ProHoster > Blog > administration > Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Det er klart, at det er en yderst tvivlsom og forgæves bestræbelse at påtage sig udviklingen af ​​en ny kommunikationsstandard uden at tænke på sikkerhedsmekanismer.

5G sikkerhedsarkitektur — et sæt sikkerhedsmekanismer og -procedurer implementeret i 5. generations netværk og dækker alle netværkskomponenter, fra kernen til radiogrænsefladerne.

5. generations netværk er i bund og grund en evolution 4. generation LTE-netværk. Radioadgangsteknologier har gennemgået de største ændringer. For 5. generations netværk, en ny ROTTE (Radio Access Technology) - 5G ny radio. Hvad angår kernen af ​​netværket, har det ikke gennemgået så væsentlige ændringer. I denne henseende er sikkerhedsarkitekturen for 5G-netværk blevet udviklet med vægt på genbrug af relevante teknologier, der er vedtaget i 4G LTE-standarden.

Det er dog værd at bemærke, at genovervejelse af kendte trusler såsom angreb på luftgrænseflader og signallaget (signalering fly), DDOS-angreb, Man-In-The-Middle-angreb osv., fik teleoperatørerne til at udvikle nye standarder og integrere helt nye sikkerhedsmekanismer i 5. generations netværk.

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Предпосылки

I 2015 udarbejdede International Telecommunication Union den første af sin slags globale plan for udvikling af femte generations netværk, hvorfor spørgsmålet om udvikling af sikkerhedsmekanismer og -procedurer i 5G-netværk er blevet særligt akut.

Den nye teknologi tilbød virkelig imponerende dataoverførselshastigheder (mere end 1 Gbps), latens på mindre end 1 ms og muligheden for samtidig at forbinde omkring 1 million enheder inden for en radius på 1 km2. Sådanne højeste krav til 5. generations netværk afspejles også i principperne for deres organisation.

Den vigtigste var decentralisering, hvilket indebar placeringen af ​​mange lokale databaser og deres behandlingscentre i netværkets periferi. Dette gjorde det muligt at minimere forsinkelser hvornår M2M-kommunikation og aflaste netværkets kerne på grund af servicering af et stort antal IoT-enheder. Således udvidede kanten af ​​næste generations netværk sig hele vejen til basestationer, hvilket muliggjorde oprettelsen af ​​lokale kommunikationscentre og levering af cloud-tjenester uden risiko for kritiske forsinkelser eller lammelsesangreb. Naturligvis var den ændrede tilgang til netværk og kundeservice interessant for angribere, fordi det åbnede nye muligheder for dem til at angribe både fortrolig brugerinformation og netværkskomponenterne selv for at forårsage et lammelsesangreb eller beslaglægge operatørens computerressourcer.

Vigtigste sårbarheder i 5. generations netværk

Stor angrebsflade

mereNår man byggede telekommunikationsnetværk af 3. og 4. generation, var teleoperatører normalt begrænset til at arbejde med en eller flere leverandører, som straks leverede et sæt hardware og software. Det vil sige, at alt kunne fungere, som de siger, "ud af kassen" - det var nok bare at installere og konfigurere udstyret købt fra leverandøren; der var ikke behov for at erstatte eller supplere proprietær software. Moderne tendenser er i modstrid med denne "klassiske" tilgang og er rettet mod virtualisering af netværk, en multi-leverandør tilgang til deres konstruktion og softwarediversitet. Teknologier som f.eks SDN (Engelsk Software Defined Network) og NFV (English Network Functions Virtualization), hvilket fører til inddragelse af en enorm mængde software bygget på basis af open source-koder i processerne og funktionerne til styring af kommunikationsnetværk. Dette giver angribere mulighed for bedre at studere operatørens netværk og identificere et større antal sårbarheder, hvilket igen øger angrebsfladen på nye generationers netværk sammenlignet med nuværende.

