ProHoster > Blog > Administrazioa > 5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

Jakina, segurtasun-mekanismoetan pentsatu gabe komunikazio-estandar berri baten garapena hartzea oso zalantzazko eta alferrikako ahalegina da.

5G Segurtasun Arkitektura β€” urtean ezarritako segurtasun-mekanismo eta prozeduren multzoa 5. belaunaldiko sareak eta sareko osagai guztiak estaltzen ditu, nukleotik hasi eta irrati-interfazeetaraino.

5. belaunaldiko sareak, funtsean, bilakaera bat dira 4. belaunaldiko LTE sareak. Irrati sarbide teknologiek izan dituzte aldaketarik nabarmenenak. 5. belaunaldiko sareentzat, berria RATOIA (Irrati Sarbide Teknologia) - 5G Irrati Berria. Sarearen muinari dagokionez, ez du halako aldaketa nabarmenik jasan. Ildo horretan, 5G sareen segurtasun-arkitektura garatu da 4G LTE estandarrean hartutako teknologia garrantzitsuak berrerabiltzeari garrantzia emanez.

Hala ere, nabarmentzekoa da mehatxu ezagunak birplanteatzea, hala nola aire-interfazeen eta seinaleztapen-geruzaren aurkako erasoak (Seinaleztatzeko hegazkina), DDOS erasoak, Man-In-The-Middle erasoak eta abar, telekomunikazio-operadoreak estandar berriak garatzera eta segurtasun-mekanismo guztiz berriak 5. belaunaldiko sareetan integratzera bultzatu zituen.

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

ezinbesteko baldintza

2015ean, Nazioarteko Telekomunikazio Batasunak bosgarren belaunaldiko sareak garatzeko bere motako lehen plan globala egin zuen, eta horregatik 5G sareetan segurtasun mekanismoak eta prozedurak garatzeko gaia larritu egin da.

Teknologia berriak datu-transferentzia-abiadura benetan ikusgarriak eskaintzen zituen (1 Gbps baino gehiago), 1 ms baino gutxiagoko latentzia eta milioi bat gailu aldi berean konektatzeko gaitasuna 1 km1-ko erradioan. 2. belaunaldiko sareen eskakizun handienak haien antolaketaren printzipioetan ere islatzen dira.

Nagusia deszentralizazioa izan zen, eta horrek tokiko datu-base asko eta haien prozesatze zentro sarearen periferian kokatzea suposatzen zuen. Horri esker, atzerapenak minimizatzea ahalbidetu zuen M2M-komunikazioak eta sarearen nukleoa arintzea IoT gailu kopuru handi bati zerbitzua emateagatik. Horrela, hurrengo belaunaldiko sareen ertza oinarrizko estazioetaraino hedatu zen, tokiko komunikazio zentroak sortzea eta hodeiko zerbitzuak eskaintzea ahalbidetuz, atzerapen kritikoen edo zerbitzua ukatzeko arriskurik gabe. Jakina, sareak eta bezeroarentzako arretarako ikuspegia aldatu zen erasotzaileentzat interesgarria izan zen, aukera berriak ireki zizkielako erabiltzailearen informazio konfidentziala eta sareko osagaiei beraiei erasotzeko, zerbitzuaren ukapena eragiteko edo operadorearen baliabide informatikoak bahitzeko.

5. belaunaldiko sareen ahultasun nagusiak

Eraso azalera handia

Gehiago3. eta 4. belaunaldietako telekomunikazio-sareak eraikitzean, telekomunikazio-operadoreak normalean hardware eta software multzo bat berehala hornitzen zuten saltzaile batekin edo batzuekin lan egitera mugatzen ziren. Hau da, dena funtziona zezakeen, esaten den bezala, "kutxatik kanpo" - nahikoa zen saltzaileak erositako ekipoak instalatzea eta konfiguratzea; ez zegoen software jabeduna ordezkatu edo osatzeko beharrik. Joera modernoak ikuspegi "klasiko" horren aurka doaz eta sareen birtualizazioa, haien eraikuntzarako eta software aniztasunerako hornitzaile anitzeko ikuspegia dute helburu. bezalako teknologiak SDN (Ingelesezko Software Definitutako Sarea) eta NFV (English Network Functions Virtualization), komunikazio sareak kudeatzeko prozesu eta funtzioetan iturburu irekiko kodeetan oinarrituta eraikitako software kopuru handi bat sartzea dakar. Horrek aukera ematen die erasotzaileei operadorearen sarea hobeto aztertzeko eta ahultasun kopuru handiagoa identifikatzeko, eta horrek, belaunaldi berriko sareen eraso-azalera areagotzen du egungoekin alderatuta.

