Қауіпсіздік тетіктері туралы ойланбастан, жаңа байланыс стандартын әзірлеуді қолға алу өте күмәнді және бос әрекет екені анық.

5G қауіпсіздік архитектурасы — енгізілген қауіпсіздік тетіктері мен процедураларының жиынтығы 5-ші буын желілері және негізгіден радио интерфейстеріне дейінгі барлық желі құрамдастарын қамтиды.

5-ші буын желілері шын мәнінде эволюция болып табылады 4-ші буын LTE желілері. Радиоқабылдау технологиялары ең маңызды өзгерістерге ұшырады. 5-ші буын желілері үшін жаңа егеуқұйрықтар (Радио қолжетімділік технологиясы) - 5G жаңа радиосы. Желінің өзегіне келетін болсақ, ол мұндай елеулі өзгерістерге ұшыраған жоқ. Осыған байланысты 5G LTE стандартында қабылданған сәйкес технологияларды қайта пайдалануға баса назар аудара отырып, 4G желілерінің қауіпсіздік архитектурасы әзірленді.

Дегенмен, әуе интерфейстеріне және сигналдық қабатқа шабуылдар сияқты белгілі қауіптерді қайта қарастырғанын атап өткен жөн.сигнал беру ұшақ), DDOS шабуылдары, Man-In-The-Middle шабуылдары және т.б. байланыс операторларын жаңа стандарттарды әзірлеуге және 5-ші буын желілеріне мүлдем жаңа қауіпсіздік механизмдерін біріктіруге итермеледі.

Пререквизиттер

2015 жылы Халықаралық электрбайланыс одағы бесінші буын желілерін дамытудың бірінші жаһандық жоспарын жасады, сондықтан 5G желілеріндегі қауіпсіздік тетіктері мен процедураларын әзірлеу мәселесі ерекше өткір болды.

Жаңа технология шынымен әсерлі деректерді беру жылдамдығын (1 Гбит/с астам), 1 мс-тен аз кешігуді және 1 км1 радиуста 2 миллионға жуық құрылғыны бір уақытта қосу мүмкіндігін ұсынды. 5-ші буын желілеріне қойылатын мұндай ең жоғары талаптар оларды ұйымдастыру принциптерінде де көрініс тапқан.

Ең бастысы орталықсыздандыру болды, ол көптеген жергілікті деректер базаларын және олардың өңдеу орталықтарын желінің шеткі бөлігінде орналастыруды білдіреді. Бұл кідірістерді азайтуға мүмкіндік берді M2M-байланыс және көптеген IoT құрылғыларына қызмет көрсету есебінен желі өзегін жеңілдету. Осылайша, жаңа буын желілерінің шеті базалық станцияларға дейін кеңейіп, жергілікті байланыс орталықтарын құруға және күрделі кешігулер немесе қызмет көрсетуден бас тарту қаупінсіз бұлттық қызметтерді ұсынуға мүмкіндік берді. Әрине, желіні құруға және тұтынушыларға қызмет көрсетуге деген өзгерген көзқарас шабуылдаушыларды қызықтырды, өйткені бұл оларға қызмет көрсетуден бас тарту немесе оператордың есептеу ресурстарын басып алу үшін құпия пайдаланушы ақпаратына да, желі құрамдастарына да шабуыл жасаудың жаңа мүмкіндіктерін ашты.

5-ші буын желілерінің негізгі осалдықтары

Үлкен шабуыл беті

көбірек3-ші және 4-ші буынның телекоммуникация желілерін құру кезінде байланыс операторлары әдетте аппараттық және бағдарламалық құралдар жиынтығын дереу жеткізетін бір немесе бірнеше жеткізушілермен жұмыс істеумен шектелді. Яғни, бәрі «қораптан тыс» дегендей жұмыс істей алады - жеткізушіден сатып алынған жабдықты орнату және конфигурациялау жеткілікті болды; меншікті бағдарламалық құралды ауыстырудың немесе толықтырудың қажеті болмады. Заманауи трендтер осы «классикалық» тәсілге қайшы келеді және желілерді виртуалдандыруға, олардың құрылысына көп жеткізушілерге көзқарас пен бағдарламалық қамтамасыз етудің әртүрлілігіне бағытталған. сияқты технологиялар SDN (Ағылшын тілінде бағдарламалық құрал анықталған желі) және NFV (English Network Functions Virtualization), бұл байланыс желілерін басқару процестері мен функцияларына ашық бастапқы кодтар негізінде құрастырылған бағдарламалық қамтамасыз етудің үлкен көлемін қосуға әкеледі. Бұл шабуылдаушыларға оператор желісін жақсырақ зерттеуге және осалдықтардың көбірек санын анықтауға мүмкіндік береді, бұл өз кезегінде қазіргі желілермен салыстырғанда жаңа буын желілерінің шабуыл бетін арттырады.

