5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa
Jakina, segurtasun-mekanismoetan pentsatu gabe komunikazio-estandar berri baten garapena hartzea oso zalantzazko eta alferrikako ahalegina da.
5G Segurtasun Arkitektura β urtean ezarritako segurtasun-mekanismo eta prozeduren multzoa 5. belaunaldiko sareak eta sareko osagai guztiak estaltzen ditu, nukleotik hasi eta irrati-interfazeetaraino.
5. belaunaldiko sareak, funtsean, bilakaera bat dira 4. belaunaldiko LTE sareak. Irrati sarbide teknologiek izan dituzte aldaketarik nabarmenenak. 5. belaunaldiko sareentzat, berria RATOIA (Irrati Sarbide Teknologia) - 5G Irrati Berria. Sarearen muinari dagokionez, ez du halako aldaketa nabarmenik jasan. Ildo horretan, 5G sareen segurtasun-arkitektura garatu da 4G LTE estandarrean hartutako teknologia garrantzitsuak berrerabiltzeari garrantzia emanez.
Hala ere, nabarmentzekoa da mehatxu ezagunak birplanteatzea, hala nola aire-interfazeen eta seinaleztapen-geruzaren aurkako erasoak (Seinaleztatzeko hegazkina), DDOS erasoak, Man-In-The-Middle erasoak eta abar, telekomunikazio-operadoreak estandar berriak garatzera eta segurtasun-mekanismo guztiz berriak 5. belaunaldiko sareetan integratzera bultzatu zituen.
ezinbesteko baldintza
2015ean, Nazioarteko Telekomunikazio Batasunak bosgarren belaunaldiko sareak garatzeko bere motako lehen plan globala egin zuen, eta horregatik 5G sareetan segurtasun mekanismoak eta prozedurak garatzeko gaia larritu egin da.
Teknologia berriak datu-transferentzia-abiadura benetan ikusgarriak eskaintzen zituen (1 Gbps baino gehiago), 1 ms baino gutxiagoko latentzia eta milioi bat gailu aldi berean konektatzeko gaitasuna 1 km1-ko erradioan. 2. belaunaldiko sareen eskakizun handienak haien antolaketaren printzipioetan ere islatzen dira.
Nagusia deszentralizazioa izan zen, eta horrek tokiko datu-base asko eta haien prozesatze zentro sarearen periferian kokatzea suposatzen zuen. Horri esker, atzerapenak minimizatzea ahalbidetu zuen M2M-komunikazioak eta sarearen nukleoa arintzea IoT gailu kopuru handi bati zerbitzua emateagatik. Horrela, hurrengo belaunaldiko sareen ertza oinarrizko estazioetaraino hedatu zen, tokiko komunikazio zentroak sortzea eta hodeiko zerbitzuak eskaintzea ahalbidetuz, atzerapen kritikoen edo zerbitzua ukatzeko arriskurik gabe. Jakina, sareak eta bezeroarentzako arretarako ikuspegia aldatu zen erasotzaileentzat interesgarria izan zen, aukera berriak ireki zizkielako erabiltzailearen informazio konfidentziala eta sareko osagaiei beraiei erasotzeko, zerbitzuaren ukapena eragiteko edo operadorearen baliabide informatikoak bahitzeko.
5. belaunaldiko sareen ahultasun nagusiak
Eraso azalera handia
Gehiago3. eta 4. belaunaldietako telekomunikazio-sareak eraikitzean, telekomunikazio-operadoreak normalean hardware eta software multzo bat berehala hornitzen zuten saltzaile batekin edo batzuekin lan egitera mugatzen ziren. Hau da, dena funtziona zezakeen, esaten den bezala, "kutxatik kanpo" - nahikoa zen saltzaileak erositako ekipoak instalatzea eta konfiguratzea; ez zegoen software jabeduna ordezkatu edo osatzeko beharrik. Joera modernoak ikuspegi "klasiko" horren aurka doaz eta sareen birtualizazioa, haien eraikuntzarako eta software aniztasunerako hornitzaile anitzeko ikuspegia dute helburu. bezalako teknologiak SDN (Ingelesezko Software Definitutako Sarea) eta NFV (English Network Functions Virtualization), komunikazio sareak kudeatzeko prozesu eta funtzioetan iturburu irekiko kodeetan oinarrituta eraikitako software kopuru handi bat sartzea dakar. Horrek aukera ematen die erasotzaileei operadorearen sarea hobeto aztertzeko eta ahultasun kopuru handiagoa identifikatzeko, eta horrek, belaunaldi berriko sareen eraso-azalera areagotzen du egungoekin alderatuta.
