Selbstverständlech, d'Entwécklung vun engem neie Kommunikatiounsstandard iwwerhuelen ouni iwwer Sécherheetsmechanismen ze denken ass en extrem zweifelhaften an nëtzlosen Effort.

5G Sécherheetsarchitektur - eng Rei vu Sécherheetsmechanismen a Prozedure implementéiert an 5. Generatioun Netzwierker an deckt all Reseau Komponente, vum Kär op de Radio Schnëttplazen.

Generatioun Netzwierker sinn am Fong eng Evolutioun Generatioun LTE Netzwierker. Radio Access Technologien hunn déi bedeitendst Ännerungen erlieft. Fir 5. Generatioun Netzwierker, eng nei Bewäerten (Radio Access Technologie) - 5G Neie Radio. Wat de Kär vum Netz ugeet, huet et net sou bedeitend Ännerunge gemaach. An dëser Hisiicht ass d'Sécherheetsarchitektur vu 5G Netzwierker entwéckelt mat engem Akzent op d'Wiederbenotzen vun relevant Technologien, déi am 4G LTE Standard ugeholl goufen.

Wéi och ëmmer, et ass derwäert ze bemierken datt d'Bekannte Gefore wéi Attacken op Loftschnëttplazen an d'Signalschicht nei iwwerdenken (ze signaliséieren Fliger), DDOS Attacken, Man-In-The-Middle Attacken, etc., hunn Telekomoperateuren opgefuerdert nei Standarden z'entwéckelen an komplett nei Sécherheetsmechanismen an 5. Generatioun Netzwierker z'integréieren.

Viraussetzunge viraus

Am Joer 2015 huet d'International Telecommunication Union den éischte vu senger Aart globale Plang fir d'Entwécklung vu fënneften Generatioun Netzwierker opgestallt, dofir ass d'Fro vun der Entwécklung vu Sécherheetsmechanismen a Prozeduren an 5G Netzwierker besonnesch akut ginn.

Déi nei Technologie bitt wierklech beandrockend Datenübertragungsgeschwindegkeet (méi wéi 1 Gbps), Latenz vu manner wéi 1 ms an d'Fäegkeet fir gläichzäiteg ongeféier 1 Millioun Apparater an engem Radius vun 1 km2 ze verbannen. Esou déi héchst Ufuerderunge fir 5. Generatioun Netzwierker ginn och an de Prinzipien vun hirer Organisatioun reflektéiert.

D'Haaptrei war Dezentraliséierung, déi d'Plazéierung vu ville lokalen Datenbanken an hir Veraarbechtungszentren op der Peripherie vum Netz implizéiert huet. Dëst huet et méiglech Verspéidungen ze minimiséieren wann M2M-Kommunikatioun an entlaaschten den Netzkär wéinst enger riseger Unzuel vun IoT-Geräter ze servéieren. Sou huet de Rand vun den nächste Generatioun Netzwierker de ganze Wee bis op d'Basisstatiounen erweidert, wat d'Schafe vu lokale Kommunikatiounszentren an d'Bereetstellung vu Cloud-Servicer erlaabt ouni de Risiko vu kriteschen Verspéidungen oder Verweigerung vum Service. Natierlech war déi geännert Approche fir Vernetzung a Clientsservice interessant fir Ugräifer, well et nei Méiglechkeete fir hinnen opgemaach huet souwuel vertraulech Benotzerinformatioun wéi och d'Netzkomponenten selwer ze attackéieren fir e Verweigerung vum Service ze verursaachen oder d'Rechenressourcen vum Bedreiwer z'erreechen.

