Evidente, surpreni la evoluon de nova komunika normo sen pensi pri sekurecaj mekanismoj estas ege dubinda kaj vana klopodo.

5G Sekureca Arkitekturo — aro de sekurecaj mekanismoj kaj proceduroj efektivigitaj en 5-a generaciaj retoj kaj kovrante ĉiujn retajn komponentojn, de la kerno ĝis la radiointerfacoj.

5-a generaciaj retoj estas, esence, evoluo 4-a generacio LTE-retoj. Radioalirteknologioj spertis la plej signifajn ŝanĝojn. Por retoj de 5-a generacio, nova KONSILIO (Radioalira Teknologio) - 5G Nova Radio. Koncerne la kernon de la reto, ĝi ne spertis tiajn signifajn ŝanĝojn. Ĉi-rilate, la sekureca arkitekturo de 5G-retoj estis evoluigita kun emfazo pri reuzado de koncernaj teknologioj adoptitaj en la normo 4G LTE.

Tamen, indas noti, ke repripensi konatajn minacojn kiel atakojn al aeraj interfacoj kaj la signala tavolo (signaloj aviadilo), DDOS-atakoj, Man-In-The-Middle-atakoj, ktp., instigis teleentreprenistojn evoluigi novajn normojn kaj integri tute novajn sekurecmekanismojn en 5-a-generaciajn retojn.

Fono

En 2015, la Internacia Telekomunika Unio ellaboris la unuan el sia speco tutmondan planon por la disvolviĝo de kvingeneraciaj retoj, tial la problemo pri evoluigo de sekurecaj mekanismoj kaj proceduroj en 5G-retoj fariĝis speciale akra.

La nova teknologio ofertis vere imponajn transigajn rapidojn de datumoj (pli ol 1 Gbps), latentecon de malpli ol 1 ms kaj la kapablon samtempe konekti ĉirkaŭ 1 milionon da aparatoj en radiuso de 1 km2. Tiaj la plej altaj postuloj por 5-a generaciaj retoj ankaŭ reflektiĝas en la principoj de sia organizo.

La ĉefa estis malcentralizo, kiu implicis la lokigon de multaj lokaj datumbazoj kaj iliaj pretigaj centroj sur la periferio de la reto. Ĉi tio ebligis minimumigi prokrastojn kiam M2M-komunikadoj kaj malpezigi la retan kernon pro servado de grandega nombro da IoT-aparatoj. Tiel, la rando de venontgeneraciaj retoj disetendiĝis ĝis bazstacioj, permesante la kreadon de lokaj komunikadcentroj kaj la provizon de nubaj servoj sen la risko de kritikaj prokrastoj aŭ neo de servo. Kompreneble, la ŝanĝita aliro al interkonektado kaj klientservo interesis atakantojn, ĉar ĝi malfermis novajn ŝancojn por ili ataki kaj konfidencajn uzantinformojn kaj la retajn komponantojn mem por kaŭzi neon de servo aŭ konfiski la komputikresursojn de la funkciigisto.

Ĉefaj vundeblecoj de 5-a generaciaj retoj

Granda ataksurfaco

Legi pliDum konstruado de telekomunikadaj retoj de la 3-a kaj 4-a generacioj, teleentreprenistoj estis kutime limigitaj al laborado kun unu aŭ pluraj vendistoj kiuj tuj liveris aron de aparataro kaj softvaro. Tio estas, ĉio povus funkcii, kiel oni diras, "el la skatolo" - sufiĉis simple instali kaj agordi la ekipaĵon aĉetitan de la vendisto; estis neniu bezono anstataŭigi aŭ kompletigi proprietan programaron. Modernaj tendencoj kontraŭas ĉi tiun "klasikan" aliron kaj celas virtualigon de retoj, plurvendantan aliron al ilia konstruo kaj programara diverseco. Teknologioj kiel ekzemple SDN (Angla Software Defined Network) kaj NFV (English Network Functions Virtualization), kiu kondukas al la inkludo de grandega kvanto de programaro konstruita surbaze de malfermfontaj kodoj en la procezoj kaj funkcioj de administrado de komunikadaj retoj. Ĉi tio donas al atakantoj la ŝancon pli bone studi la reton de la funkciigisto kaj identigi pli grandan nombron da vundeblecoj, kio, siavice, pliigas la ataksurfacon de nova generaciaj retoj kompare kun la nunaj.

