Evidentment, assumir el desenvolupament d'un nou estàndard de comunicació sense pensar en els mecanismes de seguretat és un esforç extremadament dubtós i inútil.

Arquitectura de seguretat 5G — un conjunt de mecanismes i procediments de seguretat implementats a Xarxes de 5a generació i cobreix tots els components de la xarxa, des del nucli fins a les interfícies de ràdio.

Les xarxes de 5a generació són, en essència, una evolució Xarxes LTE de 4a generació. Les tecnologies d'accés per ràdio han patit els canvis més significatius. Per a les xarxes de 5a generació, un nou TARIFA (Tecnologia d'accés a la ràdio) - Nova ràdio 5G. Pel que fa al nucli de la xarxa, no ha patit canvis tan significatius. En aquest sentit, l'arquitectura de seguretat de les xarxes 5G s'ha desenvolupat amb èmfasi en la reutilització de tecnologies rellevants adoptades en l'estàndard 4G LTE.

No obstant això, val la pena assenyalar que repensar les amenaces conegudes com els atacs a les interfícies aèries i la capa de senyalització (senyalització avió), atacs DDOS, atacs Man-In-The-Middle, etc., van impulsar els operadors de telecomunicacions a desenvolupar nous estàndards i a integrar mecanismes de seguretat completament nous a les xarxes de 5a generació.

Предпосылки

L'any 2015, la Unió Internacional de Telecomunicacions va elaborar el primer pla global d'aquest tipus per al desenvolupament de xarxes de cinquena generació, motiu pel qual la qüestió del desenvolupament de mecanismes i procediments de seguretat a les xarxes 5G s'ha agravat especialment.

La nova tecnologia oferia velocitats de transferència de dades realment impressionants (més d'1 Gbps), latència de menys d'1 ms i la capacitat de connectar simultàniament al voltant d'un milió de dispositius en un radi d'1 km1. Aquests requisits més alts per a les xarxes de 2a generació també es reflecteixen en els principis de la seva organització.

La principal va ser la descentralització, que va implicar la col·locació de moltes bases de dades locals i els seus centres de processament a la perifèria de la xarxa. Això va permetre minimitzar els retards quan M2M-comunicacions i alleujar el nucli de la xarxa a causa del servei d'un gran nombre de dispositius IoT. Així, la vora de les xarxes de nova generació es va expandir fins a les estacions base, permetent la creació de centres de comunicació locals i la prestació de serveis al núvol sense el risc de retards crítics o denegació de servei. Naturalment, el canvi d'enfocament de les xarxes i el servei al client va interessar als atacants, ja que els va obrir noves oportunitats per atacar tant la informació confidencial de l'usuari com els components de la xarxa per tal de provocar una denegació de servei o apoderar-se dels recursos informàtics de l'operador.

Principals vulnerabilitats de les xarxes de 5a generació

Gran superfície d'atac

mésQuan es construïen xarxes de telecomunicacions de la 3a i 4a generació, els operadors de telecomunicacions normalment es limitaven a treballar amb un o diversos venedors que immediatament subministraven un conjunt de maquinari i programari. És a dir, tot podria funcionar, com diuen, "fora de la caixa": n'hi havia prou amb instal·lar i configurar l'equip comprat al venedor; no calia substituir ni complementar el programari propietari. Les tendències modernes van en contra d'aquest enfocament "clàssic" i estan dirigides a la virtualització de xarxes, un enfocament de diversos proveïdors per a la seva construcció i la diversitat de programari. Tecnologies com SDN (Xarxa definida per programari anglesa) i NFV (English Network Functions Virtualization), que porta a la inclusió d'una gran quantitat de programari construït sobre la base de codis de codi obert en els processos i funcions de gestió de xarxes de comunicació. Això ofereix als atacants l'oportunitat d'estudiar millor la xarxa de l'operador i identificar un major nombre de vulnerabilitats, la qual cosa, al seu torn, augmenta la superfície d'atac de les xarxes de nova generació en comparació amb les actuals.

