Johdatus 5G-tietoturvaarkkitehtuuriin: NFV, avaimet ja 2 todennus
On selvää, että uuden viestintästandardin kehittäminen ilman turvamekanismeja ajattelematta on erittäin kyseenalaista ja turhaa yritystä.
5G-tietoturvaarkkitehtuuri — joukko turvamekanismeja ja -menettelyjä, jotka on otettu käyttöön 5. sukupolven verkot ja kattaa kaikki verkon komponentit ytimestä radiorajapintoihin.
Viidennen sukupolven verkot ovat pohjimmiltaan evoluutiota Neljännen sukupolven LTE-verkot. Radioliityntäteknologiat ovat kokeneet merkittävimmät muutokset. Viidennen sukupolven verkoille uusi RAT (Radio Access Technology) - 5G uusi radio. Mitä tulee verkon ytimeen, se ei ole kokenut näin merkittäviä muutoksia. Tältä osin 5G-verkkojen tietoturva-arkkitehtuuria on kehitetty painottaen 4G LTE -standardissa hyväksyttyjen asiaankuuluvien teknologioiden uudelleenkäyttöä.
On kuitenkin syytä huomata, että tunnettujen uhkien, kuten hyökkäysten ilmarajapintoihin ja signalointikerrokseen, uudelleen miettiminen (signalointi lentokone), DDOS-hyökkäykset, Man-In-The-Middle-hyökkäykset jne. saivat teleoperaattoreita kehittämään uusia standardeja ja integroimaan täysin uusia suojamekanismeja viidennen sukupolven verkkoihin.
Предпосылки
Kansainvälinen teleliitto laati vuonna 2015 lajissaan ensimmäisen globaalin suunnitelman viidennen sukupolven verkkojen kehittämiseksi, minkä vuoksi kysymys turvamekanismien ja -menettelyjen kehittämisestä 5G-verkoissa on noussut erityisen akuutiksi.
Uusi tekniikka tarjosi todella vaikuttavat tiedonsiirtonopeudet (yli 1 Gbps), alle 1 ms:n latenssin ja mahdollisuuden yhdistää samanaikaisesti noin miljoona laitetta 1 km1:n säteellä. Tällaiset korkeimmat vaatimukset viidennen sukupolven verkoille näkyvät myös niiden organisaation periaatteissa.
Tärkein niistä oli hajauttaminen, joka merkitsi useiden paikallisten tietokantojen ja niiden käsittelykeskusten sijoittamista verkon reunalle. Tämä mahdollisti viivästysten minimoimisen M2M-viestintää ja vapauttaa verkon ydintä valtavan määrän IoT-laitteita huollettaessa. Näin ollen seuraavan sukupolven verkkojen reuna laajeni aina tukiasemille, mikä mahdollisti paikallisten viestintäkeskusten luomisen ja pilvipalvelujen tarjoamisen ilman kriittisten viivästysten tai palvelun epäämisen riskiä. Luonnollisesti muuttunut lähestymistapa verkkoon ja asiakaspalveluun kiinnosti hyökkääjiä, koska se avasi heille uusia mahdollisuuksia hyökätä sekä luottamuksellisiin käyttäjätietoihin että itse verkkokomponentteihin palveluneston aiheuttamiseksi tai operaattorin laskentaresurssien kaappaamiseksi.
