Převzít vývoj nového komunikačního standardu bez přemýšlení o bezpečnostních mechanismech je zjevně extrémně pochybné a marné úsilí.

5G bezpečnostní architektura — soubor bezpečnostních mechanismů a postupů zavedených v sítě 5. generace a pokrývající všechny síťové komponenty, od jádra až po rádiová rozhraní.

Sítě 5. generace jsou v podstatě evolucí Sítě 4. generace LTE. Nejvýraznějšími změnami prošly technologie rádiového přístupu. Pro sítě 5. generace novinka KRYSA (Radio Access Technology) - 5G nové rádio. Co se týče jádra sítě, nedoznalo tak výrazných změn. V tomto ohledu byla bezpečnostní architektura 5G sítí vyvinuta s důrazem na opětovné použití relevantních technologií přijatých ve standardu 4G LTE.

Je však třeba poznamenat, že přehodnocení známých hrozeb, jako jsou útoky na vzdušná rozhraní a signální vrstvu (signalizace letadlo), útoky DDOS, útoky Man-In-The-Middle atd., přiměly telekomunikační operátory k vývoji nových standardů a integraci zcela nových bezpečnostních mechanismů do sítí 5. generace.

Pozadí

Mezinárodní telekomunikační unie vypracovala v roce 2015 první svého druhu globální plán rozvoje sítí páté generace, proto se otázka rozvoje bezpečnostních mechanismů a postupů v sítích 5G stala obzvlášť akutní.

Nová technologie nabídla skutečně působivé přenosové rychlosti dat (více než 1 Gbps), latenci menší než 1 ms a možnost současného připojení asi 1 milionu zařízení v okruhu 1 km2. Takové nejvyšší požadavky na sítě 5. generace se odrážejí i v principech jejich organizace.

Tím hlavním byla decentralizace, která znamenala umístění mnoha lokálních databází a jejich zpracovatelských center na periferii sítě. To umožnilo minimalizovat zpoždění při M2M-komunikace a odlehčení síťovému jádru díky obsluze velkého množství IoT zařízení. Okraj sítí nové generace se tak rozšířil až k základnovým stanicím, což umožnilo vytváření místních komunikačních center a poskytování cloudových služeb bez rizika kritického zpoždění nebo odmítnutí služby. Změněný přístup k sítím a zákaznickému servisu byl pro útočníky samozřejmě zajímavý, protože jim otevřel nové příležitosti k útoku jak na důvěrné uživatelské informace, tak na samotné síťové komponenty s cílem způsobit odmítnutí služby nebo zabavit výpočetní zdroje operátora.

Hlavní zranitelnosti sítí 5. generace

Velká útočná plocha

vícePři budování telekomunikačních sítí 3. a 4. generace se telekomunikační operátoři obvykle omezovali na spolupráci s jedním nebo několika dodavateli, kteří okamžitě dodali sadu hardwaru a softwaru. To znamená, že vše mohlo fungovat, jak se říká, „z krabice“ - stačilo pouze nainstalovat a nakonfigurovat zařízení zakoupené od prodejce; nebylo potřeba nahrazovat nebo doplňovat proprietární software. Moderní trendy jsou v rozporu s tímto „klasickým“ přístupem a jsou zaměřeny na virtualizaci sítí, multi-vendorový přístup k jejich konstrukci a softwarovou rozmanitost. Technologie jako např SDN (anglicky Software Defined Network) a NFV (English Network Functions Virtualization), což vede k začlenění obrovského množství softwaru postaveného na bázi otevřených zdrojových kódů do procesů a funkcí správy komunikačních sítí. To dává útočníkům příležitost lépe prostudovat síť operátora a identifikovat větší počet zranitelností, což zase zvyšuje útočnou plochu sítí nové generace ve srovnání se současnými.

Velké množství IoT zařízení

víceDo roku 2021 bude asi 57 % zařízení připojených k sítím 5G tvořit zařízení IoT. To znamená, že většina hostitelů bude mít omezené kryptografické schopnosti (viz bod 2), a proto bude zranitelná vůči útokům. Obrovské množství takových zařízení zvýší riziko šíření botnetů a umožní provádět ještě silnější a distribuované DDoS útoky.

