Évidemment, entreprendre le développement d’un nouveau standard de communication sans penser aux mécanismes de sécurité est une entreprise extrêmement douteuse et futile.

Architecture de sécurité 5G — un ensemble de mécanismes et de procédures de sécurité mis en œuvre dans Réseaux de 5ème génération et couvrant tous les composants du réseau, du cœur aux interfaces radio.

Les réseaux de 5e génération sont, par essence, une évolution Réseaux LTE de 4e génération. Les technologies d'accès radio ont subi les changements les plus importants. Pour les réseaux de 5ème génération, un nouveau RAT (Technologie d'accès radio) - Nouvelle radio 5G. Quant au cœur du réseau, il n’a pas subi de changements aussi importants. À cet égard, l'architecture de sécurité des réseaux 5G a été développée en mettant l'accent sur la réutilisation des technologies pertinentes adoptées dans la norme 4G LTE.

Cependant, il convient de noter que repenser les menaces connues telles que les attaques sur les interfaces aériennes et la couche de signalisation (signalisation avion), attaques DDOS, attaques Man-In-The-Middle, etc., ont poussé les opérateurs télécoms à développer de nouveaux standards et à intégrer des mécanismes de sécurité complètement nouveaux dans les réseaux de 5ème génération.

Предпосылки

En 2015, l'Union internationale des télécommunications a élaboré le premier plan mondial de ce type pour le développement des réseaux de cinquième génération. C'est pourquoi la question du développement de mécanismes et de procédures de sécurité dans les réseaux 5G est devenue particulièrement aiguë.

La nouvelle technologie offrait des vitesses de transfert de données vraiment impressionnantes (plus de 1 Gbit/s), une latence inférieure à 1 ms et la possibilité de connecter simultanément environ 1 million d'appareils dans un rayon de 1 km2. Ces exigences les plus élevées pour les réseaux de 5ème génération se reflètent également dans les principes de leur organisation.

La principale était la décentralisation, qui impliquait le placement de nombreuses bases de données locales et de leurs centres de traitement à la périphérie du réseau. Cela a permis de minimiser les retards lorsque M2M-communications et soulager le cœur du réseau grâce à la maintenance d'un grand nombre d'appareils IoT. Ainsi, la périphérie des réseaux de nouvelle génération s'est étendue jusqu'aux stations de base, permettant la création de centres de communication locaux et la fourniture de services cloud sans risque de retards critiques ou de déni de service. Naturellement, le changement d’approche en matière de réseau et de service client intéressait les attaquants, car il leur ouvrait de nouvelles opportunités d’attaquer à la fois les informations confidentielles des utilisateurs et les composants du réseau eux-mêmes afin de provoquer un déni de service ou de s’emparer des ressources informatiques de l’opérateur.

Principales vulnérabilités des réseaux de 5ème génération

Grande surface d'attaque

PlusLors de la construction de réseaux de télécommunications de 3e et 4e générations, les opérateurs de télécommunications se limitaient généralement à travailler avec un ou plusieurs fournisseurs qui fournissaient immédiatement un ensemble de matériel et de logiciels. Autrement dit, tout pourrait fonctionner, comme on dit, « prêt à l'emploi » : il suffisait simplement d'installer et de configurer l'équipement acheté auprès du fournisseur ; il n'était pas nécessaire de remplacer ou de compléter un logiciel propriétaire. Les tendances modernes vont à l'encontre de cette approche « classique » et visent la virtualisation des réseaux, une approche multifournisseur de leur construction et la diversité des logiciels. Des technologies telles que SDN (Réseau défini par logiciel en anglais) et NFV (anglais Network Functions Virtualization), ce qui conduit à l'inclusion d'une énorme quantité de logiciels construits sur la base de codes open source dans les processus et fonctions de gestion des réseaux de communication. Cela donne aux attaquants la possibilité de mieux étudier le réseau de l’opérateur et d’identifier un plus grand nombre de vulnérabilités, ce qui, à son tour, augmente la surface d’attaque des réseaux de nouvelle génération par rapport aux réseaux actuels.