Viidennen sukupolven verkkojen tärkeimmät haavoittuvuudet
Suuri hyökkäyspinta
lisääRakentaessaan 3. ja 4. sukupolven tietoliikenneverkkoja teleoperaattorit rajoittuivat yleensä työskentelemään yhden tai useamman myyjän kanssa, jotka toimittivat välittömästi laitteiston ja ohjelmiston. Eli kaikki voisi toimia, kuten sanotaan, "pakkauksesta" - riitti vain asentaa ja määrittää myyjältä ostetut laitteet; patentoitua ohjelmistoa ei tarvinnut vaihtaa tai täydentää. Nykyaikaiset trendit ovat ristiriidassa tämän "klassisen" lähestymistavan kanssa ja tähtäävät verkkojen virtualisointiin, usean toimittajan lähestymistapaan niiden rakentamiseen ja ohjelmistojen monimuotoisuuteen. Tekniikat, kuten SDN (englanniksi Software Defined Network) ja NFV (englanniksi Network Functions Virtualization), mikä johtaa valtavan määrän avoimen lähdekoodin pohjalta rakennetun ohjelmiston sisällyttämiseen viestintäverkkojen hallintaprosesseihin ja toimintoihin. Tämä antaa hyökkääjille mahdollisuuden tutkia paremmin operaattorin verkkoa ja tunnistaa suuremman määrän haavoittuvuuksia, mikä puolestaan lisää uuden sukupolven verkkojen hyökkäyspintaa nykyisiin verrattuna.
Suuri määrä IoT-laitteita
lisääVuoteen 2021 mennessä noin 57 % 5G-verkkoihin yhdistetyistä laitteista on IoT-laitteita. Tämä tarkoittaa, että useimmilla isännillä on rajoitetut salausominaisuudet (katso kohta 2) ja vastaavasti ne ovat alttiina hyökkäyksille. Valtava määrä tällaisia laitteita lisää bottiverkkojen leviämisen riskiä ja mahdollistaa entistä tehokkaampien ja hajautettujen DDoS-hyökkäysten suorittamisen.
IoT-laitteiden rajoitetut kryptografiset ominaisuudet
lisääKuten jo mainittiin, viidennen sukupolven verkot käyttävät aktiivisesti oheislaitteita, jotka mahdollistavat osan kuormituksen poistamisen verkon ytimestä ja siten vähentävät latenssia. Tämä on tarpeen sellaisille tärkeille palveluille kuin miehittämättömien ajoneuvojen valvonta, hätävaroitusjärjestelmä IMS ja muut, joille mahdollisimman vähäisen viiveen varmistaminen on kriittistä, koska siitä riippuu ihmishenkiä. Suuren määrän IoT-laitteita, jotka pienen kokonsa ja alhaisen virrankulutuksensa vuoksi ovat hyvin rajalliset laskentaresurssit, ovat yhteydessä toisiinsa, joten 5G-verkot tulevat alttiiksi hyökkäyksille, joiden tarkoituksena on siepata tällaisten laitteiden ohjaus ja myöhempi manipulointi. Saattaa olla esimerkiksi skenaarioita, joissa järjestelmään kuuluvat IoT-laitteet ovat saastuneet "älykäs talo", tyyppisiä haittaohjelmia, kuten Ransomware ja ransomware. Myös pilven kautta komentoja ja navigointitietoja vastaanottavien miehittämättömien ajoneuvojen ohjauksen sieppaustilanteet ovat mahdollisia. Muodollisesti tämä haavoittuvuus johtuu uuden sukupolven verkkojen hajauttamisesta, mutta seuraava kappale hahmottelee hajauttamisen ongelmaa selkeämmin.
Verkon rajojen hajauttaminen ja laajentaminen
lisääOheislaitteet, jotka toimivat paikallisten verkkoytimien roolissa, suorittavat käyttäjäliikenteen reitityksen, pyyntöjen käsittelyn sekä käyttäjätietojen paikallisen välimuistin ja tallennuksen. Siten viidennen sukupolven verkkojen rajat laajenevat ytimen lisäksi reuna-alueille, mukaan lukien paikalliset tietokannat ja 5G-NR (5G New Radio) radiorajapinnat. Tämä luo mahdollisuuden hyökätä paikallisten laitteiden laskentaresursseja vastaan, jotka ovat a priori heikommin suojattuja kuin verkkoytimen keskussolmut, tavoitteena palvelunesto. Tämä voi johtaa kokonaisten alueiden Internet-yhteyden katkeamiseen, IoT-laitteiden virheelliseen toimintaan (esimerkiksi älykodin järjestelmässä) sekä IMS:n hätähälytyspalvelun epäkäytettävyyteen.