IoT gailu kopuru handia
Gehiago2021erako, 57G sareetara konektatutako gailuen % 5 inguru IoT gailuak izango dira. Horrek esan nahi du ostalari gehienek gaitasun kriptografiko mugatuak izango dituztela (ikus 2. puntua) eta, horren arabera, erasoen aurrean zaurgarriak izango direla. Horrelako gailu kopuru handi batek botnetak ugaltzeko arriskua areagotuko du eta DDoS erasoak are indartsuagoak eta banatuagoak egitea ahalbidetuko du.
IoT gailuen gaitasun kriptografiko mugatuak
GehiagoEsan bezala, 5. belaunaldiko sareek aktiboki erabiltzen dituzte gailu periferikoak, sarearen nukleotik kargaren zati bat kentzeko eta, ondorioz, latentzia murrizteko. Hori beharrezkoa da, besteak beste, ibilgailurik gabeko ibilgailuen kontrola, larrialdietarako abisu sistema bezalako zerbitzu garrantzitsuetarako IMS eta beste batzuentzat, gutxieneko atzerapena ziurtatzea funtsezkoa da, gizakien bizitza horren mende baitago. IoT gailu kopuru handi baten konexioa dela eta, tamaina txikia eta energia-kontsumo baxua direla eta, baliabide informatiko oso mugatuak dituztenez, 5G sareak ahul bihurtzen dira gailu horien kontrola atzematea eta ondorengo manipulazioa helburu duten erasoen aurrean. Adibidez, sistemaren parte diren IoT gailuak kutsatuta dauden eszenatokiak egon daitezke.Etxe adimenduna", esaterako, malware motak Ransomwarea eta ransomwarea. Hodeian aginduak eta nabigazio-informazioa jasotzen duten tripulatu gabeko ibilgailuen kontrola atzemateko eszenatokiak ere posible dira. Formalki, ahultasun hori belaunaldi berriko sareen deszentralizazioari dagokio, baina hurrengo paragrafoan deszentralizazioaren arazoa argiago azalduko da.
Sareen mugen deszentralizazioa eta hedapena
GehiagoGailu periferikoek, sare lokaleko nukleoen papera betetzen dutenez, erabiltzaileen trafikoa bideratzen dute, eskaerak prozesatzen dituzte, baita erabiltzailearen datuen tokiko cachea eta biltegiratzea ere. Horrela, 5. belaunaldiko sareen mugak hedatzen ari dira, muinaz gain, periferiara, tokiko datu-baseak eta 5G-NR (5G New Radio) irrati-interfazeak barne. Horrek aukera sortzen du tokiko gailuen baliabide informatikoei erasotzeko, sarearen nukleoaren erdiko nodoak baino babestuago dauden a priori, zerbitzuaren ukapena eragiteko helburuarekin. Horrek eremu osoetarako Interneterako sarbidea deskonexioa, IoT gailuen funtzionamendu okerra ekar dezake (adibidez, etxeko sistema adimendun batean), baita IMS larrialdietarako alerta-zerbitzua erabilgarri ez egotea ere.
Hala ere, ETSI eta 3GPP-ek 10G sareko segurtasunaren hainbat alderdi biltzen dituzten 5 estandar baino gehiago argitaratu dituzte. Bertan deskribatutako mekanismoen gehiengoak ahultasunetatik babestera zuzenduta daude (goian azaldutakoak barne). Nagusietako bat estandarra da TS 23.501 15.6.0 bertsioa, 5. belaunaldiko sareen segurtasun-arkitektura deskribatuz.