Omezené kryptografické schopnosti zařízení IoT

víceJak již bylo zmíněno, sítě 5. generace aktivně využívají periferní zařízení, která umožňují odstranit část zátěže z jádra sítě a tím snížit latenci. To je nezbytné pro tak důležité služby, jako je řízení bezpilotních vozidel, systém nouzového varování IMS a další, pro které je kritické zajistit minimální zpoždění, protože na něm závisí lidské životy. Díky připojení velkého množství IoT zařízení, která mají vzhledem ke svým malým rozměrům a nízké spotřebě energie velmi omezené výpočetní zdroje, se 5G sítě stávají zranitelnými vůči útokům zaměřeným na zachycení kontroly a následné manipulace s takovými zařízeními. Mohou například nastat scénáře, kdy jsou infikována zařízení IoT, která jsou součástí systému.chytrý dům“, typy malwaru jako např Ransomware a ransomware. Možné jsou i scénáře zachycovacího řízení bezpilotních vozidel, která přijímají příkazy a navigační informace prostřednictvím cloudu. Formálně je tato zranitelnost způsobena decentralizace sítí nové generace, ale další odstavec nastíní problém decentralizace jasněji.

Decentralizace a rozšíření hranic sítě

vícePeriferní zařízení, která plní roli jader lokální sítě, provádějí směrování uživatelského provozu, zpracovávají požadavky a také místní cachování a ukládání uživatelských dat. Hranice sítí 5. generace se tak rozšiřují kromě jádra i na periferii, včetně lokálních databází a rádiových rozhraní 5G-NR (5G New Radio). Vzniká tak možnost zaútočit na výpočetní zdroje lokálních zařízení, která jsou a priori méně chráněna než centrální uzly jádra sítě, s cílem způsobit odmítnutí služby. To může vést k odpojení přístupu k internetu pro celé oblasti, nesprávnému fungování IoT zařízení (například v systému chytré domácnosti) a také nedostupnosti pohotovostní služby IMS.

ETSI a 3GPP však nyní zveřejnily více než 10 standardů pokrývajících různé aspekty zabezpečení sítě 5G. Naprostá většina tam popsaných mechanismů je zaměřena na ochranu před zranitelnostmi (včetně těch popsaných výše). Jedním z hlavních je standard TS 23.501 verze 15.6.0, popisující bezpečnostní architekturu sítí 5. generace.

5G architektura

Nejprve se podívejme na klíčové principy architektury 5G sítě, které dále plně odhalí význam a oblasti odpovědnosti každého softwarového modulu a každé bezpečnostní funkce 5G.

• Rozdělení uzlů sítě na prvky, které zajišťují chod protokolů vlastní letadlo (z anglického UP - User Plane) a prvky, které zajišťují chod protokolů řídicí rovina (z anglického CP - Control Plane), což zvyšuje flexibilitu z hlediska škálování a nasazení sítě, tedy je možné centralizované nebo decentralizované umístění jednotlivých komponentních síťových uzlů.
• Podpora mechanismu krájení sítě, na základě služeb poskytovaných konkrétním skupinám koncových uživatelů.
• Implementace síťových prvků do formuláře funkce virtuální sítě.
• Podpora současného přístupu k centralizovaným a lokálním službám, tedy implementace cloudových konceptů (z angl. fog computing) a border (z angl. okrajové výpočty) výpočty.
• uskutečnění konvergentní architektura kombinující různé typy přístupových sítí - 3GPP 5G New Radio a non-3GPP (Wi-Fi atd.) - s jedním jádrem sítě.
• Podpora jednotných algoritmů a autentizačních procedur bez ohledu na typ přístupové sítě.
• Podpora pro bezstavové síťové funkce, ve kterých je vypočítaný prostředek oddělen od úložiště prostředků.
• Podpora roamingu se směrováním provozu jak přes domácí síť (z anglického home-routed roaming), tak s lokálním „přistáním“ (z angl. local breakout) v síti pro hosty.
• Interakce mezi funkcemi sítě je reprezentována dvěma způsoby: orientované na služby и rozhraní.

