ProHoster > وبلاگ > اداره > مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

بدیهی است که توسعه یک استاندارد ارتباطی جدید بدون فکر کردن به مکانیسم های امنیتی یک تلاش بسیار مشکوک و بیهوده است.

معماری امنیت 5G - مجموعه ای از مکانیسم ها و رویه های امنیتی اجرا شده در شبکه های نسل پنجم و پوشش تمام اجزای شبکه، از هسته تا رابط های رادیویی.

شبکه های نسل پنجم، در اصل، یک تکامل هستند نسل چهارم شبکه های LTE. فناوری های دسترسی رادیویی دستخوش مهم ترین تغییرات شده اند. برای شبکه های نسل 5، یک جدید موش صحرایی (فناوری دسترسی رادیویی) - رادیو جدید 5G. در مورد هسته اصلی شبکه، آنچنان تغییرات چشمگیری نداشته است. در این راستا، معماری امنیتی شبکه‌های 5G با تأکید بر استفاده مجدد از فناوری‌های مربوطه اتخاذ شده در استاندارد 4G LTE توسعه یافته است.

با این حال، شایان ذکر است که بازنگری تهدیدات شناخته شده مانند حملات به رابط های هوایی و لایه سیگنالینگ (علامت دهی هواپیما)، حملات DDOS، حملات Man-In-The-Middle و غیره، اپراتورهای مخابراتی را بر آن داشت تا استانداردهای جدیدی را توسعه دهند و مکانیسم های امنیتی کاملاً جدیدی را در شبکه های نسل پنجم ادغام کنند.

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

پیش زمینه

در سال 2015، اتحادیه بین‌المللی مخابرات اولین طرح جهانی از نوع خود را برای توسعه شبکه‌های نسل پنجم ترسیم کرد، به همین دلیل است که موضوع توسعه مکانیسم‌ها و رویه‌های امنیتی در شبکه‌های 5G شدیدتر شده است.

فناوری جدید سرعت انتقال داده واقعاً چشمگیر (بیش از 1 گیگابیت در ثانیه)، تأخیر کمتر از 1 میلی ثانیه و توانایی اتصال همزمان حدود 1 میلیون دستگاه در شعاع 1 کیلومتر مربع را ارائه می دهد. چنین بالاترین الزامات برای شبکه های نسل پنجم نیز در اصول سازماندهی آنها منعکس شده است.

اصلی‌ترین آن عدم تمرکز بود که مستلزم قرار دادن بسیاری از پایگاه‌های داده محلی و مراکز پردازش آنها در حاشیه شبکه بود. این باعث شد تا تاخیرها به حداقل برسد M2M-ارتباطات و تسکین هسته شبکه به دلیل سرویس دهی به تعداد زیادی از دستگاه های اینترنت اشیا. بنابراین، لبه شبکه‌های نسل بعدی تا ایستگاه‌های پایه گسترش یافت و امکان ایجاد مراکز ارتباطی محلی و ارائه خدمات ابری بدون خطر تاخیرهای حیاتی یا انکار سرویس را فراهم کرد. به طور طبیعی، رویکرد تغییر یافته به شبکه و خدمات مشتری مورد توجه مهاجمان بود، زیرا فرصت‌های جدیدی را برای حمله به اطلاعات محرمانه کاربر و خود اجزای شبکه به منظور ایجاد انکار سرویس یا تصرف منابع محاسباتی اپراتور باز کرد.

آسیب پذیری های اصلی شبکه های نسل پنجم

سطح حمله بزرگ

بیشترهنگام ساخت شبکه های مخابراتی نسل های 3 و 4، اپراتورهای مخابراتی معمولاً محدود به کار با یک یا چند فروشنده بودند که بلافاصله مجموعه ای از سخت افزار و نرم افزار را تهیه می کردند. یعنی همه چیز می تواند کار کند ، همانطور که می گویند "خارج از جعبه" - فقط کافی بود تجهیزات خریداری شده از فروشنده را نصب و پیکربندی کنید. نیازی به جایگزینی یا تکمیل نرم افزار اختصاصی وجود نداشت. گرایش‌های مدرن برخلاف این رویکرد «کلاسیک» است و هدف آن مجازی‌سازی شبکه‌ها، رویکردی چند فروشنده برای ساخت و تنوع نرم‌افزاری آن‌ها است. فناوری هایی مانند SDN (English Software Defined Network) و NFV (English Network Functions Virtualization) که منجر به گنجاندن حجم عظیمی از نرم افزارهای ساخته شده بر اساس کدهای منبع باز در فرآیندها و عملکردهای مدیریت شبکه های ارتباطی می شود. این به مهاجمان این فرصت را می دهد که شبکه اپراتور را بهتر مطالعه کنند و تعداد بیشتری از آسیب پذیری ها را شناسایی کنند که به نوبه خود سطح حمله شبکه های نسل جدید را نسبت به شبکه های فعلی افزایش می دهد.

