明らかに、セキュリティメカニズムを考慮せずに新しい通信標準の開発に取り組むことは、非常に疑わしく、無駄な取り組みです。

5Gセキュリティアーキテクチャ — に実装された一連のセキュリティメカニズムと手順。 第5世代ネットワーク コアから無線インターフェイスに至るまで、すべてのネットワーク コンポーネントをカバーします。

第 5 世代ネットワークは本質的には進化です 第4世代LTEネットワーク。 無線アクセス技術は最も大きな変化を遂げています。 第 5 世代ネットワークの場合、新しい RAT (無線アクセス技術) - 5G ニューラジオ。 ネットワークのコアに関しては、それほど大きな変更は受けていません。 この点において、5G ネットワークのセキュリティ アーキテクチャは、4G LTE 標準で採用されている関連技術の再利用に重点を置いて開発されています。

ただし、エア インターフェイスやシグナリング層に対する攻撃などの既知の脅威を再考することは注目に値します (シグナル伝達 飛行機)、DDOS 攻撃、中間者攻撃などにより、通信事業者は新しい標準を開発し、まったく新しいセキュリティ メカニズムを第 5 世代ネットワークに統合する必要がありました。

前提条件

2015 年に、国際電気通信連合は、第 5 世代ネットワークの開発に関するこの種の初の世界計画を策定しました。そのため、XNUMXG ネットワークにおけるセキュリティのメカニズムと手順の開発の問題が特に深刻になっています。

この新しいテクノロジーは、非常に優れたデータ転送速度 (1 Gbps 以上)、1 ミリ秒未満の遅延、および半径 1 km1 以内で約 2 万台のデバイスを同時に接続できる機能を提供しました。 第 5 世代ネットワークに対するこのような最高の要件は、その組織の原則にも反映されています。

主なものは分散化で、これは多くのローカル データベースとその処理センターをネットワークの周辺部に配置することを意味します。 これにより、次のような場合の遅延を最小限に抑えることが可能になりました。 M2M-通信を強化し、膨大な数の IoT デバイスのサービスに伴うネットワーク コアを軽減します。 したがって、次世代ネットワークのエッジは基地局にまで拡張され、重大な遅延やサービス拒否のリスクを伴うことなく、ローカル通信センターの構築とクラウド サービスの提供が可能になりました。 当然のことながら、ネットワーキングと顧客サービスへの変更されたアプローチは、攻撃者にとって興味深いものでした。なぜなら、サービス妨害を引き起こしたり、オペレーターのコンピューティング リソースを占有したりするために、ユーザーの機密情報とネットワーク コンポーネント自体の両方を攻撃する新たな機会が開かれたからです。

第5世代ネットワークの主な脆弱性

広い攻撃対象領域

もっと第 3 世代および第 4 世代の通信ネットワークを構築する場合、通信事業者は通常、ハードウェアとソフトウェアのセットを即座に供給する XNUMX つまたは複数のベンダーと協力することに限定されていました。 つまり、よく言われるように、すべてが「箱から出して」動作する可能性があります。ベンダーから購入した機器をインストールして設定するだけで十分でした。 独自のソフトウェアを置き換えたり補足したりする必要はありませんでした。 最新のトレンドは、この「古典的な」アプローチに反しており、ネットワークの仮想化、その構築とソフトウェアの多様性に対するマルチベンダー アプローチを目指しています。 などの技術 SDN (英語の Software Defined Network) および NFV これは、通信ネットワークを管理するプロセスと機能に、オープン ソース コードに基づいて構築された膨大な量のソフトウェアを組み込むことになります。 これにより、攻撃者は通信事業者のネットワークをより詳しく調査し、より多くの脆弱性を特定する機会が得られ、その結果、現在のネットワークと比較して新世代のネットワークの攻撃対象領域が増加します。

多数のIoTデバイス

もっと2021 年までに、57G ネットワークに接続されるデバイスの約 5% が IoT デバイスになるでしょう。 これは、ほとんどのホストの暗号化機能が制限されているため (ポイント 2 を参照)、攻撃に対して脆弱になることを意味します。 このようなデバイスの数が膨大になると、ボットネットの蔓延のリスクが高まり、より強力な分散型 DDoS 攻撃の実行が可能になります。

