ProHoster > blog > Gweinyddiaeth > Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Yn amlwg, mae ymgymryd â datblygu safon gyfathrebu newydd heb feddwl am fecanweithiau diogelwch yn ymdrech hynod amheus ac ofer.

Pensaernïaeth Ddiogelwch 5G — set o fecanweithiau a gweithdrefnau diogelwch a weithredir yn Rhwydweithiau cenhedlaeth 5ed ac yn cwmpasu holl gydrannau'r rhwydwaith, o'r craidd i'r rhyngwynebau radio.

Mae rhwydweithiau 5ed cenhedlaeth, yn eu hanfod, yn esblygiad Rhwydweithiau LTE 4ydd cenhedlaeth. Mae technolegau mynediad radio wedi cael y newidiadau mwyaf arwyddocaol. Ar gyfer rhwydweithiau cenhedlaeth 5ed, un newydd llygod mawr (Technoleg Mynediad Radio) - Radio Newydd 5G. O ran craidd y rhwydwaith, nid yw wedi mynd trwy newidiadau mor sylweddol. Yn hyn o beth, mae pensaernïaeth diogelwch rhwydweithiau 5G wedi'i ddatblygu gyda phwyslais ar ailddefnyddio technolegau perthnasol a fabwysiadwyd yn y safon 4G LTE.

Fodd bynnag, mae'n werth nodi bod ailfeddwl am fygythiadau hysbys megis ymosodiadau ar ryngwynebau aer a'r haen signalau (signalau awyren), ymosodiadau DDOS, ymosodiadau Man-In-The-Middle, ac ati, wedi ysgogi gweithredwyr telathrebu i ddatblygu safonau newydd ac integreiddio mecanweithiau diogelwch cwbl newydd i rwydweithiau 5ed cenhedlaeth.

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Предпосылки

Yn 2015, lluniodd yr Undeb Telathrebu Rhyngwladol y cynllun byd-eang cyntaf o'i fath ar gyfer datblygu rhwydweithiau pumed cenhedlaeth, a dyna pam mae'r mater o ddatblygu mecanweithiau a gweithdrefnau diogelwch mewn rhwydweithiau 5G wedi dod yn arbennig o ddifrifol.

Roedd y dechnoleg newydd yn cynnig cyflymderau trosglwyddo data gwirioneddol drawiadol (mwy nag 1 Gbps), cuddni o lai nag 1 ms a'r gallu i gysylltu tua 1 miliwn o ddyfeisiau ar yr un pryd o fewn radiws o 1 km2. Mae'r gofynion uchaf o'r fath ar gyfer rhwydweithiau cenhedlaeth 5ed hefyd yn cael eu hadlewyrchu yn egwyddorion eu sefydliad.

Y prif un oedd datganoli, a oedd yn awgrymu lleoli llawer o gronfeydd data lleol a'u canolfannau prosesu ar gyrion y rhwydwaith. Roedd hyn yn ei gwneud hi'n bosibl lleihau oedi pan M2M-cyfathrebu a lleddfu craidd y rhwydwaith oherwydd gwasanaethu nifer enfawr o ddyfeisiau IoT. Felly, ehangodd ymyl rhwydweithiau cenhedlaeth nesaf yr holl ffordd i orsafoedd sylfaen, gan ganiatáu creu canolfannau cyfathrebu lleol a darparu gwasanaethau cwmwl heb y risg o oedi critigol neu wrthod gwasanaeth. Yn naturiol, roedd y dull newydd o rwydweithio a gwasanaeth cwsmeriaid o ddiddordeb i ymosodwyr, oherwydd ei fod wedi agor cyfleoedd newydd iddynt ymosod ar wybodaeth gyfrinachol defnyddwyr a'r cydrannau rhwydwaith eu hunain er mwyn achosi gwrthod gwasanaeth neu atafaelu adnoddau cyfrifiadurol y gweithredwr.

Prif wendidau rhwydweithiau 5ed cenhedlaeth

Arwyneb ymosodiad mawr

MwyWrth adeiladu rhwydweithiau telathrebu o'r 3ydd a'r 4edd genhedlaeth, roedd gweithredwyr telathrebu fel arfer yn gyfyngedig i weithio gydag un neu nifer o werthwyr a oedd yn cyflenwi set o galedwedd a meddalwedd ar unwaith. Hynny yw, gallai popeth weithio, fel y dywedant, "allan o'r bocs" - roedd yn ddigon i osod a ffurfweddu'r offer a brynwyd gan y gwerthwr; nid oedd angen amnewid nac ychwanegu at feddalwedd perchnogol. Mae tueddiadau modern yn groes i'r dull “clasurol” hwn ac wedi'u hanelu at rithwiroli rhwydweithiau, ymagwedd aml-werthwr at eu hadeiladwaith ac amrywiaeth meddalwedd. Technolegau fel SDN (Rhwydwaith Diffiniedig Meddalwedd Saesneg) a NFV (Rhithwiroli Swyddogaethau Rhwydwaith Saesneg), sy'n arwain at gynnwys llawer iawn o feddalwedd a adeiladwyd ar sail codau ffynhonnell agored yn y prosesau a'r swyddogaethau o reoli rhwydweithiau cyfathrebu. Mae hyn yn rhoi cyfle i ymosodwyr astudio rhwydwaith y gweithredwr yn well a nodi nifer fwy o wendidau, sydd, yn ei dro, yn cynyddu arwyneb ymosod rhwydweithiau cenhedlaeth newydd o'i gymharu â'r rhai cyfredol.

