ProHoster > Блог > Administracija > Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Očigledno, preuzimanje novog standarda komunikacije bez razmišljanja o sigurnosnim mehanizmima je krajnje sumnjiv i uzaludan poduhvat.

5G sigurnosna arhitektura — skup sigurnosnih mehanizama i procedura implementiranih u Mreže 5. generacije i pokriva sve mrežne komponente, od jezgre do radio interfejsa.

Mreže 5. generacije su, u suštini, evolucija LTE mreže četvrte generacije. Tehnologije radio pristupa doživjele su najveće promjene. Za mreže 5. generacije, nova pacovi (Tehnologija radio pristupa) - 5G novi radio. Što se tiče jezgra mreže, ono nije pretrpjelo tako značajne promjene. S tim u vezi, razvijena je sigurnosna arhitektura 5G mreža s naglaskom na ponovnom korištenju relevantnih tehnologija usvojenih u 4G LTE standardu.

Međutim, vrijedno je napomenuti da se preispitivanje poznatih prijetnji kao što su napadi na zračne sučelje i signalni sloj (signalizacija avion), DDOS napadi, napadi Man-In-The-Middle, itd., potaknuli su telekom operatere da razviju nove standarde i integrišu potpuno nove sigurnosne mehanizme u mreže 5. generacije.

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Preduslovi

U 2015. godini Međunarodna telekomunikacijska unija izradila je prvi takve vrste globalni plan za razvoj mreža pete generacije, zbog čega se posebno zaoštrilo pitanje razvoja sigurnosnih mehanizama i procedura u 5G mrežama.

Nova tehnologija je ponudila zaista impresivne brzine prenosa podataka (više od 1 Gbps), latenciju manju od 1 ms i mogućnost istovremenog povezivanja oko 1 miliona uređaja u radijusu od 1 km2. Ovako najviši zahtjevi za mreže 5. generacije odražavaju se iu principima njihove organizacije.

Glavna je bila decentralizacija, koja je podrazumijevala postavljanje mnogih lokalnih baza podataka i njihovih centara za obradu na periferiju mreže. Ovo je omogućilo minimiziranje kašnjenja kada M2M-komunikacije i rasteretiti jezgro mreže zbog servisiranja ogromnog broja IoT uređaja. Tako se rub mreže sljedeće generacije proširio sve do baznih stanica, omogućavajući stvaranje lokalnih komunikacionih centara i pružanje usluga u oblaku bez rizika od kritičnih kašnjenja ili uskraćivanja usluge. Naravno, promijenjen pristup umrežavanju i korisničkom servisu zainteresirao je napadače, jer im je otvorio nove mogućnosti da napadnu i povjerljive korisničke podatke i same komponente mreže kako bi izazvali uskraćivanje usluge ili zaplijenili računske resurse operatera.

Glavne ranjivosti mreža 5. generacije

Velika površina napada

Pročitajte višePrilikom izgradnje telekomunikacionih mreža 3. i 4. generacije, telekom operateri su obično bili ograničeni na rad sa jednim ili više dobavljača koji su odmah isporučili komplet hardvera i softvera. Odnosno, sve bi moglo raditi, kako kažu, "iz kutije" - bilo je dovoljno samo instalirati i konfigurirati opremu kupljenu od dobavljača; nije bilo potrebe za zamjenom ili dopunom vlasničkog softvera. Savremeni trendovi su u suprotnosti sa ovim „klasičnim“ pristupom i usmereni su na virtuelizaciju mreža, pristup multi-vendora njihovoj konstrukciji i softversku raznolikost. Tehnologije kao npr SDN (Engleska softverski definisana mreža) i NFV (engleski Network Functions Virtualization), što dovodi do uključivanja ogromne količine softvera izgrađenog na bazi open source kodova u procese i funkcije upravljanja komunikacionim mrežama. To napadačima daje priliku da bolje prouče mrežu operatera i identifikuju veći broj ranjivosti, što zauzvrat povećava površinu napada mreže nove generacije u odnosu na postojeće.

