Tentu saja, mengembangkan standar komunikasi baru tanpa memikirkan mekanisme keamanan adalah upaya yang sangat meragukan dan sia-sia.

Arsitektur Keamanan 5G — seperangkat mekanisme dan prosedur keamanan yang diterapkan di jaringan generasi ke-5 dan mencakup seluruh komponen jaringan, dari inti hingga antarmuka radio.

Jaringan generasi ke-5 pada dasarnya adalah sebuah evolusi Jaringan LTE generasi ke-4. Teknologi akses radio telah mengalami perubahan paling signifikan. Untuk jaringan generasi ke-5, yang baru TIKUS (Teknologi Akses Radio) - 5G Radio Baru. Sedangkan untuk inti jaringannya, belum mengalami perubahan yang signifikan. Dalam hal ini, arsitektur keamanan jaringan 5G telah dikembangkan dengan penekanan pada penggunaan kembali teknologi relevan yang diadopsi dalam standar 4G LTE.

Namun, perlu dicatat bahwa perlu memikirkan kembali ancaman yang diketahui seperti serangan terhadap antarmuka udara dan lapisan persinyalan (pemberian isyarat pesawat), serangan DDOS, serangan Man-In-The-Middle, dll., mendorong operator telekomunikasi untuk mengembangkan standar baru dan mengintegrasikan mekanisme keamanan yang benar-benar baru ke dalam jaringan generasi ke-5.

Предпосылки

Pada tahun 2015, Persatuan Telekomunikasi Internasional menyusun rencana global pertama untuk pengembangan jaringan generasi kelima, itulah sebabnya masalah pengembangan mekanisme dan prosedur keamanan dalam jaringan 5G menjadi sangat akut.

Teknologi baru ini menawarkan kecepatan transfer data yang sangat mengesankan (lebih dari 1 Gbps), latensi kurang dari 1 ms, dan kemampuan untuk menghubungkan sekitar 1 juta perangkat secara bersamaan dalam radius 1 km2. Persyaratan tertinggi untuk jaringan generasi ke-5 juga tercermin dalam prinsip-prinsip organisasinya.

Yang utama adalah desentralisasi, yang berarti penempatan banyak database lokal dan pusat pemrosesannya di pinggiran jaringan. Hal ini memungkinkan untuk meminimalkan penundaan saat M2M-komunikasi dan meringankan inti jaringan karena melayani sejumlah besar perangkat IoT. Oleh karena itu, keunggulan jaringan generasi mendatang diperluas hingga ke stasiun pangkalan, sehingga memungkinkan terciptanya pusat komunikasi lokal dan penyediaan layanan cloud tanpa risiko penundaan kritis atau penolakan layanan. Tentu saja, perubahan pendekatan terhadap jaringan dan layanan pelanggan menarik bagi para penyerang, karena membuka peluang baru bagi mereka untuk menyerang informasi rahasia pengguna dan komponen jaringan itu sendiri untuk menyebabkan penolakan layanan atau menyita sumber daya komputasi operator.

Kerentanan utama jaringan generasi ke-5

Permukaan serangan yang besar

lebihDalam membangun jaringan telekomunikasi generasi ke-3 dan ke-4, operator telekomunikasi biasanya hanya sebatas bekerja sama dengan satu atau beberapa vendor yang langsung memasok seperangkat perangkat keras dan perangkat lunak. Artinya, semuanya bisa berfungsi, seperti yang mereka katakan, "di luar kotak" - cukup dengan menginstal dan mengkonfigurasi peralatan yang dibeli dari vendor; tidak perlu mengganti atau menambah perangkat lunak berpemilik. Tren modern bertentangan dengan pendekatan “klasik” ini dan ditujukan pada virtualisasi jaringan, pendekatan multi-vendor terhadap konstruksinya, dan keragaman perangkat lunak. Teknologi seperti SDN (Jaringan Buatan Perangkat Lunak Bahasa Inggris) dan NFV (Virtualisasi Fungsi Jaringan Bahasa Inggris), yang mengarah pada penyertaan sejumlah besar perangkat lunak yang dibangun berdasarkan kode sumber terbuka dalam proses dan fungsi pengelolaan jaringan komunikasi. Hal ini memberikan peluang bagi penyerang untuk mempelajari jaringan operator dengan lebih baik dan mengidentifikasi lebih banyak kerentanan, yang pada gilirannya meningkatkan permukaan serangan pada jaringan generasi baru dibandingkan dengan jaringan yang ada saat ini.