IoT デバイスの暗号化機能には制限がある

もっとすでに述べたように、第 5 世代ネットワークでは周辺デバイスを積極的に使用することで、ネットワーク コアから負荷の一部を取り除くことが可能となり、遅延が削減されます。 これは、無人車両の制御、緊急警報システムなどの重要なサービスに必要です IMS 人命がかかっているため、遅延を最小限に抑えることが重要な人々もいます。 多数の IoT デバイスが接続されているが、サイズが小さく消費電力が低いため、コンピューティング リソースが非常に限られているため、5G ネットワークは、そのようなデバイスの制御の傍受とその後の操作を目的とした攻撃に対して脆弱になります。 たとえば、システムの一部である IoT デバイスが感染するシナリオが考えられます。」スマートホーム」、次のようなマルウェアの種類 ランサムウェアとランサムウェア。 クラウド経由でコマンドやナビゲーション情報を受信する無人車両の制御を傍受するシナリオも可能です。 形式的には、この脆弱性は新世代ネットワークの分散化が原因ですが、次の段落で分散化の問題についてより明確に概説します。

分散化とネットワーク境界の拡大

もっとローカル ネットワーク コアの役割を果たす周辺デバイスは、ユーザー トラフィックのルーティング、リクエストの処理、およびユーザー データのローカル キャッシュとストレージを実行します。 したがって、第 5 世代ネットワークの境界は、コアに加えて、ローカル データベースや 5G-NR (5G New Radio) 無線インターフェイスなどの周辺部まで拡大しています。 これにより、サービス妨害を引き起こす目的で、ネットワーク コアの中央ノードよりも先験的に保護が弱いローカル デバイスのコンピューティング リソースを攻撃する機会が生まれます。 これにより、エリア全体のインターネット アクセスの切断、IoT デバイス (スマート ホーム システムなど) の誤動作、および IMS 緊急警報サービスの利用不能につながる可能性があります。

ただし、ETSI と 3GPP は現在、10G ネットワーク セキュリティのさまざまな側面をカバーする 5 以上の標準を発行しています。 そこで説明されているメカニズムの大部分は、脆弱性 (上記のものを含む) から保護することを目的としています。 主なものの XNUMX つは標準です TS 23.501 バージョン 15.6.0、第 5 世代ネットワークのセキュリティ アーキテクチャについて説明します。

5Gアーキテクチャ

まず、5G ネットワーク アーキテクチャの主要な原則に目を向けましょう。これにより、各ソフトウェア モジュールと各 5G セキュリティ機能の意味と責任範囲がさらに完全に明らかになります。

• プロトコルの動作を保証する要素へのネットワーク ノードの分割 カスタムプレーン (英語の UP - User Plane より) およびプロトコルの動作を保証する要素 コントロールプレーン (英語の CP - Control Plane より) これにより、ネットワークの拡張と展開の点で柔軟性が向上します。つまり、個々のコンポーネント ネットワーク ノードの集中配置または分散配置が可能になります。
• メカニズムサポート ネットワークスライシング、エンド ユーザーの特定のグループに提供されるサービスに基づいています。
• 形式でのネットワーク要素の実装 仮想ネットワーク機能.
• 集中サービスとローカル サービスへの同時アクセスのサポート、つまりクラウド概念の実装 (英語から) フォグコンピューティング) とボーダー (英語から。 エッジコンピューティング) の計算。
• 具現化 収束する 異なるタイプのアクセス ネットワークを組み合わせたアーキテクチャ - 3GPP 5G New Radio と 非3GPP (Wi-Fi など) - 単一のネットワーク コアを使用します。
• アクセス ネットワークの種類に関係なく、統一されたアルゴリズムと認証手順をサポートします。
• 計算されたリソースがリソース ストアから分離されるステートレス ネットワーク機能のサポート。
• ホーム ネットワーク (英語の home-routed roaming から) とゲスト ネットワークでのローカルの「着陸」(英語のローカル ブレークアウトから) の両方を介したトラフィック ルーティングによるローミングのサポート。
• ネットワーク機能間の相互作用は、次の XNUMX つの方法で表現されます。 サービス指向 и インターフェース.