IoT gailu kopuru handia

Gehiago2021erako, 57G sareetara konektatutako gailuen % 5 inguru IoT gailuak izango dira. Horrek esan nahi du ostalari gehienek gaitasun kriptografiko mugatuak izango dituztela (ikus 2. puntua) eta, horren arabera, erasoen aurrean zaurgarriak izango direla. Horrelako gailu kopuru handi batek botnetak ugaltzeko arriskua areagotuko du eta DDoS erasoak are indartsuagoak eta banatuagoak egitea ahalbidetuko du.

IoT gailuen gaitasun kriptografiko mugatuak

GehiagoEsan bezala, 5. belaunaldiko sareek aktiboki erabiltzen dituzte gailu periferikoak, sarearen nukleotik kargaren zati bat kentzeko eta, ondorioz, latentzia murrizteko. Hori beharrezkoa da, besteak beste, ibilgailurik gabeko ibilgailuen kontrola, larrialdietarako abisu sistema bezalako zerbitzu garrantzitsuetarako IMS eta beste batzuentzat, gutxieneko atzerapena ziurtatzea funtsezkoa da, gizakien bizitza horren mende baitago. IoT gailu kopuru handi baten konexioa dela eta, tamaina txikia eta energia-kontsumo baxua direla eta, baliabide informatiko oso mugatuak dituztenez, 5G sareak ahul bihurtzen dira gailu horien kontrola atzematea eta ondorengo manipulazioa helburu duten erasoen aurrean. Adibidez, sistemaren parte diren IoT gailuak kutsatuta dauden eszenatokiak egon daitezke.Etxe adimenduna", esaterako, malware motak Ransomwarea eta ransomwarea. Hodeian aginduak eta nabigazio-informazioa jasotzen duten tripulatu gabeko ibilgailuen kontrola atzemateko eszenatokiak ere posible dira. Formalki, ahultasun hori belaunaldi berriko sareen deszentralizazioari dagokio, baina hurrengo paragrafoan deszentralizazioaren arazoa argiago azalduko da.

Sareen mugen deszentralizazioa eta hedapena

GehiagoGailu periferikoek, sare lokaleko nukleoen papera betetzen dutenez, erabiltzaileen trafikoa bideratzen dute, eskaerak prozesatzen dituzte, baita erabiltzailearen datuen tokiko cachea eta biltegiratzea ere. Horrela, 5. belaunaldiko sareen mugak hedatzen ari dira, muinaz gain, periferiara, tokiko datu-baseak eta 5G-NR (5G New Radio) irrati-interfazeak barne. Horrek aukera sortzen du tokiko gailuen baliabide informatikoei erasotzeko, sarearen nukleoaren erdiko nodoak baino babestuago dauden a priori, zerbitzuaren ukapena eragiteko helburuarekin. Horrek eremu osoetarako Interneterako sarbidea deskonexioa, IoT gailuen funtzionamendu okerra ekar dezake (adibidez, etxeko sistema adimendun batean), baita IMS larrialdietarako alerta-zerbitzua erabilgarri ez egotea ere.

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

Hala ere, ETSI eta 3GPP-ek 10G sareko segurtasunaren hainbat alderdi biltzen dituzten 5 estandar baino gehiago argitaratu dituzte. Bertan deskribatutako mekanismoen gehiengoak ahultasunetatik babestera zuzenduta daude (goian azaldutakoak barne). Nagusietako bat estandarra da TS 23.501 15.6.0 bertsioa, 5. belaunaldiko sareen segurtasun-arkitektura deskribatuz.

5G arkitektura

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa
Lehenik eta behin, itzul ditzagun 5G sare-arkitekturaren funtsezko printzipioetara, software modulu bakoitzaren eta 5G segurtasun-funtzio bakoitzaren esanahia eta erantzukizun-eremuak guztiz agerian utziko dituztenak.

  • Sare-nodoak protokoloen funtzionamendua ziurtatzen duten elementuetan banatzea hegazkin pertsonalizatua (ingelesez UP - User Plane) eta protokoloen funtzionamendua ziurtatzen duten elementuak kontrol-hegazkina (Ingelesezko CP - Control Plane-tik), sarearen eskalatze eta hedapenari dagokionez malgutasuna areagotzen duena, hau da, osagai indibidualaren sareko nodoen kokapen zentralizatua edo deszentralizatua posible da.
  • Mekanismoaren euskarria sarearen zatiketa, azken erabiltzaile talde zehatzei emandako zerbitzuetan oinarrituta.
  • Sare-elementuak inprimakian ezartzea sare birtualeko funtzioak.
  • Zerbitzu zentralizatuetara eta tokikoetara aldi berean sartzeko laguntza, hau da, hodeiko kontzeptuak ezartzeko (ingelesetik. lainoaren konputazioa) eta muga (ingelesetik. ertz informatikoa) kalkuluak.
  • Inplementazioa konbergentea sarbide-sare mota desberdinak konbinatzen dituen arkitektura - 3GPP 5G Irrati Berria eta 3GPP ez dena (Wi-Fi, etab.) - sare-nukleo bakar batekin.
  • Algoritmo uniformeen eta autentifikazio-prozeduraren laguntza, sarbide-sare mota edozein dela ere.
  • Estaturik gabeko sare-funtzioetarako laguntza, zeinetan konputatutako baliabidea baliabideen biltegitik bereizita dagoen.
  • Ibiltaritzako laguntza trafikoaren bideraketarekin, bai etxeko sarearen bidez (ingelesezko home-routed roaming-etik) bai tokiko "lurreratze" batekin (ingelesezko local breakout-etik) gonbidatuen sarean.
  • Sare-funtzioen arteko elkarrekintza bi modutan adierazten da: zerbitzura bideratuta ΠΈ interfazea.