Granda nombro da IoT-aparatoj

Legi pliĜis 2021, ĉirkaŭ 57% de aparatoj konektitaj al 5G-retoj estos IoT-aparatoj. Ĉi tio signifas, ke plej multaj gastigantoj havos limigitajn kriptajn kapablojn (vidu punkton 2) kaj, sekve, estos vundeblaj al atakoj. Grandega nombro da tiaj aparatoj pliigos la riskon de disvastigo de botnet kaj ebligos efektivigi eĉ pli potencajn kaj distribuitajn DDoS-atakojn.

Limigitaj kriptaj kapabloj de IoT-aparatoj

Legi pliKiel jam menciite, retoj de 5-a generacio aktive uzas ekstercentrajn aparatojn, kiuj ebligas forigi parton de la ŝarĝo de la reto-kerno kaj tiel redukti latencian. Ĉi tio estas necesa por tiaj gravaj servoj kiel kontrolo de senpilotaj veturiloj, kriz-avertsistemo IMS kaj aliaj, por kiuj certigi minimuman prokraston estas kritika, ĉar homaj vivoj dependas de ĝi. Pro la konekto de granda nombro da IoT-aparatoj, kiuj, pro sia malgranda grandeco kaj malalta energikonsumo, havas tre limigitajn komputikajn rimedojn, 5G-retoj fariĝas vundeblaj al atakoj celantaj kapti kontrolon kaj postan manipuladon de tiaj aparatoj. Ekzemple, povas ekzisti scenaroj kie IoT-aparatoj kiuj estas parto de la sistemo estas infektitaj "inteligenta Domo", specoj de malware kiel ekzemple Ransomware kaj ransomware. Scenaroj de kaptado de kontrolo de senpilotaj veturiloj, kiuj ricevas komandojn kaj navigaciajn informojn tra la nubo, ankaŭ estas eblaj. Formale, ĉi tiu vundebleco ŝuldiĝas al la malcentralizo de novaj generaciaj retoj, sed la sekva alineo skizos la problemon de malcentralizo pli klare.

Malcentralizo kaj vastiĝo de retaj limoj

Legi pliEkstercentraj aparatoj, ludantaj la rolon de lokaj retaj kernoj, efektivigas vojigon de uzanttrafiko, prilaboras petojn, same kiel lokan kaŝmemoron kaj konservadon de uzantdatumoj. Tiel, la limoj de 5-a generaciaj retoj vastiĝas, krom la kerno, al la periferio, inkluzive de lokaj datumbazoj kaj 5G-NR (5G New Radio) radiointerfacoj. Ĉi tio kreas la ŝancon ataki la komputikajn rimedojn de lokaj aparatoj, kiuj estas antaŭe pli malfortaj protektitaj ol la centraj nodoj de la reto-kerno, kun la celo kaŭzi neon de servo. Ĉi tio povas konduki al malkonekto de Interreta aliro por tutaj areoj, malĝusta funkciado de IoT-aparatoj (ekzemple, en inteligenta hejma sistemo), kaj ankaŭ al la nehavebleco de la kriz-atenta servo de IMS.

Tamen, ETSI kaj 3GPP nun publikigis pli ol 10 normojn kovrantajn diversajn aspektojn de 5G retsekureco. La granda plimulto de la mekanismoj priskribitaj tie celas protekti kontraŭ vundeblecoj (inkluzive de tiuj priskribitaj supre). Unu el la ĉefaj estas la normo TS 23.501 versio 15.6.0, priskribante la sekurecan arkitekturon de 5-a generaciaj retoj.

5G arkitekturo

Unue, ni turnu nin al la ŝlosilaj principoj de 5G-reta arkitekturo, kiuj plue plene malkaŝos la signifon kaj respondecojn de ĉiu programara modulo kaj ĉiu sekureca funkcio de 5G.