Sejumlah besar perangkat IoT

lebihPada tahun 2021, sekitar 57% perangkat yang terhubung ke jaringan 5G akan menjadi perangkat IoT. Ini berarti bahwa sebagian besar host memiliki kemampuan kriptografi yang terbatas (lihat poin 2) dan karenanya rentan terhadap serangan. Sejumlah besar perangkat semacam itu akan meningkatkan risiko proliferasi botnet dan memungkinkan serangan DDoS yang lebih kuat dan terdistribusi.

Kemampuan kriptografi perangkat IoT yang terbatas

lebihSeperti yang telah disebutkan, jaringan generasi ke-5 secara aktif menggunakan perangkat periferal, yang memungkinkan untuk menghilangkan sebagian beban dari inti jaringan dan dengan demikian mengurangi latensi. Hal ini diperlukan untuk layanan penting seperti pengendalian kendaraan tak berawak, sistem peringatan darurat IMS dan pihak-pihak lain yang menganggap penundaan yang minimal sangatlah penting karena nyawa manusia bergantung padanya. Karena koneksi sejumlah besar perangkat IoT, yang karena ukurannya yang kecil dan konsumsi daya yang rendah, memiliki sumber daya komputasi yang sangat terbatas, jaringan 5G menjadi rentan terhadap serangan yang bertujuan untuk mencegat kontrol dan manipulasi selanjutnya terhadap perangkat tersebut. Misalnya, mungkin ada skenario di mana perangkat IoT yang merupakan bagian dari sistem terinfeksi"Rumah pintar", jenis malware seperti Ransomware dan ransomware. Skenario mencegat kendali kendaraan tak berawak yang menerima perintah dan informasi navigasi melalui cloud juga dimungkinkan. Secara formal, kerentanan ini disebabkan oleh desentralisasi jaringan generasi baru, namun paragraf berikutnya akan menguraikan masalah desentralisasi dengan lebih jelas.

Desentralisasi dan perluasan batas jaringan

lebihPerangkat periferal, yang berperan sebagai inti jaringan lokal, melakukan perutean lalu lintas pengguna, memproses permintaan, serta caching lokal dan penyimpanan data pengguna. Dengan demikian, batas-batas jaringan generasi ke-5 semakin meluas, selain jaringan inti, hingga ke pinggiran, termasuk basis data lokal dan antarmuka radio 5G-NR (5G New Radio). Hal ini menciptakan peluang untuk menyerang sumber daya komputasi perangkat lokal, yang secara apriori lebih lemah perlindungannya dibandingkan node pusat inti jaringan, dengan tujuan menyebabkan penolakan layanan. Hal ini dapat mengakibatkan terputusnya akses Internet untuk seluruh area, tidak berfungsinya perangkat IoT (misalnya, dalam sistem rumah pintar), serta tidak tersedianya layanan peringatan darurat IMS.

Namun, ETSI dan 3GPP kini telah menerbitkan lebih dari 10 standar yang mencakup berbagai aspek keamanan jaringan 5G. Sebagian besar mekanisme yang dijelaskan di sini bertujuan untuk melindungi terhadap kerentanan (termasuk yang dijelaskan di atas). Salah satu yang utama adalah standar TS 23.501 versi 15.6.0, menjelaskan arsitektur keamanan jaringan generasi ke-5.

arsitektur 5G

Pertama, mari kita lihat prinsip-prinsip utama arsitektur jaringan 5G, yang selanjutnya akan mengungkap sepenuhnya makna dan bidang tanggung jawab setiap modul perangkat lunak dan setiap fungsi keamanan 5G.