5. belaunaldiko sareko segurtasun kontzeptuak barne hartzen ditu:

  • Erabiltzaileen autentifikazioa saretik.
  • Erabiltzaileak sareko autentifikazioa.
  • Sarearen eta erabiltzailearen ekipoen arteko gako kriptografikoen negoziazioa.
  • Seinaleen trafikoaren enkriptatzea eta osotasuna kontrolatzea.
  • Erabiltzaileen trafikoaren osotasunaren enkriptatzea eta kontrola.
  • Erabiltzaile ID babesa.
  • Sare-elementu desberdinen arteko interfazeak babestea sareko segurtasun-domeinuaren kontzeptuaren arabera.
  • Mekanismoaren geruza ezberdinen isolamendua sarearen zatiketa eta geruza bakoitzaren segurtasun mailak zehaztea.
  • Erabiltzaileen autentifikazioa eta trafikoaren babesa amaierako zerbitzuen mailan (IMS, IoT eta beste).

Funtsezko software-moduluak eta 5G sareko segurtasun-eginbideak

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa AMF (Ingelesezko Sarbide eta Mugikortasuna Kudeatzeko Funtziotik - sarbidea eta mugikortasuna kudeatzeko funtzioa) - eskaintzen du:

  • Kontrol-planoen interfazeen antolaketa.
  • Seinaleen trafiko-trukearen antolaketa RRC, enkriptatzea eta bere datuen osotasuna babestea.
  • Seinaleen trafiko-trukearen antolaketa NAS, enkriptatzea eta bere datuen osotasuna babestea.
  • Erabiltzaile-ekipoen erregistroa sarean kudeatzea eta erregistro-egoer posibleak kontrolatzea.
  • Erabiltzaile-ekipoen sarerako konexioa kudeatzea eta egon daitezkeen egoerak kontrolatzea.
  • Kontrolatu sarean erabiltzaile-ekipoen erabilgarritasuna CM-IDLE egoeran.
  • Sareko erabiltzaile-ekipoen mugikortasuna kudeatzea CM-CONNECTED egoeran.
  • Mezu laburren transmisioa erabiltzailearen ekipoen eta SMFren artean.
  • Kokapen zerbitzuen kudeaketa.
  • Hariaren ID esleipena EPS EPSrekin elkarreragiteko.

SMF (Ingelesez: Session Management Function - saioa kudeatzeko funtzioa) - eskaintzen du:

  • Komunikazio-saioen kudeaketa, hau da, saioak sortzea, aldatzea eta kaleratzea, sarbide-sarearen eta UPFren arteko tunela mantentzea barne.
  • Erabiltzaileen ekipoen IP helbideak banatzea eta kudeatzea.
  • Erabili beharreko UPF atebidea hautatzea.
  • PCFrekin elkarrekintzaren antolaketa.
  • Politika betearazteko kudeaketa QoS.
  • Erabiltzailearen ekipoen konfigurazio dinamikoa DHCPv4 eta DHCPv6 protokoloak erabiliz.
  • Tarifen datuen bilketaren jarraipena eta fakturazio sistemarekin elkarrekintza antolatzea.
  • Zerbitzuen eskaintza ezin hobea (ingelesetik. SSC - Saioaren eta Zerbitzuaren Jarraipena).
  • Gonbidatuen sareekin interakzioa ibiltaritza barruan.

UPF (Ingelesezko Erabiltzaile Hegazkinaren Funtzioa - erabiltzaileen Hegazkinaren Funtzioa) - eskaintzen du:

  • Kanpoko datu-sareekin interakzioa, Internet globala barne.
  • Erabiltzaile-paketeen bideratzea.
  • Paketeen markaketa QoS politiken arabera.
  • Erabiltzaile paketeen diagnostikoak (adibidez, sinaduran oinarritutako aplikazioen detekzioa).
  • Trafikoaren erabilerari buruzko txostenak ematea.
  • UPF, halaber, mugikortasuna sustatzeko aingura-puntua da irrati-sarbide-teknologia desberdinen barruan zein artean.

