ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Dayag nga, ang paghimo sa usa ka bag-ong sumbanan sa komunikasyon nga wala maghunahuna bahin sa mga mekanismo sa seguridad usa ka labi ka kaduhaduhaan ug kawang nga paningkamot.

5G Security Architecture β€” usa ka hugpong sa mga mekanismo sa seguridad ug mga pamaagi nga gipatuman sa Ika-5 nga henerasyon nga mga network ug naglangkob sa tanan nga mga sangkap sa network, gikan sa kinauyokan hangtod sa mga interface sa radyo.

Ang mga network sa ika-5 nga henerasyon, sa tinuud, usa ka ebolusyon Ika-upat nga henerasyon nga LTE network. Ang mga teknolohiya sa pag-access sa radyo nakaagi sa labing hinungdanon nga mga pagbag-o. Para sa 5th generation networks, usa ka bag-o Ilaga (Radio Access Technology) - 5G Bag-ong Radyo. Sama sa alang sa kinauyokan sa network, wala kini nakaagi sa ingon ka hinungdanon nga mga pagbag-o. Bahin niini, ang arkitektura sa seguridad sa mga network sa 5G naugmad nga adunay gibug-aton sa paggamit pag-usab sa mga may kalabotan nga teknolohiya nga gisagop sa 4G LTE nga sumbanan.

Bisan pa, angay nga hinumdoman nga ang paghunahuna pag-usab sa nahibal-an nga mga hulga sama sa pag-atake sa mga interface sa hangin ug ang layer sa signal (pagsenyas eroplano), DDOS attacks, Man-In-The-Middle attacks, ug uban pa, nag-aghat sa mga operator sa telecom sa paghimo og bag-ong mga sumbanan ug pag-integrate sa hingpit nga bag-ong mga mekanismo sa seguridad ngadto sa 5th generation networks.

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Kasaysayan

Sa 2015, ang International Telecommunication Union nag-drawing sa una sa iyang matang sa global nga plano alang sa pagpalambo sa ikalimang henerasyon nga mga network, mao nga ang isyu sa pagpalambo sa mga mekanismo sa seguridad ug mga pamaagi sa 5G network nahimong labi ka grabe.

Ang bag-ong teknolohiya nagtanyag ug tinuod nga impresibong data transfer speeds (labaw pa sa 1 Gbps), latency nga ubos sa 1 ms ug ang abilidad sa dungan nga pagkonektar sa mga 1 ka milyon nga device sulod sa radius nga 1 km2. Ang ingon nga labing kataas nga mga kinahanglanon alang sa mga network sa ika-5 nga henerasyon gipakita usab sa mga prinsipyo sa ilang organisasyon.

Ang panguna mao ang desentralisasyon, nga nagpasabut sa pagbutang sa daghang mga lokal nga database ug ang ilang mga sentro sa pagproseso sa periphery sa network. Kini nagpaposible nga maminusan ang mga paglangan kung kanus-a M2M-komunikasyon ug paghupay sa kinauyokan sa network tungod sa pagserbisyo sa daghang mga aparato sa IoT. Sa ingon, ang ngilit sa sunod nga henerasyon nga mga network gipalapad hangtod sa mga base station, nga gitugotan ang paghimo sa mga lokal nga sentro sa komunikasyon ug ang paghatag sa mga serbisyo sa panganod nga wala’y peligro sa mga kritikal nga paglangan o pagdumili sa serbisyo. Natural, ang nabag-o nga pamaagi sa networking ug serbisyo sa kostumer makapainteres sa mga tig-atake, tungod kay nagbukas kini og bag-ong mga oportunidad alang kanila sa pag-atake sa parehong kompidensyal nga impormasyon sa tiggamit ug ang mga sangkap sa network mismo aron mahimong hinungdan sa pagdumili sa serbisyo o pag-ilog sa mga kapanguhaan sa kompyuter sa operator.

Panguna nga mga kahuyangan sa mga network sa ika-5 nga henerasyon

Dako nga pag-atake nga nawong

Basaha ang dugang paKung nagtukod ug mga network sa telekomunikasyon sa ika-3 ug ika-4 nga henerasyon, ang mga operator sa telecom kasagarang limitado sa pagtrabaho kauban ang usa o daghang mga vendor nga naghatag dayon usa ka set sa hardware ug software. Kana mao, ang tanan mahimo’g molihok, ingon sa giingon nila, "gikan sa kahon" - igo na nga i-install ug i-configure ang kagamitan nga gipalit gikan sa vendor; wala na kinahanglana nga ilisan o dugangan ang proprietary software. Ang mga modernong uso sukwahi niining "klasikal" nga pamaagi ug gitumong sa virtualization sa mga network, usa ka multi-vendor nga pamaagi sa ilang pagtukod ug pagkalain-lain sa software. Mga teknolohiya sama sa SDN (English Software Defined Network) ug NFV (English Network Functions Virtualization), nga nagdala ngadto sa paglakip sa usa ka dako nga kantidad sa software nga gitukod base sa open source code sa mga proseso ug mga gimbuhaton sa pagdumala sa mga network sa komunikasyon. Naghatag kini sa mga tig-atake sa oportunidad nga mas maayo nga tun-an ang network sa operator ug mahibal-an ang daghang mga kahuyangan, nga, sa baylo, nagdugang ang pag-atake sa nawong sa mga bag-ong henerasyon nga network kumpara sa mga karon.