Nifer fawr o ddyfeisiau IoT

MwyErbyn 2021, bydd tua 57% o ddyfeisiau sy'n gysylltiedig â rhwydweithiau 5G yn ddyfeisiau IoT. Mae hyn yn golygu y bydd gan y mwyafrif o westeion alluoedd cryptograffig cyfyngedig (gweler pwynt 2) ac, yn unol â hynny, byddant yn agored i ymosodiadau. Bydd nifer enfawr o ddyfeisiau o'r fath yn cynyddu'r risg o ymlediad botnet ac yn ei gwneud hi'n bosibl cynnal ymosodiadau DDoS hyd yn oed yn fwy pwerus a gwasgaredig.

Galluoedd cryptograffig cyfyngedig dyfeisiau IoT

MwyFel y crybwyllwyd eisoes, mae rhwydweithiau cenhedlaeth 5ed yn defnyddio dyfeisiau ymylol yn weithredol, sy'n ei gwneud hi'n bosibl tynnu rhan o'r llwyth o graidd y rhwydwaith a thrwy hynny leihau hwyrni. Mae hyn yn angenrheidiol ar gyfer gwasanaethau mor bwysig fel rheoli cerbydau di-griw, system rhybuddio brys IMS ac eraill, y mae sicrhau cyn lleied o oedi â phosibl yn hollbwysig, oherwydd bod bywydau dynol yn dibynnu arno. Oherwydd cysylltiad nifer fawr o ddyfeisiau IoT, sydd, oherwydd eu maint bach a'u defnydd pŵer isel, ag adnoddau cyfrifiadurol cyfyngedig iawn, mae rhwydweithiau 5G yn dod yn agored i ymosodiadau gyda'r nod o atal rheolaeth a thrin dyfeisiau o'r fath wedi hynny. Er enghraifft, efallai y bydd senarios lle mae dyfeisiau IoT sy'n rhan o'r system wedi'u heintio "Tŷ craff", mathau o ddrwgwedd fel Ransomware a ransomware. Mae senarios o reoli rhyng-gipio cerbydau di-griw sy'n derbyn gorchmynion a gwybodaeth llywio trwy'r cwmwl hefyd yn bosibl. Yn ffurfiol, mae'r bregusrwydd hwn oherwydd datganoli rhwydweithiau cenhedlaeth newydd, ond bydd y paragraff nesaf yn amlinellu'r broblem o ddatganoli yn gliriach.

Datganoli ac ehangu ffiniau rhwydwaith

MwyMae dyfeisiau ymylol, sy'n chwarae rôl creiddiau rhwydwaith lleol, yn llwybro traffig defnyddwyr, yn prosesu ceisiadau, yn ogystal â storio a storio data defnyddwyr yn lleol. Felly, mae ffiniau rhwydweithiau 5ed cenhedlaeth yn ehangu, yn ychwanegol at y craidd, i'r cyrion, gan gynnwys cronfeydd data lleol a rhyngwynebau radio 5G-NR (5G New Radio). Mae hyn yn creu'r cyfle i ymosod ar adnoddau cyfrifiadurol dyfeisiau lleol, sy'n flaenoriaeth a ddiogelir yn wannach na nodau canolog craidd y rhwydwaith, gyda'r nod o achosi gwrthod gwasanaeth. Gall hyn arwain at ddatgysylltu mynediad i'r Rhyngrwyd ar gyfer ardaloedd cyfan, gweithrediad anghywir dyfeisiau IoT (er enghraifft, mewn system cartref clyfar), yn ogystal â diffyg gwasanaeth rhybuddio brys IMS.

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Fodd bynnag, mae ETSI a 3GPP bellach wedi cyhoeddi mwy na 10 safon sy'n cwmpasu gwahanol agweddau ar ddiogelwch rhwydwaith 5G. Mae mwyafrif helaeth y mecanweithiau a ddisgrifir yno wedi'u hanelu at amddiffyn rhag gwendidau (gan gynnwys y rhai a ddisgrifir uchod). Un o'r prif rai yw'r safon TS 23.501 fersiwn 15.6.0, yn disgrifio pensaernïaeth diogelwch rhwydweithiau 5ed cenhedlaeth.

pensaernïaeth 5G

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu
Yn gyntaf, gadewch i ni droi at egwyddorion allweddol pensaernïaeth rhwydwaith 5G, a fydd yn datgelu'n llawn ymhellach ystyr a meysydd cyfrifoldeb pob modiwl meddalwedd a phob swyddogaeth diogelwch 5G.