UDM (Ingelesez Unified Data Management - datu-base bateratua) - eskaintzen du:

  • Erabiltzaileen profilaren datuak kudeatzea, erabiltzaileen eskura dauden zerbitzuen zerrenda eta dagozkien parametroak gordetzea eta aldatzea barne.
  • kudeaketan SUPI
  • Sortu 3GPP autentifikazio-kredentzialak AKA.
  • Atzitzeko baimena profilaren datuetan oinarrituta (adibidez, ibiltaritza-murrizketak).
  • Erabiltzaileen erregistroaren kudeaketa, hau da, AMF zerbitzuaren biltegiratzea.
  • Zerbitzu eta komunikazio-saio bateratuetarako laguntza, hau da, uneko komunikazio-saioari esleitutako SMF gordetzea.
  • SMSak bidaltzeko kudeaketa.
  • Hainbat UDM ezberdinek erabiltzaile berari zerbitza dezakete transakzio ezberdinetan.

UDR (English Unified Data Repository - datu bateratuen biltegiratzea) - erabiltzaileen hainbat datu biltegiratzea eskaintzen du eta, hain zuzen ere, sareko harpidedun guztien datu-base bat da.

UDSF (Ingelesez Egituratu gabeko Datuen Biltegiratze Funtzioa - Egituratu gabeko datuak biltegiratzeko funtzioa) - AMF moduluek erregistratutako erabiltzaileen uneko testuinguruak gordetzen dituztela ziurtatzen du. Oro har, informazio hori egitura mugagabeko datu gisa aurkez daiteke. Erabiltzaile-testuinguruak harpidedun-saio etengabeak eta etenik gabeak bermatzeko erabil daitezke, bai AMFren bat zerbitzutik aurreikusitako kentzean, bai larrialdi-egoeran. Bi kasuetan, babeskopia AMF-k zerbitzua "jaso" egingo du USDF-n gordetako testuinguruak erabiliz.

UDR eta UDSF plataforma fisiko berean konbinatzea sareko funtzio horien inplementazio tipikoa da.

PCF (Ingelesez: Policy Control Function - politika kontrolatzeko funtzioa) - zerbitzu-politika batzuk sortzen eta esleitzen dizkie erabiltzaileei, QoS parametroak eta kobratzeko arauak barne. Adibidez, trafiko mota bat edo beste transmititzeko, ezaugarri desberdinak dituzten kanal birtualak dinamikoki sor daitezke. Aldi berean, harpidedunak eskatutako zerbitzuaren eskakizunak, sarearen pilaketa-maila, kontsumitutako trafiko-kopurua, etab.

NEF (Ingelesezko Network Exposure Function - sareko esposizio funtzioa) - eskaintzen du:

  • Kanpoko plataformen eta aplikazioen interakzio seguruaren antolaketa sarearen nukleoarekin.
  • Kudeatu QoS parametroak eta kobratzeko arauak erabiltzaile jakin batzuentzat.

ITSASOA (Ingelesez Security Anchor Function - aingura segurtasun funtzioa) - AUSF-ekin batera, erabiltzaileen autentifikazioa eskaintzen du sarean edozein sarbide-teknologiarekin erregistratzen direnean.

AUSF (Ingelesezko autentifikazio-zerbitzariaren funtzioa - autentifikazio-zerbitzariaren funtzioa) - SEAFen eskaerak jaso eta prozesatzen dituen autentifikazio-zerbitzari baten papera betetzen du eta ARPFra birbideratzen ditu.

ARPF (Ingelesa: Autentifikazio Kredentzialen Biltegia eta Prozesatzeko Funtzioa - autentifikazio kredentzialak gordetzeko eta prozesatzeko funtzioa) - gako sekretu pertsonalak (KI) eta algoritmo kriptografikoen parametroak biltegiratzea eskaintzen du, baita 5G-AKA edo XNUMXG-AKAren araberako autentifikazio-bektoreak sortzea ere. EAP-AKA. Etxeko telekomunikazio-operadorearen datu-zentroan dago, kanpoko eragin fisikoetatik babestuta, eta, oro har, UDM-rekin integratuta dago.

SCMF (Ingelesez Security Context Management Function - kudeaketa funtzioa segurtasun testuingurua) - Bizi-zikloaren kudeaketa eskaintzen du 5G segurtasun testuingururako.

