Nyilvánvaló, hogy egy új kommunikációs szabvány kidolgozását a biztonsági mechanizmusokra való gondolkozás nélkül felvállalni rendkívül kétes és hiábavaló próbálkozás.

5G biztonsági architektúra — ben bevezetett biztonsági mechanizmusok és eljárások összessége 5. generációs hálózatok és minden hálózati komponenst lefed, a magtól a rádiós interfészekig.

Az 5. generációs hálózatok lényegében egy evolúció 4. generációs LTE hálózatok. A rádió-hozzáférési technológiák a legjelentősebb változásokon mentek keresztül. Az 5. generációs hálózatokhoz egy új PATKÁNY (Rádióelérési technológia) - 5G új rádió. Ami a hálózat magját illeti, az nem esett át ilyen jelentős változásokon. E tekintetben az 5G hálózatok biztonsági architektúráját a 4G LTE szabványban elfogadott releváns technológiák újrafelhasználására helyezve fejlesztették ki.

Érdemes azonban megjegyezni, hogy az ismert fenyegetések újragondolása, mint például a légi interfészek és a jelzőréteg elleni támadások (jelzés repülőgép), DDOS támadások, Man-In-The-Middle támadások stb., arra késztették a távközlési szolgáltatókat, hogy új szabványokat dolgozzanak ki, és teljesen új biztonsági mechanizmusokat integráljanak az 5. generációs hálózatokba.

előfeltételek

A Nemzetközi Távközlési Unió 2015-ben elkészítette az első ilyen típusú globális tervet az ötödik generációs hálózatok fejlesztésére, ezért különösen élessé vált az 5G hálózatok biztonsági mechanizmusainak és eljárásainak fejlesztése.

Az új technológia valóban lenyűgöző adatátviteli sebességet (több mint 1 Gbps), kevesebb, mint 1 ms-os késleltetést és körülbelül 1 millió eszköz egyidejű csatlakoztatásának lehetőségét kínálta 1 km2-es körzetben. Az 5. generációs hálózatokkal szemben támasztott legmagasabb követelmények a szervezési elvekben is tükröződnek.

A legfontosabb a decentralizáció volt, amely sok helyi adatbázist és azok feldolgozó központját a hálózat perifériájára helyezte. Ez lehetővé tette a késések minimalizálását, amikor M2M-kommunikációt és tehermentesíti a hálózati magot a hatalmas számú IoT-eszköz kiszolgálása miatt. Így a következő generációs hálózatok széle egészen a bázisállomásokig kiterjedt, lehetővé téve helyi kommunikációs központok létrehozását és felhőszolgáltatások biztosítását kritikus késések vagy szolgáltatásmegtagadások kockázata nélkül. A hálózatépítés és az ügyfélszolgálat megváltozott szemlélete természetesen érdekelte a támadókat, mert új lehetőségek nyíltak meg előttük, hogy mind a bizalmas felhasználói információkat, mind magukat a hálózati összetevőket megtámadják szolgáltatásmegtagadás előidézése vagy a szolgáltató számítási erőforrásainak lefoglalása érdekében.

Az 5. generációs hálózatok fő sérülékenységei

Nagy támadási felület

TöbbA 3. és 4. generációs távközlési hálózatok kiépítésekor a távközlési szolgáltatók általában egy vagy több szállítóval dolgoztak, akik azonnal szállítottak egy sor hardvert és szoftvert. Vagyis minden működhet, amint azt mondják, „a dobozból” - elég volt csak telepíteni és konfigurálni az eladótól vásárolt berendezést; nem volt szükség a védett szoftverek cseréjére vagy kiegészítésére. A modern trendek ellentétesek ezzel a „klasszikus” megközelítéssel, és a hálózatok virtualizációját célozzák, a több gyártó által felépített megközelítést és a szoftverek sokféleségét. Technológiák, mint pl SDN (angol Software Defined Network) és NFV (angolul Network Functions Virtualization), amely hatalmas mennyiségű nyílt forráskódra épülő szoftver beépüléséhez vezet a kommunikációs hálózatok kezelésének folyamataiba és funkcióiba. Ez lehetőséget ad a támadóknak, hogy jobban tanulmányozzák az üzemeltető hálózatát, és nagyobb számú sebezhetőséget azonosítsanak, ami viszont megnöveli az új generációs hálózatok támadási felületét a jelenlegiekhez képest.

