Албетте, коопсуздук механизмдери жөнүндө ойлонбостон, жаңы байланыш стандартын иштеп чыгуу өтө күмөндүү жана курулай аракет.

5G коопсуздук архитектурасы - жылы ишке ашырылган коопсуздук механизмдеринин жана жол-жоболордун жыйындысы 5-муундагы тармактар жана өзөктөн радио интерфейстерине чейин бардык тармак компоненттерин камтыйт.

5-муун тармактары, негизинен, эволюция болуп саналат 4-муундагы LTE тармактары. Радио жетүү технологиялары олуттуу өзгөрүүлөргө дуушар болгон. 5-муундагы тармактар ​​үчүн жаңы ЧЫЧКАН (Radio Access Technology) - 5G жаңы радио. Тармактын өзөгүнө келсек, ал мындай олуттуу өзгөрүүлөргө дуушар болгон эмес. Буга байланыштуу 5G LTE стандартында кабыл алынган тиешелүү технологияларды кайра колдонууга басым жасоо менен 4G тармактарынын коопсуздук архитектурасы иштелип чыккан.

Бирок, аба интерфейстерине жана сигналдык катмарга чабуул сыяктуу белгилүү коркунучтарды кайра карап чыгуу (белги учак), DDOS чабуулдары, Man-In-The-Middle чабуулдары ж.б., байланыш операторлорун жаңы стандарттарды иштеп чыгууга жана 5-муундагы тармактарга таптакыр жаңы коопсуздук механизмдерин интеграциялоого түрттү.

өбөлгөлөр

2015-жылы Эл аралык электр байланыш союзу бешинчи муундагы түйүндөрдү өнүктүрүү боюнча биринчи дүйнөлүк планды түзгөн, ошондуктан 5G тармактарында коопсуздук механизмдерин жана процедураларын иштеп чыгуу маселеси өзгөчө курч болуп калды.

Жаңы технология маалымат берүүнүн чындап эле таасирдүү ылдамдыгын (1 Гбит/с ашык), 1 мс кем күтүү убактысын жана 1 км1 радиуста 2 миллионго жакын түзмөктөрдү бир эле учурда туташтыруу мүмкүнчүлүгүн сунуш кылды. 5-муундагы тармактарга коюлган мындай жогорку талаптар аларды уюштуруунун принциптеринде да чагылдырылган.

Негизгиси децентрализация болду, бул тармактын перифериясында көптөгөн локалдык маалымат базаларын жана алардын процессинг борборлорун жайгаштырууну билдирет. Бул качан кечиктирүүлөрдү азайтуу үчүн мүмкүнчүлүк түздү M2M- көп сандагы IoT түзмөктөрүн тейлөөнүн эсебинен байланыш жана тармактын өзөгүн бошотот. Ошентип, кийинки муун түйүндөрүнүн чеги базалык станцияларга чейин кеңейип, жергиликтүү байланыш борборлорун түзүүгө жана критикалык кечигүү же кызмат көрсөтүүдөн баш тартуу коркунучу жок булут кызматтарын көрсөтүүгө мүмкүндүк берди. Албетте, тармакка жана кардарларды тейлөөгө карата өзгөргөн мамиле чабуулчуларды кызыктырды, анткени бул аларга кызмат көрсөтүүдөн баш тартуу же оператордун эсептөө ресурстарын басып алуу үчүн колдонуучунун купуя маалыматына да, тармактын компоненттеринин өзүнө да кол салууга жаңы мүмкүнчүлүктөрдү ачты.

5-муундагы тармактардын негизги кемчиликтери

Чоң чабуул бети

More3-жана 4-муундагы телекоммуникация тармактарын курууда байланыш операторлору, адатта, аппараттык жана программалык камсыздоонун комплексин дароо камсыз кылган бир же бир нече сатуучулар менен иштөө менен чектелишти. Башкача айтканда, баары иштеши мүмкүн, алар айткандай, "кутудан тышкары" - сатуучудан сатып алынган жабдууларды орнотуу жана конфигурациялоо жетиштүү болду; менчик программалык камсыздоону алмаштыруу же толуктоо зарылдыгы жок болчу. Заманбап тенденциялар бул “классикалык” ыкмага карама-каршы келет жана тармактарды виртуалдаштырууга, алардын курулушуна жана программалык камсыздоонун көп түрдүүлүгүнө багытталган. сыяктуу технологиялар SDN (англисче программалык камсыздоо аныкталган тармак) жана NFV (English Network Functions Virtualization), бул ачык булак коддорунун негизинде курулган программалык камсыздоонун чоң көлөмүн байланыш тармактарын башкаруу процесстерине жана функцияларына киргизүүгө алып келет. Бул чабуулчуларга оператордун тармагын жакшыраак изилдөөгө жана көп сандагы аялуу жерлерди аныктоого мүмкүнчүлүк берет, бул өз кезегинде азыркыга салыштырмалуу жаңы муундагы тармактардын чабуулунун үстүн жогорулатат.