Haaptschwieregkeete vu 5. Generatioun Netzwierker

Grouss Attack Uewerfläch

méiBeim Bau vun Telekommunikatiounsnetzwierker vun der 3. a 4. Generatioun, waren d'Telekomoperateuren normalerweis limitéiert fir mat engem oder e puer Ubidder ze schaffen, déi direkt e Set vun Hardware a Software geliwwert hunn. Dat ass, alles kéint funktionnéieren, wéi se soen, "aus der Këscht" - et war genuch just d'Ausrüstung, déi vum Verkeefer kaaft gouf, z'installéieren an ze konfiguréieren; et war kee Besoin fir propriétaire Software ze ersetzen oder ze ergänzen. Modern Trends stinn géint dës "klassesch" Approche a si riicht op Virtualiséierung vun Netzwierker, eng Multi-Verkeefer Approche fir hir Konstruktioun a Software Diversitéit. Technologien wéi z SDN (Englesch Software Defined Network) an NFV (Englesch Network Functions Virtualization), wat zu der Inklusioun vun enger riesecher Quantitéit vu Software féiert op Basis vun Open Source Coden an de Prozesser a Funktiounen vun der Gestioun vu Kommunikatiounsnetzwierker. Dëst gëtt den Ugräifer d'Méiglechkeet fir d'Netzwierk vum Bedreiwer besser ze studéieren an eng méi grouss Zuel vu Schwachstelle z'identifizéieren, wat am Tour d'Attackfläch vun neier Generatioun Netzwierker verglach mat aktuellen.

Grouss Zuel vun IoT Apparater

méiBis 2021 wäerten ongeféier 57% vun Apparater verbonne mat 5G Netzwierker IoT Apparater sinn. Dëst bedeit datt déi meescht Hosten limitéiert kryptographesch Fäegkeeten hunn (kuckt Punkt 2) an deementspriechend vulnérabel fir Attacke sinn. Eng riesech Unzuel vun esou Geräter wäert de Risiko vun der Botnet Verbreedung erhéijen an et méiglech maachen nach méi mächteg a verdeelt DDoS Attacken auszeféieren.

Limitéiert kryptographesch Fäegkeeten vun IoT Geräter

méiWéi scho gesot, 5. Dëst ass noutwendeg fir sou wichteg Servicer wéi d'Kontroll vun onbemannte Gefierer, Noutwarnsystem IMS an anerer, fir déi eng minimal Verspéidung assuréieren kritesch ass, well d'Mënscheliewen dovun ofhänken. Duerch d'Verbindung vun enger grousser Unzuel vun IoT-Geräter, déi wéinst hirer klenger Gréisst a gerénger Energieverbrauch ganz limitéiert Rechenressourcen hunn, ginn 5G Netzwierker vulnérabel fir Attacken, déi d'Kontroll a spéider Manipulatioun vun esou Geräter ënnerhuelen. Zum Beispill kënnen et Szenarie sinn wou IoT Geräter déi Deel vum System sinn infizéiert sinn "schlau Haus", Aarte vu Malware wéi z Ransomware a Ransomware. Szenarie fir d'Kontroll vun onbemannte Gefierer z'ënnerfangen, déi Kommandoen an Navigatiounsinformatioun duerch d'Wollek kréien, sinn och méiglech. Formell ass dës Schwachstelle wéinst der Dezentraliséierung vun neier Generatioun Netzwierker, awer den nächste Paragraphe wäert de Problem vun der Dezentraliséierung méi kloer skizzéieren.

Dezentraliséierung an Expansioun vun Reseau Grenzen

méiPeripheriegeräter, déi d'Roll vun de lokalen Netzwierkkären spillen, maachen Routing vum Benotzerverkéier, Veraarbechtung vun Ufroen, souwéi lokal Caching a Späichere vu Benotzerdaten. Sou erweideren d'Grenze vun de 5. Dëst schaaft d'Méiglechkeet fir d'Rechenressourcen vu lokalen Apparater z'attackéieren, déi a priori méi schwaach geschützt sinn wéi d'Zentralknäppchen vum Netzkär, mam Zil eng Verweigerung vum Service ze verursaachen. Dëst kann zu der Trennung vum Internetzougang fir ganz Gebidder féieren, falsch Fonctionnement vun IoT-Geräter (zum Beispill an engem Smart Home System), wéi och d'Onverfügbarkeet vum IMS-Noutalarmservice.

Wéi och ëmmer, ETSI an 3GPP hunn elo méi wéi 10 Standards publizéiert déi verschidden Aspekter vun der 5G Netzwierksécherheet decken. Déi grouss Majoritéit vun de Mechanismen, déi do beschriwwe ginn, zielen fir géint Schwachstelle ze schützen (inklusiv déi uewen beschriwwen). Ee vun den Haaptvirdeeler ass de Standard TS 23.501 Versioun 15.6.0, beschreift d'Sécherheetsarchitektur vu 5. Generatioun Netzwierker.