Gran nombre de dispositius IoT

mésEl 2021, al voltant del 57% dels dispositius connectats a xarxes 5G seran dispositius IoT. Això vol dir que la majoria dels amfitrions tindran capacitats criptogràfiques limitades (vegeu el punt 2) i, en conseqüència, seran vulnerables als atacs. Un gran nombre d'aquests dispositius augmentarà el risc de proliferació de botnets i permetrà dur a terme atacs DDoS encara més potents i distribuïts.

Capacitats criptogràfiques limitades dels dispositius IoT

mésCom ja s'ha esmentat, les xarxes de 5a generació utilitzen activament dispositius perifèrics, que permeten eliminar part de la càrrega del nucli de la xarxa i, per tant, reduir la latència. Això és necessari per a serveis tan importants com el control de vehicles no tripulats, el sistema d'avís d'emergència IMS i d'altres, per als quals assegurar un retard mínim és fonamental, perquè d'això depenen les vides humanes. A causa de la connexió d'un gran nombre de dispositius IoT, que, per la seva petita mida i el seu baix consum energètic, tenen recursos informàtics molt limitats, les xarxes 5G es tornen vulnerables als atacs dirigits a interceptar el control i la posterior manipulació d'aquests dispositius. Per exemple, hi pot haver escenaris en què els dispositius IoT que formen part del sistema estiguin infectats "casa intel·ligent", tipus de programari maliciós com ara Ransomware i ransomware. També són possibles escenaris d'interceptació del control de vehicles no tripulats que reben ordres i informació de navegació a través del núvol. Formalment, aquesta vulnerabilitat es deu a la descentralització de les xarxes de nova generació, però el següent paràgraf exposarà més clarament el problema de la descentralització.

Descentralització i ampliació dels límits de la xarxa

mésEls dispositius perifèrics, que fan el paper de nuclis de xarxa locals, realitzen l'encaminament del trànsit d'usuaris, processen les sol·licituds, així com la memòria cau local i l'emmagatzematge de dades d'usuari. Així, els límits de les xarxes de 5a generació s'estan expandint, a més del nucli, a la perifèria, incloses les bases de dades locals i les interfícies de ràdio 5G-NR (5G New Radio). Això crea l'oportunitat d'atacar els recursos informàtics dels dispositius locals, que a priori estan més protegits que els nodes centrals del nucli de xarxa, amb l'objectiu de provocar una denegació de servei. Això pot comportar la desconnexió de l'accés a Internet per a zones senceres, el funcionament incorrecte dels dispositius IoT (per exemple, en un sistema de llar intel·ligent), així com la indisponibilitat del servei d'alerta d'emergència IMS.

Tanmateix, ETSI i 3GPP han publicat ara més de 10 estàndards que cobreixen diversos aspectes de la seguretat de la xarxa 5G. La gran majoria dels mecanismes que s'hi descriuen tenen com a objectiu protegir contra les vulnerabilitats (incloses les descrites anteriorment). Un dels principals és l'estàndard TS 23.501 versió 15.6.0, que descriu l'arquitectura de seguretat de les xarxes de 5a generació.

Arquitectura 5G

En primer lloc, passem als principis clau de l'arquitectura de xarxa 5G, que revelaran encara més el significat i les àrees de responsabilitat de cada mòdul de programari i cada funció de seguretat 5G.

