Evidentemente, emprender el desarrollo de un nuevo estándar de comunicación sin pensar en los mecanismos de seguridad es una tarea extremadamente dudosa e inútil.

Arquitectura de seguridad 5G — un conjunto de mecanismos y procedimientos de seguridad implementados en redes de 5ta generacion y cubriendo todos los componentes de la red, desde el núcleo hasta las interfaces de radio.

Las redes de quinta generación son, en esencia, una evolución Redes LTE de cuarta generación. Las tecnologías de acceso radioeléctrico han sufrido los cambios más significativos. Para las redes de quinta generación, un nuevo RATA (Tecnología de Acceso Radio) - Radio nueva 5G. En cuanto al núcleo de la red, no ha sufrido cambios tan significativos. En este sentido, la arquitectura de seguridad de las redes 5G se ha desarrollado con énfasis en la reutilización de tecnologías relevantes adoptadas en el estándar 4G LTE.

Sin embargo, vale la pena señalar que repensar las amenazas conocidas, como los ataques a las interfaces aéreas y la capa de señalización (señalización avión), ataques DDOS, ataques Man-In-The-Middle, etc., llevaron a los operadores de telecomunicaciones a desarrollar nuevos estándares e integrar mecanismos de seguridad completamente nuevos en las redes de quinta generación.

Prerrequisitos

En 2015, la Unión Internacional de Telecomunicaciones elaboró el primer plan global de su tipo para el desarrollo de redes de quinta generación, por lo que la cuestión del desarrollo de mecanismos y procedimientos de seguridad en las redes 5G se ha vuelto especialmente grave.

La nueva tecnología ofrecía velocidades de transferencia de datos realmente impresionantes (más de 1 Gbps), una latencia de menos de 1 ms y la capacidad de conectar simultáneamente alrededor de 1 millón de dispositivos en un radio de 1 km2. Estos altos requisitos para las redes de quinta generación también se reflejan en los principios de su organización.

El principal fue la descentralización, que implicó la colocación de muchas bases de datos locales y sus centros de procesamiento en la periferia de la red. Esto permitió minimizar los retrasos cuando M2M-comunicaciones y aliviar el núcleo de la red debido al mantenimiento de una gran cantidad de dispositivos IoT. Así, el borde de las redes de próxima generación se expandió hasta las estaciones base, permitiendo la creación de centros de comunicación locales y la prestación de servicios en la nube sin riesgo de retrasos críticos o denegación de servicio. Naturalmente, el cambio de enfoque en materia de redes y servicio al cliente fue de interés para los atacantes, porque les abrió nuevas oportunidades para atacar tanto la información confidencial del usuario como los propios componentes de la red para provocar una denegación de servicio o apoderarse de los recursos informáticos del operador.

Principales vulnerabilidades de las redes de 5ª generación

Gran superficie de ataque

MásAl construir redes de telecomunicaciones de tercera y cuarta generación, los operadores de telecomunicaciones generalmente se limitaban a trabajar con uno o varios proveedores que suministraban inmediatamente un conjunto de hardware y software. Es decir, todo podría funcionar, como dicen, "listo para usar": bastaba con instalar y configurar el equipo comprado al proveedor; no había necesidad de reemplazar o complementar el software propietario. Las tendencias modernas van en contra de este enfoque "clásico" y apuntan a la virtualización de redes, un enfoque de múltiples proveedores para su construcción y la diversidad de software. Tecnologías como SDN (Red definida por software en inglés) y NFV (Virtualización de funciones de red en inglés), que conduce a la inclusión de una gran cantidad de software construido sobre la base de códigos fuente abiertos en los procesos y funciones de gestión de redes de comunicación. Esto brinda a los atacantes la oportunidad de estudiar mejor la red del operador e identificar un mayor número de vulnerabilidades, lo que, a su vez, aumenta la superficie de ataque de las redes de nueva generación en comparación con las actuales.

Gran cantidad de dispositivos IoT

MásPara 2021, alrededor del 57% de los dispositivos conectados a redes 5G serán dispositivos IoT. Esto significa que la mayoría de los hosts tendrán capacidades criptográficas limitadas (ver punto 2) y, en consecuencia, serán vulnerables a los ataques. Una gran cantidad de estos dispositivos aumentará el riesgo de proliferación de botnets y permitirá llevar a cabo ataques DDoS aún más potentes y distribuidos.