تعداد زیادی دستگاه IoT

بیشترتا سال 2021، حدود 57 درصد از دستگاه های متصل به شبکه های 5G دستگاه های اینترنت اشیا خواهند بود. این بدان معناست که اکثر میزبان ها قابلیت های رمزنگاری محدودی خواهند داشت (نگاه کنید به نقطه 2) و بر این اساس، در برابر حملات آسیب پذیر خواهند بود. تعداد زیادی از این دستگاه‌ها خطر تکثیر بات‌نت را افزایش می‌دهند و انجام حملات DDoS قدرتمندتر و توزیع‌شده‌تر را ممکن می‌سازند.

قابلیت‌های رمزنگاری محدود دستگاه‌های IoT

بیشترهمانطور که قبلا ذکر شد، شبکه های نسل 5 به طور فعال از دستگاه های جانبی استفاده می کنند که امکان حذف بخشی از بار از هسته شبکه و در نتیجه کاهش تاخیر را فراهم می کند. این برای خدمات مهمی مانند کنترل وسایل نقلیه بدون سرنشین، سیستم هشدار اضطراری ضروری است IMS و دیگران، که تضمین حداقل تاخیر برای آنها حیاتی است، زیرا زندگی انسانها به آن بستگی دارد. به دلیل اتصال تعداد زیادی از دستگاه های اینترنت اشیا که به دلیل اندازه کوچک و مصرف انرژی کم، منابع محاسباتی بسیار محدودی دارند، شبکه های 5G در برابر حملاتی با هدف رهگیری کنترل و متعاقبا دستکاری چنین دستگاه هایی آسیب پذیر می شوند. به عنوان مثال، ممکن است سناریوهایی وجود داشته باشد که در آن دستگاه‌های IoT که بخشی از سیستم هستند آلوده شوند.خانه هوشمند"، انواع بدافزار مانند باج افزار و باج افزار. سناریوهای کنترل رهگیری وسایل نقلیه بدون سرنشینی که دستورات و اطلاعات ناوبری را از طریق ابر دریافت می کنند نیز امکان پذیر است. به طور رسمی، این آسیب‌پذیری ناشی از تمرکززدایی شبکه‌های نسل جدید است، اما پاراگراف بعدی مشکل تمرکززدایی را با وضوح بیشتری بیان می‌کند.

تمرکززدایی و گسترش مرزهای شبکه

بیشتردستگاه‌های جانبی که نقش هسته‌های شبکه محلی را بازی می‌کنند، مسیریابی ترافیک کاربر، پردازش درخواست‌ها و همچنین ذخیره‌سازی محلی و ذخیره داده‌های کاربر را انجام می‌دهند. بنابراین، مرزهای شبکه‌های نسل پنجم، علاوه بر هسته، به حاشیه، از جمله پایگاه‌های داده محلی و رابط‌های رادیویی 5G-NR (رادیو جدید 5G) در حال گسترش است. این فرصتی را برای حمله به منابع محاسباتی دستگاه‌های محلی، که به طور پیشینی ضعیف‌تر از گره‌های مرکزی هسته شبکه محافظت می‌شوند، با هدف ایجاد انکار سرویس ایجاد می‌کند. این می تواند منجر به قطع دسترسی به اینترنت برای کل مناطق، عملکرد نادرست دستگاه های IoT (به عنوان مثال، در سیستم خانه هوشمند)، و همچنین در دسترس نبودن سرویس هشدار اضطراری IMS شود.

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

با این حال، ETSI و 3GPP اکنون بیش از 10 استاندارد را منتشر کرده اند که جنبه های مختلف امنیت شبکه 5G را پوشش می دهد. اکثریت قریب به اتفاق مکانیسم هایی که در آنجا توضیح داده شده اند با هدف محافظت در برابر آسیب پذیری ها (از جمله مواردی که در بالا توضیح داده شد) هستند. یکی از اصلی ترین آنها استاندارد است TS 23.501 نسخه 15.6.0، معماری امنیتی شبکه های نسل پنجم را تشریح می کند.

معماری 5G

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2
ابتدا، اجازه دهید به اصول کلیدی معماری شبکه 5G بپردازیم، که بیشتر معنا و حوزه مسئولیت هر ماژول نرم افزار و هر عملکرد امنیتی 5G را آشکار می کند.