Stort antal IoT-enheder

mereI 2021 vil omkring 57 % af enheder forbundet til 5G-netværk være IoT-enheder. Det betyder, at de fleste værter vil have begrænsede kryptografiske muligheder (se punkt 2) og derfor vil være sårbare over for angreb. Et stort antal af sådanne enheder vil øge risikoen for spredning af botnet og gøre det muligt at udføre endnu mere kraftfulde og distribuerede DDoS-angreb.

Begrænsede kryptografiske muligheder for IoT-enheder

mereSom allerede nævnt bruger 5. generations netværk aktivt perifere enheder, som gør det muligt at fjerne en del af belastningen fra netværkskernen og derved reducere latens. Dette er nødvendigt for så vigtige tjenester som kontrol af ubemandede køretøjer, nødadvarselssystem IMS og andre, for hvem det er afgørende at sikre minimal forsinkelse, fordi menneskeliv afhænger af det. På grund af tilslutningen af ​​et stort antal IoT-enheder, som på grund af deres lille størrelse og lave strømforbrug har meget begrænsede computerressourcer, bliver 5G-netværk sårbare over for angreb, der har til formål at opsnappe kontrol og efterfølgende manipulation af sådanne enheder. For eksempel kan der være scenarier, hvor IoT-enheder, der er en del af systemet, er inficeret "smart House", typer af malware som f.eks Ransomware og ransomware. Scenarier med at opsnappe kontrol af ubemandede køretøjer, der modtager kommandoer og navigationsinformation gennem skyen, er også mulige. Formelt skyldes denne sårbarhed decentraliseringen af ​​nye generationers netværk, men det næste afsnit vil skitsere problemet med decentralisering tydeligere.

Decentralisering og udvidelse af netværksgrænser

merePerifere enheder, der spiller rollen som lokale netværkskerner, udfører routing af brugertrafik, behandler anmodninger samt lokal caching og lagring af brugerdata. Grænserne for 5. generations netværk udvides således, ud over kernen, til periferien, herunder lokale databaser og 5G-NR (5G New Radio) radiogrænseflader. Dette skaber muligheden for at angribe de lokale enheders computerressourcer, som a priori er svagere beskyttet end de centrale knudepunkter i netværkets kerne, med det formål at forårsage et lammelsesangreb. Dette kan føre til afbrydelse af internetadgang for hele områder, ukorrekt funktion af IoT-enheder (for eksempel i et smart home-system) samt utilgængeligheden af ​​IMS-nødvarslingstjenesten.

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Imidlertid har ETSI og 3GPP nu udgivet mere end 10 standarder, der dækker forskellige aspekter af 5G-netværkssikkerhed. Langt de fleste af de mekanismer, der er beskrevet der, har til formål at beskytte mod sårbarheder (inklusive dem, der er beskrevet ovenfor). En af de vigtigste er standarden TS 23.501 version 15.6.0, der beskriver sikkerhedsarkitekturen for 5. generations netværk.

5G arkitektur

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse
Lad os først se på nøgleprincipperne for 5G-netværksarkitektur, som yderligere fuldt ud vil afsløre betydningen og ansvarsområderne for hvert softwaremodul og hver 5G-sikkerhedsfunktion.

  • Opdeling af netværksknuder i elementer, der sikrer driften af ​​protokoller tilpasset fly (fra det engelske UP - User Plane) og elementer, der sikrer driften af ​​protokoller kontrolplan (fra det engelske CP - Control Plane), hvilket øger fleksibiliteten med hensyn til skalering og udrulning af netværket, dvs. centraliseret eller decentral placering af individuelle komponentnetværksknuder er mulig.
  • Mekanismestøtte netværksudskæring, baseret på de tjenester, der leveres til specifikke grupper af slutbrugere.
  • Implementering af netværkselementer i form virtuelle netværksfunktioner.
  • Understøttelse af samtidig adgang til centraliserede og lokale tjenester, dvs. implementering af cloud-koncepter (fra engelsk. tågeberegning) og grænse (fra engelsk. kant computing) beregninger.
  • implementering konvergent arkitektur, der kombinerer forskellige typer adgangsnetværk - 3GPP 5G Ny radio og ikke-3GPP (Wi-Fi osv.) - med en enkelt netværkskerne.
  • Understøttelse af ensartede algoritmer og autentificeringsprocedurer, uanset typen af ​​adgangsnetværk.
  • Understøttelse af statsløse netværksfunktioner, hvor den beregnede ressource er adskilt fra ressourcelageret.
  • Understøttelse af roaming med trafikrouting både gennem hjemmenetværket (fra det engelske home-routing) og med en lokal “landing” (fra det engelske lokale breakout) i gæstenetværket.
  • Samspillet mellem netværksfunktioner er repræsenteret på to måder: serviceorienteret и interface.