Capacidades criptográficas limitadas de los dispositivos IoT

MásComo ya se mencionó, las redes de quinta generación utilizan activamente dispositivos periféricos, que permiten eliminar parte de la carga del núcleo de la red y así reducir la latencia. Esto es necesario para servicios tan importantes como el control de vehículos no tripulados, el sistema de alerta de emergencia. IMS y otros, para quienes garantizar un retraso mínimo es fundamental, porque de ello dependen vidas humanas. Debido a la conexión de una gran cantidad de dispositivos IoT, que debido a su pequeño tamaño y bajo consumo de energía tienen recursos informáticos muy limitados, las redes 5G se vuelven vulnerables a ataques destinados a interceptar el control y posterior manipulación de dichos dispositivos. Por ejemplo, puede haber escenarios en los que los dispositivos IoT que forman parte del sistema estén infectados "casa inteligente", tipos de malware como Ransomware y ransomware. También son posibles escenarios de interceptación del control de vehículos no tripulados que reciben comandos e información de navegación a través de la nube. Formalmente, esta vulnerabilidad se debe a la descentralización de las redes de nueva generación, pero el siguiente párrafo describirá más claramente el problema de la descentralización.

Descentralización y expansión de los límites de la red.

MásLos dispositivos periféricos, que desempeñan el papel de núcleos de la red local, realizan el enrutamiento del tráfico de los usuarios, procesan las solicitudes, así como el almacenamiento en caché local y el almacenamiento de los datos del usuario. Así, los límites de las redes de quinta generación se están expandiendo, además del núcleo, hacia la periferia, incluidas las bases de datos locales y las interfaces de radio 5G-NR (5G New Radio). Esto crea la oportunidad de atacar los recursos informáticos de los dispositivos locales, que a priori están menos protegidos que los nodos centrales del núcleo de la red, con el objetivo de provocar una denegación de servicio. Esto puede provocar la desconexión del acceso a Internet en áreas enteras, un funcionamiento incorrecto de los dispositivos IoT (por ejemplo, en un sistema doméstico inteligente), así como la falta de disponibilidad del servicio de alerta de emergencia IMS.

Sin embargo, ETSI y 3GPP han publicado más de 10 estándares que cubren diversos aspectos de la seguridad de la red 5G. La gran mayoría de los mecanismos allí descritos tienen como objetivo proteger contra vulnerabilidades (incluidas las descritas anteriormente). Uno de los principales es el estándar. TS 23.501 versión 15.6.0, que describe la arquitectura de seguridad de las redes de quinta generación.

arquitectura 5G

Primero, pasemos a los principios clave de la arquitectura de la red 5G, que revelarán completamente el significado y las áreas de responsabilidad de cada módulo de software y cada función de seguridad 5G.

División de nodos de red en elementos que aseguran el funcionamiento de los protocolos. avión personalizado (del inglés UP - User Plane) y elementos que aseguran el funcionamiento de los protocolos plano de control (del inglés CP - Control Plane), lo que aumenta la flexibilidad en términos de escalamiento y despliegue de la red, es decir, es posible la ubicación centralizada o descentralizada de nodos de red de componentes individuales.
Soporte del mecanismo corte de red, en función de los servicios prestados a grupos específicos de usuarios finales.
Implementación de elementos de red en forma. funciones de red virtual.
Soporte para acceso simultáneo a servicios centralizados y locales, es decir, implementación de conceptos de nube (del inglés. computación de niebla) y borde (del inglés. informática de punta) cálculos.
implementación convergente arquitectura que combina diferentes tipos de redes de acceso - 3GPP 5G New Radio y no 3GPP (Wi-Fi, etc.) - con un único núcleo de red.
Soporte de algoritmos uniformes y procedimientos de autenticación, independientemente del tipo de red de acceso.
Soporte para funciones de red sin estado, en las que el recurso calculado está separado del almacén de recursos.
Soporte para roaming con enrutamiento de tráfico tanto a través de la red doméstica (desde el roaming con enrutamiento doméstico en inglés) como con un "aterrizaje" local (desde el breakout local en inglés) en la red de invitados.
La interacción entre funciones de red se representa de dos maneras: orientado al servicio и interfaz.