  • تقسیم گره های شبکه به عناصری که عملکرد پروتکل ها را تضمین می کند هواپیمای سفارشی (از انگلیسی UP - User Plane) و عناصری که عملکرد پروتکل ها را تضمین می کنند کنترل هواپیما (از CP انگلیسی - Control Plane)، که انعطاف پذیری را از نظر مقیاس بندی و استقرار شبکه افزایش می دهد، یعنی قرار دادن متمرکز یا غیرمتمرکز گره های شبکه اجزای جداگانه امکان پذیر است.
  • پشتیبانی مکانیزم برش شبکه، بر اساس خدمات ارائه شده به گروه های خاصی از کاربران نهایی.
  • پیاده سازی عناصر شبکه در فرم توابع شبکه مجازی.
  • پشتیبانی از دسترسی همزمان به خدمات متمرکز و محلی، یعنی اجرای مفاهیم ابری (از انگلیسی. محاسبات مه) و حاشیه (از انگلیسی. محاسبات لبه) محاسبات
  • اجرا همگرا معماری ترکیبی از انواع مختلف شبکه های دسترسی - 3GPP 5G New Radio و غیر 3GPP (Wi-Fi و غیره) - با یک هسته شبکه.
  • پشتیبانی از الگوریتم های یکنواخت و رویه های احراز هویت، صرف نظر از نوع شبکه دسترسی.
  • پشتیبانی از توابع شبکه بدون حالت، که در آن منبع محاسبه شده از ذخیره منبع جدا می شود.
  • پشتیبانی از رومینگ با مسیریابی ترافیک هم از طریق شبکه خانگی (از رومینگ خانگی انگلیسی) و هم با یک "فرود" محلی (از شکست محلی انگلیسی) در شبکه مهمان.
  • تعامل بین توابع شبکه به دو صورت نشان داده می شود: خدمات گرا и رابط.

مفهوم امنیت شبکه نسل پنجم شامل:

  • احراز هویت کاربر از شبکه
  • احراز هویت شبکه توسط کاربر
  • مذاکره در مورد کلیدهای رمزنگاری بین شبکه و تجهیزات کاربر.
  • رمزگذاری و کنترل یکپارچگی ترافیک سیگنالینگ.
  • رمزگذاری و کنترل یکپارچگی ترافیک کاربر.
  • حفاظت از شناسه کاربری
  • حفاظت از رابط بین عناصر مختلف شبکه مطابق با مفهوم دامنه امنیت شبکه.
  • جداسازی لایه های مختلف مکانیسم برش شبکه و تعریف سطوح امنیتی هر لایه.
  • احراز هویت کاربر و حفاظت از ترافیک در سطح خدمات نهایی (IMS، IoT و غیره).

ماژول های کلیدی نرم افزار و ویژگی های امنیتی شبکه 5G

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2 AMF (از تابع مدیریت دسترسی و تحرک انگلیسی - تابع مدیریت دسترسی و تحرک) - ارائه می دهد:

  • سازماندهی رابط های صفحه کنترل.
  • سازمان تبادل ترافیک سیگنالینگ RRC، رمزگذاری و حفاظت از یکپارچگی داده های آن.
  • سازمان تبادل ترافیک سیگنالینگ NAS، رمزگذاری و حفاظت از یکپارچگی داده های آن.
  • مدیریت ثبت تجهیزات کاربر در شبکه و نظارت بر وضعیت های احتمالی ثبت نام.
  • مدیریت اتصال تجهیزات کاربر به شبکه و نظارت بر وضعیت های احتمالی.
  • کنترل در دسترس بودن تجهیزات کاربر در شبکه در حالت CM-IDLE.
  • مدیریت تحرک تجهیزات کاربر در شبکه در حالت CM-CONNECTED.
  • انتقال پیام های کوتاه بین تجهیزات کاربر و SMF.
  • مدیریت خدمات مکان.
  • تخصیص شناسه موضوع EPS برای تعامل با EPS

SMF (به انگلیسی: Session Management Function - Session Management Function) - ارائه می دهد:

  • مدیریت جلسات ارتباطی، یعنی ایجاد، اصلاح و انتشار جلسات، از جمله حفظ یک تونل بین شبکه دسترسی و UPF.
  • توزیع و مدیریت آدرس های IP تجهیزات کاربر.
  • انتخاب دروازه UPF برای استفاده.
  • سازماندهی تعامل با PCF.
  • مدیریت اجرای سیاست کیفیت سرویس.
  • پیکربندی پویا تجهیزات کاربر با استفاده از پروتکل های DHCPv4 و DHCPv6.
  • نظارت بر جمع آوری داده های تعرفه و سازماندهی تعامل با سیستم صورتحساب.
  • ارائه یکپارچه خدمات (از انگلیسی. SSC - Session and Service Continuity).
  • تعامل با شبکه های مهمان در رومینگ.

UPF (عملکرد صفحه کاربر انگلیسی - تابع صفحه کاربر) - ارائه می دهد:

  • تعامل با شبکه های داده خارجی، از جمله اینترنت جهانی.
  • مسیریابی بسته های کاربر
  • علامت گذاری بسته ها مطابق با سیاست های QoS.
  • تشخیص بسته کاربر (به عنوان مثال، تشخیص برنامه مبتنی بر امضا).
  • ارائه گزارش در مورد استفاده از ترافیک
  • UPF همچنین نقطه لنگر برای پشتیبانی از تحرک هم در داخل و هم بین فناوری های مختلف دسترسی رادیویی است.

