Introductio ad Architecturam Securitatis 5G: NFV, Clavium et 2 Authenticatio
Patet quod, cum in progressione novae communicationis vexillum sine cogitatione de machinationibus securitatis est nisus admodum dubius et futilis.
5G Securitatis Architecture - Statuto securitatis machinationes et rationes implemented in 5th generation networks et tegens omnia retis membra, a core radiophonicis interfaces.
5th generationis retia sunt in essentia, evolutione 4th generation LTE networks. Radiophonica accessus technologiae maximas mutationes subierunt. Pro 5th generation retiacula, nova MUS (Radio Access Technology) - 5G Novus Radio. Quantum ad nucleum retis, has notabiles mutationes non subiit. Hac de re, architectonica securitatis retiacula 5G cum emphasi technologiae reusing pertinentes in norma 4G LTE recepta est.
Notatu tamen dignum est retexere minas notas quales impetus in interfaces aeris et stratum significationis (signalling oppugnationes, DDOS impetus, Homo In-The-Medium oppugnationes etc., operariorum telecomium incitavit ut nova signa evolveret et novas machinas securitatis in retiacula generationis 5 integraliter compleret.
praerequisita,
Anno 2015, Unionis telecommunicationis Internationalis primum sui generis consilium globalem pro retiaculis evolutionis quintae generationis instruxit, unde exitus mechanismi securitatis et modi in 5G reticulis evolvendis in primis acutis factus est.
Nova technologia praebetur celeritatis translationis notitia vere impressiva (plus quam 1 Gbps), latency minorum quam 1 ms, et facultas simul connectendi circiter 1 decies centena millia machinarum intra radium 1 km2. Haec summa requisita ad 5th generationis retia etiam in principiis suae organizationis redduntur.
Praecipua una erat decentralizationis, quae collocationem plurium databases localium implicavit eorumque centra processus in peripheria retis. Hoc effecit ut cum moras obscuratis M2M-communicationes et nucleum reticuli levant ob ingentem numerum IoT machinarum ad operandum. Ita retiacula proximae generationis ora usque ad stationes fundandas dilataverunt, creationem locorum communicationis sedium et praescriptum nubium officiorum sine periculo morarum criticarum vel negationis servitutis. Naturaliter mutatus accessus ad networking et servitia emptoris interest oppugnatoribus, quia novas opportunitates aperuit eis ut tam secretiores notitias usorum quam retiaculorum se aggrederentur ut abnegationem officii vel facultatum computationis operator occuparent.
Main vulnerabilities of 5th generation networks
Magnum impetum superficies
Read moreCum retiacula telecommunicationum tertiae et 3 generationum aedificant, operarii telecomes consueverunt circumscribi ad operandum cum uno vel pluribus mercatoribus, qui statutum ferramentorum et programmatum statim praebebant. Hoc est, omnia operari possent, ut aiunt, "ex arca" - satis erat iusta instituere et configurare apparatum a venditore empto; non opus erat ut programmatum proprietarium reponere vel supplere. Recentes trends huic accessu "classica" contra accedunt et ad virtualizationem reticulorum intenduntur, multi-vendoris accessus ad eorum diversitatem structurae et software. Technologies ut SDN (Anglis Software Definition Network) et NFV (Munera Virtualization Network) quae ducit ad inclusionem ingens moles software aedificata ex apertis codicibus in processibus et functionibus retiacula communicationis administrandi. Hoc invasores occasionem dat melioribus retis operantis studere et maiorem numerum vulnerabilitatum cognoscere, quae vicissim auget impetum superficiei novarum generationum reticulis comparatis hodiernis.
Multis IoT machinis
Read morePer 2021, circiter 57% machinis cum reticulis 5G connexis, erunt IOT machinis. Hoc significat quod maximae exercituum facultates cryptographicas limitatas habebunt (vide punctum 2) et proinde vulnerabiles pugnas erunt. Ingens numerus talium machinarum periculum multiplicationis botneticae augebit et efficere potest ut impetus DDoS dispertiatur et potentiores etiam perficiat.