第 5 世代のネットワーク セキュリティの概念には次のものが含まれます。:

• ネットワークからのユーザー認証。
• ユーザーによるネットワーク認証。
• ネットワークとユーザー機器間の暗号キーのネゴシエーション。
• シグナリング トラフィックの暗号化と整合性制御。
• ユーザー トラフィックの完全性の暗号化と制御。
• ユーザーIDの保護。
• ネットワーク セキュリティ ドメインの概念に従って、異なるネットワーク要素間のインターフェイスを保護します。
• メカニズムのさまざまな層の分離 ネットワークスライシング そして各層独自のセキュリティレベルを定義します。
• エンドサービス (IMS、IoT など) レベルでのユーザー認証とトラフィック保護。

主要なソフトウェア モジュールと 5G ネットワーク セキュリティ機能

AMF (英語の「アクセスおよびモビリティ管理機能 - アクセスおよびモビリティ管理機能」より) - 以下を提供します。

• コントロール プレーン インターフェイスの構成。
• 信号交通交換の組織 RRC、データの暗号化と完全性の保護。
• 信号交通交換の組織 NAS、データの暗号化と完全性の保護。
• ネットワーク上のユーザー機器の登録を管理し、可能な登録状態を監視します。
• ユーザー機器のネットワークへの接続を管理し、起こり得る状態を監視します。
• CM-IDLE 状態のネットワーク上のユーザー機器の可用性を制御します。
• CM-CONNECTED 状態のネットワーク内のユーザー機器のモビリティ管理。
• ユーザー機器と SMF 間のショート メッセージの送信。
• 位置情報サービスの管理。
• スレッドIDの割り当て EPS EPS と対話します。

SMF (英語: Session Management Function - セッション管理機能) - 以下を提供します。

• 通信セッション管理。つまり、アクセス ネットワークと UPF 間のトンネルの維持を含む、セッションの作成、変更、解放。
• ユーザ機器のIPアドレスの配布と管理。
• 使用する UPF ゲートウェイを選択します。
• PCFとの相互作用の組織化。
• ポリシー施行管理 QoSの.
• DHCPv4 および DHCPv6 プロトコルを使用したユーザー機器の動的構成。
• 料金データの収集を監視し、請求システムとのやり取りを整理します。
• シームレスなサービス提供（英語より） SSC - セッションとサービスの継続性).
• ローミング内のゲスト ネットワークとの対話。

UPF (英語の User Plane Function - ユーザー プレーン機能) - 以下を提供します。

• グローバル インターネットを含む外部データ ネットワークとの対話。
• ユーザーパケットのルーティング。
• QoS ポリシーに従ってパケットをマーキングします。
• ユーザー パッケージの診断 (署名ベースのアプリケーション検出など)。
• トラフィック使用状況に関するレポートを提供します。
• UPF は、異なる無線アクセス テクノロジ内および異なる無線アクセス テクノロジ間のモビリティをサポートするためのアンカー ポイントでもあります。

UDM (英語の Unified Data Management - 統合データベース) - 以下を提供します。

• ユーザーが利用できるサービスのリストとそれに対応するパラメータの保存と変更を含む、ユーザー プロファイル データの管理。
• Управление すぴ
• 3GPP 認証資格情報を生成する AKA.
• プロファイル データに基づくアクセス許可 (ローミング制限など)。
• ユーザー登録管理、つまりサービング AMF の保管。
• シームレスなサービスと通信セッションのサポート、つまり、現在の通信セッションに割り当てられた SMF の保存。
• SMS配信管理。
• いくつかの異なる UDM が、異なるトランザクションにわたって同じユーザーにサービスを提供できます。

UDR (英語の Unified Data Repository - 統合データのストレージ) - さまざまなユーザー データのストレージを提供し、実際にはすべてのネットワーク加入者のデータベースです。

UDSF (英語の Unstructural Data Storage Function - 非構造化データ ストレージ機能) - AMF モジュールが登録ユーザーの現在のコンテキストを確実に保存します。 一般に、この情報は不定構造のデータとして表現できます。 ユーザー コンテキストを使用すると、AMF の XNUMX つがサービスから計画的に撤退しているときと、緊急事態が発生したときの両方で、シームレスで中断のない加入者セッションを確保できます。 どちらの場合も、バックアップ AMF は USDF に保存されているコンテキストを使用してサービスを「選択」します。