Un grand nombre d'appareils IoT

PlusD’ici 2021, environ 57 % des appareils connectés aux réseaux 5G seront des appareils IoT. Cela signifie que la plupart des hôtes auront des capacités cryptographiques limitées (voir point 2) et seront donc vulnérables aux attaques. Un grand nombre de ces appareils augmentera le risque de prolifération des botnets et permettra de mener des attaques DDoS encore plus puissantes et distribuées.

Capacités cryptographiques limitées des appareils IoT

PlusComme déjà mentionné, les réseaux de 5ème génération utilisent activement des périphériques, qui permettent de supprimer une partie de la charge du cœur du réseau et ainsi de réduire la latence. Ceci est nécessaire pour des services aussi importants que le contrôle des véhicules sans pilote, le système d'alerte d'urgence IMS et d’autres, pour qui il est essentiel de garantir un délai minimal, car des vies humaines en dépendent. En raison de la connexion d'un grand nombre d'appareils IoT qui, en raison de leur petite taille et de leur faible consommation d'énergie, disposent de ressources informatiques très limitées, les réseaux 5G deviennent vulnérables aux attaques visant à intercepter le contrôle et la manipulation ultérieure de ces appareils. Par exemple, il peut y avoir des scénarios dans lesquels les appareils IoT faisant partie du système sont infectés "maison intelligente", des types de logiciels malveillants tels que Rançongiciels et rançongiciels. Des scénarios d'interception du contrôle de véhicules sans pilote recevant des commandes et des informations de navigation via le cloud sont également possibles. Formellement, cette vulnérabilité est due à la décentralisation des réseaux de nouvelle génération, mais le paragraphe suivant exposera plus clairement le problème de la décentralisation.

Décentralisation et expansion des frontières du réseau

PlusLes périphériques, jouant le rôle de cœurs de réseau local, effectuent le routage du trafic utilisateur, le traitement des demandes, ainsi que la mise en cache locale et le stockage des données utilisateur. Ainsi, les frontières des réseaux de 5ème génération s’étendent, outre le cœur, vers la périphérie, incluant les bases de données locales et les interfaces radio 5G-NR (5G New Radio). Cela crée l’opportunité d’attaquer les ressources informatiques des appareils locaux, a priori moins bien protégés que les nœuds centraux du cœur du réseau, dans le but de provoquer un déni de service. Cela peut entraîner la déconnexion de l'accès à Internet pour des zones entières, un fonctionnement incorrect des appareils IoT (par exemple, dans un système de maison intelligente), ainsi que l'indisponibilité du service d'alerte d'urgence IMS.

Cependant, l'ETSI et le 3GPP ont désormais publié plus de 10 normes couvrant divers aspects de la sécurité des réseaux 5G. La grande majorité des mécanismes qui y sont décrits visent à se protéger contre les vulnérabilités (y compris celles décrites ci-dessus). L'un des principaux est la norme TS23.501 version 15.6.0, décrivant l'architecture de sécurité des réseaux de 5e génération.

Architecture 5G

Passons d’abord aux principes clés de l’architecture du réseau 5G, qui révéleront plus en détail le sens et les domaines de responsabilité de chaque module logiciel et de chaque fonction de sécurité 5G.