IoT құрылғыларының үлкен саны

көбірек2021 жылға қарай 57G желілеріне қосылған құрылғылардың шамамен 5%-ы IoT құрылғылары болады. Бұл хосттардың көпшілігінде шектеулі криптографиялық мүмкіндіктер болады (2-тармақты қараңыз) және тиісінше, шабуылдарға осал болады. Мұндай құрылғылардың үлкен саны ботнеттердің таралу қаупін арттырады және одан да күшті және таратылған DDoS шабуылдарын жүзеге асыруға мүмкіндік береді.

IoT құрылғыларының шектеулі криптографиялық мүмкіндіктері

көбірекЖоғарыда айтылғандай, 5-ші буын желілері перифериялық құрылғыларды белсенді пайдаланады, бұл желі өзегінен жүктеменің бір бөлігін алып тастауға және осылайша кідірістерді азайтуға мүмкіндік береді. Бұл ұшқышсыз көліктерді басқару, апаттық ескерту жүйесі сияқты маңызды қызметтер үшін қажет IMS және басқалары, олар үшін ең аз кідірісті қамтамасыз ету маңызды, өйткені адам өмірі соған байланысты. Шағын өлшемдері мен аз қуат тұтынуына байланысты өте шектеулі есептеу ресурстарына ие IoT құрылғыларының үлкен санының қосылуына байланысты 5G желілері бақылауды ұстауға және мұндай құрылғыларды кейіннен манипуляциялауға бағытталған шабуылдарға осал болады. Мысалы, жүйенің бөлігі болып табылатын IoT құрылғылары жұқтырылған сценарийлер болуы мүмкін »ақылды үй«, сияқты зиянды бағдарламалардың түрлері Ransomware және Ransomware. Бұлт арқылы пәрмендер мен навигациялық ақпаратты алатын ұшқышсыз көліктерді басқаруды ұстау сценарийлері де мүмкін. Ресми түрде бұл осалдық жаңа буын желілерін орталықсыздандырумен байланысты, бірақ келесі абзац орталықсыздандыру мәселесін нақтырақ сипаттайды.

Желінің шекараларын орталықсыздандыру және кеңейту

көбірекЖергілікті желі ядроларының рөлін атқаратын перифериялық құрылғылар пайдаланушы трафигін бағыттауды, сұраныстарды өңдеуді, сонымен қатар жергілікті кэштеуді және пайдаланушы деректерін сақтауды жүзеге асырады. Осылайша, 5-ші буын желілерінің шекаралары ядродан басқа, жергілікті деректер базалары мен 5G-NR (5G New Radio) радиоинтерфейстерін қоса алғанда, шеткі аймақтарға дейін кеңеюде. Бұл қызмет көрсетуден бас тарту мақсатында желі ядросының орталық түйіндеріне қарағанда априорлы қорғалған жергілікті құрылғылардың есептеу ресурстарына шабуыл жасау мүмкіндігін жасайды. Бұл бүкіл аумақтар үшін Интернетке қосылудың ажыратылуына, IoT құрылғыларының дұрыс жұмыс істемеуіне (мысалы, смарт үй жүйесінде), сондай-ақ IMS апаттық ескерту қызметінің қолжетімсіздігіне әкелуі мүмкін.

Дегенмен, ETSI және 3GPP қазір 10G желісінің қауіпсіздігінің әртүрлі аспектілеріне қатысты 5-нан астам стандарттарды жариялады. Онда сипатталған механизмдердің басым көпшілігі осалдықтардан қорғауға бағытталған (жоғарыда сипатталғандарды қоса). Олардың негізгілерінің бірі стандарт болып табылады TS 23.501 15.6.0 нұсқасы, 5-ші буын желілерінің қауіпсіздік архитектурасын сипаттайтын.

5G архитектурасы

Алдымен, әрбір бағдарламалық модульдің және әрбір 5G қауіпсіздік функциясының мағынасы мен жауапкершілік салаларын одан әрі толық ашатын 5G желі архитектурасының негізгі принциптеріне жүгінейік.

