ProHoster > Блог > Administrasi > Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Temenan, njupuk pangembangan standar komunikasi anyar tanpa mikir babagan mekanisme keamanan minangka upaya sing ora ana gunane lan ora ana gunane.

Arsitektur Keamanan 5G - sakumpulan mekanisme lan prosedur keamanan sing ditindakake ing Jaringan generasi kaping 5 lan nutupi kabeh komponen jaringan, saka inti kanggo antarmuka radio.

Jaringan generasi kaping 5, sejatine, minangka evolusi Jaringan LTE generasi kaping 4. Teknologi akses radio wis ngalami owah-owahan sing paling signifikan. Kanggo jaringan generasi kaping 5, sing anyar TIKUS (Teknologi Akses Radio) - 5G Radio Anyar. Kanggo inti jaringan, durung ngalami owah-owahan sing signifikan. Ing babagan iki, arsitektur keamanan jaringan 5G wis dikembangake kanthi penekanan kanggo nggunakake maneh teknologi sing cocog sing diadopsi ing standar 4G LTE.

Nanging, perlu dicathet yen mikir maneh ancaman sing dikenal kayata serangan ing antarmuka udara lan lapisan sinyal (menehi tandha pesawat), serangan DDOS, serangan Man-In-The-Middle, lan liya-liyane, nyebabake operator telekomunikasi ngembangake standar anyar lan nggabungake mekanisme keamanan anyar menyang jaringan generasi kaping 5.

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Prasyarat

Ing 2015, International Telecommunication Union nggawe rencana global pisanan kanggo pangembangan jaringan generasi kaping lima, mula masalah ngembangake mekanisme lan prosedur keamanan ing jaringan 5G dadi akut.

Teknologi anyar iki nyedhiyakake kecepatan transfer data sing apik banget (luwih saka 1 Gbps), latensi kurang saka 1 ms lan kemampuan kanggo nyambungake watara 1 yuta piranti ing radius 1 km2 bebarengan. Keperluan paling dhuwur kanggo jaringan generasi kaping 5 uga dibayangke ing prinsip organisasi.

Sing utama yaiku desentralisasi, sing nuduhake penempatan akeh database lokal lan pusat pangolahan ing pinggiran jaringan. Iki digawe iku bisa kanggo nyilikake telat nalika M2M-komunikasi lan nyuda inti jaringan amarga nglayani akeh piranti IoT. Mangkono, pinggiran jaringan generasi sabanjure nggedhekake kabeh menyang stasiun pangkalan, ngidini nggawe pusat komunikasi lokal lan nyedhiyakake layanan awan tanpa risiko penundaan kritis utawa penolakan layanan. Mesthine, pendekatan sing diganti kanggo jaringan lan layanan pelanggan narik kawigaten para panyerang, amarga mbukak kesempatan anyar kanggo nyerang informasi pangguna rahasia lan komponen jaringan kasebut dhewe kanggo nyebabake penolakan layanan utawa ngrebut sumber daya komputasi operator.

Kerentanan utama jaringan generasi kaping 5

Lumahing serangan gedhe

Waca liyaneNalika mbangun jaringan telekomunikasi generasi kaping 3 lan kaping 4, operator telekomunikasi biasane diwatesi kanggo nggarap siji utawa sawetara vendor sing langsung nyedhiyakake piranti keras lan piranti lunak. Yaiku, kabeh bisa mlaku, kaya sing diucapake, "saka kothak" - cukup kanggo nginstal lan ngatur peralatan sing dituku saka vendor; ora perlu ngganti utawa nambah piranti lunak kepemilikan. Tren modern nglawan pendekatan "klasik" iki lan ngarahake virtualisasi jaringan, pendekatan multi-vendor kanggo konstruksi lan macem-macem piranti lunak. Teknologi kayata SDN (Inggris Software Defined Network) lan NFV (Inggris Network Functions Virtualization), sing ndadékaké kanggo nggabungake pirang-pirang piranti lunak sing dibangun kanthi basis kode sumber terbuka ing proses lan fungsi ngatur jaringan komunikasi. Iki menehi panyerang kesempatan kanggo sinau luwih apik jaringan operator lan ngenali nomer luwih saka kerentanan, kang, siji, nambah lumahing serangan saka jaringan generasi anyar dibandhingake saiki.