• Division des nœuds du réseau en éléments qui assurent le fonctionnement des protocoles avion personnalisé (de l'anglais UP - User Plane) et des éléments qui assurent le fonctionnement des protocoles avion de contrôle (de l'anglais CP - Control Plane), qui augmente la flexibilité en termes de mise à l'échelle et de déploiement du réseau, c'est-à-dire qu'un placement centralisé ou décentralisé de nœuds de réseau de composants individuels est possible.
• Prise en charge du mécanisme découpage du réseau, sur la base des services fournis à des groupes spécifiques d'utilisateurs finaux.
• Implémentation d'éléments de réseau sous la forme fonctions de réseau virtuel.
• Prise en charge de l'accès simultané aux services centralisés et locaux, c'est-à-dire mise en œuvre de concepts cloud (de l'anglais. informatique de brouillard) et frontière (de l'anglais. informatique de pointe) calculs.
• exécution convergent architecture combinant différents types de réseaux d'accès - 3GPP 5G New Radio et non-3GPP (Wi-Fi, etc.) - avec un seul cœur de réseau.
• Prise en charge d'algorithmes et de procédures d'authentification uniformes, quel que soit le type de réseau d'accès.
• Prise en charge des fonctions réseau sans état, dans lesquelles la ressource calculée est séparée du magasin de ressources.
• Prise en charge du roaming avec routage du trafic à la fois via le réseau domestique (du roaming anglais home-routed) et avec un « atterrissage » local (du local breakout anglais) dans le réseau invité.
• L'interaction entre les fonctions du réseau est représentée de deux manières : orienté service и interface.

Le concept de sécurité réseau de 5e génération comprend:

• Authentification des utilisateurs depuis le réseau.
• Authentification réseau par l'utilisateur.
• Négociation des clés cryptographiques entre le réseau et les équipements utilisateurs.
• Cryptage et contrôle d’intégrité du trafic de signalisation.
• Cryptage et contrôle de l'intégrité du trafic utilisateur.
• Protection de l'identifiant de l'utilisateur.
• Protéger les interfaces entre différents éléments du réseau conformément au concept de domaine de sécurité réseau.
• Isolation des différentes couches du mécanisme découpage du réseau et définir les propres niveaux de sécurité de chaque couche.
• Authentification des utilisateurs et protection du trafic au niveau des services finaux (IMS, IoT et autres).

Modules logiciels clés et fonctionnalités de sécurité du réseau 5G

AMF (de l'anglais Access & Mobility Management Function - fonction de gestion de l'accès et de la mobilité) - fournit :

• Organisation des interfaces du plan de contrôle.
• Organisation de l'échange de trafic de signalisation CRR, le cryptage et la protection de l'intégrité de ses données.
• Organisation de l'échange de trafic de signalisation NAS, le cryptage et la protection de l'intégrité de ses données.
• Gérer l'enregistrement des équipements utilisateurs sur le réseau et surveiller les états d'enregistrement possibles.
• Gérer la connexion des équipements utilisateurs au réseau et surveiller les états possibles.
• Contrôlez la disponibilité des équipements utilisateur sur le réseau dans l'état CM-IDLE.
• Gestion de la mobilité des équipements utilisateurs du réseau à l'état CM-CONNECTED.
• Transmission de messages courts entre l'équipement utilisateur et SMF.
• Gestion des services de localisation.
• Allocation d'ID de fil de discussion EPS pour interagir avec EPS.

SMF (anglais : Session Management Function - fonction de gestion de session) - fournit :

• Gestion des sessions de communication, c'est-à-dire créer, modifier et libérer des sessions, y compris maintenir un tunnel entre le réseau d'accès et l'UPF.
• Distribution et gestion des adresses IP des équipements utilisateurs.
• Sélection de la passerelle UPF à utiliser.
• Organisation de l'interaction avec le PCF.
• Gestion de l'application des politiques QoS.
• Configuration dynamique des équipements utilisateurs utilisant les protocoles DHCPv4 et DHCPv6.
• Suivre la collecte des données tarifaires et organiser l'interaction avec le système de facturation.
• Fourniture transparente de services (de l'anglais. SSC - Continuité des sessions et des services).
• Interaction avec les réseaux invités en itinérance.

UPF (Anglais User Plane Function - fonction de plan utilisateur) - fournit :

• Interaction avec des réseaux de données externes, y compris l'Internet mondial.
• Routage des paquets utilisateur.
• Marquage des paquets conformément aux politiques QoS.
• Diagnostics du package utilisateur (par exemple, détection d'application basée sur les signatures).
• Fournir des rapports sur l'utilisation du trafic.
• UPF est également le point d'ancrage pour soutenir la mobilité au sein et entre les différentes technologies d'accès radio.

