Obviamente, asumir o desenvolvemento dun novo estándar de comunicación sen pensar nos mecanismos de seguridade é un esforzo sumamente dubidoso e inútil.

Arquitectura de seguridade 5G — Un conxunto de mecanismos e procedementos de seguridade implementados en Redes de 5ª xeración e cubrindo todos os compoñentes da rede, desde o núcleo ata as interfaces de radio.

As redes de 5a xeración son, en esencia, unha evolución Redes LTE de cuarta xeración. As tecnoloxías de acceso radiofónico sufriron os cambios máis significativos. Para as redes de 5a xeración, un novo RATO (Tecnoloxía de acceso de radio) - Nova radio 5G. En canto ao núcleo da rede, non sufriu cambios tan significativos. Neste sentido, a arquitectura de seguridade das redes 5G desenvolveuse facendo fincapé na reutilización das tecnoloxías relevantes adoptadas no estándar 4G LTE.

Non obstante, cómpre sinalar que repensar as ameazas coñecidas como os ataques ás interfaces aéreas e á capa de sinalización (sinalización avión), ataques DDOS, ataques Man-In-The-Middle, etc., levaron aos operadores de telecomunicacións a desenvolver novos estándares e integrar mecanismos de seguridade completamente novos nas redes de 5ª xeración.

Antecedentes

En 2015, a Unión Internacional de Telecomunicacións elaborou o primeiro plan global deste tipo para o desenvolvemento de redes de quinta xeración, polo que a cuestión do desenvolvemento de mecanismos e procedementos de seguridade nas redes 5G volveuse especialmente aguda.

A nova tecnoloxía ofrecía unhas velocidades de transferencia de datos realmente impresionantes (máis de 1 Gbps), unha latencia inferior a 1 ms e a posibilidade de conectar simultáneamente preto de 1 millón de dispositivos nun radio de 1 km2. Estes requisitos máis altos para as redes de 5ª xeración tamén se reflicten nos principios da súa organización.

A principal foi a descentralización, que supuxo a colocación de moitas bases de datos locais e os seus centros de procesamento na periferia da rede. Isto permitiu minimizar os atrasos cando M2M-comunicacións e aliviar o núcleo da rede debido ao servizo de un gran número de dispositivos IoT. Así, o bordo das redes de próxima xeración expandiuse ata as estacións base, permitindo a creación de centros de comunicación locais e a prestación de servizos na nube sen risco de atrasos críticos ou denegacións de servizo. Por suposto, o cambio de enfoque para as redes e o servizo ao cliente foi de interese para os atacantes, porque lles abriu novas oportunidades para atacar tanto a información confidencial do usuario como os propios compoñentes da rede co fin de provocar unha denegación de servizo ou apoderarse dos recursos informáticos do operador.

Principais vulnerabilidades das redes de 5a xeración

Gran superficie de ataque

MáisAo construír redes de telecomunicacións da 3a e 4a xeración, os operadores de telecomunicacións adoitaban limitarse a traballar con un ou varios vendedores que fornecían inmediatamente un conxunto de hardware e software. É dicir, todo podería funcionar, como din, "fóra da caixa": bastaba con instalar e configurar o equipo adquirido ao vendedor; non había necesidade de substituír nin complementar o software propietario. As tendencias modernas van en contra deste enfoque "clásico" e teñen como obxectivo a virtualización das redes, un enfoque de varios provedores para a súa construción e diversidade de software. Tecnoloxías como SDN (Rede definida por software inglesa) e NFV (English Network Functions Virtualization), que leva á inclusión dunha enorme cantidade de software construído a partir de códigos de fonte aberta nos procesos e funcións de xestión de redes de comunicación. Isto dá aos atacantes a oportunidade de estudar mellor a rede do operador e identificar un maior número de vulnerabilidades, o que, á súa vez, aumenta a superficie de ataque das redes de nova xeración en comparación coas actuais.

Gran número de dispositivos IoT

MáisPara 2021, preto do 57% dos dispositivos conectados a redes 5G serán dispositivos IoT. Isto significa que a maioría dos hosts terán capacidades criptográficas limitadas (ver punto 2) e, en consecuencia, serán vulnerables aos ataques. Un gran número de tales dispositivos aumentará o risco de proliferación de botnets e permitirá levar a cabo ataques DDoS aínda máis potentes e distribuídos.