• Pembagian node jaringan menjadi elemen-elemen yang memastikan pengoperasian protokol pesawat khusus (dari bahasa Inggris UP - User Plane) dan elemen yang memastikan pengoperasian protokol pesawat kendali (dari bahasa Inggris CP - Control Plane), yang meningkatkan fleksibilitas dalam hal penskalaan dan penyebaran jaringan, mis. penempatan node jaringan komponen individu secara terpusat atau terdesentralisasi dimungkinkan.
• Dukungan mekanisme mengiris jaringan, berdasarkan layanan yang diberikan kepada kelompok pengguna akhir tertentu.
• Implementasi elemen jaringan dalam bentuk fungsi jaringan virtual.
• Dukungan untuk akses simultan ke layanan terpusat dan lokal, yaitu implementasi konsep cloud (dari bahasa Inggris. komputasi kabut) dan perbatasan (dari bahasa Inggris. komputasi tepi) perhitungan.
• Implementasi konvergen arsitektur yang menggabungkan berbagai jenis jaringan akses - 3GPP 5G New Radio dan non-3GPP (Wi-Fi, dll.) - dengan satu inti jaringan.
• Dukungan algoritma dan prosedur otentikasi yang seragam, apa pun jenis jaringan aksesnya.
• Dukungan untuk fungsi jaringan tanpa kewarganegaraan, di mana sumber daya yang dihitung dipisahkan dari penyimpanan sumber daya.
• Dukungan untuk roaming dengan perutean lalu lintas baik melalui jaringan rumah (dari bahasa Inggris home-routed roaming) dan dengan "pendaratan" lokal (dari bahasa Inggris local breakout) di jaringan tamu.
• Interaksi antara fungsi jaringan direpresentasikan dalam dua cara: berorientasi pada layanan и antarmuka.

Konsep keamanan jaringan generasi ke-5 meliputi:

• Otentikasi pengguna dari jaringan.
• Otentikasi jaringan oleh pengguna.
• Negosiasi kunci kriptografi antara jaringan dan peralatan pengguna.
• Enkripsi dan kontrol integritas lalu lintas sinyal.
• Enkripsi dan kontrol integritas lalu lintas pengguna.
• Perlindungan ID Pengguna.
• Melindungi antarmuka antar elemen jaringan yang berbeda sesuai dengan konsep domain keamanan jaringan.
• Isolasi berbagai lapisan mekanisme mengiris jaringan dan menentukan tingkat keamanan masing-masing lapisan.
• Otentikasi pengguna dan perlindungan lalu lintas di tingkat layanan akhir (IMS, IoT, dan lainnya).

Modul perangkat lunak utama dan fitur keamanan jaringan 5G

AMF (dari Fungsi Manajemen Akses & Mobilitas Bahasa Inggris - fungsi manajemen akses dan mobilitas) - menyediakan:

• Organisasi antarmuka bidang kendali.
• Organisasi pertukaran lalu lintas sinyal RRC, enkripsi dan perlindungan integritas datanya.
• Organisasi pertukaran lalu lintas sinyal NAS, enkripsi dan perlindungan integritas datanya.
• Mengelola pendaftaran peralatan pengguna di jaringan dan memantau kemungkinan status pendaftaran.
• Mengelola koneksi peralatan pengguna ke jaringan dan memantau kemungkinan status.
• Mengontrol ketersediaan peralatan pengguna di jaringan dalam status CM-IDLE.
• Manajemen mobilitas peralatan pengguna dalam jaringan dalam keadaan CM-CONNECTED.
• Transmisi pesan singkat antara peralatan pengguna dan SMF.
• Manajemen layanan lokasi.
• Alokasi ID thread EPS untuk berinteraksi dengan EPS.

SMF (Bahasa Inggris: Fungsi Manajemen Sesi - fungsi manajemen sesi) - menyediakan:

• Manajemen sesi komunikasi, yaitu membuat, memodifikasi, dan merilis sesi, termasuk memelihara terowongan antara jaringan akses dan UPF.
• Distribusi dan pengelolaan alamat IP peralatan pengguna.
• Memilih gateway UPF yang akan digunakan.
• Organisasi interaksi dengan PCF.
• Manajemen penegakan kebijakan QoS.
• Konfigurasi dinamis peralatan pengguna menggunakan protokol DHCPv4 dan DHCPv6.
• Memantau pengumpulan data tarif dan mengatur interaksi dengan sistem billing.
• Penyediaan layanan yang lancar (dari bahasa Inggris. SSC - Sesi dan Kontinuitas Layanan).
• Interaksi dengan jaringan tamu dalam roaming.

UPF (Fungsi Bidang Pengguna Bahasa Inggris - fungsi bidang pengguna) - menyediakan:

• Interaksi dengan jaringan data eksternal, termasuk Internet global.
• Merutekan paket pengguna.
• Menandai paket sesuai dengan kebijakan QoS.
• Diagnostik paket pengguna (misalnya, deteksi aplikasi berbasis tanda tangan).
• Memberikan laporan penggunaan lalu lintas.
• UPF juga merupakan titik jangkar untuk mendukung mobilitas baik di dalam maupun di antara teknologi akses radio yang berbeda.