SPCF (English Security Policy Control Function - segurtasun politika kudeatzeko funtzioa) - erabiltzaile zehatzei dagokienez segurtasun politiken koordinazioa eta aplikazioa bermatzen du. Horrek sarearen gaitasunak, erabiltzailearen ekipamenduaren gaitasunak eta zerbitzu zehatzaren eskakizunak hartzen ditu kontuan (adibidez, komunikazio-zerbitzu kritikoak eta hari gabeko banda zabaleko Interneterako sarbide-zerbitzuak eskaintzen dituen babes-mailak desberdinak izan daitezke). Segurtasun-politiken aplikazioak honako hauek dira: AUSF hautatzea, autentifikazio-algoritmoa hautatzea, datuen enkriptatzea eta osotasuna kontrolatzeko algoritmoak hautatzea, gakoen iraupena eta bizi-zikloa zehaztea.

SIDF (Ingeleseko harpidetza-identifikatzailea ezkutatzeko funtzioa - erabiltzailearen identifikatzailea ateratzeko funtzioa) - harpidedun baten harpidetza-identifikatzaile iraunkorra (ingeleseko SUPI) ezkutuko identifikatzaile batetik (ingelesez) ateratzea bermatzen du. SUCI), "Auth Info Req" autentifikazio-prozedura-eskaeraren barruan jasotakoa.

5G komunikazio-sareetarako oinarrizko segurtasun-baldintzak

GehiagoErabiltzaileen autentifikazioa: zerbitzatzen duen 5G sareak erabiltzailearen eta sarearen arteko 5G AKA prozesuan erabiltzailearen SUPI autentifikatu behar du.

Sareko autentifikazioa zerbitzatzen: Erabiltzaileak 5G zerbitzatzeko sarearen IDa autentifikatu behar du, 5G AKA prozeduraren bidez lortutako gakoak arrakastaz erabiltzearen bidez lortutako autentifikazioarekin.

Erabiltzailearen baimena: Zerbitzu-sareak erabiltzaileari baimena eman behar dio etxeko telekomunikazio-operadorearen saretik jasotako erabiltzaile-profila erabiliz.

Etxeko operadorearen sarearen zerbitzu-sarearen baimena: Erabiltzaileari etxeko operadorearen sareak zerbitzuak emateko baimena duen zerbitzu-sare batera konektatuta dagoela baieztatu behar zaio. Baimena inplizitua da 5G AKA prozedura arrakastaz betetzeak bermatzen duen zentzuan.

Etxeko operadorearen sarearen sarbide-sarearen baimena: Erabiltzaileari etxeko operadorearen sareak zerbitzuak emateko baimena duen sarbide-sare batera konektatuta dagoela baieztatu behar zaio. Baimena inplizitua da sarbide-sarearen segurtasuna arrakastaz ezarriz betearazten den zentzuan. Baimen mota hau edozein sarbide-saretarako erabili behar da.

Autentifikatu gabeko larrialdi zerbitzuak: Eskualde batzuetan arauzko eskakizunak betetzeko, 5G sareek larrialdi zerbitzuetarako autentifikatu gabeko sarbidea eman behar dute.

Sare-nukleoa eta irrati-sarbide-sarea: 5G sarearen nukleoak eta 5G irrati-sarbide-sareak 128 biteko enkriptatzea eta osotasun algoritmoak erabiltzea onartu behar dute segurtasuna bermatzeko. AS ΠΈ NAS. Sareko interfazeek 256 biteko enkriptazio-gakoak onartu behar dituzte.

Erabiltzaileen ekipoen oinarrizko segurtasun-baldintzak

Gehiago

  • Erabiltzaile-ekipoak enkriptatzea, osotasunaren babesa eta beraren eta irrati-sarbide-sarearen artean transmititzen diren erabiltzaile-datuen erreprodukzio-erasoen aurkako babesa onartu behar du.
  • Erabiltzaile-ekipoak enkriptatzea eta datuen osotasuna babesteko mekanismoak aktibatu behar ditu irrati-sarbide-sareak agindutakoaren arabera.
  • Erabiltzaile-ekipoak enkriptatzea, osotasunaren babesa eta RRC eta NAS seinaleztapen-trafikorako errepikapen-erasoen aurkako babesa izan behar du.
  • Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartu behar ditu: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartzen ditu: 128-NEA3, 128-NIA3.
  • Erabiltzaile-ekipoak algoritmo kriptografiko hauek onartu behar ditu: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 E-UTRA irrati-sarbide-sarerako konexioa onartzen badu.
  • Erabiltzaile-ekipoaren eta irrati-sarbide-sarearen artean transmititzen diren erabiltzailearen datuen konfidentzialtasuna babestea hautazkoa da, baina araudiak baimentzen duen guztietan eman behar da.
  • RRC eta NAS seinaleztapen-trafikorako pribatutasun-babesa aukerakoa da.
  • Erabiltzailearen giltza iraunkorra babestu eta gorde behar da erabiltzailearen ekipoaren osagai ongi seguruetan.
  • Harpidedun baten harpidetza-identifikatzaile iraunkorra ez da testu garbian transmititu behar irrati-sarbide-sarearen bidez bideratze zuzena lortzeko beharrezkoa den informazioa izan ezik (adibidez. MCC ΠΈ MNCa).
  • Etxeko operadorearen sareko gako publikoa, gako-identifikatzailea, segurtasun-eskemaren identifikatzailea eta bideratze-identifikatzailea gorde behar dira. USIM.