Veliki broj IoT uređaja

Pročitajte višeDo 2021. oko 57% uređaja povezanih na 5G mreže bit će IoT uređaji. To znači da će većina hostova imati ograničene kriptografske mogućnosti (vidi tačku 2) i, u skladu s tim, biti osjetljivi na napade. Ogroman broj ovakvih uređaja povećat će rizik od proliferacije botneta i omogućiti izvođenje još snažnijih i distribuiranih DDoS napada.

Ograničene kriptografske mogućnosti IoT uređaja

Pročitajte višeKao što je već spomenuto, mreže 5. generacije aktivno koriste periferne uređaje, koji omogućavaju uklanjanje dijela opterećenja sa jezgre mreže i time smanjenje kašnjenja. Ovo je neophodno za tako važne usluge kao što su kontrola bespilotnih vozila, sistem upozorenja u hitnim slučajevima IMS i drugi, za koje je osiguranje minimalnog kašnjenja kritično, jer ljudski životi zavise od toga. Zbog povezivanja velikog broja IoT uređaja, koji zbog svoje male veličine i male potrošnje energije imaju vrlo ograničene računarske resurse, 5G mreže postaju ranjive na napade usmjerene na presretanje kontrole i naknadnu manipulaciju takvim uređajima. Na primjer, mogu postojati scenariji u kojima su IoT uređaji koji su dio sistema zaraženi "pametna kuća“, vrste zlonamjernog softvera kao npr Ransomware i ransomware. Mogući su i scenariji presretanja kontrole bespilotnih vozila koja primaju komande i navigacijske informacije putem oblaka. Formalno, ova ranjivost je posljedica decentralizacije mreža nove generacije, ali će sljedeći paragraf jasnije ocrtati problem decentralizacije.

Decentralizacija i proširenje granica mreže

Pročitajte višePeriferni uređaji, koji igraju ulogu jezgri lokalne mreže, provode rutiranje korisničkog prometa, obradu zahtjeva, kao i lokalno keširanje i skladištenje korisničkih podataka. Tako se granice mreža 5. generacije šire, osim na jezgru, i na periferiju, uključujući lokalne baze podataka i 5G-NR (5G New Radio) radio interfejse. Ovo stvara priliku za napad na računarske resurse lokalnih uređaja, koji su a priori slabije zaštićeni od centralnih čvorova mrežnog jezgra, sa ciljem da izazovu uskraćivanje usluge. To može dovesti do isključenja pristupa Internetu za čitava područja, neispravnog funkcionisanja IoT uređaja (na primjer, u sistemu pametne kuće), kao i nedostupnosti IMS usluge hitnog upozorenja.

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Međutim, ETSI i 3GPP su sada objavili više od 10 standarda koji pokrivaju različite aspekte sigurnosti 5G mreže. Velika većina tamo opisanih mehanizama ima za cilj zaštitu od ranjivosti (uključujući one gore opisane). Jedan od glavnih je standard TS 23.501 verzija 15.6.0, koji opisuje sigurnosnu arhitekturu mreža 5. generacije.

5G arhitektura

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije
Prvo, osvrnimo se na ključne principe arhitekture 5G mreže, koji će dalje u potpunosti otkriti značenje i područja odgovornosti svakog softverskog modula i svake 5G sigurnosne funkcije.

  • Podjela mrežnih čvorova na elemente koji osiguravaju rad protokola prilagođeni avion (od engleskog UP - User Plane) i elementi koji obezbeđuju rad protokola kontrolni avion (od engleskog CP - Control Plane), čime se povećava fleksibilnost u smislu skaliranja i postavljanja mreže, odnosno moguće je centralizirano ili decentralizirano postavljanje pojedinačnih komponentnih mrežnih čvorova.
  • Podrška mehanizma rezanje mreže, na osnovu usluga koje se pružaju određenim grupama krajnjih korisnika.
  • Implementacija mrežnih elemenata u formu virtualne mrežne funkcije.
  • Podrška za istovremeni pristup centralizovanim i lokalnim uslugama, odnosno implementacija koncepta oblaka (sa engleskog. magle computing) i granica (sa engleskog. edge computing) proračuni.
  • Реализация konvergentan arhitektura koja kombinuje različite vrste pristupnih mreža - 3GPP 5G Novi radio i ne-3GPP (Wi-Fi, itd.) - sa jednom mrežnom jezgrom.
  • Podrška jedinstvenih algoritama i procedura autentifikacije, bez obzira na tip pristupne mreže.
  • Podrška za mrežne funkcije bez stanja, u kojima je računarski resurs odvojen od skladišta resursa.
  • Podrška za roaming sa usmjeravanjem prometa kako kroz kućnu mrežu (od engleskog home-routed roaming) tako i sa lokalnim „slijetanjem“ (od engleskog local breakout) u mrežu za goste.
  • Interakcija između mrežnih funkcija je predstavljena na dva načina: servisno orijentisan и interfejs.