Daghang gidaghanon sa mga aparato sa IoT

Basaha ang dugang paSa 2021, mga 57% sa mga aparato nga konektado sa 5G nga mga network mahimong IoT nga mga aparato. Kini nagpasabut nga kadaghanan sa mga host adunay limitado nga mga kapabilidad sa cryptographic (tan-awa ang punto 2) ug, sumala niana, mahimong huyang sa mga pag-atake. Ang usa ka dako nga gidaghanon sa maong mga himan makadugang sa risgo sa pagdaghan sa botnet ug himoong posible ang paghimo sa mas gamhanan ug gipang-apod-apod nga mga pag-atake sa DDoS.

Limitado nga mga kapabilidad sa cryptographic sa mga aparato sa IoT

Basaha ang dugang paSama sa nahisgotan na, ang mga network sa ika-5 nga henerasyon aktibong naggamit sa mga peripheral device, nga nagpaposible sa pagtangtang sa bahin sa load gikan sa core sa network ug sa ingon makunhuran ang latency. Kini mao ang gikinahanglan alang sa mga importante nga mga serbisyo sama sa pagkontrolar sa unmanned nga mga sakyanan, emergency warning system IMS ug uban pa, alang kang kinsa ang pagsiguro sa gamay nga paglangan hinungdanon, tungod kay ang kinabuhi sa tawo nagdepende niini. Tungod sa koneksyon sa usa ka dako nga gidaghanon sa mga IoT nga mga himan, nga, tungod sa ilang gamay nga gidak-on ug ubos nga konsumo sa kuryente, adunay limitado kaayo nga mga kapanguhaan sa pag-compute, ang 5G nga mga network mahimong huyang sa mga pag-atake nga nagtumong sa pagpugong sa pagkontrol ug sa sunod nga pagmaniobra sa maong mga himan. Pananglitan, mahimong adunay mga senaryo diin ang mga aparato sa IoT nga bahin sa sistema nataptan "maalamon nga Balay", mga matang sa malware sama sa Ransomware ug ransomware. Posible usab ang mga senaryo sa pagpugong sa pagkontrol sa mga unmanned nga mga sakyanan nga nakadawat og mga sugo ug impormasyon sa nabigasyon pinaagi sa panganod. Sa pormal nga paagi, kini nga pagkahuyang tungod sa desentralisasyon sa bag-ong henerasyon nga mga network, apan ang sunod nga parapo maglatid sa problema sa desentralisasyon nga mas tin-aw.

Desentralisasyon ug pagpalapad sa mga utlanan sa network

Basaha ang dugang paAng mga peripheral device, nga nagdula sa papel sa mga lokal nga network cores, nagpahigayon sa pag-ruta sa trapiko sa user, pagproseso sa mga hangyo, ingon man sa lokal nga caching ug pagtipig sa datos sa user. Sa ingon, ang mga utlanan sa ika-5 nga henerasyon nga mga network nagkalapad, dugang sa kinauyokan, hangtod sa periphery, lakip ang mga lokal nga database ug 5G-NR (5G Bag-ong Radyo) nga mga interface sa radyo. Naghimo kini og oportunidad sa pag-atake sa mga kapanguhaan sa kompyuter sa lokal nga mga himan, nga usa ka priori nga mas huyang nga gipanalipdan kay sa mga sentral nga node sa core sa network, uban ang tumong nga mahimong hinungdan sa pagdumili sa serbisyo. Mahimo kini nga hinungdan sa pagkadiskonekta sa pag-access sa Internet alang sa tibuuk nga mga lugar, dili husto nga pag-andar sa mga aparato sa IoT (pananglitan, sa usa ka sistema sa intelihente nga balay), ingon man ang pagkadili magamit sa serbisyo sa alerto sa emerhensya sa IMS.

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Bisan pa, ang ETSI ug 3GPP karon nagpatik sa labaw sa 10 nga mga sumbanan nga naglangkob sa lainlaing mga aspeto sa seguridad sa network sa 5G. Ang kadaghanan sa mga mekanismo nga gihulagway didto gitumong sa pagpanalipod batok sa mga kahuyangan (lakip ang gihulagway sa ibabaw). Usa sa mga nag-unang mga mao ang sumbanan TS 23.501 nga bersyon 15.6.0, nga naghulagway sa arkitektura sa seguridad sa ika-5 nga henerasyon nga mga network.

5G nga arkitektura

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication
Una, atong ablihan ang mga mahinungdanong prinsipyo sa arkitektura sa 5G network, nga mas bug-os nga magpadayag sa kahulogan ug mga bahin sa responsibilidad sa matag software module ug matag 5G security function.