5. generations netværkssikkerhedskoncept inkluderer:

  • Brugergodkendelse fra netværket.
  • Netværksgodkendelse af brugeren.
  • Forhandling af kryptografiske nøgler mellem netværk og brugerudstyr.
  • Kryptering og integritetskontrol af signaltrafik.
  • Kryptering og kontrol af integriteten af ​​brugertrafik.
  • Bruger ID beskyttelse.
  • Beskyttelse af grænseflader mellem forskellige netværkselementer i overensstemmelse med konceptet om et netværkssikkerhedsdomæne.
  • Isolering af forskellige lag af mekanismen netværksudskæring og definere hvert lags egne sikkerhedsniveauer.
  • Brugergodkendelse og trafikbeskyttelse på niveau med sluttjenester (IMS, IoT og andre).

Nøglesoftwaremoduler og 5G-netværkssikkerhedsfunktioner

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse AMF (fra den engelske Access & Mobility Management Function - adgangs- og mobilitetsstyringsfunktion) - giver:

  • Organisering af kontrolplangrænseflader.
  • Organisering af signaltrafikudveksling RRC, kryptering og beskyttelse af integriteten af ​​dets data.
  • Organisering af signaltrafikudveksling NAS, kryptering og beskyttelse af integriteten af ​​dets data.
  • Håndtering af registrering af brugerudstyr på netværket og overvågning af mulige registreringstilstande.
  • Håndtering af tilslutning af brugerudstyr til netværket og overvågning af mulige tilstande.
  • Styr tilgængeligheden af ​​brugerudstyr på netværket i CM-IDLE-tilstanden.
  • Mobilitetsstyring af brugerudstyr i netværket i tilstanden CM-CONNECTED.
  • Transmission af korte beskeder mellem brugerudstyr og SMF.
  • Administration af lokalitetstjenester.
  • Tråd ID tildeling EPS at interagere med EPS.

SMF (engelsk: Session Management Function - session management funktion) - giver:

  • Administration af kommunikationssessioner, dvs. oprettelse, ændring og frigivelse af sessioner, herunder vedligeholdelse af en tunnel mellem adgangsnetværket og UPF.
  • Distribution og styring af IP-adresser på brugerudstyr.
  • Valg af UPF-gateway, der skal bruges.
  • Organisering af interaktion med PCF.
  • Håndhævelse af politik QoS.
  • Dynamisk konfiguration af brugerudstyr ved hjælp af DHCPv4- og DHCPv6-protokollerne.
  • Overvågning af indsamling af takstdata og organisering af interaktion med faktureringssystemet.
  • Problemfri levering af tjenester (fra engelsk. SSC - Session og servicekontinuitet).
  • Interaktion med gæstenetværk inden for roaming.

UPF (Engelsk brugerplanfunktion - brugerplanfunktion) - giver:

  • Interaktion med eksterne datanetværk, herunder det globale internet.
  • Routing af brugerpakker.
  • Mærkning af pakker i overensstemmelse med QoS-politikker.
  • Brugerpakkediagnostik (f.eks. signaturbaseret applikationsdetektion).
  • Levering af rapporter om trafikforbrug.
  • UPF er også ankerpunktet for at understøtte mobilitet både inden for og mellem forskellige radioadgangsteknologier.