UDM (Anglais Unified Data Management - base de données unifiée) - fournit :

• Gérer les données du profil utilisateur, y compris le stockage et la modification de la liste des services disponibles pour les utilisateurs et de leurs paramètres correspondants.
• Gestion SUPI
• Générer des informations d'authentification 3GPP AKA.
• Autorisation d'accès basée sur les données de profil (par exemple, restrictions d'itinérance).
• Gestion de l'enregistrement des utilisateurs, c'est-à-dire stockage du service AMF.
• Prise en charge de sessions de service et de communication transparentes, c'est-à-dire stockage du SMF attribué à la session de communication en cours.
• Gestion de l'envoi des SMS.
• Plusieurs UDM différents peuvent servir le même utilisateur dans différentes transactions.

UDR (En anglais Unified Data Repository - stockage de données unifiées) - permet de stocker diverses données utilisateur et constitue, en fait, une base de données de tous les abonnés du réseau.

UDSF (Anglais Unstructured Data Storage Function - fonction de stockage de données non structurées) - garantit que les modules AMF sauvegardent les contextes actuels des utilisateurs enregistrés. En général, ces informations peuvent être présentées comme des données de structure indéfinie. Les contextes utilisateurs peuvent être utilisés pour garantir des sessions d'abonnés fluides et ininterrompues, aussi bien lors du retrait programmé d'une des AMF du service qu'en cas d'urgence. Dans les deux cas, l'AMF de secours « récupérera » le service en utilisant les contextes stockés dans l'USDF.

La combinaison d'UDR et d'UDSF sur la même plate-forme physique est une implémentation typique de ces fonctions réseau.

PCF (Anglais : Policy Control Function - fonction de contrôle de politique) - crée et attribue certaines politiques de service aux utilisateurs, y compris les paramètres de QoS et les règles de facturation. Par exemple, pour transmettre l'un ou l'autre type de trafic, des canaux virtuels présentant des caractéristiques différentes peuvent être créés dynamiquement. Parallèlement, les exigences du service demandé par l'abonné, le niveau de congestion du réseau, la quantité de trafic consommé, etc. peuvent être pris en compte.

NEF (Fonction d'exposition réseau en anglais - fonction d'exposition réseau) - fournit :

• Organisation de l'interaction sécurisée des plateformes et applications externes avec le cœur du réseau.
• Gérez les paramètres de QoS et les règles de facturation pour des utilisateurs spécifiques.

MER (En anglais Security Anchor Function - fonction de sécurité d'ancrage) - avec AUSF, assure l'authentification des utilisateurs lorsqu'ils s'inscrivent sur le réseau avec n'importe quelle technologie d'accès.

AUSF (Anglais Authentication Server Function - fonction de serveur d'authentification) - joue le rôle d'un serveur d'authentification qui reçoit et traite les demandes de SEAF et les redirige vers ARPF.

ARPF (Anglais : Authentication Credential Repository and Processing Function - fonction de stockage et de traitement des informations d'authentification) - fournit le stockage des clés secrètes personnelles (KI) et des paramètres des algorithmes cryptographiques, ainsi que la génération de vecteurs d'authentification conformément à 5G-AKA ou EAP-ALIAS. Il est situé dans le centre de données de l'opérateur de télécommunications domestique, protégé des influences physiques externes et, en règle générale, est intégré à l'UDM.

SCMF (Anglais Security Context Management Function - fonction de gestion contexte de sécurité) - Fournit une gestion du cycle de vie pour le contexte de sécurité 5G.

SPCF (Anglais Security Policy Control Function - fonction de gestion des politiques de sécurité) - assure la coordination et l'application des politiques de sécurité par rapport à des utilisateurs spécifiques. Cela prend en compte les capacités du réseau, les capacités de l'équipement utilisateur et les exigences du service spécifique (par exemple, les niveaux de protection fournis par le service de communications critiques et le service d'accès Internet haut débit sans fil peuvent différer). L'application des politiques de sécurité comprend : la sélection de l'AUSF, la sélection de l'algorithme d'authentification, la sélection des algorithmes de cryptage des données et de contrôle de l'intégrité, la détermination de la longueur et du cycle de vie des clés.