• Divisió dels nodes de xarxa en elements que asseguren el funcionament dels protocols avió personalitzat (de l'anglès UP - User Plane) i elements que garanteixen el funcionament dels protocols pla de control (de l'anglès CP - Control Plane), que augmenta la flexibilitat pel que fa a l'escala i el desplegament de la xarxa, és a dir, la col·locació centralitzada o descentralitzada de nodes de xarxa de components individuals és possible.
• Suport del mecanisme tall de xarxa, en funció dels serveis prestats a grups específics d'usuaris finals.
• Implementació d'elements de xarxa en forma funcions de xarxa virtual.
• Suport per a l'accés simultani a serveis centralitzats i locals, és a dir, implementació de conceptes de núvol (de l'anglès. informàtica de boira) i la frontera (de l'anglès. informàtica de vora) càlculs.
• Implementació convergents arquitectura que combina diferents tipus de xarxes d'accés - 3GPP 5G New Radio i no 3GPP (Wi-Fi, etc.) - amb un sol nucli de xarxa.
• Suport d'algorismes i procediments d'autenticació uniformes, independentment del tipus de xarxa d'accés.
• Suport per a funcions de xarxa sense estat, en què el recurs computat està separat del magatzem de recursos.
• Suport per a itinerància amb encaminament de trànsit tant a través de la xarxa domèstica (de l'anglès home-routed roaming) com amb un "aterratge" local (de l'anglès local breakout) a la xarxa convidada.
• La interacció entre les funcions de la xarxa es representa de dues maneres: orientat al servei и interfície.

El concepte de seguretat de xarxa de 5a generació inclou:

• Autenticació d'usuari des de la xarxa.
• Autenticació de xarxa per part de l'usuari.
• Negociació de claus criptogràfiques entre la xarxa i l'equip d'usuari.
• Xifratge i control d'integritat del trànsit de senyalització.
• Xifratge i control de la integritat del trànsit dels usuaris.
• Protecció d'identificació d'usuari.
• Protecció d'interfícies entre diferents elements de xarxa d'acord amb el concepte de domini de seguretat de xarxa.
• Aïllament de diferents capes del mecanisme tall de xarxa i definir els nivells de seguretat propis de cada capa.
• Autenticació d'usuaris i protecció del trànsit a nivell de serveis finals (IMS, IoT i altres).

Mòduls de programari clau i funcions de seguretat de la xarxa 5G

AMF (de l'anglès Access & Mobility Management Function - funció de gestió d'accés i mobilitat) - ofereix:

• Organització de les interfícies del pla de control.
• Organització de l'intercanvi de senyalització de trànsit RRC, xifratge i protecció de la integritat de les seves dades.
• Organització de l'intercanvi de senyalització de trànsit NAS, xifratge i protecció de la integritat de les seves dades.
• Gestió del registre dels equips d'usuari a la xarxa i seguiment dels possibles estats de registre.
• Gestió de la connexió dels equips de l'usuari a la xarxa i seguiment dels possibles estats.
• Controlar la disponibilitat dels equips d'usuari a la xarxa en estat CM-IDLE.
• Gestió de la mobilitat dels equips d'usuari a la xarxa en estat CM-CONNECTED.
• Transmissió de missatges curts entre equips d'usuari i SMF.
• Gestió de serveis de localització.
• Assignació d'ID de fil EPS per interactuar amb EPS.

SMF (Anglès: Funció de gestió de sessions - funció de gestió de sessions) - proporciona:

• Gestió de sessions de comunicació, és a dir, crear, modificar i alliberar sessions, inclòs el manteniment d'un túnel entre la xarxa d'accés i la UPF.
• Distribució i gestió d'adreces IP dels equips d'usuari.
• Selecció de la passarel·la UPF a utilitzar.
• Organització de la interacció amb PCF.
• Gestió de l'aplicació de polítiques QoS.
• Configuració dinàmica dels equips d'usuari mitjançant els protocols DHCPv4 i DHCPv6.
• Supervisar la recollida de dades tarifàries i organitzar la interacció amb el sistema de facturació.
• Provisió de serveis perfecta (de l'anglès. SSC - Continuïtat de sessions i serveis).
• Interacció amb xarxes de convidats en el marc del roaming.

UPF (Funció de pla d'usuari en anglès - funció de pla d'usuari) - proporciona:

• Interacció amb xarxes de dades externes, inclosa Internet global.
• Encaminament de paquets d'usuari.
• Marcació de paquets d'acord amb les polítiques de QoS.
• Diagnòstic de paquets d'usuari (per exemple, detecció d'aplicacions basada en signatura).
• Proporcionar informes sobre l'ús del trànsit.
• La UPF també és el punt d'ancoratge per donar suport a la mobilitat dins i entre diferents tecnologies d'accés radiofònic.