Capacidades criptográficas limitadas dos dispositivos IoT

MáisComo xa se mencionou, as redes de 5.ª xeración utilizan activamente dispositivos periféricos, que permiten eliminar parte da carga do núcleo da rede e, polo tanto, reducir a latencia. Isto é necesario para servizos tan importantes como o control de vehículos non tripulados, o sistema de alerta de emerxencia IMS e outros, para os que é fundamental garantir o mínimo atraso, porque diso dependen as vidas humanas. Debido á conexión dun gran número de dispositivos IoT que, polo seu pequeno tamaño e baixo consumo de enerxía, teñen recursos informáticos moi limitados, as redes 5G vólvense vulnerables aos ataques dirixidos a interceptar o control e a posterior manipulación deste tipo de dispositivos. Por exemplo, pode haber escenarios nos que os dispositivos IoT que forman parte do sistema estean infectados "casa intelixente", tipos de malware como Ransomware e ransomware. Tamén son posibles escenarios de interceptación do control de vehículos non tripulados que reciben comandos e información de navegación a través da nube. Formalmente, esta vulnerabilidade débese á descentralización das redes de nova xeración, pero o seguinte parágrafo esbozará o problema da descentralización con máis claridade.

Descentralización e ampliación dos límites da rede

MáisOs dispositivos periféricos, que desempeñan o papel de núcleos de rede locais, realizan o enrutamento do tráfico de usuarios, procesan as solicitudes, así como o caché local e o almacenamento de datos do usuario. Así, os límites das redes de 5a xeración están a expandirse, ademais do núcleo, á periferia, incluíndo bases de datos locais e interfaces de radio 5G-NR (5G New Radio). Isto xera a oportunidade de atacar os recursos informáticos dos dispositivos locais, que a priori están máis débiles protexidos que os nodos centrais do núcleo da rede, co obxectivo de provocar unha denegación de servizo. Isto pode provocar a desconexión do acceso a Internet para áreas enteiras, o funcionamento incorrecto dos dispositivos IoT (por exemplo, nun sistema de casa intelixente), así como a non dispoñibilidade do servizo de alerta de emerxencia IMS.

Non obstante, ETSI e 3GPP publicaron agora máis de 10 estándares que abarcan varios aspectos da seguridade da rede 5G. A gran maioría dos mecanismos alí descritos están dirixidos a protexer contra vulnerabilidades (incluídas as descritas anteriormente). Un dos principais é o estándar TS 23.501 versión 15.6.0, describindo a arquitectura de seguridade das redes de quinta xeración.

Arquitectura 5G

En primeiro lugar, pasemos aos principios fundamentais da arquitectura de rede 5G, que revelarán aínda máis o significado e as áreas de responsabilidade de cada módulo de software e cada función de seguridade 5G.

• División dos nodos da rede en elementos que garantan o funcionamento dos protocolos avión personalizado (do inglés UP - User Plane) e elementos que garantan o funcionamento dos protocolos plano de control (do inglés CP - Control Plane), que aumenta a flexibilidade en termos de escalado e despregamento da rede, é dicir, é posible a colocación centralizada ou descentralizada de nodos de rede de compoñentes individuais.
• Mecanismo de apoio corte de rede, en función dos servizos prestados a grupos específicos de usuarios finais.
• Implantación de elementos de rede en forma funcións de rede virtual.
• Soporte para o acceso simultáneo a servizos centralizados e locais, é dicir, implementación de conceptos de nube (do inglés. computación de néboa) e borde (do inglés. edge computing) cálculos.
• Implantación converxentes arquitectura que combina diferentes tipos de redes de acceso - 3GPP 5G Nova Radio e non 3GPP (Wi-Fi, etc.) - cun único núcleo de rede.
• Soporte de algoritmos uniformes e procedementos de autenticación, independentemente do tipo de rede de acceso.
• Soporte para funcións de rede sen estado, nas que o recurso calculado está separado do almacén de recursos.
• Soporte para roaming con enrutamento de tráfico tanto a través da rede doméstica (do inglés home-routed roaming) como cun "aterraxe" local (do inglés local breakout) na rede convidada.
• A interacción entre as funcións da rede represéntase de dúas formas: orientado ao servizo и interface.