Koncept mrežne sigurnosti 5. generacije uključuje:

  • Autentifikacija korisnika iz mreže.
  • Mrežna autentifikacija od strane korisnika.
  • Dogovaranje kriptografskih ključeva između mreže i korisničke opreme.
  • Enkripcija i praćenje integriteta signalnog saobraćaja.
  • Šifrovanje i kontrola integriteta korisničkog saobraćaja.
  • Zaštita korisničkog ID-a.
  • Zaštita interfejsa između različitih elemenata mreže u skladu sa konceptom domena mrežne bezbednosti.
  • Izolacija različitih slojeva mehanizma rezanje mreže i definisanje nivoa sigurnosti svakog sloja.
  • Autentifikacija korisnika i zaštita saobraćaja na nivou krajnjih usluga (IMS, IoT i drugi).

Ključni softverski moduli i sigurnosne funkcije 5G mreže

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije AMF (od engleskog Access & Mobility Management Function - funkcija upravljanja pristupom i mobilnošću) - pruža:

  • Organizacija interfejsa upravljačke ravni.
  • Organizacija razmjene signalnog saobraćaja RRC, šifriranje i zaštitu integriteta svojih podataka.
  • Organizacija razmjene signalnog saobraćaja NAS, šifriranje i zaštitu integriteta svojih podataka.
  • Upravljanje registracijom korisničke opreme na mreži i praćenje mogućih stanja registracije.
  • Upravljanje povezivanjem korisničke opreme na mrežu i praćenje mogućih stanja.
  • Kontrolirajte dostupnost korisničke opreme na mreži u CM-IDLE stanju.
  • Upravljanje mobilnošću korisničke opreme u mreži u stanju CM-CONNECTED.
  • Prijenos kratkih poruka između korisničke opreme i SMF-a.
  • Upravljanje lokacijskim uslugama.
  • Dodjela ID-a niti EPS za interakciju sa EPS-om.

SMF (engleski: Session Management Function - funkcija upravljanja sesijom) - pruža:

  • Upravljanje komunikacijskim sesijama, tj. kreiranje, modificiranje i otpuštanje sesija, uključujući održavanje tunela između pristupne mreže i UPF-a.
  • Distribucija i upravljanje IP adresama korisničke opreme.
  • Odabir UPF gatewaya za korištenje.
  • Organizacija interakcije sa PCF-om.
  • Upravljanje provođenjem politike QoS.
  • Dinamička konfiguracija korisničke opreme pomoću DHCPv4 i DHCPv6 protokola.
  • Praćenje prikupljanja tarifnih podataka i organizovanje interakcije sa sistemom naplate.
  • Besprekorno pružanje usluga (sa engleskog. SSC - Kontinuitet sesije i usluge).
  • Interakcija sa mrežama gostiju u romingu.

UPF (Engleska User Plane Function - funkcija korisničke ravni) - pruža:

  • Interakcija sa eksternim mrežama podataka, uključujući globalni Internet.
  • Rutiranje korisničkih paketa.
  • Označavanje paketa u skladu sa QoS politikama.
  • Dijagnostika korisničkih paketa (na primjer, detekcija aplikacija zasnovana na potpisu).
  • Pružanje izvještaja o korištenju saobraćaja.
  • UPF je takođe tačka sidrenja za podršku mobilnosti unutar i između različitih tehnologija pristupa radiju.