• Желілік түйіндерді хаттамалардың жұмысын қамтамасыз ететін элементтерге бөлу арнайы ұшақ (ағылшын тілінен UP - User Plane) және хаттамалардың жұмысын қамтамасыз ететін элементтер басқару ұшағы (ағылшын тілінен CP - Control Plane), бұл желіні масштабтау және орналастыру тұрғысынан икемділікті арттырады, яғни жеке құрамдас желі түйіндерін орталықтандырылған немесе орталықтандырылмаған орналастыру мүмкін.
• Механизмді қолдау желіні кесу, соңғы пайдаланушылардың нақты топтарына көрсетілетін қызметтерге негізделген.
• Формада желілік элементтерді жүзеге асыру виртуалды желі функциялары.
• Орталықтандырылған және жергілікті қызметтерге бір уақытта қол жеткізуді қолдау, яғни бұлттық тұжырымдамаларды енгізу (ағылшын тілінен. тұманды есептеу) және шекара (ағылшын тілінен. шеткі есептеу) есептеулер.
• Реализация конвергентті қол жеткізу желілерінің әртүрлі түрлерін біріктіретін архитектура - 3GPP 5G New Radio және 3GPP емес (Wi-Fi және т.б.) - бір желілік ядромен.
• Қол жеткізу желісінің түріне қарамастан, біркелкі алгоритмдер мен аутентификация процедураларын қолдау.
• Есептелген ресурс ресурстар қоймасынан бөлінген күйі жоқ желі функцияларын қолдау.
• Үй желісі арқылы (ағылшынша үй-маршрутталған роумингтен) және қонақ желісіндегі жергілікті «қону» (ағылшын тіліндегі жергілікті үзіліс) арқылы трафикті бағыттау арқылы роумингті қолдау.
• Желі функциялары арасындағы өзара әрекеттесу екі жолмен көрсетіледі: қызмет көрсетуге бағытталған и интерфейс.

5-ші буын желілік қауіпсіздік тұжырымдамасы қамтиды:

• Желіден пайдаланушының аутентификациясы.
• Пайдаланушы арқылы желі аутентификациясы.
• Желі мен пайдаланушы жабдығы арасындағы криптографиялық кілттерді келіссөздер жүргізу.
• Шифрлау және сигналдық трафиктің тұтастығын бақылау.
• Пайдаланушы трафигінің тұтастығын шифрлау және бақылау.
• Пайдаланушы идентификаторын қорғау.
• Желілік қауіпсіздік доменінің тұжырымдамасына сәйкес әртүрлі желі элементтері арасындағы интерфейстерді қорғау.
• Механизмнің әртүрлі қабаттарын оқшаулау желіні кесу және әрбір қабаттың қауіпсіздік деңгейлерін анықтау.
• Соңғы қызметтер (IMS, IoT және т.б.) деңгейінде пайдаланушының аутентификациясы және трафикті қорғау.

Негізгі бағдарламалық модульдер және 5G желісінің қауіпсіздік мүмкіндіктері

АМФ (ағылшын тіліндегі Access & Mobility Management Function - қол жеткізу және ұтқырлықты басқару функциясы) - мынаны қамтамасыз етеді:

• Басқару жазықтығы интерфейстерін ұйымдастыру.
• Сигналдық трафик алмасуды ұйымдастыру РЖМЖҒО, шифрлау және оның деректерінің тұтастығын қорғау.
• Сигналдық трафик алмасуды ұйымдастыру NAS, шифрлау және оның деректерінің тұтастығын қорғау.
• Желіде пайдаланушы жабдығын тіркеуді басқару және ықтимал тіркеу күйлерін бақылау.
• Пайдаланушы жабдығын желіге қосуды басқару және ықтимал күйлерді бақылау.
• CM-IDLE күйінде желіде пайдаланушы жабдығының қолжетімділігін бақылау.
• CM-CONNECTED күйінде желідегі пайдаланушы жабдығының ұтқырлығын басқару.
• Пайдаланушы жабдығы мен SMF арасында қысқа хабарламаларды беру.
• Орналасу қызметтерін басқару.
• Тақырып идентификаторын бөлу EPS EPS-пен әрекеттесу.

SMF (Ағылшын: Session Management Function - сеансты басқару функциясы) - қамтамасыз етеді:

• Байланыс сеансын басқару, яғни сеанстарды жасау, өзгерту және шығару, соның ішінде қол жеткізу желісі мен UPF арасындағы туннельді қолдау.
• Пайдаланушы жабдығының IP мекенжайларын тарату және басқару.
• Қолданылатын UPF шлюзін таңдау.
• ПҚҚ-мен әрекеттесуді ұйымдастыру.
• Саясаттың орындалуын басқару QoS.
• DHCPv4 және DHCPv6 хаттамалары арқылы пайдаланушы жабдығының динамикалық конфигурациясы.
• Тарифтік деректердің жиналуын бақылау және биллинг жүйесімен өзара әрекетті ұйымдастыру.
• Қызметтерді үздіксіз қамтамасыз ету (ағылшын тілінен. SSC - Сеанс және қызмет үздіксіздігі).
• Роумингтегі қонақ желілерімен өзара әрекеттесу.