UDM (English Unified Data Management - Unified Database) - فراهم می کند:

  • مدیریت داده های نمایه کاربر، از جمله ذخیره و اصلاح لیست خدمات در دسترس کاربران و پارامترهای مربوط به آنها.
  • حکومتداری SUPI
  • اعتبار احراز هویت 3GPP را ایجاد کنید AKA.
  • دسترسی به مجوز بر اساس داده های نمایه (به عنوان مثال، محدودیت های رومینگ).
  • مدیریت ثبت نام کاربر، یعنی ذخیره سازی سرویس AMF.
  • پشتیبانی از خدمات و جلسات ارتباطی یکپارچه، یعنی ذخیره سازی SMF اختصاص داده شده به جلسه ارتباط فعلی.
  • مدیریت تحویل پیامک
  • چندین UDM مختلف می توانند در تراکنش های مختلف به یک کاربر خدمات دهند.

UDR (انگلیسی Unified Data Repository - ذخیره سازی داده های یکپارچه) - ذخیره سازی داده های مختلف کاربران را فراهم می کند و در واقع یک پایگاه داده از تمام مشترکین شبکه است.

UDSF (عملکرد ذخیره سازی داده های بدون ساختار انگلیسی - عملکرد ذخیره سازی داده های بدون ساختار) - تضمین می کند که ماژول های AMF زمینه های فعلی کاربران ثبت شده را ذخیره می کنند. به طور کلی، این اطلاعات را می توان به عنوان داده های یک ساختار نامحدود ارائه کرد. زمینه های کاربر را می توان برای اطمینان از جلسات یکپارچه و بدون وقفه مشترک، هم در حین خروج برنامه ریزی شده یکی از AMF ها از سرویس و هم در صورت بروز شرایط اضطراری استفاده کرد. در هر دو مورد، AMF پشتیبان سرویس را با استفاده از زمینه‌های ذخیره‌شده در USDF «انتخاب» می‌کند.

ترکیب UDR و UDSF در یک پلت فرم فیزیکی یک پیاده سازی معمولی از این توابع شبکه است.

PCF (به انگلیسی: Policy Control Function - تابع کنترل سیاست) - خط مشی های خدمات خاصی از جمله پارامترهای QoS و قوانین شارژ را ایجاد و به کاربران اختصاص می دهد. به عنوان مثال، برای انتقال یک یا نوع دیگری از ترافیک، کانال های مجازی با ویژگی های مختلف می توانند به صورت پویا ایجاد شوند. در عین حال می توان به الزامات سرویس درخواستی مشترک، میزان ازدحام شبکه، میزان ترافیک مصرفی و ... نیز توجه داشت.

NEF (عملکرد نوردهی شبکه انگلیسی - عملکرد نوردهی شبکه) - فراهم می کند:

  • سازماندهی تعامل امن پلتفرم ها و برنامه های کاربردی خارجی با هسته شبکه.
  • پارامترهای QoS و قوانین شارژ را برای کاربران خاص مدیریت کنید.

دریا (English Security Anchor Function - Anchor Security function) - همراه با AUSF، احراز هویت کاربران را هنگام ثبت نام در شبکه با هر فناوری دسترسی فراهم می کند.

AUSF (English Authentication Server Function - Authentication Server Function) - نقش یک سرور احراز هویت را ایفا می کند که درخواست های SEAF را دریافت و پردازش می کند و آنها را به ARPF هدایت می کند.

ARPF (به انگلیسی: Authentication Credential Repository and Processing Function - تابعی برای ذخیره و پردازش اعتبارنامه های احراز هویت) - ذخیره سازی کلیدهای مخفی شخصی (KI) و پارامترهای الگوریتم های رمزنگاری و همچنین تولید بردارهای احراز هویت مطابق با 5G-AKA یا و AP-موسوم به. این در مرکز داده اپراتور مخابراتی خانگی قرار دارد، از تأثیرات فیزیکی خارجی محافظت می شود و، به عنوان یک قاعده، با UDM یکپارچه شده است.

SCMF (عملکرد مدیریت زمینه امنیتی انگلیسی - عملکرد مدیریت زمینه امنیتی) - مدیریت چرخه حیات را برای زمینه امنیتی 5G ارائه می دهد.