Zifratze-algoritmo bakoitza zenbaki bitar batekin lotuta dago:

  • "0000": NEA0 - Zifratze algoritmo nulua
  • "0001": 128-NEA1 - 128 biteko SNOW 3G oinarritutako algoritmoa
  • "0010" 128-NEA2 - 128 biteko AES oinarritutako algoritmoa
  • "0011" 128-NEA3 - 128 biteko ZUC oinarritutako algoritmoa

Datuen enkriptatzea 128-NEA1 eta 128-NEA2 erabiliz5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

PS Zirkuitua maileguan hartu da TS 133.501

128-NIA1 eta 128-NIA2 algoritmoen bidezko txertaketa simulatuak sortzea osotasuna bermatzeko5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

PS Zirkuitua maileguan hartu da TS 133.501

5G sareko funtzioetarako oinarrizko segurtasun-baldintzak

Gehiago

  • AMFk lehen mailako autentifikazioa onartu behar du SUCI erabiliz.
  • SEAFek SUCI erabiliz autentifikazio nagusia onartu behar du.
  • UDM eta ARPF-k erabiltzailearen gako iraunkorra gorde behar dute eta lapurretetatik babestuta dagoela ziurtatu behar dute.
  • AUSFk SUPI zerbitzu-sare lokalari soilik emango dio SUCI erabiliz hasierako autentifikazio arrakastatsua denean.
  • NEFek ez du ezkutuko sare nagusiko informaziorik birbidali behar operadorearen segurtasun-domeinutik kanpo.

Oinarrizko Segurtasun Prozedurak

Konfiantzazko domeinuak

5. belaunaldiko sareetan, sareko elementuekiko konfiantza gutxitzen da elementuak sarearen nukleotik urruntzen diren heinean. Kontzeptu honek 5G segurtasun arkitekturan inplementatutako erabakietan eragiten du. Horrela, sareko segurtasun mekanismoen portaera zehazten duen 5G sareen konfiantzazko ereduaz hitz egin dezakegu.

Erabiltzaileen aldetik, konfiantzazko domeinua UICC eta USIM-ek osatzen dute.

Sarearen aldetik, konfiantza-domeinuak egitura konplexuagoa du.

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa Irrati-sarbide-sarea bi osagaitan banatzen da - DU (ingelesez Distributed Units - sare banatuko unitateak) eta CU (ingelesezko Central Units - sareko unitate zentraletatik). Elkarrekin osatzen dira gNB β€” 5G sareko oinarrizko estazioaren irrati interfazea. DUek ez dute sarbide zuzenik erabiltzaileen datuetarako, babestu gabeko azpiegitura-segmentuetan heda daitezkeelako. CUak babestutako sare-segmentuetan hedatu behar dira, AS segurtasun-mekanismoetatik trafikoa amaitzeaz arduratzen baitira. Sarearen muinean kokatzen da AMF, NAS segurtasun mekanismoen trafikoa amaitzen duena. Egungo 3GPP 5G Fase 1 zehaztapenak konbinazioa deskribatzen du AMF segurtasun funtzioarekin ITSASOA, bisitatutako (zerbitzaria) sarearen erro-gakoa (Β«aingura-gakoaΒ» izenez ere ezagutzen dena). AUSF autentifikazio arrakastatsuaren ondoren lortutako gakoa gordetzeaz arduratzen da. Beharrezkoa da berrerabiltzea, erabiltzailea hainbat irrati-sarbide-saretara aldi berean konektatuta dagoen kasuetan. ARPF erabiltzailearen kredentzialak gordetzen ditu eta USIM-en analogoa da harpidedunentzat. UDR ΠΈ UDM erabiltzailearen informazioa gordetzea, kredentzialak sortzeko logika, erabiltzaile IDak, saioaren jarraitutasuna bermatzeko eta abar zehazteko erabiltzen dena.

Gakoen hierarkia eta horien banaketa-eskemak

5. belaunaldiko sareetan, 4G-LTE sareetan ez bezala, autentifikazio prozedurak bi osagai ditu: autentifikazio primarioa eta bigarren mailakoa. Lehen mailako autentifikazioa beharrezkoa da sarera konektatzen diren erabiltzaile-gailu guztietan. Bigarren mailako autentifikazioa kanpoko sareek eskatuta egin daiteke, harpideduna haietara konektatzen bada.