ETSI ja 3GPP ovat kuitenkin nyt julkaisseet yli 10 standardia, jotka kattavat 5G-verkkoturvallisuuden eri näkökohdat. Suurin osa siellä kuvatuista mekanismeista on tarkoitettu suojaamaan haavoittuvuuksilta (mukaan lukien yllä kuvatut). Yksi tärkeimmistä on standardi TS 23.501 versio 15.6.0, joka kuvaa viidennen sukupolven verkkojen suojausarkkitehtuuria.
5G arkkitehtuuri
Siirrytään ensin 5G-verkkoarkkitehtuurin keskeisiin periaatteisiin, jotka paljastavat edelleen täysin kunkin ohjelmistomoduulin ja kunkin 5G-turvatoiminnon merkityksen ja vastuualueet.
Verkkosolmujen jako elementeiksi, jotka varmistavat protokollien toiminnan mukautettu lentokone (englanniksi UP - User Plane) ja protokollien toiminnan varmistavat elementit ohjaustaso (englannin kielestä CP - Control Plane), mikä lisää joustavuutta verkon skaalauksen ja käyttöönoton suhteen, eli yksittäisten komponenttiverkkosolmujen keskitetty tai hajautettu sijoittaminen on mahdollista.
Mekanismin tuki verkon viipalointi, joka perustuu tietyille loppukäyttäjäryhmille tarjottuihin palveluihin.
Tuki keskitettyjen ja paikallisten palvelujen samanaikaiseen käyttöön, eli pilvikonseptien toteuttamiseen (englanniksi. sumulaskenta) ja raja (englannista. reunan tietojenkäsittely) laskelmat.
Реализация lähentyvä erityyppisiä liityntäverkkoja yhdistävä arkkitehtuuri - 3GPP 5G New Radio ja ei-3GPP (Wi-Fi jne.) - yhdellä verkkoytimellä.
Yhtenäisten algoritmien ja todennusmenettelyjen tuki liityntäverkon tyypistä riippumatta.
Tuki tilattomille verkkotoiminnoille, joissa laskettu resurssi erotetaan resurssivarastosta.
Tuki verkkovierailulle liikenteen reitityksellä sekä kotiverkon kautta (englanninkielisestä home-routed roamingista) että paikallisella "laskeutumisella" (englanninkielisestä paikallisesta breakoutista) vierasverkossa.
Vuorovaikutus vierasverkkojen kanssa verkkovierailussa.
UPF (englanniksi User Plane Function - user plane function) - tarjoaa:
Vuorovaikutus ulkoisten tietoverkkojen kanssa, mukaan lukien maailmanlaajuinen Internet.
Käyttäjäpakettien reititys.
Pakettien merkitseminen QoS-käytäntöjen mukaisesti.
Käyttäjäpaketin diagnostiikka (esimerkiksi allekirjoituspohjainen sovellusten tunnistus).
Raporttien toimittaminen liikenteen käytöstä.
UPF on myös tukipiste liikkuvuuden tukemiselle sekä eri radioliityntätekniikoiden sisällä että niiden välillä.
UDM (englanniksi Unified Data Management - yhtenäinen tietokanta) - tarjoaa:
Käyttäjäprofiilitietojen hallinta, mukaan lukien käyttäjien saatavilla olevien palveluiden luettelon ja niitä vastaavien parametrien tallentaminen ja muokkaaminen.
Profiilitietoihin perustuva käyttöoikeus (esimerkiksi verkkovierailurajoitukset).
Käyttäjien rekisteröinnin hallinta, eli palvelevan AMF:n tallennus.
Tuki saumattomille palvelu- ja viestintäistunnoille, eli nykyiseen viestintäistuntoon määritetyn SMF:n tallentamiseen.
SMS-toimituksen hallinta.
Useat eri UDM:t voivat palvella samaa käyttäjää eri tapahtumissa.
UDR (englanniksi Unified Data Repository - Unified Data Repository - Unified Data Storage) - tarjoaa erilaisten käyttäjätietojen tallennuksen ja on itse asiassa kaikkien verkon tilaajien tietokanta.