  • Pagbahin sa mga node sa network ngadto sa mga elemento nga nagsiguro sa operasyon sa mga protocol custom nga eroplano (gikan sa English UP - User Plane) ug mga elemento nga nagsiguro sa operasyon sa mga protocol kontrol nga eroplano (gikan sa English CP - Control Plane), nga nagdugang sa pagka-flexible sa mga termino sa scaling ug deployment sa network, i.e. sentralisado o desentralisado nga pagbutang sa indibidwal nga mga component network nodes posible.
  • Suporta sa mekanismo paghiwa sa network, base sa mga serbisyo nga gihatag sa piho nga mga grupo sa mga end user.
  • Pagpatuman sa mga elemento sa network sa porma mga gimbuhaton sa virtual network.
  • Suporta alang sa dungan nga pag-access sa sentralisado ug lokal nga mga serbisyo, i.e. pagpatuman sa mga konsepto sa panganod (gikan sa English. pag-compute sa gabon) ug utlanan (gikan sa English. edge computing) mga kalkulasyon.
  • Pagpatuman convergent arkitektura nga naghiusa sa lain-laing mga matang sa access network - 3GPP 5G Bag-ong Radyo ug dili-3GPP (Wi-Fi, ug uban pa) - nga adunay usa ka core sa network.
  • Pagsuporta sa managsama nga mga algorithm ug mga pamaagi sa pag-authenticate, bisan unsa pa ang klase sa access network.
  • Suporta alang sa stateless network functions, diin ang computed resource gibulag gikan sa resource store.
  • Suporta alang sa pag-roaming nga adunay ruta sa trapiko pinaagi sa home network (gikan sa English nga home-routed roaming) ug sa usa ka lokal nga "landing" (gikan sa English nga lokal nga breakout) sa guest network.
  • Ang interaksyon tali sa mga gimbuhaton sa network girepresentahan sa duha ka paagi: oriented sa serbisyo ΠΈ interface.

Ang 5th generation network security concept naglakip:

  • Panghimatuud sa tiggamit gikan sa network.
  • Network authentication sa user.
  • Ang negosasyon sa mga yawe sa cryptographic tali sa network ug kagamitan sa tiggamit.
  • Pag-encrypt ug pagkontrol sa integridad sa trapiko sa pagsenyas.
  • Pag-encrypt ug pagkontrol sa integridad sa trapiko sa tiggamit.
  • Proteksyon sa user ID.
  • Pagpanalipod sa mga interface tali sa lain-laing mga elemento sa network subay sa konsepto sa usa ka domain sa seguridad sa network.
  • Paglainlain sa lainlaing mga layer sa mekanismo paghiwa sa network ug pagtino sa kaugalingon nga lebel sa seguridad sa matag layer.
  • Ang pag-authenticate sa tiggamit ug proteksyon sa trapiko sa lebel sa mga serbisyo sa katapusan (IMS, IoT ug uban pa).

Key software modules ug 5G network security features

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication AMF (gikan sa English Access & Mobility Management Function - access ug mobility management function) - naghatag:

  • Organisasyon sa kontrol nga mga interface sa eroplano.
  • Organisasyon sa pagbayloay sa trapiko sa signal RRC, pag-encrypt ug pagpanalipod sa integridad sa datos niini.
  • Organisasyon sa pagbayloay sa trapiko sa signal NAS, pag-encrypt ug pagpanalipod sa integridad sa datos niini.
  • Pagdumala sa pagrehistro sa mga kagamitan sa tiggamit sa network ug pag-monitor sa posible nga mga estado sa pagrehistro.
  • Pagdumala sa koneksyon sa mga kagamitan sa tiggamit sa network ug pag-monitor sa posible nga mga estado.
  • Kontrola ang pagkaanaa sa kagamitan sa tiggamit sa network sa estado sa CM-IDLE.
  • Ang pagdumala sa paglihok sa mga kagamitan sa tiggamit sa network sa estado nga CM-CONNECTED.
  • Pagpasa sa mubu nga mga mensahe tali sa kagamitan sa tiggamit ug SMF.
  • Pagdumala sa mga serbisyo sa lokasyon.
  • Alokasyon sa Thread ID EPS aron makig-uban sa EPS.

SMF (Iningles: Session Management Function - session management function) - naghatag ug:

  • Pagdumala sa sesyon sa komunikasyon, i.e. paghimo, pagbag-o ug pagpagawas sa mga sesyon, lakip ang pagpadayon sa usa ka tunel tali sa access network ug sa UPF.
  • Pag-apod-apod ug pagdumala sa mga IP address sa mga kagamitan sa tiggamit.
  • Pagpili sa UPF gateway nga gamiton.
  • Organisasyon sa pakig-uban sa PCF.
  • Pagdumala sa pagpatuman sa palisiya QoS.
  • Dynamic nga configuration sa user equipment gamit ang DHCPv4 ug DHCPv6 protocols.
  • Pag-monitor sa pagkolekta sa datos sa taripa ug pag-organisar sa interaksyon sa sistema sa pagsingil.
  • Seamless nga probisyon sa mga serbisyo (gikan sa English. SSC - Session ug Pagpadayon sa Serbisyo).
  • Interaksyon sa mga bisita nga network sulod sa roaming.