同じ物理プラットフォーム上で UDR と UDSF を組み合わせるのが、これらのネットワーク機能の一般的な実装です。

PCF (英語: Policy Control Function - ポリシー制御機能) - QoS パラメータや課金ルールなど、特定のサービス ポリシーを作成してユーザーに割り当てます。 たとえば、XNUMX つまたは別のタイプのトラフィックを送信するために、異なる特性を持つ仮想チャネルを動的に作成できます。 同時に、加入者が要求するサービスの要件、ネットワークの混雑のレベル、消費されるトラフィックの量などを考慮することができます。

NEF (英語 Network Exposure Function - ネットワーク露出機能) - 以下を提供します。

• 外部プラットフォームおよびアプリケーションとネットワーク コアとの安全な対話の組織化。
• 特定のユーザーの QoS パラメータと課金ルールを管理します。

シーフ (英語の Security Anchor Function - アンカー セキュリティ機能) - AUSF と併用すると、ユーザーが任意のアクセス テクノロジを使用してネットワークに登録するときにユーザーの認証が可能になります。

AUSF (英語の Authentication Server Function - 認証サーバー機能) - SEAF からのリクエストを受信して​​処理し、ARPF にリダイレクトする認証サーバーの役割を果たします。

ARPF (英語: Authentication Credential Repository and Processing Function - 認証資格情報を保存および処理する機能) - 個人秘密鍵 (KI) と暗号アルゴリズムのパラメーターの保存と、5G-AKA または XNUMXG-AKA に準拠した認証ベクトルの生成を提供します。 EAP-別名。 これは家庭用通信事業者のデータセンターに設置され、外部の物理的影響から保護されており、原則として UDM と統合されています。

SCMF (英語セキュリティコンテキスト管理機能 - 管理機能) セキュリティコンテキスト) - 5G セキュリティ コンテキストのライフサイクル管理を提供します。

SPCF (英語の Security Policy Control Function - セキュリティ ポリシー管理機能) - 特定のユーザーに関するセキュリティ ポリシーの調整と適用を保証します。 これには、ネットワークの機能、ユーザー機器の機能、および特定のサービスの要件が考慮されます (たとえば、重要な通信サービスとワイヤレス ブロードバンド インターネット アクセス サービスによって提供される保護レベルは異なる場合があります)。 セキュリティ ポリシーの適用には、AUSF の選択、認証アルゴリズムの選択、データ暗号化と整合性制御アルゴリズムの選択、キーの長さとライフ サイクルの決定が含まれます。

SIDF (英語のサブスクリプション識別子非隠蔽機能 - ユーザー識別子抽出機能) - 隠蔽された識別子 (英語) から加入者の永久サブスクリプション識別子 (英語の SUPI) を確実に抽出します。 スチ）、認証手順リクエスト「Auth Info Req」の一部として受信されます。

5G通信ネットワークの基本的なセキュリティ要件

もっとユーザ認証: サービスを提供する 5G ネットワークは、ユーザーとネットワーク間の 5G AKA プロセスでユーザーの SUPI を認証する必要があります。

ネットワーク認証の提供: ユーザーは 5G サービス ネットワーク ID を認証する必要があります。認証は、5G AKA 手順を通じて取得したキーを正常に使用することによって達成されます。

ユーザー認証: サービスを提供するネットワークは、ホームテレコムオペレーターのネットワークから受信したユーザープロファイルを使用してユーザーを認証する必要があります。

ホームオペレータネットワークによるサービスネットワークの認可: ユーザーには、ホーム オペレータ ネットワークによってサービスを提供することが許可されているサービス ネットワークに接続していることの確認が提供される必要があります。 認可は、5G AKA 手順が正常に完了することによって保証されるという意味で暗黙的です。

ホームオペレータネットワークによるアクセスネットワークの認可: ユーザーには、サービスを提供するためにホーム オペレータ ネットワークによって許可されたアクセス ネットワークに接続していることの確認が提供される必要があります。 認可は、アクセス ネットワークのセキュリティを正常に確立することによって強制されるという意味で暗黙的です。 このタイプの認証は、どのタイプのアクセス ネットワークでも使用する必要があります。

認証されていない緊急サービス: 一部の地域の規制要件を満たすために、5G ネットワークは緊急サービスに非認証アクセスを提供する必要があります。

ネットワークコアと無線アクセスネットワーク: 5G ネットワーク コアと 5G 無線アクセス ネットワークは、セキュリティを確保するために 128 ビット暗号化と整合性アルゴリズムの使用をサポートする必要があります。 AS и NAS。 ネットワーク インターフェイスは 256 ビット暗号化キーをサポートする必要があります。