UDM (Manajemen Data Terpadu Bahasa Inggris - database terpadu) - menyediakan:

• Mengelola data profil pengguna, termasuk menyimpan dan mengubah daftar layanan yang tersedia bagi pengguna dan parameter terkait.
• Управление SUPI
• Hasilkan kredensial otentikasi 3GPP AKA.
• Akses otorisasi berdasarkan data profil (misalnya, pembatasan roaming).
• Manajemen pendaftaran pengguna, yaitu penyimpanan layanan AMF.
• Dukungan untuk sesi layanan dan komunikasi yang lancar, yaitu menyimpan SMF yang ditugaskan untuk sesi komunikasi saat ini.
• Manajemen pengiriman SMS.
• Beberapa UDM berbeda dapat melayani pengguna yang sama di berbagai transaksi berbeda.

UDR (Repositori Data Terpadu Bahasa Inggris - penyimpanan data terpadu) - menyediakan penyimpanan berbagai data pengguna dan, pada kenyataannya, merupakan database semua pelanggan jaringan.

UDSF (Fungsi Penyimpanan Data Tidak Terstruktur Bahasa Inggris - fungsi penyimpanan data tidak terstruktur) - memastikan bahwa modul AMF menyimpan konteks pengguna terdaftar saat ini. Secara umum, informasi ini dapat disajikan sebagai data dengan struktur tidak terbatas. Konteks pengguna dapat digunakan untuk memastikan sesi pelanggan lancar dan tidak terputus, baik selama rencana penarikan salah satu AMF dari layanan, dan dalam keadaan darurat. Dalam kedua kasus tersebut, AMF cadangan akan “mengambil” layanan menggunakan konteks yang disimpan dalam USDF.

Menggabungkan UDR dan UDSF pada platform fisik yang sama merupakan implementasi khas dari fungsi jaringan ini.

PCF (Bahasa Inggris: Fungsi Kontrol Kebijakan - fungsi kontrol kebijakan) - membuat dan menetapkan kebijakan layanan tertentu kepada pengguna, termasuk parameter QoS dan aturan pengisian daya. Misalnya, untuk mengirimkan jenis lalu lintas tertentu, saluran virtual dengan karakteristik berbeda dapat dibuat secara dinamis. Pada saat yang sama, persyaratan layanan yang diminta oleh pelanggan, tingkat kemacetan jaringan, jumlah lalu lintas yang dikonsumsi, dll.

NEF (Fungsi Eksposur Jaringan Bahasa Inggris - fungsi eksposur jaringan) - menyediakan:

• Organisasi interaksi yang aman antara platform dan aplikasi eksternal dengan inti jaringan.
• Kelola parameter QoS dan aturan pengisian daya untuk pengguna tertentu.

LAUT (Fungsi Jangkar Keamanan Bahasa Inggris - fungsi keamanan jangkar) - bersama dengan AUSF, menyediakan otentikasi pengguna ketika mereka mendaftar di jaringan dengan teknologi akses apa pun.

AUSF (Fungsi Server Otentikasi Bahasa Inggris - fungsi server otentikasi) - memainkan peran server otentikasi yang menerima dan memproses permintaan dari SEAF dan mengarahkannya ke ARPF.

ARPF (Bahasa Inggris: Authentication Credential Repository and Processing Function - fungsi menyimpan dan memproses kredensial otentikasi) - menyediakan penyimpanan kunci rahasia pribadi (KI) dan parameter algoritma kriptografi, serta pembuatan vektor otentikasi sesuai dengan 5G-AKA atau EAP-AKA. Itu terletak di pusat data operator telekomunikasi rumah, terlindung dari pengaruh fisik eksternal, dan, biasanya, terintegrasi dengan UDM.

SCMF (Fungsi Manajemen Konteks Keamanan Bahasa Inggris - fungsi manajemen konteks keamanan) - Menyediakan manajemen siklus hidup untuk konteks keamanan 5G.

