Augljóslega er afar vafasöm og tilgangslaus viðleitni að taka að sér þróun nýs samskiptastaðals án þess að hugsa um öryggiskerfi.
5G öryggisarkitektúr — safn af öryggiskerfum og verklagsreglum innleiddar í og nær yfir alla nethluta, frá kjarna til útvarpsviðmóta.
5. kynslóðar netkerfi eru í meginatriðum þróun . Útvarpsaðgangstækni hefur tekið mestum breytingum. Fyrir 5. kynslóðar netkerfi, nýtt (Útvarpsaðgangstækni) - . Hvað varðar kjarna netsins, þá hefur það ekki tekið svo umtalsverðum breytingum. Í þessu sambandi hefur öryggisarkitektúr 5G netkerfa verið þróaður með áherslu á að endurnýta viðeigandi tækni sem samþykkt er í 4G LTE staðlinum.
Hins vegar er rétt að taka fram að endurhugsa þekktar ógnir eins og árásir á loftviðmót og merkjalagið ( flugvél), DDOS árásir, Man-In-The-Middle árásir o.s.frv., urðu til þess að fjarskiptafyrirtæki þróað nýja staðla og samþætta alveg nýja öryggiskerfi í 5. kynslóðar netkerfi.
Forkröfur
Árið 2015 samdi Alþjóðafjarskiptasambandið fyrstu sinnar tegundar alþjóðlegu áætlun um þróun fimmtu kynslóðar netkerfa, sem er ástæðan fyrir því að spurningin um að þróa öryggiskerfi og verklagsreglur í 5G netkerfum hefur orðið sérstaklega bráð.
Nýja tæknin bauð upp á sannarlega glæsilegan gagnaflutningshraða (meira en 1 Gbps), leynd undir 1 ms og getu til að tengja um 1 milljón tækja samtímis innan 1 km2 radíus. Slíkar ströngustu kröfur til 5. kynslóðar netkerfa endurspeglast einnig í meginreglum skipulags þeirra.
Sú helsta var valddreifing, sem fól í sér staðsetningu margra staðbundinna gagnagrunna og vinnslustöðva þeirra á jaðri netkerfisins. Þetta gerði það mögulegt að lágmarka tafir þegar -samskipti og létta á netkjarnanum vegna þjónustu við gríðarlegan fjölda IoT-tækja. Þannig stækkuðu brún næstu kynslóðar netkerfa alla leið til grunnstöðva, sem gerir kleift að búa til staðbundnar samskiptamiðstöðvar og veita skýjaþjónustu án hættu á mikilvægum töfum eða neitun á þjónustu. Auðvitað var breytt nálgun á netkerfi og þjónustu við viðskiptavini áhugaverð fyrir árásarmenn, því hún opnaði ný tækifæri fyrir þá til að ráðast á bæði trúnaðarupplýsingar notenda og nethlutana sjálfa til að valda afneitun á þjónustu eða leggja hald á tölvuauðlindir símafyrirtækisins.
Helstu veikleikar 5. kynslóðar neta
Stórt sóknarflötur
meiraVið smíði fjarskiptaneta af 3. og 4. kynslóð voru fjarskiptafyrirtæki venjulega takmörkuð við að vinna með einum eða fleiri söluaðilum sem útveguðu strax vélbúnað og hugbúnað. Það er, allt gæti virkað, eins og þeir segja, „úr kassanum“ - það var nóg að setja upp og stilla búnaðinn sem keyptur var af seljanda; það var engin þörf á að skipta um eða bæta við sérhugbúnað. Nútímastraumar ganga þvert á þessa „klassísku“ nálgun og miða að sýndarvæðingu netkerfa, nálgun margra framleiðenda á byggingu þeirra og fjölbreytileika hugbúnaðar. Tækni eins og (Enskt hugbúnaðarskilgreint net) og (English Network Functions Virtualization), sem leiðir til þess að gríðarlegt magn hugbúnaðar sem byggður er á grundvelli opins frumkóða er tekinn inn í ferla og aðgerðir við stjórnun samskiptaneta. Þetta gefur árásarmönnum tækifæri til að rannsaka betur net símafyrirtækisins og bera kennsl á fleiri veikleika, sem aftur eykur árásaryfirborð nýrrar kynslóðar neta samanborið við núverandi.