5G arkitektura
Lehenik eta behin, itzul ditzagun 5G sare-arkitekturaren funtsezko printzipioetara, software modulu bakoitzaren eta 5G segurtasun-funtzio bakoitzaren esanahia eta erantzukizun-eremuak guztiz agerian utziko dituztenak.
Sare-nodoak protokoloen funtzionamendua ziurtatzen duten elementuetan banatzea hegazkin pertsonalizatua (ingelesez UP - User Plane) eta protokoloen funtzionamendua ziurtatzen duten elementuak kontrol-hegazkina (Ingelesezko CP - Control Plane-tik), sarearen eskalatze eta hedapenari dagokionez malgutasuna areagotzen duena, hau da, osagai indibidualaren sareko nodoen kokapen zentralizatua edo deszentralizatua posible da.
Mekanismoaren euskarria sarearen zatiketa, azken erabiltzaile talde zehatzei emandako zerbitzuetan oinarrituta.
Zerbitzu zentralizatuetara eta tokikoetara aldi berean sartzeko laguntza, hau da, hodeiko kontzeptuak ezartzeko (ingelesetik. lainoaren konputazioa) eta muga (ingelesetik. ertz informatikoa) kalkuluak.
Inplementazioa konbergentea sarbide-sare mota desberdinak konbinatzen dituen arkitektura - 3GPP 5G Irrati Berria eta 3GPP ez dena (Wi-Fi, etab.) - sare-nukleo bakar batekin.
Algoritmo uniformeen eta autentifikazio-prozeduraren laguntza, sarbide-sare mota edozein dela ere.
Ibiltaritzako laguntza trafikoaren bideraketarekin, bai etxeko sarearen bidez (ingelesezko home-routed roaming-etik) bai tokiko "lurreratze" batekin (ingelesezko local breakout-etik) gonbidatuen sarean.
Erabiltzaileen erregistroaren kudeaketa, hau da, AMF zerbitzuaren biltegiratzea.
Zerbitzu eta komunikazio-saio bateratuetarako laguntza, hau da, uneko komunikazio-saioari esleitutako SMF gordetzea.
SMSak bidaltzeko kudeaketa.
Hainbat UDM ezberdinek erabiltzaile berari zerbitza dezakete transakzio ezberdinetan.
UDR (English Unified Data Repository - datu bateratuen biltegiratzea) - erabiltzaileen hainbat datu biltegiratzea eskaintzen du eta, hain zuzen ere, sareko harpidedun guztien datu-base bat da.
UDSF (Ingelesez Egituratu gabeko Datuen Biltegiratze Funtzioa - Egituratu gabeko datuak biltegiratzeko funtzioa) - AMF moduluek erregistratutako erabiltzaileen uneko testuinguruak gordetzen dituztela ziurtatzen du. Oro har, informazio hori egitura mugagabeko datu gisa aurkez daiteke. Erabiltzaile-testuinguruak harpidedun-saio etengabeak eta etenik gabeak bermatzeko erabil daitezke, bai AMFren bat zerbitzutik aurreikusitako kentzean, bai larrialdi-egoeran. Bi kasuetan, babeskopia AMF-k zerbitzua "jaso" egingo du USDF-n gordetako testuinguruak erabiliz.
UDR eta UDSF plataforma fisiko berean konbinatzea sareko funtzio horien inplementazio tipikoa da.
PCF (Ingelesez: Policy Control Function - politika kontrolatzeko funtzioa) - zerbitzu-politika batzuk sortzen eta esleitzen dizkie erabiltzaileei, QoS parametroak eta kobratzeko arauak barne. Adibidez, trafiko mota bat edo beste transmititzeko, ezaugarri desberdinak dituzten kanal birtualak dinamikoki sor daitezke. Aldi berean, harpidedunak eskatutako zerbitzuaren eskakizunak, sarearen pilaketa-maila, kontsumitutako trafiko-kopurua, etab.