SPCF (Fungsi Kontrol Kebijakan Keamanan Bahasa Inggris - fungsi manajemen kebijakan keamanan) - memastikan koordinasi dan penerapan kebijakan keamanan sehubungan dengan pengguna tertentu. Hal ini mempertimbangkan kemampuan jaringan, kemampuan peralatan pengguna dan persyaratan layanan tertentu (misalnya, tingkat perlindungan yang diberikan oleh layanan komunikasi penting dan layanan akses Internet broadband nirkabel mungkin berbeda). Penerapan kebijakan keamanan meliputi: pemilihan AUSF, pemilihan algoritma otentikasi, pemilihan algoritma enkripsi data dan kontrol integritas, penentuan panjang dan siklus hidup kunci.

SIDF (Fungsi De-concealing Pengidentifikasi Langganan Bahasa Inggris - fungsi ekstraksi pengidentifikasi pengguna) - memastikan ekstraksi pengidentifikasi langganan permanen pelanggan (Supi Bahasa Inggris) dari pengidentifikasi tersembunyi (Bahasa Inggris SUCI), diterima sebagai bagian dari permintaan prosedur autentikasi “Persyaratan Info Otentikasi”.

Persyaratan keamanan dasar untuk jaringan komunikasi 5G

lebihOtentikasi pengguna: Jaringan 5G yang melayani harus mengautentikasi SUPI pengguna dalam proses AKA 5G antara pengguna dan jaringan.

Melayani Otentikasi Jaringan: Pengguna harus mengautentikasi ID jaringan layanan 5G, dengan autentikasi dicapai melalui keberhasilan penggunaan kunci yang diperoleh melalui prosedur 5G AKA.

Otorisasi pengguna: Jaringan yang melayani harus memberi otorisasi kepada pengguna menggunakan profil pengguna yang diterima dari jaringan operator telekomunikasi rumah.

Otorisasi jaringan layanan oleh jaringan operator rumah: Pengguna harus diberikan konfirmasi bahwa ia terhubung ke jaringan layanan yang diberi wewenang oleh jaringan operator rumah untuk menyediakan layanan. Otorisasi bersifat implisit dalam arti dipastikan dengan keberhasilan penyelesaian prosedur 5G AKA.

Otorisasi jaringan akses oleh jaringan operator rumah: Pengguna harus diberikan konfirmasi bahwa ia terhubung ke jaringan akses yang diberi wewenang oleh jaringan operator rumah untuk menyediakan layanan. Otorisasi bersifat implisit dalam arti ditegakkan dengan berhasil membangun keamanan jaringan akses. Jenis otorisasi ini harus digunakan untuk semua jenis jaringan akses.

Layanan darurat yang tidak diautentikasi: Untuk memenuhi persyaratan peraturan di beberapa wilayah, jaringan 5G harus menyediakan akses yang tidak diautentikasi untuk layanan darurat.

Jaringan inti dan jaringan akses radio: Inti jaringan 5G dan jaringan akses radio 5G harus mendukung penggunaan enkripsi 128-bit dan algoritma integritas untuk memastikan keamanan AS и NAS. Antarmuka jaringan harus mendukung kunci enkripsi 256-bit.

Persyaratan keselamatan dasar untuk peralatan pengguna

lebih

• Peralatan pengguna harus mendukung enkripsi, perlindungan integritas, dan perlindungan terhadap serangan replay untuk data pengguna yang dikirimkan antara peralatan tersebut dan jaringan akses radio.
• Peralatan pengguna harus mengaktifkan mekanisme enkripsi dan perlindungan integritas data seperti yang diarahkan oleh jaringan akses radio.
• Peralatan pengguna harus mendukung enkripsi, perlindungan integritas, dan perlindungan terhadap serangan replay untuk lalu lintas sinyal RRC dan NAS.
• Peralatan pengguna harus mendukung algoritma kriptografi berikut: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Peralatan pengguna dapat mendukung algoritma kriptografi berikut: 128-NEA3, 128-NIA3.
• Peralatan pengguna harus mendukung algoritma kriptografi berikut: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 jika mendukung koneksi ke jaringan akses radio E-UTRA.
• Perlindungan kerahasiaan data pengguna yang dikirimkan antara peralatan pengguna dan jaringan akses radio bersifat opsional, namun harus diberikan kapan pun diizinkan oleh peraturan.
• Perlindungan privasi untuk lalu lintas sinyal RRC dan NAS bersifat opsional.
• Kunci permanen pengguna harus dilindungi dan disimpan dalam komponen peralatan pengguna yang diamankan dengan baik.
• Pengidentifikasi langganan permanen pelanggan tidak boleh dikirimkan dalam bentuk teks yang jelas melalui jaringan akses radio kecuali untuk informasi yang diperlukan untuk perutean yang benar (misalnya PKS и MNC).
• Kunci publik jaringan operator rumah, pengidentifikasi kunci, pengidentifikasi skema keamanan, dan pengidentifikasi perutean harus disimpan di USIM.