UDM (English Unified Data Management - unified database) - giver:

  • Håndtering af brugerprofildata, herunder lagring og ændring af listen over tjenester, der er tilgængelige for brugere, og deres tilsvarende parametre.
  • ledelse SUPI
  • Generer 3GPP-godkendelseslegitimationsoplysninger AKA.
  • Adgangsautorisation baseret på profildata (f.eks. roaming-begrænsninger).
  • Brugerregistreringsstyring, dvs. opbevaring af serverende AMF.
  • Understøttelse af problemfri service og kommunikationssessioner, dvs. lagring af den SMF, der er tildelt den aktuelle kommunikationssession.
  • SMS leveringsstyring.
  • Flere forskellige UDM'er kan betjene den samme bruger på tværs af forskellige transaktioner.

UDR (English Unified Data Repository - storage of unified data) - giver lagring af forskellige brugerdata og er i virkeligheden en database over alle netværksabonnenter.

UDSF (English Unstructured Data Storage Function - ustruktureret datalagringsfunktion) - sikrer, at AMF-moduler gemmer de aktuelle kontekster for registrerede brugere. Generelt kan denne information præsenteres som data med en ubestemt struktur. Brugerkontekster kan bruges til at sikre problemfri og uafbrudt abonnentsessioner, både under den planlagte tilbagetrækning af en af ​​AMF'erne fra tjenesten og i tilfælde af en nødsituation. I begge tilfælde vil backup-AMF'en "hente" tjenesten ved hjælp af kontekster gemt i USDF.

At kombinere UDR og UDSF på den samme fysiske platform er en typisk implementering af disse netværksfunktioner.

PCF (engelsk: Policy Control Function - policy control function) - opretter og tildeler visse servicepolitikker til brugere, herunder QoS-parametre og debiteringsregler. For for eksempel at transmittere en eller anden type trafik kan virtuelle kanaler med forskellige karakteristika skabes dynamisk. Samtidig kan der tages hensyn til kravene til den tjeneste, som abonnenten har anmodet om, niveauet af netværksoverbelastning, mængden af ​​forbrugt trafik osv.

NEF (English Network Exposure Function - netværkseksponeringsfunktion) - giver:

  • Organisering af sikker interaktion mellem eksterne platforme og applikationer med netværkets kerne.
  • Administrer QoS-parametre og debiteringsregler for specifikke brugere.

SEAF (English Security Anchor Function - ankersikkerhedsfunktion) - giver sammen med AUSF autentificering af brugere, når de registrerer sig på netværket med enhver adgangsteknologi.

Ausf (English Authentication Server Function - authentication server function) - spiller rollen som en autentificeringsserver, der modtager og behandler anmodninger fra SEAF og omdirigerer dem til ARPF.

ARPF (Engelsk: Authentication Credential Repository and Processing Function - funktion til lagring og behandling af autentificeringslegitimationsoplysninger) - giver opbevaring af personlige hemmelige nøgler (KI) og parametre for kryptografiske algoritmer, samt generering af autentificeringsvektorer i overensstemmelse med 5G-AKA eller EAP-AKA. Den er placeret i hjemmeteleoperatørens datacenter, beskyttet mod ydre fysiske påvirkninger og er som regel integreret med UDM.

SCMF (Engelsk sikkerhedskontekststyringsfunktion - administrationsfunktion sikkerhedskontekst) - Giver livscyklusstyring til 5G-sikkerhedskonteksten.

SPCF (English Security Policy Control Function - security policy management function) - sikrer koordinering og anvendelse af sikkerhedspolitikker i forhold til specifikke brugere. Dette tager højde for netværkets muligheder, brugerudstyrets muligheder og kravene til den specifikke tjeneste (f.eks. kan beskyttelsesniveauerne fra den kritiske kommunikationstjeneste og den trådløse bredbåndsinternetadgangstjeneste være forskellige). Anvendelse af sikkerhedspolitikker omfatter: valg af AUSF, valg af autentificeringsalgoritme, valg af datakryptering og integritetskontrolalgoritmer, bestemmelse af nøglernes længde og livscyklus.