FDSI (English Subscription Identifier De-concealing Function - fonction d'extraction d'identifiant utilisateur) - assure l'extraction de l'identifiant d'abonnement permanent d'un abonné (anglais SUPI) à partir d'un identifiant caché (anglais SUCI), reçue dans le cadre de la demande de procédure d'authentification « Auth Info Req ».

Exigences de sécurité de base pour les réseaux de communication 5G

PlusAuthentification d'utilisateur: Le réseau 5G de desserte doit authentifier le SUPI de l'utilisateur dans le processus 5G AKA entre l'utilisateur et le réseau.

Servir l'authentification réseau: L'utilisateur doit authentifier l'ID du réseau de desserte 5G, l'authentification étant obtenue grâce à l'utilisation réussie des clés obtenues via la procédure 5G AKA.

Autorisation de l'utilisateur: Le réseau de desserte doit autoriser l'utilisateur à utiliser le profil utilisateur reçu du réseau de l'opérateur télécom domestique.

Autorisation du réseau de desserte par le réseau de l'opérateur domestique: L'utilisateur doit recevoir la confirmation qu'il est connecté à un réseau de services autorisé par le réseau de l'opérateur d'origine à fournir des services. L’autorisation est implicite dans le sens où elle est assurée par la réussite de la procédure 5G AKA.

Autorisation du réseau d'accès par le réseau de l'opérateur domestique: L'utilisateur doit recevoir la confirmation qu'il est connecté à un réseau d'accès autorisé par le réseau de l'opérateur d'origine à fournir des services. L'autorisation est implicite dans le sens où elle est appliquée en établissant avec succès la sécurité du réseau d'accès. Ce type d'autorisation doit être utilisé pour tout type de réseau d'accès.

Services d'urgence non authentifiés: Pour répondre aux exigences réglementaires dans certaines régions, les réseaux 5G doivent fournir un accès non authentifié aux services d'urgence.

Cœur de réseau et réseau d'accès radio: Le cœur du réseau 5G et le réseau d'accès radio 5G doivent prendre en charge l'utilisation d'algorithmes de cryptage et d'intégrité 128 bits pour garantir la sécurité. AS и NAS. Les interfaces réseau doivent prendre en charge les clés de chiffrement de 256 bits.

Exigences de sécurité de base pour l'équipement utilisateur

Plus

• L'équipement utilisateur doit prendre en charge le cryptage, la protection de l'intégrité et la protection contre les attaques par rejeu pour les données utilisateur transmises entre lui et le réseau d'accès radio.
• L'équipement utilisateur doit activer les mécanismes de cryptage et de protection de l'intégrité des données selon les instructions du réseau d'accès radio.
• L'équipement utilisateur doit prendre en charge le chiffrement, la protection de l'intégrité et la protection contre les attaques par rejeu pour le trafic de signalisation RRC et NAS.
• L'équipement utilisateur doit prendre en charge les algorithmes cryptographiques suivants : NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2.
• L'équipement utilisateur peut prendre en charge les algorithmes cryptographiques suivants : 128-NEA3, 128-NIA3.
• L'équipement utilisateur doit prendre en charge les algorithmes cryptographiques suivants : 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 s'il prend en charge la connexion au réseau d'accès radio E-UTRA.
• La protection de la confidentialité des données utilisateur transmises entre l'équipement utilisateur et le réseau d'accès radio est facultative, mais doit être assurée chaque fois que la réglementation le permet.
• La protection de la confidentialité pour le trafic de signalisation RRC et NAS est facultative.
• La clé permanente de l'utilisateur doit être protégée et stockée dans des composants bien sécurisés de l'équipement de l'utilisateur.
• L'identifiant permanent d'abonnement d'un abonné ne doit pas être transmis en clair sur le réseau d'accès radio, sauf pour les informations nécessaires au bon acheminement (par exemple CMC и MNC).
• La clé publique du réseau de l'opérateur d'origine, l'identifiant de clé, l'identifiant du système de sécurité et l'identifiant de routage doivent être stockés dans USIM.