El concepto de seguridad de red de quinta generación incluye:

Autenticación de usuarios desde la red.
Autenticación de red por parte del usuario.
Negociación de claves criptográficas entre la red y los equipos del usuario.
Cifrado y control de integridad del tráfico de señalización.
Cifrado y control de la integridad del tráfico de usuarios.
Protección de identificación de usuario.
Proteger interfaces entre diferentes elementos de red de acuerdo con el concepto de dominio de seguridad de red.
Aislamiento de diferentes capas del mecanismo. corte de red y definir los niveles de seguridad propios de cada capa.
Autenticación de usuarios y protección de tráfico a nivel de servicios finales (IMS, IoT y otros).

Módulos de software clave y funciones de seguridad de la red 5G

AMF (del inglés Access & Mobility Management Function - función de gestión de acceso y movilidad) - proporciona:

Organización de interfaces del plano de control.
Organización del intercambio de tráfico de señalización. RRC, cifrado y protección de la integridad de sus datos.
Organización del intercambio de tráfico de señalización. NAS, cifrado y protección de la integridad de sus datos.
Gestionar el alta de los equipos de los usuarios en la red y monitorizar los posibles estados de registro.
Gestionar la conexión de los equipos del usuario a la red y monitorizar posibles estados.
Controlar la disponibilidad de los equipos del usuario en la red en el estado CM-IDLE.
Gestión de la movilidad de los equipos de usuario en la red en el estado CM-CONNECTED.
Transmisión de mensajes cortos entre el equipo del usuario y SMF.
Gestión de servicios de localización.
Asignación de ID de hilo EPS para interactuar con EPS.

SMF (Inglés: Función de gestión de sesiones - función de gestión de sesiones) - proporciona:

Gestión de sesiones de comunicación, es decir, creación, modificación y liberación de sesiones, incluido el mantenimiento de un túnel entre la red de acceso y la UPF.
Distribución y gestión de direcciones IP de los equipos de los usuarios.
Seleccionar la pasarela UPF a utilizar.
Organización de la interacción con el PCF.
Gestión de cumplimiento de políticas QoS.
Configuración dinámica de equipos de usuario mediante los protocolos DHCPv4 y DHCPv6.
Seguimiento de la recopilación de datos tarifarios y organización de la interacción con el sistema de facturación.
Prestación perfecta de servicios (del inglés. SSC - Continuidad de sesión y servicio).
Interacción con redes de invitados dentro del roaming.

UPF (Función de plano de usuario en inglés - función de plano de usuario) - proporciona:

Interacción con redes de datos externas, incluida Internet global.
Enrutamiento de paquetes de usuario.
Marcado de paquetes de acuerdo con políticas de QoS.
Diagnóstico de paquetes de usuario (por ejemplo, detección de aplicaciones basada en firmas).
Proporcionar informes sobre el uso del tráfico.
La UPF es también el punto de anclaje para apoyar la movilidad tanto dentro como entre las diferentes tecnologías de acceso radioeléctrico.

UDM (Gestión de datos unificada en inglés - base de datos unificada) - proporciona:

Gestionar los datos del perfil de usuario, incluido el almacenamiento y modificación de la lista de servicios disponibles para los usuarios y sus correspondientes parámetros.
Управление SUPI
Generar credenciales de autenticación 3GPP Apodo.
Autorización de acceso basada en datos de perfil (por ejemplo, restricciones de roaming).
Gestión de registro de usuarios, es decir, almacenamiento del servidor AMF.
Soporte para sesiones de comunicación y servicio sin interrupciones, es decir, almacenamiento del SMF asignado a la sesión de comunicación actual.
Gestión de entrega de SMS.
Varios UDM diferentes pueden atender al mismo usuario en diferentes transacciones.

UDR (Repositorio de datos unificados en inglés: almacenamiento de datos unificados): proporciona almacenamiento de diversos datos de usuario y es, de hecho, una base de datos de todos los suscriptores de la red.

UDSF (Función de almacenamiento de datos no estructurados en inglés - función de almacenamiento de datos no estructurados): garantiza que los módulos AMF guarden los contextos actuales de los usuarios registrados. En general, esta información se puede presentar como datos de estructura indefinida. Los contextos de usuario se pueden utilizar para garantizar sesiones de abonado fluidas e ininterrumpidas, tanto durante el retiro planificado de uno de los AMF del servicio como en caso de una emergencia. En ambos casos, el AMF de respaldo "recogerá" el servicio utilizando contextos almacenados en USDF.