UDM (Engleski Unified Data Management - objedinjena baza podataka) - pruža:

  • Upravljanje podacima korisničkog profila, uključujući pohranjivanje i modificiranje liste usluga dostupnih korisnicima i njihovih odgovarajućih parametara.
  • Upravljanje SUPI
  • Generirajte 3GPP vjerodajnice za autentifikaciju AKA.
  • Autorizacija pristupa na osnovu podataka profila (na primjer, ograničenja rominga).
  • Upravljanje registracijom korisnika, tj. skladištenje AMF-a koji služi.
  • Podrška za besprijekorne usluge i komunikacijske sesije, tj. pohranjivanje SMF-a dodijeljenog trenutnoj komunikacijskoj sesiji.
  • Upravljanje SMS dostavom.
  • Nekoliko različitih UDM-ova može poslužiti istom korisniku u različitim transakcijama.

UDR (engleski Unified Data Repository - skladištenje objedinjenih podataka) - obezbeđuje skladištenje različitih korisničkih podataka i zapravo je baza podataka svih mrežnih pretplatnika.

UDSF (Engleski Unstructured Data Storage Function - funkcija skladištenja nestrukturiranih podataka) - osigurava da AMF moduli pohranjuju trenutne kontekste registriranih korisnika. Općenito, ove informacije se mogu predstaviti kao podaci neodređene strukture. Korisnički konteksti se mogu koristiti kako bi se osigurale neometane i neprekidne sesije pretplatnika, kako tokom planiranog povlačenja jednog od AMF-a iz usluge, tako iu slučaju hitnog slučaja. U oba slučaja, rezervni AMF će "pokupiti" uslugu koristeći kontekste pohranjene u USDF.

Kombinacija UDR-a i UDSF-a na istoj fizičkoj platformi je tipična implementacija ovih mrežnih funkcija.

PCF (engleski: Policy Control Function - funkcija kontrole politike) - kreira i dodjeljuje određene politike usluge korisnicima, uključujući QoS parametre i pravila naplate. Na primjer, za prijenos jedne ili druge vrste prometa mogu se dinamički kreirati virtualni kanali različitih karakteristika. Pri tome se mogu uzeti u obzir zahtjevi usluge koju pretplatnik zahtijeva, stepen zagušenja mreže, količina potrošenog saobraćaja itd.

NEF (Engleski Network Exposure Function - funkcija mrežnog izlaganja) - pruža:

  • Organizacija sigurne interakcije eksternih platformi i aplikacija sa jezgrom mreže.
  • Upravljajte QoS parametrima i pravilima naplate za određene korisnike.

SEAF (engleski Security Anchor Function - sidrena sigurnosna funkcija) - zajedno sa AUSF-om, omogućava autentifikaciju korisnika kada se registruju na mreži bilo kojom pristupnom tehnologijom.

AUSF (Engleski Authentication Server Function - funkcija servera za autentifikaciju) - igra ulogu servera za autentifikaciju koji prima i obrađuje zahtjeve od SEAF-a i preusmjerava ih na ARPF.

ARPF (engleski: Authentication Credential Repository and Processing Function - funkcija skladištenja i obrade akreditiva za autentifikaciju) - obezbeđuje skladištenje ličnih tajnih ključeva (KI) i parametara kriptografskih algoritama, kao i generisanje vektora autentikacije u skladu sa 5G-AKA ili AND AP-AKA. Nalazi se u data centru kućnog telekom operatera, zaštićen od spoljašnjih fizičkih uticaja, i po pravilu je integrisan sa UDM.

SCMF (Engleski Security Context Management Function - funkcija upravljanja sigurnosni kontekst) - Pruža upravljanje životnim ciklusom za 5G sigurnosni kontekst.

SPCF (engleski Security Policy Control Function - funkcija upravljanja sigurnosnim politikama) - osigurava koordinaciju i primjenu sigurnosnih politika u odnosu na određene korisnike. Ovo uzima u obzir mogućnosti mreže, mogućnosti korisničke opreme i zahtjeve specifične usluge (na primjer, nivoi zaštite koje pružaju kritična komunikacijska usluga i usluga bežičnog širokopojasnog pristupa internetu mogu se razlikovati). Primena bezbednosnih politika obuhvata: izbor AUSF-a, izbor algoritma za autentifikaciju, izbor algoritama za šifrovanje podataka i kontrolu integriteta, određivanje dužine i životnog ciklusa ključeva.