Mikill fjöldi IoT-tækja
meiraÁrið 2021 verða um 57% tækja tengd 5G netum IoT tæki. Þetta þýðir að flestir gestgjafar munu hafa takmarkaða dulritunargetu (sjá lið 2) og verða því viðkvæmir fyrir árásum. Mikill fjöldi slíkra tækja mun auka hættuna á útbreiðslu botnets og gera það mögulegt að framkvæma enn öflugri og dreifðari DDoS árásir.
Takmörkuð dulmálsgeta IoT tækja
meiraEins og áður hefur komið fram nota 5. kynslóðar netkerfi virkan jaðartæki sem gera það mögulegt að fjarlægja hluta af álaginu úr netkjarnanum og draga þannig úr leynd. Þetta er nauðsynlegt fyrir svo mikilvæga þjónustu eins og eftirlit með ómönnuðum farartækjum, neyðarviðvörunarkerfi og aðrir, fyrir hverja að tryggja lágmarks töf er mikilvægt, vegna þess að mannslíf er háð því. Vegna tengingar fjölda IoT-tækja, sem vegna smæðar sinnar og lítillar orkunotkunar hafa mjög takmarkaða tölvuauðlindir, verða 5G net viðkvæm fyrir árásum sem miða að því að stöðva stjórn og síðari meðferð á slíkum tækjum. Til dæmis geta verið aðstæður þar sem IoT tæki sem eru hluti af kerfinu eru sýkt "", tegundir spilliforrita eins og . Sviðsmyndir þar sem hægt er að stöðva stjórn á mannlausum farartækjum sem taka við skipunum og leiðsöguupplýsingum í gegnum skýið eru einnig mögulegar. Formlega er þetta varnarleysi vegna valddreifingar á nýrri kynslóð netkerfa, en í næstu málsgrein verður vandinn við valddreifingu lýst betur.
Valddreifing og stækkun netamarka
meiraJaðartæki, sem gegna hlutverki staðbundinna netkjarna, annast leiðsögn notendaumferðar, vinnsla beiðna, svo og staðbundin skyndiminni og geymsla notendagagna. Þannig eru mörk 5. kynslóðar netkerfa að stækka, auk kjarnans, út á jaðarinn, þar á meðal staðbundna gagnagrunna og 5G-NR (5G New Radio) útvarpsviðmót. Þetta skapar tækifæri til að ráðast á tölvuauðlindir staðbundinna tækja, sem eru a priori veikari vernduð en miðlægir hnútar netkjarnans, með það að markmiði að valda afneitun á þjónustu. Þetta getur leitt til þess að netaðgangur verði aftengdur fyrir heil svæði, rangrar virkni IoT-tækja (til dæmis í snjallheimakerfi), auk þess að IMS neyðarviðvörunarþjónustan sé ekki tiltæk.
Hins vegar hafa ETSI og 3GPP nú gefið út meira en 10 staðla sem ná yfir ýmsa þætti 5G netöryggis. Mikill meirihluti aðferðanna sem lýst er þar miðar að því að verjast veikleikum (þar á meðal þeim sem lýst er hér að ofan). Einn af þeim helstu er staðallinn , sem lýsir öryggisarkitektúr 5. kynslóðar netkerfa.
5G arkitektúr
Í fyrsta lagi skulum við snúa okkur að helstu meginreglum 5G netarkitektúrs, sem mun frekar afhjúpa merkingu og ábyrgðarsvið hverrar hugbúnaðareiningar og hverrar 5G öryggisaðgerðar.
- Skipting nethnúta í þætti sem tryggja virkni samskiptareglur (frá ensku UP - User Plane) og þættir sem tryggja virkni samskiptareglur (frá ensku CP - Control Plane), sem eykur sveigjanleika hvað varðar stærðarstærð og dreifingu netsins, þ.e.a.s. miðstýrð eða dreifð staðsetning einstakra nethnúta íhluta er möguleg.