• Divido de retaj nodoj en elementojn, kiuj certigas la funkciadon de protokoloj kutima aviadilo (el la angla UP - User Plane) kaj elementoj kiuj certigas la funkciadon de protokoloj kontrolaviadilo (el la angla CP - Control Plane), kiu pliigas flekseblecon laŭ skalo kaj disfaldo de la reto, t.e. centralizita aŭ malcentralizita lokigo de individuaj komponentaj retnodoj eblas.
• Subteno de mekanismo rettranĉado, surbaze de la servoj disponigitaj al specifaj grupoj de finuzantoj.
• Efektivigo de retaj elementoj en la formo virtualaj retaj funkcioj.
• Subteno por samtempa aliro al centralizitaj kaj lokaj servoj, t.e. efektivigo de nubaj konceptoj (el la angla. nebulkomputado) kaj limo (el la angla. randa komputado) kalkuloj.
• Реализация konverĝa arkitekturo kombinanta malsamajn specojn de alirretoj - 3GPP 5G Nova Radio kaj ne-3GPP (Wi-Fi, ktp.) - kun ununura reto-kerno.
• Subteno de unuformaj algoritmoj kaj aŭtentigaj proceduroj, sendepende de la speco de alirreto.
• Subteno por sennaciaj retfunkcioj, en kiuj la komputita rimedo estas apartigita de la rimedbutiko.
• Subteno por vagado kun trafikvojigo kaj tra la hejma reto (de la angla home-routed roaming) kaj kun loka "alteriĝo" (de la angla loka breakout) en la gastreto.
• La interagado inter retfunkcioj estas reprezentita laŭ du manieroj: servo-orientita и interfaco.

La 5-a generacia reto-sekureca koncepto inkluzivas:

• Uzanto-aŭtentigo de la reto.
• Reta aŭtentigo fare de la uzanto.
• Intertraktado de kriptografaj ŝlosiloj inter la reto kaj uzantekipaĵo.
• Ĉifrado kaj integreckontrolo de signala trafiko.
• Ĉifrado kaj kontrolo de la integreco de uzanttrafiko.
• Protekto de Uzanto ID.
• Protektante interfacojn inter malsamaj retaj elementoj laŭ la koncepto de retsekureca domajno.
• Izoliĝo de malsamaj tavoloj de la mekanismo rettranĉado kaj difinante la proprajn sekurecnivelojn de ĉiu tavolo.
• Uzanto-aŭtentikigo kaj trafika protekto je la nivelo de finaj servoj (IMS, IoT kaj aliaj).

Ŝlosilaj softvarmoduloj kaj 5G-retaj sekurecaj funkcioj

AMF (el la angla Access & Mobility Management Function - aliro kaj movebleca administra funkcio) - provizas:

• Organizo de kontrolebenaj interfacoj.
• Organizo de signala trafika interŝanĝo RRC, ĉifrado kaj protekto de la integreco de ĝiaj datumoj.
• Organizo de signala trafika interŝanĝo NAS, ĉifrado kaj protekto de la integreco de ĝiaj datumoj.
• Administri la registradon de uzantekipaĵoj en la reto kaj monitori eblajn registrajn ŝtatojn.
• Administri la konekton de uzantekipaĵoj al la reto kaj monitori eblajn statojn.
• Kontrolu la haveblecon de uzantekipaĵo en la reto en la stato CM-IDLE.
• Movebleca administrado de uzantekipaĵo en la reto en la ŝtato CM-CONNECTED.
• Transdono de mallongaj mesaĝoj inter uzanta ekipaĵo kaj SMF.
• Administrado de Lokaj Servoj.
• Atribuo de ID de fadeno EPS por interagi kun EPS.

SMF (angle: Session Management Function - funkcio administrado de sesio) - provizas:

• Administrado de sesio de komunikado, t.e. kreado, modifado kaj liberigo de sesioj, inkluzive de konservado de tunelo inter la alirreto kaj la UPF.
• Distribuado kaj administrado de IP-adresoj de uzantekipaĵo.
• Elektante la UPF-enirejon por uzi.
• Organizo de interago kun PCF.
• Administrado pri politika plenumado QoS.
• Dinamika agordo de uzantekipaĵo uzanta la protokolojn DHCPv4 kaj DHCPv6.
• Monitorante la kolekton de tarifdatenoj kaj organizado de interago kun la faktura sistemo.
• Senjunta liverado de servoj (el la angla. SSC - Sesio kaj Servokontinueco).
• Interagado kun gastretoj ene de vagado.

UPF (angla User Plane Function - uzanta ebena funkcio) - provizas:

• Interagado kun eksteraj datumretoj, inkluzive de la tutmonda Interreto.
• Envojigo de uzantpakaĵoj.
• Markado de pakoj laŭ QoS-politikoj.
• Diagnozo de uzantpakaĵo (ekzemple, subskrib-bazita aplikaĵdetekto).
• Provizante raportojn pri trafikuzo.
• UPF ankaŭ estas la ankropunkto por apogado de moviĝeblo kaj ene de kaj inter malsamaj radioalirteknologioj.