ユーザー機器の基本的な安全要件

もっと

• ユーザー機器は、暗号化、完全性保護、および無線アクセス ネットワーク間で送信されるユーザー データのリプレイ攻撃に対する保護をサポートする必要があります。
• ユーザー機器は、無線アクセス ネットワークの指示に従って、暗号化およびデータ完全性保護メカニズムをアクティブにする必要があります。
• ユーザー機器は、暗号化、完全性保護、および RRC および NAS シグナリング トラフィックのリプレイ攻撃に対する保護をサポートする必要があります。
• ユーザー機器は次の暗号アルゴリズムをサポートする必要があります: NEA0、NIA0、128-NEA1、128-NIA1、128-NEA2、128-NIA2
• ユーザー機器は、128-NEA3、128-NIA3 の暗号化アルゴリズムをサポートできます。
• ユーザ機器は、E-UTRA 無線アクセス ネットワークへの接続をサポートする場合、暗号化アルゴリズム 128-EEA1、128-EEA2、128-EIA1、128-EIA2 をサポートする必要があります。
• ユーザー機器と無線アクセス ネットワーク間で送信されるユーザー データの機密性の保護はオプションですが、規制で許可されている場合は常に提供する必要があります。
• RRC および NAS シグナリング トラフィックのプライバシー保護はオプションです。
• ユーザーの永久キーは保護され、ユーザー機器の十分に安全なコンポーネントに保存される必要があります。
• 加入者の永久加入識別子は、正しいルーティングに必要な情報（たとえば、 MCC и MNC).
• ホーム オペレータのネットワーク公開キー、キー識別子、セキュリティ スキーム識別子、およびルーティング識別子は、次の場所に保存する必要があります。 USIM.

各暗号化アルゴリズムは XNUMX 進数に関連付けられています。

• "0000": NEA0 - ヌル暗号化アルゴリズム
• 「0001」: 128-NEA1 - 128 ビット 雪 3Gベースのアルゴリズム
• 「0010」128-NEA2 - 128ビット AES ベースのアルゴリズム
• 「0011」128-NEA3 - 128ビット ZUC ベースのアルゴリズム。

128-NEA1 および 128-NEA2 を使用したデータ暗号化

PS 回路はお借りしました TS 133.501

整合性を確保するためのアルゴリズム 128-NIA1 および 128-NIA2 によるシミュレートされた挿入の生成

PS 回路はお借りしました TS 133.501

5G ネットワーク機能の基本的なセキュリティ要件

もっと

• AMF は SUCI を使用したプライマリ認証をサポートする必要があります。
• SEAF は、SUCI を使用したプライマリ認証をサポートする必要があります。
• UDM と ARPF はユーザーの永久キーを保存し、それが盗難から確実に保護されるようにする必要があります。
• AUSF は、SUCI を使用した初期認証が成功した場合にのみ、ローカル サービング ネットワークに SUPI を提供します。
• NEF は、隠蔽されたコア ネットワーク情報を事業者のセキュリティ ドメインの外に転送してはなりません。

基本的な安全手順

信頼ドメイン

第 5 世代ネットワークでは、要素がネットワーク コアから離れるにつれて、ネットワーク要素に対する信頼が低下します。 この概念は、5G セキュリティ アーキテクチャに実装される決定に影響を与えます。 したがって、ネットワーク セキュリティ メカニズムの動作を決定する 5G ネットワークの信頼モデルについて話すことができます。