- Stuðningur við vélbúnað , byggt á þeirri þjónustu sem veitt er tilteknum hópum endanotenda.
- Innleiðing netþátta í formi .
- Stuðningur við samtímis aðgang að miðlægri og staðbundinni þjónustu, þ.e. innleiðingu á skýjahugtökum (úr ensku. ) og landamæri (úr ensku. ) útreikningum.
- Framkvæmd arkitektúr sem sameinar mismunandi gerðir aðgangsneta - 3GPP 5G Nýtt útvarp og (Wi-Fi osfrv.) - með einum netkjarna.
- Stuðningur við samræmda reiknirit og auðkenningaraðferðir, óháð tegund aðgangsnets.
- Stuðningur við ríkisfangslausar netaðgerðir, þar sem reiknuð auðlind er aðskilin frá auðlindageymslunni.
- Stuðningur við reiki með umferðarleiðsögn bæði í gegnum heimanetið (frá ensku heimareiki) og með staðbundinni „lendingu“ (frá ensku staðbundnu broti) í gestanetinu.
- Samspil netaðgerða er táknað á tvo vegu: и .
5. kynslóð netöryggishugmyndarinnar inniheldur:
- Notendavottun frá netinu.
- Netsvottun af notanda.
- Samningaviðræður um dulmálslykla milli netkerfisins og notendabúnaðar.
- Dulkóðun og heilleikastýring merkjaumferðar.
- Dulkóðun og stjórn á heilleika notendaumferðar.
- User ID vernd.
- Að vernda tengi milli mismunandi netþátta í samræmi við hugmyndina um netöryggislén.
- Einangrun mismunandi laga vélbúnaðarins og skilgreina eigin öryggisstig hvers lags.
- Notendavottun og umferðarvernd á stigi lokaþjónustu (IMS, IoT og fleiri).
Lykilhugbúnaðareiningar og 5G netöryggisaðgerðir
AMF (frá ensku Access & Mobility Management Function - aðgangs- og hreyfanleikastjórnunaraðgerð) - veitir:
- Skipulag viðmóta stjórnplana.
- Skipulag merkjaumferðarskipta , dulkóðun og verndun heilleika gagna þess.
- Skipulag merkjaumferðarskipta , dulkóðun og verndun heilleika gagna þess.
- Umsjón með skráningu notendabúnaðar á netinu og eftirlit með mögulegum skráningarástandum.
- Umsjón með tengingu notendabúnaðar við netið og eftirlit með mögulegum stöðum.
- Stjórna framboði notendabúnaðar á netinu í CM-IDLE ástandinu.
- Hreyfanleikastjórnun notendabúnaðar á netinu í CM-CONNECTED ástandinu.
- Sending smáskilaboða milli notendabúnaðar og SMF.
- Stjórnun staðsetningarþjónustu.
- Úthlutun þráðaauðkennis til að hafa samskipti við EPS.
SMF (Enska: Session Management Function - lotustjórnunaraðgerð) - veitir:
- Stjórnun samskiptalota, þ.
- Dreifing og umsjón með IP tölum notendabúnaðar.
- Að velja UPF gáttina sem á að nota.
- Skipulag samskipta við PCF.
- Framfylgd stefnu .
- Dynamisk uppsetning notendabúnaðar með því að nota DHCPv4 og DHCPv6 samskiptareglur.
- Eftirlit með söfnun gjaldskrárgagna og skipuleggja samskipti við innheimtukerfið.
- Óaðfinnanlegur þjónustuveiting (úr ensku. ).
- Samskipti við gestanet innan ramma reiki.
UPF (Ensk User Plane Function - User Plane Function) - veitir:
- Samskipti við ytri gagnanet, þar á meðal alheimsnetið.
- Beining notendapakka.
- Merking pakka í samræmi við QoS reglur.
- Greining notendapakka (til dæmis uppgötvun forrita sem byggir á undirskriftum).
- Útvega skýrslur um umferðarnotkun.