IoT түзмөктөрүнүн көп саны

More2021-жылга карата 57G тармактарына туташкан түзмөктөрдүн болжол менен 5% IoT түзмөктөрү болот. Бул көпчүлүк хосттордун криптографиялык мүмкүнчүлүктөрү чектелүү (2-пунктту караңыз) жана ошого жараша чабуулдарга дуушар болот дегенди билдирет. Мындай түзмөктөрдүн көп саны ботнеттердин таралуу коркунучун жогорулатат жана андан да күчтүү жана таратылган DDoS чабуулдарын жүргүзүүгө мүмкүндүк берет.

IoT түзмөктөрүнүн чектелген криптографиялык мүмкүнчүлүктөрү

MoreЖогоруда айтылгандай, 5-муундагы тармактар ​​перифериялык түзүлүштөрдү жигердүү колдонушат, бул тармактын өзөгүнөн жүктүн бир бөлүгүн алып салууга жана ошону менен кечиктирүүнү азайтууга мүмкүндүк берет. Бул учкучсуз унааларды башкаруу, авариялык эскертүү системасы сыяктуу маанилүү кызматтар үчүн зарыл IMS жана башкалар, алар үчүн минималдуу кечиктирүүнү камсыз кылуу маанилүү, анткени адам өмүрү андан көз каранды. Кичинекей өлчөмдөрүнөн жана аз энергия керектөөсүнөн улам өтө чектелген эсептөө ресурстарына ээ болгон көп сандагы IoT түзүлүштөрүнүн туташтырылышынан улам 5G тармактары башкарууну кармоого жана мындай түзүлүштөрдү кийинки манипуляциялоого багытталган чабуулдарга алсыз болуп калат. Мисалы, системанын бир бөлүгү болгон IoT түзмөктөрү жуккан сценарийлер болушу мүмкүн "акылдуу үй", сыяктуу зыяндуу программалардын түрлөрү Ransomware жана Ransomware. Булут аркылуу буйруктарды жана навигация маалыматын алган учкучсуз унааларды башкарууну кармап калуу сценарийлери да мүмкүн. Формалдуу түрдө бул аялуу жаңы муун тармактарын децентрализациялоо менен шартталган, бирок кийинки абзацта борбордон ажыратуу көйгөйү ачык-айкын көрсөтүлөт.

Тармактын чектерин борбордон ажыратуу жана кеңейтүү

MoreЛокалдык тармактын өзөктөрүнүн ролун ойногон перифериялык түзүлүштөр колдонуучу трафигин маршрутизациялоону, суроо-талаптарды иштетүүнү, ошондой эле колдонуучунун маалыматтарын локалдык кэштөө жана сактоону жүзөгө ашырат. Ошентип, 5-муундагы тармактардын чек аралары өзөктөн тышкары периферияга, анын ичинде жергиликтүү маалымат базаларына жана 5G-NR (5G New Radio) радио интерфейстерине чейин кеңейүүдө. Бул кызмат көрсөтүүдөн баш тартуу максатында тармактын өзөгүнүн борбордук түйүндөрүнө караганда априори алсызыраак корголгон локалдык түзүлүштөрдүн эсептөө ресурстарына чабуул жасоо мүмкүнчүлүгүн түзөт. Бул бүткүл аймактар ​​үчүн Интернетке кирүүнүн өчүрүлүшүнө, IoT түзүлүштөрүнүн туура эмес иштешине (мисалы, акылдуу үй системасында), ошондой эле IMS шашылыш билдирүү кызматынын жеткиликсиздигине алып келиши мүмкүн.

Бирок, ETSI жана 3GPP азыр 10G тармагынын коопсуздугунун ар кандай аспектилерин камтыган 5дон ашык стандарттарды жарыялашты. Ал жерде сүрөттөлгөн механизмдердин басымдуу көпчүлүгү алсыздыктардан коргоого багытталган (анын ичинде жогоруда айтылгандар). Алардын негизгилеринин бири - стандарт TS 23.501 версиясы 15.6.0, 5-муундагы тармактардын коопсуздук архитектурасын сүрөттөгөн.

5G архитектурасы

Биринчиден, 5G тармагынын архитектурасынын негизги принциптерине кайрылалы, алар мындан ары ар бир программалык модулдун жана ар бир 5G коопсуздук функциясынын маанисин жана жоопкерчилик чөйрөсүн ачып берет.