UPF (Ang English User Plane Function - user plane function) - naghatag:

  • Interaksyon sa mga eksternal nga network sa datos, lakip ang global nga Internet.
  • Pag-ruta sa mga pakete sa tiggamit.
  • Pagmarka sa mga pakete sumala sa mga palisiya sa QoS.
  • Mga diagnostic sa pakete sa tiggamit (pananglitan, pagtuki sa aplikasyon nga gibase sa pirma).
  • Paghatag ug mga taho bahin sa paggamit sa trapiko.
  • Ang UPF mao usab ang angkla nga punto alang sa pagsuporta sa paglihok sa sulod ug taliwala sa lainlaing mga teknolohiya sa pag-access sa radyo.

UDM (English Unified Data Management - hiniusa nga database) - naghatag:

  • Pagdumala sa datos sa profile sa gumagamit, lakip ang pagtipig ug pagbag-o sa lista sa mga serbisyo nga magamit sa mga tiggamit ug ang ilang katugbang nga mga parameter.
  • Pagdumala SUPI
  • Paghimo og 3GPP authentication credentials AKA.
  • Pag-access sa pagtugot base sa datos sa profile (pananglitan, mga pagdili sa roaming).
  • Pagdumala sa pagrehistro sa gumagamit, ie pagtipig sa pagserbisyo sa AMF.
  • Suporta alang sa seamless nga serbisyo ug mga sesyon sa komunikasyon, i.e. pagtipig sa SMF nga gi-assign sa kasamtangan nga sesyon sa komunikasyon.
  • Pagdumala sa pagpadala sa SMS.
  • Daghang lainlain nga UDM ang makaserbisyo sa parehas nga tiggamit sa lainlaing mga transaksyon.

UDR (Iningles nga Unified Data Repository - pagtipig sa hiniusang datos) - naghatag ug pagtipig sa lainlaing datos sa tiggamit ug, sa tinuud, usa ka database sa tanan nga mga subscriber sa network.

UDSF (English Unstructured Data Storage Function - unstructured data storage function) - nagsiguro nga ang AMF modules makaluwas sa kasamtangang konteksto sa mga rehistradong tiggamit. Sa kinatibuk-an, kini nga kasayuran mahimong ipresentar ingon nga datos sa usa ka dili tino nga istruktura. Ang mga konteksto sa tiggamit mahimong magamit aron masiguro ang walay hunong ug walay hunong nga mga sesyon sa subscriber, sa panahon sa giplano nga pag-withdraw sa usa sa mga AMF gikan sa serbisyo, ug sa panahon sa usa ka emerhensya. Sa duha ka mga kaso, ang backup nga AMF "mokuha" sa serbisyo gamit ang mga konteksto nga gitipigan sa USDF.

Ang paghiusa sa UDR ug UDSF sa parehas nga pisikal nga plataporma usa ka sagad nga pagpatuman sa kini nga mga gimbuhaton sa network.

PCF (Iningles: Policy Control Function - policy control function) - nagmugna ug nag-assign sa piho nga mga polisiya sa serbisyo ngadto sa mga tiggamit, lakip ang mga parameter sa QoS ug mga lagda sa pag-charge. Pananglitan, aron mapadala ang usa o lain nga klase sa trapiko, ang mga virtual nga channel nga adunay lainlaing mga kinaiya mahimo nga dinamikong gibuhat. Sa samang higayon, ang mga kinahanglanon sa serbisyo nga gihangyo sa subscriber, ang lebel sa paghuot sa network, ang gidaghanon sa trapiko nga nahurot, ug uban pa mahimong makonsiderar.

NEF (Iningles nga Network Exposure Function - network exposure function) - naghatag:

  • Organisasyon sa luwas nga interaksyon sa mga eksternal nga plataporma ug aplikasyon nga adunay kinauyokan sa network.
  • Pagdumala sa mga parameter sa QoS ug mga lagda sa pagsingil alang sa piho nga mga tiggamit.

DAGAT (Iningles Security Anchor Function - anchor security function) - uban sa AUSF, naghatag og authentication sa mga tiggamit sa diha nga sila magparehistro sa network sa bisan unsa nga access teknolohiya.

AUSF (English Authentication Server Function - authentication server function) - nagdula sa papel sa usa ka authentication server nga nakadawat ug nagproseso sa mga hangyo gikan sa SEAF ug nag-redirect niini ngadto sa ARPF.

ARPF (Iningles: Authentication Credential Repository and Processing Function - function sa pagtipig ug pagproseso sa authentication credentials) - naghatag ug storage sa personal nga sekreto nga mga yawe (KI) ug mga parameter sa cryptographic algorithms, ingon man usab sa pagmugna sa authentication vectors subay sa 5G-AKA o EAP-AKA. Kini nahimutang sa data center sa home telecom operator, gipanalipdan gikan sa gawas nga pisikal nga mga impluwensya, ug, ingon nga usa ka lagda, gisagol sa UDM.

SCMF (English Security Context Management Function - function sa pagdumala konteksto sa seguridad) - Naghatag pagdumala sa lifecycle alang sa konteksto sa seguridad sa 5G.