- UPF er einnig akkerispunktur til að styðja við hreyfanleika bæði innan og milli mismunandi útvarpsaðgangstækni.
UDM (Ensk sameinuð gagnastjórnun - sameinað gagnagrunnur) - veitir:
- Umsjón með notendaprófílgögnum, þar með talið að geyma og breyta listanum yfir þjónustu sem er í boði fyrir notendur og samsvarandi færibreytur þeirra.
- Stjórnskipulag
- Búðu til 3GPP auðkenningarskilríki .
- Aðgangsheimild byggð á prófílgögnum (til dæmis reikitakmarkanir).
- Umsjón notendaskráningar, þ.
- Stuðningur við óaðfinnanlega þjónustu- og samskiptalotur, þ.e.a.s. að geyma SMF sem úthlutað er á núverandi samskiptalotu.
- SMS sendingarstjórnun.
- Nokkrir mismunandi UDM geta þjónað sama notanda í mismunandi viðskiptum.
UDR (English Unified Data Repository - geymsla á sameinuðum gögnum) - veitir geymslu á ýmsum notendagögnum og er í raun gagnagrunnur allra netáskrifenda.
UDSF (Ensk ómótað gagnageymsluaðgerð - ómótað gagnageymsluaðgerð) - tryggir að AMF einingar vista núverandi samhengi skráðra notenda. Almennt séð er hægt að setja þessar upplýsingar fram sem gögn með óákveðna uppbyggingu. Notendasamhengi er hægt að nota til að tryggja hnökralausa og óslitna áskrifendalotu, bæði meðan á fyrirhugaðri afturköllun eins af AMFs stendur úr þjónustunni og ef neyðarástand kemur upp. Í báðum tilfellum mun AMF öryggisafritið „sækja“ þjónustuna með því að nota samhengi sem er geymt í USDF.
Að sameina UDR og UDSF á sama líkamlega vettvangi er dæmigerð útfærsla á þessum netaðgerðum.
PCF (Enska: Policy Control Function - policy control function) - býr til og úthlutar ákveðnum þjónustustefnu til notenda, þar á meðal QoS breytur og gjaldtökureglur. Til dæmis, til að senda eina eða aðra tegund af umferð, er hægt að búa til sýndarrásir með mismunandi eiginleika á kraftmikinn hátt. Jafnframt er hægt að taka mið af kröfum þeirrar þjónustu sem áskrifandinn óskar eftir, hversu nettengd er, magn umferðar sem neytt er o.s.frv.
NEF (Ensk netútsetningaraðgerð - netútsetningaraðgerð) - veitir:
- Skipulag öruggra samskipta utanaðkomandi vettvanga og forrita við netkjarna.
- Hafa umsjón með QoS breytum og hleðslureglum fyrir tiltekna notendur.
SEAF (English Security Anchor Function - akkeri öryggisaðgerð) - ásamt AUSF, veitir auðkenningu notenda þegar þeir skrá sig á netið með hvaða aðgangstækni sem er.
AUSF (English Authentication Server Function - Authentication Server function) - gegnir hlutverki auðkenningarþjóns sem tekur á móti og vinnur úr beiðnum frá SEAF og vísar þeim til ARPF.
ARPF (Enska: Authentication Credential Repository and Processing Function - aðgerð til að geyma og vinna úr auðkenningarskilríkjum) - veitir geymslu á persónulegum leynilyklum (KI) og færibreytum dulritunaralgríma, svo og myndun auðkenningarvigra í samræmi við 5G-AKA eða -AKA. Það er staðsett í gagnaveri heimasímafyrirtækisins, varið fyrir ytri líkamlegum áhrifum, og er að jafnaði samþætt við UDM.
SCMF (Ensk öryggissamhengisstjórnunaraðgerð - stjórnunaraðgerð ) - Veitir líftímastjórnun fyrir 5G öryggissamhengi.