  • Rhannu nodau rhwydwaith yn elfennau sy'n sicrhau gweithrediad protocolau awyren arferiad (o'r Saesneg UP - User Plane) ac elfennau sy'n sicrhau gweithrediad protocolau awyren reoli (o CP Lloegr - Control Plane), sy’n cynyddu hyblygrwydd o ran graddio a defnyddio’r rhwydwaith, h.y. mae’n bosibl lleoli nodau rhwydwaith cydrannau unigol yn ganolog neu’n ddatganoledig.
  • Cymorth mecanwaith sleisio rhwydwaith, yn seiliedig ar y gwasanaethau a ddarperir i grwpiau penodol o ddefnyddwyr terfynol.
  • Gweithredu elfennau rhwydwaith yn y ffurf swyddogaethau rhwydwaith rhithwir.
  • Cefnogaeth ar gyfer mynediad ar yr un pryd i wasanaethau canolog a lleol, h.y. gweithredu cysyniadau cwmwl (o’r Saesneg. cyfrifiadura niwl) a border (o'r Saesneg. cyfrifiaduro ymylol) cyfrifiadau.
  • Gweithredu cydgyfeiriol pensaernïaeth sy'n cyfuno gwahanol fathau o rwydweithiau mynediad - 3GPP 5G Radio Newydd a heb fod yn 3GPP (Wi-Fi, ac ati) - gyda chraidd rhwydwaith sengl.
  • Cefnogi algorithmau unffurf a gweithdrefnau dilysu, waeth beth fo'r math o rwydwaith mynediad.
  • Cefnogaeth i swyddogaethau rhwydwaith di-wladwriaeth, lle mae'r adnodd cyfrifiadurol wedi'i wahanu oddi wrth y storfa adnoddau.
  • Cefnogaeth ar gyfer crwydro gyda llwybrau traffig trwy'r rhwydwaith cartref (o'r crwydro cartref Saesneg) a gyda “glanio” lleol (o'r grŵp lleol yn Lloegr) yn y rhwydwaith gwesteion.
  • Cynrychiolir y rhyngweithio rhwng swyddogaethau rhwydwaith mewn dwy ffordd: gwasanaeth-ganolog и rhyngwyneb.

Mae'r cysyniad diogelwch rhwydwaith cenhedlaeth 5ed yn cynnwys:

  • Dilysu defnyddiwr o'r rhwydwaith.
  • Dilysu rhwydwaith gan y defnyddiwr.
  • Negodi allweddi cryptograffig rhwng y rhwydwaith ac offer defnyddwyr.
  • Rheoli amgryptio a chywirdeb traffig signalau.
  • Amgryptio a rheoli cyfanrwydd traffig defnyddwyr.
  • Diogelu ID Defnyddiwr.
  • Diogelu rhyngwynebau rhwng gwahanol elfennau rhwydwaith yn unol â'r cysyniad o barth diogelwch rhwydwaith.
  • Ynysu gwahanol haenau o'r mecanwaith sleisio rhwydwaith a diffinio lefelau diogelwch pob haen ei hun.
  • Dilysu defnyddwyr a diogelu traffig ar lefel gwasanaethau terfynol (IMS, IoT ac eraill).

Modiwlau meddalwedd allweddol a nodweddion diogelwch rhwydwaith 5G

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu AMF (o Swyddogaeth Rheoli Mynediad a Symudedd Lloegr - swyddogaeth rheoli mynediad a symudedd) - yn darparu:

  • Trefniadaeth rhyngwynebau awyren reoli.
  • Trefniadaeth cyfnewid traffig signalau RRC, amgryptio a diogelu cywirdeb ei ddata.
  • Trefniadaeth cyfnewid traffig signalau NAS, amgryptio a diogelu cywirdeb ei ddata.
  • Rheoli cofrestru offer defnyddwyr ar y rhwydwaith a monitro cyflyrau cofrestru posibl.
  • Rheoli cysylltiad offer defnyddwyr â'r rhwydwaith a monitro cyflyrau posibl.
  • Rheoli argaeledd offer defnyddwyr ar y rhwydwaith yn y cyflwr CM-IDLE.
  • Rheoli symudedd offer defnyddwyr yn y rhwydwaith yn y cyflwr CM-CONNECTED.
  • Trosglwyddo negeseuon byr rhwng offer defnyddwyr a SMF.
  • Rheoli gwasanaethau lleoliad.
  • Dyraniad ID Thread EPS rhyngweithio ag EPS.

SMF (Saesneg: Session Management Function - sesiwn rheoli swyddogaeth) - yn darparu:

  • Rheoli sesiynau cyfathrebu, h.y. creu, addasu a rhyddhau sesiynau, gan gynnwys cynnal twnnel rhwng y rhwydwaith mynediad a’r UPF.
  • Dosbarthu a rheoli cyfeiriadau IP offer defnyddwyr.
  • Dewis y porth UPF i'w ddefnyddio.
  • Trefniadaeth rhyngweithio gyda PCF.
  • Rheoli gorfodi polisi QoS.
  • Cyfluniad deinamig o offer defnyddwyr gan ddefnyddio'r protocolau DHCPv4 a DHCPv6.
  • Monitro casglu data tariff a threfnu rhyngweithio â'r system filio.
  • Darpariaeth ddi-dor o wasanaethau (o'r Saesneg. SSC - Sesiwn a Pharhad Gwasanaeth).
  • Rhyngweithio â rhwydweithiau gwesteion o fewn crwydro.

UPF (Swyddogaeth Plane Defnyddiwr Saesneg - swyddogaeth awyren defnyddiwr) - yn darparu:

  • Rhyngweithio â rhwydweithiau data allanol, gan gynnwys y Rhyngrwyd byd-eang.
  • Llwybro pecynnau defnyddwyr.
  • Marcio pecynnau yn unol â pholisïau QoS.
  • Diagnosteg pecyn defnyddiwr (er enghraifft, canfod cymwysiadau ar sail llofnod).
  • Darparu adroddiadau ar ddefnydd traffig.
  • Mae UPF hefyd yn bwynt angori ar gyfer cefnogi symudedd o fewn a rhwng gwahanol dechnolegau mynediad radio.