UDM (Gestió de dades unificada en anglès - base de dades unificada) - ofereix:

• Gestionar les dades del perfil d'usuari, incloent l'emmagatzematge i la modificació de la llista de serveis disponibles per als usuaris i els seus paràmetres corresponents.
• Governança SUPI
• Genereu credencials d'autenticació 3GPP AKA.
• Autorització d'accés basada en dades de perfil (per exemple, restriccions d'itinerància).
• Gestió del registre d'usuaris, és a dir, emmagatzematge del servei AMF.
• Suport per a sessions de comunicació i serveis sense problemes, és a dir, emmagatzemar l'SMF assignat a la sessió de comunicació actual.
• Gestió de lliurament de SMS.
• Diversos UDM diferents poden servir al mateix usuari en diferents transaccions.

UDR (English Unified Data Repository - emmagatzematge de dades unificades) - proporciona emmagatzematge de diverses dades d'usuari i és, de fet, una base de dades de tots els subscriptors de la xarxa.

UDSF (Funció d'emmagatzematge de dades no estructurades en anglès - funció d'emmagatzematge de dades no estructurades) - garanteix que els mòduls AMF guarden els contextos actuals dels usuaris registrats. En general, aquesta informació es pot presentar com a dades d'estructura indefinida. Els contextos d'usuari es poden utilitzar per garantir sessions d'abonat sense interrupcions i sense interrupcions, tant durant la retirada prevista d'un dels AMF del servei, com en cas d'emergència. En ambdós casos, l'AMF de còpia de seguretat "recollirà" el servei mitjançant contextos emmagatzemats a USDF.

La combinació d'UDR i UDSF a la mateixa plataforma física és una implementació típica d'aquestes funcions de xarxa.

PFC (Anglès: Funció de control de polítiques - funció de control de polítiques) - crea i assigna determinades polítiques de servei als usuaris, inclosos paràmetres de QoS i regles de cobrament. Per exemple, per transmetre un o altre tipus de trànsit, es poden crear de manera dinàmica canals virtuals de diferents característiques. Al mateix temps, es poden tenir en compte els requisits del servei sol·licitat per l'abonat, el nivell de congestió de la xarxa, la quantitat de trànsit consumit, etc.

NEF (Funció d'exposició a la xarxa en anglès - funció d'exposició a la xarxa) - ofereix:

• Organització de la interacció segura de plataformes i aplicacions externes amb el nucli de xarxa.
• Gestioneu els paràmetres de QoS i les regles de càrrega per a usuaris específics.

SEAF (Funció d'ancoratge de seguretat en anglès - funció de seguretat d'àncora) - juntament amb AUSF, proporciona autenticació dels usuaris quan es registren a la xarxa amb qualsevol tecnologia d'accés.

AUSF (Funció de servidor d'autenticació anglesa - funció de servidor d'autenticació) - fa el paper d'un servidor d'autenticació que rep i processa les sol·licituds de SEAF i les redirigeix ​​a ARPF.

ARPF (Anglès: Repositori de credencials d'autenticació i funció de processament - funció d'emmagatzemar i processar les credencials d'autenticació) - proporciona emmagatzematge de claus secretes personals (KI) i paràmetres d'algoritmes criptogràfics, així com la generació de vectors d'autenticació d'acord amb 5G-AKA o I AP-AKA. Es troba al centre de dades de l'operador de telecomunicacions domèstic, protegit de les influències físiques externes i, per regla general, està integrat amb UDM.

SCMF (Funció de gestió del context de seguretat en anglès - funció de gestió context de seguretat) - Proporciona una gestió del cicle de vida del context de seguretat 5G.

SPCF (Funció de control de polítiques de seguretat en anglès - funció de gestió de polítiques de seguretat) - garanteix la coordinació i l'aplicació de les polítiques de seguretat en relació amb usuaris específics. Això té en compte les capacitats de la xarxa, les capacitats de l'equip de l'usuari i els requisits del servei específic (per exemple, els nivells de protecció proporcionats pel servei de comunicacions crítiques i el servei d'accés a Internet de banda ampla sense fil poden diferir). L'aplicació de polítiques de seguretat inclou: selecció d'AUSF, selecció de l'algoritme d'autenticació, selecció d'algoritmes de control d'integritat i xifratge de dades, determinació de la durada i el cicle de vida de les claus.