Nagyszámú IoT-eszköz

Több2021-re az 57G-hálózatokhoz csatlakozó eszközök mintegy 5%-a IoT-eszköz lesz. Ez azt jelenti, hogy a legtöbb gazdagép korlátozott kriptográfiai képességekkel rendelkezik (lásd a 2. pontot), és ennek megfelelően sebezhető lesz a támadásokkal szemben. Az ilyen eszközök nagy száma növeli a botnet elterjedésének kockázatát, és lehetővé teszi még erősebb és elosztott DDoS-támadások végrehajtását.

Az IoT-eszközök korlátozott kriptográfiai képességei

TöbbAmint már említettük, az 5. generációs hálózatok aktívan használnak perifériás eszközöket, amelyek lehetővé teszik a terhelés egy részének eltávolítását a hálózati magról, és ezáltal csökkentik a késleltetést. Ez olyan fontos szolgáltatásokhoz szükséges, mint a pilóta nélküli járművek irányítása, vészhelyzeti figyelmeztető rendszer IMS és mások, akik számára kritikus a minimális késés biztosítása, mert emberi életek múlnak rajta. A nagyszámú IoT-eszköz összekapcsolása miatt, amelyek kis méretük és alacsony fogyasztásuk miatt nagyon korlátozott számítási erőforrásokkal rendelkeznek, az 5G hálózatok sebezhetővé válnak az ilyen eszközök vezérlésének elfogására és későbbi manipulálására irányuló támadásokkal szemben. Például előfordulhatnak olyan esetek, amikor a rendszer részét képező IoT-eszközök megfertőződnek."okos Ház", olyan típusú rosszindulatú programok, mint pl Ransomware és ransomware. A felhőn keresztül parancsokat és navigációs információkat fogadó pilóta nélküli járművek irányításának elfogására vonatkozó forgatókönyvek is lehetségesek. Formálisan ez a sérülékenység az új generációs hálózatok decentralizációjából adódik, de a következő bekezdésben világosabban körvonalazódik a decentralizáció problémája.

A hálózati határok decentralizálása és kiterjesztése

TöbbA helyi hálózati magok szerepét betöltő perifériás eszközök a felhasználói forgalom irányítását, a kérések feldolgozását, valamint a felhasználói adatok helyi gyorsítótárazását és tárolását végzik. Így az 5. generációs hálózatok határai a magon kívül a perifériákra is tágulnak, ideértve a helyi adatbázisokat és az 5G-NR (5G New Radio) rádiós interfészt. Ez lehetőséget teremt a helyi eszközök számítási erőforrásainak megtámadására, amelyek eleve gyengébbek, mint a hálózati mag központi csomópontjai, azzal a céllal, hogy szolgáltatásmegtagadást okozzanak. Ez a teljes területek internetelérésének megszakadásához, az IoT-eszközök hibás működéséhez (például okosotthon rendszerben), valamint az IMS segélyhívó szolgáltatásának elérhetetlenségéhez vezethet.

Az ETSI és a 3GPP azonban mára több mint 10 szabványt tett közzé, amelyek lefedik az 5G hálózatbiztonság különböző aspektusait. Az ott leírt mechanizmusok túlnyomó többsége a sebezhetőségek elleni védelemre irányul (beleértve a fent leírtakat is). Az egyik fő a szabvány TS 23.501 15.6.0 verzió, amely leírja az 5. generációs hálózatok biztonsági architektúráját.

5G architektúra

Először térjünk át az 5G hálózati architektúra kulcsfontosságú alapelveire, amelyek még jobban feltárják az egyes szoftvermodulok és az egyes 5G biztonsági funkciók jelentését és felelősségi területeit.