SIDF (English Subscription Identifier De-concealing Function - brugeridentifikationsudtrækningsfunktion) - sikrer udtrækning af en abonnents permanente abonnementsidentifikator (engelsk SUPI) fra en skjult identifikator (engelsk SUCI), modtaget som en del af godkendelsesprocedureanmodningen "Auth Info Req".

Grundlæggende sikkerhedskrav til 5G kommunikationsnetværk

mereBrugergodkendelse: Det betjenende 5G-netværk skal autentificere brugerens SUPI i 5G AKA-processen mellem brugeren og netværket.

Serverer netværksgodkendelse: Brugeren skal autentificere 5G-servernetværks-id'et, med godkendelse opnået gennem vellykket brug af nøgler opnået gennem 5G AKA-proceduren.

Bruger autorisation: Serveringsnetværket skal autorisere brugeren ved hjælp af den brugerprofil, der modtages fra hjemmeteleoperatørens netværk.

Godkendelse af det betjenende netværk af hjemmeoperatørnetværket: Brugeren skal have en bekræftelse på, at han er tilsluttet et servicenetværk, som er autoriseret af hjemmeoperatørnetværket til at levere tjenester. Godkendelse er implicit i den forstand, at den er sikret ved en vellykket gennemførelse af 5G AKA-proceduren.

Godkendelse af adgangsnetværket af hjemmeoperatørnetværket: Brugeren skal have en bekræftelse på, at han er tilsluttet et adgangsnetværk, som er autoriseret af hjemmeoperatørnetværket til at levere tjenester. Autorisation er implicit i den forstand, at den håndhæves ved at etablere adgangsnetværkets sikkerhed. Denne type autorisation skal bruges til enhver type adgangsnetværk.

Uautoriserede nødtjenester: For at opfylde lovkrav i nogle regioner skal 5G-netværk give uautoriseret adgang til nødtjenester.

Netværkskerne og radioadgangsnetværk: 5G-netværkets kerne og 5G-radioadgangsnetværket skal understøtte brugen af ​​128-bit kryptering og integritetsalgoritmer for at sikre sikkerhed AS и NAS. Netværksgrænseflader skal understøtte 256-bit krypteringsnøgler.

Grundlæggende sikkerhedskrav til brugerudstyr

mere

  • Brugerudstyret skal understøtte kryptering, integritetsbeskyttelse og beskyttelse mod genafspilningsangreb for brugerdata transmitteret mellem det og radioadgangsnetværket.
  • Brugerudstyret skal aktivere kryptering og dataintegritetsbeskyttelsesmekanismer som anvist af radioadgangsnetværket.
  • Brugerudstyr skal understøtte kryptering, integritetsbeskyttelse og beskyttelse mod replay-angreb for RRC- og NAS-signaltrafik.
  • Brugerudstyr skal understøtte følgende kryptografiske algoritmer: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Brugerudstyr kan understøtte følgende kryptografiske algoritmer: 128-NEA3, 128-NIA3.
  • Brugerudstyr skal understøtte følgende kryptografiske algoritmer: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, hvis det understøtter forbindelse til E-UTRA-radioadgangsnetværket.
  • Beskyttelse af fortroligheden af ​​brugerdata, der transmitteres mellem brugerudstyret og radioadgangsnetværket, er valgfri, men skal gives, når det er tilladt i henhold til lovgivningen.
  • Privatlivsbeskyttelse for RRC- og NAS-signaltrafik er valgfri.
  • Brugerens permanente nøgle skal beskyttes og opbevares i velsikrede komponenter i brugerudstyret.
  • En abonnents permanente abonnementsidentifikator bør ikke transmitteres i klartekst over radioadgangsnetværket undtagen for oplysninger, der er nødvendige for korrekt routing (f.eks. MCC и MNC).
  • Hjemmeoperatørens offentlige netværksnøgle, nøgle-id'en, sikkerhedsskema-id'en og routing-id'en skal gemmes i USIM.