Combinar UDR y UDSF en la misma plataforma física es una implementación típica de estas funciones de red.

PCF (Inglés: Función de control de políticas - función de control de políticas): crea y asigna ciertas políticas de servicio a los usuarios, incluidos los parámetros de QoS y las reglas de cobro. Por ejemplo, para transmitir uno u otro tipo de tráfico se pueden crear dinámicamente canales virtuales con diferentes características. Al mismo tiempo se pueden tener en cuenta los requisitos del servicio solicitado por el suscriptor, el nivel de congestión de la red, la cantidad de tráfico consumido, etc.

NEF (Función de exposición de red en inglés - función de exposición de red): proporciona:

Organización de interacción segura de plataformas y aplicaciones externas con el núcleo de la red.
Administre parámetros de QoS y reglas de cobro para usuarios específicos.

MAR (Inglés: Función de anclaje de seguridad): junto con AUSF, proporciona autenticación de usuarios al registrarse en una red con cualquier tecnología de acceso.

AUSF (Función de servidor de autenticación en inglés - función de servidor de autenticación): desempeña el papel de un servidor de autenticación que recibe y procesa solicitudes de SEAF y las redirige a ARPF.

ARPF (Inglés: Función de procesamiento y depósito de credenciales de autenticación: función de almacenamiento y procesamiento de credenciales de autenticación): proporciona almacenamiento de claves secretas personales (KI) y parámetros de algoritmos criptográficos, así como la generación de vectores de autenticación de acuerdo con 5G-AKA o EAP-AKA. Está ubicado en el centro de datos del operador de telecomunicaciones doméstico, protegido de influencias físicas externas y, por regla general, está integrado con UDM.

SCMF (Función de gestión del contexto de seguridad en inglés - función de gestión contexto de seguridad) - Proporciona gestión del ciclo de vida para el contexto de seguridad 5G.

SPCF (Función de control de políticas de seguridad en inglés - función de gestión de políticas de seguridad): garantiza la coordinación y aplicación de políticas de seguridad en relación con usuarios específicos. Esto tiene en cuenta las capacidades de la red, las capacidades del equipo del usuario y los requisitos del servicio específico (por ejemplo, los niveles de protección proporcionados por el servicio de comunicaciones críticas y el servicio de acceso inalámbrico a Internet de banda ancha pueden diferir). La aplicación de políticas de seguridad incluye: selección de AUSF, selección de algoritmo de autenticación, selección de algoritmos de control de integridad y cifrado de datos, determinación de la longitud y ciclo de vida de las claves.

FIDS (Función de ocultación del identificador de suscripción en inglés - función de extracción del identificador de usuario): garantiza la extracción del identificador de suscripción permanente de un suscriptor (SUPI en inglés) de un identificador oculto (en inglés SUCI), recibido como parte de la solicitud del procedimiento de autenticación “Auth Info Req”.

Requisitos básicos de seguridad para redes de comunicación 5G

MásAutenticacion de usuario: La red 5G de servicio debe autenticar el SUPI del usuario en el proceso 5G AKA entre el usuario y la red.

Servicio de autenticación de red: El usuario debe autenticar el ID de la red de servicio 5G, y la autenticación se logra mediante el uso exitoso de las claves obtenidas mediante el procedimiento 5G AKA.

Autorización de usuario: La red de servicio debe autorizar al usuario utilizando el perfil de usuario recibido de la red del operador de telecomunicaciones local.

Autorización de la red de servicio por parte de la red del operador local: Se debe proporcionar al usuario la confirmación de que está conectado a una red de servicio autorizada por la red del operador local para brindar servicios. La autorización es implícita en el sentido de que está garantizada por la finalización exitosa del procedimiento 5G AKA.

Autorización de la red de acceso por parte de la red del operador de origen: Se debe proporcionar al usuario la confirmación de que está conectado a una red de acceso autorizada por la red del operador local para brindar servicios. La autorización es implícita en el sentido de que se aplica estableciendo exitosamente la seguridad de la red de acceso. Este tipo de autorización debe utilizarse para cualquier tipo de red de acceso.

Servicios de emergencia no autenticados: Para cumplir con los requisitos regulatorios en algunas regiones, las redes 5G deben brindar acceso no autenticado a los servicios de emergencia.