A hálózati csomópontok felosztása olyan elemekre, amelyek biztosítják a protokollok működését egyedi repülőgép (az angol UP - User Plane szóból) és a protokollok működését biztosító elemek irányító sík (az angol CP - Control Plane szóból), ami növeli a rugalmasságot a hálózat méretezése és telepítése tekintetében, azaz lehetséges az egyes komponens hálózati csomópontok centralizált vagy decentralizált elhelyezése.
Mechanizmus támogatása hálózati szeletelés, a végfelhasználók meghatározott csoportjainak nyújtott szolgáltatások alapján.
Hálózati elemek megvalósítása formában virtuális hálózati funkciók.
Támogatja a központosított és helyi szolgáltatások egyidejű elérését, azaz a felhőkoncepciók megvalósítását (angol nyelvből. köd számítástechnika) és határ (angolból. szélsőséges számítástechnika) számításokat.
Реализация konvergens különböző típusú hozzáférési hálózatokat ötvöző architektúra - 3GPP 5G New Radio és nem 3GPP (Wi-Fi stb.) - egyetlen hálózati maggal.
Egységes algoritmusok és hitelesítési eljárások támogatása a hozzáférési hálózat típusától függetlenül.
Állapot nélküli hálózati funkciók támogatása, amelyekben a számított erőforrás el van választva az erőforrástárolótól.
Roaming támogatása forgalomirányítással mind az otthoni hálózaton keresztül (az angol home-routed roamingból), mind a helyi „leszállással” (az angol helyi kitörésből) a vendéghálózaton.
A hálózati funkciók közötti kölcsönhatás kétféleképpen ábrázolható: szolgáltatásközpontú и felület.

Az 5. generációs hálózati biztonsági koncepció tartalmazza:

Felhasználó hitelesítés a hálózatról.
Hálózati hitelesítés a felhasználó által.
Titkosító kulcsok egyeztetése a hálózat és a felhasználói berendezés között.
A jelzőforgalom titkosítása és integritásának ellenőrzése.
A felhasználói forgalom titkosítása és integritásának ellenőrzése.
Felhasználói azonosító védelem.
A különböző hálózati elemek közötti interfészek védelme a hálózati biztonsági tartomány koncepciójával összhangban.
A mechanizmus különböző rétegeinek elkülönítése hálózati szeletelés és az egyes rétegek saját biztonsági szintjeinek meghatározása.
Felhasználó hitelesítés és forgalomvédelem a végszolgáltatások szintjén (IMS, IoT és mások).

Kulcsfontosságú szoftvermodulok és 5G hálózati biztonsági funkciók

AMF (az angol Access & Mobility Management Function - hozzáférés és mobilitás menedzsment funkcióból) - biztosítja:

Vezérlősík interfészek szervezése.
Jelzőforgalmi csere szervezése RRC, titkosítása és adatai sértetlenségének védelme.
Jelzőforgalmi csere szervezése NAS, titkosítása és adatai sértetlenségének védelme.
Felhasználói berendezések regisztrációjának kezelése a hálózaton és a lehetséges regisztrációs állapotok figyelése.
Felhasználói berendezések hálózatra kapcsolásának kezelése és lehetséges állapotok figyelése.
Szabályozza a felhasználói berendezések elérhetőségét a hálózaton CM-IDLE állapotban.
A hálózatban lévő felhasználói berendezések mobilitáskezelése CM-CONNECTED állapotban.
Rövid üzenetek továbbítása a felhasználói készülékek és az SMF között.
Helymeghatározási szolgáltatások kezelése.
Szálazonosító kiosztása EPS interakcióba lépni az EPS-sel.

SMF (angolul: Session Management Function - session management function) - biztosítja:

Kommunikációs munkamenet-kezelés, azaz munkamenetek létrehozása, módosítása és felszabadítása, beleértve a hozzáférési hálózat és az UPF közötti alagút fenntartását.
Felhasználói berendezések IP-címeinek terjesztése és kezelése.
A használni kívánt UPF átjáró kiválasztása.
A PCF-fel való interakció megszervezése.
A politika végrehajtásának irányítása QoS.
A felhasználói berendezések dinamikus konfigurálása a DHCPv4 és DHCPv6 protokollok használatával.
A tarifaadatok gyűjtésének figyelemmel kísérése és a számlázási rendszerrel való interakció megszervezése.
Zökkenőmentes szolgáltatásnyújtás (angol nyelvről. SSC – Session and Service Continuity).
Interakció vendéghálózatokkal a barangoláson belül.

UPF (angol User Plane Function - felhasználói sík funkció) - biztosítja:

Kölcsönhatás külső adathálózatokkal, beleértve a globális internetet is.
Felhasználói csomagok irányítása.
Csomagok jelölése a QoS irányelveknek megfelelően.
Felhasználói csomag diagnosztika (például aláírás-alapú alkalmazásészlelés).
Jelentések készítése a forgalom felhasználásáról.
Az UPF egyben a mobilitás támogatásának is a horgonypontja a különböző rádió-hozzáférési technológiákon belül és azok között.