UDM (English Unified Data Management - cronfa ddata unedig) - yn darparu:

  • Rheoli data proffil defnyddwyr, gan gynnwys storio ac addasu'r rhestr o wasanaethau sydd ar gael i ddefnyddwyr a'u paramedrau cyfatebol.
  • Rheoli SUPI
  • Cynhyrchu tystlythyrau dilysu 3GPP AKA.
  • Awdurdodiad mynediad yn seiliedig ar ddata proffil (er enghraifft, cyfyngiadau crwydro).
  • Rheoli cofrestru defnyddwyr, h.y. storio AMF gweini.
  • Cefnogaeth ar gyfer sesiynau gwasanaeth a chyfathrebu di-dor, h.y. storio'r SMF a neilltuwyd i'r sesiwn gyfathrebu gyfredol.
  • Rheoli cyflwyno SMS.
  • Gall sawl UDM gwahanol wasanaethu'r un defnyddiwr ar draws gwahanol drafodion.

UDR (English Unified Data Repository - storio data unedig) - yn darparu storfa o ddata defnyddwyr amrywiol ac, mewn gwirionedd, mae'n gronfa ddata o holl danysgrifwyr rhwydwaith.

UDSF (Swyddogaeth Storio Data Anstrwythuredig Saesneg - swyddogaeth storio data anstrwythuredig) - yn sicrhau bod modiwlau AMF yn arbed cyd-destunau cyfredol defnyddwyr cofrestredig. Yn gyffredinol, gellir cyflwyno'r wybodaeth hon fel data o strwythur amhenodol. Gellir defnyddio cyd-destunau defnyddwyr i sicrhau sesiynau di-dor a di-dor i danysgrifwyr, yn ystod y bwriad i dynnu un o’r AMFs o’r gwasanaeth, ac mewn argyfwng. Yn y ddau achos, bydd yr AMF wrth gefn yn “codi” y gwasanaeth gan ddefnyddio cyd-destunau sydd wedi'u storio yn USDF.

Mae cyfuno UDR ac UDSF ar yr un llwyfan ffisegol yn weithrediad nodweddiadol o'r swyddogaethau rhwydwaith hyn.

PCF (Saesneg: Policy Control Function - swyddogaeth rheoli polisi) - yn creu ac yn aseinio rhai polisïau gwasanaeth i ddefnyddwyr, gan gynnwys paramedrau QoS a rheolau codi tâl. Er enghraifft, i drosglwyddo un neu fath arall o draffig, gellir creu sianeli rhithwir â nodweddion gwahanol yn ddeinamig. Ar yr un pryd, gellir ystyried gofynion y gwasanaeth y mae'r tanysgrifiwr yn gofyn amdano, lefel y tagfeydd rhwydwaith, faint o draffig a ddefnyddir, ac ati.

NEF (Swyddogaeth Datguddio Rhwydwaith Saesneg - swyddogaeth datguddiad rhwydwaith) - yn darparu:

  • Trefnu rhyngweithio diogel rhwng llwyfannau a chymwysiadau allanol â chraidd y rhwydwaith.
  • Rheoli paramedrau QoS a rheolau codi tâl ar gyfer defnyddwyr penodol.

SEAF (Swyddogaeth Angor Diogelwch Saesneg - swyddogaeth diogelwch angor) - ynghyd ag AUSF, yn darparu dilysu defnyddwyr pan fyddant yn cofrestru ar y rhwydwaith gydag unrhyw dechnoleg mynediad.

AUSF (Swyddogaeth Gweinydd Dilysu Saesneg - swyddogaeth gweinydd dilysu) - yn chwarae rôl gweinydd dilysu sy'n derbyn ac yn prosesu ceisiadau gan SEAF ac yn eu hailgyfeirio i ARPF.

ARPF (Saesneg: Swyddogaeth Cadwrfa a Phrosesu Cymhwysedd Dilysu - swyddogaeth storio a phrosesu tystlythyrau dilysu) - yn darparu storio allweddi cyfrinachol personol (KI) a pharamedrau algorithmau cryptograffig, yn ogystal â chynhyrchu fectorau dilysu yn unol â 5G-AKA neu EAP-AKA. Mae wedi'i leoli yng nghanolfan ddata'r gweithredwr telathrebu cartref, wedi'i ddiogelu rhag dylanwadau corfforol allanol, ac, fel rheol, wedi'i integreiddio ag UDM.

SCMF (Swyddogaeth Rheoli Cyd-destun Diogelwch Saesneg - swyddogaeth reoli cyd-destun diogelwch) - Yn darparu rheolaeth cylch bywyd ar gyfer y cyd-destun diogelwch 5G.

SPCF (Swyddogaeth Rheoli Polisi Diogelwch Saesneg - swyddogaeth rheoli polisi diogelwch) - yn sicrhau cydgysylltu a chymhwyso polisïau diogelwch mewn perthynas â defnyddwyr penodol. Mae hyn yn cymryd i ystyriaeth alluoedd y rhwydwaith, galluoedd y defnyddiwr offer a gofynion y gwasanaeth penodol (er enghraifft, gall y lefelau o amddiffyniad a ddarperir gan y gwasanaeth cyfathrebu hanfodol a'r gwasanaeth mynediad rhyngrwyd band eang di-wifr fod yn wahanol). Mae cymhwyso polisïau diogelwch yn cynnwys: dewis AUSF, dewis algorithm dilysu, dewis algorithmau amgryptio data a rheoli cywirdeb, pennu hyd a chylch bywyd allweddi.