• Тармак түйүндөрүн протоколдордун иштешин камсыз кылуучу элементтерге бөлүү жеке учак (англис тилинен UP - User Plane) жана протоколдордун иштешин камсыз кылуучу элементтер башкаруу учагы (англисчеден CP - Control Plane), бул тармакты масштабдоо жана жайылтуу жагынан ийкемдүүлүктү жогорулатат, б.а. жеке компоненттүү тармак түйүндөрүн борборлоштурулган же борборлоштурулган эмес жайгаштыруу мүмкүн.
• Механизмди колдоо тармакты кесүү, акыркы колдонуучулардын белгилүү бир топторуна көрсөтүлгөн кызматтардын негизинде.
• түрүндө тармак элементтерин ишке ашыруу виртуалдык тармак функциялары.
• Борборлоштурулган жана локалдык кызматтарга бир эле убакта жетүү үчүн колдоо, б.а. булут концепцияларын ишке ашыруу (англис тилинен. туман эсептөө) жана чек (англис тилинен. Гаджет эсептөө) эсептөөлөр.
• Реализация конвергент кирүү тармактарынын ар кандай түрлөрүн бириктирген архитектура - 3GPP 5G Жаңы Радио жана 3GPP эмес (Wi-Fi ж.б.) - бир тармак өзөгү менен.
• Кирүү тармагынын түрүнө карабастан бирдиктүү алгоритмдерди жана аутентификация процедураларын колдоо.
• Эсептелген ресурс ресурстар дүкөнүнөн бөлүнгөн жарандыгы жок тармак функцияларын колдоо.
• Роумингди үй тармагы аркылуу (англисче үй-маршруттук роумингден) жана конок тармагындагы локалдык “десант” (англисче локалдык үзгүлтүксүз) аркылуу маршрутташтыруу менен колдоо.
• Тармак функцияларынын өз ара аракеттенүүсү эки жол менен көрсөтүлөт: кызмат багытталган и интерфейс.

5-муундагы тармактык коопсуздук концепциясы камтыйт:

• Тармактан колдонуучунун аутентификациясы.
• Колдонуучу тарабынан тармактын аутентификациясы.
• Тармак менен колдонуучунун жабдууларынын ортосунда криптографиялык ачкычтар боюнча сүйлөшүүлөр.
• Шифрлөө жана сигналдык трафиктин бүтүндүгүн көзөмөлдөө.
• Колдонуучу трафиктин бүтүндүгүн шифрлөө жана көзөмөлдөө.
• Колдонуучунун ID коргоо.
• Тармактын коопсуздук доменинин концепциясына ылайык ар кандай тармак элементтеринин ортосундагы интерфейстерди коргоо.
• Механизмдин ар кандай катмарларын изоляциялоо тармакты кесүү жана ар бир катмардын өзүнүн коопсуздук деңгээлин аныктоо.
• Колдонуучунун аутентификациясы жана акыркы кызматтардын деңгээлинде трафикти коргоо (IMS, IoT жана башкалар).

Негизги программалык модулдар жана 5G тармагынын коопсуздук өзгөчөлүктөрү

Amf (англисче Access & Mobility Management Function - мүмкүндүк алуу жана мобилдүүлүктү башкаруу функциясы) - төмөнкүлөрдү камсыз кылат:

• Башкаруу тегиздигинин интерфейстерин уюштуруу.
• Сигналдык трафик алмашууну уюштуруу каржынын, шифрлөө жана анын маалыматтарынын бүтүндүгүн коргоо.
• Сигналдык трафик алмашууну уюштуруу УИАнын, шифрлөө жана анын маалыматтарынын бүтүндүгүн коргоо.
• Тармакта колдонуучунун жабдууларын каттоону башкаруу жана мүмкүн болгон каттоо абалына мониторинг жүргүзүү.
• Тармакка колдонуучунун жабдууларын кошууну башкаруу жана мүмкүн болгон абалдарды көзөмөлдөө.
• CM-IDLE абалында тармакта колдонуучу жабдууларынын болушун көзөмөлдөө.
• CM-CONNECTED абалында тармактагы колдонуучу жабдууларынын мобилдүүлүгүн башкаруу.
• Колдонуучу жабдуулар менен SMF ортосунда кыска билдирүүлөрдү берүү.
• Жайгашкан жерди аныктоо кызматтарын башкаруу.
• Thread ID бөлүштүрүү EPS EPS менен өз ара аракеттенүү.

SMF (англисче: Session Management Function - сессияны башкаруу функциясы) - төмөнкүлөрдү камсыз кылат:

• Байланыш сессиясын башкаруу, б.а. сеанстарды түзүү, өзгөртүү жана чыгаруу, анын ичинде кирүү тармагы менен UPF ортосундагы туннелди сактоо.
• Колдонуучу жабдуулардын IP даректерин бөлүштүрүү жана башкаруу.
• Колдонуу үчүн UPF шлюзун тандоо.
• PCF менен өз ара аракеттенүүнү уюштуруу.
• Саясаттын аткарылышын башкаруу QoS.
• DHCPv4 жана DHCPv6 протоколдорун колдонуу менен колдонуучунун жабдууларынын динамикалык конфигурациясы.
• Тарифтик маалыматтарды чогултууга мониторинг жүргүзүү жана биллинг системасы менен өз ара аракеттенүүнү уюштуруу.
• Кызматтарды үзгүлтүксүз көрсөтүү (англис тилинен. SSC - сессия жана кызмат үзгүлтүксүздүгү).
• Роумингдеги конок тармактары менен өз ара аракеттенүү.