ユーザー側では、信頼ドメインは UICC と USIM によって形成されます。

ネットワーク側では、信頼ドメインはより複雑な構造になっています。

無線アクセスネットワークはXNUMXつのコンポーネントに分割されています- DU (英語の Distributed Units - 分散ネットワーク ユニットから) および CU （英語のCentral Units - ネットワークの中央ユニットから）。 一緒に彼らは形成します gNB — 5Gネットワ​​ーク基地局の無線インターフェース。 DU は保護されていないインフラストラクチャ セグメントに展開できるため、ユーザー データに直接アクセスできません。 CU は、AS セキュリティ メカニズムからのトラフィックを終了する役割を担うため、保護されたネットワーク セグメントに展開する必要があります。 ネットワークの中核に位置するのは、 AMF、NAS セキュリティ メカニズムからのトラフィックを終了します。 現在の 3GPP 5G フェーズ 1 仕様では、この組み合わせについて説明しています。 AMF 安全機能付き シーフ、訪問先 (サービス提供) ネットワークのルート キー (「アンカー キー」とも呼ばれます) が含まれています。 AUSF 認証が成功した後に取得したキーを保存する責任があります。 ユーザーが複数の無線アクセス ネットワークに同時に接続する場合、再利用する必要があります。 ARPF ユーザー資格情報を保存し、加入者にとっての USIM に相当します。 UDR и UDM ユーザー情報を保存します。これは、認証情報、ユーザー ID の生成、セッションの継続性の確保などのロジックを決定するために使用されます。

キーの階層とその配布スキーム

第 5 世代ネットワークでは、4G-LTE ネットワークとは異なり、認証手順には XNUMX 次認証と XNUMX 次認証という XNUMX つのコンポーネントがあります。 ネットワークに接続するすべてのユーザー デバイスには一次認証が必要です。 加入者が外部ネットワークに接続している場合、外部ネットワークからの要求に応じて二次認証を実行できます。

一次認証が正常に完了し、ユーザーとネットワーク間の共有キー K が作成された後、KSEAF はキー K (サービス提供ネットワークの特別なアンカー (ルート) キー) から抽出されます。 その後、このキーからキーが生成され、RRC および NAS シグナリング トラフィック データの機密性と完全性が保証されます。

説明付きの図
指定:
CK 暗号鍵
IK (英語: Integrity Key) - データ整合性保護メカニズムで使用されるキー。
CK' (eng. Cipher Key) - EAP-AKA メカニズム用に CK から作成された別の暗号キー。
IK' (英語の Integrity Key) - EAP-AKA のデータ整合性保護メカニズムで使用される別のキー。
カウスフ - ARPF 機能とユーザー機器によって生成されます。 CK и IK 5G AKA および EAP-AKA の間。
KSEAF - キーからAUSF関数によって取得されたアンカーキー カムファウス.
KAMF — SEAF 関数によってキーから取得されたキー KSEAF.
KNASint, KNASenc — キーから AMF 機能によって取得されたキー KAMF NAS シグナリング トラフィックを保護します。
KRRCint, KRRCenc — キーから AMF 機能によって取得されたキー KAMF RRC シグナリング トラフィックを保護します。
KUPint, KUPenc — キーから AMF 機能によって取得されたキー KAMF AS シグナリング トラフィックを保護します。
NH — AMF 関数によってキーから取得された中間キー KAMF ハンドオーバー中のデータのセキュリティを確保します。
KgNB — AMF 関数によってキーから取得されたキー KAMF 移動機構の安全性を確保するため。

SUPI から SUCI を生成する、またはその逆のスキーム

SUPIとSUCIを取得するためのスキーム

SUPI からの SUCI および SUCI からの SUPI の生成:

認証

一次認証

5G ネットワークでは、EAP-AKA と 5G AKA が標準の主要な認証メカニズムです。 主要な認証メカニズムを XNUMX つのフェーズに分けてみましょう。XNUMX つ目は認証の開始と認証方法の選択を担当し、XNUMX つ目はユーザーとネットワーク間の相互認証を担当します。

イニシエーション

ユーザーは、ユーザーの非表示のサブスクリプション ID SUCI を含む登録リクエストを SEAF に送信します。

SEAFは、SNN(Serving Network Name)とSUPIまたはSUCIを含む認証要求メッセージ(Nausf_UEAuthentication_Authenticate Request)をAUSFに送信します。

AUSF は、SEAF 認証要求者が指定された SNN の使用を許可されているかどうかを確認します。 サービス提供ネットワークがこの SNN の使用を許可されていない場合、AUSF は「サービス提供ネットワークは許可されていません」という許可エラー メッセージで応答します (Nausf_UEAuthentication_Authenticate Response)。