SPCF (English Security Policy Control Function - öryggisstefnustjórnunaraðgerð) - tryggir samhæfingu og beitingu öryggisstefnu í tengslum við tiltekna notendur. Þetta tekur tillit til getu netkerfisins, getu notendabúnaðar og krafna tiltekinnar þjónustu (td verndarstig mikilvægra fjarskiptaþjónustunnar og þráðlauss breiðbandsnetaðgangsþjónustu getur verið mismunandi). Notkun öryggisstefnu felur í sér: val á AUSF, val á auðkenningaralgrími, val á dulkóðun gagna og heilleikastýringaralgrími, ákvörðun á lengd og líftíma lykla.
SIDF (English Subscription Identifier De-concealing Function - útdráttaraðgerð notendaauðkennis) - tryggir útdrátt varanlegs áskriftaauðkennis áskrifanda (enska SUPI) úr falnu auðkenni (enska ), móttekin sem hluti af auðkenningarferlisbeiðninni „Auth Info Req“.
Grunnöryggiskröfur fyrir 5G samskiptanet
meiraAuðkenning notenda: 5G netið sem þjónar verður að auðkenna SUPI notandans í 5G AKA ferlinu milli notandans og netsins.
Að þjóna netauðkenningu: Notandinn verður að sannvotta auðkenni 5G þjónustunetsins, með auðkenningu sem næst með farsælli notkun lykla sem fæst með 5G AKA ferlinu.
Notendaheimild: Þjónustunetið verður að heimila notandanum með því að nota notandasniðið sem berast frá netkerfi heimasímafyrirtækisins.
Heimild á þjónustuneti frá heimaneti: Veita þarf notanda staðfestingu á því að hann sé tengdur við þjónustukerfi sem hefur heimild heimanets til að veita þjónustu. Heimild er óbein í þeim skilningi að hún er tryggð með því að 5G AKA málsmeðferðinni sé lokið.
Heimild heimanets fyrir aðgangsnetið: Veita þarf notanda staðfestingu á því að hann sé tengdur aðgangsneti sem hefur heimild heimanets til að veita þjónustu. Heimild er óbein í þeim skilningi að henni er framfylgt með því að koma á öryggi aðgangsnetsins með góðum árangri. Þessa tegund heimildar verður að nota fyrir hvers kyns aðgangsnet.
Óstaðfest neyðarþjónusta: Til að uppfylla reglugerðarkröfur á sumum svæðum verða 5G netkerfi að veita óstaðfestan aðgang fyrir neyðarþjónustu.
Netkjarna og útvarpsaðgangsnet: 5G netkjarna og 5G útvarpsaðgangsnet verða að styðja notkun 128 bita dulkóðunar og heilleika reiknirit til að tryggja öryggi и . Netviðmót verða að styðja 256 bita dulkóðunarlykla.
Grunnöryggiskröfur fyrir notendabúnað
meira
- Notendabúnaðurinn verður að styðja dulkóðun, heilleikavernd og vernd gegn endurspilunarárásum fyrir notendagögn sem send eru á milli hans og útvarpsaðgangsnetsins.
- Notendabúnaðurinn verður að virkja dulkóðun og verndarkerfi gagnaheilleika samkvæmt leiðbeiningum útvarpsaðgangsnetsins.
- Notendabúnaður verður að styðja dulkóðun, heilleikavernd og vörn gegn endurspilunarárásum fyrir RRC og NAS merkjaumferð.
- Notendabúnaður verður að styðja eftirfarandi dulritunaralgrím: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
- Notendabúnaður getur stutt eftirfarandi dulritunaralgrím: 128-NEA3, 128-NIA3.
- Notendabúnaður verður að styðja eftirfarandi dulritunaralgrím: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 ef hann styður tengingu við E-UTRA radíóaðgangsnetið.
- Verndun á trúnaði notendagagna sem send eru á milli notendabúnaðar og útvarpsaðgangskerfis er valkvæð, en verður að vera veitt hvenær sem leyfir samkvæmt reglugerð.
- Persónuvernd fyrir RRC og NAS merkjaumferð er valfrjáls.
- Varanlegur lykill notandans verður að vera varinn og geymdur í vel tryggðum íhlutum notendabúnaðarins.