Koncepce zabezpečení sítě 5. generace zahrnuje:

• Ověření uživatele ze sítě.
• Ověření sítě uživatelem.
• Vyjednávání kryptografických klíčů mezi sítí a uživatelským zařízením.
• Šifrování a kontrola integrity signalizačního provozu.
• Šifrování a kontrola integrity uživatelského provozu.
• Ochrana ID uživatele.
• Ochrana rozhraní mezi různými prvky sítě v souladu s konceptem domény zabezpečení sítě.
• Izolace různých vrstev mechanismu krájení sítě a definování vlastních úrovní zabezpečení každé vrstvy.
• Autentizace uživatelů a ochrana provozu na úrovni koncových služeb (IMS, IoT a další).

Klíčové softwarové moduly a funkce zabezpečení sítě 5G

AMF (z anglického Access & Mobility Management Function - funkce řízení přístupu a mobility) - poskytuje:

• Organizace rozhraní řídicí roviny.
• Organizace ústředny signalizačního provozu RRC, šifrování a ochranu integrity svých dat.
• Organizace ústředny signalizačního provozu NAS, šifrování a ochranu integrity svých dat.
• Správa registrace uživatelského zařízení v síti a sledování případných registračních stavů.
• Správa připojení uživatelského zařízení k síti a sledování možných stavů.
• Řízení dostupnosti uživatelského zařízení v síti ve stavu CM-IDLE.
• Správa mobility uživatelského zařízení v síti ve stavu CM-CONNECTED.
• Přenos krátkých zpráv mezi uživatelským zařízením a SMF.
• Správa polohových služeb.
• Přidělení ID vlákna EPS pro interakci s EPS.

SMF (anglicky: Session Management Function - funkce správy relací) - poskytuje:

• Správa komunikačních relací, tedy vytváření, úprava a uvolňování relací, včetně udržování tunelu mezi přístupovou sítí a UPF.
• Distribuce a správa IP adres uživatelských zařízení.
• Výběr brány UPF k použití.
• Organizace interakce s PCF.
• Řízení prosazování zásad QoS.
• Dynamická konfigurace uživatelského zařízení pomocí protokolů DHCPv4 a DHCPv6.
• Sledování shromažďování tarifních dat a organizace interakce s fakturačním systémem.
• Bezproblémové poskytování služeb (z angl. SSC - Session and Service Continuity).
• Interakce se sítěmi hostů v rámci roamingu.

UPF (anglicky User Plane Function - funkce uživatelské roviny) - poskytuje:

• Interakce s externími datovými sítěmi včetně globálního internetu.
• Směrování uživatelských paketů.
• Označování paketů v souladu se zásadami QoS.
• Diagnostika uživatelských balíčků (například detekce aplikací na základě podpisu).
• Poskytování zpráv o využití provozu.
• UPF je také kotevním bodem pro podporu mobility v rámci různých technologií rádiového přístupu i mezi nimi.

UDM (anglicky Unified Data Management - jednotná databáze) - poskytuje:

• Správa dat profilu uživatele, včetně ukládání a úpravy seznamu služeb dostupných uživatelům a jejich odpovídajících parametrů.
• Управление SUPI
• Vygenerujte ověřovací údaje 3GPP AKA.
• Autorizace přístupu na základě dat profilu (například omezení roamingu).
• Správa registrace uživatelů, tedy ukládání obsluhujícího AMF.
• Podpora bezproblémových servisních a komunikačních relací, tj. ukládání SMF přiřazeného k aktuální komunikační relaci.
• Správa doručování SMS.
• Několik různých UDM může sloužit stejnému uživateli v různých transakcích.

UDR (anglicky Unified Data Repository - úložiště sjednocených dat) - poskytuje úložiště různých uživatelských dat a je de facto databází všech účastníků sítě.

UDSF (anglicky Unstructured Data Storage Function - funkce ukládání nestrukturovaných dat) - zajišťuje, že moduly AMF ukládají aktuální kontexty registrovaných uživatelů. Obecně lze tyto informace prezentovat jako data neurčité struktury. Uživatelské kontexty lze využít k zajištění bezproblémových a nepřerušovaných účastnických relací, a to jak během plánovaného vyřazení jednoho z AMF ze služby, tak v případě nouze. V obou případech záložní AMF „vyzvedne“ službu pomocí kontextů uložených v USDF.

Kombinace UDR a UDSF na stejné fyzické platformě je typickou implementací těchto síťových funkcí.