UDSF (englanniksi Unstructured Data Storage Function - unstructured data storage function) - varmistaa, että AMF-moduulit tallentavat rekisteröityjen käyttäjien nykyiset kontekstit. Yleensä nämä tiedot voidaan esittää määrittelemättömän rakenteen tietoina. Käyttäjäkonteksteja voidaan käyttää varmistamaan saumattomat ja keskeytymättömät tilaajaistunnot sekä yhden AMF:n suunnitellun poistumisen aikana palvelusta että hätätilanteessa. Molemmissa tapauksissa AMF-varmuuskopio "poimii" palvelun käyttämällä USDF:ään tallennettuja konteksteja.
UDR:n ja UDSF:n yhdistäminen samalle fyysiselle alustalle on näiden verkkotoimintojen tyypillinen toteutus.
PCF (englanniksi: Policy Control Function - Policy Control Function) - luo ja määrittää käyttäjille tiettyjä palvelukäytäntöjä, mukaan lukien QoS-parametrit ja veloitussäännöt. Esimerkiksi yhden tai toisen tyyppisen liikenteen välittämiseksi voidaan dynaamisesti luoda virtuaalisia kanavia, joilla on erilaiset ominaisuudet. Samalla voidaan ottaa huomioon tilaajan pyytämän palvelun vaatimukset, verkon ruuhkaisuuden taso, kulutetun liikenteen määrä jne.
NEF (englanniksi Network Exposure Function - verkkovalotustoiminto) - tarjoaa:
Ulkoisten alustojen ja sovellusten turvallisen vuorovaikutuksen järjestäminen verkon ytimen kanssa.
Hallitse tiettyjen käyttäjien QoS-parametreja ja veloitussääntöjä.
SEAF (englanniksi: Security Anchor Function) - yhdessä AUSF:n kanssa tarjoaa käyttäjien todennuksen rekisteröityessään verkkoon millä tahansa pääsytekniikalla.
Ausf (englanninkielinen Authentication Server Function - autentikointipalvelintoiminto) - toimii todennuspalvelimena, joka vastaanottaa ja käsittelee pyynnöt SEAF:lta ja ohjaa ne ARPF:ään.
ARPF (englanniksi: Authentication Credential Repository and Processing Function - autentikointitietojen tallentamisen ja käsittelyn toiminto) - tarjoaa henkilökohtaisten salaisten avainten (KI) ja salausalgoritmien parametrien tallennuksen sekä todennusvektoreiden generoinnin 5G-AKA:n tai EAP- AKA. Se sijaitsee kotioperaattorin tietokeskuksessa suojattuna ulkoisilta fyysisiltä vaikutuksilta ja on pääsääntöisesti integroitu UDM:ään.
SCMF (englanniksi Security Context Management Function - hallintatoiminto turvallisuuskonteksti) - Tarjoaa 5G-tietoturvakontekstin elinkaarihallinnan.
SPCF (englanniksi Security Policy Control Function - turvallisuuspolitiikan hallintatoiminto) - varmistaa turvakäytäntöjen koordinoinnin ja soveltamisen tiettyjen käyttäjien suhteen. Tässä otetaan huomioon verkon ominaisuudet, käyttäjälaitteiden ominaisuudet ja tietyn palvelun vaatimukset (esimerkiksi kriittisen viestintäpalvelun ja langattoman laajakaistaisen Internet-yhteyspalvelun tarjoamat suojaustasot voivat vaihdella). Suojauskäytäntöjen soveltamiseen kuuluu: AUSF:n valinta, todennusalgoritmin valinta, tietojen salaus- ja eheyden valvontaalgoritmien valinta, avainten pituuden ja elinkaaren määrittäminen.
SIDF (englanniksi Subscription Identifier De-concealing Function - käyttäjän tunnisteen poimintatoiminto) - varmistaa tilaajan pysyvän tilaustunnuksen (englanniksi SUPI) poimimisen piilotetusta tunnisteesta (englanniksi SUCI), joka vastaanotettiin osana todennusmenettelypyyntöä ”Auth Info Req”.