UDM (Angol Unified Data Management - egységes adatbázis) - biztosítja:

Felhasználói profiladatok kezelése, beleértve a felhasználók számára elérhető szolgáltatások listájának és a hozzájuk tartozó paramétereknek a tárolását és módosítását.
vezetés SUPI
3GPP hitelesítési hitelesítési adatok generálása AKA.
Hozzáférés engedélyezése profiladatokon (például barangolási korlátozások) alapulóan.
Felhasználó regisztráció kezelése, azaz a kiszolgáló AMF tárolása.
A zökkenőmentes szolgáltatási és kommunikációs munkamenetek támogatása, azaz az aktuális kommunikációs munkamenethez rendelt SMF tárolása.
SMS kézbesítés kezelése.
Több különböző UDM szolgálhatja ki ugyanazt a felhasználót különböző tranzakciók során.

UDR (Angolul Unified Data Repository - az egyesített adatok tárolása) - különféle felhasználói adatok tárolását biztosítja, és valójában az összes hálózati előfizető adatbázisa.

UDSF (angolul Unstructured Data Storage Function – strukturálatlan adattárolási funkció) – biztosítja, hogy az AMF modulok elmentsék a regisztrált felhasználók aktuális kontextusait. Általában ez az információ meghatározatlan szerkezetű adatként is bemutatható. A felhasználói kontextusok zökkenőmentes és megszakítás nélküli előfizetői munkamenetek biztosítására használhatók mind az egyik AMF-nek a szolgáltatásból való tervezett kivonása során, mind pedig vészhelyzet esetén. Mindkét esetben a tartalék AMF „felveszi” a szolgáltatást az USDF-ben tárolt kontextusok használatával.

Az UDR és az UDSF ugyanazon a fizikai platformon való kombinálása e hálózati funkciók tipikus megvalósítása.

PCF (angolul: Policy Control Function – policy control function) – bizonyos szolgáltatási szabályzatokat hoz létre és rendel a felhasználókhoz, beleértve a QoS paramétereket és a terhelési szabályokat. Például egy vagy másik típusú forgalom továbbítására különböző jellemzőkkel rendelkező virtuális csatornák hozhatók létre dinamikusan. Ugyanakkor figyelembe vehető az előfizető által igényelt szolgáltatás követelményei, a hálózati torlódás mértéke, a lefoglalt forgalom, stb.

NEF (angolul Network Exposure Function – hálózati expozíciós funkció) – biztosítja:

Külső platformok és alkalmazások biztonságos interakciójának megszervezése a hálózati maggal.
A QoS-paraméterek és terhelési szabályok kezelése adott felhasználók számára.

SEAF (Anchor Security Anchor Function – anchor security function) – az AUSF-fel együtt biztosítja a felhasználók hitelesítését, amikor bármilyen hozzáférési technológiával regisztrálnak a hálózatra.

Ausf (Angol Authentication Server Function – hitelesítési szerver funkció) – hitelesítő szerver szerepét tölti be, amely fogadja és feldolgozza a SEAF-től érkező kéréseket, és átirányítja azokat az ARPF-hez.

ARPF (angolul: Authentication Credential Repository and Processing Function - hitelesítési hitelesítő adatok tárolásának és feldolgozásának funkciója) - személyes titkos kulcsok (KI) és kriptográfiai algoritmusok paramétereinek tárolását, valamint hitelesítési vektorok generálását biztosítja az 5G-AKA, ill. EAP-MÁS NÉVEN. Az otthoni távközlési szolgáltató adatközpontjában található, védve a külső fizikai hatásoktól, és általában integrálva van az UDM-mel.

SCMF (Angol Security Context Management Function - menedzsment funkció biztonsági kontextusban) – Életciklus-kezelést biztosít az 5G biztonsági környezethez.

SPCF (Angolul Security Policy Control Function – biztonsági szabályzatkezelési funkció) – biztosítja a biztonsági szabályzatok összehangolását és alkalmazását meghatározott felhasználókkal kapcsolatban. Ez figyelembe veszi a hálózat képességeit, a felhasználói berendezés képességeit és az adott szolgáltatás követelményeit (például a kritikus kommunikációs szolgáltatás és a vezeték nélküli szélessávú internet-hozzáférési szolgáltatás által nyújtott védelmi szint eltérhet). A biztonsági szabályzatok alkalmazása magában foglalja: AUSF kiválasztása, hitelesítési algoritmus kiválasztása, adattitkosítási és integritás-ellenőrző algoritmusok kiválasztása, kulcsok hosszának és életciklusának meghatározása.