PCF (anglicky: Policy Control Function - policy control function) - vytváří a přiřazuje uživatelům určité zásady služeb, včetně parametrů QoS a pravidel účtování. Například pro přenos jednoho nebo druhého typu provozu lze dynamicky vytvářet virtuální kanály s různými charakteristikami. Současně mohou být zohledněny požadavky služby požadované účastníkem, úroveň přetížení sítě, množství spotřebovaného provozu atd.

NEF (anglicky Network Exposure Function - funkce síťového vystavení) - poskytuje:

• Organizace bezpečné interakce externích platforem a aplikací s jádrem sítě.
• Spravujte parametry QoS a pravidla účtování pro konkrétní uživatele.

SEAF (anglicky: Security Anchor Function) - společně s AUSF poskytuje autentizaci uživatelů při registraci v síti s jakoukoli přístupovou technologií.

AUSF (anglicky Authentication Server Function - funkce autentizačního serveru) - hraje roli autentizačního serveru, který přijímá a zpracovává požadavky od SEAF a přesměrovává je na ARPF.

ARPF (anglicky: Authentication Credential Repository and Processing Function - funkce ukládání a zpracování autentizačních pověření) - zajišťuje ukládání osobních tajných klíčů (KI) a parametrů kryptografických algoritmů, jakož i generování autentizačních vektorů v souladu s 5G-AKA popř. EAP-AKA. Je umístěn v datovém centru domácího telekomunikačního operátora, chráněn před vnějšími fyzickými vlivy a je zpravidla integrován s UDM.

SCMF (anglicky Security Context Management Function - funkce správy bezpečnostní kontext) – Poskytuje správu životního cyklu pro kontext zabezpečení 5G.

SPCF (anglicky Security Policy Control Function - funkce řízení bezpečnostní politiky) - zajišťuje koordinaci a aplikaci bezpečnostních politik ve vztahu ke konkrétním uživatelům. To zohledňuje možnosti sítě, možnosti uživatelského zařízení a požadavky konkrétní služby (například úrovně ochrany poskytované kritickou komunikační službou a službou bezdrátového širokopásmového přístupu k internetu se mohou lišit). Aplikace bezpečnostních politik zahrnuje: výběr AUSF, výběr autentizačního algoritmu, výběr šifrování dat a algoritmů kontroly integrity, určení délky a životního cyklu klíčů.

SIDF (English Subscription Identifier De-concealing Function - funkce extrakce identifikátoru uživatele) - zajišťuje extrakci trvalého identifikátoru předplatitele (anglicky SUPI) ze skrytého identifikátoru (anglicky SUCI), přijaté jako součást žádosti o autentizační postup „Požadavek na informace o ověření“.

Základní bezpečnostní požadavky na komunikační sítě 5G

víceOvěření uživatele: Obsluhující síť 5G musí ověřit SUPI uživatele v procesu 5G AKA mezi uživatelem a sítí.

Poskytování síťové autentizace: Uživatel musí ověřit ID obslužné sítě 5G, přičemž ověření dosáhne úspěšným použitím klíčů získaných postupem 5G AKA.

Autorizace uživatele: Obslužná síť musí uživatele autorizovat pomocí uživatelského profilu obdrženého ze sítě domácího telekomunikačního operátora.

Autorizace obslužné sítě sítí domovského operátora: Uživateli musí být poskytnuto potvrzení, že je připojen k síti služeb, která je k poskytování služeb autorizována sítí domácího operátora. Autorizace je implicitní v tom smyslu, že je zajištěna úspěšným dokončením postupu 5G AKA.

Autorizace přístupové sítě sítí domácího operátora: Uživateli musí být poskytnuto potvrzení, že je připojen k přístupové síti, která je autorizována sítí domovského operátora k poskytování služeb. Autorizace je implicitní v tom smyslu, že je vynucována úspěšným vytvořením zabezpečení přístupové sítě. Tento typ autorizace musí být použit pro jakýkoli typ přístupové sítě.

Neověřené pohotovostní služby: Aby byly splněny regulační požadavky v některých regionech, musí sítě 5G poskytovat tísňovým službám neověřený přístup.

Jádro sítě a rádiová přístupová síť: Jádro sítě 5G a síť rádiového přístupu 5G musí podporovat použití 128bitového šifrování a algoritmů integrity, aby byla zajištěna bezpečnost AS и NAS. Síťová rozhraní musí podporovat 256bitové šifrovací klíče.