Hver krypteringsalgoritme er forbundet med et binært tal:

  • "0000": NEA0 - Nul chifferalgoritme
  • "0001": 128-NEA1 - 128-bit SNE 3G baseret algoritme
  • "0010" 128-NEA2 - 128-bit AES baseret algoritme
  • "0011" 128-NEA3 - 128-bit ZUC baseret algoritme.

Datakryptering ved hjælp af 128-NEA1 og 128-NEA2Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

P.S. Diagrammet er lånt fra TS 133.501

Generering af simulerede indsatser ved hjælp af algoritmerne 128-NIA1 og 128-NIA2 for at sikre integritetIntroduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

P.S. Diagrammet er lånt fra TS 133.501

Grundlæggende sikkerhedskrav til 5G-netværksfunktioner

mere

  • AMF skal understøtte primær autentificering ved hjælp af SUCI.
  • SEAF skal understøtte primær autentificering ved hjælp af SUCI.
  • UDM og ARPF skal opbevare brugerens permanente nøgle og sikre, at den er beskyttet mod tyveri.
  • AUSF skal kun levere SUPI til det lokale serveringsnetværk efter vellykket indledende godkendelse ved hjælp af SUCI.
  • NEF må ikke videresende skjulte kernenetværksoplysninger uden for operatørens sikkerhedsdomæne.

Grundlæggende sikkerhedsprocedurer

Tillid til domæner

I 5. generations netværk falder tilliden til netværkselementer, når elementer bevæger sig væk fra netværkskernen. Dette koncept påvirker de beslutninger, der er implementeret i 5G-sikkerhedsarkitekturen. Således kan vi tale om en tillidsmodel af 5G-netværk, der bestemmer adfærden af ​​netværkssikkerhedsmekanismer.

På brugersiden er tillidsdomænet dannet af UICC og USIM.

På netværkssiden har tillidsdomænet en mere kompleks struktur.

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse Radioadgangsnetværket er opdelt i to komponenter − DU (fra det engelske Distributed Units - distributed network units) og CU (fra de engelske Central Units - centrale enheder i netværket). Sammen danner de gNB — radiogrænseflade for 5G-netværkets basestation. DU'er har ikke direkte adgang til brugerdata, da de kan implementeres på ubeskyttede infrastruktursegmenter. CU'er skal installeres i beskyttede netværkssegmenter, da de er ansvarlige for at afslutte trafik fra AS-sikkerhedsmekanismer. Kernen i netværket er placeret AMF, som afslutter trafik fra NAS-sikkerhedsmekanismer. Den nuværende 3GPP 5G fase 1-specifikation beskriver kombinationen AMF med sikkerhedsfunktion SEAF, der indeholder rodnøglen (også kendt som "ankernøglen") for det besøgte (serverende) netværk. Ausf er ansvarlig for at opbevare nøglen opnået efter vellykket godkendelse. Det er nødvendigt for genbrug i tilfælde, hvor brugeren samtidig er forbundet til flere radioadgangsnetværk. ARPF gemmer brugeroplysninger og er en analog af USIM for abonnenter. UDR и UDM gemme brugeroplysninger, som bruges til at bestemme logikken for generering af legitimationsoplysninger, bruger-id'er, sikring af sessionskontinuitet osv.

Hierarki af nøgler og deres distributionsordninger

I 5. generations netværk, i modsætning til 4G-LTE-netværk, har godkendelsesproceduren to komponenter: primær og sekundær godkendelse. Primær godkendelse er påkrævet for alle brugerenheder, der forbinder til netværket. Sekundær autentificering kan udføres efter anmodning fra eksterne netværk, hvis abonnenten opretter forbindelse til dem.