認証資格情報は、AUSF によって、SUPI または SUCI および SNN を介して UDM、ARPF、または SIDF に要求されます。

SUPI または SUCI とユーザー情報に基づいて、UDM/ARPF は次に使用する認証方法を選択し、ユーザーの資格情報を発行します。

相互認証

認証方法を使用する場合、UDM/ARPF ネットワーク機能は認証ベクトル (AV) を生成する必要があります。

EAP-AKA: UDM/ARPF は最初に分離ビット AMF = 1 を持つ認証ベクトルを生成し、次に CK' и IK' の CK, IK および SNN で構成され、新しい AV 認証ベクトル (RAND、AUTN、XRES*、 CK', IK')、これは EAP-AKA にのみ使用するための指示とともに AUSF に送信されます。

5G 別名: UDM/ARPF がキーを取得する カウスフ の CK, IK および SNN を生成し、その後 5G HE AV を生成します。 5G ホーム環境認証ベクトル）。 5G HE AV 認証ベクトル (RAND、AUTN、XRES、 カウスフ) は、5G 専用 AKA に使用するための指示とともに AUSF に送信されます。

このAUSFの後、アンカーキーが取得されます KSEAF 鍵から カウスフ そして、メッセージ「Nausf_UEAuthentication_Authenticate Response」でリクエストを SEAF「Challenge」に送信します。これには、RAND、AUTN、RES* も含まれます。 次に、RAND と AUTN は、セキュア NAS シグナリング メッセージを使用してユーザー機器に送信されます。 ユーザーの USIM は、受信した RAND と AUTN から RES* を計算し、SEAF に送信します。 SEAF は検証のためにこの値を AUSF に中継します。

AUSF は、そこに保存されている XRES* とユーザーから受信した RES* を比較します。 一致する場合、オペレータのホーム ネットワーク内の AUSF と UDM に認証の成功が​​通知され、ユーザーと SEAF は独立してキーを生成します。 KAMF の KSEAF さらなるコミュニケーションのためにSUPIを使用します。

二次認証

5G 標準は、ユーザー機器と外部データ ネットワーク間の EAP-AKA に基づくオプションの二次認証をサポートしています。 この場合、SMF は EAP 認証者の役割を果たし、その作業に依存します。 単4- ユーザーを認証および認可する外部ネットワーク サーバー。

• ホーム ネットワーク上で必須の初期ユーザー認証が行われ、AMF を使用して共通の NAS セキュリティ コンテキストが開発されます。
• ユーザーは AMF にリクエストを送信してセッションを確立します。
• AMF は、ユーザーの SUPI を示すセッションを確立するリクエストを SMF に送信します。
• SMF は、提供された SUPI を使用して、UDM 内のユーザーの資格情報を検証します。
• SMF は AMF からのリクエストに対して応答を送信します。
• SMF は EAP 認証手順を開始して、外部ネットワーク上の AAA サーバーからセッションを確立する許可を取得します。 これを行うには、SMF とユーザーはメッセージを交換して手順を開始します。
• 次に、ユーザと外部ネットワーク AAA サーバはメッセージを交換して、ユーザを認証および認可します。 この場合、ユーザーは SMF にメッセージを送信し、SMF は UPF 経由で外部ネットワークとメッセージを交換します。

まとめ

5G セキュリティ アーキテクチャは既存テクノロジーの再利用に基づいていますが、まったく新しい課題をもたらします。 膨大な数の IoT デバイス、拡張されたネットワーク境界、分散型アーキテクチャ要素は、サイバー犯罪者の想像力を自由に制御できる 5G 標準の重要な原則の一部にすぎません。

5G セキュリティ アーキテクチャの中核標準は次のとおりです。 TS 23.501 バージョン 15.6.0 — セキュリティのメカニズムと手順の運用の重要なポイントが含まれています。 特に、ユーザー データとネットワーク ノードの保護の確保、暗号キーの生成、認証手順の実装における各 VNF の役割について説明します。 しかし、この標準でも、新世代ネットワークの開発と運用が集中的に進むほど、通信事業者が直面する差し迫ったセキュリティ問題に対する答えは得られていません。

この点で、第 5 世代ネットワークの運用と保護の難しさは、母親の友人の息子のように通信速度と応答が約束されており、すでにすべてを試してみたいと思っている一般ユーザーにはまったく影響しないと信じたいと思います。新世代ネットワークの宣言された機能。

便利なリンク集

3GPP仕様シリーズ
5Gセキュリティアーキテクチャ
5Gシステムアーキテクチャ
5G ウィキ
5G アーキテクチャに関するメモ
5Gセキュリティの概要

出所： habr.com