SIDF (Swyddogaeth Dad-guddio Dynodwr Tanysgrifiad Saesneg - swyddogaeth echdynnu dynodwr defnyddiwr) - yn sicrhau echdynnu dynodwr tanysgrifiad parhaol tanysgrifiwr (SUPI Saesneg) o ddynodwr cudd (Saesneg SUCI), a dderbyniwyd fel rhan o'r cais gweithdrefn ddilysu “Auth Info Req”.

Gofynion diogelwch sylfaenol ar gyfer rhwydweithiau cyfathrebu 5G

MwyDilysu defnyddiwr: Rhaid i'r rhwydwaith 5G sy'n gwasanaethu ddilysu SUPI y defnyddiwr yn y broses AKA 5G rhwng y defnyddiwr a'r rhwydwaith.

Gwasanaeth Dilysu Rhwydwaith: Rhaid i'r defnyddiwr ddilysu'r ID rhwydwaith gwasanaethu 5G, gyda dilysiad yn cael ei gyflawni trwy ddefnyddio allweddi'n llwyddiannus a gafwyd trwy'r weithdrefn 5G AKA.

Awdurdodiad defnyddiwr: Rhaid i'r rhwydwaith gwasanaethu awdurdodi'r defnyddiwr i ddefnyddio'r proffil defnyddiwr a dderbyniwyd o rwydwaith y gweithredwr telathrebu cartref.

Awdurdodi'r rhwydwaith gwasanaethu gan y rhwydwaith gweithredwr cartref: Rhaid i'r defnyddiwr gael cadarnhad ei fod wedi'i gysylltu â rhwydwaith gwasanaeth sydd wedi'i awdurdodi gan y rhwydwaith gweithredwr cartref i ddarparu gwasanaethau. Mae awdurdodiad ymhlyg yn yr ystyr ei fod yn cael ei sicrhau trwy gwblhau gweithdrefn 5G AKA yn llwyddiannus.

Awdurdodi'r rhwydwaith mynediad gan y rhwydwaith gweithredwr cartref: Rhaid i'r defnyddiwr gael cadarnhad ei fod wedi'i gysylltu â rhwydwaith mynediad sydd wedi'i awdurdodi gan y rhwydwaith gweithredwr cartref i ddarparu gwasanaethau. Mae awdurdodiad ymhlyg yn yr ystyr ei fod yn cael ei orfodi trwy sefydlu diogelwch y rhwydwaith mynediad yn llwyddiannus. Rhaid defnyddio'r math hwn o awdurdodiad ar gyfer unrhyw fath o rwydwaith mynediad.

Gwasanaethau brys heb eu dilysu: Er mwyn bodloni gofynion rheoliadol mewn rhai rhanbarthau, rhaid i rwydweithiau 5G ddarparu mynediad heb ei ddilysu i wasanaethau brys.

Rhwydwaith craidd a rhwydwaith mynediad radio: Rhaid i graidd rhwydwaith 5G a rhwydwaith mynediad radio 5G gefnogi'r defnydd o algorithmau amgryptio ac uniondeb 128-did i sicrhau diogelwch AS и NAS. Rhaid i ryngwynebau rhwydwaith gefnogi bysellau amgryptio 256-did.

Gofynion diogelwch sylfaenol ar gyfer offer defnyddwyr

Mwy

  • Rhaid i'r offer defnyddiwr gefnogi amgryptio, amddiffyniad cyfanrwydd, ac amddiffyniad rhag ymosodiadau ailchwarae ar gyfer data defnyddwyr a drosglwyddir rhyngddo a'r rhwydwaith mynediad radio.
  • Rhaid i'r offer defnyddiwr actifadu mecanweithiau amgryptio a diogelu cywirdeb data fel y cyfarwyddir gan y rhwydwaith mynediad radio.
  • Rhaid i offer defnyddwyr gefnogi amgryptio, amddiffyn uniondeb, ac amddiffyniad rhag ymosodiadau ailchwarae ar gyfer traffig signalau RRC a NAS.
  • Rhaid i offer defnyddwyr gefnogi'r algorithmau cryptograffig canlynol: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Gall offer defnyddwyr gefnogi'r algorithmau cryptograffig canlynol: 128-NEA3, 128-NIA3.
  • Rhaid i offer defnyddwyr gefnogi'r algorithmau cryptograffig canlynol: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 os yw'n cefnogi cysylltiad â rhwydwaith mynediad radio E-UTRA.
  • Mae diogelu cyfrinachedd data defnyddwyr a drosglwyddir rhwng yr offer defnyddiwr a'r rhwydwaith mynediad radio yn ddewisol, ond rhaid ei ddarparu pryd bynnag y caniateir gan y rheoliad.
  • Mae amddiffyniad preifatrwydd ar gyfer traffig signalau RRC a NAS yn ddewisol.
  • Rhaid diogelu allwedd barhaol y defnyddiwr a'i storio mewn cydrannau o'r offer defnyddiwr sydd wedi'u diogelu'n dda.
  • Ni ddylai dynodwr tanysgrifiad parhaol tanysgrifiwr gael ei drawsyrru mewn testun clir dros y rhwydwaith mynediad radio ac eithrio gwybodaeth sy'n angenrheidiol ar gyfer llwybro cywir (er enghraifft PLlY и MNC).
  • Rhaid storio allwedd gyhoeddus rhwydwaith y gweithredwr cartref, y dynodwr allwedd, dynodwr y cynllun diogelwch, a'r dynodwr llwybro yn USIM.