SIDF (Angol Subscription Identifier De-concealing Function - felhasználói azonosító kivonási funkció) - biztosítja az előfizető állandó előfizetési azonosítójának (angol SUPI) kinyerését egy rejtett azonosítóból (angol SUCI), amelyet az „Auth Info Req” hitelesítési eljárási kérelem részeként kaptunk.

Az 5G kommunikációs hálózatok alapvető biztonsági követelményei

TöbbFelhasználói hitelesítés: A kiszolgáló 5G hálózatnak hitelesítenie kell a felhasználó SUPI-ját a felhasználó és a hálózat közötti 5G AKA folyamatban.

Hálózati hitelesítés kiszolgálása: A felhasználónak hitelesítenie kell az 5G kiszolgáló hálózati azonosítót, a hitelesítés az 5G AKA eljárással kapott kulcsok sikeres használatával valósul meg.

Felhasználói jogosultság: A kiszolgáló hálózatnak engedélyeznie kell a felhasználót az otthoni távközlési szolgáltató hálózatától kapott felhasználói profil használatával.

A kiszolgáló hálózat engedélyezése a hazai szolgáltató hálózata által: A felhasználónak igazolást kell kapnia arról, hogy olyan szolgáltató hálózathoz csatlakozik, amelyet az otthoni szolgáltató hálózat feljogosított szolgáltatásnyújtásra. Az engedélyezés implicit abban az értelemben, hogy azt az 5G AKA eljárás sikeres lezárása biztosítja.

A hozzáférési hálózat engedélyezése a hazai szolgáltató hálózata által: A felhasználónak igazolást kell kapnia arról, hogy olyan hozzáférési hálózathoz csatlakozik, amelyet a hazai szolgáltató hálózat feljogosított szolgáltatásnyújtásra. Az engedélyezés implicit abban az értelemben, hogy a hozzáférési hálózat biztonságának sikeres megteremtésével érvényesül. Ezt a típusú jogosultságot minden típusú hozzáférési hálózathoz használni kell.

Nem hitelesített segélyszolgálatok: Egyes régiókban a szabályozási követelmények teljesítése érdekében az 5G-hálózatoknak hitelesítés nélküli hozzáférést kell biztosítaniuk a segélyszolgálatok számára.

Hálózati mag- és rádióelérési hálózat: Az 5G hálózati mag és az 5G rádiós hozzáférési hálózatnak támogatnia kell a 128 bites titkosítási és integritási algoritmusok használatát a biztonság érdekében AS и NAS. A hálózati interfészeknek támogatniuk kell a 256 bites titkosítási kulcsokat.

A felhasználói berendezések alapvető biztonsági követelményei

Több

A felhasználói berendezésnek támogatnia kell a titkosítást, az integritásvédelmet és a visszajátszási támadások elleni védelmet a közte és a rádió-hozzáférési hálózat között továbbított felhasználói adatok esetében.
A felhasználói berendezésnek aktiválnia kell a titkosítási és adatintegritás-védelmi mechanizmusokat a rádió-hozzáférési hálózat utasításai szerint.
A felhasználói berendezéseknek támogatniuk kell a titkosítást, az integritásvédelmet és a visszajátszási támadások elleni védelmet az RRC és NAS jelzési forgalom esetében.
A felhasználói berendezéseknek támogatniuk kell a következő kriptográfiai algoritmusokat: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
A felhasználói berendezések a következő kriptográfiai algoritmusokat támogatják: 128-NEA3, 128-NIA3.
A felhasználói berendezésnek támogatnia kell a következő kriptográfiai algoritmusokat: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, ha támogatja az E-UTRA rádióelérési hálózathoz való csatlakozást.
A felhasználói készülék és a rádió-hozzáférési hálózat között továbbított felhasználói adatok titkosságának védelme nem kötelező, de ezt biztosítani kell, amikor azt a rendelet lehetővé teszi.
Az RRC és NAS jelzési forgalom adatvédelme opcionális.
A felhasználó állandó kulcsát védeni kell, és a felhasználói berendezés jól védett részeiben kell tárolni.
Az előfizető állandó előfizetési azonosítóját nem szabad tiszta szövegben továbbítani a rádió-hozzáférési hálózaton, kivéve a helyes útválasztáshoz szükséges információkat (pl. MCC и MNC).
Az otthoni szolgáltató hálózati nyilvános kulcsát, a kulcsazonosítót, a biztonsági séma azonosítóját és az útválasztási azonosítót kell tárolni. USIM.