5G-viestintäverkkojen perusturvavaatimukset
lisääKäyttäjän todennus: Palvelevan 5G-verkon on todennettava käyttäjän SUPI käyttäjän ja verkon välisessä 5G AKA -prosessissa.
Palvelee verkkotodennusta: Käyttäjän on todennettava 5G:tä palveleva verkkotunnus, ja todennus saavutetaan käyttämällä onnistuneesti 5G AKA -menettelyllä saatuja avaimia.
Käyttäjän valtuutus: Palvelevan verkon tulee valtuuttaa käyttäjä käyttämällä kotiverkko-operaattorin verkosta saatua käyttäjäprofiilia.
Palveluverkon valtuutus kotioperaattoriverkon toimesta: Käyttäjälle on annettava vahvistus siitä, että hän on yhteydessä palveluverkkoon, jonka kotioperaattoriverkko on valtuuttanut tarjoamaan palveluja. Valtuutus on implisiittinen siinä mielessä, että se varmistetaan 5G AKA -menettelyn onnistuneella loppuun saattamisella.
Pääsyverkon valtuutus kotioperaattoriverkon toimesta: Käyttäjälle on annettava vahvistus siitä, että hän on yhteydessä tilaajaverkkoon, jonka kotioperaattoriverkko on valtuuttanut tarjoamaan palveluja. Valtuutus on implisiittinen siinä mielessä, että se pannaan täytäntöön luomalla onnistuneesti pääsyverkon turvallisuus. Tämän tyyppistä valtuutusta on käytettävä kaikentyyppisissä liityntäverkoissa.
Todentamattomat hätäpalvelut: 5G-verkkojen on tarjottava hätäpalveluille todentamaton pääsy joidenkin alueiden säännösten noudattamiseksi.
Verkon ydin- ja radioliityntäverkko: 5G-verkon ydin- ja 5G-radioliityntäverkon on tuettava 128-bittisten salaus- ja eheysalgoritmien käyttöä turvallisuuden varmistamiseksi AS и NAS. Verkkoliitäntöjen on tuettava 256-bittisiä salausavaimia.
Perusturvallisuusvaatimukset käyttäjälaitteille
lisää
Käyttäjälaitteen tulee tukea sen ja radioliityntäverkon välillä siirrettyjen käyttäjätietojen salausta, eheyssuojausta ja suojausta toistohyökkäyksiä vastaan.
Käyttäjälaitteen tulee aktivoida salaus- ja tiedon eheyssuojausmekanismit radioliityntäverkon ohjeiden mukaisesti.
Käyttäjälaitteiden on tuettava RRC- ja NAS-signalointiliikenteen salausta, eheyssuojausta ja suojausta toistohyökkäyksiä vastaan.
Käyttäjälaitteet voivat tukea seuraavia salausalgoritmeja: 128-NEA3, 128-NIA3.
Käyttäjälaitteen on tuettava seuraavia salausalgoritmeja: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, jos se tukee yhteyttä E-UTRA-radioliityntäverkkoon.
Käyttäjälaitteen ja radioliityntäverkon välillä siirrettyjen käyttäjätietojen luottamuksellisuuden suojaaminen on valinnaista, mutta se on huolehdittava aina, kun määräys sen sallii.
RRC- ja NAS-signalointiliikenteen yksityisyyden suojaus on valinnainen.
Käyttäjän pysyvä avain on suojattava ja säilytettävä käyttäjän laitteiden hyvin suojatuissa osissa.
Tilaajan pysyvää liittymätunnusta ei saa lähettää selkeänä tekstinä radioliityntäverkon yli paitsi oikean reitityksen kannalta tarpeellisten tietojen (esim. MCC и MNC).
Kotioperaattorin verkon julkinen avain, avaimen tunniste, turvajärjestelmän tunniste ja reititystunnus on tallennettava USIM.
AMF:n on tuettava ensisijaista todennusta SUCI:n avulla.