SIDF (English Subscription Identifier De-concealing Function - funkcija izdvajanja identifikatora korisnika) - osigurava ekstrakciju pretplatnikovog trajnog identifikatora pretplate (engleski SUPI) iz skrivenog identifikatora (engleski SUCI), primljen kao dio zahtjeva za proceduru autentifikacije “Auth Info Req”.

Osnovni sigurnosni zahtjevi za 5G komunikacione mreže

Pročitajte višeAutentifikacija korisnika: Mreža koja opslužuje 5G mora autentifikovati korisnički SUPI u 5G AKA procesu između korisnika i mreže.

Posluživanje mrežne autentifikacije: Korisnik mora autentifikovati ID mreže koja poslužuje 5G, pri čemu se autentifikacija postiže uspješnom upotrebom ključeva dobivenih kroz 5G AKA proceduru.

Autorizacija korisnika: Mreža koja pruža usluge mora ovlastiti korisnika koristeći korisnički profil primljen od mreže kućnog telekom operatera.

Autorizacija uslužne mreže od strane mreže kućnog operatera: Korisniku se mora dostaviti potvrda da je povezan na servisnu mrežu koja je ovlaštena od strane mreže kućnog operatera za pružanje usluga. Autorizacija je implicitna u smislu da je osigurana uspješnim završetkom 5G AKA procedure.

Autorizacija pristupne mreže od strane mreže kućnog operatera: Korisniku se mora dostaviti potvrda da je povezan na pristupnu mrežu koju je mreža matičnog operatera ovlastila za pružanje usluga. Autorizacija je implicitna u smislu da se sprovodi uspješnim uspostavljanjem sigurnosti pristupne mreže. Ova vrsta autorizacije se mora koristiti za bilo koju vrstu pristupne mreže.

Hitne službe bez autentifikacije: Da bi se ispunili regulatorni zahtjevi u nekim regijama, 5G mreže moraju obezbijediti neautorizovan pristup za hitne službe.

Mrežna jezgra i radio pristupna mreža: 5G mrežna jezgra i 5G radio pristupna mreža moraju podržavati upotrebu 128-bitne enkripcije i algoritama integriteta kako bi se osigurala sigurnost AS и NAS. Mrežni interfejsi moraju podržavati 256-bitne ključeve za šifrovanje.

Osnovni sigurnosni zahtjevi za korisničku opremu

Pročitajte više

  • Korisnička oprema mora podržavati enkripciju, zaštitu integriteta i zaštitu od napada ponovne reprodukcije za korisničke podatke koji se prenose između nje i radio pristupne mreže.
  • Korisnička oprema mora aktivirati mehanizme šifriranja i zaštite integriteta podataka prema uputama radio pristupne mreže.
  • Korisnička oprema mora podržavati enkripciju, zaštitu integriteta i zaštitu od replay napada za RRC i NAS signalni promet.
  • Korisnička oprema mora podržavati sljedeće kriptografske algoritme: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Korisnička oprema može podržati sljedeće kriptografske algoritme: 128-NEA3, 128-NIA3.
  • Korisnička oprema mora podržavati sljedeće kriptografske algoritme: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 ako podržava vezu na E-UTRA radio pristupnu mrežu.
  • Zaštita povjerljivosti korisničkih podataka koji se prenose između korisničke opreme i radio pristupne mreže je opciona, ali se mora osigurati kad god je to dozvoljeno propisima.
  • Zaštita privatnosti za RRC i NAS signalni promet nije obavezna.
  • Trajni ključ korisnika mora biti zaštićen i pohranjen u dobro osiguranim komponentama korisničke opreme.
  • Pretplatnikov trajni identifikator pretplate ne bi trebalo da se prenosi u čistom tekstu preko radio pristupne mreže, osim informacija potrebnih za ispravno rutiranje (npr. MCC и MNC).
  • Javni ključ mreže kućnog operatera, identifikator ključa, identifikator sigurnosne šeme i identifikator usmjeravanja moraju biti pohranjeni u USIM.