UPF (Ағылшынша User Plane Function - пайдаланушы жазықтығы функциясы) - қамтамасыз етеді:

• Сыртқы деректер желілерімен, соның ішінде ғаламдық Интернетпен өзара әрекеттесу.
• Пайдаланушы пакеттерін бағыттау.
• QoS саясатына сәйкес пакеттерді таңбалау.
• Пайдаланушы бумасының диагностикасы (мысалы, қолтаңба негізіндегі қолданбаны анықтау).
• Жол қозғалысы туралы есеп беру.
• UPF сонымен қатар әртүрлі радиоқабылдау технологияларының ішінде және арасында ұтқырлықты қолдауға арналған тірек нүктесі болып табылады.

UDM (ағылшынша Unified Data Management - бірыңғай деректер базасы) - қамтамасыз етеді:

• Пайдаланушы профилінің деректерін басқару, соның ішінде пайдаланушыларға қолжетімді қызметтер тізімін және олардың сәйкес параметрлерін сақтау және өзгерту.
• Басқару SUPI
• 3GPP аутентификация тіркелгі деректерін жасаңыз AKA.
• Профиль деректеріне негізделген кіру авторизациясы (мысалы, роуминг шектеулері).
• Пайдаланушыны тіркеуді басқару, яғни қызмет көрсететін AMF сақтау.
• Үздіксіз қызмет көрсету және байланыс сеанстарын қолдау, яғни ағымдағы байланыс сеансына тағайындалған SMF сақтау.
• SMS жеткізуді басқару.
• Бірнеше түрлі UDM бір пайдаланушыға әртүрлі транзакциялар бойынша қызмет көрсете алады.

УДР (ағылшынша Unified Data Repository – бірыңғай деректерді сақтау) – пайдаланушының әртүрлі деректерін сақтауды қамтамасыз етеді және шын мәнінде барлық желі абоненттерінің мәліметтер базасы болып табылады.

UDSF (Ағылшынша Unstructured Data Storage Function - құрылымдалмаған деректерді сақтау функциясы) - AMF модульдері тіркелген пайдаланушылардың ағымдағы мәтінмәндерін сақтауды қамтамасыз етеді. Жалпы, бұл ақпаратты белгісіз құрылымның деректері ретінде ұсынуға болады. Пайдаланушы мәтінмәндері АӨҚ бірін қызметтен жоспарлы түрде шығару кезінде де, төтенше жағдайда да үздіксіз және үзіліссіз абоненттік сеанстарды қамтамасыз ету үшін пайдаланылуы мүмкін. Екі жағдайда да сақтық көшірме AMF USDF ішінде сақталған мәтінмәндерді пайдалана отырып, қызметті «көтереді».

Бір физикалық платформада UDR және UDSF біріктіру осы желі функцияларының әдеттегі іске асырылуы болып табылады.

ПКФ (Ағылшын: Policy Control Function – саясатты басқару функциясы) – пайдаланушыларға белгілі қызмет саясаттарын, соның ішінде QoS параметрлері мен зарядтау ережелерін жасайды және тағайындайды. Мысалы, трафиктің бір немесе басқа түрін беру үшін әртүрлі сипаттамалары бар виртуалды арналарды динамикалық түрде жасауға болады. Бұл ретте абонент сұраған қызметтің талаптары, желінің кептелу деңгейі, тұтынылатын трафик көлемі және т.б.

NEF (ағылш. Network Exposure Function - желіге әсер ету функциясы) - мыналарды қамтамасыз етеді:

• Сыртқы платформалар мен қосымшалардың желі ядросымен қауіпсіз өзара әрекеттесуін ұйымдастыру.
• Арнайы пайдаланушылар үшін QoS параметрлерін және зарядтау ережелерін басқарыңыз.

ТЕҢІЗ (Ағылшынша Security Anchor Function – зәкірлік қауіпсіздік функциясы) – AUSF-пен бірге кез келген қол жеткізу технологиясымен желіге тіркелген кезде пайдаланушылардың аутентификациясын қамтамасыз етеді.

AUSF (Ағылшынша Authentication Server Function – аутентификация серверінің функциясы) – SEAF-тен сұрауларды қабылдайтын және өңдейтін және оларды ARPF-ге қайта бағыттайтын аутентификация серверінің рөлін атқарады.

ARPF (Ағылшын: Authentication Credential Repository and Processing Function – аутентификацияның тіркелгі деректерін сақтау және өңдеу функциясы) – жеке құпия кілттерді (KI) және криптографиялық алгоритмдердің параметрлерін сақтауды, сондай-ақ 5G-AKA немесе сәйкес аутентификация векторларын генерациялауды қамтамасыз етеді. EAP-АҚ. Ол сыртқы физикалық әсерлерден қорғалған үйдегі байланыс операторының деректер орталығында орналасқан және, әдетте, UDM-мен біріктірілген.

