Ilmselgelt on uue sidestandardi väljatöötamine ilma turvamehhanismidele mõtlemata äärmiselt kahtlane ja tulutu ettevõtmine.

5G turvaarhitektuur — aastal rakendatud turvamehhanismide ja protseduuride kogum 5. põlvkonna võrgud ja hõlmab kõiki võrgukomponente, alates tuumast kuni raadioliidesteni.

5. põlvkonna võrgud on sisuliselt evolutsioon 4. põlvkonna LTE võrgud. Kõige olulisemad muutused on läbi teinud raadiojuurdepääsu tehnoloogiad. 5. põlvkonna võrkude jaoks uus ROT (raadio juurdepääsu tehnoloogia) – 5G uus raadio. Mis puutub võrgu tuuma, siis see pole nii olulisi muudatusi läbi teinud. Sellega seoses on 5G võrkude turvaarhitektuur välja töötatud, keskendudes 4G LTE standardis omaks võetud asjakohaste tehnoloogiate taaskasutamisele.

Siiski väärib märkimist, et teadaolevate ohtude, nagu rünnakud õhuliideste ja signaalimiskihi vastu, ümbermõtestamine (signalisatsioon lennuk), DDOS-rünnakud, Man-In-The-Middle'i rünnakud jne ajendasid telekommunikatsioonioperaatoreid välja töötama uusi standardeid ja integreerima täiesti uued turvamehhanismid 5. põlvkonna võrkudesse.

Предпосылки

Rahvusvaheline Telekommunikatsiooni Liit koostas 2015. aastal esimese omataolise üleilmse plaani viienda põlvkonna võrkude arendamiseks, mistõttu on eriti teravaks muutunud 5G võrkude turvamehhanismide ja protseduuride arendamise küsimus.

Uus tehnoloogia pakkus tõeliselt muljetavaldavat andmeedastuskiirust (üle 1 Gbps), latentsusaega alla 1 ms ja võimalust ühendada üheaegselt umbes 1 miljonit seadet 1 km2 raadiuses. Sellised kõrgeimad nõuded 5. põlvkonna võrkudele kajastuvad ka nende korraldamise põhimõtetes.

Peamine neist oli detsentraliseerimine, mis eeldas paljude kohalike andmebaaside ja nende töötlemiskeskuste paigutamist võrgu perifeeriasse. See võimaldas viivitusi minimeerida M2M-side ja vabastada võrgutuuma tänu suure hulga asjade Interneti-seadmete teenindamisele. Seega laienes järgmise põlvkonna võrkude serv kuni tugijaamadeni, võimaldades luua kohalikke sidekeskusi ja pakkuda pilveteenuseid ilma kriitiliste viivituste või teenusest keeldumise ohuta. Loomulikult pakkus muutunud lähenemine võrgundusele ja klienditeenindusele ründajatele huvi, sest avas neile uued võimalused rünnata nii konfidentsiaalset kasutajainfot kui ka võrgukomponente endid, et tekitada teenusest keeldumist või arestida operaatori arvutusressursse.

5. põlvkonna võrkude peamised haavatavused

Suur ründepind

Rohkem3. ja 4. põlvkonna telekommunikatsioonivõrkude ehitamisel piirdusid telekommunikatsioonioperaatorid tavaliselt ühe või mitme müüjaga, kes tarnisid kohe riist- ja tarkvarakomplekti. See tähendab, et kõik võis töötada, nagu öeldakse, "karbist väljas" - piisas lihtsalt müüjalt ostetud seadmete installimisest ja konfigureerimisest; ei olnud vaja patenteeritud tarkvara asendada ega täiendada. Kaasaegsed suundumused on vastuolus selle "klassikalise" lähenemisviisiga ja on suunatud võrkude virtualiseerimisele, mitme tootja lähenemisviisile nende ehitamisele ja tarkvara mitmekesisusele. Tehnoloogiad nagu SDN (inglise keeles Software Defined Network) ja NFV (inglise Network Functions Virtualization), mis toob kaasa tohutu hulga avatud lähtekoodide baasil ehitatud tarkvara kaasamise sidevõrkude haldamise protsessidesse ja funktsioonidesse. See annab ründajatele võimaluse operaatori võrku paremini uurida ja tuvastada suurem hulk turvaauke, mis omakorda suurendab uue põlvkonna võrkude ründepinda võrreldes praeguste võrkudega.