O concepto de seguridade de rede de quinta xeración inclúe:

• Autenticación de usuario desde a rede.
• Autenticación de rede por parte do usuario.
• Negociación de claves criptográficas entre a rede e os equipos do usuario.
• Cifrado e control de integridade do tráfico de sinalización.
• Cifrado e control da integridade do tráfico de usuarios.
• Protección de ID de usuario.
• Protexer interfaces entre diferentes elementos de rede de acordo co concepto de dominio de seguridade de rede.
• Illamento de diferentes capas do mecanismo corte de rede e definir os propios niveis de seguridade de cada capa.
• Autenticación de usuarios e protección de tráfico a nivel de servizos finais (IMS, IoT e outros).

Módulos de software clave e funcións de seguranza da rede 5G

AMF (do inglés Access & Mobility Management Function - función de xestión de acceso e mobilidade) - ofrece:

• Organización das interfaces do plano de control.
• Organización do intercambio de tráfico de sinalización CRR, cifrado e protección da integridade dos seus datos.
• Organización do intercambio de tráfico de sinalización NAS, cifrado e protección da integridade dos seus datos.
• Xestionar o rexistro dos equipos de usuarios na rede e supervisar os posibles estados de rexistro.
• Xestionar a conexión dos equipos do usuario á rede e supervisar os posibles estados.
• Controla a dispoñibilidade dos equipos de usuario na rede no estado CM-IDLE.
• Xestión da mobilidade dos equipos de usuarios na rede no estado CM-CONNECTED.
• Transmisión de mensaxes curtas entre equipos de usuario e SMF.
• Xestión de servizos de localización.
• Asignación de ID do fío EPS para interactuar con EPS.

SMF (Inglés: Función de xestión de sesións - función de xestión de sesións) - ofrece:

• Xestión de sesións de comunicación, é dicir, creación, modificación e liberación de sesións, incluíndo o mantemento dun túnel entre a rede de acceso e a UPF.
• Distribución e xestión de enderezos IP dos equipos de usuarios.
• Selección da pasarela da UPF a usar.
• Organización da interacción con PCF.
• Xestión da aplicación de políticas QoS.
• Configuración dinámica dos equipos de usuario mediante os protocolos DHCPv4 e DHCPv6.
• Seguimento da recollida de datos tarifarios e organización da interacción co sistema de facturación.
• Prestación perfecta de servizos (do inglés. SSC - Continuidade de sesións e servizos).
• Interacción coas redes de hóspedes dentro da itinerancia.

UPF (Función de plano de usuario en inglés - función de plano de usuario) - ofrece:

• Interacción con redes de datos externas, incluída Internet global.
• Enrutamento de paquetes de usuario.
• Marcado de paquetes de acordo coas políticas de QoS.
• Diagnóstico de paquetes de usuario (por exemplo, detección de aplicacións baseada en sinaturas).
• Elaboración de informes sobre o uso do tráfico.
• A UPF tamén é o punto de referencia para apoiar a mobilidade tanto dentro como entre as diferentes tecnoloxías de acceso por radio.

UDM (English Unified Data Management - base de datos unificada) - ofrece:

• Xestionar os datos do perfil dos usuarios, incluíndo o almacenamento e modificación da lista de servizos dispoñibles para os usuarios e os seus parámetros correspondentes.
• Управление SUPI
• Xera credenciais de autenticación 3GPP AKA.
• Autorización de acceso baseada nos datos do perfil (por exemplo, restricións de itinerancia).
• Xestión de rexistro de usuarios, é dicir, almacenamento do servizo AMF.
• Compatibilidade con sesións de comunicación e servizo sen problemas, é dicir, almacenar o SMF asignado á sesión de comunicación actual.
• Xestión de entrega de SMS.
• Varios UDM diferentes poden servir ao mesmo usuario en diferentes transaccións.

UDR (Repositorio de datos unificados en inglés - almacenamento de datos unificados) - proporciona almacenamento de varios datos de usuarios e é, de feito, unha base de datos de todos os subscritores da rede.

UDSF (Función de almacenamento de datos non estruturados en inglés - función de almacenamento de datos non estruturados) - garante que os módulos AMF gardan os contextos actuais dos usuarios rexistrados. En xeral, esta información pódese presentar como datos dunha estrutura indefinida. Os contextos de usuario pódense utilizar para garantir sesións de abonados sen fisuras e ininterrompidas, tanto durante a retirada prevista dun dos AMF do servizo, como en caso de emerxencia. En ambos os casos, a copia de seguridade AMF "recollerá" o servizo utilizando contextos almacenados en USDF.