SCMF (Ағылшынша Security Context Management Function - басқару функциясы қауіпсіздік контекст) - 5G қауіпсіздік контекстіне арналған өмірлік циклді басқаруды қамтамасыз етеді.

SPCF (ағылш. Security Policy Control Function – қауіпсіздік саясатын басқару функциясы) – нақты пайдаланушыларға қатысты қауіпсіздік саясатын үйлестіруді және қолдануды қамтамасыз етеді. Бұл желінің мүмкіндіктерін, пайдаланушы жабдығының мүмкіндіктерін және нақты қызметтің талаптарын ескереді (мысалы, маңызды байланыс қызметі және сымсыз кең жолақты Интернетке қол жеткізу қызметі қамтамасыз ететін қорғау деңгейлері әртүрлі болуы мүмкін). Қауіпсіздік саясатын қолдану мыналарды қамтиды: AUSF таңдау, аутентификация алгоритмін таңдау, деректерді шифрлау және тұтастықты басқару алгоритмдерін таңдау, кілттердің ұзақтығы мен өмірлік циклін анықтау.

SIDF (Ағылшынша Subscription Identifier De-concealing Function - пайдаланушы идентификаторын шығару функциясы) - жасырын идентификатордан (ағыл. SUCI), аутентификация процедурасының бөлігі ретінде алынған «Auth Info Req».

5G байланыс желілеріне қойылатын негізгі қауіпсіздік талаптары

көбірекПайдаланушының аутентификациясы: Қызмет көрсететін 5G желісі пайдаланушы мен желі арасындағы 5G AKA процесінде пайдаланушының SUPI түпнұсқалығын растауы керек.

Желі аутентификациясына қызмет көрсету: Пайдаланушы 5G қызмет көрсететін желі идентификаторын аутентификациялауы керек, аутентификация 5G AKA процедурасы арқылы алынған кілттерді сәтті пайдалану арқылы жүзеге асырылады.

Пайдаланушы авторизациясы: Қызмет көрсететін желі пайдаланушыға үйдегі байланыс операторының желісінен алынған пайдаланушы профилін пайдаланып рұқсат беруі керек.

Үй оператор желісінің қызмет көрсететін желіні авторизациялауы: Пайдаланушыға үй операторының желісі қызметтерді көрсетуге рұқсат берген қызмет көрсету желісіне қосылғанын растау керек. Авторизация 5G AKA процедурасының сәтті аяқталуымен қамтамасыз етілетін мағынада жасырын болып табылады.

Үй операторының желісімен кіру желісін авторизациялау: Пайдаланушыға үй операторының желісі қызмет көрсетуге рұқсат берген кіру желісіне қосылғанын растау керек. Авторизациялау қол жеткізу желісінің қауіпсіздігін сәтті орнату арқылы жүзеге асырылатын мағынада жасырын болып табылады. Авторизацияның бұл түрі қол жеткізу желісінің кез келген түрі үшін қолданылуы керек.

Аутентификацияланбаған жедел жәрдем қызметтері: Кейбір аймақтардағы нормативтік талаптарды қанағаттандыру үшін 5G желілері төтенше жағдайлар қызметтеріне аутентификацияланбаған кіруді қамтамасыз етуі керек.

Желінің негізгі және радиоқабылдау желісі: 5G желісінің өзегі және 5G радиоқабылдау желісі қауіпсіздікті қамтамасыз ету үшін 128 биттік шифрлау және тұтастық алгоритмдерін пайдалануды қолдауы керек. AS и NAS. Желі интерфейстері 256-биттік шифрлау кілттерін қолдауы керек.

Пайдаланушы жабдықтарына қойылатын негізгі қауіпсіздік талаптары

көбірек

• Пайдаланушы жабдығы шифрлауды, тұтастықты қорғауды және онымен радиоқабылдау желісі арасында жіберілетін пайдаланушы деректерінің қайталанатын шабуылдарынан қорғауды қолдауы керек.
• Пайдаланушы жабдығы радиоқабылдау желісінің нұсқауы бойынша шифрлау және деректер тұтастығын қорғау механизмдерін іске қосуы керек.
• Пайдаланушы жабдығы шифрлауды, тұтастықты қорғауды және RRC және NAS сигналдық трафигі үшін қайталау шабуылдарынан қорғауды қолдауы керек.
• Пайдаланушы жабдығы келесі криптографиялық алгоритмдерді қолдауы керек: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Пайдаланушы жабдығы келесі криптографиялық алгоритмдерге қолдау көрсете алады: 128-NEA3, 128-NIA3.
• Пайдаланушы жабдығы келесі криптографиялық алгоритмдерді қолдауы керек: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, егер ол E-UTRA радиоқабылдау желісіне қосылуды қолдаса.
• Пайдаланушы жабдығы мен радиоқабылдау желісі арасында жіберілетін пайдаланушы деректерінің құпиялылығын қорғау міндетті емес, бірақ ережемен рұқсат етілгенде қамтамасыз етілуі керек.
• RRC және NAS сигналдық трафигі үшін құпиялылықты қорғау міндетті емес.
• Пайдаланушының тұрақты кілті пайдаланушы жабдығының жақсы қорғалған құрамдас бөліктерінде қорғалуы және сақталуы керек.
• Абоненттің тұрақты жазылым идентификаторы дұрыс бағыттау үшін қажетті ақпаратты қоспағанда, радиоқабылдау желісі арқылы анық мәтінде берілмеуі керек (мысалы, MCC и ҚазМұнайТеңіз).
• Үй операторының желілік ашық кілті, кілт идентификаторы, қауіпсіздік схемасының идентификаторы және маршруттау идентификаторы мына жерде сақталуы керек. USIM.