Svaki algoritam šifriranja povezan je s binarnim brojem:

  • "0000": NEA0 - Null algoritam šifriranja
  • "0001": 128-NEA1 - 128-bit SNOW 3G baziran algoritam
  • "0010" 128-NEA2 - 128-bit AES baziran algoritam
  • "0011" 128-NEA3 - 128-bit ZUC baziran algoritam

Šifriranje podataka pomoću 128-NEA1 i 128-NEA2Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

PS Krug je posuđen od TS 133.501

Generisanje simuliranih umetanja pomoću algoritama 128-NIA1 i 128-NIA2 kako bi se osigurao integritetUvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

PS Krug je posuđen od TS 133.501

Osnovni sigurnosni zahtjevi za funkcije 5G mreže

Pročitajte više

  • AMF mora podržavati primarnu autentifikaciju koristeći SUCI.
  • SEAF mora podržavati primarnu autentifikaciju koristeći SUCI.
  • UDM i ARPF moraju pohraniti trajni ključ korisnika i osigurati da je zaštićen od krađe.
  • AUSF će samo osigurati SUPI lokalnoj opslužnoj mreži nakon uspješne početne autentifikacije koristeći SUCI.
  • NEF ne smije proslijediti skrivene informacije o jezgri mreže izvan sigurnosne domene operatera.

Osnovne sigurnosne procedure

Trust Domains

U mrežama pete generacije, povjerenje u mrežne elemente opada kako se elementi udaljavaju od jezgre mreže. Ovaj koncept utiče na odluke implementirane u 5G sigurnosnoj arhitekturi. Dakle, možemo govoriti o modelu povjerenja 5G mreža koji određuje ponašanje sigurnosnih mehanizama mreže.

Na strani korisnika, domen povjerenja formiraju UICC i USIM.

Na strani mreže, domen povjerenja ima složeniju strukturu.

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije Radio pristupna mreža podijeljena je na dvije komponente − DU (od engleskog Distributed Units - distribuirane mrežne jedinice) i CU (od engleskog Central Units - centralne jedinice mreže). Zajedno se formiraju gNB — radio interfejs bazne stanice 5G mreže. DU nemaju direktan pristup korisničkim podacima jer se mogu postaviti na nezaštićene segmente infrastrukture. CU-ovi moraju biti raspoređeni u zaštićenim segmentima mreže, jer su odgovorni za završetak saobraćaja iz sigurnosnih mehanizama AS. U jezgru mreže se nalazi AMF, koji prekida saobraćaj iz NAS sigurnosnih mehanizama. Trenutna specifikacija 3GPP 5G faze 1 opisuje kombinaciju AMF sa sigurnosnom funkcijom SEAF, koji sadrži korijenski ključ (također poznat kao "sidreni ključ") posjećene (poslužne) mreže. AUSF je odgovoran za pohranjivanje ključa dobivenog nakon uspješne autentifikacije. Neophodan je za ponovnu upotrebu u slučajevima kada je korisnik istovremeno povezan na više radio pristupnih mreža. ARPF pohranjuje korisničke vjerodajnice i analogan je USIM-u za pretplatnike. UDR и UDM pohranjuju korisničke informacije, koje se koriste za određivanje logike za generiranje vjerodajnica, korisničkih ID-ova, osiguravanja kontinuiteta sesije, itd.

Hijerarhija ključeva i šeme njihove distribucije

U mrežama 5. generacije, za razliku od 4G-LTE mreža, postupak autentifikacije ima dvije komponente: primarnu i sekundarnu autentifikaciju. Primarna autentifikacija je potrebna za sve korisničke uređaje koji se povezuju na mrežu. Sekundarna autentifikacija se može izvršiti na zahtjev eksternih mreža, ako se pretplatnik na njih poveže.