UPF (англисче User Plane Function - колдонуучунун учак функциясы) - төмөнкүлөрдү камсыз кылат:

• Тышкы маалымат тармактары, анын ичинде глобалдык Интернет менен өз ара аракеттенүү.
• Колдонуучу пакеттерин багыттоо.
• QoS саясатына ылайык пакеттерди белгилөө.
• Колдонуучу топтомунун диагностикасы (мисалы, кол тамгага негизделген тиркемени аныктоо).
• Жол кыймылы боюнча отчетторду берүү.
• UPF ошондой эле ар кандай радио жетүү технологияларынын ичинде жана ортосунда мобилдүүлүктү колдоо үчүн негизги чекит болуп саналат.

UDM (англисче Unified Data Management - бирдиктүү маалымат базасы) - төмөнкүлөрдү камсыз кылат:

• Колдонуучунун профилинин маалыматтарын башкаруу, анын ичинде колдонуучуларга жеткиликтүү кызматтардын тизмесин жана алардын тиешелүү параметрлерин сактоо жана өзгөртүү.
• жетекчилик SUPI
• 3GPP аныктыгын текшерүү грамоталарын түзүү АКА.
• Профиль маалыматтарынын негизинде уруксат берүү (мисалы, роуминг чектөөлөрү).
• Колдонуучуну каттоону башкаруу, б.а. тейлөөчү AMF сактагычы.
• Үзгүлтүксүз тейлөө жана байланыш сессияларын колдоо, б.а. учурдагы байланыш сессиясына дайындалган SMF сактоо.
• SMS жеткирүү башкаруу.
• Бир нече ар кандай UDM бир эле колдонуучуга ар кандай транзакциялар боюнча кызмат кыла алат.

UDR (англисче Unified Data Repository – бирдиктүү маалыматтарды сактоо) – колдонуучунун ар кандай маалыматтарын сактоону камсыз кылат жана чындыгында бардык тармактын абоненттеринин маалымат базасы болуп саналат.

UDSF (англисче Unstructured Data Storage Function - структураланбаган маалыматтарды сактоо функциясы) - AMF модулдары катталган колдонуучулардын учурдагы контексттерин сактоону камсыздайт. Жалпысынан алганда, бул маалымат белгисиз структуранын маалыматтары катары берилиши мүмкүн. Колдонуучу контексттери абоненттик сеанстардын үзгүлтүксүз жана үзгүлтүксүз иштешин камсыз кылуу үчүн колдонулушу мүмкүн, АМФтин бирин кызматтан пландаштырылган алып салуу учурунда да, өзгөчө кырдаал болгон учурда да. Эки учурда тең, камдык AMF кызматты USDFде сакталган контексттерди колдонуу менен "тартып алат".

Ошол эле физикалык платформада UDR жана UDSF айкалыштыруу бул тармак функцияларын типтүү ишке ашыруу болуп саналат.

жан (Кыргызча: Policy Control Function - саясатты көзөмөлдөө функциясы) - колдонуучуларга белгилүү бир кызмат саясаттарын, анын ичинде QoS параметрлерин жана кубаттоо эрежелерин түзөт жана дайындайт. Мисалы, трафиктин тигил же бул түрүн өткөрүү үчүн ар кандай мүнөздөмөлөргө ээ виртуалдык каналдар динамикалык түрдө түзүлүшү мүмкүн. Ошол эле учурда, абонент сураган кызматтын талаптары, түйүндүн тыгынынын деңгээли, керектелген трафиктин көлөмү ж.б.

NEF (Англисче Network Exposure Function - тармак экспозициясы функциясы) - төмөнкүлөрдү камсыз кылат:

• Тармактын өзөгү менен тышкы платформалардын жана тиркемелердин коопсуз өз ара аракеттенүүсүн уюштуруу.
• Белгилүү колдонуучулар үчүн QoS параметрлерин жана кубаттоо эрежелерин башкарыңыз.

SEAF (англисче Security Anchor Function - анкер коопсуздук функциясы) - AUSF менен бирге, колдонуучулар каалаган кирүү технологиясы менен тармакка катталганда аутентификацияны камсыз кылат.

AUSF (Англисче Authentication Server Function – аутентификация серверинин функциясы) – SEAFтан суроо-талаптарды кабыл алып, иштетип, аларды ARPFге багыттоочу аутентификация серверинин ролун аткарат.

ARPF (англисче: Authentication Credential Repository and Processing Function – аутентификациянын тастыктоо маалыматтарын сактоо жана иштетүү функциясы) – жеке жашыруун ачкычтарды (КИ) жана криптографиялык алгоритмдердин параметрлерин сактоону, ошондой эле 5G-AKA же ылайык аутентификация векторлорун генерациялоону камсыз кылат. ЖАНА AP-АКА. Ал үй байланыш операторунун маалымат борборунда жайгашкан, тышкы физикалык таасирлерден корголгон жана, эреже катары, UDM менен интеграцияланган.

SCMF (Кыргызча Коопсуздук Контекстти Башкаруу Функциясы - башкаруу функциясы коопсуздук контексти) - 5G коопсуздук контексти үчүн жашоо циклин башкарууну камсыз кылат.