NEF (Ingelesezko Network Exposure Function - sareko esposizio funtzioa) - eskaintzen du:
Kanpoko plataformen eta aplikazioen interakzio seguruaren antolaketa sarearen nukleoarekin.
Kudeatu QoS parametroak eta kobratzeko arauak erabiltzaile jakin batzuentzat.
ITSASOA (Ingelesez Security Anchor Function - aingura segurtasun funtzioa) - AUSF-ekin batera, erabiltzaileen autentifikazioa eskaintzen du sarean edozein sarbide-teknologiarekin erregistratzen direnean.
AUSF (Ingelesezko autentifikazio-zerbitzariaren funtzioa - autentifikazio-zerbitzariaren funtzioa) - SEAFen eskaerak jaso eta prozesatzen dituen autentifikazio-zerbitzari baten papera betetzen du eta ARPFra birbideratzen ditu.
ARPF (Ingelesa: Autentifikazio Kredentzialen Biltegia eta Prozesatzeko Funtzioa - autentifikazio kredentzialak gordetzeko eta prozesatzeko funtzioa) - gako sekretu pertsonalak (KI) eta algoritmo kriptografikoen parametroak biltegiratzea eskaintzen du, baita 5G-AKA edo XNUMXG-AKAren araberako autentifikazio-bektoreak sortzea ere. EAP-AKA. Etxeko telekomunikazio-operadorearen datu-zentroan dago, kanpoko eragin fisikoetatik babestuta, eta, oro har, UDM-rekin integratuta dago.
SCMF (Ingelesez Security Context Management Function - kudeaketa funtzioa segurtasun testuingurua) - Bizi-zikloaren kudeaketa eskaintzen du 5G segurtasun testuingururako.
SPCF (English Security Policy Control Function - segurtasun politika kudeatzeko funtzioa) - erabiltzaile zehatzei dagokienez segurtasun politiken koordinazioa eta aplikazioa bermatzen du. Horrek sarearen gaitasunak, erabiltzailearen ekipamenduaren gaitasunak eta zerbitzu zehatzaren eskakizunak hartzen ditu kontuan (adibidez, komunikazio-zerbitzu kritikoak eta hari gabeko banda zabaleko Interneterako sarbide-zerbitzuak eskaintzen dituen babes-mailak desberdinak izan daitezke). Segurtasun-politiken aplikazioak honako hauek dira: AUSF hautatzea, autentifikazio-algoritmoa hautatzea, datuen enkriptatzea eta osotasuna kontrolatzeko algoritmoak hautatzea, gakoen iraupena eta bizi-zikloa zehaztea.
SIDF (Ingeleseko harpidetza-identifikatzailea ezkutatzeko funtzioa - erabiltzailearen identifikatzailea ateratzeko funtzioa) - harpidedun baten harpidetza-identifikatzaile iraunkorra (ingeleseko SUPI) ezkutuko identifikatzaile batetik (ingelesez) ateratzea bermatzen du. SUCI), "Auth Info Req" autentifikazio-prozedura-eskaeraren barruan jasotakoa.
5G komunikazio-sareetarako oinarrizko segurtasun-baldintzak
GehiagoErabiltzaileen autentifikazioa: zerbitzatzen duen 5G sareak erabiltzailearen eta sarearen arteko 5G AKA prozesuan erabiltzailearen SUPI autentifikatu behar du.
Sareko autentifikazioa zerbitzatzen: Erabiltzaileak 5G zerbitzatzeko sarearen IDa autentifikatu behar du, 5G AKA prozeduraren bidez lortutako gakoak arrakastaz erabiltzearen bidez lortutako autentifikazioarekin.
Erabiltzailearen baimena: Zerbitzu-sareak erabiltzaileari baimena eman behar dio etxeko telekomunikazio-operadorearen saretik jasotako erabiltzaile-profila erabiliz.
Etxeko operadorearen sarearen zerbitzu-sarearen baimena: Erabiltzaileari etxeko operadorearen sareak zerbitzuak emateko baimena duen zerbitzu-sare batera konektatuta dagoela baieztatu behar zaio. Baimena inplizitua da 5G AKA prozedura arrakastaz betetzeak bermatzen duen zentzuan.