UDM (Angla Unified Data Management - unuigita datumbazo) - provizas:

• Administri uzantprofilajn datumojn, inkluzive de stokado kaj modifo de la listo de servoj disponeblaj por uzantoj kaj iliaj respondaj parametroj.
• Administrado SUPI
• Generu 3GPP-aŭtentigajn akreditaĵojn AKA.
• Alirrajtigo bazita sur profila datumo (ekzemple vaganta restriktoj).
• Uzanta registra administrado, t.e. stokado de servado de AMF.
• Subteno por senjuntaj servo- kaj komunikaj sesioj, t.e. stokado de la SMF asignita al la nuna komunika sesio.
• Administrado de livero de SMS.
• Pluraj malsamaj UDMoj povas servi la saman uzanton tra malsamaj transakcioj.

UDR (English Unified Data Repository - stokado de unuigitaj datumoj) - disponigas stokadon de diversaj uzantdatenoj kaj estas, fakte, datumbazo de ĉiuj retaj abonantoj.

UDSF (angle Unstructured Data Storage Function - nestrukturita datuma stokado funkcio) - certigas ke AMF-moduloj savas la nunajn kuntekstojn de registritaj uzantoj. Ĝenerale, ĉi tiuj informoj povas esti prezentitaj kiel datumoj de nedifinita strukturo. Uzantkuntekstoj povas esti uzataj por certigi seninterrompajn kaj seninterrompajn abonansesiojn, kaj dum la planita retiriĝo de unu el la AMFoj de la servo, kaj en la okazo de krizo. En ambaŭ kazoj, la rezerva AMF "prenos" la servon uzante kuntekstojn konservitajn en USDF.

Kombini UDR kaj UDSF sur la sama fizika platformo estas tipa efektivigo de ĉi tiuj retfunkcioj.

PCF (angle: Policy Control Function - politika kontrolo-funkcio) - kreas kaj asignas certajn servpolitikojn al uzantoj, inkluzive de QoS-parametroj kaj ŝarĝaj reguloj. Ekzemple, por transdoni unu aŭ alian tipon de trafiko, virtualaj kanaloj kun malsamaj karakterizaĵoj povas esti dinamike kreitaj. Samtempe, la postuloj de la servo petita de la abonanto, la nivelo de reto-ŝtopiĝo, la kvanto de trafiko konsumita, ktp.

NEF (Angla Network Exposure Function - reto-malkovra funkcio) - provizas:

• Organizo de sekura interago de eksteraj platformoj kaj aplikoj kun la reto-kerno.
• Administri QoS-parametrojn kaj ŝarĝajn regulojn por specifaj uzantoj.

SEAF (Angla Security Anchor Function - ankra sekurecfunkcio) - kune kun AUSF, disponigas aŭtentikigon de uzantoj kiam ili registras en la reto per iu ajn alirteknologio.

AUSF (Angla Authentication Server Function - aŭtentikiga servila funkcio) - ludas la rolon de aŭtentikigservilo kiu ricevas kaj prilaboras petojn de SEAF kaj redirektas ilin al ARPF.

ARPF (angle: Authentication Credential Repository and Processing Function - funkcio por stokado kaj prilaborado de aŭtentigaj akreditaĵoj) - disponigas stokadon de personaj sekretaj ŝlosiloj (KI) kaj parametrojn de kriptografaj algoritmoj, same kiel la generacion de aŭtentikigvektoroj laŭ 5G-AKA aŭ KAJ AP-Alinome. Ĝi situas en la datumcentro de la hejma telekomunika operatoro, protektita kontraŭ eksteraj fizikaj influoj, kaj, kiel regulo, estas integrita kun UDM.

SCMF (angle Security Context Management Function - administra funkcio sekureca kunteksto) - Provizas vivciklan administradon por la 5G-sekureca kunteksto.