Chaque algorithme de chiffrement est associé à un nombre binaire :

• "0000": NEA0 - Algorithme de chiffrement nul
• "0001" : 128-NEA1 - 128 bits NEIGE Algorithme basé sur la 3G
• "0010" 128-NEA2 - 128 bits AES algorithme basé sur
• "0011" 128-NEA3 - 128 bits ZUC algorithme basé.

Cryptage des données via 128-NEA1 et 128-NEA2

PS Le circuit est emprunté à TS 133.501

Génération d'insertions simulées par les algorithmes 128-NIA1 et 128-NIA2 pour garantir l'intégrité

PS Le circuit est emprunté à TS 133.501

Exigences de sécurité de base pour les fonctions du réseau 5G

Plus

• L'AMF doit prendre en charge l'authentification primaire à l'aide de SUCI.
• SEAF doit prendre en charge l'authentification principale à l'aide de SUCI.
• L'UDM et l'ARPF doivent conserver la clé permanente de l'utilisateur et s'assurer qu'elle est protégée contre le vol.
• L'AUSF ne fournira SUPI au réseau de desserte local qu'après une authentification initiale réussie à l'aide de SUCI.
• NEF ne doit pas transmettre d'informations cachées sur le réseau central en dehors du domaine de sécurité de l'opérateur.

Procédures de sécurité de base

Domaines de confiance

Dans les réseaux de 5e génération, la confiance dans les éléments du réseau diminue à mesure que les éléments s'éloignent du cœur du réseau. Ce concept influence les décisions mises en œuvre dans l’architecture de sécurité 5G. Ainsi, on peut parler d'un modèle de confiance des réseaux 5G qui détermine le comportement des mécanismes de sécurité des réseaux.

Côté utilisateur, le domaine de confiance est formé par UICC et USIM.

Côté réseau, le domaine de confiance a une structure plus complexe.

Le réseau d'accès radio est divisé en deux composants - DU (de l'anglais Distributed Units - unités de réseau distribuées) et CU (de l'anglais Central Units - unités centrales du réseau). Ensemble, ils forment gNB — interface radio de la station de base du réseau 5G. Les DU n'ont pas d'accès direct aux données des utilisateurs car ils peuvent être déployés sur des segments d'infrastructure non protégés. Les CU doivent être déployées dans des segments de réseau protégés, car elles sont responsables de la terminaison du trafic provenant des mécanismes de sécurité AS. Au cœur du réseau se trouve AMF, qui met fin au trafic provenant des mécanismes de sécurité du NAS. La spécification actuelle 3GPP 5G Phase 1 décrit la combinaison AMF avec fonction de sécurité MER, contenant la clé racine (également connue sous le nom de « clé d'ancrage ») du réseau visité (de service). AUSF est responsable du stockage de la clé obtenue après une authentification réussie. Sa réutilisation est nécessaire dans les cas où l'utilisateur est connecté simultanément à plusieurs réseaux d'accès radio. ARPF stocke les informations d'identification des utilisateurs et est un analogue d'USIM pour les abonnés. UDR и UDM stocker les informations utilisateur, qui sont utilisées pour déterminer la logique de génération des informations d'identification, des identifiants utilisateur, assurer la continuité de la session, etc.

Hiérarchie des clés et leurs schémas de distribution

Dans les réseaux de 5ème génération, contrairement aux réseaux 4G-LTE, la procédure d'authentification comporte deux volets : l'authentification primaire et secondaire. L'authentification principale est requise pour tous les appareils utilisateur se connectant au réseau. Une authentification secondaire peut être effectuée sur demande des réseaux externes, si l'abonné s'y connecte.