Akeh piranti IoT

Waca liyaneIng taun 2021, udakara 57% piranti sing disambungake menyang jaringan 5G bakal dadi piranti IoT. Iki tegese umume host bakal duwe kemampuan kriptografi sing winates (pirsani titik 2) lan, kanthi mangkono, bakal rentan marang serangan. Sejumlah gedhe piranti kasebut bakal nambah risiko proliferasi botnet lan bisa nindakake serangan DDoS sing luwih kuat lan disebarake.

Kapabilitas kriptografi winates saka piranti IoT

Waca liyaneKaya sing wis kasebut, jaringan generasi kaping 5 kanthi aktif nggunakake piranti periferal, sing bisa mbusak bagean beban saka inti jaringan lan kanthi mangkono nyuda latensi. Iki perlu kanggo layanan penting kayata kontrol kendaraan tanpa awak, sistem peringatan darurat IMS lan liya-liyane, sing penting banget kanggo njamin wektu tundha minimal, amarga urip manungsa gumantung. Amarga sambungan piranti IoT sing akeh, amarga ukurane cilik lan konsumsi daya sing sithik, duwe sumber daya komputasi sing winates banget, jaringan 5G dadi rentan kanggo serangan sing ditujokake kanggo nyegat kontrol lan manipulasi piranti kasebut. Contone, bisa uga ana skenario ing ngendi piranti IoT sing dadi bagean saka sistem kena infeksi "Omah sing cerdas", jinis malware kayata Ransomware lan ransomware. Skenario nyegat kontrol kendaraan tanpa awak sing nampa prentah lan informasi navigasi liwat awan uga bisa. Secara resmi, kerentanan iki amarga desentralisasi jaringan generasi anyar, nanging paragraf sabanjure bakal njlentrehake masalah desentralisasi kanthi luwih jelas.

Desentralisasi lan ekspansi wates jaringan

Waca liyanePiranti periferal, muter peran inti jaringan lokal, nindakake rute lalu lintas pangguna, panjaluk pangolahan, uga caching lokal lan panyimpenan data pangguna. Mangkono, wates jaringan generasi kaping 5 ngembangaken, saliyane inti, menyang pinggiran, kalebu database lokal lan antarmuka radio 5G-NR (5G New Radio). Iki nggawe kesempatan kanggo nyerang sumber daya komputasi piranti lokal, sing apriori ora pati roso dilindhungi tinimbang simpul tengah inti jaringan, kanthi tujuan nyebabake penolakan layanan. Iki bisa nyebabake pedhot akses Internet kanggo kabeh wilayah, fungsi piranti IoT sing ora bener (umpamane, ing sistem omah sing cerdas), uga ora kasedhiya layanan tandha darurat IMS.

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Nanging, ETSI lan 3GPP saiki wis nerbitake luwih saka 10 standar sing nyakup macem-macem aspek keamanan jaringan 5G. Umume mekanisme sing diterangake ing kana ditujokake kanggo nglindhungi kerentanan (kalebu sing kasebut ing ndhuwur). Salah siji sing utama yaiku standar TS 23.501 versi 15.6.0, nggambarake arsitektur keamanan jaringan generasi kaping 5.

arsitektur 5G

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication
Pisanan, ayo pindhah menyang prinsip utama arsitektur jaringan 5G, sing bakal mbukak kanthi lengkap makna lan area tanggung jawab saben modul piranti lunak lan saben fungsi keamanan 5G.