Efter vellykket afslutning af primær autentificering og udvikling af en delt nøgle K mellem brugeren og netværket, udvindes KSEAF fra nøglen K - en speciel ankernøgle (rodnøgle) til det betjenende netværk. Efterfølgende genereres nøgler fra denne nøgle for at sikre fortroligheden og integriteten af ​​RRC- og NAS-signaltrafikdata.

Diagram med forklaringerIntroduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse
betegnelser:
CK Chiffernøgle
IK (engelsk: Integrity Key) - en nøgle, der bruges i dataintegritetsbeskyttelsesmekanismer.
CK' (eng. Cipher Key) - en anden kryptografisk nøgle oprettet fra CK til EAP-AKA mekanismen.
IK' (English Integrity Key) - en anden nøgle, der bruges i dataintegritetsbeskyttelsesmekanismer for EAP-AKA.
KAUSF - genereret af ARPF-funktionen og brugerudstyr fra CK и IK under 5G AKA og EAP-AKA.
KSEAF - ankernøgle opnået af AUSF-funktionen fra nøglen KAMFAUSF.
KAMF — nøglen opnået af SEAF-funktionen fra nøglen KSEAF.
KNASint, KNASenc — taster opnået af AMF-funktionen fra tasten KAMF for at beskytte NAS-signaltrafik.
KRRCint, KRRCenc — taster opnået af AMF-funktionen fra tasten KAMF for at beskytte RRC-signaltrafik.
KUPint, KUPenc — taster opnået af AMF-funktionen fra tasten KAMF for at beskytte AS-signaltrafik.
NH — mellemtast opnået af AMF-funktionen fra tasten KAMF at sikre datasikkerheden ved overdragelser.
KgNB — nøglen opnået af AMF-funktionen fra tasten KAMF at sikre sikkerheden af ​​mobilitetsmekanismer.

Skemaer til generering af SUCI fra SUPI og omvendt

Ordninger til opnåelse af SUPI og SUCI

Produktion af SUCI fra SUPI og SUPI fra SUCI:
Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

autentificering

Primær godkendelse

I 5G-netværk er EAP-AKA og 5G AKA standard primære autentificeringsmekanismer. Lad os opdele den primære autentificeringsmekanisme i to faser: den første er ansvarlig for at starte godkendelse og vælge en godkendelsesmetode, den anden er ansvarlig for gensidig godkendelse mellem brugeren og netværket.

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

Indvielse

Brugeren sender en registreringsanmodning til SEAF, som indeholder brugerens skjulte abonnements-id SUCI.

SEAF sender til AUSF en godkendelsesanmodningsmeddelelse (Nausf_UEAuthentication_Authenticate Request) indeholdende SNN (Serving Network Name) og SUPI eller SUCI.

AUSF kontrollerer, om SEAF-godkendelsesanmoderen har tilladelse til at bruge det givne SNN. Hvis det betjenende netværk ikke er autoriseret til at bruge dette SNN, svarer AUSF med en godkendelsesfejlmeddelelse "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

Autentificeringslegitimationsoplysninger anmodes af AUSF til UDM, ARPF eller SIDF via SUPI eller SUCI og SNN.

Baseret på SUPI eller SUCI og brugeroplysninger vælger UDM/ARPF den næste godkendelsesmetode og udsteder brugerens legitimationsoplysninger.

Gensidig godkendelse

Når du bruger en hvilken som helst godkendelsesmetode, skal UDM/ARPF-netværksfunktionerne generere en godkendelsesvektor (AV).

EAP-AKA: UDM/ARPF genererer først en godkendelsesvektor med adskillelsesbit AMF = 1 og genererer derefter CK' и IK' af CK, IK og SNN og udgør en ny AV-godkendelsesvektor (RAND, AUTN, XRES*, CK', IK'), som sendes til AUSF med instruktioner om kun at bruge det til EAP-AKA.

5G AKA: UDM/ARPF får nøglen KAUSF af CK, IK og SNN, hvorefter den genererer 5G HE AV. 5G hjemmemiljøgodkendelsesvektor). 5G HE AV-godkendelsesvektor (RAND, AUTN, XRES, KAUSF) sendes til AUSF med instruktioner om at bruge det kun til 5G AKA.