SEAF:n on tuettava ensisijaista todennusta SUCI:n avulla.
UDM:n ja ARPF:n on säilytettävä käyttäjän pysyvä avain ja varmistettava, että se on suojattu varkauksilta.
AUSF tarjoaa SUPI:n paikalliselle palveluverkolle vain onnistuneen alkutodennuksen jälkeen SUCI:n avulla.
NEF ei saa välittää piileviä ydinverkkotietoja operaattorin suojausalueen ulkopuolelle.
Perusturvaohjeet
Luota verkkotunnuksiin
Viidennen sukupolven verkoissa luottamus verkkoelementteihin laskee elementtien siirtyessä pois verkon ytimestä. Tämä konsepti vaikuttaa 5G-tietoturvaarkkitehtuurissa toteutettaviin päätöksiin. Voidaan siis puhua 5G-verkkojen luottamusmallista, joka määrittää verkon suojausmekanismien käyttäytymisen.
Käyttäjäpuolella luottamustoimialueen muodostavat UICC ja USIM.
Verkkopuolella luottamustoimialueella on monimutkaisempi rakenne.
Radioliityntäverkko on jaettu kahteen osaan − DU (englanniksi Distributed Units - hajautetut verkkoyksiköt) ja CU (Englannin keskusyksiköistä - verkon keskusyksiköt). Yhdessä ne muodostuvat gNB — 5G-verkon tukiaseman radioliitäntä. DU:illa ei ole suoraa pääsyä käyttäjätietoihin, koska ne voidaan ottaa käyttöön suojaamattomissa infrastruktuuriosissa. CU:t on otettava käyttöön suojatuissa verkkosegmenteissä, koska ne ovat vastuussa AS-turvamekanismien liikenteen lopettamisesta. Verkon ydin sijaitsee AMF, joka katkaisee liikenteen NAS-suojausmekanismeista. Nykyinen 3GPP 5G Phase 1 -spesifikaatio kuvaa yhdistelmän AMF turvatoiminnolla SEAF, joka sisältää vieraillun (palvelevan) verkon juuriavaimen (tunnetaan myös nimellä "ankkuriavain"). Ausf on vastuussa onnistuneen todennuksen jälkeen saadun avaimen tallentamisesta. Se on tarpeen uudelleenkäyttöön tapauksissa, joissa käyttäjä on samanaikaisesti yhteydessä useisiin radioliityntäverkkoihin. ARPF tallentaa käyttäjätunnukset ja on tilaajille tarkoitettu USIM-analogi. UDR и UDM tallentaa käyttäjätietoja, joita käytetään määrittämään logiikka valtuustietojen, käyttäjätunnusten luomiseen, istunnon jatkuvuuden varmistamiseen jne.
Avainten hierarkia ja niiden jakelujärjestelmät
Viidennen sukupolven verkoissa, toisin kuin 5G-LTE-verkoissa, todennusprosessissa on kaksi osaa: ensisijainen ja toissijainen todennus. Ensisijainen todennus vaaditaan kaikille verkkoon yhdistetyille käyttäjälaitteille. Toissijainen todennus voidaan suorittaa pyynnöstä ulkoisista verkoista, jos tilaaja ottaa niihin yhteyden.
Ensisijaisen todennuksen onnistuneen suorittamisen ja jaetun avaimen K kehittämisen jälkeen käyttäjän ja verkon välillä KSEAF erotetaan avaimesta K - palvelevan verkon erityisestä ankkuri- (juuri-) avaimesta. Myöhemmin tästä avaimesta luodaan avaimet RRC- ja NAS-signalointiliikennetietojen luottamuksellisuuden ja eheyden varmistamiseksi.