  • Divisi simpul jaringan dadi unsur sing njamin operasi protokol pesawat adat (saka Inggris UP - User Plane) lan unsur sing njamin operasi saka protokol pesawat kontrol (saka CP Inggris - Control Plane), sing nambah keluwesan ing babagan skala lan penyebaran jaringan, yaiku penempatan terpusat utawa desentralisasi saka node jaringan komponen individu bisa.
  • Dhukungan mekanisme ngiris jaringan, adhedhasar layanan sing diwenehake kanggo klompok pangguna pungkasan tartamtu.
  • Implementasi unsur jaringan ing wangun fungsi jaringan virtual.
  • Dhukungan kanggo akses simultan menyang layanan terpusat lan lokal, yaiku implementasine konsep awan (saka basa Inggris. komputasi kabut) lan wates (saka basa Inggris. komputerisasi pinggiran) pitungan.
  • Реализация konvergen arsitektur nggabungke macem-macem jinis jaringan akses - 3GPP 5G New Radio lan non-3GPP (Wi-Fi, etc.) - karo inti jaringan siji.
  • Dhukungan algoritma seragam lan prosedur otentikasi, preduli saka jinis jaringan akses.
  • Dhukungan kanggo fungsi jaringan stateless, ing ngendi sumber daya dipisahake saka toko sumber.
  • Dhukungan kanggo roaming karo nuntun lalu lintas loro liwat jaringan asal (saka basa Inggris ngarep-rute roaming) lan karo lokal "landing" (saka Inggris lokal breakout) ing jaringan tamu.
  • Interaksi antarane fungsi jaringan dituduhake kanthi rong cara: layanan-oriented и antarmuka.

Konsep keamanan jaringan generasi kaping 5 kalebu:

  • Otentikasi pangguna saka jaringan.
  • Otentikasi jaringan dening pangguna.
  • Negosiasi kunci kriptografi antarane jaringan lan peralatan pangguna.
  • Enkripsi lan kontrol integritas lalu lintas sinyal.
  • Enkripsi lan kontrol integritas lalu lintas pangguna.
  • Pangreksan ID pangguna.
  • Nglindhungi antarmuka antarane unsur jaringan sing beda-beda miturut konsep domain keamanan jaringan.
  • Isolasi saka macem-macem lapisan mekanisme ngiris jaringan lan nemtokake tingkat keamanan saben lapisan dhewe.
  • Otentikasi pangguna lan proteksi lalu lintas ing tingkat layanan pungkasan (IMS, IoT lan liya-liyane).

Modul piranti lunak utama lan fitur keamanan jaringan 5G

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication AMF (saka Fungsi Manajemen Akses & Mobilitas Inggris - fungsi manajemen akses lan mobilitas) - nyedhiyakake:

  • Organisasi antarmuka bidang kontrol.
  • Organisasi pertukaran lalu lintas sinyal CRR, enkripsi lan pangayoman integritas data sawijining.
  • Organisasi pertukaran lalu lintas sinyal NAS, enkripsi lan pangayoman integritas data sawijining.
  • Ngatur registrasi peralatan pangguna ing jaringan lan ngawasi kemungkinan negara registrasi.
  • Ngatur sambungan peralatan pangguna menyang jaringan lan ngawasi kemungkinan negara.
  • Ngontrol kasedhiyan peralatan pangguna ing jaringan ing negara CM-IDLE.
  • Manajemen mobilitas peralatan pangguna ing jaringan ing negara CM-CONNECTED.
  • Transmisi pesen singkat antarane peralatan pangguna lan SMF.
  • Manajemen layanan lokasi.
  • Alokasi ID Utas EPS kanggo sesambungan karo EPS.

SMF (Inggris: Fungsi Manajemen Sesi - fungsi manajemen sesi) - nyedhiyakake:

  • Manajemen sesi komunikasi, yaiku nggawe, ngowahi lan ngeculake sesi, kalebu njaga trowongan antarane jaringan akses lan UPF.
  • Distribusi lan manajemen alamat IP peralatan pangguna.
  • Milih gateway UPF kanggo nggunakake.
  • Organisasi interaksi karo PCF.
  • Manajemen penegakan kabijakan QoS.
  • Konfigurasi dinamis peralatan pangguna nggunakake protokol DHCPv4 lan DHCPv6.
  • Ngawasi pangumpulan data tarif lan ngatur interaksi karo sistem tagihan.
  • Penyediaan layanan sing lancar (saka basa Inggris. SSC - Sesi lan Kesinambungan Layanan).
  • Interaksi karo jaringan tamu ing roaming.

UPF (Fungsi Pesawat Pangguna Inggris - fungsi pesawat pangguna) - nyedhiyakake:

  • Interaksi karo jaringan data eksternal, kalebu Internet global.
  • Routing paket pangguna.
  • Penandaan paket sesuai karo kabijakan QoS.
  • Diagnosa paket pangguna (contone, deteksi aplikasi adhedhasar tandha).
  • Nyedhiyakake laporan babagan panggunaan lalu lintas.
  • UPF uga minangka titik jangkar kanggo ndhukung mobilitas ing njero lan ing antarane teknologi akses radio sing beda.