SPCF (English Security Policy Control Function - security policy management function) - nagsiguro sa koordinasyon ug paggamit sa mga polisiya sa seguridad kalabot sa piho nga mga tiggamit. Gikonsiderar niini ang mga kapabilidad sa network, ang mga kapabilidad sa kagamitan sa tiggamit ug ang mga kinahanglanon sa piho nga serbisyo (pananglitan, ang lebel sa proteksyon nga gihatag sa serbisyo sa kritikal nga komunikasyon ug ang serbisyo sa wireless broadband Internet access mahimong magkalainlain). Ang paggamit sa mga polisiya sa seguridad naglakip sa: pagpili sa AUSF, pagpili sa authentication algorithm, pagpili sa data encryption ug integrity control algorithms, determinasyon sa gitas-on ug siklo sa kinabuhi sa mga yawe.

SIDF (English Subscription Identifier De-concealing Function - user identifier extraction function) - nagsiguro sa pagkuha sa permanenteng subscription identifier sa subscriber (English SUPI) gikan sa tinago nga identifier (English SUCI), nadawat isip kabahin sa hangyo sa pamaagi sa pag-authentication nga "Auth Info Req".

Panguna nga mga kinahanglanon sa seguridad alang sa 5G nga mga network sa komunikasyon

Basaha ang dugang paPanghimatuud sa tiggamit: Ang nag-alagad nga 5G network kinahanglang magpamatuod sa SUPI sa user sa proseso sa 5G AKA tali sa user ug sa network.

Pag-alagad sa Network Authentication: Ang user kinahanglang mag-authenticate sa 5G nga nag-alagad sa network ID, nga adunay authentication nga nakab-ot pinaagi sa malampuson nga paggamit sa mga yawe nga nakuha pinaagi sa 5G AKA nga pamaagi.

Ang pagtugot sa tiggamit: Ang nag-alagad nga network kinahanglang motugot sa user gamit ang user profile nga nadawat gikan sa network sa home telecom operator.

Ang pagtugot sa network sa pag-alagad pinaagi sa network sa home operator: Ang user kinahanglang hatagan ug kumpirmasyon nga siya konektado sa usa ka service network nga gitugutan sa home operator network sa paghatag ug mga serbisyo. Ang pagtugot gipasabut sa kahulugan nga kini gisiguro sa malampuson nga pagkompleto sa pamaagi sa 5G AKA.

Ang pagtugot sa access network pinaagi sa home operator network: Ang user kinahanglan nga hatagan og kumpirmasyon nga siya konektado sa access network nga gitugutan sa home operator network sa paghatag og mga serbisyo. Ang pagtugot kay gipasabot sa diwa nga kini gipatuman pinaagi sa malampusong pag-establisar sa seguridad sa access network. Kini nga matang sa pagtugot kinahanglang gamiton alang sa bisan unsang matang sa access network.

Dili tinuod nga serbisyo sa emerhensya: Aron makab-ot ang mga kinahanglanon sa regulasyon sa pipila ka mga rehiyon, ang mga network sa 5G kinahanglan maghatag dili kasaligan nga pag-access alang sa mga serbisyo sa emerhensya.

Network core ug radio access network: Ang 5G network core ug 5G radio access network kinahanglang mosuporta sa paggamit sa 128-bit encryption ug integrity algorithms aron masiguro ang seguridad AS ΠΈ NAS. Ang mga interface sa network kinahanglang mosuporta sa 256-bit encryption keys.

Panguna nga mga kinahanglanon sa kaluwasan alang sa kagamitan sa tiggamit

Basaha ang dugang pa

  • Kinahanglang suportahan sa kagamitan sa user ang encryption, proteksyon sa integridad, ug proteksyon batok sa mga pag-atake sa replay alang sa data sa user nga gipasa tali niini ug sa network sa pag-access sa radyo.
  • Ang kagamitan sa tiggamit kinahanglan nga mag-aktibo sa pag-encrypt ug mga mekanismo sa pagpanalipod sa integridad sa datos ingon nga gimando sa network sa pag-access sa radyo.
  • Ang kagamitan sa user kinahanglang mosuporta sa encryption, proteksyon sa integridad, ug proteksyon batok sa mga pag-atake sa replay alang sa trapiko sa pagsenyas sa RRC ug NAS.
  • Ang kagamitan sa tiggamit kinahanglang mosuporta sa mosunod nga mga cryptographic algorithm: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Ang kagamitan sa tiggamit makasuporta sa mosunod nga mga cryptographic algorithm: 128-NEA3, 128-NIA3.
  • Ang kagamitan sa tiggamit kinahanglan nga mosuporta sa mosunod nga mga cryptographic algorithm: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 kung kini nagsuporta sa koneksyon sa E-UTRA radio access network.
  • Ang pagpanalipod sa pagkakompidensyal sa datos sa tiggamit nga gipasa tali sa kagamitan sa gumagamit ug sa network sa pag-access sa radyo kay opsyonal, apan kinahanglan ihatag kung gitugotan sa regulasyon.
  • Ang proteksyon sa pagkapribado para sa trapiko sa pagsenyas sa RRC ug NAS kay opsyonal.
  • Ang permanente nga yawe sa tiggamit kinahanglan nga mapanalipdan ug tipigan sa maayo nga pagkasiguro nga mga sangkap sa kagamitan sa tiggamit.
  • Ang permanenteng subscription identifier sa usa ka subscriber kinahanglan dili ipadala sa tin-aw nga teksto sa network sa pag-access sa radyo gawas sa impormasyon nga gikinahanglan alang sa husto nga ruta (pananglitan MCC ΠΈ MNC).
  • Ang network sa home operator public key, ang key identifier, ang security scheme identifier, ug ang routing identifier kinahanglang tipigan sa USIM.