SPCF (Angla Sekureca Politiko Kontrola Funkcio - sekurecpolitika administra funkcio) - certigas la kunordigon kaj aplikon de sekurecaj politikoj rilate al specifaj uzantoj. Ĉi tio konsideras la kapablojn de la reto, la kapablojn de la uzantekipaĵo kaj la postulojn de la specifa servo (ekzemple, la niveloj de protekto disponigitaj de la kritika komunika servo kaj la sendrata larĝbenda Interreta aliro servo povas malsami). Apliko de sekurecpolitikoj inkluzivas: elekto de AUSF, elekto de aŭtentikiga algoritmo, elekto de datuma ĉifrado kaj integreckontrolo algoritmoj, persistemo de la longo kaj vivociklo de ŝlosiloj.

SIDF (angla Subscription Identifier De-concealing Function - uzantidentigilo eltira funkcio) - certigas la eltiron de permanenta abonidentigilo de abonanto (angla SUPI) de kaŝita identigilo (angla). SUCI), ricevita kiel parto de la aŭtentikigprocedura peto "Auth Info Req".

Bazaj sekurecaj postuloj por 5G-komunikadaj retoj

Legi pliUzanto aŭtentigo: La servanta 5G-reto devas aŭtentikigi la SUPI de la uzanto en la 5G AKA procezo inter la uzanto kaj la reto.

Servante Retan Aŭtentigon: La uzanto devas aŭtentikigi la 5G servantan retan ID, kun aŭtentikigo atingita per la sukcesa uzo de ŝlosiloj akiritaj per la 5G AKA proceduro.

Uzanto-rajtigo: La servanta reto devas rajtigi la uzanton uzante la uzantprofilon ricevitan de la reto de la hejma telekomunika operatoro.

Rajtigo de la servanta reto fare de la hejma operatora reto: La uzanto devas ricevi konfirmon, ke li estas konektita al servoreto, kiu estas rajtigita de la hejma operatora reto por provizi servojn. Rajtigo estas implica en la senco, ke ĝi estas certigita per la sukcesa kompletigo de la 5G AKA proceduro.

Rajtigo de la alirreto fare de la hejma operatora reto: La uzanto devas ricevi konfirmon, ke li estas konektita al alirreto, kiu estas rajtigita de la hejma operatora reto por provizi servojn. Rajtigo estas implica en la senco ke ĝi estas devigita per sukcese establado de la sekureco de la alirreto. Ĉi tiu speco de rajtigo devas esti uzata por ajna speco de alirreto.

Neaŭtentikigitaj krizservoj: Por plenumi reguligajn postulojn en iuj regionoj, 5G-retoj devas disponigi neaŭtentikigitan aliron por krizservoj.

Reto-kerno kaj radio-alira reto: La 5G reto-kerno kaj 5G radioalira reto devas subteni la uzon de 128-bita ĉifrado kaj integrecalgoritmoj por certigi sekurecon. AS и NAS. Retaj interfacoj devas subteni 256-bitajn ĉifradŝlosilojn.

Bazaj sekurecaj postuloj por uzanta ekipaĵo

Legi pli

• La uzantekipaĵo devas apogi ĉifradon, integrecprotekton, kaj protekton kontraŭ ripetaj atakoj por uzantdatenoj elsenditaj inter ĝi kaj la radioalira reto.
• La uzantekipaĵo devas aktivigi mekanismojn de ĉifrado kaj integreco de datumoj kiel direktite de la radio-alira reto.
• Uzantekipaĵo devas subteni ĉifradon, integrecprotekton kaj protekton kontraŭ reludaj atakoj por signala trafiko de RRC kaj NAS.
• Uzanta ekipaĵo devas subteni la jenajn kriptigajn algoritmojn: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Uzanta ekipaĵo povas subteni la jenajn kriptajn algoritmojn: 128-NEA3, 128-NIA3.
• Uzantekipaĵo devas subteni la sekvajn kriptajn algoritmojn: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 se ĝi subtenas konekton al la E-UTRA radioalira reto.
• Protekto de la konfidenco de uzantdatenoj transdonitaj inter la uzantekipaĵo kaj la radio-alira reto estas laŭvola, sed devas esti disponigita kiam ajn permesite per reguligo.
• Privateca protekto por signala trafiko RRC kaj NAS estas laŭvola.
• La konstanta ŝlosilo de la uzanto devas esti protektita kaj konservita en bone sekurigitaj komponentoj de la uzantekipaĵo.
• La konstanta abonidentigilo de abonanto ne estu elsendita en klara teksto tra la radio-alira reto krom informoj necesaj por ĝusta vojigo (ekzemple MCC и MNC).
• La reto publika ŝlosilo de la hejma funkciigisto, la ŝlosilidentigilo, la sekureca skemidentigilo kaj la vojidentigilo devas esti stokitaj en USIM.