Suur hulk IoT-seadmeid

RohkemAastaks 2021 on umbes 57% 5G võrkudega ühendatud seadmetest asjade Interneti-seadmed. See tähendab, et enamikul hostidel on piiratud krüptograafilised võimalused (vt punkt 2) ja seetõttu on nad rünnakute suhtes haavatavad. Tohutu hulk selliseid seadmeid suurendab botnettide leviku ohtu ja võimaldab läbi viia veelgi võimsamaid ja hajutatud DDoS-rünnakuid.

IoT-seadmete piiratud krüptograafilised võimalused

RohkemNagu juba mainitud, kasutavad 5. põlvkonna võrgud aktiivselt välisseadmeid, mis võimaldavad eemaldada osa võrgu tuumast koormusest ja vähendada seeläbi latentsust. See on vajalik selliste oluliste teenuste jaoks nagu mehitamata sõidukite juhtimine, hädaolukorra hoiatussüsteem IMS ja teised, kelle jaoks on minimaalse viivituse tagamine ülioluline, sest sellest sõltuvad inimelud. Seoses suure hulga asjade Interneti-seadmete ühendamisega, mis oma väiksuse ja väikese energiatarbimise tõttu on väga piiratud arvutusressursiga, muutuvad 5G võrgud haavatavaks rünnakute suhtes, mille eesmärk on selliste seadmete juhtimise pealtkuulamine ja sellele järgnev manipuleerimine. Näiteks võib esineda stsenaariume, kus süsteemi kuuluvad IoT-seadmed on nakatunud.tark Maja", pahavara tüüpi, nagu Lunavara ja lunavara. Võimalikud on ka pilve kaudu käsklusi ja navigatsiooniteavet vastuvõtvate mehitamata sõidukite juhtimise pealtkuulamise stsenaariumid. Formaalselt on see haavatavus tingitud uue põlvkonna võrkude detsentraliseerimisest, kuid järgmine lõik kirjeldab detsentraliseerimise probleemi selgemalt.

Võrgupiiride detsentraliseerimine ja laiendamine

RohkemVälisseadmed, mis täidavad kohaliku võrgu tuumade rolli, teostavad kasutajate liikluse marsruutimist, töötlevad päringuid, samuti kasutajaandmete kohalikku vahemällu salvestamist ja salvestamist. Seega laienevad 5. põlvkonna võrkude piirid lisaks tuumikule ka perifeeriasse, kaasa arvatud kohalikud andmebaasid ja 5G-NR (5G New Radio) raadioliidesed. See loob võimaluse rünnata kohalike seadmete arvutusressursse, mis on a priori nõrgemini kaitstud kui võrgutuuma kesksõlmed, eesmärgiga tekitada teenuse keelamine. See võib kaasa tuua tervete piirkondade Interneti-juurdepääsu katkemise, asjade Interneti-seadmete ebaõige toimimise (näiteks targa kodu süsteemis), aga ka IMS-i hädaabiteenuse kättesaamatuse.

ETSI ja 3GPP on aga nüüdseks avaldanud üle 10 standardi, mis hõlmavad 5G võrgu turvalisuse erinevaid aspekte. Valdav enamus seal kirjeldatud mehhanismidest on suunatud haavatavuste (sealhulgas ülalkirjeldatu) eest kaitsmisele. Üks peamisi on standard TS 23.501 versioon 15.6.0, mis kirjeldab 5. põlvkonna võrkude turbearhitektuuri.

5G arhitektuur

Kõigepealt pöördume 5G võrguarhitektuuri põhiprintsiipide juurde, mis paljastavad veelgi iga tarkvaramooduli ja iga 5G turvafunktsiooni tähenduse ja vastutusvaldkonnad.