SPCF (англисче Security Policy Control Function – коопсуздук саясатын башкаруу функциясы) – конкреттүү колдонуучуларга карата коопсуздук саясатын координациялоону жана колдонууну камсыздайт. Бул тармактын мүмкүнчүлүктөрүн, колдонуучунун жабдууларынын мүмкүнчүлүктөрүн жана спецификалык кызматтын талаптарын эске алат (мисалы, критикалык байланыш кызматы жана зымсыз кең тилкелүү Интернетке кирүү кызматы тарабынан камсыздалган коргоо деңгээли ар кандай болушу мүмкүн). Коопсуздук саясатын колдонуу төмөнкүлөрдү камтыйт: AUSF тандоо, аутентификация алгоритмин тандоо, маалыматтарды шифрлөө жана бүтүндүгүн башкаруу алгоритмдерин тандоо, ачкычтардын узундугун жана жашоо циклин аныктоо.

SIDF (English Subscription Identifier De-concealing Function - колдонуучунун идентификаторун чыгаруу функциясы) - жашыруун идентификатордон (англисче SUPI) абоненттин туруктуу жазылуу идентификаторун (англисче SUPI) чыгарып алууну камсыздайт. SUCI), аутентификация процедурасынын бир бөлүгү катары алынган "Auth Info Req".

5G байланыш тармактары үчүн негизги коопсуздук талаптары

MoreКолдонуучунун аутентификациясы: Тейлөөчү 5G тармагы колдонуучу менен тармактын ортосундагы 5G AKA процессинде колдонуучунун SUPI аутентификациясынан өтүшү керек.

Тармактын аныктыгын текшерүү: Колдонуучу 5G АКА процедурасы аркылуу алынган ачкычтарды ийгиликтүү колдонуу аркылуу ишке ашырылган аутентификацияга ээ болгон 5G кызмат көрсөтүүчү тармак идентификаторунун аныктыгын текшерүүсү керек.

Колдонуучунун авторизациясы: Тейлөөчү тармак колдонуучуга үй байланыш операторунун тармагынан алынган колдонуучу профилин колдонууга уруксат бериши керек.

Үй операторунун тармагы тарабынан тейлөө тармагын авторизациялоо: Колдонуучуга үй операторунун тармагы тарабынан кызматтарды көрсөтүүгө уруксат берилген тейлөө тармагына туташкандыгы тууралуу тастыктоо берилиши керек. Авторизация 5G AKA процедурасын ийгиликтүү аяктоо менен камсыз кылынат деген мааниде ачык-айкын эмес.

Үй операторунун тармагы тарабынан кирүү тармагын авторизациялоо: Колдонуучуга үй операторунун тармагы тарабынан кызматтарды көрсөтүүгө уруксат берилген кирүү тармагына туташкандыгы тууралуу ырастоо берилиши керек. Авторизациялоо жетүү тармагынын коопсуздугун ийгиликтүү орнотуу аркылуу ишке ашат деген мааниде кыйыр түрдө болот. Авторизациянын бул түрү кирүү тармагынын бардык түрү үчүн колдонулушу керек.

Аныктыгы текшерилбеген тез жардам кызматтары: Кээ бир аймактардагы ченемдик талаптарга жооп берүү үчүн, 5G тармактары шашылыш кызматтар үчүн аутентификацияланбаган кирүү мүмкүнчүлүгүн камсыз кылышы керек.

Тармактын негизги жана радио жетүү тармагы: 5G тармагынын өзөгү жана 5G радио жетүү тармагы коопсуздукту камсыз кылуу үчүн 128 биттик шифрлөө жана бүтүндүк алгоритмдерин колдонууну колдошу керек AS и УИАнын. Тармак интерфейстери 256-бит шифрлөө ачкычтарын колдоого алышы керек.

Колдонуучу жабдуулар үчүн негизги коопсуздук талаптары

More

• Колдонуучунун жабдуулары шифрлөөнү, бүтүндүктү коргоону жана аны менен радио жетүү тармагынын ортосунда берилүүчү колдонуучунун маалыматтарын кайталоо чабуулдарынан коргоону колдоого алышы керек.
• Колдонуучунун жабдуулары шифрлөө жана маалыматтардын бүтүндүгүн коргоо механизмдерин радио жетүү тармагы боюнча иштетиши керек.
• Колдонуучунун жабдуулары шифрлөөнү, бүтүндүктү коргоону жана RRC жана NAS сигнализация трафигинин кайталоо чабуулдарынан коргоону колдоого алышы керек.
• Колдонуучунун жабдуулары төмөнкү криптографиялык алгоритмдерди колдоого алышы керек: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Колдонуучу жабдуулар төмөнкү криптографиялык алгоритмдерди колдоого алат: 128-NEA3, 128-NIA3.
• Колдонуучунун жабдуулары төмөнкү криптографиялык алгоритмдерди колдоого алышы керек: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, эгерде ал E-UTRA радио жетүү тармагына туташууну колдосо.
• Колдонуучунун жабдуулары менен радио жетүү тармагынын ортосунда берилүүчү колдонуучунун маалыматтарынын купуялуулугун коргоо милдеттүү эмес, бирок ченемдик укуктук актылар тарабынан уруксат берилгенде камсыздалууга тийиш.
• RRC жана NAS сигнализациясы үчүн купуялыкты коргоо милдеттүү эмес.
• Колдонуучунун туруктуу ачкычы корголушу жана колдонуучунун жабдууларынын жакшы корголгон компоненттеринде сакталышы керек.
• Абоненттин туруктуу жазылуу идентификатору туура багыттоо үчүн зарыл болгон маалыматты кошпогондо, радио жетүү тармагы аркылуу ачык текстте берилбеши керек (мисалы, МКК и MNC).
• Үй операторунун тармагынын ачык ачкычы, ачкыч идентификатору, коопсуздук схемасынын идентификатору жана маршруттук идентификатор бул жерде сакталышы керек. USIM.