A combinación de UDR e UDSF na mesma plataforma física é unha implementación típica destas funcións de rede.

PCF (Inglés: Función de control de políticas - función de control de políticas) - crea e atribúe determinadas políticas de servizo aos usuarios, incluíndo parámetros de QoS e regras de cobro. Por exemplo, para transmitir un ou outro tipo de tráfico pódense crear de forma dinámica canles virtuais con diferentes características. Ao mesmo tempo, pódense ter en conta os requisitos do servizo solicitado polo abonado, o nivel de conxestión da rede, a cantidade de tráfico consumido, etc.

NEF (Función de exposición de rede en inglés - función de exposición de rede) - ofrece:

• Organización da interacción segura de plataformas e aplicacións externas co núcleo da rede.
• Xestiona os parámetros de QoS e as regras de carga para usuarios específicos.

MARE (Función de ancoraxe de seguridade en inglés - función de seguridade de ancoraxe) - xunto con AUSF, proporciona autenticación dos usuarios cando se rexistran na rede con calquera tecnoloxía de acceso.

AUSF (Función de servidor de autenticación inglesa - función de servidor de autenticación) - desempeña o papel dun servidor de autenticación que recibe e procesa as solicitudes de SEAF e as redirixe a ARPF.

ARPF (Inglés: Authentication Credential Repository and Processing Function - función de almacenamento e procesamento de credenciais de autenticación) - proporciona almacenamento de claves secretas persoais (KI) e parámetros de algoritmos criptográficos, así como a xeración de vectores de autenticación de acordo con 5G-AKA ou E AP-AKA. Está situado no centro de datos do operador de telecomunicacións doméstico, protexido de influencias físicas externas e, por regra xeral, está integrado con UDM.

SCMF (Función de xestión do contexto de seguridade en inglés - función de xestión contexto de seguridade) - Ofrece xestión do ciclo de vida para o contexto de seguridade 5G.

SPCF (Función de control de políticas de seguridade en inglés - función de xestión de políticas de seguridade) - garante a coordinación e aplicación das políticas de seguridade en relación con usuarios específicos. Isto ten en conta as capacidades da rede, as capacidades do equipo do usuario e os requisitos do servizo específico (por exemplo, os niveis de protección proporcionados polo servizo de comunicacións críticas e o servizo de acceso a Internet de banda ancha sen fíos poden diferir). A aplicación das políticas de seguridade inclúe: selección de AUSF, selección do algoritmo de autenticación, selección de algoritmos de cifrado de datos e control de integridade, determinación da duración e ciclo de vida das claves.

SIDF (Función de ocultación do identificador de subscrición en inglés - función de extracción de identificador de usuario) - garante a extracción do identificador de subscrición permanente dun abonado (SUPI inglés) a partir dun identificador oculto (inglés). SUCI), recibida como parte da solicitude de procedemento de autenticación "Auth Info Req".

Requisitos básicos de seguridade para redes de comunicación 5G

MáisAutenticación de usuario: A rede 5G de servizo debe autenticar o SUPI do usuario no proceso 5G AKA entre o usuario e a rede.

Servizo de autenticación de rede: O usuario debe autenticar o ID da rede de servizo 5G, con autenticación conseguida mediante o uso exitoso das claves obtidas mediante o procedemento 5G AKA.

Autorización do usuario: A rede de servizo debe autorizar ao usuario mediante o perfil de usuario recibido da rede do operador de telecomunicacións doméstica.

Autorización da rede de servizo pola rede do operador doméstico: Débese proporcionar ao usuario a confirmación de que está conectado a unha rede de servizos que estea autorizada pola rede do operador doméstico para prestar servizos. A autorización está implícita no sentido de que está asegurada pola finalización satisfactoria do procedemento 5G AKA.

Autorización da rede de acceso pola rede do operador doméstico: Débese proporcionar ao usuario a confirmación de que está conectado a unha rede de acceso autorizada pola rede do operador doméstico para prestar servizos. A autorización está implícita no sentido de que se aplica ao establecer con éxito a seguridade da rede de acceso. Este tipo de autorización debe utilizarse para calquera tipo de rede de acceso.

Servizos de emerxencia non autenticados: Para cumprir os requisitos regulamentarios nalgunhas rexións, as redes 5G deben proporcionar acceso non autenticado aos servizos de emerxencia.