Základní bezpečnostní požadavky na uživatelské zařízení

více

• Uživatelské zařízení musí podporovat šifrování, ochranu integrity a ochranu proti útokům opakovaného přehrávání uživatelských dat přenášených mezi ním a sítí s rádiovým přístupem.
• Uživatelské zařízení musí aktivovat šifrování a mechanismy ochrany integrity dat podle pokynů sítě s rádiovým přístupem.
• Uživatelské vybavení musí podporovat šifrování, ochranu integrity a ochranu před útoky opakovaného přehrávání pro signalizační provoz RRC a NAS.
• Uživatelské vybavení musí podporovat následující kryptografické algoritmy: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Uživatelské vybavení může podporovat následující kryptografické algoritmy: 128-NEA3, 128-NIA3.
• Uživatelské zařízení musí podporovat následující kryptografické algoritmy: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, pokud podporuje připojení k rádiové přístupové síti E-UTRA.
• Ochrana důvěrnosti uživatelských dat přenášených mezi uživatelským zařízením a rádiovou přístupovou sítí je volitelná, ale musí být zajištěna vždy, když to povoluje předpis.
• Ochrana soukromí pro signalizační provoz RRC a NAS je volitelná.
• Trvalý klíč uživatele musí být chráněn a uložen v dobře zabezpečených součástech uživatelského zařízení.
• Stálý identifikátor předplatitele by neměl být přenášen jako prostý text přes rádiovou přístupovou síť kromě informací nezbytných pro správné směrování (např. MCC и MNC).
• Veřejný klíč sítě domácího operátora, identifikátor klíče, identifikátor bezpečnostního schématu a směrovací identifikátor musí být uloženy v USIM.

Každý šifrovací algoritmus je spojen s binárním číslem:

• "0000": NEA0 - Nullový šifrovací algoritmus
• "0001": 128-NEA1 - 128-bit SNÍH Algoritmus založený na 3G
• "0010" 128-NEA2 - 128-bit AES založený algoritmus
• "0011" 128-NEA3 - 128-bit ZUC založený algoritmus

Šifrování dat pomocí 128-NEA1 a 128-NEA2

PS Obvod je zapůjčen z TS 133.501

Generování simulovaných vložek pomocí algoritmů 128-NIA1 a 128-NIA2 pro zajištění integrity

PS Obvod je zapůjčen z TS 133.501

Základní bezpečnostní požadavky pro funkce sítě 5G

více

• AMF musí podporovat primární ověřování pomocí SUCI.
• SEAF musí podporovat primární ověřování pomocí SUCI.
• UDM a ARPF musí uchovávat trvalý klíč uživatele a zajistit, aby byl chráněn před krádeží.
• AUSF poskytne SUPI místní obslužné síti pouze po úspěšné počáteční autentizaci pomocí SUCI.
• NEF nesmí předávat skryté informace o základní síti mimo doménu zabezpečení operátora.

Základní bezpečnostní postupy

Důvěřovat doménám

V sítích 5. generace důvěra v síťové prvky klesá, jak se prvky vzdalují od jádra sítě. Tento koncept ovlivňuje rozhodnutí implementovaná v bezpečnostní architektuře 5G. Můžeme tedy mluvit o důvěryhodném modelu sítí 5G, který určuje chování mechanismů zabezpečení sítě.

Na straně uživatele je důvěryhodná doména tvořena UICC a USIM.

Na straně sítě má důvěryhodná doména složitější strukturu.

Rádiová přístupová síť je rozdělena na dvě složky − DU (z anglického Distributed Units - distribuované síťové jednotky) a CU (z anglického Central Units - centrální jednotky sítě). Společně tvoří gNB — rádiové rozhraní základnové stanice sítě 5G. Následní uživatelé nemají přímý přístup k uživatelským datům, protože je lze nasadit na nechráněné segmenty infrastruktury. CU musí být nasazeny v chráněných segmentech sítě, protože jsou zodpovědné za ukončení provozu z bezpečnostních mechanismů AS. V jádru sítě se nachází AMF, který ukončí provoz z bezpečnostních mechanismů NAS. Současná specifikace 3GPP 5G Phase 1 popisuje kombinaci AMF s bezpečnostní funkcí SEAF, obsahující kořenový klíč (také známý jako "kotevní klíč") navštívené (obsluhující) sítě. AUSF je zodpovědný za uložení klíče získaného po úspěšné autentizaci. Je nezbytné pro opětovné použití v případech, kdy je uživatel současně připojen k několika sítím rádiového přístupu. ARPF ukládá přihlašovací údaje uživatele a je analogem USIM pro předplatitele. UDR и UDM ukládat informace o uživateli, které se používají k určení logiky pro generování přihlašovacích údajů, ID uživatelů, zajištění kontinuity relace atd.