Mae pob algorithm amgryptio yn gysylltiedig â rhif deuaidd:

  • "0000": NEA0 - Algorithm llyffethair null
  • "0001": 128-NEA1 - 128-did SNOW Algorithm seiliedig ar 3G
  • "0010" 128-NEA2 - 128-did AES algorithm seiliedig
  • "0011" 128-NEA3 - 128-did ZUC algorithm seiliedig.

Amgryptio data gan ddefnyddio 128-NEA1 a 128-NEA2Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

P.S. Mae'r diagram wedi'i fenthyg o TS 133.501

Cynhyrchu mewnosodiadau efelychiedig gan algorithmau 128-NIA1 a 128-NIA2 i sicrhau cywirdebCyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

P.S. Mae'r diagram wedi'i fenthyg o TS 133.501

Gofynion diogelwch sylfaenol ar gyfer swyddogaethau rhwydwaith 5G

Mwy

  • Rhaid i AMF gefnogi dilysu cynradd gan ddefnyddio SUCI.
  • Rhaid i SEAF gefnogi dilysu sylfaenol gan ddefnyddio SUCI.
  • Rhaid i UDM ac ARPF storio allwedd barhaol y defnyddiwr a sicrhau ei fod yn cael ei ddiogelu rhag lladrad.
  • Dim ond ar ôl dilysu cychwynnol llwyddiannus gan ddefnyddio SUCI y bydd yr AUSF yn darparu SUPI i'r rhwydwaith gwasanaethu lleol.
  • Rhaid i NEF beidio ag anfon gwybodaeth rhwydwaith craidd cudd y tu allan i barth diogelwch y gweithredwr.

Gweithdrefnau Diogelwch Sylfaenol

Parthau Ymddiriedolaeth

Mewn rhwydweithiau 5ed cenhedlaeth, mae ymddiriedaeth mewn elfennau rhwydwaith yn lleihau wrth i elfennau symud i ffwrdd o graidd y rhwydwaith. Mae'r cysyniad hwn yn dylanwadu ar y penderfyniadau a weithredir ym mhensaernïaeth diogelwch 5G. Felly, gallwn siarad am fodel ymddiriedolaeth o rwydweithiau 5G sy'n pennu ymddygiad mecanweithiau diogelwch rhwydwaith.

Ar ochr y defnyddiwr, mae'r parth ymddiriedolaeth yn cael ei ffurfio gan UICC ac USIM.

Ar ochr y rhwydwaith, mae gan y parth ymddiriedolaeth strwythur mwy cymhleth.

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu Rhennir y rhwydwaith mynediad radio yn ddwy gydran − DU (o'r Unedau Dosbarthedig Saesneg - unedau rhwydwaith dosbarthedig) a CU (o'r Unedau Canolog Saesneg - unedau canolog y rhwydwaith). Gyda'i gilydd maent yn ffurfio gNB - rhyngwyneb radio gorsaf sylfaen rhwydwaith 5G. Nid oes gan DUs fynediad uniongyrchol at ddata defnyddwyr oherwydd gellir eu defnyddio ar segmentau seilwaith heb eu diogelu. Rhaid defnyddio CUs mewn segmentau rhwydwaith gwarchodedig, gan eu bod yn gyfrifol am derfynu traffig o fecanweithiau diogelwch UG. Mae craidd y rhwydwaith wedi'i leoli AMF, sy'n terfynu traffig o fecanweithiau diogelwch NAS. Mae'r fanyleb Cam 3 5GPP 1G gyfredol yn disgrifio'r cyfuniad AMF gyda swyddogaeth diogelwch SEAF, sy'n cynnwys yr allwedd gwraidd (a elwir hefyd yn "allwedd angor") y rhwydwaith yr ymwelwyd â hi (gwasanaethu). AUSF yn gyfrifol am storio'r allwedd a gafwyd ar ôl dilysu llwyddiannus. Mae angen ei ailddefnyddio mewn achosion lle mae'r defnyddiwr wedi'i gysylltu â sawl rhwydwaith mynediad radio ar yr un pryd. ARPF yn storio manylion defnyddwyr ac yn analog o USIM ar gyfer tanysgrifwyr. UDR и UDM storio gwybodaeth defnyddwyr, a ddefnyddir i bennu'r rhesymeg ar gyfer cynhyrchu tystlythyrau, IDau defnyddiwr, sicrhau parhad sesiwn, ac ati.

Hierarchaeth allweddi a'u cynlluniau dosbarthu

Mewn rhwydweithiau cenhedlaeth 5ed, yn wahanol i rwydweithiau 4G-LTE, mae dwy gydran i'r weithdrefn ddilysu: dilysu cynradd ac eilaidd. Mae angen dilysu sylfaenol ar gyfer pob dyfais defnyddiwr sy'n cysylltu â'r rhwydwaith. Gellir cyflawni dilysiad eilaidd ar gais gan rwydweithiau allanol, os yw'r tanysgrifiwr yn cysylltu â nhw.