Núcleo de red y red de acceso por radio.: El núcleo de la red 5G y la red de acceso de radio 5G deben admitir el uso de algoritmos de integridad y cifrado de 128 bits para garantizar la seguridad. AS и NAS. Las interfaces de red deben admitir claves de cifrado de 256 bits.

Requisitos básicos de seguridad para los equipos del usuario.

Más

El equipo del usuario debe admitir cifrado, protección de integridad y protección contra ataques de reproducción de los datos del usuario transmitidos entre él y la red de acceso por radio.
El equipo del usuario debe activar mecanismos de encriptación y protección de la integridad de los datos según lo indique la red de acceso radioeléctrico.
El equipo del usuario debe admitir cifrado, protección de integridad y protección contra ataques de reproducción para el tráfico de señalización RRC y NAS.
El equipo del usuario debe admitir los siguientes algoritmos criptográficos: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
El equipo del usuario puede admitir los siguientes algoritmos criptográficos: 128-NEA3, 128-NIA3.
El equipo del usuario debe admitir los siguientes algoritmos criptográficos: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 si admite la conexión a la red de acceso de radio E-UTRA.
La protección de la confidencialidad de los datos del usuario transmitidos entre el equipo del usuario y la red de acceso radioeléctrico es opcional, pero debe proporcionarse siempre que lo permita la normativa.
La protección de la privacidad para el tráfico de señalización RRC y NAS es opcional.
La clave permanente del usuario debe estar protegida y almacenada en componentes bien asegurados del equipo del usuario.
El identificador de suscripción permanente de un abonado no debe transmitirse en texto claro a través de la red de acceso por radio, excepto para la información necesaria para el enrutamiento correcto (por ejemplo MCC и MNC).
La clave pública de la red del operador local, el identificador de clave, el identificador del esquema de seguridad y el identificador de enrutamiento deben almacenarse en USIM.

Cada algoritmo de cifrado está asociado a un número binario:

"0000": NEA0 - Algoritmo de cifrado nulo
"0001": 128-NEA1 - 128 bits NIEVE Algoritmo basado en 3G
"0010" 128-NEA2 - 128 bits AES algoritmo basado
"0011" 128-NEA3 - 128 bits ZUC algoritmo basado.

Cifrado de datos mediante 128-NEA1 y 128-NEA2

PD: El circuito está tomado de TS 133.501

Generación de inserciones simuladas mediante los algoritmos 128-NIA1 y 128-NIA2 para garantizar la integridad.

PD: El circuito está tomado de TS 133.501

Requisitos básicos de seguridad para las funciones de la red 5G

Más

AMF debe admitir la autenticación primaria mediante SUCI.
SEAF debe admitir la autenticación primaria mediante SUCI.
UDM y ARPF deben almacenar la clave permanente del usuario y garantizar que esté protegida contra robo.
La AUSF solo proporcionará SUPI a la red de servicio local tras una autenticación inicial exitosa utilizando SUCI.
NEF no debe reenviar información oculta de la red central fuera del dominio de seguridad del operador.

Procedimientos básicos de seguridad

Dominios de confianza

En las redes de quinta generación, la confianza en los elementos de la red disminuye a medida que los elementos se alejan del núcleo de la red. Este concepto influye en las decisiones implementadas en la arquitectura de seguridad 5G. Así, podemos hablar de un modelo de confianza de las redes 5G que determina el comportamiento de los mecanismos de seguridad de la red.

Del lado del usuario, el dominio de confianza está formado por UICC y USIM.

En el lado de la red, el dominio de confianza tiene una estructura más compleja.

La red de acceso por radio se divide en dos componentes: DU (de las unidades distribuidas en inglés - unidades de red distribuidas) y CU (del inglés Central Units - unidades centrales de la red). Juntos forman gNB — interfaz de radio de la estación base de la red 5G. Los DU no tienen acceso directo a los datos del usuario, ya que pueden implementarse en segmentos de infraestructura desprotegidos. Las CU deben implementarse en segmentos de red protegidos, ya que son responsables de terminar el tráfico de los mecanismos de seguridad de AS. En el núcleo de la red se encuentra AMF, que finaliza el tráfico de los mecanismos de seguridad del NAS. La especificación actual 3GPP 5G Fase 1 describe la combinación AMF con función de seguridad MAR, que contiene la clave raíz (también conocida como "clave de anclaje") de la red visitada (de servicio). AUSF es responsable de almacenar la clave obtenida después de una autenticación exitosa. Es necesario su reutilización en los casos en que el usuario esté conectado simultáneamente a varias redes de acceso radioeléctrico. ARPF almacena las credenciales de usuario y es un análogo de USIM para suscriptores. UDR и UDM almacenar información del usuario, que se utiliza para determinar la lógica para generar credenciales, ID de usuario, garantizar la continuidad de la sesión, etc.