Etxeko operadorearen sarearen sarbide-sarearen baimena: Erabiltzaileari etxeko operadorearen sareak zerbitzuak emateko baimena duen sarbide-sare batera konektatuta dagoela baieztatu behar zaio. Baimena inplizitua da sarbide-sarearen segurtasuna arrakastaz ezarriz betearazten den zentzuan. Baimen mota hau edozein sarbide-saretarako erabili behar da.
Autentifikatu gabeko larrialdi zerbitzuak: Eskualde batzuetan arauzko eskakizunak betetzeko, 5G sareek larrialdi zerbitzuetarako autentifikatu gabeko sarbidea eman behar dute.
Sare-nukleoa eta irrati-sarbide-sarea: 5G sarearen nukleoak eta 5G irrati-sarbide-sareak 128 biteko enkriptatzea eta osotasun algoritmoak erabiltzea onartu behar dute segurtasuna bermatzeko. AS ΠΈ NAS. Sareko interfazeek 256 biteko enkriptazio-gakoak onartu behar dituzte.
Erabiltzaileen ekipoen oinarrizko segurtasun-baldintzak
Gehiago
Erabiltzaile-ekipoak enkriptatzea, osotasunaren babesa eta beraren eta irrati-sarbide-sarearen artean transmititzen diren erabiltzaile-datuen erreprodukzio-erasoen aurkako babesa onartu behar du.
Erabiltzaile-ekipoak enkriptatzea eta datuen osotasuna babesteko mekanismoak aktibatu behar ditu irrati-sarbide-sareak agindutakoaren arabera.
Erabiltzaile-ekipoak enkriptatzea, osotasunaren babesa eta RRC eta NAS seinaleztapen-trafikorako errepikapen-erasoen aurkako babesa izan behar du.
Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartu behar ditu: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartzen ditu: 128-NEA3, 128-NIA3.
Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartu behar ditu: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 E-UTRA irrati-sarbide-sarerako konexioa onartzen badu.
Erabiltzaile-ekipoaren eta irrati-sarbide-sarearen artean transmititzen diren erabiltzailearen datuen konfidentzialtasuna babestea hautazkoa da, baina araudiak baimentzen duen guztietan eman behar da.
RRC eta NAS seinaleztapen-trafikorako pribatutasun-babesa aukerakoa da.
Erabiltzailearen giltza iraunkorra babestu eta gorde behar da erabiltzailearen ekipoaren osagai ongi seguruetan.
Harpidedun baten harpidetza-identifikatzaile iraunkorra ez da testu garbian transmititu behar irrati-sarbide-sarearen bidez bideratze zuzena lortzeko beharrezkoa den informazioa izan ezik (adibidez. MCC ΠΈ MNCa).
Etxeko operadorearen sareko gako publikoa, gako-identifikatzailea, segurtasun-eskemaren identifikatzailea eta bideratze-identifikatzailea gorde behar dira. USIM.
Zifratze-algoritmo bakoitza zenbaki bitar batekin lotuta dago:
"0000": NEA0 - Zifratze algoritmo nulua
"0001": 128-NEA1 - 128 biteko SNOW 3G oinarritutako algoritmoa
"0010" 128-NEA2 - 128 biteko AES oinarritutako algoritmoa
"0011" 128-NEA3 - 128 biteko ZUC oinarritutako algoritmoa
Datuen enkriptatzea 128-NEA1 eta 128-NEA2 erabiliz
5G sareko funtzioetarako oinarrizko segurtasun-baldintzak
Gehiago
AMFk lehen mailako autentifikazioa onartu behar du SUCI erabiliz.
SEAFek SUCI erabiliz autentifikazio nagusia onartu behar du.
UDM eta ARPF-k erabiltzailearen gako iraunkorra gorde behar dute eta lapurretetatik babestuta dagoela ziurtatu behar dute.
AUSFk SUPI zerbitzu-sare lokalari soilik emango dio SUCI erabiliz hasierako autentifikazio arrakastatsua denean.