Lehen autentifikazioa arrakastaz amaitu ondoren eta erabiltzailearen eta sarearen artean partekatutako K gako bat garatu ondoren, KSEAF K gakotik ateratzen da - zerbitzari sarearen aingura (erro) gako berezi bat. Ondoren, gako horretatik gakoak sortzen dira, RRC eta NAS seinaleztapen-trafikoaren datuen konfidentzialtasuna eta osotasuna bermatzeko.

Diagrama azalpenekin5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa
Idazkeraren:
CK Zifratzeko gakoa
IK (Ingelesez: Integrity Key) - datuen osotasuna babesteko mekanismoetan erabiltzen den gakoa.
CK' (ing. Cipher Key) - EAP-AKA mekanismorako CK-tik sortutako beste gako kriptografiko bat.
IK' (Ingeleseko Integrity Key) - EAP-AKA-ren datuen osotasuna babesteko mekanismoetan erabiltzen den beste gako bat.
KAUSF - ARPF funtzioak eta erabiltzaile-ekipoak sortutakoa CK ΠΈ IK 5G AKA eta EAP-AKA bitartean.
KSEAF - AUSF funtzioak lortutako aingura-gakoa teklatik KAMFAUSF.
KAMF β€” SEAF funtzioak teklatik lortutako gakoa KSEAF.
KNASint, KNASenc β€” AMF funtzioak teklatik lortutako gakoak KAMF NAS seinaleztapen-trafikoa babesteko.
KRRCint, KRRCenc β€” AMF funtzioak teklatik lortutako gakoak KAMF RRC seinaleztapen-trafikoa babesteko.
KUPint, KUPenc β€” AMF funtzioak teklatik lortutako gakoak KAMF AS seinaleztapen-trafikoa babesteko.
NH β€” AMF funtzioak teklatik lortutako tarteko gakoa KAMF lagapenetan datuen segurtasuna bermatzeko.
KgNB β€” AMF funtzioak teklatik lortutako gakoa KAMF mugikortasun-mekanismoen segurtasuna bermatzeko.

SUPItik SUCI sortzeko eskemak eta alderantziz

SUPI eta SUCI lortzeko erregimenak

SUPIren SUCI eta SUCIren SUPIren ekoizpena:
5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

autentifikazio

Autentifikazio nagusia

5G sareetan, EAP-AKA eta 5G AKA autentifikazio-mekanismo nagusiak dira. Bana dezagun lehen mailako autentifikazio-mekanismoa bi fasetan: lehenengoa autentifikazioa abiarazteaz eta autentifikazio-metodo bat hautatzeaz arduratzen da, bigarrena erabiltzailearen eta sarearen arteko elkarrekiko autentifikazioaz arduratzen da.

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

Hastapena

Erabiltzaileak erregistro-eskaera bat bidaltzen dio SEAF-i, eta bertan erabiltzailearen ezkutuko harpidetza ID SUCI dago.

SEAF-ek autentifikazio-eskaera mezu bat bidaltzen dio AUSFri (Nausf_UEAuthentication_Authenticate Request) SNN (Serving Network Name) eta SUPI edo SUCI dituena.

AUSF egiaztatzen du SEAF autentifikazio-eskatzaileak emandako SNN erabiltzeko baimena duen ala ez. Hornitzaile-sareak SNN hau erabiltzeko baimenik ez badu, AUSF-k baimen-errore-mezu batekin erantzuten du "Sarea zerbitzatzen ez da baimenduta" (Nausf_UEAuthentication_Authenticate Response).

Autentifikazio kredentzialak AUSFk eskatzen dizkio UDM, ARPF edo SIDFri SUPI edo SUCI eta SNN bidez.

SUPI edo SUCI eta erabiltzailearen informazioan oinarrituta, UDM/ARPF-k hurrengo erabiliko duen autentifikazio-metodoa hautatzen du eta erabiltzailearen kredentzialak ematen ditu.

Elkarrekiko autentifikazioa

Edozein autentifikazio-metodo erabiltzean, UDM/ARPF sareko funtzioek autentifikazio-bektore bat (AV) sortu behar dute.

EAP-AKA: UDM/ARPF-k lehenik autentifikazio-bektore bat sortzen du bereizketa bit AMF = 1 duena, eta gero sortzen du CK' ΠΈ IK' - CK, IK eta SNN eta AV autentifikazio-bektore berria osatzen du (RAND, AUTN, XRES*, CK', IK'), AUSFra bidaltzen dena EAP-AKArako soilik erabiltzeko argibideekin.

5G AKA: UDM/ARPF-k lortzen du gakoa KAUSF - CK, IK eta SNN, ondoren 5G HE AV sortzen du. 5G Etxeko Ingurunearen Autentifikazio Bektorea). 5G HE AV autentifikazio-bektorea (RAND, AUTN, XRES, KAUSF) AUSFra bidaltzen da 5Grako soilik AKA erabiltzeko argibideekin.