- Varanlegt áskriftaauðkenni áskrifanda ætti ekki að senda í skýrum texta yfir útvarpsaðgangsnetið nema fyrir upplýsingar sem nauðsynlegar eru fyrir rétta leið (td. и ).
- Almenna netkerfislykil símafyrirtækisins, lykilauðkenni, auðkenni öryggiskerfis og leiðarauðkenni verður að geyma í .
Hvert dulkóðunaralgrím er tengt við tvöfalda tölu:
- "0000": NEA0 - Núlldulkóðunaralgrím
- "0001": 128-NEA1 - 128-bita 3G byggt reiknirit
- "0010" 128-NEA2 - 128-bita byggt reiknirit
- "0011" 128-NEA3 - 128-bita byggt reiknirit.
Gagna dulkóðun með 128-NEA1 og 128-NEA2
PS Hringrásin er fengin að láni frá
Myndun herma innskots með reikniritum 128-NIA1 og 128-NIA2 til að tryggja heilleika
PS Hringrásin er fengin að láni frá
Grunnöryggiskröfur fyrir 5G netaðgerðir
meira
- AMF verður að styðja aðal auðkenningu með SUCI.
- SEAF verður að styðja aðal auðkenningu með SUCI.
- UDM og ARPF verða að geyma varanlegan lykil notandans og tryggja að hann sé varinn gegn þjófnaði.
- AUSF skal aðeins veita SUPI til staðarnetsins við upphaflega auðkenningu með því að nota SUCI.
- NEF má ekki framsenda faldar grunnnetsupplýsingar utan öryggisléns rekstraraðila.
Grunnöryggisaðferðir
Treystu lénum
Í 5. kynslóðar netkerfum minnkar traust á netþáttum eftir því sem þættir fjarlægast netkjarna. Þetta hugtak hefur áhrif á ákvarðanir sem framkvæmdar eru í 5G öryggisarkitektúrnum. Þannig getum við talað um traustlíkan af 5G netkerfum sem ákvarðar hegðun netöryggiskerfa.
Á notendahliðinni er traustlénið myndað af UICC og USIM.
Á nethliðinni hefur traustlénið flóknari uppbyggingu.
Útvarpsaðgangsnetið skiptist í tvo þætti - DU (frá ensku Distributed Units - distributed network units) og CU (frá ensku Central Units - Central Units of the network). Saman mynda þau gNB — útvarpsviðmót grunnstöðvar 5G netkerfisins. DUs hafa ekki beinan aðgang að notendagögnum þar sem hægt er að dreifa þeim á óvarða innviðahluta. CU verður að vera dreift í vernduðum nethlutum, þar sem þeir eru ábyrgir fyrir því að stöðva umferð frá AS öryggiskerfi. Kjarni netsins er staðsettur AMF, sem stöðvar umferð frá NAS öryggiskerfi. Núverandi 3GPP 5G Phase 1 forskrift lýsir samsetningunni AMF með öryggisaðgerð SEAF, sem inniheldur rótarlykil (einnig þekktur sem „akkerislykill“) á heimsótta (þjónustu) netkerfisins. AUSF ber ábyrgð á að geyma lykilinn sem fæst eftir að auðkenningin hefur tekist. Nauðsynlegt er fyrir endurnotkun í þeim tilfellum þar sem notandi er samtímis tengdur nokkrum útvarpsaðgangsnetum. ARPF geymir notendaskilríki og er hliðstæða USIM fyrir áskrifendur. UDR и UDM geyma notendaupplýsingar, sem eru notaðar til að ákvarða rökfræði til að búa til skilríki, notendaauðkenni, tryggja samfellu setu o.s.frv.
Stigveldi lykla og dreifingarkerfi þeirra
Í 5. kynslóðar netkerfum, ólíkt 4G-LTE netkerfum, hefur auðkenningarferlið tvo þætti: aðal og auka auðkenningu. Aðalauðkenning er nauðsynleg fyrir öll notendatæki sem tengjast netinu. Auka auðkenning er hægt að framkvæma sé þess óskað frá ytri netkerfum, ef áskrifandinn tengist þeim.