5G Architektur

Als éischt, loosst eis op d'Schlësselprinzipien vun der 5G Netzwierkarchitektur wenden, déi d'Bedeitung an d'Verantwortungsberäicher vun all Softwaremodul an all 5G Sécherheetsfunktioun weider wäerte weisen.

• Divisioun vun Netzwierkknoten an Elementer déi d'Operatioun vu Protokoller garantéieren Benotzerdefinéiert Fliger (vum Englesch UP - User Plane) an Elementer déi d'Operatioun vu Protokoller garantéieren Kontroll Fliger (vum englesche CP - Control Plane), wat d'Flexibilitéit erhéicht wat d'Skaléierung an d'Deployment vum Netz ugeet, dh zentraliséiert oder dezentraliséiert Plazéierung vun eenzelne Komponentnetzknäppchen ass méiglech.
• Mechanismus Ënnerstëtzung Netz ze schneiden, baséiert op de Servicer, déi u spezifesche Gruppe vun Endbenotzer geliwwert ginn.
• Ëmsetzung vun Reseau Elementer an der Form virtuell Reseau Funktiounen.
• Ënnerstëtzung fir gläichzäiteg Zougang zu zentraliséierten a lokalen Servicer, dh Implementatioun vu Cloudkonzepter (aus Englesch. Niwwel Rechenzäit) a Grenz (aus Englesch. Randberechnung) Berechnungen.
• Ëmsetzung konvergent Architektur kombinéiert verschidden Zorte vun Zougang Netzwierker - 3GPP 5G New Radio an net-3GPP (Wi-Fi, etc.) - mat engem eenzege Reseau Kär.
• Ënnerstëtzung vun eenheetlechen Algorithmen an Authentifikatiounsprozeduren, onofhängeg vun der Aart vum Zougangsnetz.
• Ënnerstëtzung fir stateless Netzwierkfunktiounen, an deenen déi berechent Ressource vum Ressource Store getrennt ass.
• Ënnerstëtzung fir Roaming mat Traffic Routing souwuel duerch d'Heemnetz (vum englesche Heemroute Roaming) a mat enger lokaler "Landung" (vum englesche lokale Breakout) am Gaaschtnetz.
• D'Interaktioun tëscht Netzwierkfunktiounen ass op zwou Weeër duergestallt: serviceorientéiert и Interface.

De 5. Generatioun Netzwierk Sécherheetskonzept enthält:

• Benotzer Authentifikatioun vum Netz.
• Netzwierk Authentifikatioun vum Benotzer.
• Verhandlunge vu kryptographesche Schlësselen tëscht dem Netzwierk an dem Benotzerausrüstung.
• Verschlësselung an Integritéit Kontroll vum Signalverkéier.
• Verschlësselung a Kontroll vun der Integritéit vum Benotzerverkéier.
• Benotzer ID Schutz.
• Schützen Schnëttplazen tëscht verschiddene Reseau Elementer am Aklang mam Konzept vun engem Netzwierk Sécherheet Domain.
• Isolatioun vu verschiddene Schichten vum Mechanismus Netz ze schneiden an definéieren all Layer seng eege Sécherheet Niveauen.
• Benotzer Authentifikatioun a Verkéier Schutz um Niveau vun Enn Servicer (IMS, IoT an anerer).

Schlëssel Software Moduler a 5G Netzwierk Sécherheetsfeatures

AMF (vun der Englescher Access & Mobility Management Function - Zougang a Mobilitéitsmanagement Funktioun) - bitt:

• Organisatioun vun Kontroll Fliger Schnëttplazen.
• Organisatioun vum Signalverkéieraustausch RRC, Verschlësselung a Schutz vun der Integritéit vu sengen Donnéeën.
• Organisatioun vum Signalverkéieraustausch NAS, Verschlësselung a Schutz vun der Integritéit vu sengen Donnéeën.
• Gestioun vun der Aschreiwung vun Benotzer Equipement op de Reseau an Iwwerwachung méiglech Aschreiwung Staaten.
• Gestioun vun der Verbindung vun Benotzer Equipement un d'Netz an Iwwerwachung méiglech Staaten.
• Kontrolléiert d'Disponibilitéit vu Benotzerausrüstung am Netz am CM-IDLE Staat.
• Mobilitéitsmanagement vu Benotzerausrüstung am Netz am CM-CONNECTED Staat.
• Iwwerdroung vu Kuerzmeldungen tëscht Benotzerausrüstung an SMF.
• Location Servicer Gestioun.
• Thread ID Allocatioun EPS fir mat EPS ze interagéieren.