Núcleo de rede e rede de acceso por radio: o núcleo da rede 5G e a rede de acceso de radio 5G deben admitir o uso de algoritmos de cifrado e integridade de 128 bits para garantir a seguridade AS и NAS. As interfaces de rede deben admitir claves de cifrado de 256 bits.

Requisitos básicos de seguridade dos equipamentos dos usuarios

Máis

• O equipo do usuario debe admitir o cifrado, a protección da integridade e a protección contra ataques de reprodución dos datos de usuario transmitidos entre este e a rede de acceso de radio.
• O equipo do usuario debe activar os mecanismos de encriptación e protección da integridade dos datos segundo indique a rede de acceso por radio.
• O equipo do usuario debe admitir o cifrado, a protección da integridade e a protección contra ataques de repetición para o tráfico de sinalización RRC e NAS.
• O equipo do usuario debe admitir os seguintes algoritmos criptográficos: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Os equipos do usuario poden soportar os seguintes algoritmos criptográficos: 128-NEA3, 128-NIA3.
• O equipo do usuario debe admitir os seguintes algoritmos criptográficos: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 se admite a conexión á rede de acceso por radio E-UTRA.
• A protección da confidencialidade dos datos de usuario transmitidos entre o equipo de usuario e a rede de acceso radioeléctrico é opcional, pero debe proporcionarse sempre que regulamentariamente o permita.
• A protección da privacidade para o tráfico de sinalización RRC e NAS é opcional.
• A chave permanente do usuario debe estar protexida e almacenada en compoñentes ben protexidos do equipo do usuario.
• O identificador de subscrición permanente dun abonado non debe transmitirse en texto claro pola rede de acceso de radio, excepto para a información necesaria para o enrutamento correcto (por exemplo MCC и MNC).
• A clave pública de rede do operador doméstico, o identificador de chave, o identificador do esquema de seguranza e o identificador de enrutamento deben almacenarse en USIM.

Cada algoritmo de cifrado está asociado cun número binario:

• "0000": NEA0 - Algoritmo de cifrado nulo
• "0001": 128-NEA1 - 128 bits Neve Algoritmo baseado en 3G
• "0010" 128-NEA2 - 128 bits AES algoritmo baseado
• "0011" 128-NEA3 - 128 bits ZUC algoritmo baseado.

Cifrado de datos mediante 128-NEA1 e 128-NEA2

PS O circuíto está prestado TS 133.501

Xeración de insercións simuladas polos algoritmos 128-NIA1 e 128-NIA2 para garantir a integridade

PS O circuíto está prestado TS 133.501

Requisitos básicos de seguridade para as funcións de rede 5G

Máis

• AMF debe admitir a autenticación primaria mediante SUCI.
• SEAF debe admitir a autenticación primaria mediante SUCI.
• UDM e ARPF deben almacenar a chave permanente do usuario e asegurarse de que estea protexida contra roubos.
• A AUSF só proporcionará SUPI á rede de servizo local tras unha autenticación inicial exitosa mediante SUCI.
• NEF non debe reenviar información oculta da rede central fóra do dominio de seguridade do operador.

Procedementos básicos de seguridade

Dominios de confianza

Nas redes de quinta xeración, a confianza nos elementos da rede diminúe a medida que os elementos se afastan do núcleo da rede. Este concepto inflúe nas decisións implementadas na arquitectura de seguridade 5G. Así, podemos falar dun modelo de confianza das redes 5G que determina o comportamento dos mecanismos de seguridade da rede.

No lado do usuario, o dominio de confianza está formado por UICC e USIM.

No lado da rede, o dominio de confianza ten unha estrutura máis complexa.