Hierarchie klíčů a jejich distribuční schémata

V sítích 5. generace, na rozdíl od sítí 4G-LTE, má autentizační procedura dvě složky: primární a sekundární autentizaci. Primární ověření je vyžadováno pro všechna uživatelská zařízení připojující se k síti. Sekundární autentizaci lze provést na vyžádání z externích sítí, pokud se k nim účastník připojí.

Po úspěšném dokončení primární autentizace a vytvoření sdíleného klíče K mezi uživatelem a sítí je KSEAF extrahován z klíče K - speciálního kotevního (kořenového) klíče obsluhující sítě. Následně jsou z tohoto klíče generovány klíče, aby byla zajištěna důvěrnost a integrita signálních provozních dat RRC a NAS.

Schéma s vysvětlivkami
Zápis:
CK Šifrovací klíč
IK (anglicky: Integrity Key) – klíč používaný v mechanismech ochrany integrity dat.
CK' (angl. Cipher Key) - další kryptografický klíč vytvořený z CK pro mechanismus EAP-AKA.
IK' (English Integrity Key) – další klíč používaný v mechanismech ochrany integrity dat pro EAP-AKA.
KAUSF - generované funkcí ARPF a uživatelským zařízením z CK и IK během 5G AKA a EAP-AKA.
KSEAF - kotevní klíč získaný funkcí AUSF z klíče KAMFAUSF.
KAMF — klíč získaný funkcí SEAF z klíče KSEAF.
KNASint, KNASenc — klíče získané funkcí AMF z klíče KAMF k ochraně signalizačního provozu NAS.
KRRCint, KRRCenc — klíče získané funkcí AMF z klíče KAMF k ochraně RRC signalizačního provozu.
KUPint, KUPenc — klíče získané funkcí AMF z klíče KAMF k ochraně signalizačního provozu AS.
NH — meziklíč získaný funkcí AMF z klíče KAMF pro zajištění bezpečnosti dat při předávání.
KgNB — klíč získaný funkcí AMF z klíče KAMF k zajištění bezpečnosti pohyblivých mechanismů.

Schémata pro generování SUCI ze SUPI a naopak

Schémata pro získání SUPI a SUCI

Výroba SUCI od SUPI a SUPI od SUCI:

Ověřování

Primární autentizace

V sítích 5G jsou standardní primární ověřovací mechanismy EAP-AKA a 5G AKA. Rozdělme primární autentizační mechanismus do dvou fází: první je zodpovědná za zahájení autentizace a výběr autentizační metody, druhá je zodpovědná za vzájemnou autentizaci mezi uživatelem a sítí.

Zahájení

Uživatel odešle do SEAF žádost o registraci, která obsahuje skryté ID předplatného uživatele SUCI.

SEAF odešle do AUSF zprávu s požadavkem na ověření (Nausf_UEAuthentication_Authenticate Request) obsahující SNN (Serving Network Name) a SUPI nebo SUCI.

AUSF zkontroluje, zda má žadatel o ověření SEAF povoleno používat dané SNN. Pokud obsluhující síť není oprávněna používat toto SNN, AUSF odpoví chybovou zprávou o autorizaci „Poskytující síť není autorizována“ (Nausf_UEAuthentication_Authenticate Response).

Ověřovací údaje požaduje AUSF pro UDM, ARPF nebo SIDF prostřednictvím SUPI nebo SUCI a SNN.

Na základě SUPI nebo SUCI a informací o uživateli vybere UDM/ARPF metodu ověřování, která se má použít jako další, a vydá přihlašovací údaje uživatele.

Vzájemná autentizace

Při použití jakékoli autentizační metody musí síťové funkce UDM/ARPF generovat autentizační vektor (AV).