UDM (Manajemen Data Terpadu Inggris - database terpadu) - nyedhiyakake:

  • Ngatur data profil pangguna, kalebu nyimpen lan ngowahi dhaptar layanan sing kasedhiya kanggo pangguna lan paramèter sing cocog.
  • Pamrentah SUPI
  • Nggawe kredensial otentikasi 3GPP AKA.
  • Akses wewenang adhedhasar data profil (contone, watesan roaming).
  • Manajemen registrasi pangguna, yaiku panyimpenan layanan AMF.
  • Dhukungan kanggo layanan lancar lan sesi komunikasi, yaiku nyimpen SMF sing ditugasake kanggo sesi komunikasi saiki.
  • Manajemen pangiriman SMS.
  • Sawetara UDM beda bisa nglayani pangguna sing padha ing macem-macem transaksi.

UDR (Repositori Data Bersatu Inggris - panyimpenan data gabungan) - nyedhiyakake panyimpenan saka macem-macem data pangguna lan, nyatane, database kabeh pelanggan jaringan.

UDSF (Fungsi Panyimpenan Data Ora Terstruktur Inggris - fungsi panyimpenan data sing ora terstruktur) - mesthekake yen modul AMF nyimpen konteks pangguna pangguna sing saiki. Umumé, informasi iki bisa ditampilake minangka data saka struktur sing ora ditemtokake. Konteks pangguna bisa digunakake kanggo mesthekake sesi pelanggan sing lancar lan ora diganggu, sajrone rencana mundur saka salah sawijining AMF saka layanan kasebut, lan nalika ana darurat. Ing kasus loro, AMF serep bakal "njupuk" layanan nggunakake konteks sing disimpen ing USDF.

Nggabungake UDR lan UDSF ing platform fisik sing padha minangka implementasine khas saka fungsi jaringan kasebut.

PCF (Inggris: Fungsi Kontrol Kebijakan - fungsi kontrol kebijakan) - nggawe lan menehi kabijakan layanan tartamtu kanggo pangguna, kalebu paramèter QoS lan aturan ngisi daya. Contone, kanggo ngirimake siji utawa jinis lalu lintas liyane, saluran virtual kanthi karakteristik sing beda bisa digawe kanthi dinamis. Ing wektu sing padha, syarat layanan sing dijaluk pelanggan, tingkat kemacetan jaringan, jumlah lalu lintas sing dikonsumsi, lan liya-liyane bisa dianggep.

NEF (Fungsi Eksposur Jaringan Inggris - fungsi eksposur jaringan) - nyedhiyakake:

  • Organisasi interaksi aman platform lan aplikasi eksternal karo inti jaringan.
  • Ngatur paramèter QoS lan aturan ngisi daya kanggo pangguna tartamtu.

SEAF (Fungsi Anchor Keamanan Inggris - fungsi keamanan jangkar) - bebarengan karo AUSF, nyedhiyakake otentikasi pangguna nalika ndhaptar ing jaringan kanthi teknologi akses apa wae.

AUSF (Fungsi Server Authentication Inggris - fungsi server otentikasi) - main peran server otentikasi sing nampa lan ngolah panjalukan saka SEAF lan ngarahake menyang ARPF.

ARPF (Inggris: Authentication Credential Repository and Processing Function - fungsi kanggo nyimpen lan ngolah kredensial otentikasi) - nyedhiyakake panyimpenan kunci rahasia pribadi (KI) lan paramèter algoritma kriptografi, uga ngasilake vektor otentikasi sesuai karo 5G-AKA utawa LAN AP-AKA. Dumunung ing pusat data operator telekomunikasi omah, dilindhungi saka pengaruh fisik eksternal, lan, minangka aturan, digabungake karo UDM.

SCMF (Fungsi Manajemen Konteks Keamanan Inggris - fungsi manajemen konteks keamanan) - Nyedhiyakake manajemen siklus urip kanggo konteks keamanan 5G.