A rede de acceso de radio divídese en dous compoñentes − DU (do inglés Distributed Units - unidades de rede distribuídas) e CU (do inglés Central Units - unidades centrais da rede). Xuntos fórmanse gNB — interface de radio da estación base de rede 5G. Os DU non teñen acceso directo aos datos dos usuarios xa que se poden implementar en segmentos de infraestrutura non protexidos. As CU deben despregarse en segmentos de rede protexidos, xa que son responsables de terminar o tráfico dos mecanismos de seguridade do AS. No núcleo da rede sitúase AMF, que termina o tráfico dos mecanismos de seguridade do NAS. A especificación actual 3GPP 5G Fase 1 describe a combinación AMF con función de seguridade MARE, que contén a clave raíz (tamén coñecida como "clave de áncora") da rede (servidora) visitada. AUSF encárgase de almacenar a clave obtida tras a autenticación exitosa. É necesario para a súa reutilización nos casos en que o usuario estea conectado simultaneamente a varias redes de acceso radio. ARPF almacena as credenciais dos usuarios e é un análogo da USIM para os subscritores. UDR и UDM almacenar información do usuario, que se utiliza para determinar a lóxica para xerar credenciais, ID de usuario, garantir a continuidade da sesión, etc.

Xerarquía de claves e os seus esquemas de distribución

Nas redes de 5a xeración, a diferenza das redes 4G-LTE, o procedemento de autenticación ten dous compoñentes: autenticación primaria e secundaria. A autenticación principal é necesaria para todos os dispositivos de usuarios que se conectan á rede. A autenticación secundaria pódese realizar a petición de redes externas, se o abonado se conecta a elas.

Despois da finalización exitosa da autenticación primaria e do desenvolvemento dunha clave compartida K entre o usuario e a rede, KSEAF extráese da clave K, unha clave especial de áncora (raíz) da rede de servizo. Posteriormente, as claves xéranse a partir desta clave para garantir a confidencialidade e a integridade dos datos de tráfico de sinalización RRC e NAS.

Diagrama con explicacións
Denominacións:
CK Chave de cifrado
IK (Inglés: Integrity Key) - unha clave utilizada nos mecanismos de protección da integridade dos datos.
CK' (eng. Cipher Key) - outra clave criptográfica creada a partir de CK para o mecanismo EAP-AKA.
IK' (Chave de integridade inglesa): outra clave utilizada nos mecanismos de protección da integridade dos datos para EAP-AKA.
KAUSF - xerado pola función ARPF e os equipos do usuario a partir CK и IK durante 5G AKA e EAP-AKA.
KSEAF - chave de ancoraxe obtida pola función AUSF a partir da tecla KAMFAUSF.
KAMF — a clave obtida pola función SEAF a partir da tecla KSEAF.
KNASint, KNASenc — chaves obtidas pola función AMF a partir da tecla KAMF para protexer o tráfico de sinalización NAS.
KRRCint, KRRCenc — chaves obtidas pola función AMF a partir da tecla KAMF para protexer o tráfico de sinalización RRC.
KUPint, KUPenc — chaves obtidas pola función AMF a partir da tecla KAMF para protexer o tráfico de sinalización AS.
NH — chave intermedia obtida pola función AMF a partir da clave KAMF para garantir a seguridade dos datos durante a entrega.
KgNB — a clave obtida pola función AMF a partir da clave KAMF para garantir a seguridade dos mecanismos de mobilidade.

Esquemas para xerar SUCI dende SUPI e viceversa

Réximes para a obtención de SUPI e SUCI

Produción de SUCI de SUPI e SUPI de SUCI:

Autenticación

Autenticación primaria

Nas redes 5G, EAP-AKA e 5G AKA son mecanismos de autenticación principal estándar. Dividimos o mecanismo de autenticación principal en dúas fases: a primeira encárgase de iniciar a autenticación e seleccionar un método de autenticación, a segunda encárgase da autenticación mutua entre o usuario e a rede.

Iniciación

O usuario envía unha solicitude de rexistro a SEAF, que contén o ID de subscrición oculto SUCI do usuario.

SEAF envía a AUSF unha mensaxe de solicitude de autenticación (Nausf_UEAuthentication_Authenticate Request) que contén SNN (Serving Network Name) e SUPI ou SUCI.

AUSF comproba se o solicitante de autenticación SEAF ten permiso para usar o SNN indicado. Se a rede de servizo non está autorizada para usar este SNN, a AUSF responde cunha mensaxe de erro de autorización "Servendo rede non autorizada" (Nausf_UEAuthentication_Authenticate Response).

As credenciais de autenticación son solicitadas pola AUSF a UDM, ARPF ou SIDF a través de SUPI ou SUCI e SNN.

Baseándose na información de SUPI ou SUCI e do usuario, UDM/ARPF selecciona o método de autenticación que se utilizará a continuación e emite as credenciais do usuario.

Autenticación mutua

Cando se utiliza calquera método de autenticación, as funcións de rede UDM/ARPF deben xerar un vector de autenticación (AV).