Kaavio selityksillä nimitykset: CK Salausavain IK (englanniksi: Integrity Key) - avain, jota käytetään tietojen eheyden suojamekanismeissa. CK' (eng. Cipher Key) - toinen salausavain, joka on luotu CK:sta EAP-AKA-mekanismia varten. IK' (Englanti Integrity Key) - toinen avain, jota käytetään EAP-AKA:n tietojen eheyden suojausmekanismeissa. KAUSF - generoi ARPF-toiminto ja käyttäjälaitteet CK и IK 5G AKA:n ja EAP-AKA:n aikana. KSEAF - AUSF-toiminnolla avaimesta saatu ankkuriavain KAMFAUSF. KAMF — SEAF-toiminnon näppäimestä saama avain KSEAF. KNASint, KNASenc — AMF-toiminnon näppäimestä saamat näppäimet KAMF suojaamaan NAS-signalointiliikennettä. KRRCint, KRRCenc — AMF-toiminnon näppäimestä saamat näppäimet KAMF suojaamaan RRC-signalointiliikennettä. KUPint, KUPenc — AMF-toiminnon näppäimestä saamat näppäimet KAMF AS-merkinantoliikenteen suojelemiseksi. NH — välinäppäin, joka saadaan AMF-toiminnolla näppäimestä KAMF varmistaakseen tietoturvan luovutusten aikana. KgNB — avain, jonka AMF-toiminto saa näppäimestä KAMF liikkumismekanismien turvallisuuden varmistamiseksi.
Järjestelmät SUCI:n luomiseksi SUPI:sta ja päinvastoin
Järjestelmät SUPI:n ja SUCI:n hankkimiseksi
SUCI:n tuotanto SUPI:lta ja SUPI:n tuotanto SUCI:lta:
todennus
Ensisijainen todennus
5G-verkoissa EAP-AKA ja 5G AKA ovat tavallisia ensisijaisia todennusmekanismeja. Jaetaan ensisijainen todennusmekanismi kahteen vaiheeseen: ensimmäinen on vastuussa autentikoinnin aloittamisesta ja todennusmenetelmän valinnasta, toinen vastaa käyttäjän ja verkon keskinäisestä autentikaatiosta.
Initiaatio
Käyttäjä lähettää SEAF:lle rekisteröintipyynnön, joka sisältää käyttäjän piilotetun tilaustunnuksen SUCI.
SEAF lähettää AUSF:lle todennuspyyntöviestin (Nausf_UEAuthentication_Authenticate Request), joka sisältää SNN:n (Serving Network Name) ja SUPI:n tai SUCI:n.
AUSF tarkistaa, saako SEAF-todennuspyynnön käyttää annettua SNN:ää. Jos palveluverkko ei ole valtuutettu käyttämään tätä SNN:tä, AUSF vastaa valtuutusvirheilmoituksella "Palveluverkkoa ei ole valtuutettu" (Nausf_UEAuthentication_Authenticate Response).
AUSF pyytää todennustiedot UDM:ltä, ARPF:ltä tai SIDF:ltä SUPI:n tai SUCI:n ja SNN:n kautta.
SUPI:n tai SUCI:n ja käyttäjätietojen perusteella UDM/ARPF valitsee seuraavaksi käytettävän todennustavan ja myöntää käyttäjälle valtuustiedot.
Keskinäinen todennus
Mitä tahansa todennusmenetelmää käytettäessä UDM/ARPF-verkkotoimintojen on luotava todennusvektori (AV).
EAP-AKA: UDM/ARPF generoi ensin todennusvektorin erotusbitillä AMF = 1, sitten generoi CK' и IK' ja CK, IK ja SNN ja muodostaa uuden AV-todennusvektorin (RAND, AUTN, XRES*, CK', IK'), joka lähetetään AUSF:lle ohjeineen käyttää sitä vain EAP-AKA:lle.
5G AKA: UDM/ARPF saa avaimen KAUSF ja CK, IK ja SNN, jonka jälkeen se tuottaa 5G HE AV:tä. 5G Home Environment Authentication Vector). 5G HE AV -todennusvektori (RAND, AUTN, XRES, KAUSF) lähetetään AUSF:lle ohjeineen käyttää sitä vain 5G:ssä AKA.