NEFek ez du ezkutuko sare nagusiko informaziorik birbidali behar operadorearen segurtasun-domeinutik kanpo.
Oinarrizko Segurtasun Prozedurak
Konfiantzazko domeinuak
5. belaunaldiko sareetan, sareko elementuekiko konfiantza gutxitzen da elementuak sarearen nukleotik urruntzen diren heinean. Kontzeptu honek 5G segurtasun arkitekturan inplementatutako erabakietan eragiten du. Horrela, sareko segurtasun mekanismoen portaera zehazten duen 5G sareen konfiantzazko ereduaz hitz egin dezakegu.
Erabiltzaileen aldetik, konfiantzazko domeinua UICC eta USIM-ek osatzen dute.
Sarearen aldetik, konfiantza-domeinuak egitura konplexuagoa du.
Irrati-sarbide-sarea bi osagaitan banatzen da - DU (ingelesez Distributed Units - sare banatuko unitateak) eta CU (ingelesezko Central Units - sareko unitate zentraletatik). Elkarrekin osatzen dira gNB β 5G sareko oinarrizko estazioaren irrati interfazea. DUek ez dute sarbide zuzenik erabiltzaileen datuetarako, babestu gabeko azpiegitura-segmentuetan heda daitezkeelako. CUak babestutako sare-segmentuetan hedatu behar dira, AS segurtasun-mekanismoetatik trafikoa amaitzeaz arduratzen baitira. Sarearen muinean kokatzen da AMF, NAS segurtasun mekanismoen trafikoa amaitzen duena. Egungo 3GPP 5G Fase 1 zehaztapenak konbinazioa deskribatzen du AMF segurtasun funtzioarekin ITSASOA, bisitatutako (zerbitzaria) sarearen erro-gakoa (Β«aingura-gakoaΒ» izenez ere ezagutzen dena). AUSF autentifikazio arrakastatsuaren ondoren lortutako gakoa gordetzeaz arduratzen da. Beharrezkoa da berrerabiltzea, erabiltzailea hainbat irrati-sarbide-saretara aldi berean konektatuta dagoen kasuetan. ARPF erabiltzailearen kredentzialak gordetzen ditu eta USIM-en analogoa da harpidedunentzat. UDR ΠΈ UDM erabiltzailearen informazioa gordetzea, kredentzialak sortzeko logika, erabiltzaile IDak, saioaren jarraitutasuna bermatzeko eta abar zehazteko erabiltzen dena.
Gakoen hierarkia eta horien banaketa-eskemak
5. belaunaldiko sareetan, 4G-LTE sareetan ez bezala, autentifikazio prozedurak bi osagai ditu: autentifikazio primarioa eta bigarren mailakoa. Lehen mailako autentifikazioa beharrezkoa da sarera konektatzen diren erabiltzaile-gailu guztietan. Bigarren mailako autentifikazioa kanpoko sareek eskatuta egin daiteke, harpideduna haietara konektatzen bada.
Lehen autentifikazioa arrakastaz amaitu ondoren eta erabiltzailearen eta sarearen artean partekatutako K gako bat garatu ondoren, KSEAF K gakotik ateratzen da - zerbitzari sarearen aingura (erro) gako berezi bat. Ondoren, gako horretatik gakoak sortzen dira, RRC eta NAS seinaleztapen-trafikoaren datuen konfidentzialtasuna eta osotasuna bermatzeko.