Read moreUt iam dictum est, 5th generationis retiacula actuose utuntur machinis periphericis, quae efficere possunt partem oneris e nucleo retis removere et per hoc latentiam minuere. Hoc necessarium est pro tantis officiis ut vehicula inanibus moderandis, systematis subitis monitionis IMS alii, pro quibus minimis cavendi mora critica est, quia vita humana ab eo pendet. Ob connexionem plurium IOT machinarum, quae, ob parvitatem et ignobilitatem potentiae consummationis, facultates computantes valde angustas habent, 5G retiacula vulnerabiles fiunt ad impetus, qui intercipiendi potestatem et subsequentem talium machinationum manipulationem intenderunt. Exempli gratia, exstare possunt missiones ubi IoT machinae quae partim systematis imbuunturβ;Domus dolor", genera malware ut Ransomware and ransomware. Missiones intercipiendi imperium vehiculorum inanibus accipientium mandata et informationes navigationis per nubem etiam fieri possunt. Formaliter haec vulnerabilitas debetur decentralizationis novae generationis retiacula, sed sequens paragraphus problema decentralizationis clarius exprimet.
Decentralisation et dilatatio retis limites
Read morePeripherales cogitationes, partes nucleorum reticularium localium exercentes, usoris commercii, petitiones processus expediendas, necnon locales cautiones ac repositas notitiarum usoris. Ita limites retis 5 generationis praeter nucleum ad peripheriam augent, inclusis databases locales et 5G-NR (5G Radiorum Novae) radiophonicae interfaces. Facit occasionem computandi facultates locorum machinis oppugnandi, quae a priori infirmiora tutantur quam nodi nuclei centralis reticuli, cum meta negationis inserviendi causandi. Hoc potest ducere ad disiunctio accessum interretialem pro integris locis, recta opera IoT machinarum (exempli gratia, in dolore domus systematis), necnon inexplicabilitas IMS subitis servitii intenti.
Nihilominus, ETSI et 3GPP nunc plus quam 10 signa edita sunt, quae varias rationes securitatis retis 5G intexunt. Plurima maior pars machinarum quae ibi descriptae sunt ad tuendas vulnerabilitates (including eas de quibus supra). Una principalis est vexillum TS 23.501 versionem 15.6.0describens architecturam securitatis 5th generationis retiacula.
5G architecturae
Primum, ad cardines architecturae 5G retis accedamus, quae ulterius sensum et areas officii cuiusque moduli programmatis et munus securitatis 5G plene declarabunt.
Divisio nodis retis in elementa quae operationem protocols invigilant consuetudo plane (ex Anglica UP - User Plane) et elementa quae operationem protocols invigilant imperium planum (ex Anglica CP - Control Plane), quae flexibilitatem auget secundum retiaculorum scalarum ac instruere, i.e. collocatio centralis seu decenteralis nodi singularum partium retis possibilis est.
Support accessus simultaneus ad officia centralizata et localia, i.e. exsequenda notionum nubis (ex Anglica. nebula computing) Et terminus (ex Anglis. ora computing) calculos.
Π Π΅Π°Π»ΠΈΠ·Π°ΡΠΈΡ convergent Architectura coniungens genera retiacula accessus - 3GPP 5G Nova Radio et non-3GPP (Wi-FI, etc.) β cum uno nucleo retis.
Firmamentum est algorithmorum uniformium et rationum authenticarum, cuiuscumque generis accessus retis.
Firmamentum est ad munera retis stativis, in quibus subsidii computati ab copia subsidii separantur.
Firmamentum est vagandi commercii tum per retis domicilii (ex Anglica domo profuso vagante) et cum locali "excessus" (ex eruptione Anglica loci) in retis hospitis.
Accessus licentiae innixa in profile data (exempli gratia circumscriptiones vagantes).