Ĉiu ĉifrada algoritmo estas rilata al binara nombro:

• "0000": NEA0 - Nula ĉifra algoritmo
• "0001": 128-NEA1 - 128-bita SNOW 3G bazita algoritmo
• "0010" 128-NEA2 - 128-bita AES bazita algoritmo
• "0011" 128-NEA3 - 128-bita ZUC bazita algoritmo.

Ĉifrado de datumoj uzante 128-NEA1 kaj 128-NEA2

PS La cirkvito estas pruntita de TS 133.501

Generacio de simulitaj enigaĵoj per algoritmoj 128-NIA1 kaj 128-NIA2 por certigi integrecon

PS La cirkvito estas pruntita de TS 133.501

Bazaj sekurecaj postuloj por 5G-retaj funkcioj

Legi pli

• AMF devas subteni primaran konfirmon uzante SUCI.
• SEAF devas subteni primaran konfirmon uzante SUCI.
• UDM kaj ARPF devas konservi la konstantan ŝlosilon de la uzanto kaj certigi, ke ĝi estas protektita kontraŭ ŝtelo.
• La AUSF nur provizas SUPI al la loka servanta reto post sukcesa komenca konfirmo uzante SUCI.
• NEF ne devas plusendi kaŝitajn kernajn informojn ekster la sekurecdomajno de la funkciigisto.

Bazaj Sekurecaj Proceduroj

Fidaj Domajnoj

En 5-a generaciaj retoj, fido je retelementoj malpliiĝas kiam elementoj malproksimiĝas de la retkerno. Ĉi tiu koncepto influas la decidojn efektivigitajn en la sekureca arkitekturo 5G. Tiel, ni povas paroli pri fida modelo de 5G-retoj, kiu determinas la konduton de retaj sekurecaj mekanismoj.

Sur la uzantflanko, la fiddomajno estas formita de UICC kaj USIM.

Ĉe la reto, la fiddomajno havas pli kompleksan strukturon.

La radio-alira reto estas dividita en du komponentojn − DU (el la angla Distributed Units - distribuitaj retunuoj) kaj CU (de la anglaj Centraj Unuoj - centraj unuoj de la reto). Kune ili formiĝas gNB — radiointerfaco de la bazstacio de la reto 5G. DUoj ne havas rektan aliron al uzantdatenoj ĉar ili povas esti deplojitaj sur senprotektitaj infrastruktursegmentoj. CUoj devas esti deplojitaj en protektitaj retsegmentoj, ĉar ili respondecas pri ĉesigado de trafiko de AS-sekurecaj mekanismoj. Ĉe la kerno de la reto troviĝas AMF, kiu finas trafikon de NAS-sekurecaj mekanismoj. La nuna specifo 3GPP 5G Phase 1 priskribas la kombinaĵon AMF kun sekureca funkcio SEAF, enhavante la radikŝlosilon (ankaŭ konatan kiel la "ankroŝlosilo") de la vizitita (servanta) reto. AUSF respondecas pri stokado de la ŝlosilo akirita post sukcesa aŭtentigo. Ĝi estas necesa por reuzo en kazoj kie la uzanto estas samtempe konektita al pluraj radioaliraj retoj. ARPF stokas uzantkreditaĵojn kaj estas analogo de USIM por abonantoj. UDR и UDM stoki uzantinformojn, kiuj estas uzataj por determini la logikon por generado de akreditaĵoj, uzantidentigiloj, certigi sean kontinuecon, ktp.

Hierarkio de ŝlosiloj kaj iliaj distribuskemoj

En retoj de 5-a generacio, male al 4G-LTE-retoj, la aŭtentikiga proceduro havas du komponentojn: primara kaj malĉefa aŭtentigo. Ĉefa aŭtentigo estas postulata por ĉiuj uzantaj aparatoj konektantaj al la reto. Sekundara aŭtentigo povas esti farita laŭ peto de eksteraj retoj, se la abonanto konektas al ili.

Post sukcesa kompletigo de primara aŭtentigo kaj la evoluo de komuna ŝlosilo K inter la uzanto kaj la reto, KSEAF estas ĉerpita de ŝlosilo K - speciala ankro (radiko) ŝlosilo de la servanta reto. Poste, ŝlosiloj estas generitaj de ĉi tiu ŝlosilo por certigi la konfidencon kaj integrecon de RRC kaj NAS-signalaj trafikdatenoj.