Nakon uspješnog završetka primarne autentifikacije i razvoja zajedničkog ključa K između korisnika i mreže, KSEAF se izdvaja iz ključa K - posebnog sidrenog (root) ključa mreže koja služi. Nakon toga, ključevi se generiraju iz ovog ključa kako bi se osigurala povjerljivost i integritet podataka o RRC i NAS signalnom prometu.

Dijagram sa objašnjenjimaUvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije
Oznake:
CK Ključ za šifru
IK (engleski: Integrity Key) - ključ koji se koristi u mehanizmima zaštite integriteta podataka.
CK' (eng. Cipher Key) - još jedan kriptografski ključ kreiran od CK za EAP-AKA mehanizam.
IK' (English Integrity Key) - još jedan ključ koji se koristi u mehanizmima zaštite integriteta podataka za EAP-AKA.
KAUSF - generira ARPF funkcija i korisnička oprema iz CK и IK tokom 5G AKA i EAP-AKA.
KSEAF - sidreni ključ dobiven AUSF funkcijom iz ključa KAMFAUSF.
KAMF — ključ dobiven funkcijom SEAF od ključa KSEAF.
KNASint, KNASenc — tipke dobivene AMF funkcijom od ključa KAMF za zaštitu NAS signalnog saobraćaja.
KRRCint, KRRCenc — tipke dobivene AMF funkcijom od ključa KAMF za zaštitu RRC signalnog saobraćaja.
KUPint, KUPenc — tipke dobivene AMF funkcijom od ključa KAMF za zaštitu AS signalnog saobraćaja.
NH — međuključ dobijen AMF funkcijom od ključa KAMF kako bi se osigurala sigurnost podataka tokom primopredaje.
KgNB — ključ dobijen AMF funkcijom od ključa KAMF kako bi se osigurala sigurnost pokretnih mehanizama.

Šeme za generiranje SUCI iz SUPI-ja i obrnuto

Šeme za dobijanje SUPI i SUCI

Proizvodnja SUCI od SUPI i SUPI od SUCI:
Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Autentifikacija

Primarna autentifikacija

U 5G mrežama, EAP-AKA i 5G AKA su standardni primarni mehanizmi provjere autentičnosti. Podijelimo primarni mehanizam provjere autentičnosti u dvije faze: prva je odgovorna za pokretanje provjere autentičnosti i odabir metode provjere autentičnosti, druga je odgovorna za međusobnu autentifikaciju između korisnika i mreže.

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

Iniciranje

Korisnik podnosi zahtjev za registraciju SEAF-u, koji sadrži korisnikov skriveni ID pretplate SUCI.

SEAF šalje AUSF-u poruku zahtjeva za provjeru autentičnosti (Nausf_UEAuthentication_Authenticate Request) koja sadrži SNN (Serving Network Name) i SUPI ili SUCI.

AUSF provjerava da li je zahtjevu za provjeru autentičnosti SEAF dozvoljeno da koristi dati SNN. Ako mreža za opsluživanje nije ovlaštena za korištenje ovog SNN-a, tada AUSF odgovara porukom o grešci pri autorizaciji “Mreža za usluživanje nije ovlaštena” (Nausf_UEAuthentication_Authenticate Response).

AUSF traži vjerodajnice za autentifikaciju UDM, ARPF ili SIDF putem SUPI ili SUCI i SNN.

Na osnovu SUPI ili SUCI i korisničkih informacija, UDM/ARPF odabire metod provjere autentičnosti koji će koristiti sljedeći i izdaje akreditive korisnika.

Mutual Authentication

Kada se koristi bilo koji metod provjere autentičnosti, mrežne funkcije UDM/ARPF moraju generirati vektor provjere autentičnosti (AV).

EAP-AKA: UDM/ARPF prvo generiše vektor autentikacije sa bitom za odvajanje AMF = 1, a zatim generiše CK' и IK' из CK, IK i SNN i predstavlja novi vektor AV autentikacije (RAND, AUTN, XRES*, CK', IK'), koji se šalje AUSF-u sa uputstvima da ga koristi samo za EAP-AKA.

5G AKA: UDM/ARPF dobija ključ KAUSF из CK, IK i SNN, nakon čega generiše 5G HE AV. Vektor autentifikacije 5G kućnog okruženja). 5G HE AV vektor autentikacije (RAND, AUTN, XRES, KAUSF) se šalje AUSF-u s uputama za korištenje samo za 5G AKA.