User adnotatione administrationis, i.e. ceptaculum serviendi AMF.
Support ad inconsutilem servitium et sessiones communicationis, i.e. SMF reponendarum sessioni communicationis hodiernae assignata.
Procuratio traditionis SMS.
Plures diversae UDMs eidem usuario per diversas transactiones servire possunt.
UDR (Anglica Unified Data Repositorium - ceptaculum notitiarum unitarum) - repono notitiarum usorum variarum praebet et re vera datorum omnium retis signatorum.
UDSF (Anglica Unstructured Data Repono Function - informis notitiae munus repositionis) - efficit ut AMF modulorum contextus usorum usorum censitorum recentes servent. In genere, haec notitia tamquam notitia structurae indefinitae exhiberi potest. Contextus usoris adhiberi possunt ad sessiones subscriptores inconsutiles et non interruptas, tum per deliberationem unius AMFs a servitio, tum in casu necessitatis. In utroque casu, tergum AMF "exciperet" servitium utentium contextuum in USDF repositum.
Coniungendo UDR et UDSF in eodem suggestu physica est exsecutio typicam harum retis functionum.
PCF (Anglice: Policy Control Function - policy control function) - creat et assignat certa opera agendi ad utentes, inter QoS parametri et regulas praecipientes. Exempli gratia, transmittere unum vel alterum genus negotiationis, canales virtuales cum diversis notis dynamice creari possunt. Eodem tempore requisita servitii a subscriptore petito, ambitus obstructionis retis, moles negotiationis consumptae, etc. ratio haberi potest.
Organization of secure interaction of external platforms and applications with the network core.
QoS parametros curo et regulas pro certis utentibus praecipiens.
SEAF (Anchor Securitatis Anglicae munus - munus securitatis anchorae) - una cum AUSF, authenticas utentium praebet cum in retiaculis quibuslibet accessus technologiae subcriptio.
AUSF (Antiphona authentica Servo Function - munus servientis authenticae) - munus agit servientis authenticae recipientis et processuum petitiones ab SEAF et eas ad ARPF redirectas.
ARPF (Anglice: Authenticatio Credentialis Repositorium et Processus Function - munus recondendi et dispensandi authenticas documentorum) - reposita clavium secretorum personalium (KI) et parametrorum algorithmorum cryptographicarum, necnon generatio authenticationis vectoris ad normam 5G-AKA vel EAP-AKA. Sita est in centro notitiae domus telecomisticae operantis, ab externis corporis influentiis munita, et fere cum UDM integratur.
SCMF (Anglicus Securitatis Context Management Function - procuratio functionis securitatem context) - Vitae administrationem praebet contextu securitatis 5G.
SPCF (Anglice Policy Control Function - security policy management function) - coordinationem et applicationem pacti securitatis in relatione ad proprios utentes. Hoc considerat facultates retis, capacitates instrumentorum utentis et servitii specifici requisita (exempli gratia gradus tutelae, quae a servitio communicationum criticarum et instrumentorum instrumentorum communicationis socialis instrumenti interretialis accessus interretialem possunt differre). Applicationem ad rationes securitatis includit: electio AUSF, electio authenticationis algorithmi, electio notitiarum encryptionis et integritatis algorithmorum moderatio, determinatio longitudinis et cycli vitae clavium.
SIDF (Anglica Subscription Identifier Function - usoris munus identificantis extractionis identificantis) - extractionem subscriptionis permanentis subscriptionis identifier (Latina SUPI) efficit ut ex occulto identifier (Anglice SUCI), ut pars authenticitatis procedure petitio "Auth Info Req".
Read moreUser authenticas: Servientes 5G retis signo utentis SUPI in 5G AKA processus inter utentis et aenei debent.
Servientes Network authenticitate: Usor debet signo authenticitatis retis 5G servientis ID, cum authenticas consecuta per felicem usum clavium per 5G AKA procedendi impetratum.