SMF (Englesch: Session Management Function - Sessiounsmanagement Funktioun) - bitt:

• Kommunikatioun Sessiounsmanagement, dh d'Schafung, d'Ännerung an d'Verëffentlechung vun Sessiounen, inklusiv Ënnerhalt vun engem Tunnel tëscht dem Zougangsnetz an der UPF.
• Verdeelung a Gestioun vun IP Adressen vun Benotzer Equipement.
• Wielt den UPF Paart fir ze benotzen.
• Organisatioun vun Interaktioun mat PCF.
• Politik Duerchféierung Gestioun QoS.
• Dynamesch Konfiguratioun vu Benotzerausrüstung mat den DHCPv4 an DHCPv6 Protokoller.
• Iwwerwaachung vun der Sammlung vun Tarifdaten an Organisatioun vun Interaktioun mam Rechnungssystem.
• Nahtlos Versuergung vu Servicer (aus Englesch. SSC - Sëtzung a Service Kontinuitéit).
• Interaktioun mat Gaaschtnetzwierker am Roaming.

UPF (Englesch User Plane Funktioun - Benotzerplane Funktioun) - bitt:

• Interaktioun mat externen Datennetzwierker, dorënner de globale Internet.
• Routing Benotzer Pakete.
• Markéierung vu Paketen am Aklang mat QoS Politiken.
• Benotzer Package Diagnostik (zum Beispill Ënnerschrëft-baséiert Applikatioun Detektioun).
• Rapporten iwwer Verkéiersverbrauch ubidden.
• UPF ass och den Ankerpunkt fir d'Mobilitéit z'ënnerstëtzen souwuel bannent wéi och tëscht verschiddene Radioaccess Technologien.

UDM (Englesch Unified Data Management - vereenegt Datebank) - bitt:

• Gestioun vum Benotzerprofildaten, och d'Späicheren an d'Ännerung vun der Lëscht vun de Servicer verfügbar fir Benotzer an hir entspriechend Parameteren.
• Management SUPI
• Generéiere 3GPP Authentifikatioun Umeldungsinformatiounen AKA.
• Zougang Autorisatioun baséiert op Profildaten (zum Beispill Roaming Restriktiounen).
• Benotzer Aschreiwung Gestioun, dh Stockage vun Déngscht AMF.
• Ënnerstëtzung fir nahtlos Service a Kommunikatiounssitzungen, dh d'Späichere vum SMF, deen un déi aktuell Kommunikatiounssession zougewisen ass.
• SMS Liwwerung Gestioun.
• Verschidde verschidden UDMs kënnen dee selwechte Benotzer iwwer verschidden Transaktiounen déngen.

UDR (Englesch Unified Data Repository - Stockage vun vereenegt Daten) - bitt Späichere vu verschiddene Benotzerdaten an ass tatsächlech eng Datebank vun allen Netzabonnenten.

UDSF (Englesch Unstructured Data Storage Function - unstructured data storage function) - garantéiert datt AMF Moduler déi aktuell Kontexter vun registréierte Benotzer retten. Allgemeng kann dës Informatioun als Daten vun enger onbestëmmter Struktur presentéiert ginn. Benotzerkontexter kënne benotzt ginn fir nahtlos an onënnerbrach Abonnentsessiounen ze garantéieren, souwuel während dem geplangten Réckzuch vun engem vun den AMFs aus dem Service, an am Noutfall. A béide Fäll wäert de Backup AMF de Service "ophuelen" mat Kontexter déi an USDF gespäichert sinn.

D'Kombinatioun vun UDR an UDSF op der selwechter kierperlecher Plattform ass eng typesch Implementatioun vun dësen Netzwierkfunktiounen.

CPF (Lëtzebuergesch: Politik Kontroll Funktioun - Politik Kontroll Funktioun) - schaaft an zougewisen bestëmmte Service Politik fir Benotzer, dorënner QoS Parameteren an Opluedstatiounen Regelen. Zum Beispill, fir eng oder aner Zort Traffic ze vermëttelen, kënnen virtuell Kanäl mat verschiddene Charakteristiken dynamesch erstallt ginn. Zur selwechter Zäit kënnen d'Ufuerderunge vum Service, dee vum Abonnent gefrot gëtt, den Niveau vum Netzstau, d'Quantitéit vum verbrauchte Verkéier, etc.