Ar ôl cwblhau'r dilysu cynradd yn llwyddiannus a datblygu allwedd K a rennir rhwng y defnyddiwr a'r rhwydwaith, mae KSEAF yn cael ei dynnu o allwedd K - allwedd angor (gwraidd) arbennig o'r rhwydwaith gwasanaethu. O ganlyniad, cynhyrchir allweddi o'r allwedd hon i sicrhau cyfrinachedd a chywirdeb data traffig signalau RRC a NAS.

Diagram gydag esboniadauCyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu
Legend:
CK Allwedd Cipher
IK ( Saesneg : Integrity Key ) - allwedd a ddefnyddir mewn mecanweithiau diogelu cywirdeb data.
CK' (eng. Cipher Key) - allwedd cryptograffig arall a grëwyd o CK ar gyfer y mecanwaith EAP-AKA.
IK' (Allwedd Uniondeb Saesneg) - allwedd arall a ddefnyddir mewn mecanweithiau diogelu cywirdeb data ar gyfer EAP-AKA.
KAUSF - a gynhyrchir gan swyddogaeth ARPF ac offer defnyddwyr o CK и IK yn ystod 5G AKA ac EAP-AKA.
KSEAF - allwedd angori a gafwyd gan swyddogaeth AUSF o'r allwedd KAMFAUSF.
KAMF — yr allwedd a geir gan swyddogaeth SEAF o'r allwedd KSEAF.
KNASint, KNASenc — allweddi a gafwyd gan y ffwythiant AMF o'r allwedd KAMF i amddiffyn traffig signalau NAS.
KRRCint, KRRCenc — allweddi a gafwyd gan y ffwythiant AMF o'r allwedd KAMF i amddiffyn traffig signalau RRC.
KUPint, KUPenc — allweddi a gafwyd gan y ffwythiant AMF o'r allwedd KAMF i amddiffyn traffig signalau AS.
NH — allwedd ganolraddol a gafwyd gan y ffwythiant AMF o'r allwedd KAMF i sicrhau diogelwch data wrth drosglwyddo.
KgNB — yr allwedd a geir gan y ffwythiant AMF o'r allwedd KAMF i sicrhau diogelwch mecanweithiau symudedd.

Cynlluniau ar gyfer cynhyrchu SUCI o SUPI ac i'r gwrthwyneb

Cynlluniau ar gyfer cael SUPI a SUCI

Cynhyrchu SUCI o SUPI a SUPI o SUCI:
Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Dilysu

Dilysu cynradd

Mewn rhwydweithiau 5G, mae EAP-AKA a 5G AKA yn fecanweithiau dilysu sylfaenol safonol. Gadewch i ni rannu'r mecanwaith dilysu cynradd yn ddau gam: mae'r cyntaf yn gyfrifol am gychwyn dilysu a dewis dull dilysu, mae'r ail yn gyfrifol am ddilysu ar y cyd rhwng y defnyddiwr a'r rhwydwaith.

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

Cychwyn

Mae'r defnyddiwr yn cyflwyno cais cofrestru i SEAF, sy'n cynnwys ID tanysgrifiad cudd y defnyddiwr SUCI.

Mae SEAF yn anfon neges cais dilysu i AUSF (Nausf_UEAuthentication_Authenticate Request) sy'n cynnwys SNN (Serving Network Name) a SUPI neu SUCI.

Mae AUSF yn gwirio a yw'r ceisydd dilysu SEAF yn cael defnyddio'r SNN a roddwyd. Os nad yw'r rhwydwaith gwasanaethu wedi'i awdurdodi i ddefnyddio'r SNN hwn, yna mae'r AUSF yn ymateb gyda neges gwall awdurdodi “Rhwydwaith gwasanaethu heb ei awdurdodi” (Nausf_UEAuthentication_Authenticate Response).

Mae'r AUSF yn gofyn am gymwysterau dilysu i UDM, ARPF neu SIDF trwy SUPI neu SUCI a SNN.

Yn seiliedig ar SUPI neu SUCI a gwybodaeth defnyddiwr, mae UDM/ARPF yn dewis y dull dilysu i'w ddefnyddio nesaf ac yn cyhoeddi manylion y defnyddiwr.

Cyd-ddilysiad

Wrth ddefnyddio unrhyw ddull dilysu, rhaid i swyddogaethau rhwydwaith UDM/ARPF gynhyrchu fector dilysu (AV).

EAP-AKA: Mae UDM/ARPF yn cynhyrchu fector dilysu yn gyntaf gyda did gwahanu AMF = 1, yna'n cynhyrchu CK' и IK' o CK, IK a SNN ac mae'n ffurfio fector dilysu AV newydd (RAND, AUTN, XRES*, CK', IK'), a anfonir i'r AUSF gyda chyfarwyddiadau i'w ddefnyddio ar gyfer EAP-AKA yn unig.

5G AKA: UDM / ARPF sy'n cael yr allwedd KAUSF o CK, IK a SNN, ac ar ôl hynny mae'n cynhyrchu 5G HE AV. Fector Dilysu Amgylchedd Cartref 5G). Fector dilysu 5G HE AV (RAND, AUTN, XRES, KAUSF) yn cael ei anfon i'r AUSF gyda chyfarwyddiadau i'w ddefnyddio ar gyfer 5G AKA yn unig.