Ар бир шифрлөө алгоритми экилик сан менен байланышкан:

• "0000": NEA0 - Нулдук шифрлөө алгоритми
• "0001": 128-NEA1 - 128-бит КАРДЫН 3G негизинде алгоритм
• "0010" 128-NEA2 - 128-бит Өнүктүрүлгөн негизделген алгоритм
• "0011" 128-NEA3 - 128-бит ZUC негизделген алгоритм.

128-NEA1 жана 128-NEA2 аркылуу берилиштерди шифрлөө

P.S. Диаграммадан алынган TS 133.501

Бүтүндүктү камсыз кылуу үчүн 128-NIA1 жана 128-NIA2 алгоритмдери боюнча симуляцияланган кыстармаларды түзүү

P.S. Диаграммадан алынган TS 133.501

5G тармагынын функциялары үчүн негизги коопсуздук талаптары

More

• AMF SUCI аркылуу баштапкы аутентификацияны колдоого алышы керек.
• SEAF SUCI аркылуу баштапкы аутентификацияны колдоого алышы керек.
• UDM жана ARPF колдонуучунун туруктуу ачкычын сактоого жана анын уурулуктан корголушун камсыз кылууга тийиш.
• AUSF жергиликтүү тейлөө тармагына SUPIди SUCI аркылуу ийгиликтүү алгачкы аутентификациядан кийин гана камсыздайт.
• NEF жашыруун негизги тармак маалыматын оператордун коопсуздук доменинен башка жакка жибербеши керек.

Негизги коопсуздук процедуралары

Trust Domains

5-муундагы тармактарда элементтер тармактын өзөгүнөн алыстаган сайын тармак элементтерине болгон ишеним азаят. Бул концепция 5G коопсуздук архитектурасында кабыл алынган чечимдерге таасир этет. Ошентип, тармактык коопсуздук механизмдеринин жүрүм-турумун аныктаган 5G тармактарынын ишеним модели жөнүндө сөз кылууга болот.

Колдонуучу тарапта ишеним домени UICC жана USIM тарабынан түзүлөт.

Тармак тарабында, ишеним домени татаал түзүлүшкө ээ.

Радио жетүү тармагы эки компонентке бөлүнөт - DU (англис тилинен Distributed Units - бөлүштүрүлгөн тармак бирдиктери) жана CU (Англис Борбордук бирдиктеринен - ​​тармактын борбордук бөлүмдөрүнөн). Алар чогуу түзүшөт gNB — 5G түйүнүнүн базалык станциясынын радио интерфейси. DUлардын колдонуучу маалыматтарына түз жетүү мүмкүнчүлүгү жок, анткени алар корголбогон инфраструктура сегменттеринде жайгаштырылышы мүмкүн. КСлар корголгон тармак сегменттеринде жайгаштырылышы керек, анткени алар AS коопсуздук механизмдеринен трафикти токтотуу үчүн жооптуу. Тармактын өзөгүндө жайгашкан Amf, бул NAS коопсуздук механизмдеринен трафикти токтотот. Учурдагы 3GPP 5G Phase 1 спецификациясы айкалышты сүрөттөйт Amf коопсуздук функциясы менен SEAF, кирген (кызмат көрсөтүүчү) тармактын түпкү ачкычын ("казык ачкычы" катары да белгилүү) камтыган. AUSF ийгиликтүү аутентификациядан кийин алынган ачкычты сактоо үчүн жооптуу. Колдонуучу бир эле учурда бир нече радио жетүү тармактарына туташкан учурларда кайра колдонуу үчүн зарыл. ARPF колдонуучунун эсептик дайындарын сактайт жана абоненттер үчүн USIM аналогу болуп саналат. UDR и UDM колдонуучу маалыматын сактоо, ал эсептик дайындарды, колдонуучунун идентификаторлорун түзүү, сессиянын үзгүлтүксүздүгүн камсыздоо жана башкалар үчүн логиканы аныктоо үчүн колдонулат.