Après la réussite de l'authentification primaire et le développement d'une clé partagée K entre l'utilisateur et le réseau, KSEAF est extrait de la clé K - une clé d'ancrage (racine) spéciale du réseau de desserte. Par la suite, des clés sont générées à partir de cette clé pour garantir la confidentialité et l'intégrité des données de trafic de signalisation RRC et NAS.

Schéma avec explications
Notation:
CK Clé de chiffrement
IK (Anglais : Integrity Key) - une clé utilisée dans les mécanismes de protection de l'intégrité des données.
CK' (eng. Cipher Key) - une autre clé cryptographique créée à partir de CK pour le mécanisme EAP-AKA.
IK' (Clé d'intégrité anglaise) - une autre clé utilisée dans les mécanismes de protection de l'intégrité des données pour EAP-AKA.
KAUSF - généré par la fonction ARPF et l'équipement utilisateur de CK и IK pendant 5G AKA et EAP-AKA.
KSEAF - clé d'ancrage obtenue par la fonction AUSF à partir de la clé KAMFAUSF.
KAMF — la clé obtenue par la fonction SEAF à partir de la clé KSEAF.
KNASint, KNA Senc — clés obtenues par la fonction AMF à partir de la clé KAMF pour protéger le trafic de signalisation NAS.
KRRCint, KRRCenc — clés obtenues par la fonction AMF à partir de la clé KAMF pour protéger le trafic de signalisation RRC.
KUPint, KUPenc — clés obtenues par la fonction AMF à partir de la clé KAMF pour protéger le trafic de signalisation AS.
NH — clé intermédiaire obtenue par la fonction AMF à partir de la clé KAMF pour assurer la sécurité des données lors des transferts.
KgNB — la clé obtenue par la fonction AMF à partir de la clé KAMF pour assurer la sécurité des mécanismes de mobilité.

Schémas de génération de SUCI à partir de SUPI et vice versa

Schémas d'obtention du SUPI et du SUCI

Production de SUCI de SUPI et SUPI de SUCI :

Authentification

Authentification principale

Dans les réseaux 5G, EAP-AKA et 5G AKA sont des mécanismes d’authentification primaires standard. Divisons le mécanisme d'authentification principal en deux phases : la première est responsable du lancement de l'authentification et de la sélection d'une méthode d'authentification, la seconde est responsable de l'authentification mutuelle entre l'utilisateur et le réseau.

Initiation

L'utilisateur soumet une demande d'enregistrement à SEAF, qui contient l'ID d'abonnement caché SUCI de l'utilisateur.

SEAF envoie à AUSF un message de demande d'authentification (Nausf_UEAuthentication_Authenticate Request) contenant SNN (Serving Network Name) et SUPI ou SUCI.

AUSF vérifie si le demandeur d'authentification SEAF est autorisé à utiliser le SNN donné. Si le réseau de desserte n'est pas autorisé à utiliser ce SNN, alors l'AUSF répond avec un message d'erreur d'autorisation « Réseau de desserte non autorisé » (Nausf_UEAuthentication_Authenticate Response).

Les informations d'authentification sont demandées par l'AUSF à l'UDM, à l'ARPF ou au SIDF via SUPI ou SUCI et SNN.

Sur la base de SUPI ou SUCI et des informations utilisateur, UDM/ARPF sélectionne la méthode d'authentification à utiliser ensuite et délivre les informations d'identification de l'utilisateur.

Authentification mutuelle

Lors de l'utilisation d'une méthode d'authentification, les fonctions réseau UDM/ARPF doivent générer un vecteur d'authentification (AV).

EAP-AKA : UDM/ARPF génère d'abord un vecteur d'authentification avec le bit de séparation AMF = 1, puis génère CK' и IK' de CK, IK et SNN et constitue un nouveau vecteur d'authentification AV (RAND, AUTN, XRES*, CK', IK'), qui est envoyé à l'AUSF avec des instructions pour l'utiliser uniquement pour EAP-AKA.

5G AKA : UDM/ARPF obtient la clé KAUSF de CK, IK et SNN, après quoi il génère 5G HE AV. Vecteur d'authentification de l'environnement domestique 5G). Vecteur d'authentification 5G HE AV (RAND, AUTN, XRES, KAUSF) est envoyé à l'AUSF avec des instructions pour l'utiliser uniquement pour la 5G AKA.