Minden titkosítási algoritmushoz egy bináris szám tartozik:

"0000": NEA0 - Null titkosítási algoritmus
"0001": 128-NEA1 – 128 bites HÓ 3G alapú algoritmus
"0010" 128-NEA2 – 128 bites AES alapú algoritmus
"0011" 128-NEA3 – 128 bites ZUC alapú algoritmus.

Adattitkosítás 128-NEA1 és 128-NEA2 használatával

PS Az áramkör kölcsönzött TS 133.501

Szimulált betétek generálása a 128-NIA1 és 128-NIA2 algoritmusokkal az integritás biztosítása érdekében

PS Az áramkör kölcsönzött TS 133.501

Az 5G hálózati funkciók alapvető biztonsági követelményei

Több

Az AMF-nek támogatnia kell az elsődleges hitelesítést a SUCI használatával.
A SEAF-nek támogatnia kell az elsődleges hitelesítést a SUCI használatával.
Az UDM-nek és az ARPF-nek tárolnia kell a felhasználó állandó kulcsát, és biztosítania kell, hogy az védett legyen a lopás ellen.
Az AUSF csak sikeres kezdeti hitelesítés után biztosít SUPI-t a helyi kiszolgáló hálózatnak.
A NEF nem továbbíthat rejtett maghálózati információkat az üzemeltető biztonsági tartományán kívülre.

Alapvető biztonsági eljárások

Bizalom domainek

Az 5. generációs hálózatokban a hálózati elemekbe vetett bizalom csökken, ahogy az elemek eltávolodnak a hálózati magtól. Ez a koncepció befolyásolja az 5G biztonsági architektúrában végrehajtott döntéseket. Így beszélhetünk az 5G hálózatok bizalmi modelljéről, amely meghatározza a hálózati biztonsági mechanizmusok viselkedését.

A felhasználói oldalon a bizalmi tartományt az UICC és az USIM alkotja.

Hálózati oldalon a megbízhatósági tartomány összetettebb felépítésű.

A rádiós hozzáférési hálózat két részre oszlik − DU (az angol Distributed Units - elosztott hálózati egységek) és CU (az angol Central Units-ból - a hálózat központi egységei). Együtt alkotnak gNB — az 5G hálózati bázisállomás rádióinterfésze. A DU-knak nincs közvetlen hozzáférésük a felhasználói adatokhoz, mivel telepíthetők nem védett infrastruktúra-szegmenseken. A CU-kat védett hálózati szegmensekben kell telepíteni, mivel ezek felelősek az AS biztonsági mechanizmusokból származó forgalom leállításáért. A hálózat magjában található AMF, amely leállítja a forgalmat a NAS biztonsági mechanizmusaiból. A jelenlegi 3GPP 5G Phase 1 specifikáció írja le a kombinációt AMF biztonsági funkcióval SEAF, amely tartalmazza a meglátogatott (kiszolgáló) hálózat gyökérkulcsát (más néven "horgonykulcsot"). Ausf felelős a sikeres hitelesítés után kapott kulcs tárolásáért. Újrahasználatra van szükség olyan esetekben, amikor a felhasználó egyidejűleg több rádiós hozzáférési hálózathoz csatlakozik. ARPF tárolja a felhasználói hitelesítő adatokat, és az USIM analógja az előfizetők számára. UDR и UDM tárolja a felhasználói információkat, amelyek segítségével meghatározható a hitelesítő adatok, felhasználói azonosítók generálásának logikája, a munkamenet folytonosságának biztosítása stb.

A kulcsok hierarchiája és elosztási sémáik

Az 5. generációs hálózatokban a 4G-LTE hálózatokkal ellentétben a hitelesítési eljárásnak két összetevője van: elsődleges és másodlagos hitelesítés. Elsődleges hitelesítés szükséges a hálózathoz csatlakozó összes felhasználói eszközhöz. A másodlagos hitelesítés külső hálózatról kérésre elvégezhető, ha az előfizető csatlakozik hozzájuk.