Diagrama azalpenekin Idazkeraren: CK Zifratzeko gakoa IK (Ingelesez: Integrity Key) - datuen osotasuna babesteko mekanismoetan erabiltzen den gakoa. CK' (ing. Cipher Key) - EAP-AKA mekanismorako CK-tik sortutako beste gako kriptografiko bat. IK' (Ingeleseko Integrity Key) - EAP-AKA-ren datuen osotasuna babesteko mekanismoetan erabiltzen den beste gako bat. KAUSF - ARPF funtzioak eta erabiltzaile-ekipoak sortutakoa CK ΠΈ IK 5G AKA eta EAP-AKA bitartean. KSEAF - AUSF funtzioak lortutako aingura-gakoa teklatik KAMFAUSF. KAMF β SEAF funtzioak teklatik lortutako gakoa KSEAF. KNASint, KNASenc β AMF funtzioak teklatik lortutako gakoak KAMF NAS seinaleztapen-trafikoa babesteko. KRRCint, KRRCenc β AMF funtzioak teklatik lortutako gakoak KAMF RRC seinaleztapen-trafikoa babesteko. KUPint, KUPenc β AMF funtzioak teklatik lortutako gakoak KAMF AS seinaleztapen-trafikoa babesteko. NH β AMF funtzioak teklatik lortutako tarteko gakoa KAMF lagapenetan datuen segurtasuna bermatzeko. KgNB β AMF funtzioak teklatik lortutako gakoa KAMF mugikortasun-mekanismoen segurtasuna bermatzeko.
SUPItik SUCI sortzeko eskemak eta alderantziz
SUPI eta SUCI lortzeko erregimenak
SUPIren SUCI eta SUCIren SUPIren ekoizpena:
autentifikazio
Autentifikazio nagusia
5G sareetan, EAP-AKA eta 5G AKA autentifikazio-mekanismo nagusiak dira. Bana dezagun lehen mailako autentifikazio-mekanismoa bi fasetan: lehenengoa autentifikazioa abiarazteaz eta autentifikazio-metodo bat hautatzeaz arduratzen da, bigarrena erabiltzailearen eta sarearen arteko elkarrekiko autentifikazioaz arduratzen da.
Hastapena
Erabiltzaileak erregistro-eskaera bat bidaltzen dio SEAF-i, eta bertan erabiltzailearen ezkutuko harpidetza ID SUCI dago.
SEAF-ek autentifikazio-eskaera mezu bat bidaltzen dio AUSFri (Nausf_UEAuthentication_Authenticate Request) SNN (Serving Network Name) eta SUPI edo SUCI dituena.
AUSF egiaztatzen du SEAF autentifikazio-eskatzaileak emandako SNN erabiltzeko baimena duen ala ez. Hornitzaile-sareak SNN hau erabiltzeko baimenik ez badu, AUSF-k baimen-errore-mezu batekin erantzuten du "Sarea zerbitzatzen ez da baimenduta" (Nausf_UEAuthentication_Authenticate Response).
Autentifikazio kredentzialak AUSFk eskatzen dizkio UDM, ARPF edo SIDFri SUPI edo SUCI eta SNN bidez.
SUPI edo SUCI eta erabiltzailearen informazioan oinarrituta, UDM/ARPF-k hurrengo erabiliko duen autentifikazio-metodoa hautatzen du eta erabiltzailearen kredentzialak ematen ditu.
Elkarrekiko autentifikazioa
Edozein autentifikazio-metodo erabiltzean, UDM/ARPF sareko funtzioek autentifikazio-bektore bat (AV) sortu behar dute.
EAP-AKA: UDM/ARPF-k lehenik autentifikazio-bektore bat sortzen du bereizketa bit AMF = 1 duena, eta gero sortzen du CK' ΠΈ IK' - CK, IK eta SNN eta AV autentifikazio-bektore berria osatzen du (RAND, AUTN, XRES*, CK', IK'), AUSFra bidaltzen dena EAP-AKArako soilik erabiltzeko argibideekin.
5G AKA: UDM/ARPF-k lortzen du gakoa KAUSF - CK, IK eta SNN, ondoren 5G HE AV sortzen du. 5G Etxeko Ingurunearen Autentifikazio Bektorea). 5G HE AV autentifikazio-bektorea (RAND, AUTN, XRES, KAUSF) AUSFra bidaltzen da 5Grako soilik AKA erabiltzeko argibideekin.