EAP-AKA: UDM/ARPF nejprve vygeneruje autentizační vektor s oddělujícím bitem AMF = 1, poté vygeneruje CK' и IK' z CK, IK a SNN a představuje nový AV autentizační vektor (RAND, AUTN, XRES*, CK', IK'), který je odeslán do AUSF s pokyny k použití pouze pro EAP-AKA.

5G AKA: UDM/ARPF získá klíč KAUSF z CK, IK a SNN, načež generuje 5G HE AV. Vektor pro ověřování domácího prostředí 5G). 5G HE AV autentizační vektor (RAND, AUTN, XRES, KAUSF) je odeslána do AUSF s pokyny k použití pouze pro 5G AKA.

Po tomto AUSF je získán kotevní klíč KSEAF z klíče KAUSF a odešle požadavek SEAF „Challenge“ ve zprávě „Nausf_UEAuthentication_Authenticate Response“, která také obsahuje RAND, AUTN a RES*. Dále jsou RAND a AUTN přenášeny do uživatelského zařízení pomocí zabezpečené signalizační zprávy NAS. USIM uživatele vypočítá RES* z přijatých RAND a AUTN a odešle je do SEAF. SEAF předá tuto hodnotu AUSF k ověření.

AUSF porovnává XRES* v něm uložené a RES* přijaté od uživatele. Pokud existuje shoda, AUSF a UDM v domovské síti operátora jsou informovány o úspěšné autentizaci a uživatel a SEAF nezávisle vygenerují klíč KAMF z KSEAF a SUPI pro další komunikaci.

Sekundární autentizace

Standard 5G podporuje volitelnou sekundární autentizaci založenou na EAP-AKA mezi uživatelským zařízením a externí datovou sítí. V tomto případě SMF hraje roli EAP autentizátora a spoléhá na práci AAA-externí síťový server, který ověřuje a autorizuje uživatele.

• Probíhá povinná počáteční autentizace uživatele v domácí síti a s AMF je vyvinut společný bezpečnostní kontext NAS.
• Uživatel odešle AMF požadavek na vytvoření relace.
• AMF odešle požadavek na vytvoření relace do SMF s uvedením SUPI uživatele.
• SMF ověřuje přihlašovací údaje uživatele v UDM pomocí poskytnutého SUPI.
• SMF odešle odpověď na požadavek z AMF.
• SMF zahájí proceduru ověřování EAP, aby získal oprávnění k vytvoření relace ze serveru AAA v externí síti. K tomu si SMF a uživatel vyměňují zprávy, aby zahájili proceduru.
• Uživatel a externí síťový AAA server si pak vyměňují zprávy za účelem ověření a autorizace uživatele. V tomto případě uživatel posílá zprávy do SMF, který si vyměňuje zprávy s externí sítí přes UPF.

Závěr

Přestože je bezpečnostní architektura 5G založena na opětovném použití stávajících technologií, přináší zcela nové výzvy. Obrovské množství zařízení IoT, rozšířené hranice sítě a prvky decentralizované architektury jsou jen některé z klíčových principů standardu 5G, které dávají průchod fantazii kyberzločinců.

Základním standardem pro architekturu zabezpečení 5G je TS 23.501 verze 15.6.0 — obsahuje klíčové body fungování bezpečnostních mechanismů a postupů. Zejména popisuje roli každého VNF při zajišťování ochrany uživatelských dat a síťových uzlů, při generování šifrovacích klíčů a při implementaci autentizační procedury. Ani tato norma však neposkytuje odpovědi na naléhavé bezpečnostní problémy, se kterými se telekomunikační operátoři potýkají tím častěji, čím intenzivněji se vyvíjejí a uvádějí do provozu sítě nové generace.

V tomto ohledu bych rád věřil, že potíže s provozováním a ochranou sítí 5. generace se nijak nedotknou běžných uživatelů, kterým jsou slíbeny přenosové rychlosti a odezvy jako u syna maminčiny kamarádky a už teď touží vyzkoušet všechny deklarované schopnosti sítí nové generace.

Užitečné odkazy

Řada specifikace 3GPP
Architektura zabezpečení 5G
Architektura systému 5G
5G Wiki
Poznámky k architektuře 5G
Přehled zabezpečení 5G

Zdroj: www.habr.com