Efter denne AUSF opnås ankernøglen KSEAF fra nøglen KAUSF og sender en anmodning til SEAF "Challenge" i meddelelsen "Nausf_UEAuthentication_Authenticate Response", som også indeholder RAND, AUTN og RES*. Dernæst sendes RAND og AUTN til brugerudstyret ved hjælp af en sikker NAS-signaleringsmeddelelse. Brugerens USIM beregner RES* ud fra det modtagne RAND og AUTN og sender det til SEAF. SEAF videresender denne værdi til AUSF til verifikation.

AUSF sammenligner XRES*, der er gemt i den, og RES* modtaget fra brugeren. Hvis der er et match, får AUSF og UDM i operatørens hjemmenetværk besked om vellykket autentificering, og brugeren og SEAF genererer uafhængigt en nøgle KAMF af KSEAF og SUPI for yderligere kommunikation.

Sekundær godkendelse

5G-standarden understøtter valgfri sekundær autentificering baseret på EAP-AKA mellem brugerudstyret og det eksterne datanetværk. I dette tilfælde spiller SMF rollen som EAP-autentificeringsorganet og er afhængig af arbejdet AAA-en ekstern netværksserver, der godkender og autoriserer brugeren.

Introduktion til 5G-sikkerhedsarkitektur: NFV, nøgler og 2-godkendelse

  • Obligatorisk indledende brugergodkendelse på hjemmenetværket forekommer, og en fælles NAS-sikkerhedskontekst udvikles med AMF.
  • Brugeren sender en anmodning til AMF om at etablere en session.
  • AMF sender en anmodning om at etablere en session til SMF, der angiver brugerens SUPI.
  • SMF validerer brugerens legitimationsoplysninger i UDM ved hjælp af den medfølgende SUPI.
  • SMF sender et svar på anmodningen fra AMF.
  • SMF starter EAP-godkendelsesproceduren for at opnå tilladelse til at etablere en session fra AAA-serveren på det eksterne netværk. For at gøre dette udveksler SMF'en og brugeren meddelelser for at starte proceduren.
  • Brugeren og den eksterne netværks AAA-server udveksler derefter meddelelser for at godkende og autorisere brugeren. I dette tilfælde sender brugeren beskeder til SMF, som igen udveksler beskeder med det eksterne netværk via UPF.

Konklusion

Selvom 5G-sikkerhedsarkitekturen er baseret på genbrug af eksisterende teknologier, giver den helt nye udfordringer. Et stort antal IoT-enheder, udvidede netværksgrænser og decentraliserede arkitekturelementer er blot nogle af nøgleprincipperne i 5G-standarden, der giver frit spil til cyberkriminelles fantasi.

Kernestandarden for 5G-sikkerhedsarkitektur er TS 23.501 version 15.6.0 — indeholder nøglepunkter i driften af ​​sikkerhedsmekanismer og -procedurer. Den beskriver især hver enkelt VNF's rolle i at sikre beskyttelsen af ​​brugerdata og netværksknuder, ved generering af kryptonøgler og i implementering af autentificeringsproceduren. Men selv denne standard giver ikke svar på presserende sikkerhedsproblemer, som teleoperatører oftere står over for, jo mere intensivt den nye generations netværk udvikles og sættes i drift.

I denne henseende vil jeg gerne tro, at vanskelighederne med at betjene og beskytte 5. generations netværk ikke på nogen måde vil påvirke almindelige brugere, som er lovet transmissionshastigheder og svar som søn af en mors ven og allerede er ivrige efter at prøve alle de erklærede muligheder for den nye generations netværk.

Nyttige links

3GPP-specifikationsserie
5G sikkerhedsarkitektur
5G systemarkitektur
5G Wiki
5G-arkitekturnoter
5G-sikkerhedsoversigt

Kilde: www.habr.com

Tilføj en kommentar