SIDF (Funció de desocultació de l'identificador de subscripció en anglès - funció d'extracció d'identificador d'usuari) - garanteix l'extracció de l'identificador de subscripció permanent d'un subscriptor (SUPI anglès) d'un identificador ocult (anglès). SUCI), rebuda com a part de la sol·licitud del procediment d'autenticació "Auth Info Req".

Requisits bàsics de seguretat per a xarxes de comunicació 5G

mésAutenticació d'usuari: La xarxa 5G de servei ha d'autenticar el SUPI de l'usuari en el procés 5G AKA entre l'usuari i la xarxa.

Servei d'autenticació de xarxa: L'usuari ha d'autenticar l'identificador de la xarxa de servei 5G, amb l'autenticació aconseguida mitjançant l'ús correcte de les claus obtingudes mitjançant el procediment 5G AKA.

Autorització d'usuari: La xarxa de servei ha d'autoritzar l'usuari a utilitzar el perfil d'usuari rebut de la xarxa de l'operador de telecomunicacions domèstic.

Autorització de la xarxa de servei per part de la xarxa de l'operador domèstic: S'ha de proporcionar a l'usuari la confirmació que està connectat a una xarxa de serveis que està autoritzada per la xarxa de l'operador domèstic per oferir serveis. L'autorització està implícita en el sentit que està assegurada per la realització satisfactòria del procediment 5G AKA.

Autorització de la xarxa d'accés per part de la xarxa de l'operador domèstic: S'ha de proporcionar a l'usuari la confirmació que està connectat a una xarxa d'accés autoritzada per la xarxa de l'operador domèstic per oferir serveis. L'autorització està implícita en el sentit que s'aplica establint amb èxit la seguretat de la xarxa d'accés. Aquest tipus d'autorització s'ha de fer servir per a qualsevol tipus de xarxa d'accés.

Serveis d'emergència no autenticats: Per complir els requisits reglamentaris d'algunes regions, les xarxes 5G han de proporcionar accés no autenticat als serveis d'emergència.

Nucli de xarxa i xarxa d'accés per ràdio: el nucli de la xarxa 5G i la xarxa d'accés de ràdio 5G han de suportar l'ús d'algoritmes d'integritat i xifratge de 128 bits per garantir la seguretat AS и NAS. Les interfícies de xarxa han de suportar claus de xifratge de 256 bits.

Requisits bàsics de seguretat dels equips d'usuari

més

• L'equip d'usuari ha de suportar el xifratge, la protecció de la integritat i la protecció contra atacs de reproducció de les dades d'usuari transmeses entre aquest i la xarxa d'accés de ràdio.
• L'equip de l'usuari ha d'activar els mecanismes d'encriptació i de protecció de la integritat de les dades tal com ho indiqui la xarxa d'accés per ràdio.
• L'equip de l'usuari ha de suportar el xifratge, la protecció de la integritat i la protecció contra atacs de reproducció per al trànsit de senyalització RRC i NAS.
• L'equip de l'usuari ha de suportar els algorismes criptogràfics següents: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• L'equip d'usuari pot suportar els algorismes criptogràfics següents: 128-NEA3, 128-NIA3.
• L'equip d'usuari ha de suportar els algorismes criptogràfics següents: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 si admet la connexió a la xarxa d'accés de ràdio E-UTRA.
• La protecció de la confidencialitat de les dades d'usuari transmeses entre l'equip de l'usuari i la xarxa d'accés per ràdio és opcional, però s'ha de proporcionar sempre que la normativa ho permeti.
• La protecció de privadesa per al trànsit de senyalització RRC i NAS és opcional.
• La clau permanent de l'usuari s'ha de protegir i emmagatzemar en components ben assegurats de l'equip de l'usuari.
• L'identificador de subscripció permanent d'un abonat no s'ha de transmetre en text clar per la xarxa d'accés de ràdio, excepte per a la informació necessària per a un encaminament correcte (per exemple MCC и MNC).
• La clau pública de la xarxa de l'operador domèstic, l'identificador de clau, l'identificador de l'esquema de seguretat i l'identificador d'encaminament s'han d'emmagatzemar a USIM.