AUSF honen ondoren aingura-gakoa lortzen da KSEAF giltzatik KAUSF eta eskaera bat bidaltzen dio SEAF-i "Erronka"-ri "Nausf_UEAuthentication_Authenticate Response" mezuan, RAND, AUTN eta RES* ere baditu. Ondoren, RAND eta AUTN erabiltzailearen ekipoetara transmititzen dira NAS seinaleztapen-mezu seguru bat erabiliz. Erabiltzailearen USIM-ak RES* kalkulatzen du jasotako RAND eta AUTNtik eta SEAFera bidaltzen du. SEAF-ek balio hori AUSF-i transmititzen dio egiaztatzeko.

AUSF-k bertan gordetako XRES* eta erabiltzailearengandik jasotako RES* konparatzen ditu. Bat-etortzerik badago, operadorearen etxeko sareko AUSF eta UDM-i autentifikazio arrakastatsuaren berri ematen zaie, eta erabiltzaileak eta SEAFek modu independentean sortzen dute gako bat. KAMF - KSEAF eta SUPI komunikazio gehiagorako.

Bigarren mailako autentifikazioa

5G estandarrak aukerako bigarren mailako autentifikazioa onartzen du erabiltzailearen ekipoaren eta kanpoko datu-sarearen EAP-AKA-n oinarrituta. Kasu honetan, SMF-k EAP autentifikatzailearen papera betetzen du eta lanean oinarritzen da AAA-erabiltzailea autentifikatzen eta baimentzen duen kanpoko sare zerbitzaria.

5G segurtasun arkitekturaren sarrera: NFV, gakoak eta 2 autentifikazioa

  • Hasierako derrigorrezko erabiltzaileen autentifikazioa etxeko sarean gertatzen da eta NAS segurtasun testuinguru komun bat garatzen da AMFrekin.
  • Erabiltzaileak eskaera bat bidaltzen dio AMFri saio bat ezartzeko.
  • AMFk saio bat ezartzeko eskaera bidaltzen dio SMFri erabiltzailearen SUPI adieraziz.
  • SMF-k erabiltzailearen kredentzialak baliozkotzen ditu UDMn emandako SUPI erabiliz.
  • SMFk erantzun bat bidaltzen dio AMFren eskaerari.
  • SMF-k EAP autentifikazio prozedura abiarazten du kanpoko sareko AAA zerbitzaritik saio bat ezartzeko baimena lortzeko. Horretarako, SMF eta erabiltzaileak mezuak trukatzen dituzte prozedura hasteko.
  • Erabiltzaileak eta kanpoko sareko AAA zerbitzariak mezuak trukatzen dituzte erabiltzailea autentifikatu eta baimentzeko. Kasu honetan, erabiltzaileak mezuak bidaltzen ditu SMFra, eta honek kanpoko sarearekin mezuak trukatzen ditu UPF bidez.

Ondorioa

5G segurtasun arkitektura lehendik dauden teknologien berrerabilpenean oinarritzen den arren, erronka guztiz berriak planteatzen ditu. IoT gailu ugari, sare-mugak hedatu eta arkitektura deszentralizatutako elementuak dira 5G estandarraren funtsezko printzipioetako batzuk, ziber-kriminalen irudimenari askatasuna ematen diotenak.

5G segurtasun arkitekturaren oinarrizko estandarra da TS 23.501 15.6.0 bertsioa β€” segurtasun-mekanismoen eta prozeduren funtzionamenduaren funtsezko puntuak jasotzen ditu. Bereziki, VNF bakoitzaren eginkizuna deskribatzen du erabiltzailearen datuen eta sareko nodoen babesa bermatzeko, kriptografia-gakoak sortzeko eta autentifikazio-prozedura ezartzeko. Baina estandar honek ere ez du erantzunik ematen telekomunikazio-operadoreek maizago jasaten dituzten segurtasun-arazo larriei, belaunaldi berriko sareak garatu eta martxan jartzen diren heinean.

Zentzu honetan, sinestu nahiko nuke 5. belaunaldiko sareak ustiatzeko eta babesteko zailtasunak ez diela inola ere eragingo erabiltzaile arruntei, amaren lagunaren semea bezala transmisio-abiadura eta erantzunak agintzen zaizkienak eta dagoeneko guztiak probatzeko irrikaz daudenak. belaunaldi berriko sareen gaitasun deklaratuak.

Esteka interesgarriak

3GPP zehaztapen seriea
5G segurtasun arkitektura
5G sistemaren arkitektura
5G Wikia
5G arkitektura oharrak
5G segurtasunaren ikuspegi orokorra

Iturria: www.habr.com

Gehitu iruzkin berria