Diagramo kun klarigoj
Nomoj:
CK Ĉifra Ŝlosilo
IK (angle: Integrity Key) - ŝlosilo uzita en datumprotektaj mekanismoj.
CK' (eng. Cipher Key) - alia ĉifrika ŝlosilo kreita de CK por la EAP-AKA mekanismo.
IK' (angla Integrity Key) - alia ŝlosilo uzita en datumprotektaj mekanismoj por EAP-AKA.
KAUSF - generita de la ARPF-funkcio kaj uzanta ekipaĵo de CK и IK dum 5G AKA kaj EAP-AKA.
KSEAF - ankroŝlosilo akirita de la funkcio AUSF de la ŝlosilo KAMFAUSF.
KAMF — la ŝlosilo akirita de la funkcio SEAF de la ŝlosilo KSEAF.
KNASint, KNASenc — klavoj akiritaj de la funkcio AMF de la ŝlosilo KAMF por protekti NAS-signalan trafikon.
KRRCint, KRRCenc — klavoj akiritaj de la funkcio AMF de la ŝlosilo KAMF protekti RRC-signalan trafikon.
KUPint, KUPenc — klavoj akiritaj de la funkcio AMF de la ŝlosilo KAMF por protekti AS-signalan trafikon.
NH — meza klavo akirita de la funkcio AMF de la klavo KAMF por certigi datumsekurecon dum transdonoj.
KgNB — la ŝlosilo akirita per la AMF-funkcio de la ŝlosilo KAMF certigi la sekurecon de moveblaj mekanismoj.

Skemoj por generi SUCI de SUPI kaj inverse

Skemoj por akiri SUPI kaj SUCI

Produktado de SUCI de SUPI kaj SUPI de SUCI:

Aŭtentigo

Ĉefa aŭtentigo

En 5G-retoj, EAP-AKA kaj 5G AKA estas normaj primaraj aŭtentikigmekanismoj. Ni dividu la ĉefan aŭtentikigmekanismon en du fazojn: la unua respondecas pri iniciatado de aŭtentigo kaj elekto de aŭtentikigmetodo, la dua respondecas pri reciproka aŭtentigo inter la uzanto kaj la reto.

Iniciato

La uzanto sendas registradpeton al SEAF, kiu enhavas la kaŝitan abonan ID SUCI de la uzanto.

SEAF sendas al AUSF aŭtentikigpeton (Nausf_UEAuthentication_Authenticate Request) enhavantan SNN (Serving Network Name) kaj SUPI aŭ SUCI.

AUSF kontrolas ĉu la SEAF-aŭtentikigpetanto rajtas uzi la donitan SNN. Se la servanta reto ne estas rajtigita uzi ĉi tiun SNN, tiam la AUSF respondas per rajtiga erarmesaĝo "Servanta reto ne rajtigita" (Nausf_UEAuthentication_Authenticate Response).

Aŭtentigaj akreditaĵoj estas postulataj de la AUSF al UDM, ARPF aŭ SIDF per SUPI aŭ SUCI kaj SNN.

Surbaze de SUPI aŭ SUCI kaj uzantinformoj, UDM/ARPF elektas la aŭtentikigmetodon por uzi poste kaj eldonas la akreditaĵojn de la uzanto.

Reciproka Aŭtentigo

Dum uzado de iu ajn konfirmmetodo, la retfunkcioj de UDM/ARPF devas generi konfirmvektoron (AV).

EAP-AKA: UDM/ARPF unue generas konfirmvektoron kun apartiga bito AMF = 1, tiam generas CK' и IK' el CK, IK kaj SNN kaj konsistigas novan AV-aŭtentikigvektoron (RAND, AUTN, XRES*, CK', IK'), kiu estas sendita al la AUSF kun instrukcioj por uzi ĝin nur por EAP-AKA.

5G AKA: UDM/ARPF ricevas la ŝlosilon KAUSF el CK, IK kaj SNN, post kiu ĝi generas 5G HE AV. 5G Hejma Medio Aŭtentikiga Vektoro). 5G HE AV-aŭtentikigvektoro (RAND, AUTN, XRES, KAUSF) estas sendita al la AUSF kun instrukcioj por uzi ĝin nur por 5G AKA.