SPCF (Fungsi Kontrol Kabijakan Keamanan Inggris - fungsi manajemen kebijakan keamanan) - njamin koordinasi lan aplikasi kabijakan keamanan sing ana hubungane karo pangguna tartamtu. Iki nimbang kemampuan jaringan, kemampuan peralatan pangguna lan syarat layanan tartamtu (contone, tingkat proteksi sing diwenehake dening layanan komunikasi kritis lan layanan akses Internet broadband nirkabel bisa beda-beda). Aplikasi kabijakan keamanan kalebu: pilihan AUSF, pilihan algoritma otentikasi, pilihan enkripsi data lan algoritma kontrol integritas, nemtokake dawa lan siklus urip kunci.

SIDF (Fungsi De-concealing Langganan Langganan - fungsi ekstraksi pengenal pangguna) - njamin ekstraksi pengenal langganan permanen pelanggan (SUPI Inggris) saka pengenal sing didhelikake (Inggris) SUCI), ditampa minangka bagéan saka panjalukan prosedur otentikasi "Auth Info Req".

Syarat keamanan dhasar kanggo jaringan komunikasi 5G

Waca liyaneOtentikasi pangguna: Jaringan 5G sing dilayani kudu otentikasi SUPI pangguna ing proses 5G AKA antarane pangguna lan jaringan.

Serving Network Authentication: Pangguna kudu otentikasi ID jaringan layanan 5G, kanthi otentikasi sing diraih liwat sukses nggunakake tombol sing dipikolehi liwat prosedur 5G AKA.

Wewenang pangguna: Jaringan layanan kudu menehi wewenang pangguna nggunakake profil pangguna sing ditampa saka jaringan operator telekomunikasi omah.

Wewenang jaringan layanan dening jaringan operator ngarep: Pangguna kudu diwenehi konfirmasi yen dheweke disambungake menyang jaringan layanan sing diwenehake dening jaringan operator asal kanggo nyedhiyakake layanan. Wewenang iku implisit ing pangertèn sing dijamin dening sukses rampung prosedur 5G AKA.

Wewenang jaringan akses dening jaringan operator ngarep: Pangguna kudu diwenehi konfirmasi yen dheweke disambungake menyang jaringan akses sing diwenehake dening jaringan operator asal kanggo nyedhiyakake layanan. Wewenang iku implisit ing pangertèn sing dileksanakake dening kasil netepake keamanan jaringan akses. Jinis wewenang iki kudu digunakake kanggo kabeh jinis jaringan akses.

Layanan darurat sing ora dikonfirmasi: Kanggo nyukupi syarat regulasi ing sawetara wilayah, jaringan 5G kudu menehi akses ora sah kanggo layanan darurat.

Jaringan inti lan jaringan akses radio: Inti jaringan 5G lan jaringan akses radio 5G kudu ndhukung panggunaan enkripsi 128-bit lan algoritma integritas kanggo njamin keamanan AS и NAS. Antarmuka jaringan kudu ndhukung kunci enkripsi 256-bit.

Syarat safety dhasar kanggo peralatan pangguna

Waca liyane

  • Peralatan pangguna kudu ndhukung enkripsi, proteksi integritas, lan proteksi marang serangan muter maneh kanggo data pangguna sing dikirim ing antarane lan jaringan akses radio.
  • Peralatan pangguna kudu ngaktifake enkripsi lan mekanisme proteksi integritas data kaya sing diarahake dening jaringan akses radio.
  • Peralatan pangguna kudu ndhukung enkripsi, proteksi integritas, lan proteksi marang serangan muter maneh kanggo lalu lintas sinyal RRC lan NAS.
  • Peralatan pangguna kudu ndhukung algoritma kriptografi ing ngisor iki: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Peralatan pangguna bisa ndhukung algoritma kriptografi ing ngisor iki: 128-NEA3, 128-NIA3.
  • Peralatan pangguna kudu ndhukung algoritma kriptografi ing ngisor iki: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 yen ndhukung sambungan menyang jaringan akses radio E-UTRA.
  • Perlindhungan kerahasiaan data pangguna sing ditularake ing antarane peralatan pangguna lan jaringan akses radio iku opsional, nanging kudu diwenehake yen diidini dening peraturan.
  • Proteksi privasi kanggo lalu lintas sinyal RRC lan NAS opsional.
  • Kunci permanen pangguna kudu direksa lan disimpen ing komponen piranti pangguna sing aman.
  • Pengenal langganan permanen pelanggan ngirim ora dikirim kanthi teks sing jelas liwat jaringan akses radio kajaba informasi sing dibutuhake kanggo nuntun sing bener (contone MCC и MNC).
  • Kunci umum jaringan operator ngarep, pengenal kunci, pengenal skema keamanan, lan pengenal rute kudu disimpen ing USIM.