Ачкычтардын иерархиясы жана аларды бөлүштүрүү схемалары

5-муундагы тармактарда, 4G-LTE тармактарынан айырмаланып, аутентификация процедурасы эки компоненттен турат: негизги жана экинчилик аутентификация. Тармакка туташкан бардык колдонуучу түзмөктөр үчүн негизги аутентификация талап кылынат. Экинчилик аутентификация, эгерде абонент аларга кошулса, тышкы тармактардын талабы боюнча жүргүзүлүшү мүмкүн.

Алгачкы аутентификация ийгиликтүү аяктагандан жана колдонуучу менен тармактын ортосунда жалпы К ачкычын иштеп чыккандан кийин, KSEAF K ачкычынан - тейлөөчү тармактын атайын анкердик (тамыр) ачкычысынан чыгарылат. Андан кийин бул ачкычтан RRC жана NAS сигнализациясынын трафик маалыматтарынын купуялуулугун жана бүтүндүгүн камсыз кылуу үчүн ачкычтар түзүлөт.

Түшүндүрмөлөрү бар диаграмма
белгилөөлөр:
CK Шифр ачкычы
IK (англисче: Integrity Key) - маалыматтардын бүтүндүгүн коргоо механизмдеринде колдонулган ачкыч.
CK' (англ. Cipher Key) - EAP-AKA механизми үчүн CKдан түзүлгөн дагы бир криптографиялык ачкыч.
IK' (English Integrity Key) - EAP-AKA үчүн маалыматтардын бүтүндүгүн коргоо механизмдеринде колдонулган дагы бир ачкыч.
KAUSF - ARPF функциясы жана колдонуучунун жабдуулары тарабынан түзүлгөн CK и IK 5G AKA жана EAP-AKA учурунда.
KSEAF - ачкычтан AUSF функциясы тарабынан алынган анкардык ачкыч KAMFAUSF.
KAMF — ачкычтан SEAF функциясы тарабынан алынган ачкыч KSEAF.
KNASint, KNASec — ачкычтан AMF функциясы тарабынан алынган ачкычтар KAMF NAS сигналдык трафикти коргоо үчүн.
KRRCint, KRRCenc — ачкычтан AMF функциясы тарабынан алынган ачкычтар KAMF RRC сигналдык трафикти коргоо үчүн.
KUPint, KUPenc — ачкычтан AMF функциясы тарабынан алынган ачкычтар KAMF AS сигналдык трафикти коргоо үчүн.
NH — AMF функциясы менен ачкычтан алынган орто ачкыч KAMF өткөрүп берүү учурунда маалыматтардын коопсуздугун камсыз кылуу.
KgNB — ачкычтан AMF функциясы тарабынан алынган ачкыч KAMF кыймылдуу механизмдердин коопсуздугун камсыз кылуу.

SUPIден SUCI түзүү схемалары жана тескерисинче

SUPI жана SUCI алуу схемалары

SUPIден SUCI жана SUCIден SUPI өндүрүү:

тастыктоо

Негизги аутентификация

5G тармактарында EAP-AKA жана 5G AKA стандарттуу баштапкы аутентификация механизмдери болуп саналат. Алгачкы аутентификация механизмин эки фазага бөлөлү: биринчиси аутентификацияны баштоо жана аутентификация ыкмасын тандоо үчүн жооп берет, экинчиси колдонуучу менен тармактын ортосундагы өз ара аутентификация үчүн жооптуу.

билдирүү

Колдонуучу SEAFке каттоо өтүнүчүн тапшырат, анда колдонуучунун жашыруун жазылуу ID SUCI камтылган.

SEAF AUSFке SNN (Тейлөө тармагынын аталышы) жана SUPI же SUCI камтыган аутентификация сурам билдирүүсүн (Nausf_UEAuthentication_Authenticate Request) жөнөтөт.

AUSF SEAF аутентификациясын сураган адамга берилген SNNди колдонууга уруксат берилгендигин текшерет. Эгерде тейлөө тармагына бул SNNди колдонууга уруксаты жок болсо, анда AUSF авторизация катасы кабары менен жооп берет "Тейлөө тармагына уруксат жок" (Nausf_UEAuthentication_Authenticate Response).

Аныктыгын текшерүү эсептик дайындары AUSF тарабынан SUPI же SUCI жана SNN аркылуу UDM, ARPF же SIDFге суралат.

SUPI же SUCI жана колдонуучу маалыматынын негизинде, UDM/ARPF кийинки колдонуу үчүн аутентификация ыкмасын тандайт жана колдонуучунун эсептик дайындарын чыгарат.

Өз ара аутентификация

Кандайдыр бир аутентификация ыкмасын колдонууда UDM/ARPF тармак функциялары аутентификация векторун (AV) жаратышы керек.

EAP-AKA: UDM/ARPF адегенде AMF = 1 бөлүүчү бит менен аутентификация векторун жаратат, андан кийин CK' и IK' чейин CK, IK жана SNN жана жаңы AV аутентификация векторун түзөт (RAND, AUTN, XRES*, CK', IK'), аны EAP-AKA үчүн гана колдонуу нускамасы менен AUSF жөнөтүлөт.