SPCF (English Security Policy Control Function - عملکرد مدیریت سیاست امنیتی) - هماهنگی و اعمال سیاست های امنیتی را در رابطه با کاربران خاص تضمین می کند. این امر قابلیت‌های شبکه، قابلیت‌های تجهیزات کاربر و الزامات سرویس خاص را در نظر می‌گیرد (به عنوان مثال، سطوح حفاظت ارائه شده توسط سرویس ارتباطات حیاتی و سرویس دسترسی به اینترنت پهن باند بی‌سیم ممکن است متفاوت باشد). کاربرد سیاست های امنیتی شامل: انتخاب AUSF، انتخاب الگوریتم احراز هویت، انتخاب الگوریتم های رمزگذاری و کنترل یکپارچگی داده ها، تعیین طول و چرخه عمر کلیدها می باشد.

SIDF (عملکرد پنهان کردن شناسه اشتراک انگلیسی - تابع استخراج شناسه کاربر) - استخراج شناسه اشتراک دائمی مشترک (SUPI انگلیسی) را از یک شناسه پنهان (انگلیسی) تضمین می کند. SUCI، به عنوان بخشی از درخواست رویه احراز هویت "Auth Info Req" دریافت شد.

الزامات امنیتی اولیه برای شبکه های ارتباطی 5G

بیشتراحراز هویت کاربر: شبکه 5G ارائه دهنده باید SUPI کاربر را در فرآیند 5G AKA بین کاربر و شبکه احراز هویت کند.

سرویس احراز هویت شبکه: کاربر باید شناسه شبکه سرویس دهنده 5G را احراز هویت کند، با احراز هویت از طریق استفاده موفقیت آمیز از کلیدهای به دست آمده از طریق روش 5G AKA.

مجوز کاربر: شبکه سرویس دهنده باید با استفاده از پروفایل کاربری دریافتی از شبکه اپراتور مخابراتی خانگی به کاربر اجازه دهد.

مجوز شبکه سرویس دهی توسط شبکه اپراتور خانگی: باید تأییدیه ای به کاربر ارائه شود که به شبکه خدماتی متصل است که توسط شبکه اپراتور خانگی مجاز به ارائه خدمات است. مجوز از این جهت ضمنی است که با تکمیل موفقیت آمیز رویه 5G AKA تضمین می شود.

مجوز شبکه دسترسی توسط شبکه اپراتور خانگی: کاربر باید تأییدیه ای مبنی بر اتصال او به شبکه دسترسی که توسط شبکه اپراتور خانگی مجاز به ارائه خدمات است، ارائه شود. مجوز از این جهت ضمنی است که با برقراری موفقیت آمیز امنیت شبکه دسترسی اجرا می شود. این نوع مجوز باید برای هر نوع شبکه دسترسی استفاده شود.

خدمات اورژانسی تایید نشده: برای برآورده کردن الزامات نظارتی در برخی مناطق، شبکه‌های 5G باید دسترسی غیراصولی را برای خدمات اضطراری فراهم کنند.

هسته شبکه و شبکه دسترسی رادیویی: هسته شبکه 5G و شبکه دسترسی رادیویی 5G باید از استفاده از رمزگذاری 128 بیتی و الگوریتم های یکپارچگی برای اطمینان از امنیت پشتیبانی کند. AS и NAS. رابط های شبکه باید از کلیدهای رمزگذاری 256 بیتی پشتیبانی کنند.

الزامات ایمنی اولیه برای تجهیزات کاربر

بیشتر

  • تجهیزات کاربر باید از رمزگذاری، حفاظت از یکپارچگی و محافظت در برابر حملات بازپخش داده های کاربر که بین آن و شبکه دسترسی رادیویی ارسال می شود، پشتیبانی کند.
  • تجهیزات کاربر باید مکانیزم های حفاظت از رمزگذاری و یکپارچگی داده ها را همانطور که توسط شبکه دسترسی رادیویی هدایت می شود، فعال کند.
  • تجهیزات کاربر باید از رمزگذاری، حفاظت از یکپارچگی و محافظت در برابر حملات مجدد برای ترافیک سیگنالینگ RRC و NAS پشتیبانی کند.
  • تجهیزات کاربر باید از الگوریتم‌های رمزنگاری زیر پشتیبانی کنند: NEA0، NIA0، 128-NEA1، 128-NIA1، 128-NEA2، 128-NIA2
  • تجهیزات کاربر می توانند از الگوریتم های رمزنگاری زیر پشتیبانی کنند: 128-NEA3، 128-NIA3.
  • تجهیزات کاربر باید الگوریتم‌های رمزنگاری زیر را پشتیبانی کند: 128-EEA1، 128-EEA2، 128-EIA1، 128-EIA2 اگر از اتصال به شبکه دسترسی رادیویی E-UTRA پشتیبانی می‌کند.
  • حفاظت از محرمانه بودن داده های کاربر که بین تجهیزات کاربر و شبکه دسترسی رادیویی ارسال می شود اختیاری است، اما باید هر زمان که توسط مقررات اجازه داده شود، ارائه شود.
  • حفاظت از حریم خصوصی برای ترافیک سیگنالینگ RRC و NAS اختیاری است.
  • کلید دائمی کاربر باید محافظت شده و در اجزای تجهیزات کاربر که به خوبی ایمن شده اند ذخیره شود.
  • شناسه اشتراک دائمی مشترک نباید به صورت متنی واضح از طریق شبکه دسترسی رادیویی منتقل شود مگر برای اطلاعات لازم برای مسیریابی صحیح (مثلاً MCC и MNC).
  • کلید عمومی شبکه اپراتور خانگی، شناسه کلید، شناسه طرح امنیتی و شناسه مسیریابی باید در USIM.