Saben algoritma enkripsi digandhengake karo nomer biner:

  • "0000": NEA0 - Null ciphering algoritma
  • "0001": 128-NEA1 - 128-dicokot SNOW Algoritma adhedhasar 3G
  • "0010" 128-NEA2 - 128-dicokot AES algoritma adhedhasar
  • "0011" 128-NEA3 - 128-dicokot ZUC algoritma adhedhasar.

Enkripsi data nggunakake 128-NEA1 lan 128-NEA2Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

P.S. Diagram kasebut dipinjam saka TS 133.501

Generasi sisipan simulasi kanthi algoritma 128-NIA1 lan 128-NIA2 kanggo njamin integritasPambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

P.S. Diagram kasebut dipinjam saka TS 133.501

Syarat keamanan dhasar kanggo fungsi jaringan 5G

Waca liyane

  • AMF kudu ndhukung otentikasi utama nggunakake SUCI.
  • SEAF kudu ndhukung otentikasi utama nggunakake SUCI.
  • UDM lan ARPF kudu nyimpen kunci permanen pangguna lan mesthekake yen dilindhungi saka maling.
  • AUSF mung bakal nyedhiyakake SUPI menyang jaringan layanan lokal nalika otentikasi awal sukses nggunakake SUCI.
  • NEF ngirim ora nerusake informasi jaringan inti didhelikake njaba domain keamanan operator.

Tata cara safety dhasar

Trust Domains

Ing jaringan generasi kaping 5, kapercayan ing unsur jaringan suda amarga unsur pindhah saka inti jaringan. Konsep iki mengaruhi keputusan sing ditindakake ing arsitektur keamanan 5G. Mangkono, kita bisa ngomong babagan model kepercayaan jaringan 5G sing nemtokake prilaku mekanisme keamanan jaringan.

Ing sisih pangguna, domain kepercayaan dibentuk dening UICC lan USIM.

Ing sisih jaringan, domain kepercayaan nduweni struktur sing luwih rumit.

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication Jaringan akses radio dipérang dadi rong komponen - DU (saka Unit Distribusi Inggris - unit jaringan sing disebarake) lan CU (saka Unit Pusat Inggris - unit pusat jaringan). Bareng padha mbentuk gNB - antarmuka radio stasiun pangkalan jaringan 5G. DU ora duwe akses langsung menyang data pangguna amarga bisa disebarake ing segmen infrastruktur sing ora dilindhungi. CU kudu disebarake ing segmen jaringan sing dilindhungi, amarga tanggung jawab kanggo mungkasi lalu lintas saka mekanisme keamanan AS. Ing inti saka jaringan dumunung AMF, sing mungkasi lalu lintas saka mekanisme keamanan NAS. Spesifikasi 3GPP 5G Phase 1 saiki nggambarake kombinasi kasebut AMF kanthi fungsi safety SEAF, ngemot tombol root (uga dikenal minangka "tombol jangkar") saka jaringan sing dibukak (nglayani). AUSF tanggung jawab kanggo nyimpen kunci sing dipikolehi sawise otentikasi sukses. Sampeyan perlu kanggo nggunakake maneh ing kasus nalika pangguna disambungake bebarengan menyang sawetara jaringan akses radio. ARPF nyimpen kredensial pangguna lan minangka analog saka USIM kanggo pelanggan. UDR и UDM nyimpen informasi pangguna, sing digunakake kanggo nemtokake logika kanggo ngasilake kredensial, ID pangguna, njamin kesinambungan sesi, lsp.

Hierarki kunci lan skema distribusi

Ing jaringan generasi kaping 5, ora kaya jaringan 4G-LTE, prosedur otentikasi nduweni rong komponen: otentikasi primer lan sekunder. Otentikasi utami dibutuhake kanggo kabeh piranti pangguna sing nyambung menyang jaringan. Otentikasi sekunder bisa ditindakake kanthi panyuwunan saka jaringan eksternal, yen pelanggan nyambungake.

