължително първоначално удостоверяване на потребителя в домашната мрежа и се разработва общ контекст за сигурност на NAS с AMF.
• Потребителят изпраща заявка до AMF за установяване на сесия.
• AMF изпраща заявка за установяване на сесия до SMF, като посочва SUPI на потребителя.
• SMF потвърждава идентификационните данни на потребителя в UDM, като използва предоставения SUPI.
• SMF изпраща отговор на заявката от AMF.
• SMF инициира процедурата за удостоверяване на EAP, за да получи разрешение за установяване на сесия от AAA сървъра във външната мрежа. За да направите това, SMF и потребителят обменят съобщения, за да стартират процедурата.
• След това потребителят и AAA сървърът на външната мрежа обменят съобщения за удостоверяване и оторизиране на потребителя. В този случай потребителят изпраща съобщения до SMF, който от своя страна обменя съобщения с външната мрежа чрез UPF.

Заключение

Въпреки че архитектурата за сигурност на 5G се основава на повторно използване на съществуващи технологии, тя поставя напълно нови предизвикателства. Огромен брой IoT устройства, разширени мрежови граници и децентрализирани архитектурни елементи са само някои от ключовите принципи на 5G стандарта, които дават воля на въображението на киберпрестъпниците.

Основният стандарт за 5G архитектура за сигурност е TS 23.501 версия 15.6.0 — съдържа ключови моменти от работата на механизмите и процедурите за сигурност. По-специално, той описва ролята на всеки VNF в осигуряването на защита на потребителските данни и мрежовите възли, в генерирането на крипто ключове и в прилагането на процедурата за удостоверяване. Но дори и този стандарт не дава отговори на належащите проблеми със сигурността, с които телекомуникационните оператори се сблъскват толкова по-често, колкото по-интензивно се разработват и пускат в експлоатация мрежи от ново поколение.

В тази връзка бих искал да вярвам, че трудностите при работата и защитата на мрежите от 5-то поколение няма да засегнат по никакъв начин обикновените потребители, на които са обещани скорости на предаване и отговори като син на приятелка на майка и вече са нетърпеливи да изпробват всички декларираните възможности на мрежите от ново поколение.

Полезни връзки

Серия от спецификации на 3GPP
5G архитектура за сигурност
5G системна архитектура
5G Wiki
Бележки за 5G архитектура
Преглед на 5G сигурността

Източник: www.habr.com