Әрбір шифрлау алгоритмі екілік санмен байланысты:

• «0000»: NEA0 - Нөлдік шифрлау алгоритмі
• "0001": 128-NEA1 - 128-бит қар 3G негізіндегі алгоритм
• "0010" 128-NEA2 - 128-бит AES негізделген алгоритм
• "0011" 128-NEA3 - 128-бит ZUC негізделген алгоритм.

128-NEA1 және 128-NEA2 көмегімен деректерді шифрлау

PS Схема осыдан алынған TS 133.501

Тұтастықты қамтамасыз ету үшін 128-NIA1 және 128-NIA2 алгоритмдері бойынша модельденген кірістірулерді құру

PS Схема осыдан алынған TS 133.501

5G желісі функцияларына қойылатын негізгі қауіпсіздік талаптары

көбірек

• AMF SUCI көмегімен бастапқы аутентификацияны қолдауы керек.
• SEAF SUCI көмегімен бастапқы аутентификацияны қолдауы керек.
• UDM және ARPF пайдаланушының тұрақты кілтін сақтауы және оның ұрланудан қорғалғанын қамтамасыз етуі керек.
• AUSF жергілікті қызмет көрсету желісіне SUPI қызметін SUCI көмегімен сәтті бастапқы аутентификациядан кейін ғана қамтамасыз етеді.
• NEF жасырын негізгі желі ақпаратын оператордың қауіпсіздік доменінен тыс бағыттамауы керек.

Негізгі қауіпсіздік процедуралары

Сенім домендері

5-ші буын желілерінде элементтер желі өзегінен алыстаған сайын желі элементтеріне сенім төмендейді. Бұл тұжырымдама 5G қауіпсіздік архитектурасында қабылданған шешімдерге әсер етеді. Осылайша, желілік қауіпсіздік механизмдерінің әрекетін анықтайтын 5G желілерінің сенімді моделі туралы айтуға болады.

Пайдаланушы жағында сенімді домен UICC және USIM арқылы құрылады.

Желі жағында сенімді домен күрделі құрылымға ие.

Радиоқабылдау желісі екі құрамдас бөлікке бөлінеді − DU (ағылшын тілінен Distributed Units – таратылған желі бірліктері) және CU (ағылшын тілінен Central Units – желінің орталық бірліктері). Олар бірге қалыптасады gNB — 5G желісінің базалық станциясының радиоинтерфейсі. DU пайдаланушы деректеріне тікелей қол жеткізе алмайды, өйткені оларды қорғалмаған инфрақұрылым сегменттерінде орналастыруға болады. КС қорғалған желі сегменттерінде орналастырылуы керек, өйткені олар AS қауіпсіздік механизмдерінен трафикті тоқтатуға жауапты. Желінің өзегінде орналасқан АМФ, ол NAS қауіпсіздік механизмдерінен трафикті тоқтатады. Ағымдағы 3GPP 5G Phase 1 спецификациясы комбинацияны сипаттайды АМФ қауіпсіздік функциясымен ТЕҢІЗ, кірген (қызмет көрсететін) желінің түбірлік кілтін («зәкір кілті» ретінде де белгілі) қамтитын. AUSF сәтті аутентификациядан кейін алынған кілтті сақтауға жауапты. Пайдаланушы бір уақытта бірнеше радиоқабылдау желілеріне қосылған жағдайларда қайта пайдалану үшін қажет. ARPF пайдаланушының тіркелгі деректерін сақтайды және жазылушыларға арналған USIM аналогы болып табылады. УДР и UDM тіркелгі деректерін, пайдаланушы идентификаторларын жасау, сеанс үздіксіздігін қамтамасыз ету және т.б. логикасын анықтау үшін пайдаланылатын пайдаланушы ақпаратын сақтау.