Jerarquía de claves y sus esquemas de distribución.

En las redes de quinta generación, a diferencia de las redes 5G-LTE, el procedimiento de autenticación tiene dos componentes: autenticación primaria y secundaria. Se requiere autenticación primaria para todos los dispositivos de usuario que se conectan a la red. La autenticación secundaria se puede realizar previa solicitud desde redes externas, si el suscriptor se conecta a ellas.

Después de completar con éxito la autenticación primaria y el desarrollo de una clave K compartida entre el usuario y la red, KSEAF se extrae de la clave K, una clave de anclaje especial (raíz) de la red de servicio. Posteriormente, a partir de esta clave se generan claves para garantizar la confidencialidad e integridad de los datos de tráfico de señalización RRC y NAS.

Diagrama con explicaciones.
Designaciones:
CK Clave de cifrado
IK (Inglés: Integrity Key): una clave utilizada en los mecanismos de protección de la integridad de los datos.
ck' (ing. Clave de cifrado): otra clave criptográfica creada a partir de CK para el mecanismo EAP-AKA.
IK' (Clave de integridad en inglés): otra clave utilizada en los mecanismos de protección de la integridad de los datos para EAP-AKA.
KAUSF - generado por la función ARPF y el equipo del usuario desde CK и IK durante 5G AKA y EAP-AKA.
KSEAF - clave de anclaje obtenida por la función AUSF de la clave KAMFAUSF.
KAMF — la clave obtenida por la función SEAF de la clave KSEAF.
KNASint, KNASenc — claves obtenidas por la función AMF de la clave KAMF para proteger el tráfico de señalización NAS.
KRRCint, KRRCenc — claves obtenidas por la función AMF de la clave KAMF para proteger el tráfico de señalización RRC.
KUPint, KUPenc — claves obtenidas por la función AMF de la clave KAMF para proteger el tráfico de señalización AS.
NH — clave intermedia obtenida por la función AMF a partir de la clave KAMF para garantizar la seguridad de los datos durante las transferencias.
KgNB — la clave obtenida por la función AMF de la clave KAMF para garantizar la seguridad de los mecanismos de movilidad.

Esquemas para generar SUCI a partir de SUPI y viceversa.

Esquemas para la obtención de SUPI y SUCI

Producción de SUCI de SUPI y SUPI de SUCI:

Autentificación

Autenticación primaria

En las redes 5G, EAP-AKA y 5G AKA son mecanismos de autenticación primarios estándar. Dividamos el mecanismo de autenticación principal en dos fases: la primera es responsable de iniciar la autenticación y seleccionar un método de autenticación, la segunda es responsable de la autenticación mutua entre el usuario y la red.

Инициация

El usuario envía una solicitud de registro a SEAF, que contiene el ID de suscripción oculto SUCI del usuario.

SEAF envía a AUSF un mensaje de solicitud de autenticación (Nausf_UEAuthentication_Authenticate Request) que contiene SNN (nombre de red de servicio) y SUPI o SUCI.

AUSF comprueba si el solicitante de autenticación SEAF tiene permiso para utilizar el SNN dado. Si la red de servicio no está autorizada para usar este SNN, entonces el AUSF responde con un mensaje de error de autorización "Red de servicio no autorizada" (Respuesta Nausf_UEAuthentication_Authenticate).

Las credenciales de autenticación las solicita la AUSF a la UDM, ARPF o SIDF a través de SUPI o SUCI y SNN.

Según SUPI o SUCI y la información del usuario, UDM/ARPF selecciona el método de autenticación que se utilizará a continuación y emite las credenciales del usuario.

Autenticacion mutua

Cuando se utiliza cualquier método de autenticación, las funciones de red UDM/ARPF deben generar un vector de autenticación (AV).