• Võrgusõlmede jagamine elementideks, mis tagavad protokollide toimimise kohandatud lennuk (inglise keelest UP - User Plane) ja elemendid, mis tagavad protokollide toimimise juhtimistasand (inglise keelest CP - Control Plane), mis suurendab paindlikkust võrgu skaleerimise ja juurutamise osas, st on võimalik üksikute komponentide võrgusõlmede tsentraliseeritud või detsentraliseeritud paigutus.
• Mehhanismi tugi võrgu viilutamine, mis põhineb konkreetsetele lõppkasutajate rühmadele pakutavatel teenustel.
• Võrguelementide rakendamine vormis virtuaalse võrgu funktsioonid.
• Toetus samaaegseks juurdepääsuks tsentraliseeritud ja kohalikele teenustele, st pilvekontseptsioonide juurutamine (inglise keelest. uduarvutus) ja piir (inglise keelest. servaarvutus) arvutused.
• Реализация koonduv erinevat tüüpi juurdepääsuvõrke ühendav arhitektuur - 3GPP 5G Uus raadio ja mitte-3GPP (Wi-Fi jne) - ühe võrgutuumaga.
• Ühtsete algoritmide ja autentimisprotseduuride tugi olenemata juurdepääsuvõrgu tüübist.
• Olekuta võrgufunktsioonide tugi, mille puhul arvutatud ressurss eraldatakse ressursisalvest.
• Rändluse tugi liikluse marsruutimisega nii läbi koduvõrgu (inglise keelest home-routed roaming) kui ka kohaliku "maandumisega" (inglise keelest kohalikust läbimurdmisest) külalisvõrgus.
• Võrgufunktsioonide vastastikmõju on esitatud kahel viisil: teenindusele orienteeritud и liides.

5. põlvkonna võrguturbe kontseptsioon sisaldab:

• Kasutaja autentimine võrgust.
• Võrgu autentimine kasutaja poolt.
• Krüptograafiliste võtmete läbirääkimine võrgu ja kasutajaseadmete vahel.
• Signaaliliikluse krüpteerimine ja terviklikkuse kontroll.
• Kasutajaliikluse krüpteerimine ja terviklikkuse kontroll.
• Kasutaja ID kaitse.
• Liideste kaitsmine erinevate võrguelementide vahel vastavalt võrguturbe domeeni kontseptsioonile.
• Mehhanismi erinevate kihtide isoleerimine võrgu viilutamine ja iga kihi enda turvatasemete määratlemine.
• Kasutaja autentimine ja liikluse kaitse lõppteenuste tasemel (IMS, IoT jt).

Peamised tarkvaramoodulid ja 5G võrgu turvafunktsioonid

AMF (ingliskeelsest Access & Mobility Management Functionist – juurdepääsu ja mobiilsuse halduse funktsioon) – pakub:

• Juhttasandi liideste korraldus.
• Signalisatsiooni liiklusvahetuse korraldamine RRC, krüpteerimine ja selle andmete terviklikkuse kaitse.
• Signalisatsiooni liiklusvahetuse korraldamine NAS, krüpteerimine ja selle andmete terviklikkuse kaitse.
• Kasutajaseadmete võrgus registreerimise haldamine ja võimalike registreerimisolekute jälgimine.
• Kasutajaseadmete võrku ühendamise haldamine ja võimalike olekute jälgimine.
• Kontrollige kasutajaseadmete saadavust võrgus CM-IDLE olekus.
• Kasutajaseadmete mobiilsuse haldamine võrgus olekus CM-CONNECTED.
• Lühisõnumite edastamine kasutajaseadmete ja SMF-i vahel.
• Asukohateenuste haldamine.
• Lõime ID eraldamine EPS EPS-iga suhtlemiseks.

SMF (inglise keeles: Session Management Function – seansihaldusfunktsioon) – pakub:

• Sideseansi haldamine, st seansside loomine, muutmine ja vabastamine, sealhulgas juurdepääsuvõrgu ja UPF-i vahelise tunneli hoidmine.
• Kasutajaseadmete IP-aadresside levitamine ja haldamine.
• Kasutatava UPF-lüüsi valimine.
• PCF-iga suhtlemise korraldamine.
• Poliitika jõustamise juhtimine QoS.
• Kasutajaseadmete dünaamiline konfigureerimine, kasutades DHCPv4 ja DHCPv6 protokolle.
• Tariifiandmete kogumise jälgimine ja arveldussüsteemiga suhtlemise korraldamine.
• Sujuv teenuste osutamine (inglise keelest. SSC – seansi ja teenuse järjepidevus).
• Suhtlemine külalisvõrkudega rändluse raames.