User auctoritas: Retis serviens concedere debet utentis utentis profile usoris receptum e retis telecomis domi operantis.
Auctoritas servientium network per domum operantis retis: Usor confirmationi praeberi debet se coniunctum esse ad retis servitii quod est auctoritate retis domestici operantis ad officia praestanda. Auctoritas implicita est in sensu, quod 5G AKA ratio servata est ad perfectionem.
Auctoritas accessum network in domum operator network: Usor confirmatione praeberi debet se coniungi cum retis accessu qui auctoritate retis domestici operantis ad operas praestandas. Auctoritas implicita est eo sensu quod urgeri potest per securitatem retis accessus utiliter instituens. Hoc genus concessionis ad omnem modum retis accessum adhiberi debet.
Sine subitis officia: Ad regulatorias requisita in nonnullis regionibus, 5G retiacula, sine fide accessum praebere debent pro subitis officiis.
Network core et radio network accessum: 5G nucleus retis et 5G retis radiophonicus accessus sustentare debet usum 128-bit encryption et integritas algorithmorum ad securitatem curandam. AS ΠΈ VUL. Retiacula interfaces 256 frenum encryption clavium sustinere debent.
Praecipua salus requisita usuario apparatu
Read more
Usoris apparatum encryptionem, integritatem tutelam, ac tutelam contra remonstrationem impetus pro usuario notitiarum transmissarum inter ipsum et retis radiophonicam accessum sustinere debet.
Usoris apparatum encryptionem ac notam integritatem tutelae machinationes movere debent quae a retis radiophonicis accessus diriguntur.
Usoris apparatum encryptionem, integritatem tutelam, ac tutelam contra remonstrationes impetus RRC et NAS commercii significandi sustentare debet.
Usuarii instrumenti sequentes algorithmos cryptographicos sustentare debent: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 si nexum cum retis radiophonicis E-UTRA sustinet.
Tutela secreto notitiarum utentis inter transmissas inter apparatum utentis et retis radiophonicis accessum libitum est, sed praeberi debet quoties per regulam permittitur.
Secretum praesidium pro RRC et NAS significat commercium libitum est.
Clavis permanens usoris custodienda et condita in bene firmatis instrumentis usoris debet.
Subscriptio permanentis subscribens identifier in textu perspicuo super network accessum radiophonicum transmitti non debet nisi ad informationem necessariam ad rectam rouginem (exempli gratia Mcc ΠΈ MNC).
Domi retis publici clavem operantis, clavem identificantis, consilium securitatis identifier, et identificatorium fusum in reponenda USIM.
Singula encryption algorithmus cum binario numero coniungitur:
UDM et ARPF condere clavis permanentem utentis debent et curare ut a furto defendatur.
AUSF solum SUPI locali retis inservientem praebebit super authenticas initiales prospere utens SUCI.
NEF notitias retis occultas extra dominium securitatis operantis progredi non debet.
Basic Safety procedendi
Fiducia Dominia
In 5th generation retiacula, fiducia in retis elementa decrescit sicut elementa a nucleo retis moventur. Haec notio influit decisiones quae in 5G architectura securitatis effectae sunt. Ita loqui possumus de retis fiducia 5G exemplaribus quae mores retis mechanisms securitatis decernit.
In parte utentis, fideicommissum dominium ab UICC et USIM formatur.
In latere retis, fiduciaria structuram magis implicatam habet.