Ang matag encryption algorithm nalangkit sa binary nga numero:

  • "0000": NEA0 - Null ciphering algorithm
  • "0001": 128-NEA1 - 128-bit SNOW 3G base nga algorithm
  • "0010" 128-NEA2 - 128-bit AES base nga algorithm
  • "0011" 128-NEA3 - 128-bit ZUC base nga algorithm.

Pag-encrypt sa datos gamit ang 128-NEA1 ug 128-NEA2Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

PS Ang sirkito gihulaman gikan sa TS 133.501

Pagmugna og simulated inserts pinaagi sa algorithms 128-NIA1 ug 128-NIA2 aron masiguro ang integridadPasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

PS Ang sirkito gihulaman gikan sa TS 133.501

Panguna nga mga kinahanglanon sa seguridad alang sa mga function sa 5G network

Basaha ang dugang pa

  • Kinahanglan nga suportahan sa AMF ang panguna nga panghimatuud gamit ang SUCI.
  • Kinahanglan nga suportahan sa SEAF ang panguna nga panghimatuud gamit ang SUCI.
  • Ang UDM ug ARPF kinahanglang magtipig sa permanenteng yawe sa tiggamit ug maseguro nga kini mapanalipdan gikan sa pagpangawat.
  • Ang AUSF maghatag lamang ug SUPI sa lokal nga network sa pagserbisyo sa malampuson nga pasiunang pag-authenticate gamit ang SUCI.
  • Kinahanglang dili ipadala sa NEF ang tinago nga impormasyon sa core network gawas sa domain sa seguridad sa operator.

Batakang Pamaagi sa Kaluwasan

Pagsalig sa mga Domain

Sa ika-5 nga henerasyon nga mga network, ang pagsalig sa mga elemento sa network mokunhod samtang ang mga elemento mopalayo gikan sa core sa network. Kini nga konsepto nag-impluwensya sa mga desisyon nga gipatuman sa 5G nga arkitektura sa seguridad. Sa ingon, mahimo naton hisgutan ang usa ka modelo sa pagsalig sa mga network sa 5G nga nagtino sa pamatasan sa mga mekanismo sa seguridad sa network.

Sa bahin sa tiggamit, ang domain sa pagsalig naporma sa UICC ug USIM.

Sa bahin sa network, ang domain sa pagsalig adunay mas komplikado nga istruktura.

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication Ang network sa pag-access sa radyo gibahin sa duha ka sangkap - DU (gikan sa English Distributed Units - distributed network units) ug CU (gikan sa English Central Units - sentral nga mga yunit sa network). Magdungan silag porma gNB - radio interface sa 5G network base station. Ang mga DU walay direkta nga pag-access sa datos sa tiggamit tungod kay mahimo silang i-deploy sa wala’y proteksyon nga mga bahin sa imprastraktura. Ang mga CU kinahanglan nga i-deploy sa giprotektahan nga mga bahin sa network, tungod kay sila ang responsable sa pagtapos sa trapiko gikan sa mga mekanismo sa seguridad sa AS. Sa kinauyokan sa network nahimutang AMF, nga nagtapos sa trapiko gikan sa mga mekanismo sa seguridad sa NAS. Ang kasamtangan nga 3GPP 5G Phase 1 nga detalye naghulagway sa kombinasyon AMF uban sa safety function DAGAT, nga naglangkob sa root key (nailhan usab nga "angkla nga yawe") sa gibisitahan (nag-alagad) nga network. AUSF ang responsable sa pagtipig sa yawe nga nakuha pagkahuman sa malampuson nga pag-authenticate. Gikinahanglan kini alang sa paggamit pag-usab sa mga kaso diin ang tiggamit dungan nga konektado sa daghang mga network sa pag-access sa radyo. ARPF nagtipig sa mga kredensyal sa tiggamit ug usa ka analogue sa USIM alang sa mga subscriber. UDR ΠΈ UDM tindahan sa impormasyon sa tiggamit, nga gigamit sa pagtino sa lohika alang sa pagmugna og mga kredensyal, user ID, pagsiguro sa pagpadayon sa sesyon, ug uban pa.

Hierarchy sa mga yawe ug ang ilang mga laraw sa pag-apod-apod

Sa 5th generation networks, dili sama sa 4G-LTE networks, ang authentication procedure adunay duha ka component: primary ug secondary authentication. Ang panguna nga pag-authenticate gikinahanglan alang sa tanan nga mga aparato sa gumagamit nga nagkonektar sa network. Ang ikaduha nga pag-authenticate mahimong ipahigayon kung gihangyo gikan sa mga eksternal nga network, kung ang subscriber nagkonektar kanila.