Cada algorisme de xifratge està associat a un nombre binari:

• "0000": NEA0 - algorisme de xifratge nul
• "0001": 128-NEA1 - 128 bits NEU Algorisme basat en 3G
• "0010" 128-NEA2 - 128 bits AES algorisme basat
• "0011" 128-NEA3 - 128 bits ZUC algorisme basat.

Xifratge de dades mitjançant 128-NEA1 i 128-NEA2

PS El circuit està manllevat TS 133.501

Generació d'insercions simulades mitjançant algorismes 128-NIA1 i 128-NIA2 per garantir la integritat

PS El circuit està manllevat TS 133.501

Requisits bàsics de seguretat per a les funcions de xarxa 5G

més

• AMF ha de donar suport a l'autenticació primària mitjançant SUCI.
• SEAF ha de donar suport a l'autenticació primària mitjançant SUCI.
• L'UDM i l'ARPF han d'emmagatzemar la clau permanent de l'usuari i assegurar-se que està protegida contra robatoris.
• L'AUSF només proporcionarà SUPI a la xarxa de servei local després de l'autenticació inicial correcta mitjançant SUCI.
• NEF no ha de reenviar informació de xarxa bàsica oculta fora del domini de seguretat de l'operador.

Procediments bàsics de seguretat

Dominis de confiança

A les xarxes de 5a generació, la confiança en els elements de la xarxa disminueix a mesura que els elements s'allunyen del nucli de la xarxa. Aquest concepte influeix en les decisions implementades en l'arquitectura de seguretat 5G. Així, podem parlar d'un model de confiança de les xarxes 5G que determina el comportament dels mecanismes de seguretat de la xarxa.

Pel costat de l'usuari, el domini de confiança està format per UICC i USIM.

Pel que fa a la xarxa, el domini de confiança té una estructura més complexa.

La xarxa d'accés per ràdio es divideix en dos components − DU (de l'anglès Distributed Units - unitats de xarxa distribuïda) i CU (de l'anglès Central Units - central units of the network). Junts es formen gNB — interfície de ràdio de l'estació base de la xarxa 5G. Els DU no tenen accés directe a les dades dels usuaris, ja que es poden desplegar en segments d'infraestructura no protegits. Els CU s'han de desplegar en segments de xarxa protegits, ja que són els responsables d'acabar el trànsit dels mecanismes de seguretat de l'AS. Al nucli de la xarxa es troba AMF, que interromp el trànsit dels mecanismes de seguretat del NAS. L'especificació actual 3GPP 5G Fase 1 descriu la combinació AMF amb funció de seguretat SEAF, que conté la clau arrel (també coneguda com a "clau d'ancoratge") de la xarxa (de servei) visitada. AUSF s'encarrega d'emmagatzemar la clau obtinguda després de l'autenticació correcta. És necessari per a la seva reutilització en els casos en què l'usuari estigui connectat simultàniament a diverses xarxes d'accés per ràdio. ARPF emmagatzema les credencials d'usuari i és un anàleg d'USIM per als subscriptors. UDR и UDM emmagatzemar informació d'usuari, que s'utilitza per determinar la lògica per generar credencials, identificadors d'usuari, garantir la continuïtat de la sessió, etc.

Jerarquia de claus i els seus esquemes de distribució

A les xarxes de 5a generació, a diferència de les xarxes 4G-LTE, el procediment d'autenticació té dos components: l'autenticació primària i l'autenticació secundària. L'autenticació principal és necessària per a tots els dispositius d'usuari que es connecten a la xarxa. L'autenticació secundària es pot realitzar a petició de xarxes externes, si l'abonat es connecta a elles.