Eftir árangursríka lokun á aðal auðkenningu og þróun sameiginlegs lykils K á milli notandans og netsins, er KSEAF dreginn út úr lykli K - sérstökum akkerislykli (rótar) lykli þjónustunetsins. Í kjölfarið eru lyklar búnir til úr þessum lykli til að tryggja trúnað og heilleika RRC og NAS merkjaumferðargagna.
Skýringarmynd með skýringum
Tilnefningar:
CK Dulmálslykill
IK (Enska: Integrity Key) - lykill sem notaður er í gagnaverndarkerfi.
CK' (eng. Cipher Key) - annar dulmálslykill búinn til úr CK fyrir EAP-AKA vélbúnaðinn.
IK' (English Integrity Key) - annar lykill sem notaður er í gagnaverndarkerfi fyrir EAP-AKA.
KAUSF - myndaður af ARPF aðgerðinni og notendabúnaði frá CK и IK á 5G AKA og EAP-AKA.
KSEAF - akkerislykill fengin með AUSF aðgerðinni frá lyklinum KAMFAUSF.
KAMF — lykillinn sem SEAF-aðgerðin fæst úr lyklinum KSEAF.
KNASint, KNASenc — takkar fengnir með AMF aðgerðinni frá takkanum KAMF til að vernda NAS merkjaumferð.
KRRCint, KRRCenc — takkar fengnir með AMF aðgerðinni frá takkanum KAMF til að vernda RRC merkjaumferð.
KUPint, KUPenc — takkar fengnir með AMF aðgerðinni frá takkanum KAMF til að vernda AS-merkjaumferð.
NH — millilykill sem fæst með AMF aðgerðinni frá takkanum KAMF til að tryggja gagnaöryggi við afhendingu.
KgNB — lykillinn sem AMF aðgerðin fæst með takkanum KAMF til að tryggja öryggi hreyfanleikabúnaðar.
Kerfi til að búa til SUCI frá SUPI og öfugt
Kerfi til að fá SUPI og SUCI
Framleiðsla á SUCI frá SUPI og SUPI frá SUCI:
Auðkenning
Aðal auðkenning
Í 5G netkerfum eru EAP-AKA og 5G AKA staðlaðar aðal auðkenningaraðferðir. Við skulum skipta aðal auðkenningarkerfi í tvo áfanga: sá fyrsti er ábyrgur fyrir að hefja auðkenningu og velja auðkenningaraðferð, hinn er ábyrgur fyrir gagnkvæmri auðkenningu milli notandans og netsins.
Upphaf
Notandinn sendir inn skráningarbeiðni til SEAF sem inniheldur falið áskriftarkenni notandans SUCI.
SEAF sendir til AUSF auðkenningarbeiðniskilaboð (Nausf_UEAuthentication_Authenticate Request) sem inniheldur SNN (Serving Network Name) og SUPI eða SUCI.
AUSF athugar hvort SEAF auðkenningsbeiðanda sé heimilt að nota tiltekið SNN. Ef þjónustunetið hefur ekki heimild til að nota þetta SNN, þá svarar AUSF með heimildarvilluskilaboðum „Serving network not authorized“ (Nausf_UEAuthentication_Authenticate Response).
AUSF biður um auðkenningarskilríki til UDM, ARPF eða SIDF í gegnum SUPI eða SUCI og SNN.
Byggt á SUPI eða SUCI og notendaupplýsingum velur UDM/ARPF auðkenningaraðferðina til að nota næst og gefur út skilríki notandans.
Gagnkvæm auðkenning
Þegar einhver auðkenningaraðferð er notuð verða UDM/ARPF netaðgerðirnar að búa til auðkenningarvigur (AV).
EAP-AKA: UDM/ARPF býr fyrst til auðkenningarvigur með aðskilnaðarbita AMF = 1, myndar síðan CK' и IK' á CK, IK og SNN og myndar nýjan AV auðkenningarvigur (RAND, AUTN, XRES*, CK', IK'), sem er sent til AUSF með leiðbeiningum um að nota það aðeins fyrir EAP-AKA.