Human sa malampuson nga pagkompleto sa nag-unang authentication ug ang pagpalambo sa usa ka shared key K tali sa user ug sa network, ang KSEAF gikuha gikan sa key K - usa ka espesyal nga anchor (root) nga yawe sa nag-alagad nga network. Pagkahuman, ang mga yawe gihimo gikan sa kini nga yawe aron masiguro ang pagkakompidensyal ug integridad sa datos sa trapiko sa pagsenyas sa RRC ug NAS.

Diagram nga adunay mga katin-awanPasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication
Mga laraw:
CK Cipher Key
IK (Iningles: Integrity Key) - usa ka yawe nga gigamit sa mga mekanismo sa pagpanalipod sa integridad sa datos.
CK' (eng. Cipher Key) - laing cryptographic key nga gihimo gikan sa CK para sa mekanismo sa EAP-AKA.
IK' (English Integrity Key) - laing yawe nga gigamit sa mga mekanismo sa pagpanalipod sa integridad sa datos para sa EAP-AKA.
KAUSF - namugna sa ARPF function ug user ekipo gikan sa CK ΠΈ IK sa panahon sa 5G AKA ug EAP-AKA.
KSEAF - anchor key nga nakuha sa AUSF function gikan sa key KAMFAUSF.
KAMF β€” ang yawe nga nakuha sa SEAF function gikan sa yawe KSEAF.
KNASint, KNASenc β€” mga yawe nga nakuha sa function sa AMF gikan sa yawe KAMF aron mapanalipdan ang trapiko sa pagsenyas sa NAS.
KRRCint, KRRCenc β€” mga yawe nga nakuha sa function sa AMF gikan sa yawe KAMF aron mapanalipdan ang trapiko sa pagsenyas sa RRC.
KUPint, Si KUPenc β€” mga yawe nga nakuha sa function sa AMF gikan sa yawe KAMF aron mapanalipdan ang trapiko sa AS signaling.
NH β€” intermediate nga yawe nga nakuha sa AMF function gikan sa yawe KAMF aron masiguro ang seguridad sa datos sa panahon sa mga handover.
KgNB β€” ang yawe nga nakuha sa function sa AMF gikan sa yawe KAMF aron masiguro ang kaluwasan sa mga mekanismo sa paglihok.

Mga laraw alang sa pagmugna og SUCI gikan sa SUPI ug vice versa

Mga laraw sa pagkuha sa SUPI ug SUCI

Paggama sa SUCI gikan sa SUPI ug SUPI gikan sa SUCI:
Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Pagpanghimatuud

Panguna nga panghimatuud

Sa 5G nga mga network, ang EAP-AKA ug 5G AKA mga sumbanan nga panguna nga mekanismo sa pag-authenticate. Atong bahinon ang nag-unang mekanismo sa pag-authenticate sa duha ka hugna: ang una mao ang responsable sa pagsugod sa authentication ug pagpili sa usa ka pamaagi sa pag-authentication, ang ikaduha mao ang responsable sa mutual authentication tali sa user ug sa network.

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

Pagsugod

Nagsumite ang user og hangyo sa pagparehistro sa SEAF, nga naglangkob sa gitago nga subscription ID sa user nga SUCI.

Nagpadala ang SEAF sa AUSF og mensahe sa hangyo sa authentication (Nausf_UEAuthentication_Authenticate Request) nga adunay SNN (Serving Network Name) ug SUPI o SUCI.

Gisusi sa AUSF kung gitugotan ba ang nanghangyo sa pag-authenticate sa SEAF nga gamiton ang gihatag nga SNN. Kung ang network sa pag-alagad dili awtorisado sa paggamit niini nga SNN, unya ang AUSF motubag uban sa usa ka pagtugot nga mensahe sa sayop nga "Serving network dili awtorisado" (Nausf_UEAuthentication_Authenticate Response).

Ang mga kredensyal sa authentication gihangyo sa AUSF sa UDM, ARPF o SIDF pinaagi sa SUPI o SUCI ug SNN.

Base sa SUPI o SUCI ug impormasyon sa user, ang UDM/ARPF mopili sa authentication method nga gamiton sunod ug mag-isyu sa mga kredensyal sa user.

Mutual Authentication

Kung mogamit ug bisan unsang pamaagi sa pag-authenticate, ang mga function sa network sa UDM/ARPF kinahanglan nga makamugna usa ka vector sa pag-ila (AV).

EAP-AKA: Ang UDM/ARPF una nga naghimo ug usa ka authentication vector nga adunay nagbulag nga bit AMF = 1, unya nagmugna CK' ΠΈ IK' gikan sa CK, IK ug SNN ug naglangkob sa usa ka bag-ong AV authentication vector (RAND, AUTN, XRES*, CK', IK'), nga gipadala ngadto sa AUSF uban sa mga instruksyon sa paggamit niini alang lamang sa EAP-AKA.

5G AKA: Nakuha sa UDM/ARPF ang yawe KAUSF gikan sa CK, IK ug SNN, human niini makamugna kini og 5G HE AV. 5G Home Environment Authentication Vector). 5G HE AV authentication vector (RAND, AUTN, XRES, KAUSF) gipadala ngadto sa AUSF uban sa mga instruksiyon sa paggamit niini alang sa 5G lamang AKA.