UPF (inglise keeles User Plane Function – kasutaja tasapinna funktsioon) – pakub:

• Suhtlemine väliste andmevõrkudega, sealhulgas globaalse Internetiga.
• Kasutajapakettide marsruutimine.
• Pakettide märgistamine vastavalt QoS poliitikale.
• Kasutajapaketi diagnostika (näiteks allkirjapõhine rakenduste tuvastamine).
• Liikluskasutuse aruannete esitamine.
• UPF on ka tugipunkt mobiilsuse toetamiseks nii erinevate raadiojuurdepääsutehnoloogiate sees kui ka nende vahel.

UDM (inglise Unified Data Management – ​​ühtne andmebaas) – pakub:

• Kasutajaprofiili andmete haldamine, sealhulgas kasutajatele saadaolevate teenuste loendi ja nende vastavate parameetrite salvestamine ja muutmine.
• Juhtimine SUPI
• Looge 3GPP autentimismandaadid AKA.
• Profiiliandmetel põhinev juurdepääsuluba (näiteks rändluspiirangud).
• Kasutajate registreerimise haldamine, st teenindava AMF-i salvestamine.
• Sujuvate teenindus- ja sideseansside tugi, st praegusele sideseansile määratud SMF-i salvestamine.
• SMS-i edastamise haldus.
• Mitu erinevat UDM-i võivad teenindada sama kasutajat erinevate tehingute käigus.

UDR (Inglise Unified Data Repository – ühtsete andmete salvestamine) – võimaldab salvestada erinevaid kasutajaandmeid ja on tegelikult kõigi võrguabonentide andmebaas.

UDSF (inglise keeles Unstructured Data Storage Function – struktureerimata andmesalvestusfunktsioon) – tagab, et AMF-i moodulid salvestavad registreeritud kasutajate praegused kontekstid. Üldjuhul saab seda teavet esitada määramata struktuuriga andmetena. Kasutajakontekste saab kasutada sujuvate ja katkematute abonendiseansside tagamiseks nii ühe AMF-i plaanitud teenusest eemaldamise ajal kui ka hädaolukorras. Mõlemal juhul võtab varu-AMF teenuse USDF-i salvestatud kontekstide abil üles.

UDR-i ja UDSF-i kombineerimine samal füüsilisel platvormil on nende võrgufunktsioonide tüüpiline rakendamine.

PCF (inglise: Policy Control Function – Policy Control Function) – loob ja määrab kasutajatele teatud teenusepoliitikad, sealhulgas QoS-i parameetrid ja tasustamise reeglid. Näiteks saab üht või teist tüüpi liikluse edastamiseks dünaamiliselt luua erinevate omadustega virtuaalseid kanaleid. Samas saab arvesse võtta abonendi poolt soovitud teenuse nõudeid, võrgu ülekoormatuse taset, tarbitud liikluse hulka jne.

NEF (inglise keeles Network Exposure Function – võrgusärituse funktsioon) – pakub:

• Väliste platvormide ja rakenduste turvalise suhtluse korraldamine võrgu tuumaga.
• Hallake konkreetsete kasutajate QoS-i parameetreid ja tasumiseeskirju.

SEAF (Inglise Security Anchor Function - ankur turvafunktsioon) - koos AUSF-iga tagab kasutajate autentimise, kui nad registreeruvad võrku mis tahes juurdepääsutehnoloogiaga.

AUSF (inglise keeles Authentication Server Function – autentimisserveri funktsioon) – täidab autentimisserveri rolli, mis võtab vastu ja töötleb SEAF-i päringuid ning suunab need ümber ARPF-i.

ARPF (inglise keeles: Authentication Credential Repository and Processing Function – autentimismandaatide salvestamise ja töötlemise funktsioon) – tagab isiklike salavõtmete (KI) ja krüptoalgoritmide parameetrite salvestamise, samuti autentimisvektorite genereerimise kooskõlas 5G-AKA või EAP- AKA. See asub koduse sideoperaatori andmekeskuses, kaitstuna väliste füüsiliste mõjude eest ja on reeglina integreeritud UDM-iga.

SCMF (Inglise turbekonteksti haldusfunktsioon – haldusfunktsioon turvalisuse kontekstis) – pakub 5G turbekonteksti elutsükli haldust.