5G AKA: UDM/ARPF fær lykilinn KAUSF á CK, IK og SNN, eftir það býr það til 5G HE AV. 5G Authentication Vector fyrir heimilisumhverfi). 5G HE AV auðkenningarvektor (RAND, AUTN, XRES, KAUSF) er sent til AUSF með leiðbeiningum um að nota það fyrir 5G eingöngu AKA.
Eftir þetta AUSF er akkerislykillinn fengin KSEAF frá lyklinum KAUSF og sendir beiðni til SEAF „Challenge“ í skilaboðunum „Nausf_UEAuthentication_Authenticate Response“, sem inniheldur einnig RAND, AUTN og RES*. Næst eru RAND og AUTN send til notendabúnaðarins með því að nota örugg NAS merkjaskilaboð. USIM notandans reiknar RES* út frá mótteknu RAND og AUTN og sendir það til SEAF. SEAF sendir þetta gildi til AUSF til staðfestingar.
AUSF ber saman XRES* sem er geymt í því og RES* sem berast frá notandanum. Ef það er samsvörun er AUSF og UDM í heimaneti símafyrirtækisins tilkynnt um árangursríka auðkenningu og notandinn og SEAF búa sjálfstætt til lykil KAMF á KSEAF og SUPI til frekari samskipta.
Auka auðkenning
5G staðallinn styður valfrjálsa auka auðkenningu byggða á EAP-AKA milli notendabúnaðar og ytra gagnanets. Í þessu tilviki gegnir SMF hlutverki EAP auðkenningar og treystir á verkið -ytri netþjónn sem auðkennir og leyfir notandanum.
- Lögboðin fyrstu auðkenning notenda á heimanetinu á sér stað og sameiginlegt NAS öryggissamhengi er þróað með AMF.
- Notandinn sendir beiðni til AMF um að koma á setu.
- AMF sendir beiðni um að koma á setu til SMF sem gefur til kynna SUPI notandans.
- SMF staðfestir skilríki notandans í UDM með því að nota SUPI.
- SMF sendir svar við beiðni frá AMF.
- SMF byrjar EAP auðkenningarferli til að fá leyfi til að koma á setu frá AAA þjóninum á ytra neti. Til að gera þetta skiptast SMF og notandinn á skilaboðum til að hefja málsmeðferðina.
- Notandinn og ytri net AAA netþjónninn skiptast síðan á skilaboðum til að auðkenna og heimila notandann. Í þessu tilviki sendir notandinn skilaboð til SMF, sem aftur skiptir á skilaboðum við ytra netið í gegnum UPF.
Ályktun
Þrátt fyrir að 5G öryggisarkitektúrinn sé byggður á endurnýtingu núverandi tækni, þá skapar hann alveg nýjar áskoranir. Mikill fjöldi IoT-tækja, stækkuð netmörk og dreifðir arkitektúrþættir eru aðeins nokkrar af lykilreglunum í 5G staðlinum sem gefa ímyndunarafli netglæpamanna lausan tauminn.
Kjarnastaðallinn fyrir 5G öryggisarkitektúr er — inniheldur lykilatriði í notkun öryggiskerfa og verklagsreglur. Sérstaklega lýsir það hlutverki hvers VNF við að tryggja vernd notendagagna og nethnúta, við að búa til dulmálslykla og við að innleiða auðkenningarferlið. En jafnvel þessi staðall veitir ekki svör við brýnum öryggisvandamálum sem oftar standa frammi fyrir fjarskiptafyrirtækjum eftir því sem ný kynslóð net er þróað og tekin í notkun.
Í þessu sambandi vil ég trúa því að erfiðleikarnir við rekstur og vernd 5. kynslóðar netkerfa muni á engan hátt hafa áhrif á venjulega notendur, sem er lofað sendingarhraða og svörun eins og sonur vinkonu móður og eru nú þegar fús til að prófa alla yfirlýst getu nýrrar kynslóðar neta.
gagnlegir krækjur
Heimild: www.habr.com