EAP-AKA: UDM/ARPF primero genera un vector de autenticación con el bit de separación AMF = 1, luego genera ck' и IK' de CK, IK y SNN y constituye un nuevo vector de autenticación AV (RAND, AUTN, XRES*, ck', IK'), que se envía a la AUSF con instrucciones para usarlo solo para EAP-AKA.

5G AKA: UDM/ARPF obtiene la clave KAUSF de CK, IK y SNN, tras lo cual genera 5G HE AV. Vector de autenticación del entorno doméstico 5G). Vector de autenticación 5G HE AV (RAND, AUTN, XRES, KAUSF) se envía al AUSF con instrucciones para usarlo solo para 5G, AKA.

Después de este AUSF se obtiene la clave de anclaje. KSEAF desde la llave KAUSF y envía una solicitud a SEAF “Challenge” en el mensaje “Nausf_UEAuthentication_Authenticate Response”, que también contiene RAND, AUTN y RES*. A continuación, RAND y AUTN se transmiten al equipo del usuario mediante un mensaje de señalización NAS seguro. El USIM del usuario calcula RES* a partir del RAND y AUTN recibidos y lo envía a SEAF. SEAF transmite este valor a AUSF para su verificación.

AUSF compara el XRES* almacenado en él y el RES* recibido del usuario. Si hay una coincidencia, se notifica al AUSF y al UDM en la red doméstica del operador sobre la autenticación exitosa y el usuario y SEAF generan de forma independiente una clave. KAMF de KSEAF y SUPI para mayor comunicación.

Autenticación secundaria

El estándar 5G admite autenticación secundaria opcional basada en EAP-AKA entre el equipo del usuario y la red de datos externa. En este caso, SMF desempeña el papel de autenticador EAP y se basa en el trabajo AAA-un servidor de red externo que autentica y autoriza al usuario.

Se produce la autenticación primaria obligatoria del usuario en la red doméstica y se desarrolla un contexto de seguridad NAS común con AMF.
El usuario envía una solicitud a AMF para establecer una sesión.
AMF envía una solicitud para establecer una sesión a SMF indicando el SUPI del usuario.
SMF valida las credenciales del usuario en UDM utilizando el SUPI proporcionado.
La SMF envía respuesta a la solicitud de la AMF.
SMF inicia el procedimiento de autenticación EAP para obtener permiso para establecer una sesión desde el servidor AAA en la red externa. Para ello, la SMF y el usuario intercambian mensajes para iniciar el procedimiento.
Luego, el usuario y el servidor AAA de la red externa intercambian mensajes para autenticar y autorizar al usuario. En este caso, el usuario envía mensajes al SMF, que a su vez intercambia mensajes con la red externa a través de la UPF.

Conclusión

Aunque la arquitectura de seguridad 5G se basa en la reutilización de tecnologías existentes, plantea desafíos completamente nuevos. Una gran cantidad de dispositivos IoT, límites de red ampliados y elementos de arquitectura descentralizada son solo algunos de los principios clave del estándar 5G que dan rienda suelta a la imaginación de los ciberdelincuentes.

El estándar central para la arquitectura de seguridad 5G es TS 23.501 versión 15.6.0 — contiene puntos clave del funcionamiento de los mecanismos y procedimientos de seguridad. En particular, describe el papel de cada VNF a la hora de garantizar la protección de los datos del usuario y de los nodos de la red, generar claves criptográficas e implementar el procedimiento de autenticación. Pero ni siquiera esta norma proporciona respuestas a los acuciantes problemas de seguridad a los que se enfrentan los operadores de telecomunicaciones con mayor frecuencia a medida que se desarrollan y ponen en funcionamiento redes de nueva generación.

En este sentido, me gustaría creer que las dificultades para operar y proteger las redes de quinta generación no afectarán en modo alguno a los usuarios comunes, a quienes se les prometen velocidades de transmisión y respuestas como el hijo de una amiga de su madre y que ya están ansiosos por probar todo. las capacidades declaradas de las redes de nueva generación.

Enlaces de interés

Serie de especificaciones 3GPP
Arquitectura de seguridad 5G
Arquitectura del sistema 5G
Wiki 5G
Notas de arquitectura 5G
Descripción general de la seguridad 5G

Fuente: habr.com

Introducción a la arquitectura de seguridad 5G: NFV, claves y 2 autenticaciones