Setiap algoritma enkripsi dikaitkan dengan bilangan biner:

• "0000": NEA0 - Algoritme penyandian nol
• "0001": 128-NEA1 - 128-bit SALJU Algoritma berbasis 3G
• "0010" 128-NEA2 - 128-bit AES algoritma berbasis
• "0011" 128-NEA3 - 128-bit ZUC algoritma berbasis.

Enkripsi data menggunakan 128-NEA1 dan 128-NEA2

PS Sirkuit ini dipinjam dari TS 133.501

Pembuatan sisipan simulasi dengan algoritma 128-NIA1 dan 128-NIA2 untuk memastikan integritas

PS Sirkuit ini dipinjam dari TS 133.501

Persyaratan keamanan dasar untuk fungsi jaringan 5G

lebih

• AMF harus mendukung otentikasi primer menggunakan SUCI.
• SEAF harus mendukung otentikasi primer menggunakan SUCI.
• UDM dan ARPF harus menyimpan kunci permanen pengguna dan memastikannya terlindungi dari pencurian.
• AUSF hanya akan menyediakan SUPI ke jaringan layanan lokal setelah otentikasi awal berhasil menggunakan SUCI.
• NEF tidak boleh meneruskan informasi jaringan inti yang tersembunyi di luar domain keamanan operator.

Prosedur Keselamatan Dasar

Percayai Domain

Dalam jaringan generasi ke-5, kepercayaan pada elemen jaringan menurun seiring dengan menjauhnya elemen dari inti jaringan. Konsep ini mempengaruhi keputusan yang diterapkan dalam arsitektur keamanan 5G. Dengan demikian, kita dapat berbicara tentang model kepercayaan jaringan 5G yang menentukan perilaku mekanisme keamanan jaringan.

Di sisi pengguna, domain kepercayaan dibentuk oleh UICC dan USIM.

Di sisi jaringan, domain kepercayaan memiliki struktur yang lebih kompleks.

Jaringan akses radio dibagi menjadi dua komponen - DU (dari Unit Terdistribusi Bahasa Inggris - unit jaringan terdistribusi) dan CU (dari Unit Pusat Bahasa Inggris - unit pusat jaringan). Bersama-sama mereka terbentuk gNB — antarmuka radio stasiun pangkalan jaringan 5G. DU tidak memiliki akses langsung ke data pengguna karena mereka dapat diterapkan pada segmen infrastruktur yang tidak terlindungi. CU harus ditempatkan di segmen jaringan yang dilindungi, karena mereka bertanggung jawab untuk menghentikan lalu lintas dari mekanisme keamanan AS. Pada inti jaringan terletak AMF, yang menghentikan lalu lintas dari mekanisme keamanan NAS. Spesifikasi 3GPP 5G Fase 1 saat ini menjelaskan kombinasi tersebut AMF dengan fungsi keselamatan LAUT, berisi kunci root (juga dikenal sebagai "kunci jangkar") dari jaringan yang dikunjungi (melayani). AUSF bertanggung jawab untuk menyimpan kunci yang diperoleh setelah otentikasi berhasil. Hal ini diperlukan untuk digunakan kembali jika pengguna terhubung secara bersamaan ke beberapa jaringan akses radio. ARPF menyimpan kredensial pengguna dan merupakan analog dari USIM untuk pelanggan. UDR и UDM menyimpan informasi pengguna, yang digunakan untuk menentukan logika untuk menghasilkan kredensial, ID pengguna, memastikan kelangsungan sesi, dll.

Hierarki kunci dan skema distribusinya

Di jaringan generasi ke-5, tidak seperti jaringan 4G-LTE, prosedur otentikasi memiliki dua komponen: otentikasi primer dan sekunder. Otentikasi primer diperlukan untuk semua perangkat pengguna yang terhubung ke jaringan. Otentikasi sekunder dapat dilakukan berdasarkan permintaan dari jaringan eksternal, jika pelanggan terhubung ke jaringan tersebut.