Sawise sukses otentikasi utami lan pangembangan kunci K sing dienggo bareng antarane pangguna lan jaringan, KSEAF diekstrak saka kunci K - kunci jangkar (root) khusus saka jaringan sing dilayani. Sabanjure, kunci digawe saka kunci iki kanggo njamin kerahasiaan lan integritas data lalu lintas sinyal RRC lan NAS.

Diagram kanthi panjelasanPambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication
Desain:
CK Kunci Cipher
IK (Inggris: Kunci Integritas) - kunci sing digunakake ing mekanisme perlindungan integritas data.
CK' (eng. Cipher Key) - tombol cryptographic liyane digawe saka CK kanggo mekanisme EAP-AKA.
IK' (Integritas Key Inggris) - tombol liyane digunakake ing mekanisme pangayoman integritas data kanggo EAP-AKA.
KAUSF - kui dening fungsi ARPF lan peralatan pangguna saka CK и IK sajrone 5G AKA lan EAP-AKA.
KSEAF - tombol anchor dijupuk dening fungsi AUSF saka tombol KAMFAUSF.
KAMF - tombol dijupuk dening fungsi SEAF saka tombol KSEAF.
KNASint, KNASenc - tombol sing dipikolehi dening fungsi AMF saka tombol KAMF kanggo nglindhungi lalu lintas signaling NAS.
KRRCint, KRRCenc - tombol sing dipikolehi dening fungsi AMF saka tombol KAMF kanggo nglindhungi lalu lintas signaling RRC.
KUPint, KUPenc - tombol sing dipikolehi dening fungsi AMF saka tombol KAMF kanggo nglindhungi lalu lintas signaling AS.
NH - tombol penengah dijupuk dening fungsi AMF saka tombol KAMF kanggo njamin keamanan data sajrone serah terima.
KgNB - tombol dipikolehi dening fungsi AMF saka tombol KAMF kanggo njamin keamanan mekanisme mobilitas.

Skema kanggo ngasilake SUCI saka SUPI lan kosok balene

Skema kanggo entuk SUPI lan SUCI

Produksi SUCI saka SUPI lan SUPI saka SUCI:
Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Otentikasi

Otentikasi utami

Ing jaringan 5G, EAP-AKA lan 5G AKA minangka mekanisme otentikasi utama standar. Ayo dipérang mekanisme otentikasi utami dadi rong fase: sing pisanan tanggung jawab kanggo miwiti otentikasi lan milih cara otentikasi, sing kapindho tanggung jawab kanggo otentikasi bebarengan antarane pangguna lan jaringan.

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

Inisiasi

Pangguna ngirim panjalukan registrasi menyang SEAF, sing ngemot ID langganan sing didhelikake pangguna SUCI.

SEAF ngirim menyang AUSF pesen panjalukan otentikasi (Nausf_UEAuthentication_Authenticate Request) sing ngemot SNN (Serving Network Name) lan SUPI utawa SUCI.

AUSF mriksa apa panjaluk otentikasi SEAF diijini nggunakake SNN sing diwenehake. Yen jaringan porsi ora sah kanggo nggunakake SNN iki, banjur AUSF nanggapi karo pesen kesalahan wewenang "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

Kredensial otentikasi dijaluk dening AUSF menyang UDM, ARPF utawa SIDF liwat SUPI utawa SUCI lan SNN.

Adhedhasar informasi SUPI utawa SUCI lan pangguna, UDM/ARPF milih cara otentikasi kanggo nggunakake sabanjure lan ngetokake kredensial pangguna.

Mutual Authentication

Nalika nggunakake cara otentikasi, fungsi jaringan UDM/ARPF kudu ngasilake vektor otentikasi (AV).

EAP-AKA: UDM/ARPF pisanan ngasilake vektor otentikasi kanthi pamisah bit AMF = 1, banjur ngasilake CK' и IK' saka CK, IK lan SNN lan dadi vektor otentikasi AV anyar (RAND, AUTN, XRES*, CK', IK'), sing dikirim menyang AUSF kanthi instruksi kanggo nggunakake mung kanggo EAP-AKA.

5G AKA: UDM / ARPF entuk kunci KAUSF saka CK, IK lan SNN, sawise iku ngasilake 5G HE AV. Vektor Otentikasi Lingkungan Ngarep 5G). Vektor otentikasi 5G HE AV (RAND, AUTN, XRES, KAUSF) dikirim menyang AUSF kanthi instruksi kanggo nggunakake 5G mung AKA.