هر الگوریتم رمزگذاری با یک عدد باینری مرتبط است:

  • "0000": NEA0 - الگوریتم رمزگذاری تهی
  • "0001": 128-NEA1 - 128 بیتی SNOW الگوریتم مبتنی بر 3G
  • "0010" 128-NEA2 - 128 بیتی AES الگوریتم مبتنی بر
  • "0011" 128-NEA3 - 128 بیتی ZUC الگوریتم مبتنی بر

رمزگذاری داده ها با استفاده از 128-NEA1 و 128-NEA2مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

PS مدار از آن قرض گرفته شده است TS 133.501

تولید درج های شبیه سازی شده توسط الگوریتم های 128-NIA1 و 128-NIA2 برای اطمینان از یکپارچگیمقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

PS مدار از آن قرض گرفته شده است TS 133.501

الزامات امنیتی اولیه برای عملکردهای شبکه 5G

بیشتر

  • AMF باید از احراز هویت اولیه با استفاده از SUCI پشتیبانی کند.
  • SEAF باید از احراز هویت اولیه با استفاده از SUCI پشتیبانی کند.
  • UDM و ARPF باید کلید دائمی کاربر را ذخیره کرده و اطمینان حاصل کنند که از سرقت محافظت می شود.
  • AUSF فقط باید SUPI را در صورت احراز هویت اولیه موفقیت آمیز با استفاده از SUCI به شبکه ارائه دهنده محلی ارائه دهد.
  • NEF نباید اطلاعات هسته پنهان شبکه را خارج از حوزه امنیتی اپراتور ارسال کند.

رویه های ایمنی پایه

دامنه های اعتماد

در شبکه های نسل پنجم، با دور شدن عناصر از هسته شبکه، اعتماد به عناصر شبکه کاهش می یابد. این مفهوم بر تصمیمات اجرا شده در معماری امنیتی 5G تأثیر می گذارد. بنابراین، ما می توانیم در مورد یک مدل اعتماد از شبکه های 5G صحبت کنیم که رفتار مکانیسم های امنیتی شبکه را تعیین می کند.

در سمت کاربر، دامنه اعتماد توسط UICC و USIM تشکیل شده است.

در سمت شبکه، دامنه اعتماد ساختار پیچیده تری دارد.

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2 شبکه دسترسی رادیویی به دو جزء تقسیم می شود - DU (از انگلیسی Distributed Units - distributed network units) و CU (از واحدهای مرکزی انگلیسی - واحدهای مرکزی شبکه). با هم تشکیل می دهند gNB - رابط رادیویی ایستگاه پایه شبکه 5G. DU ها دسترسی مستقیم به داده های کاربر ندارند زیرا می توانند در بخش های زیرساخت محافظت نشده مستقر شوند. CU ها باید در بخش های شبکه محافظت شده مستقر شوند، زیرا آنها مسئول پایان دادن به ترافیک از مکانیسم های امنیتی AS هستند. در هسته اصلی شبکه قرار دارد AMF، که ترافیک مکانیسم های امنیتی NAS را خاتمه می دهد. مشخصات فعلی فاز 3 5GPP 1G این ترکیب را توصیف می کند AMF با عملکرد ایمنی دریا، حاوی کلید ریشه (همچنین به عنوان "کلید لنگر" شناخته می شود) شبکه بازدید شده (در حال ارائه). AUSF مسئول ذخیره سازی کلید به دست آمده پس از احراز هویت موفقیت آمیز است. برای استفاده مجدد در مواردی که کاربر به طور همزمان به چندین شبکه دسترسی رادیویی متصل است ضروری است. ARPF اطلاعات کاربری کاربر را ذخیره می کند و آنالوگ USIM برای مشترکین است. UDR и UDM ذخیره اطلاعات کاربر، که برای تعیین منطق تولید اعتبار، شناسه های کاربر، اطمینان از تداوم جلسه و غیره استفاده می شود.

سلسله مراتب کلیدها و طرح های توزیع آنها

در شبکه های نسل پنجم، بر خلاف شبکه های 5G-LTE، روش احراز هویت دارای دو جزء است: احراز هویت اولیه و ثانویه. احراز هویت اولیه برای همه دستگاه های کاربر که به شبکه متصل می شوند مورد نیاز است. احراز هویت ثانویه می تواند در صورت درخواست از شبکه های خارجی انجام شود، در صورتی که مشترک به آنها متصل شود.