EAP-AKA: UDM/ARPF xera primeiro un vector de autenticación co bit de separación AMF = 1 e despois xera CK' и IK' de CK, IK e SNN e constitúe un novo vector de autenticación AV (RAND, AUTN, XRES*, CK', IK'), que se envía á AUSF con instrucións para usalo só para EAP-AKA.

5G AKA: UDM/ARPF obtén a clave KAUSF de CK, IK e SNN, despois de que xera 5G HE AV. Vector de autenticación do entorno doméstico 5G). Vector de autenticación 5G HE AV (RAND, AUTN, XRES, KAUSF) envíase ao AUSF con instrucións para usalo só para 5G AKA.

Despois deste AUSF obtense a clave de ancoraxe KSEAF dende a chave KAUSF e envía unha solicitude a SEAF "Challenge" na mensaxe "Nausf_UEAuthentication_Authenticate Response", que tamén contén RAND, AUTN e RES*. A continuación, o RAND e o AUTN transmítense ao equipo do usuario mediante unha mensaxe de sinalización NAS segura. O USIM do usuario calcula RES* a partir do RAND e AUTN recibidos e envíao a SEAF. SEAF transmite este valor a AUSF para verificación.

AUSF compara os XRES* almacenados nel e os RES* recibidos do usuario. Se hai unha coincidencia, o AUSF e o UDM na rede doméstica do operador reciben unha notificación da autenticación exitosa e o usuario e SEAF xeran de forma independente unha clave KAMF de KSEAF e SUPI para máis comunicación.

Autenticación secundaria

O estándar 5G admite a autenticación secundaria opcional baseada en EAP-AKA entre o equipo do usuario e a rede de datos externa. Neste caso, SMF desempeña o papel do autenticador EAP e confía no traballo AAA-un servidor de rede externo que autentica e autoriza ao usuario.

• Prodúcese a autenticación inicial obrigatoria do usuario na rede doméstica e desenvólvese un contexto de seguridade NAS común con AMF.
• O usuario envía unha solicitude a AMF para establecer unha sesión.
• AMF envía unha solicitude para establecer unha sesión a SMF indicando o SUPI do usuario.
• SMF valida as credenciais do usuario en UDM mediante o SUPI proporcionado.
• O SMF envía unha resposta á solicitude da AMF.
• SMF inicia o procedemento de autenticación EAP para obter permiso para establecer unha sesión do servidor AAA na rede externa. Para iso, o SMF e o usuario intercambian mensaxes para iniciar o procedemento.
• Despois, o usuario e o servidor AAA da rede externa intercambian mensaxes para autenticar e autorizar ao usuario. Neste caso, o usuario envía mensaxes ao SMF, que á súa vez intercambia mensaxes coa rede externa a través da UPF.

Conclusión

Aínda que a arquitectura de seguridade 5G está baseada na reutilización de tecnoloxías existentes, presenta retos completamente novos. Un gran número de dispositivos IoT, límites de rede ampliados e elementos de arquitectura descentralizada son só algúns dos principios fundamentais do estándar 5G que dan renda solta á imaxinación dos ciberdelincuentes.

O estándar básico para a arquitectura de seguridade 5G é TS 23.501 versión 15.6.0 — contén puntos clave do funcionamento dos mecanismos e procedementos de seguridade. En particular, describe o papel de cada VNF para garantir a protección dos datos do usuario e dos nós de rede, para xerar claves criptográficas e para implementar o procedemento de autenticación. Pero nin sequera este estándar dá resposta aos problemas de seguridade acuciantes aos que se enfrontan con máis frecuencia os operadores de telecomunicacións, canto máis intensamente se desenvolvan e poñan en funcionamento redes de nova xeración.

Neste sentido, gustaríame crer que as dificultades para operar e protexer as redes de 5.ª xeración non afectarán de ningún xeito aos usuarios comúns, aos que se lles promete velocidades de transmisión e respostas como o fillo dun amigo dunha nai e que xa están ansiosos por probar todas as capacidades declaradas das redes de nova xeración.

Ligazóns útiles

Serie de especificacións 3GPP
Arquitectura de seguridade 5G
Arquitectura do sistema 5G
Wiki 5G
Notas de arquitectura 5G
Visión xeral da seguridade 5G

Fonte: www.habr.com