Post ĉi tiu AUSF la ankroŝlosilo estas akirita KSEAF de la ŝlosilo KAUSF kaj sendas peton al SEAF "Defio" en la mesaĝo "Nausf_UEAuthentication_Authenticate Response", kiu ankaŭ enhavas RAND, AUTN kaj RES*. Poste, la RAND kaj AUTN estas elsenditaj al la uzantekipaĵo uzante sekuran NAS-signalan mesaĝon. La USIM de la uzanto kalkulas RES* de la ricevitaj RAND kaj AUTN kaj sendas ĝin al SEAF. SEAF elsendas ĉi tiun valoron al AUSF por konfirmo.

AUSF komparas la XRES* stokitan en ĝi kaj la RES* ricevitan de la uzanto. Se estas kongruo, la AUSF kaj UDM en la hejma reto de la funkciigisto estas sciigitaj pri sukcesa aŭtentigo, kaj la uzanto kaj SEAF sendepende generas ŝlosilon. KAMF el KSEAF kaj SUPI por plua komunikado.

Sekundara aŭtentigo

La 5G-normo subtenas laŭvolan sekundaran aŭtentikigon bazitan sur EAP-AKA inter la uzantekipaĵo kaj la ekstera datumreto. En ĉi tiu kazo, SMF ludas la rolon de la EAP-aŭtentikigilo kaj dependas de la laboro AAA-ekstera retservilo kiu aŭtentikigas kaj rajtigas la uzanton.

• Deviga komenca uzantkonfirmo sur la hejma reto okazas kaj ofta NAS-sekureca kunteksto estas evoluigita kun AMF.
• La uzanto sendas peton al AMF por establi sesion.
• AMF sendas peton establi sesion al SMF indikante la SUPI de la uzanto.
• SMF validas la akreditaĵojn de la uzanto en UDM uzante la provizitan SUPI.
• La SMF sendas respondon al la peto de la AMF.
• SMF iniciatas la EAP-aŭtentikigproceduron por akiri permeson establi sesion de la AAA-servilo sur la ekstera reto. Por fari tion, la SMF kaj la uzanto interŝanĝas mesaĝojn por komenci la proceduron.
• La uzanto kaj la ekstera reto AAA-servilo tiam interŝanĝas mesaĝojn por aŭtentikigi kaj rajtigi la uzanton. En ĉi tiu kazo, la uzanto sendas mesaĝojn al la SMF, kiu siavice interŝanĝas mesaĝojn kun la ekstera reto per UPF.

konkludo

Kvankam la sekureca arkitekturo 5G baziĝas sur reuzo de ekzistantaj teknologioj, ĝi prezentas tute novajn defiojn. Grandega nombro da IoT-aparatoj, vastigitaj retaj limoj kaj malcentralizitaj arkitekturaj elementoj estas nur kelkaj el la ĉefaj principoj de la 5G-normo, kiuj donas liberan regadon al la imago de ciberkrimuloj.

La kerna normo por 5G-sekureca arkitekturo estas TS 23.501 versio 15.6.0 — enhavas ŝlosilajn punktojn de funkciado de sekurecaj mekanismoj kaj proceduroj. Aparte, ĝi priskribas la rolon de ĉiu VNF por certigi la protekton de uzantdatenoj kaj retaj nodoj, en generado de kriptaj ŝlosiloj kaj en efektivigado de la aŭtentikiga proceduro. Sed eĉ ĉi tiu normo ne donas respondojn al urĝaj sekurecproblemoj, kiuj alfrontas telekomunikajn funkciigistojn pli ofte ju pli intense estas disvolvitaj kaj ekfunkciigitaj retoj de nova generacio.

Ĉi-rilate, mi ŝatus kredi, ke la malfacilaĵoj por funkcii kaj protekti 5-an generacion de retoj neniel influos ordinarajn uzantojn, al kiuj estas promesitaj transsendorapidoj kaj respondoj kiel la filo de amikino de patrino kaj jam emas provi ĉiujn. la deklaritaj kapabloj de la novgeneraciaj retoj.

utilaj ligoj

3GPP-Specifika serio
5G sekureca arkitekturo
5G-sistema arkitekturo
5G Vikio
Notoj pri 5G-arkitekturo
5G-sekureca superrigardo

fonto: www.habr.com