پس از تکمیل موفقیت آمیز احراز هویت اولیه و توسعه یک کلید مشترک K بین کاربر و شبکه، KSEAF از کلید K استخراج می شود - یک کلید لنگر (ریشه) ویژه شبکه سرویس دهنده. متعاقبا، کلیدهایی از این کلید برای اطمینان از محرمانه بودن و یکپارچگی داده های ترافیک سیگنالینگ RRC و NAS تولید می شوند.

نمودار همراه با توضیحاتمقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2
افسانه:
CK کلید رمز
IK (به انگلیسی: Integrity Key) - کلیدی که در مکانیسم های حفاظت از یکپارچگی داده ها استفاده می شود.
CK' (eng. Cipher Key) - کلید رمزنگاری دیگری که از CK برای مکانیزم EAP-AKA ایجاد شده است.
IK' (English Integrity Key) - کلید دیگری که در مکانیسم های حفاظت از یکپارچگی داده برای EAP-AKA استفاده می شود.
KAUSF - تولید شده توسط عملکرد ARPF و تجهیزات کاربر از CK и IK در طول 5G AKA و EAP-AKA.
KSEAF - کلید لنگر که توسط عملکرد AUSF از کلید بدست می آید کامفاوسف.
کامف - کلید بدست آمده توسط عملکرد SEAF از کلید KSEAF.
KNASint, KNASenc - کلیدهای به دست آمده توسط عملکرد AMF از کلید کامف برای محافظت از ترافیک سیگنالینگ NAS.
KRRCint, KRRCenc - کلیدهای به دست آمده توسط عملکرد AMF از کلید کامف برای محافظت از ترافیک سیگنالینگ RRC
KUPint, KUPenc - کلیدهای به دست آمده توسط عملکرد AMF از کلید کامف برای محافظت از ترافیک سیگنالینگ AS.
NH - کلید میانی که توسط عملکرد AMF از کلید بدست می آید کامف برای اطمینان از امنیت داده ها در هنگام تحویل.
KgNB - کلید به دست آمده توسط عملکرد AMF از کلید کامف برای اطمینان از ایمنی مکانیسم های تحرک.

طرح هایی برای تولید SUCI از SUPI و بالعکس

طرح هایی برای به دست آوردن SUPI و SUCI

تولید SUCI از SUPI و SUPI از SUCI:
مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

احراز هویت

احراز هویت اولیه

در شبکه‌های 5G، EAP-AKA و 5G AKA مکانیزم‌های احراز هویت اولیه استاندارد هستند. بیایید مکانیزم احراز هویت اولیه را به دو مرحله تقسیم کنیم: مرحله اول مسئول احراز هویت و انتخاب یک روش احراز هویت است، مرحله دوم مسئول احراز هویت متقابل بین کاربر و شبکه است.

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

شروع

کاربر یک درخواست ثبت نام را به SEAF ارسال می کند که حاوی شناسه اشتراک مخفی SUCI کاربر است.

SEAF یک پیام درخواست احراز هویت (Nausf_UEAuthentication_Authenticate Request) حاوی SNN (نام شبکه سرویس) و SUPI یا SUCI را به AUSF می فرستد.

AUSF بررسی می کند که آیا درخواست کننده احراز هویت SEAF مجاز به استفاده از SNN داده شده است یا خیر. اگر شبکه ارائه دهنده مجوز استفاده از این SNN را نداشته باشد، AUSF با یک پیغام خطای مجوز پاسخ می دهد «شبکه سرویس دهی مجاز نیست» (Nausf_UEAuthentication_Authenticate Response).

اعتبارنامه احراز هویت توسط AUSF به UDM، ARPF یا SIDF از طریق SUPI یا SUCI و SNN درخواست می شود.

بر اساس SUPI یا SUCI و اطلاعات کاربر، UDM/ARPF روش احراز هویت را برای استفاده بعدی انتخاب می کند و اعتبار کاربر را صادر می کند.

احراز هویت متقابل

هنگام استفاده از هر روش احراز هویت، توابع شبکه UDM/ARPF باید یک بردار احراز هویت (AV) ایجاد کنند.

EAP-AKA: UDM/ARPF ابتدا یک بردار احراز هویت با بیت جداکننده AMF = 1 تولید می کند، سپس تولید می کند. CK' и IK' از CK, IK و SNN و یک بردار جدید احراز هویت AV را تشکیل می دهد (RAND، AUTN، XRES*، CK', IK') که با دستورالعمل استفاده از آن فقط برای EAP-AKA به AUSF ارسال می شود.