Ar ôl yr AUSF hwn ceir yr allwedd angor KSEAF o'r allwedd KAUSF ac yn anfon cais at “Challenge” SEAF yn y neges “Nausf_UEAuthentication_Authenticate Response”, sydd hefyd yn cynnwys RAND, AUTN a RES*. Nesaf, trosglwyddir y RAND a'r AUTN i'r offer defnyddiwr gan ddefnyddio neges signalau NAS diogel. Mae USIM y defnyddiwr yn cyfrifo RES* o'r RAND a'r AUTN a dderbyniwyd ac yn ei anfon i SEAF. Mae SEAF yn trosglwyddo'r gwerth hwn i AUSF i'w ddilysu.

Mae AUSF yn cymharu'r XRES* sydd wedi'i storio ynddo a'r RES* a dderbyniwyd gan y defnyddiwr. Os oes cyfatebiaeth, mae'r AUSF a'r UDM yn rhwydwaith cartref y gweithredwr yn cael eu hysbysu am ddilysu llwyddiannus, ac mae'r defnyddiwr a SEAF yn cynhyrchu allwedd yn annibynnol KAMF o KSEAF a SUPI ar gyfer cyfathrebu pellach.

Dilysu eilaidd

Mae'r safon 5G yn cefnogi dilysiad eilaidd dewisol yn seiliedig ar EAP-AKA rhwng yr offer defnyddiwr a'r rhwydwaith data allanol. Yn yr achos hwn, mae SMF yn chwarae rôl y dilysydd EAP ac yn dibynnu ar y gwaith AAA-gweinydd rhwydwaith allanol sy'n dilysu ac yn awdurdodi'r defnyddiwr.

Cyflwyniad i Bensaernïaeth Ddiogelwch 5G: NFV, Allweddi a 2 Dilysu

  • Mae dilysiad defnyddiwr cychwynnol gorfodol ar y rhwydwaith cartref yn digwydd a datblygir cyd-destun diogelwch NAS cyffredin gydag AMF.
  • Mae'r defnyddiwr yn anfon cais i AMF i sefydlu sesiwn.
  • Mae AMF yn anfon cais i sefydlu sesiwn i SMF yn nodi SUPI y defnyddiwr.
  • Mae SMF yn dilysu tystlythyrau'r defnyddiwr yn UDM gan ddefnyddio'r SUPI a ddarperir.
  • Mae'r SMF yn anfon ymateb i'r cais gan yr AMF.
  • Mae SMF yn cychwyn y weithdrefn ddilysu EAP i gael caniatâd i sefydlu sesiwn gan y gweinydd AAA ar y rhwydwaith allanol. I wneud hyn, mae'r SMF a'r defnyddiwr yn cyfnewid negeseuon i gychwyn y weithdrefn.
  • Yna mae'r defnyddiwr a gweinydd AAA y rhwydwaith allanol yn cyfnewid negeseuon i ddilysu ac awdurdodi'r defnyddiwr. Yn yr achos hwn, mae'r defnyddiwr yn anfon negeseuon i'r SMF, sydd yn ei dro yn cyfnewid negeseuon gyda'r rhwydwaith allanol trwy UPF.

Casgliad

Er bod pensaernïaeth diogelwch 5G yn seiliedig ar ailddefnyddio technolegau presennol, mae'n cyflwyno heriau cwbl newydd. Mae nifer enfawr o ddyfeisiadau IoT, ffiniau rhwydwaith estynedig ac elfennau pensaernïaeth ddatganoledig yn rhai o egwyddorion allweddol y safon 5G sy'n rhoi rhwydd hynt i ddychymyg seiberdroseddwyr.

Y safon graidd ar gyfer pensaernïaeth diogelwch 5G yw TS 23.501 fersiwn 15.6.0 — yn cynnwys pwyntiau allweddol o weithrediad mecanweithiau a gweithdrefnau diogelwch. Yn benodol, mae'n disgrifio rôl pob VNF wrth sicrhau diogelu data defnyddwyr a nodau rhwydwaith, wrth gynhyrchu allweddi crypto ac wrth weithredu'r weithdrefn ddilysu. Ond nid yw hyd yn oed y safon hon yn rhoi atebion i faterion diogelwch dybryd sy'n wynebu gweithredwyr telathrebu yn amlach, mae rhwydweithiau cenhedlaeth newydd mwy dwys yn cael eu datblygu a'u rhoi ar waith.

Yn hyn o beth, hoffwn gredu na fydd yr anawsterau o weithredu ac amddiffyn rhwydweithiau cenhedlaeth 5 yn effeithio mewn unrhyw ffordd ar ddefnyddwyr cyffredin, sy'n cael addewid o gyflymder trosglwyddo ac ymatebion fel mab ffrind mam ac sydd eisoes yn awyddus i roi cynnig ar bob un. galluoedd datganedig y rhwydweithiau cenhedlaeth newydd.

Dolenni defnyddiol

Cyfres Manyleb 3GPP
Pensaernïaeth diogelwch 5G
Pensaernïaeth system 5G
Wici 5G
Nodiadau pensaernïaeth 5G
Trosolwg diogelwch 5G

Ffynhonnell: hab.com

Ychwanegu sylw