Setelah berhasil menyelesaikan otentikasi primer dan pengembangan kunci K bersama antara pengguna dan jaringan, KSEAF diekstraksi dari kunci K - kunci jangkar (root) khusus dari jaringan yang melayani. Selanjutnya, kunci dihasilkan dari kunci ini untuk memastikan kerahasiaan dan integritas data lalu lintas sinyal RRC dan NAS.

Diagram dengan penjelasan
Legenda:
CK Kunci Sandi
IK (Bahasa Inggris: Integrity Key) - kunci yang digunakan dalam mekanisme perlindungan integritas data.
CK' (eng. Cipher Key) - kunci kriptografi lain yang dibuat dari CK untuk mekanisme EAP-AKA.
IK' (Kunci Integritas Bahasa Inggris) - kunci lain yang digunakan dalam mekanisme perlindungan integritas data untuk EAP-AKA.
KAUSF - dihasilkan oleh fungsi ARPF dan peralatan pengguna dari CK и IK selama 5G AKA dan EAP-AKA.
KSEAF - kunci jangkar yang diperoleh fungsi AUSF dari kunci tersebut KAMFAUSF.
KAMF — kunci yang diperoleh fungsi SEAF dari kunci tersebut KSEAF.
KNASint, KNASenc — kunci yang diperoleh fungsi AMF dari kunci tersebut KAMF untuk melindungi lalu lintas sinyal NAS.
KRRCint, KRR Cenc — kunci yang diperoleh fungsi AMF dari kunci tersebut KAMF untuk melindungi lalu lintas sinyal RRC.
KUPint, KUPnc — kunci yang diperoleh fungsi AMF dari kunci tersebut KAMF untuk melindungi lalu lintas sinyal AS.
NH — kunci perantara yang diperoleh fungsi AMF dari kunci tersebut KAMF untuk memastikan keamanan data selama serah terima.
KgNB — kunci yang diperoleh fungsi AMF dari kunci tersebut KAMF untuk menjamin keamanan mekanisme mobilitas.

Skema pembangkitan SUCI dari SUPI dan sebaliknya

Skema perolehan SUPI dan SUCI

Produksi SUCI dari SUPI dan SUPI dari SUCI:

Otentikasi

Otentikasi primer

Dalam jaringan 5G, EAP-AKA dan 5G AKA merupakan mekanisme autentikasi utama standar. Mari kita bagi mekanisme otentikasi utama menjadi dua fase: fase pertama bertanggung jawab untuk memulai otentikasi dan memilih metode otentikasi, fase kedua bertanggung jawab untuk otentikasi timbal balik antara pengguna dan jaringan.

Inisiasi

Pengguna mengajukan permintaan pendaftaran ke SEAF, yang berisi ID langganan tersembunyi pengguna SUCI.

SEAF mengirimkan ke AUSF pesan permintaan otentikasi (Nausf_UEAuthentication_Authenticate Request) yang berisi SNN (Serving Network Name) dan SUPI atau SUCI.

AUSF memeriksa apakah peminta otentikasi SEAF diperbolehkan menggunakan SNN yang diberikan. Jika jaringan yang melayani tidak diizinkan untuk menggunakan SNN ini, maka AUSF akan merespons dengan pesan kesalahan otorisasi “Jaringan yang melayani tidak diotorisasi” (Nausf_UEAuthentication_Authenticate Response).

Kredensial otentikasi diminta oleh AUSF ke UDM, ARPF atau SIDF melalui SUPI atau SUCI dan SNN.

Berdasarkan SUPI atau SUCI dan informasi pengguna, UDM/ARPF memilih metode otentikasi yang akan digunakan berikutnya dan mengeluarkan kredensial pengguna.

Otentikasi Saling

Saat menggunakan metode autentikasi apa pun, fungsi jaringan UDM/ARPF harus menghasilkan vektor autentikasi (AV).

EAP-AKA: UDM/ARPF pertama-tama menghasilkan vektor otentikasi dengan bit pemisah AMF = 1, kemudian menghasilkan CK' и IK' dari CK, IK dan SNN dan merupakan vektor otentikasi AV baru (RAND, AUTN, XRES*, CK', IK'), yang dikirim ke AUSF dengan instruksi untuk menggunakannya hanya untuk EAP-AKA.