Az elsődleges hitelesítés sikeres befejezése, valamint a felhasználó és a hálózat között megosztott K kulcs kifejlesztése után a KSEAF a K kulcsból - a kiszolgáló hálózat speciális horgony (gyökér) kulcsából - lesz kivonva. Ezt követően ebből a kulcsból kulcsok generálódnak az RRC és NAS jelzési forgalmi adatok titkosságának és integritásának biztosítására.

Diagram magyarázatokkal
elnevezések:
CK Rejtjelkulcs
IK (angolul: Integrity Key) – az adatintegritás-védelmi mechanizmusokban használt kulcs.
CK' (eng. Cipher Key) - egy másik kriptográfiai kulcs, amelyet a CK-ból hoztak létre az EAP-AKA mechanizmushoz.
IK' (angol Integrity Key) – egy másik kulcs, amelyet az EAP-AKA adatintegritás-védelmi mechanizmusaiban használnak.
KAUSF - az ARPF funkció és a felhasználói berendezések által generált CK и IK az 5G AKA és az EAP-AKA során.
KSEAF - horgonykulcs, amelyet az AUSF funkció kap a kulcsból KAMFAUSF.
KAMF — a SEAF funkció által a kulcstól kapott kulcs KSEAF.
KNASint, KNASenc — az AMF funkció által a billentyűből nyert billentyűk KAMF a NAS jelzőforgalmának védelme érdekében.
KRRCint, KRRCenc — az AMF funkció által a billentyűből nyert billentyűk KAMF az RRC jelzőforgalom védelmére.
KUPint, KUPenc — az AMF funkció által a billentyűből nyert billentyűk KAMF az AS jelzőforgalom védelmére.
NH — az AMF funkció által a billentyűtől kapott közbenső kulcs KAMF az adatbiztonság biztosítása az átadás-átvételek során.
KgNB — az AMF funkció által a billentyűből kapott kulcs KAMF a mobilitási mechanizmusok biztonságának biztosítása érdekében.

Sémák SUCI generálására SUPI-ból és fordítva

Sémák a SUPI és SUCI megszerzéséhez

SUCI gyártása a SUPI-tól és SUPI gyártása a SUCI-tól:

Hitelesítés

Elsődleges hitelesítés

Az 5G hálózatokban az EAP-AKA és az 5G AKA szabványos elsődleges hitelesítési mechanizmusok. Osszuk két fázisra az elsődleges hitelesítési mechanizmust: az első a hitelesítés kezdeményezéséért és a hitelesítési mód kiválasztásáért, a második a felhasználó és a hálózat közötti kölcsönös hitelesítésért felelős.

Megindítás, inicializálás

A felhasználó regisztrációs kérelmet küld a SEAF-nek, amely tartalmazza a felhasználó rejtett SUCI előfizetési azonosítóját.

A SEAF hitelesítési kérelmet küld az AUSF-nek (Nausf_UEAuthentication_Authenticate Request), amely tartalmazza az SNN-t (Serving Network Name) és a SUPI-t vagy SUCI-t.

Az AUSF ellenőrzi, hogy a SEAF hitelesítési kérelmező jogosult-e az adott SNN használatára. Ha a kiszolgáló hálózat nem jogosult ennek az SNN-nek a használatára, akkor az AUSF engedélyezési hibaüzenettel válaszol: „A kiszolgáló hálózat nincs engedélyezve” (Nausf_UEAuthentication_Authenticate Response).

Az AUSF hitelesítési hitelesítő adatokat kér az UDM-től, ARPF-től vagy SIDF-től SUPI-n vagy SUCI-n és SNN-n keresztül.

A SUPI vagy SUCI és a felhasználói információk alapján az UDM/ARPF kiválasztja a következő hitelesítési módot, és kiadja a felhasználó hitelesítő adatait.

Kölcsönös hitelesítés

Bármilyen hitelesítési módszer használatakor az UDM/ARPF hálózati funkcióknak hitelesítési vektort (AV) kell generálniuk.

EAP-AKA: Az UDM/ARPF először generál egy hitelesítési vektort AMF = 1 elválasztó bittel, majd CK' и IK' A CK, IK és SNN, és egy új AV hitelesítési vektort alkot (RAND, AUTN, XRES*, CK', IK').

5G AKA: UDM/ARPF kapja a kulcsot KAUSF A CK, IK és SNN, ami után 5G HE AV-t generál. 5G otthoni környezet hitelesítési vektor). 5G HE AV hitelesítési vektor (RAND, AUTN, XRES, KAUSF).