5G AKA: UDM/ARPF ачкычты алат KAUSF чейин CK, IK жана SNN, андан кийин ал 5G HE AV жаратат. 5G Үй чөйрөсүнүн аутентификация вектору). 5G HE AV аутентификация вектору (RAND, AUTN, XRES, KAUSF) аны 5G үчүн гана AKA үчүн колдонуу нускамалары менен AUSFга жөнөтүлөт.

Бул AUSF кийин казык ачкычы алынат KSEAF ачкычтан KAUSF жана RAND, AUTN жана RES* камтылган “Nausf_UEAuthentication_Authenticate Response” билдирүүсүндө SEAF “Challenge” суроо-талабын жөнөтөт. Андан кийин, RAND жана AUTN коопсуз NAS сигналдык билдирүүсү аркылуу колдонуучунун жабдууларына берилет. Колдонуучунун USIMи алынган RAND жана AUTNден RES* эсептеп чыгат жана аны SEAFге жөнөтөт. SEAF бул маанини текшерүү үчүн AUSFге өткөрүп берет.

AUSF анда сакталган XRES* менен колдонуучудан алынган RES*ти салыштырат. Эгерде дал келүү бар болсо, оператордун үй тармагындагы AUSF жана UDM ийгиликтүү аутентификация жөнүндө кабарланат жана колдонуучу жана SEAF өз алдынча ачкычты жаратат. KAMF чейин KSEAF жана андан аркы байланыш үчүн SUPI.

Экинчилик аутентификация

5G стандарты колдонуучунун жабдуулары менен тышкы маалымат тармагынын ортосундагы EAP-AKA негизинде кошумча кошумча аутентификацияны колдойт. Бул учурда, SMF EAP аутентификациясынын ролун ойнойт жана ишке таянат AAA- колдонуучуну аутентификациялоочу жана авторизациялоочу тышкы тармак сервери.

• Үй тармагында милдеттүү баштапкы колдонуучунун аутентификациясы ишке ашат жана AMF менен жалпы NAS коопсуздук контексти иштелип чыгат.
• Колдонуучу AMFке сессия түзүү үчүн суроо-талап жөнөтөт.
• AMF колдонуучунун SUPI көрсөткүчүн көрсөтүү менен SMFге сессия түзүү өтүнүчүн жөнөтөт.
• SMF берилген SUPI аркылуу UDMде колдонуучунун эсептик дайындарын текшерет.
• SMF AMFтин суроо-талабына жооп жөнөтөт.
• SMF тышкы тармактагы AAA серверинен сеанс түзүүгө уруксат алуу үчүн EAP аутентификация процедурасын баштайт. Бул үчүн, SMF жана колдонуучу процедураны баштоо үчүн билдирүүлөрдү алмашат.
• Андан кийин колдонуучу жана тышкы тармактын AAA сервери колдонуучуну ырастоо жана авторизациялоо үчүн билдирүүлөрдү алмашат. Бул учурда колдонуучу билдирүүлөрдү SMFге жөнөтөт, ал өз кезегинде UPF аркылуу тышкы тармак менен билдирүүлөрдү алмашат.

жыйынтыктоо

5G коопсуздук архитектурасы учурдагы технологияларды кайра колдонууга негизделгенине карабастан, ал таптакыр жаңы көйгөйлөрдү жаратат. Көптөгөн IoT түзмөктөр, кеңейтилген тармак чек аралары жана борбордон ажыратылган архитектуралык элементтер киберкылмышкерлердин фантазиясына эркиндик берген 5G стандартынын негизги принциптеринин айрымдары гана.

5G коопсуздук архитектурасынын негизги стандарты болуп саналат TS 23.501 версиясы 15.6.0 — коопсуздук механизмдеринин жана процедураларынын иштешинин негизги пункттарын камтыйт. Атап айтканда, ал ар бир VNFтин колдонуучунун маалыматтарын жана тармак түйүндөрүн коргоону камсыз кылуудагы, крипто ачкычтарды түзүүдөгү жана аутентификация процедурасын ишке ашыруудагы ролун сүрөттөйт. Бирок бул стандарт дагы байланыш операторлорунун алдында турган актуалдуу коопсуздук маселелерине жооп бербейт, ошончолук интенсивдүү жаңы муун тармактары иштелип чыгып, ишке киргизилет.

Ушуга байланыштуу, 5-муундагы тармактарды иштетүү жана коргоо кыйынчылыктары эч кандай таасир этпейт деп ишенгим келет, алар энесинин досунун уулу сыяктуу берүү ылдамдыгы жана жооптору убада кылынган жана азыртан эле бардыгын сынап көрүүгө дилгир. жаңы муун тармактарынын жарыяланган мүмкүнчүлүктөрү.

Пайдалуу шилтемелер

3GPP спецификациясынын сериясы
5G коопсуздук архитектурасы
5G тутумунун архитектурасы
5G Wiki
5G архитектуралык эскертүүлөр
5G коопсуздугуна сереп салуу

Source: www.habr.com