Nakon ovog AUSF-a dobija se sidreni ključ KSEAF od ključa KAUSF i šalje zahtjev SEAF-u “Challenge” u poruci “Nausf_UEAuthentication_Authenticate Response”, koja također sadrži RAND, AUTN i RES*. Zatim, RAND i AUTN se prenose na korisničku opremu koristeći sigurnu NAS signalnu poruku. Korisnički USIM izračunava RES* iz primljenih RAND-a i AUTN-a i šalje ga SEAF-u. SEAF prenosi ovu vrijednost u AUSF radi provjere.

AUSF upoređuje XRES* pohranjen u njemu i RES* primljen od korisnika. Ako postoji podudaranje, AUSF i UDM u matičnoj mreži operatera su obaviješteni o uspješnoj autentifikaciji, a korisnik i SEAF samostalno generiraju ključ KAMF из KSEAF i SUPI za dalju komunikaciju.

Sekundarna autentifikacija

5G standard podržava opcionu sekundarnu autentifikaciju zasnovanu na EAP-AKA između korisničke opreme i eksterne mreže podataka. U ovom slučaju, SMF igra ulogu EAP autentifikatora i oslanja se na rad AAA- vanjski mrežni server koji autentifikuje i autorizira korisnika.

Uvod u 5G sigurnosnu arhitekturu: NFV, ključevi i 2 autentifikacije

  • Pojavljuje se obavezna inicijalna autentifikacija korisnika na kućnoj mreži i zajednički NAS sigurnosni kontekst se razvija sa AMF-om.
  • Korisnik šalje zahtjev AMF-u za uspostavljanje sesije.
  • AMF šalje zahtjev za uspostavljanje sesije SMF-u ukazujući na SUPI korisnika.
  • SMF potvrđuje akreditive korisnika u UDM-u koristeći priloženi SUPI.
  • SMF šalje odgovor na zahtjev AMF-a.
  • SMF pokreće proceduru EAP autentifikacije kako bi dobio dozvolu za uspostavljanje sesije sa AAA servera na vanjskoj mreži. Da bi to učinili, SMF i korisnik razmjenjuju poruke kako bi pokrenuli proceduru.
  • Korisnik i vanjski mrežni AAA server zatim razmjenjuju poruke za autentifikaciju i autorizaciju korisnika. U tom slučaju korisnik šalje poruke SMF-u, koji zauzvrat razmjenjuje poruke sa vanjskom mrežom putem UPF-a.

zaključak

Iako se 5G sigurnosna arhitektura temelji na ponovnoj upotrebi postojećih tehnologija, ona postavlja potpuno nove izazove. Ogroman broj IoT uređaja, proširene mrežne granice i elementi decentralizirane arhitekture samo su neki od ključnih principa 5G standarda koji daju slobodu mašti sajber kriminalaca.

Osnovni standard za 5G sigurnosnu arhitekturu je TS 23.501 verzija 15.6.0 — sadrži ključne tačke rada sigurnosnih mehanizama i procedura. Konkretno, opisuje ulogu svakog VNF-a u osiguravanju zaštite korisničkih podataka i mrežnih čvorova, u generiranju kripto ključeva i u implementaciji procedure autentifikacije. Ali ni ovaj standard ne daje odgovore na goruća sigurnosna pitanja sa kojima se telekom operateri sve češće susreću što se intenzivnije razvijaju i puštaju u rad mreže nove generacije.

S tim u vezi, želim vjerovati da teškoće u radu i zaštiti mreža 5. generacije ni na koji način neće utjecati na obične korisnike, kojima su obećane brzine prijenosa i odgovori poput sina mamine prijateljice i već su željni isprobati sve deklarisane mogućnosti mreže nove generacije.

korisni linkovi

Serija specifikacija 3GPP
5G sigurnosna arhitektura
Arhitektura 5G sistema
5G Wiki
Bilješke o 5G arhitekturi
Pregled 5G sigurnosti

izvor: www.habr.com

Dodajte komentar