Кілттердің иерархиясы және олардың таралу схемалары

5-ші буын желілерінде 4G-LTE желілерінен айырмашылығы аутентификация процедурасы екі құрамдас бөліктен тұрады: бастапқы және қосымша аутентификация. Желіге қосылатын барлық пайдаланушы құрылғылары үшін бастапқы аутентификация қажет. Қосымша аутентификация сыртқы желілердің сұрауы бойынша, егер абонент оларға қосылса, орындалуы мүмкін.

Бастапқы аутентификация сәтті аяқталғаннан кейін және пайдаланушы мен желі арасында ортақ K кілтін жасағаннан кейін KSEAF K кілтінен - ​​қызмет көрсететін желінің арнайы анкерлік (түбірлік) кілтінен шығарылады. Кейіннен RRC және NAS сигнализациясының трафик деректерінің құпиялылығы мен тұтастығын қамтамасыз ету үшін осы кілттен кілттер жасалады.

Түсіндірмелері бар диаграмма
Ескерту:
CK Шифр кілті
IK (ағыл.: Integrity Key) – деректер тұтастығын қорғау механизмдерінде қолданылатын кілт.
CK' (ағыл. Cipher Key) – EAP-AKA механизмі үшін CK-дан жасалған басқа криптографиялық кілт.
IK' (Ағылшынша тұтастық кілті) – EAP-AKA үшін деректер тұтастығын қорғау механизмдерінде қолданылатын басқа кілт.
KAUSF - ARPF функциясы және пайдаланушы жабдығы арқылы жасалған CK и IK 5G AKA және EAP-AKA кезінде.
KSEAF - кілттен AUSF функциясы арқылы алынған анкерлік кілт KAMFAUSF.
KAMF — SEAF функциясы арқылы кілттен алынған кілт KSEAF.
KNASint, KNASec — пернеден AMF функциясы арқылы алынған кілттер KAMF NAS сигналдық трафикті қорғау үшін.
KRRCint, KRRCenc — пернеден AMF функциясы арқылы алынған кілттер KAMF RRC сигналдық трафикті қорғау үшін.
KUPint, KUPenc — пернеден AMF функциясы арқылы алынған кілттер KAMF AS сигналдық трафикті қорғау үшін.
NH — пернеден AMF функциясы арқылы алынған аралық кілт KAMF тапсыру кезінде деректердің қауіпсіздігін қамтамасыз ету.
KgNB — кілттен AMF функциясы арқылы алынған кілт KAMF қозғалу механизмдерінің қауіпсіздігін қамтамасыз ету.

SUPI-дан SUCI генерациялау схемалары және керісінше

SUPI және SUCI алу схемалары

SUPI-дан SUCI және SUCI-дан SUPI өндіру:

Түпнұсқалық растама

Бастапқы аутентификация

5G желілерінде EAP-AKA және 5G AKA стандартты бастапқы аутентификация механизмдері болып табылады. Бастапқы аутентификация механизмін екі фазаға бөлейік: біріншісі аутентификацияны бастауға және аутентификация әдісін таңдауға жауап береді, екіншісі пайдаланушы мен желі арасындағы өзара аутентификацияға жауап береді.

Бастама

Пайдаланушы SEAF-ке тіркеу сұрауын жібереді, онда пайдаланушының жасырын жазылым идентификаторы SUCI бар.

SEAF аутентификация сұрауының хабарын (Nausf_UEAuthentication_Authenticate Request) AUSF-ге SNN (қызмет ететін желі атауы) және SUPI немесе SUCI бар жібереді.

AUSF SEAF аутентификация сұраушысына берілген SNN-ді пайдалануға рұқсат етілгенін тексереді. Егер қызмет көрсететін желіге осы SNN пайдалануға рұқсаты болмаса, AUSF «Қызмет көрсету желісі рұқсат етілмеген» (Nausf_UEAuthentication_Authenticate Response) авторизация қатесі хабарымен жауап береді.

Аутентификация тіркелгі деректерін AUSF SUPI немесе SUCI және SNN арқылы UDM, ARPF немесе SIDF үшін сұрайды.

SUPI немесе SUCI және пайдаланушы ақпараты негізінде UDM/ARPF келесіде пайдалану үшін аутентификация әдісін таңдайды және пайдаланушының тіркелгі деректерін шығарады.

Өзара аутентификация

Кез келген аутентификация әдісін пайдаланған кезде UDM/ARPF желі функциялары аутентификация векторын (AV) жасауы керек.

EAP-AKA: UDM/ARPF алдымен AMF = 1 бөлетін биті бар аутентификация векторын жасайды, содан кейін жасайды CK' и IK' -дан CK, IK және SNN және жаңа AV аутентификация векторын құрайды (RAND, AUTN, XRES*, CK', IK'), ол тек EAP-AKA үшін пайдалану нұсқауларымен AUSF жіберіледі.