Az AUSF után megkapjuk a horgonykulcsot KSEAF a kulcstól KAUSF és kérést küld a SEAF „Challenge”-nek a „Nausf_UEAuthentication_Authenticate Response” üzenetben, amely RAND, AUTN és RES*-t is tartalmaz. Ezt követően a RAND és az AUTN egy biztonságos NAS jelzőüzenet segítségével kerül továbbításra a felhasználói készülékhez. A felhasználó USIM-je kiszámítja a RES* értéket a vett RAND-ból és AUTN-ből, és elküldi a SEAF-nek. A SEAF ellenőrzés céljából továbbítja ezt az értéket az AUSF-nek.

Az AUSF összehasonlítja a benne tárolt XRES*-et és a felhasználótól kapott RES*-t. Ha egyezés van, a szolgáltató otthoni hálózatában az AUSF és az UDM értesítést kap a sikeres hitelesítésről, és a felhasználó és a SEAF egymástól függetlenül generál egy kulcsot. KAMF A KSEAF és a SUPI-t a további kommunikációhoz.

Másodlagos hitelesítés

Az 5G szabvány támogatja az EAP-AKA-n alapuló opcionális másodlagos hitelesítést a felhasználói berendezés és a külső adathálózat között. Ebben az esetben az SMF az EAP hitelesítő szerepét tölti be, és a munkára támaszkodik AAA-egy külső hálózati szerver, amely hitelesíti és engedélyezi a felhasználót.

Megtörténik a kötelező kezdeti felhasználói hitelesítés az otthoni hálózaton, és közös NAS-biztonsági környezet alakul ki az AMF-fel.
A felhasználó kérést küld az AMF-nek egy munkamenet létrehozására.
Az AMF munkamenet létrehozására irányuló kérést küld az SMF-nek, jelezve a felhasználó SUPI-jét.
Az SMF a megadott SUPI segítségével ellenőrzi a felhasználó hitelesítő adatait az UDM-ben.
Az SMF választ küld az AMF kérésére.
Az SMF elindítja az EAP-hitelesítési eljárást, hogy engedélyt szerezzen a munkamenet létrehozására az AAA-kiszolgálótól a külső hálózaton. Ehhez az SMF és a felhasználó üzenetet cserél az eljárás elindításához.
Ezután a felhasználó és a külső hálózati AAA-kiszolgáló üzeneteket cserél a felhasználó hitelesítése és engedélyezése érdekében. Ebben az esetben a felhasználó üzeneteket küld az SMF-nek, amely UPF-en keresztül üzeneteket cserél a külső hálózattal.

Következtetés

Bár az 5G biztonsági architektúra a meglévő technológiák újrafelhasználásán alapul, teljesen új kihívások elé állít. A rengeteg IoT-eszköz, a kibővített hálózati határok és a decentralizált architektúraelemek csak néhány az 5G szabvány kulcsfontosságú alapelvei közül, amelyek szabad utat engednek a kiberbűnözők fantáziájának.

Az 5G biztonsági architektúra alapvető szabványa a TS 23.501 15.6.0 verzió — tartalmazza a biztonsági mechanizmusok és eljárások működésének kulcsfontosságú pontjait. Különösen leírja az egyes VNF-ek szerepét a felhasználói adatok és hálózati csomópontok védelmének biztosításában, a titkosítási kulcsok generálásában és a hitelesítési eljárás végrehajtásában. De még ez a szabvány sem ad választ azokra a sürgető biztonsági kérdésekre, amelyekkel a távközlési szolgáltatók gyakrabban szembesülnek, minél intenzívebben fejlesztik és helyezik üzembe az új generációs hálózatokat.

Ezzel kapcsolatban szeretném hinni, hogy az 5. generációs hálózatok üzemeltetésének és védelmének nehézségei semmiképpen nem érintik a hétköznapi felhasználókat, akiknek olyan átviteli sebességet és válaszadást ígérnek, mint egy anya barátjának fia, és már alig várják, hogy mindent kipróbáljanak. az új generációs hálózatok deklarált képességeit.

Hasznos Linkek

3GPP specifikációs sorozat
5G biztonsági architektúra
5G rendszerarchitektúra
5G Wiki
Megjegyzések az 5G architektúráról
5G biztonsági áttekintés

Forrás: will.com

Bevezetés az 5G biztonsági architektúrába: NFV, kulcsok és 2 hitelesítés