SPCF (inglise Security Policy Control Function – turvapoliitika haldusfunktsioon) – tagab turvapoliitikate koordineerimise ja rakendamise konkreetsete kasutajate suhtes. See võtab arvesse võrgu võimalusi, kasutajaseadmete võimalusi ja konkreetse teenuse nõudeid (näiteks kriitilise sideteenuse ja traadita Interneti lairiba juurdepääsuteenuse pakutavad kaitsetasemed võivad erineda). Turvapoliitikate rakendamine hõlmab: AUSF-i valikut, autentimisalgoritmi valikut, andmete krüptimise ja terviklikkuse kontrolli algoritmide valikut, võtmete pikkuse ja elutsükli määramist.

SIDF (Inglise Subscription Identifier De-concealing Function – kasutaja identifikaatori eraldamise funktsioon) – tagab abonendi püsiidentifikaatori (inglise SUPI) eraldamise peidetud identifikaatorist (inglise k. SUCI), mis saadi autentimisprotseduuri taotluse „Auth Info Req“ osana.

Põhilised turvanõuded 5G sidevõrkudele

RohkemKasutaja autentimine: teenindav 5G võrk peab kasutaja ja võrgu vahelises 5G AKA protsessis autentima kasutaja SUPI.

Võrgu autentimise teenindamine: kasutaja peab autentima 5G teenindava võrgu ID, mille autentimine saavutatakse 5G AKA protseduuriga saadud võtmete eduka kasutamisega.

Kasutaja autoriseerimine: teenindav võrk peab volitama kasutajat, kasutades kodusideoperaatori võrgust saadud kasutajaprofiili.

Teenindusvõrgu autoriseerimine koduoperaatori võrgu poolt: kasutajale tuleb anda kinnitus, et ta on ühendatud teenindusvõrku, mis on koduoperaatori võrgu poolt teenuste osutamiseks volitatud. Autoriseerimine on kaudne selles mõttes, et selle tagab 5G AKA protseduuri edukas läbimine.

Juurdepääsuvõrgu autoriseerimine koduoperaatori võrgu poolt: kasutajale tuleb anda kinnitus, et ta on ühendatud juurdepääsuvõrguga, mis on koduoperaatori võrgu poolt teenuste osutamiseks volitatud. Autoriseerimine on kaudne selles mõttes, et seda jõustatakse juurdepääsuvõrgu turvalisuse eduka loomisega. Seda tüüpi autoriseerimist tuleb kasutada igat tüüpi juurdepääsuvõrkude jaoks.

Autentimata hädaabiteenused: mõne piirkonna regulatiivsete nõuete täitmiseks peavad 5G-võrgud tagama hädaabiteenustele autentimata juurdepääsu.

Võrgu tuum- ja raadiojuurdepääsuvõrk: 5G võrgu tuum ja 5G raadiojuurdepääsuvõrk peavad turvalisuse tagamiseks toetama 128-bitise krüptimise ja terviklikkuse algoritmide kasutamist AS и NAS. Võrguliidesed peavad toetama 256-bitiseid krüptimisvõtmeid.

Põhilised ohutusnõuded kasutajaseadmetele

Rohkem

• Kasutajaseade peab toetama selle ja raadiojuurdepääsuvõrgu vahel edastatavate kasutajaandmete krüptimist, terviklikkuse kaitset ja kaitset kordusrünnete eest.
• Kasutajaseade peab raadiojuurdepääsuvõrgu juhiste kohaselt aktiveerima krüptimise ja andmete terviklikkuse kaitse mehhanismid.
• Kasutaja seadmed peavad toetama RRC- ja NAS-signaaliliikluse krüptimist, terviklikkuse kaitset ja kaitset kordusrünnakute eest.
• Kasutaja seadmed peavad toetama järgmisi krüptoalgoritme: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Kasutajaseadmed võivad toetada järgmisi krüptoalgoritme: 128-NEA3, 128-NIA3.
• Kasutajaseadmed peavad toetama järgmisi krüptoalgoritme: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, kui see toetab ühendust E-UTRA raadiopöördusvõrguga.
• Kasutajaseadmete ja raadiojuurdepääsuvõrgu vahel edastatavate kasutajaandmete konfidentsiaalsuse kaitse on valikuline, kuid see tuleb tagada alati, kui see on määrusega lubatud.
• RRC- ja NAS-signaaliliikluse privaatsuskaitse on valikuline.
• Kasutaja püsivõti peab olema kaitstud ja seda tuleb hoida kasutajaseadmete hästi turvatud komponentides.
• Abonendi alalist abonemendi identifikaatorit ei tohiks raadiojuurdepääsuvõrgu kaudu selge tekstina edastada, välja arvatud õigeks marsruutimiseks vajalik teave (nt MCC и MNC).
• Koduoperaatori võrgu avalik võti, võtme identifikaator, turvaskeemi identifikaator ja marsruutimise identifikaator tuleb salvestada USIM.