Human niini nga AUSF makuha ang anchor key KSEAF gikan sa yawe KAUSF ug nagpadala ug hangyo ngadto sa SEAF nga β€œChallenge” sa mensahe nga β€œNausf_UEAuthentication_Authenticate Response”, nga adunay usab RAND, AUTN ug RES*. Sunod, ang RAND ug AUTN gipasa sa kagamitan sa gumagamit gamit ang usa ka luwas nga mensahe sa pagsenyas sa NAS. Ang USIM sa user nagkalkula sa RES* gikan sa nadawat nga RAND ug AUTN ug ipadala kini sa SEAF. Ang SEAF nag-relay niini nga bili ngadto sa AUSF para sa verification.

Gikumpara sa AUSF ang XRES* nga gitipigan niini ug ang RES* nga nadawat gikan sa user. Kung adunay usa ka tugma, ang AUSF ug UDM sa home network sa operator gipahibalo sa malampuson nga pag-authenticate, ug ang user ug ang SEAF independente nga naghimo og usa ka yawe. KAMF gikan sa KSEAF ug SUPI alang sa dugang komunikasyon.

Secondary authentication

Ang 5G standard nagsuporta sa opsyonal nga secondary authentication base sa EAP-AKA tali sa user equipment ug sa external data network. Niini nga kaso, ang SMF nagdula sa papel sa EAP authenticator ug nagsalig sa trabaho AAA-usa ka eksternal nga network server nga nagpamatuod ug nagtugot sa tiggamit.

Pasiuna sa 5G Security Architecture: NFV, Keys ug 2 Authentication

  • Ang mandatory nga pasiunang pag-authenticate sa user sa home network mahitabo ug usa ka komon nga konteksto sa seguridad sa NAS gihimo uban sa AMF.
  • Ang tiggamit nagpadala usa ka hangyo sa AMF aron magtukod usa ka sesyon.
  • Nagpadala ang AMF og hangyo sa pag-establisar og sesyon sa SMF nga nagpaila sa SUPI sa user.
  • Gi-validate sa SMF ang mga kredensyal sa tiggamit sa UDM gamit ang gihatag nga SUPI.
  • Ang SMF nagpadala ug tubag sa hangyo gikan sa AMF.
  • Gisugdan sa SMF ang pamaagi sa pag-authenticate sa EAP aron makakuha og pagtugot sa pag-establisar og sesyon gikan sa AAA server sa eksternal nga network. Aron mahimo kini, ang SMF ug ang tiggamit magbinayloay og mga mensahe aron masugdan ang pamaagi.
  • Ang user ug ang eksternal nga network nga AAA server dayon magbayloay og mga mensahe aron mapamatud-an ug tugotan ang tiggamit. Sa kini nga kaso, ang tiggamit nagpadala mga mensahe sa SMF, nga sa baylo nagbayloay sa mga mensahe sa eksternal nga network pinaagi sa UPF.

konklusyon

Bisan kung ang arkitektura sa seguridad sa 5G gibase sa paggamit pag-usab sa naa na nga mga teknolohiya, naghatag kini bug-os nga bag-ong mga hagit. Ang usa ka dako nga gidaghanon sa mga aparato sa IoT, gipalapdan nga mga utlanan sa network ug mga elemento sa desentralisado nga arkitektura pila ra sa mga hinungdan nga prinsipyo sa 5G nga sumbanan nga naghatag libre nga paghanduraw sa mga cybercriminals.

Ang sukaranan nga sukaranan alang sa arkitektura sa seguridad sa 5G mao ang TS 23.501 nga bersyon 15.6.0 β€” Naglangkob sa yawe nga mga punto sa operasyon sa mga mekanismo ug pamaagi sa seguridad. Sa partikular, kini naghulagway sa papel sa matag VNF sa pagsiguro sa pagpanalipod sa user data ug network nodes, sa pagmugna crypto yawe ug sa pagpatuman sa authentication pamaagi. Apan bisan kini nga sumbanan wala maghatag mga tubag sa dinalian nga mga isyu sa seguridad nga nag-atubang sa mga operator sa telecom kanunay nga labi ka kusog nga bag-ong henerasyon nga mga network gipalambo ug gipalihok.

Niining bahina, gusto ko nga motuo nga ang mga kalisud sa pag-operate ug pagpanalipod sa ika-5 nga henerasyon nga mga network dili sa bisan unsang paagi makaapekto sa mga ordinaryong tiggamit, nga gisaaran sa mga katulin sa transmission ug mga tubag sama sa anak sa usa ka higala sa usa ka inahan ug naghinamhinam na nga sulayan ang tanan. ang gideklarar nga kapabilidad sa bag-ong henerasyon nga mga network.

Mapuslanon nga mga link

3GPP Detalye serye
5G nga arkitektura sa seguridad
5G nga sistema sa arkitektura
5G Wiki
5G nga arkitektura nga mga nota
5G nga katibuk-an sa seguridad

Source: www.habr.com

Idugang sa usa ka comment