Retis radiophonicus accessus in duas partes dividitur DU (ex Anglica Unitates Distributae - retiaculis distributis) et CU (ex Anglica Unitates Centralis - unitates centrales retis). Simul faciunt gNB - interfacies radiophonicae 5G statio retis basis. DUs directam accessum ad notitias usoris non habent, sicut in segmentis infrastructuris indefensis explicari possunt. Cus explicari debet in segmentis retis conservandis, cum responsales sint mercaturae ex AS machinationibus securitatis terminandi. Quae media retiacula sita est AMFquae negotiatio ab NAS machinationibus securitatis terminatur. Vena 3GPP 5G Phase I speciem describit compositum AMF tuto munus SEAFcontinens clavem radicis (etiam quae "clavem anchoram") retiacula visitata (servivi) continens. AUSF clavem adeptus est cum felix authenticas reponendarum reus est. Necessarium est reuse in casibus in quibus usor simul cum pluribus reticulis radiophonicis accessus coniungitur. ARPF thesauros usoris documentorum et analogum usoris pro signatoribus est. UDR ΠΈ UDM copia usoris informationis, quae adhibetur logicam determinare pro documentorum generandorum, IDs usorum, continuationem sessionis praestandi, etc.
Hierarchia clavium et consilia distributio eorum
Retiaculis generationis in 5th, dissimiles retiacula 4G-LTE, authenticatio procedendi duo habet partes: primariam et secundariam authenticas. Prima authenticatio requiritur pro omnibus usoris machinis ad reticulum connexum. Secundae authenticas fieri potest postulantibus retis externis, si subscribens cum iis coniungit.
Post perfectionem primariae authenticationis et progressionis clavis communis K inter utentis et retis, KSEAF e clavis K - ancora peculiaris (radix) clavem retis servientis elicitur. Postea, claves ab hoc clave generantur ut secreto et integritate RRC et NAS notitiarum negotiationis significent.
Tabula cum explicationibus vocabula: CK Cipher Key IK (Anglice: Integrity Key) - clavis usus est in notitia integritatis tutelae machinationes. CK' (lat. cipher Key) - Alia clavis cryptographica ex CK creata ad mechanismum EAP-AKA. IK' (Key integritas Anglica) - alius clavis usus est in notitia simplicis machinae tutelae pro EAP-AKA. KAUSF - generatur ARPF munus et usuario apparatu e CK ΠΈ IK in 5G AKA et EAP-AKA. KSEAF - clavem anchoram consecutus ab AUSF functione e clavis KAMFAUSF. KAMF - clavis ad SEAF munus a key KSEAF. KNASint, KNASenc - claves AMF munus a key obtinetur KAMF NAS custodire significationis negotiationis. KRRCint, KRRCenc - claves AMF munus a key obtinetur KAMF RRC significat praesidio negotiationis. KUPint, KUPenc - claves AMF munus a key obtinetur KAMF AS custodire significat negotiationis. NH - clavis intermedia adeptus munus ab AMF e clavis KAMF ut notitia securitate per handovers. KgNB - clavem obtinet AMF munus a key KAMF ut tuto machinationes mobilitatis.
Consilia generandi SUCI ex SUPI et vice versa
Consilia obtinendae SUPI et SUCI
Productio SUCI ab SUPI et SUPI ab SUCI:
authenticas
Prima authenticas
In retiacula 5G, EAP-AKA et 5G AKA normae sunt machinae authenticae primariae. Primam authenticationem mechanismum in duos gradus scindamus: prima responsabilis est ad authenticationem inchoandam et methodum authenticam eligendam, secunda mutuae authenticationis inter utentis et retis responsabilis est.
initiation
Usoris petitionem adnotatione ad SEAF submittit, quae subscriptionem ID SUCI occultam utentis continet.
SEAF mittit ad AUSF nuntium authenticas postulationis (Rogatio Nausf_UEAuthentication_Authenticate) continens SNN (Nomen Network serviens) et SUPI vel SUCI.
AUSF inhibet num Request authentica seaf data SNN uti liceat. Si servientes retiacula hac SNN utendi auctoritate non sunt, AUSF respondet errore rato nuntio "Servientes retiacula non auctoritate" (Responsio Nausf_UEAuthentication_Authenticate).
Documentorum authenticas petuntur ab AUSF ad UDM, ARPF vel SIDF per SUPI vel SUCI et SNN.
Substructio in SUPI vel SUCI et in informatione usoris, UDM/ARPF modum authenticas deligit utendi proximo et documentorum usoris emittat.