Tämän AUSF:n jälkeen saadaan ankkuriavain KSEAF avaimesta KAUSF ja lähettää pyynnön SEAF:lle "Challenge" viestissä "Nausf_UEAuthentication_Authenticate Response", joka sisältää myös RAND, AUTN ja RES*. Seuraavaksi RAND ja AUTN lähetetään käyttäjälaitteelle käyttämällä suojattua NAS-signalointiviestiä. Käyttäjän USIM laskee RES* vastaanotetuista RANDista ja AUTN:stä ja lähettää sen SEAF:lle. SEAF välittää tämän arvon AUSF:lle vahvistusta varten.
AUSF vertaa siihen tallennettua XRES-arvoa* ja käyttäjältä saatua RES*-arvoa. Jos vastaavuus löytyy, operaattorin kotiverkon AUSF ja UDM saavat ilmoituksen onnistuneesta todennuksen onnistumisesta, ja käyttäjä ja SEAF luovat itsenäisesti avaimen. KAMF ja KSEAF ja SUPI lisäviestintää varten.
Toissijainen todennus
5G-standardi tukee valinnaista EAP-AKA-pohjaista toissijaista todennusta käyttäjälaitteen ja ulkoisen tietoverkon välillä. Tässä tapauksessa SMF toimii EAP-autentikaattorina ja luottaa työhön AAA-ulkoinen verkkopalvelin, joka todentaa ja valtuuttaa käyttäjän.
Pakollinen ensimmäinen käyttäjän todennus kotiverkossa tapahtuu ja yhteinen NAS-suojauskonteksti kehitetään AMF:n kanssa.
Käyttäjä lähettää AMF:lle pyynnön istunnon muodostamiseksi.
AMF lähettää istunnon perustamispyynnön SMF:lle, joka ilmoittaa käyttäjän SUPI:n.
SMF vahvistaa käyttäjän tunnistetiedot UDM:ssä mukana toimitetun SUPI:n avulla.
SMF lähettää vastauksen AMF:n pyyntöön.
SMF aloittaa EAP-todennusmenettelyn saadakseen luvan muodostaa istunto AAA-palvelimelta ulkoisessa verkossa. Tätä varten SMF ja käyttäjä vaihtavat viestejä menettelyn aloittamiseksi.
Käyttäjä ja ulkoisen verkon AAA-palvelin vaihtavat sitten viestejä käyttäjän todentamiseksi ja valtuuttamiseksi. Tässä tapauksessa käyttäjä lähettää viestejä SMF:lle, joka vuorostaan vaihtaa viestejä ulkoisen verkon kanssa UPF:n kautta.
Johtopäätös
Vaikka 5G-tietoturvaarkkitehtuuri perustuu olemassa olevien teknologioiden uudelleenkäyttöön, se asettaa täysin uusia haasteita. Valtava määrä IoT-laitteita, laajennetut verkkorajat ja hajautetut arkkitehtuurin elementit ovat vain muutamia 5G-standardin avainperiaatteita, jotka antavat vapaat kädet kyberrikollisten mielikuvitukselle.
5G-tietoturva-arkkitehtuurin ydinstandardi on TS 23.501 versio 15.6.0 — sisältää turvallisuusmekanismien ja -menettelyjen toiminnan avainkohdat. Se kuvaa erityisesti kunkin VNF:n roolia käyttäjätietojen ja verkkosolmujen suojauksen varmistamisessa, salausavainten generoinnissa ja todennusmenettelyn toteuttamisessa. Mutta tämäkään standardi ei tarjoa vastauksia kiireellisiin tietoturvaongelmiin, joita teleoperaattorit kohtaavat useammin, mitä intensiivisemmin uuden sukupolven verkkoja kehitetään ja otetaan käyttöön.
Tältä osin haluaisin uskoa, että 5. sukupolven verkkojen käytön ja suojaamisen vaikeudet eivät millään tavalla vaikuta tavallisiin käyttäjiin, joille luvataan siirtonopeuksia ja vasteita kuin äidin ystävän pojalle ja jotka ovat jo innokkaita kokeilemaan kaikkia uuden sukupolven verkkojen ilmoitetut ominaisuudet.