5G AKA: UDM/ARPF кілтті алады KAUSF -дан CK, IK және SNN, содан кейін ол 5G HE AV генерациялайды. 5G үй ортасының аутентификация векторы). 5G HE AV аутентификация векторы (RAND, AUTN, XRES, KAUSF) тек 5G AKA үшін пайдалану нұсқауларымен AUSF жіберіледі.

Осы AUSF кейін анкерлік кілт алынады KSEAF кілттен KAUSF және RAND, AUTN және RES* бар «Nausf_UEAuthentication_Authenticate Response» хабарламасында SEAF «Challenge» сұрауын жібереді. Әрі қарай, RAND және AUTN қауіпсіз NAS сигналдық хабарламасы арқылы пайдаланушы жабдығына жіберіледі. Пайдаланушының USIM жүйесі алынған RAND және AUTN-дан RES* есептейді және оны SEAF-ке жібереді. SEAF бұл мәнді тексеру үшін AUSF-ге жібереді.

AUSF онда сақталған XRES* пен пайдаланушыдан алынған RES* салыстырады. Сәйкестік болса, оператордың үй желісіндегі AUSF және UDM сәтті аутентификация туралы хабарланады және пайдаланушы мен SEAF кілтті дербес жасайды. KAMF -дан KSEAF және одан әрі байланыс үшін SUPI.

Қосымша аутентификация

5G стандарты пайдаланушы жабдығы мен сыртқы деректер желісі арасындағы EAP-AKA негізіндегі қосымша аутентификацияны қолдайды. Бұл жағдайда SMF EAP аутентификациясының рөлін атқарады және жұмысқа сүйенеді AAA-пайдаланушыны аутентификациялайтын және авторизациялайтын сыртқы желі сервері.

• Үй желісінде пайдаланушының міндетті бастапқы аутентификациясы орын алады және AMF көмегімен жалпы NAS қауіпсіздік контексті әзірленеді.
• Пайдаланушы сеанс орнату үшін AMF-ке сұраныс жібереді.
• AMF пайдаланушының SUPI мәнін көрсете отырып, SMF сеансын құруға сұраныс жібереді.
• SMF берілген SUPI көмегімен UDM жүйесінде пайдаланушының тіркелгі деректерін тексереді.
• SMF АМФ сұрауына жауап жібереді.
• SMF сыртқы желідегі AAA серверінен сеанс орнатуға рұқсат алу үшін EAP аутентификация процедурасын бастайды. Ол үшін SMF және пайдаланушы процедураны бастау үшін хабарламалармен алмасады.
• Пайдаланушы мен сыртқы желілік AAA сервері пайдаланушыны аутентификациялау және авторизациялау үшін хабарламалармен алмасады. Бұл жағдайда пайдаланушы хабарламаларды SMF-ге жібереді, ол өз кезегінде UPF арқылы сыртқы желімен хабарламалармен алмасады.

қорытынды

5G қауіпсіздік архитектурасы бар технологияларды қайта пайдалануға негізделгенімен, ол мүлде жаңа міндеттер тудырады. IoT құрылғыларының үлкен саны, кеңейтілген желі шекаралары және орталықтандырылмаған архитектура элементтері - бұл киберқылмыскерлердің қиялына еркіндік беретін 5G стандартының негізгі принциптерінің кейбірі ғана.

5G қауіпсіздік архитектурасының негізгі стандарты болып табылады TS 23.501 15.6.0 нұсқасы — қауіпсіздік механизмдері мен процедураларының жұмысының негізгі нүктелерін қамтиды. Атап айтқанда, ол пайдаланушы деректерін және желі түйіндерін қорғауды қамтамасыз етудегі, криптокілттерді генерациялаудағы және аутентификация процедурасын жүзеге асырудағы әрбір VNF рөлін сипаттайды. Бірақ бұл стандарттың өзі байланыс операторларының алдында тұрған өзекті қауіпсіздік мәселелеріне жауап бермейді, соғұрлым жаңа буын желілері қарқынды дамып, пайдалануға беріледі.

Осыған байланысты, 5-ші буын желілерін пайдалану және қорғау қиындықтары ананың досының ұлы сияқты тасымалдау жылдамдығы мен жауаптарына уәде етілген және қазірдің өзінде барлығын сынап көруге ынталы қарапайым пайдаланушыларға әсер етпейтініне сенгім келеді. жаңа буын желілерінің мәлімделген мүмкіндіктері.

Пайдалы сілтемелер

3GPP спецификация сериясы
5G қауіпсіздік архитектурасы
5G жүйесінің архитектурасы
5G Wiki
5G архитектурасына ескертулер
5G қауіпсіздігіне шолу

Ақпарат көзі: www.habr.com