Mutua authenticitate
Cum quavis authenticationis methodo utens, functiones retis UDM/ARPF authenticas vector generare debet (AV).
EAP-AKA: UDM/ARPF primum generat authenticas vector dividendo frenum AMF = I, deinde generat CK' ΠΈ IK' ex CK, IK et SNN ac novam AV authenticationem vector constituit (RAND, AUTN, XRES*, CK', IK') , qui mittitur ad UASF cum mandatis, ut nonnisi pro EAP-AKA utatur.
5G alias: UDM / ARPF accipit clavem KAUSF ex CK, IK et SNN, post quam generat 5G HE AV. 5G Home Environment Authentication Vector). 5G HE AV authentication vector (RAND, AUTN, XRES; KAUSFmittitur ad AUSF cum mandatis, uti pro 5G tantum AKA.
Post hoc AUSF ancora clavem adeptus est KSEAF ex clavem KAUSF rogationem mittit ad SEAF "provocare" in nuntio "Responsio Nausf_UEAuthentication_Autentica", quod etiam RAND, AUTN et RES* continet. Deinde, RAND et AUTN traducuntur ad usum instrumenti usoris securo NAS nuntio significativo. Usim usoris RES* ab RAND et AUTN receptum computat et ad SEAF mittit. SEAF hoc valore ad AUTF ad verificationem transmittit.
AUSF comparat XRES in eo repositos et RES* ab usuario receptas. Si par est, AUSF et UDM in retis domi operantis notificantur prosperi authenticas, et usor et SEAF independenter clavem generant. KAMF ex KSEAF et SUPI ad ulteriorem communicationem.
Secundarium authenticas
Vexillum 5G sustinet authenticas secundae ad libitum fundatum in EAP-AKA inter apparatum usoris et retis notitia externa. Hoc in casu, SMF vicem EAP authenticatoris agit et in opere nititur AAA-an externa servientis retiacula quae authenticat et permittit utentis.
Mandatorius initialis usor authenticas in retis domicilii occurrit et contextus securitatis communis NAS cum AMF elaboratur.
Usoris petitionem mittit AMF ut sessionem constituat.
Petitionem AMF mittit ut sessionem constituat ad SMF significans SUPI usoris.
SMF confirmat documentorum usoris in UDM utens supi provisum.
SMF responsum petitioni AMF mittit.
SMF procedendi authenticas EAP inchoat licentiam obtinendi sessionem instituendi ab AAA server in retiaculis externis. Ad hoc faciendum, nuntiis permutandis SMF et usoris rationi incipiendae sunt.
Usoris et retis externi AAA server nuntiis permutatis authenticitatis dat et utentis permittite. In hoc casu, user nuntios ad SMF mittit, qui in vicem nuntiis cum retiacula externa per UPF mittit.
conclusio,
Etsi architectura securitatis 5G in reus technologiarum exsistentium nititur, omnino novas provocationes ponit. Ingens numerus IoT machinarum, limites retis expansus et elementa architecturae decentralized iusta sunt quaedam principia praecipuorum 5G normarum quae imaginationi cybercriminalium habenas liberas dant.
Core vexillum pro 5G securitatis architectura est TS 23.501 versionem 15.6.0 β cardinis continet operationis machinas et rationes securitatis. Singulatim singulas partes describit VNF ββin utentis notitiae et nodis retis tutelam adhibendo, in cryptis clavibus generandis et in processu authenticitatis exsequendo. Sed etiam haec norma responsa non praebet ad quaestiones securitatis urgendae quae operariorum faciem telecomificarum saepius quo intensius novae generationis retiacula excoluntur et ad operandum inducuntur.
Hac de re velim credere difficultates operandi et tuendi 5th generationis retiaculis nullo modo afficit utentes ordinarios, qui celeritates et responsiones tradendae pollicentur sicut filius amici matris et iam cupiunt omnia experiri. declaratae facultates novae generationis ligula.