Sawise AUSF iki tombol anchor dijupuk KSEAF saka kunci KAUSF lan ngirim panjalukan kanggo SEAF "Tantangan" ing pesen "Nausf_UEAuthentication_Authenticate Response", kang uga ngandhut RAND, AUTN lan RES *. Sabanjure, RAND lan AUTN dikirim menyang peralatan pangguna nggunakake pesen sinyal NAS sing aman. USIM pangguna ngetung RES * saka RAND lan AUTN sing ditampa lan dikirim menyang SEAF. SEAF ngirimake nilai iki menyang AUSF kanggo verifikasi.

AUSF mbandhingake XRES * sing disimpen ing lan RES * sing ditampa saka pangguna. Yen ana pertandhingan, AUSF lan UDM ing jaringan asal operator bakal dilaporake babagan otentikasi sing sukses, lan pangguna lan SEAF nggawe kunci kanthi mandiri. KAMF saka KSEAF lan SUPI kanggo komunikasi luwih lanjut.

Otentikasi sekunder

Standar 5G ndhukung otentikasi sekunder opsional adhedhasar EAP-AKA antarane peralatan pangguna lan jaringan data eksternal. Ing kasus iki, SMF main peran minangka authenticator EAP lan gumantung ing karya AAA-server jaringan eksternal sing authenticates lan wewenang pangguna.

Pambuka Arsitektur Keamanan 5G: NFV, Keys lan 2 Authentication

  • Otentikasi pangguna awal wajib ing jaringan asal lan konteks keamanan NAS umum dikembangake karo AMF.
  • Pangguna ngirim panjalukan menyang AMF kanggo nggawe sesi.
  • AMF ngirim panjalukan kanggo nggawe sesi menyang SMF sing nuduhake SUPI pangguna.
  • SMF validasi kredensial pangguna ing UDM nggunakake SUPI kasedhiya.
  • SMF ngirim respon kanggo panjalukan saka AMF.
  • SMF miwiti prosedur otentikasi EAP kanggo entuk ijin kanggo nggawe sesi saka server AAA ing jaringan eksternal. Kanggo nindakake iki, SMF lan pangguna ngganti pesen kanggo miwiti prosedur kasebut.
  • Pangguna lan server AAA jaringan eksternal banjur ijol-ijolan pesen kanggo otentikasi lan menehi wewenang pangguna. Ing kasus iki, pangguna ngirim pesen menyang SMF, sing banjur ngganti pesen karo jaringan eksternal liwat UPF.

kesimpulan

Sanajan arsitektur keamanan 5G adhedhasar panggunaan maneh teknologi sing wis ana, iki ndadekake tantangan anyar. Piranti IoT sing akeh banget, wates jaringan sing ditambahi lan unsur arsitektur desentralisasi mung sawetara prinsip utama standar 5G sing menehi bebas imajinasi para penjahat cyber.

Standar inti kanggo arsitektur keamanan 5G yaiku TS 23.501 versi 15.6.0 - ngemot poin-poin penting babagan operasi mekanisme lan prosedur keamanan. Utamane, iki nggambarake peran saben VNF kanggo njamin proteksi data pangguna lan simpul jaringan, ing ngasilake kunci crypto lan ngleksanakake prosedur otentikasi. Nanging sanajan standar iki ora menehi jawaban kanggo masalah keamanan sing luwih kerep ngadhepi operator telekomunikasi, jaringan generasi anyar sing luwih intensif dikembangake lan dioperasikake.

Ing babagan iki, aku seneng percaya yen kesulitan ngoperasikake lan nglindhungi jaringan generasi kaping 5 ora bakal mengaruhi pangguna biasa, sing dijanjekake kecepatan transmisi lan respon kaya putrane kanca ibune lan wis kepengin banget nyoba kabeh. kapabilitas sing diumumake saka jaringan generasi anyar.

link migunani

Seri Spesifikasi 3GPP
arsitektur keamanan 5G
arsitektur sistem 5G
5G Wiki
Cathetan arsitektur 5G
Ringkesan keamanan 5G

Source: www.habr.com

Add a comment