5G AKA: UDM/ARPF کلید را دریافت می کند KAUSF از CK, IK و SNN، پس از آن 5G HE AV تولید می کند. بردار احراز هویت محیط خانه 5G). بردار احراز هویت 5G HE AV (RAND، AUTN، XRES، KAUSF) همراه با دستورالعمل استفاده از آن فقط برای 5G AKA به AUSF ارسال می شود.

بعد از این AUSF کلید لنگر به دست می آید KSEAF از کلید KAUSF و یک درخواست به SEAF "Challenge" در پیام "Nausf_UEAuthentication_Authenticate Response" ارسال می کند که شامل RAND، AUTN و RES* نیز می باشد. سپس RAND و AUTN با استفاده از یک پیام سیگنالینگ امن NAS به تجهیزات کاربر منتقل می شوند. USIM کاربر RES* را از RAND و AUTN دریافتی محاسبه کرده و به SEAF ارسال می کند. SEAF این مقدار را برای تأیید به AUSF رله می کند.

AUSF XRES* ذخیره شده در آن و RES* دریافتی از کاربر را مقایسه می کند. در صورت وجود تطابق، AUSF و UDM در شبکه خانگی اپراتور از احراز هویت موفقیت آمیز مطلع می شوند و کاربر و SEAF به طور مستقل یک کلید تولید می کنند. کامف از KSEAF و SUPI برای ارتباط بیشتر.

احراز هویت ثانویه

استاندارد 5G از احراز هویت ثانویه اختیاری بر اساس EAP-AKA بین تجهیزات کاربر و شبکه داده خارجی پشتیبانی می کند. در این مورد، SMF نقش احراز هویت EAP را بازی می کند و بر کار تکیه می کند AAA- سرور شبکه خارجی که کاربر را احراز هویت و مجوز می دهد.

مقدمه ای بر معماری امنیت 5G: NFV، کلیدها و احراز هویت 2

  • احراز هویت اولیه اجباری کاربر در شبکه خانگی اتفاق می افتد و یک زمینه امنیتی مشترک NAS با AMF ایجاد می شود.
  • کاربر درخواستی را برای ایجاد یک جلسه به AMF ارسال می کند.
  • AMF درخواستی برای ایجاد یک جلسه به SMF ارسال می کند که SUPI کاربر را نشان می دهد.
  • SMF اعتبار کاربر را در UDM با استفاده از SUPI ارائه شده تأیید می کند.
  • SMF پاسخی را به درخواست AMF ارسال می کند.
  • SMF روش احراز هویت EAP را برای کسب مجوز برای ایجاد یک جلسه از سرور AAA در شبکه خارجی آغاز می کند. برای انجام این کار، SMF و کاربر برای شروع رویه، پیام هایی را مبادله می کنند.
  • سپس کاربر و سرور AAA شبکه خارجی برای احراز هویت و مجوز دادن به کاربر، پیام‌هایی را مبادله می‌کنند. در این حالت کاربر پیام هایی را به SMF ارسال می کند که به نوبه خود از طریق UPF پیام ها را با شبکه خارجی مبادله می کند.

نتیجه

اگرچه معماری امنیتی 5G مبتنی بر استفاده مجدد از فناوری های موجود است، اما چالش های کاملاً جدیدی را ایجاد می کند. تعداد زیادی از دستگاه های اینترنت اشیا، مرزهای شبکه گسترده و عناصر معماری غیرمتمرکز تنها برخی از اصول کلیدی استاندارد 5G هستند که به تخیل مجرمان سایبری آزادی عمل می دهند.

استاندارد اصلی برای معماری امنیتی 5G است TS 23.501 نسخه 15.6.0 - حاوی نکات کلیدی عملکرد مکانیسم ها و رویه های امنیتی است. به طور خاص، نقش هر VNF را در حصول اطمینان از حفاظت از داده های کاربر و گره های شبکه، در تولید کلیدهای رمزنگاری و در اجرای روش احراز هویت توصیف می کند. اما حتی این استاندارد نیز پاسخی به مسائل امنیتی مبرمی که اپراتورهای مخابراتی با آن مواجه هستند، نمی دهد، زیرا شبکه های نسل جدید با شدت بیشتری توسعه یافته و به بهره برداری می رسند.

در این راستا، من می خواهم باور کنم که مشکلات عملکرد و حفاظت از شبکه های نسل 5 به هیچ وجه بر کاربران عادی که به آنها وعده سرعت انتقال و پاسخگویی مانند پسر دوست مادر داده می شود و مشتاق هستند همه چیز را امتحان کنند، نخواهد گذاشت. قابلیت های اعلام شده شبکه های نسل جدید.

لینک های مفید

سری مشخصات 3GPP
معماری امنیتی 5G
معماری سیستم 5G
ویکی 5G
یادداشت های معماری 5G
مروری بر امنیت 5G

منبع: www.habr.com

اضافه کردن نظر