Després de completar amb èxit l'autenticació primària i el desenvolupament d'una clau compartida K entre l'usuari i la xarxa, KSEAF s'extreu de la clau K: una clau d'ancoratge (arrel) especial de la xarxa de servei. Posteriorment, es generen claus a partir d'aquesta clau per garantir la confidencialitat i la integritat de les dades de trànsit de senyalització RRC i NAS.

Diagrama amb explicacions
Denominacions:
CK Clau de xifrat
IK (Anglès: clau d'integritat) - una clau que s'utilitza en els mecanismes de protecció de la integritat de les dades.
CK' (Eng. Clau de xifrat) - una altra clau criptogràfica creada a partir de CK per al mecanisme EAP-AKA.
IK' (Clau d'integritat anglesa): una altra clau que s'utilitza en els mecanismes de protecció de la integritat de les dades per a EAP-AKA.
KAUSF - generat per la funció ARPF i l'equip d'usuari des CK и IK durant 5G AKA i EAP-AKA.
KSEAF - clau d'ancoratge obtinguda per la funció AUSF de la clau KAMFAUSF.
KAMF — la clau obtinguda per la funció SEAF a partir de la clau KSEAF.
KNASint, KNASenc — tecles obtingudes per la funció AMF a partir de la clau KAMF per protegir el trànsit de senyalització NAS.
KRRCint, KRRCenc — tecles obtingudes per la funció AMF a partir de la clau KAMF per protegir el trànsit de senyalització RRC.
KUPint, KUPenc — tecles obtingudes per la funció AMF a partir de la clau KAMF per protegir el trànsit de senyalització AS.
NH — clau intermèdia obtinguda per la funció AMF a partir de la clau KAMF per garantir la seguretat de les dades durant el lliurament.
KgNB — la clau obtinguda per la funció AMF a partir de la clau KAMF per garantir la seguretat dels mecanismes de mobilitat.

Esquemes per generar SUCI des de SUPI i viceversa

Règims per a l'obtenció de SUPI i SUCI

Producció de SUCI de SUPI i SUPI de SUCI:

Autenticació

Autenticació primària

A les xarxes 5G, EAP-AKA i 5G AKA són mecanismes d'autenticació primaris estàndard. Dividim el mecanisme d'autenticació principal en dues fases: la primera s'encarrega d'iniciar l'autenticació i seleccionar un mètode d'autenticació, la segona s'encarrega de l'autenticació mútua entre l'usuari i la xarxa.

Iniciació

L'usuari envia una sol·licitud de registre a SEAF, que conté l'ID de subscripció oculta SUCI de l'usuari.

SEAF envia a l'AUSF un missatge de sol·licitud d'autenticació (Nausf_UEAuthentication_Authenticate Request) que conté SNN (Serving Network Name) i SUPI o SUCI.

AUSF comprova si el sol·licitant d'autenticació SEAF pot utilitzar el SNN donat. Si la xarxa de servei no està autoritzada per utilitzar aquest SNN, l'AUSF respon amb un missatge d'error d'autorització "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

L'AUSF sol·licita les credencials d'autenticació a UDM, ARPF o SIDF mitjançant SUPI o SUCI i SNN.

Basant-se en SUPI o SUCI i la informació de l'usuari, UDM/ARPF selecciona el mètode d'autenticació que s'utilitzarà a continuació i emet les credencials de l'usuari.

Autenticació mútua

Quan s'utilitza qualsevol mètode d'autenticació, les funcions de xarxa UDM/ARPF han de generar un vector d'autenticació (AV).

EAP-AKA: UDM/ARPF genera primer un vector d'autenticació amb el bit de separació AMF = 1 i després genera CK' и IK' d' CK, IK i SNN i constitueix un nou vector d'autenticació AV (RAND, AUTN, XRES*, CK', IK'), que s'envia a l'AUSF amb instruccions per utilitzar-lo només per a EAP-AKA.