Iga krüpteerimisalgoritm on seotud kahendarvuga:

• "0000": NEA0 – nullšifreerimisalgoritm
• "0001": 128-NEA1 – 128-bitine SNOW 3G-põhine algoritm
• "0010" 128-NEA2 – 128-bitine AES põhinev algoritm
• "0011" 128-NEA3 – 128-bitine ZUC põhinev algoritm.

Andmete krüpteerimine 128-NEA1 ja 128-NEA2 abil

PS Ahel on laenatud TS 133.501

Simuleeritud lisade genereerimine algoritmide 128-NIA1 ja 128-NIA2 abil terviklikkuse tagamiseks

PS Ahel on laenatud TS 133.501

Põhilised turvanõuded 5G võrgu funktsioonidele

Rohkem

• AMF peab toetama esmast autentimist SUCI abil.
• SEAF peab toetama esmast autentimist SUCI abil.
• UDM ja ARPF peavad salvestama kasutaja püsivõtme ja tagama, et see on varguse eest kaitstud.
• AUSF pakub kohalikule teenindusvõrgule SUPI-d ainult eduka esmase autentimise korral SUCI abil.
• NEF ei tohi varjatud tuumikvõrgu teavet edastada väljaspool operaatori turvadomeeni.

Põhilised ohutusprotseduurid

Usalda domeene

5. põlvkonna võrkudes väheneb usaldus võrguelementide vastu, kuna elemendid eemalduvad võrgu tuumast. See kontseptsioon mõjutab 5G turbearhitektuuris rakendatavaid otsuseid. Seega saame rääkida 5G võrkude usaldusmudelist, mis määrab võrgu turvamehhanismide käitumise.

Kasutaja poolel moodustavad usaldusdomeeni UICC ja USIM.

Võrgu poolel on usaldusdomeenil keerulisem struktuur.

Raadio juurdepääsuvõrk on jagatud kaheks komponendiks DU (inglise keelest Distributed Units - hajutatud võrguüksused) ja CU (inglise keelest Central Units - võrgu kesküksused). Koos nad moodustavad gNB — 5G võrgu tugijaama raadioliides. Allkasutajatel pole otsest juurdepääsu kasutajaandmetele, kuna neid saab kasutada kaitsmata infrastruktuuri segmentides. CU-d tuleb juurutada kaitstud võrgusegmentidesse, kuna need vastutavad AS-i turbemehhanismide liikluse lõpetamise eest. Võrgu tuumas asub AMF, mis lõpetab liikluse NAS-i turvamehhanismidest. Praegune 3GPP 5G Phase 1 spetsifikatsioon kirjeldab kombinatsiooni AMF turvafunktsiooniga SEAF, mis sisaldab külastatava (teenitava) võrgu juurvõtit (tuntud ka kui "ankurvõti"). AUSF vastutab pärast edukat autentimist saadud võtme salvestamise eest. See on vajalik taaskasutamiseks juhtudel, kui kasutaja on samaaegselt ühendatud mitme raadiojuurdepääsuvõrguga. ARPF salvestab kasutaja mandaadid ja on abonentidele mõeldud USIM-i analoog. UDR и UDM salvestada kasutajateavet, mille abil määratakse mandaatide, kasutajatunnuste genereerimise loogika, seansi järjepidevuse tagamine jne.

Võtmete hierarhia ja nende jaotusskeemid

Erinevalt 5G-LTE võrkudest on 4. põlvkonna võrkudes autentimisprotseduuril kaks komponenti: esmane ja sekundaarne autentimine. Esmane autentimine on vajalik kõigi võrku ühendavate kasutajaseadmete jaoks. Sekundaarset autentimist saab teostada välisvõrkude nõudmisel, kui abonent nendega ühenduse loob.