Après cet AUSF, la clé d'ancrage est obtenue KSEAF de la clé KAUSF et envoie une requête à SEAF « Challenge » dans le message « Nausf_UEAuthentication_Authenticate Response », qui contient également RAND, AUTN et RES*. Ensuite, le RAND et l'AUTN sont transmis à l'équipement utilisateur à l'aide d'un message de signalisation NAS sécurisé. L'USIM de l'utilisateur calcule RES* à partir du RAND et de l'AUTN reçus et l'envoie à SEAF. SEAF transmet cette valeur à AUSF pour vérification.

AUSF compare le XRES* qui y est stocké et le RES* reçu de l'utilisateur. S'il y a une correspondance, l'AUSF et l'UDM du réseau domestique de l'opérateur sont informés de la réussite de l'authentification, et l'utilisateur et le SEAF génèrent indépendamment une clé. KAMF de KSEAF et SUPI pour une communication ultérieure.

Authentification secondaire

La norme 5G prend en charge une authentification secondaire facultative basée sur EAP-AKA entre l'équipement utilisateur et le réseau de données externe. Dans ce cas, SMF joue le rôle d'authentificateur EAP et s'appuie sur le travail AAA-un serveur réseau externe qui authentifie et autorise l'utilisateur.

• L'authentification initiale obligatoire de l'utilisateur sur le réseau domestique est effectuée et un contexte de sécurité NAS commun est développé avec l'AMF.
• L'utilisateur adresse une demande à l'AMF pour établir une session.
• L'AMF envoie une demande d'établissement de session à SMF en indiquant le SUPI de l'utilisateur.
• SMF valide les informations d'identification de l'utilisateur dans UDM à l'aide du SUPI fourni.
• La SMF envoie une réponse à la demande de l'AMF.
• SMF lance la procédure d'authentification EAP pour obtenir l'autorisation d'établir une session depuis le serveur AAA sur le réseau externe. Pour ce faire, la SMF et l'utilisateur échangent des messages pour lancer la procédure.
• L'utilisateur et le serveur AAA du réseau externe échangent ensuite des messages pour authentifier et autoriser l'utilisateur. Dans ce cas, l'utilisateur envoie des messages au SMF, qui à son tour échange des messages avec le réseau externe via UPF.

Conclusion

Même si l’architecture de sécurité de la 5G repose sur la réutilisation de technologies existantes, elle pose des défis totalement nouveaux. Un grand nombre d'appareils IoT, des frontières de réseau élargies et des éléments d'architecture décentralisés ne sont que quelques-uns des principes clés de la norme 5G qui laissent libre cours à l'imagination des cybercriminels.

La norme de base pour l’architecture de sécurité 5G est TS23.501 version 15.6.0 — contient les points clés du fonctionnement des mécanismes et procédures de sécurité. Elle décrit notamment le rôle de chaque VNF pour assurer la protection des données des utilisateurs et des nœuds du réseau, pour générer les clés cryptographiques et pour mettre en œuvre la procédure d'authentification. Mais même cette norme n'apporte pas de réponses aux problèmes de sécurité urgents auxquels sont confrontés les opérateurs de télécommunications de plus en plus souvent à mesure que les réseaux de nouvelle génération sont développés et mis en service de manière intensive.

À cet égard, je voudrais croire que les difficultés d'exploitation et de protection des réseaux de 5e génération n'affecteront en rien les utilisateurs ordinaires, à qui on promet des vitesses de transmission et des réponses comme le fils d'une amie de sa mère et qui sont déjà impatients de tout essayer. les capacités déclarées des réseaux de nouvelle génération.

Liens utiles

Série de spécifications 3GPP
Architecture de sécurité 5G
Architecture du système 5G
Wiki 5G
Remarques sur l'architecture 5G
Aperçu de la sécurité 5G

Source: habr.com