5G AKA: UDM/ARPF obté la clau KAUSF d' CK, IK i SNN, després del qual genera 5G HE AV. Vector d'autenticació de l'entorn domèstic 5G). Vector d'autenticació AV 5G HE (RAND, AUTN, XRES, KAUSF) s'envia a l'AUSF amb instruccions per utilitzar-lo només per a 5G AKA.

Després d'aquest AUSF s'obté la clau d'ancoratge KSEAF des de la clau KAUSF i envia una sol·licitud a SEAF "Challenge" al missatge "Nausf_UEAuthentication_Authenticate Response", que també conté RAND, AUTN i RES*. A continuació, el RAND i l'AUTN es transmeten a l'equip de l'usuari mitjançant un missatge de senyalització NAS segur. L'USIM de l'usuari calcula RES* a partir del RAND i AUTN rebuts i l'envia a SEAF. SEAF transmet aquest valor a AUSF per a la verificació.

AUSF compara els XRES* emmagatzemats en ell i els RES* rebuts de l'usuari. Si hi ha una coincidència, l'AUSF i l'UDM de la xarxa domèstica de l'operador reben una notificació de l'autenticació correcta i l'usuari i SEAF generen una clau de manera independent. KAMF d' KSEAF i SUPI per a més comunicació.

Autenticació secundària

L'estàndard 5G admet l'autenticació secundària opcional basada en EAP-AKA entre l'equip de l'usuari i la xarxa de dades externa. En aquest cas, SMF fa el paper de l'autenticador EAP i es basa en el treball AAA-un servidor de xarxa extern que autentica i autoritza l'usuari.

• Es produeix l'autenticació inicial obligatòria de l'usuari a la xarxa domèstica i es desenvolupa un context de seguretat NAS comú amb AMF.
• L'usuari envia una sol·licitud a AMF per establir una sessió.
• AMF envia una sol·licitud per establir una sessió a SMF indicant el SUPI de l'usuari.
• SMF valida les credencials de l'usuari a UDM mitjançant el SUPI proporcionat.
• L'SMF envia una resposta a la sol·licitud de l'AMF.
• SMF inicia el procediment d'autenticació EAP per obtenir permís per establir una sessió del servidor AAA a la xarxa externa. Per fer-ho, l'SMF i l'usuari intercanvien missatges per iniciar el tràmit.
• L'usuari i el servidor AAA de la xarxa externa intercanvien missatges per autenticar i autoritzar l'usuari. En aquest cas, l'usuari envia missatges a l'SMF, que al seu torn intercanvia missatges amb la xarxa externa a través de la UPF.

Conclusió

Tot i que l'arquitectura de seguretat 5G es basa en la reutilització de tecnologies existents, planteja reptes completament nous. Un gran nombre de dispositius IoT, límits de xarxa ampliats i elements d'arquitectura descentralitzada són només alguns dels principis clau de l'estàndard 5G que donen via lliure a la imaginació dels ciberdelinqüents.

L'estàndard bàsic per a l'arquitectura de seguretat 5G és TS 23.501 versió 15.6.0 — conté els punts clau del funcionament dels mecanismes i procediments de seguretat. En particular, descriu el paper de cada VNF per garantir la protecció de les dades dels usuaris i els nodes de la xarxa, per generar claus criptogràfiques i per implementar el procediment d'autenticació. Però fins i tot aquesta norma no dóna respostes als problemes urgents de seguretat que s'enfronten amb més freqüència als operadors de telecomunicacions com més intensament es desenvolupen i es posen en funcionament les xarxes de nova generació.

En aquest sentit, m'agradaria creure que les dificultats d'operar i protegir les xarxes de 5a generació no afectaran de cap manera als usuaris corrents, als quals se'ls promet velocitats de transmissió i respostes com el fill d'una amiga d'una mare i que ja tenen ganes de provar-ho tot. les capacitats declarades de les xarxes de nova generació.

links útils

Sèrie d'especificacions 3GPP
Arquitectura de seguretat 5G
Arquitectura del sistema 5G
Viqui 5G
Notes sobre l'arquitectura 5G
Visió general de seguretat 5G

Font: www.habr.com