Pärast esmase autentimise edukat lõpetamist ning jagatud võtme K väljatöötamist kasutaja ja võrgu vahel eraldatakse KSEAF võtmest K – teenindava võrgu erilisest ankurvõtmest (juurvõtmest). Seejärel genereeritakse sellest võtmest võtmed, et tagada RRC ja NAS signalisatsiooni liiklusandmete konfidentsiaalsus ja terviklikkus.

Skeem koos selgitustega
Nimetused:
CK Šifri võti
IK (inglise keeles: Integrity Key) – võti, mida kasutatakse andmete terviklikkuse kaitse mehhanismides.
CK' (eng. Cipher Key) - teine ​​krüptograafiline võti, mis on loodud CK-st EAP-AKA mehhanismi jaoks.
IK' (Inglise terviklikkuse võti) – teine ​​võti, mida kasutatakse EAP-AKA andmete terviklikkuse kaitsemehhanismides.
KAUSF - loodud funktsiooni ARPF ja kasutajaseadmete poolt CK и IK 5G AKA ja EAP-AKA ajal.
KSEAF - ankruvõti, mis on saadud AUSF-funktsiooni abil võtmest KAMFAUSF.
KAMF — SEAF-funktsiooni poolt klahvilt saadud võti KSEAF.
KNASint, KNASenc — klahvid, mis on saadud klahvi AMF-funktsiooniga KAMF NAS-i signaaliliikluse kaitsmiseks.
KRRCint, KRRCenc — klahvid, mis on saadud klahvi AMF-funktsiooniga KAMF RRC signalisatsiooniliikluse kaitsmiseks.
KUPint, KUPenc — klahvid, mis on saadud klahvi AMF-funktsiooniga KAMF AS-i signalisatsiooniliikluse kaitsmiseks.
NH — AMF-funktsiooni poolt klahvilt saadud vaheklahv KAMF andmete turvalisuse tagamiseks üleandmise ajal.
KgNB — võti, mille AMF-funktsioon saab klahvist KAMF liikumismehhanismide ohutuse tagamiseks.

Skeemid SUCI genereerimiseks SUPI-st ja vastupidi

SUPI ja SUCI saamise skeemid

SUCI tootmine SUPI-lt ja SUPI tootmine SUCI-st:

Autentimine

Esmane autentimine

5G võrkudes on EAP-AKA ja 5G AKA standardsed esmased autentimismehhanismid. Jagame esmase autentimismehhanismi kaheks faasiks: esimene vastutab autentimise algatamise ja autentimismeetodi valimise eest, teine ​​vastutab kasutaja ja võrgu vastastikuse autentimise eest.

Algatus

Kasutaja esitab SEAF-ile registreerimistaotluse, mis sisaldab kasutaja peidetud abonemendi ID-d SUCI.

SEAF saadab AUSF-ile autentimistaotluse sõnumi (Nausf_UEAuthentication_Authenticate Request), mis sisaldab SNN-i (Serving Network Name) ja SUPI-d või SUCI-d.

AUSF kontrollib, kas SEAF-i autentimise taotlejal on lubatud antud SNN-i kasutada. Kui teenindaval võrgul pole volitust seda SNN-i kasutada, vastab AUSF autoriseerimise tõrketeate „Teenindusvõrk pole lubatud” (Nausf_UEAuthentication_Authenticate Response).

Autentimismandaate küsib AUSF UDM-ilt, ARPF-ilt või SIDF-ilt SUPI või SUCI ja SNN-i kaudu.

SUPI või SUCI ja kasutajateabe põhjal valib UDM/ARPF järgmisena kasutatava autentimismeetodi ja väljastab kasutaja mandaadid.

Vastastikune autentimine

Mis tahes autentimismeetodi kasutamisel peavad UDM/ARPF võrgufunktsioonid genereerima autentimisvektori (AV).

EAP-AKA: UDM/ARPF genereerib esmalt autentimisvektori eraldusbitiga AMF = 1, seejärel genereerib CK' и IK' kohta CK, IK ja SNN ning moodustab uue AV autentimisvektori (RAND, AUTN, XRES*, CK', IK'), mis saadetakse AUSF-ile koos juhistega selle kasutamiseks ainult EAP-AKA jaoks.