AUSF honen ondoren aingura-gakoa lortzen da KSEAF giltzatik KAUSF eta eskaera bat bidaltzen dio SEAF-i "Erronka"-ri "Nausf_UEAuthentication_Authenticate Response" mezuan, RAND, AUTN eta RES* ere baditu. Ondoren, RAND eta AUTN erabiltzailearen ekipoetara transmititzen dira NAS seinaleztapen-mezu seguru bat erabiliz. Erabiltzailearen USIM-ak RES* kalkulatzen du jasotako RAND eta AUTNtik eta SEAFera bidaltzen du. SEAF-ek balio hori AUSF-i transmititzen dio egiaztatzeko.
AUSF-k bertan gordetako XRES* eta erabiltzailearengandik jasotako RES* konparatzen ditu. Bat-etortzerik badago, operadorearen etxeko sareko AUSF eta UDM-i autentifikazio arrakastatsuaren berri ematen zaie, eta erabiltzaileak eta SEAFek modu independentean sortzen dute gako bat. KAMF - KSEAF eta SUPI komunikazio gehiagorako.
Bigarren mailako autentifikazioa
5G estandarrak aukerako bigarren mailako autentifikazioa onartzen du erabiltzailearen ekipoaren eta kanpoko datu-sarearen EAP-AKA-n oinarrituta. Kasu honetan, SMF-k EAP autentifikatzailearen papera betetzen du eta lanean oinarritzen da AAA-erabiltzailea autentifikatzen eta baimentzen duen kanpoko sare zerbitzaria.
Hasierako derrigorrezko erabiltzaileen autentifikazioa etxeko sarean gertatzen da eta NAS segurtasun testuinguru komun bat garatzen da AMFrekin.
Erabiltzaileak eskaera bat bidaltzen dio AMFri saio bat ezartzeko.
AMFk saio bat ezartzeko eskaera bidaltzen dio SMFri erabiltzailearen SUPI adieraziz.
SMF-k erabiltzailearen kredentzialak baliozkotzen ditu UDMn emandako SUPI erabiliz.
SMFk erantzun bat bidaltzen dio AMFren eskaerari.
SMF-k EAP autentifikazio prozedura abiarazten du kanpoko sareko AAA zerbitzaritik saio bat ezartzeko baimena lortzeko. Horretarako, SMF eta erabiltzaileak mezuak trukatzen dituzte prozedura hasteko.
Erabiltzaileak eta kanpoko sareko AAA zerbitzariak mezuak trukatzen dituzte erabiltzailea autentifikatu eta baimentzeko. Kasu honetan, erabiltzaileak mezuak bidaltzen ditu SMFra, eta honek kanpoko sarearekin mezuak trukatzen ditu UPF bidez.
Ondorioa
5G segurtasun arkitektura lehendik dauden teknologien berrerabilpenean oinarritzen den arren, erronka guztiz berriak planteatzen ditu. IoT gailu ugari, sare-mugak hedatu eta arkitektura deszentralizatutako elementuak dira 5G estandarraren funtsezko printzipioetako batzuk, ziber-kriminalen irudimenari askatasuna ematen diotenak.
5G segurtasun arkitekturaren oinarrizko estandarra da TS 23.501 15.6.0 bertsioa β segurtasun-mekanismoen eta prozeduren funtzionamenduaren funtsezko puntuak jasotzen ditu. Bereziki, VNF bakoitzaren eginkizuna deskribatzen du erabiltzailearen datuen eta sareko nodoen babesa bermatzeko, kriptografia-gakoak sortzeko eta autentifikazio-prozedura ezartzeko. Baina estandar honek ere ez du erantzunik ematen telekomunikazio-operadoreek maizago jasaten dituzten segurtasun-arazo larriei, belaunaldi berriko sareak garatu eta martxan jartzen diren heinean.
Zentzu honetan, sinestu nahiko nuke 5. belaunaldiko sareak ustiatzeko eta babesteko zailtasunak ez diela inola ere eragingo erabiltzaile arruntei, amaren lagunaren semea bezala transmisio-abiadura eta erantzunak agintzen zaizkienak eta dagoeneko guztiak probatzeko irrikaz daudenak. belaunaldi berriko sareen gaitasun deklaratuak.