5G AKA: UDM/ARPF mendapatkan kuncinya KAUSF dari CK, IK dan SNN, setelah itu menghasilkan 5G HE AV. Vektor Otentikasi Lingkungan Rumah 5G). Vektor otentikasi 5G HE AV (RAND, AUTN, XRES, KAUSF) dikirim ke AUSF dengan instruksi untuk menggunakannya hanya untuk AKA 5G.

Setelah AUSF ini, kunci jangkar diperoleh KSEAF dari kunci KAUSF dan mengirimkan permintaan ke SEAF “Challenge” dalam pesan “Nausf_UEAuthentication_Authenticate Response”, yang juga berisi RAND, AUTN dan RES*. Selanjutnya, RAND dan AUTN dikirimkan ke peralatan pengguna menggunakan pesan sinyal NAS yang aman. USIM pengguna menghitung RES* dari RAND dan AUTN yang diterima dan mengirimkannya ke SEAF. SEAF menyampaikan nilai ini ke AUSF untuk verifikasi.

AUSF membandingkan XRES* yang disimpan di dalamnya dan RES* yang diterima dari pengguna. Jika ada kecocokan, AUSF dan UDM di jaringan asal operator diberitahu tentang otentikasi yang berhasil, dan pengguna serta SEAF secara mandiri membuat kunci. KAMF dari KSEAF dan SUPI untuk komunikasi lebih lanjut.

Otentikasi sekunder

Standar 5G mendukung otentikasi sekunder opsional berdasarkan EAP-AKA antara peralatan pengguna dan jaringan data eksternal. Dalam hal ini, SMF berperan sebagai pengautentikasi EAP dan mengandalkan pekerjaan AAA-server jaringan eksternal yang mengautentikasi dan mengotorisasi pengguna.

• Otentikasi utama wajib pengguna di jaringan rumah terjadi dan konteks keamanan NAS umum dikembangkan dengan AMF.
• Pengguna mengirimkan permintaan ke AMF untuk membuat sesi.
• AMF mengirimkan permintaan untuk membuat sesi ke SMF yang menunjukkan SUPI pengguna.
• SMF memvalidasi kredensial pengguna di UDM menggunakan SUPI yang disediakan.
• SMF mengirimkan tanggapan atas permintaan dari AMF.
• SMF memulai prosedur otentikasi EAP untuk mendapatkan izin membuat sesi dari server AAA di jaringan eksternal. Untuk melakukan ini, SMF dan pengguna bertukar pesan untuk memulai prosedur.
• Pengguna dan server AAA jaringan eksternal kemudian bertukar pesan untuk mengautentikasi dan mengotorisasi pengguna. Dalam hal ini, pengguna mengirimkan pesan ke SMF, yang kemudian bertukar pesan dengan jaringan eksternal melalui UPF.

Kesimpulan

Meskipun arsitektur keamanan 5G didasarkan pada penggunaan kembali teknologi yang sudah ada, hal ini menimbulkan tantangan yang benar-benar baru. Sejumlah besar perangkat IoT, perluasan batas jaringan, dan elemen arsitektur terdesentralisasi hanyalah beberapa prinsip utama standar 5G yang memberikan kebebasan imajinasi para penjahat dunia maya.

Standar inti untuk arsitektur keamanan 5G adalah TS 23.501 versi 15.6.0 — berisi poin-poin penting pengoperasian mekanisme dan prosedur keamanan. Secara khusus, ini menjelaskan peran setiap VNF dalam memastikan perlindungan data pengguna dan node jaringan, dalam menghasilkan kunci kripto dan dalam mengimplementasikan prosedur otentikasi. Namun standar ini pun tidak memberikan jawaban atas masalah keamanan mendesak yang dihadapi operator telekomunikasi seiring dengan semakin intensifnya pengembangan dan pengoperasian jaringan generasi baru.

Dalam hal ini, saya percaya bahwa kesulitan dalam mengoperasikan dan melindungi jaringan generasi ke-5 tidak akan mempengaruhi pengguna biasa, yang dijanjikan kecepatan transmisi dan respons seperti anak dari teman ibu dan sudah bersemangat untuk mencoba semuanya. kemampuan yang dinyatakan dari jaringan generasi baru.

Berguna Link

Seri Spesifikasi 3GPP
Arsitektur keamanan 5G
Arsitektur sistem 5G
Wiki 5G
Catatan arsitektur 5G
Ikhtisar keamanan 5G

Sumber: www.habr.com