5G AKA: UDM/ARPF saab võtme KAUSF kohta CK, IK ja SNN, misjärel see genereerib 5G HE AV. 5G kodukeskkonna autentimise vektor). 5G HE AV autentimisvektor (RAND, AUTN, XRES, KAUSF) saadetakse AUSF-ile koos juhistega selle kasutamiseks ainult 5G jaoks.

Pärast seda AUSF-i saadakse ankruvõti KSEAF võtmest KAUSF ja saadab SEAF-ile “Challenge” päringu sõnumiga “Nausf_UEAuthentication_Authenticate Response”, mis sisaldab ka RAND, AUTN ja RES*. Järgmisena edastatakse RAND ja AUTN kasutajaseadmesse turvalise NAS-i signaalisõnumi abil. Kasutaja USIM arvutab vastuvõetud RAND-i ja AUTN-i põhjal välja RES* ja saadab selle SEAF-ile. SEAF edastab selle väärtuse kontrollimiseks AUSF-ile.

AUSF võrdleb sellesse salvestatud XRES-i* ja kasutajalt saadud RES-i*. Sobivuse korral teavitatakse operaatori koduvõrgu AUSF-i ja UDM-i edukast autentimisest ning kasutaja ja SEAF genereerivad iseseisvalt võtme KAMF kohta KSEAF ja SUPI edasiseks suhtlemiseks.

Sekundaarne autentimine

5G standard toetab valikulist EAP-AKA-l põhinevat teisest autentimist kasutajaseadmete ja välise andmevõrgu vahel. Sel juhul täidab SMF EAP autentija rolli ja toetub tööle AAA- väline võrguserver, mis autentib ja volitab kasutajat.

• Kohustuslik esialgne kasutaja autentimine koduvõrgus toimub ja AMF-iga töötatakse välja ühine NAS-i turbekontekst.
• Kasutaja saadab AMF-ile taotluse seansi loomiseks.
• AMF saadab seansi loomise taotluse SMF-ile, näidates ära kasutaja SUPI.
• SMF kinnitab kasutaja mandaadid UDM-is, kasutades kaasasolevat SUPI-d.
• SMF saadab AMF-i päringule vastuse.
• SMF käivitab EAP autentimise protseduuri, et saada luba seansi loomiseks välisvõrgus AAA serverist. Selleks vahetavad SMF ja kasutaja protseduuri algatamiseks sõnumeid.
• Seejärel vahetavad kasutaja ja välisvõrgu AAA-server sõnumeid kasutaja autentimiseks ja autoriseerimiseks. Sel juhul saadab kasutaja sõnumeid SMF-ile, mis omakorda vahetab UPF-i kaudu sõnumeid välisvõrguga.

Järeldus

Kuigi 5G turvaarhitektuur põhineb olemasolevate tehnoloogiate taaskasutamisel, esitab see täiesti uusi väljakutseid. Tohutu hulk asjade interneti seadmeid, laiendatud võrgupiirid ja detsentraliseeritud arhitektuurielemendid on vaid mõned 5G standardi põhiprintsiibid, mis annavad küberkurjategijate kujutlusvõimele vabad käed.

5G turbearhitektuuri põhistandard on TS 23.501 versioon 15.6.0 — sisaldab turvamehhanismide ja -protseduuride toimimise põhipunkte. Eelkõige kirjeldab see iga VNF-i rolli kasutajaandmete ja võrgusõlmede kaitse tagamisel, krüptovõtmete genereerimisel ja autentimisprotseduuri rakendamisel. Kuid isegi see standard ei anna vastuseid pakilisematele turvaprobleemidele, millega telekommunikatsioonioperaatorid sagedamini silmitsi seisavad, mida intensiivsemalt uue põlvkonna võrke arendatakse ja kasutusele võetakse.

Sellega seoses tahaks uskuda, et raskused 5. põlvkonna võrkude toimimisel ja kaitsmisel ei mõjuta kuidagi tavakasutajaid, kellele lubatakse edastuskiirust ja reageerimist nagu ema sõbranna pojale ning kes on juba innukalt kõiki proovima. uue põlvkonna võrkude deklareeritud võimalused.

Kasulikud lingid

3GPP spetsifikatsioonide seeria
5G turvaarhitektuur
5G süsteemi arhitektuur
5G Wiki
5G arhitektuuri märkmed
5G turvalisuse ülevaade

Allikas: www.habr.com