NEF (Englesch Network Exposure Function - Network Exposure Function) - bitt:

• Organisatioun vun sécher Interaktioun vun externen Plattformen an Uwendungen mat der Reseau Kär.
• Managen QoS Parameteren an Opluedstatiounen Regele fir spezifesch Benotzer.

SEAF (Englesch Sécherheet Anker Funktioun - Anker Sécherheet Funktioun) - zesumme mat AUSF, stellt Authentifikatioun vun Benotzer wann se um Netz mat all Zougang Technologie aschreiwen.

AUSF (Englesch Authentifikatioun Server Funktioun - Authentifikatioun Server Funktioun) - spillt d'Roll vun engem Authentifikatioun Server datt Ufroe vun SEAF kritt an Prozesser an redirects hinnen ze ARPF.

ARPF (Englesch: Authentication Credential Repository and Processing Function - Funktioun fir d'Authentifikatioun vun der Authentifikatioun ze späicheren an ze veraarbechten) - bitt Späichere vu perséinleche geheime Schlësselen (KI) a Parameter vu kryptographesche Algorithmen, souwéi Generatioun vun Authentifikatiounsvektoren am Aklang mat 5G-AKA oder AN AP-AKA. Et läit am Rechenzentrum vum Heem Telekomoperateur, geschützt vu externen kierperlechen Afloss, an ass normalerweis mat UDM integréiert.

SCMF (Englesch Sécherheetskontext Management Funktioun - Gestiounsfunktioun Sécherheet Kontext) - Bitt Liewenszyklusmanagement fir den 5G Sécherheetskontext.

SPCF (Englesch Sécherheetspolitik Kontroll Funktioun - Sécherheet Politik Gestioun Funktioun) - garantéiert d'Koordinatioun an Uwendung vun Sécherheet Politiken a Relatioun zu spezifesch Benotzer. Dëst berücksichtegt d'Fäegkeeten vum Netz, d'Fäegkeeten vun der Benotzerausrüstung an d'Ufuerderunge vum spezifesche Service (zum Beispill d'Niveaue vum Schutz vum kriteschen Kommunikatiounsservice an dem drahtlose Breetband Internetzougang Service kënnen ënnerschiddlech sinn). Uwendung vun Sécherheetspolitik ëmfaasst: Auswiel vun AUSF, Auswiel vun Authentifikatioun Algorithmus, Auswiel vun Dateverschlësselung an Integritéit Kontroll Algorithmen, Bestëmmung vun der Längt an Liewen Zyklus vun Schlësselen.

SIDF (Englesch Subscription Identifier De-concealing Function - User Identifier Extraktiounsfunktioun) - suergt fir d'Extraktioun vun engem permanenten Abonnement Identifizéierer (Englesch SUPI) vun engem verstoppten Identifizéierer (Englesch) SUCI), kritt als Deel vun der Authentifikatiounsprozedur Ufro "Auth Info Req".

Basis Sécherheet Ufuerderunge fir 5G Kommunikatioun Netzwierker

méiBenotzer Authentifikatioun: De servéierende 5G Netz muss de SUPI vum Benotzer am 5G AKA Prozess tëscht dem Benotzer an dem Netz authentifizéieren.

Déngscht Network Authentifikatioun: De Benotzer muss d'5G Déngscht Netzwierk ID authentifizéieren, mat Authentifikatioun erreecht duerch déi erfollegräich Notzung vu Schlësselen, déi duerch d'5G AKA Prozedur kritt goufen.

Benotzer Autorisatioun: Den Déngschtnetz muss de Benotzer autoriséieren de Benotzerprofil deen aus dem Netz vum Heem Telekomoperateur kritt gëtt.

Autorisatioun vum Déngschtnetz vum Heembetreibernetz: De Benotzer muss mat Bestätegung geliwwert ginn, datt hien un engem Servicenetz verbonnen ass, deen vum Heembetreibernetz autoriséiert ass fir Servicer ze bidden. Autorisatioun ass implizit am Sënn datt et duerch déi erfollegräich Ofschloss vun der 5G AKA Prozedur geséchert ass.

Autorisatioun vum Zougangsnetz vum Heembetreibernetz: De Benotzer muss mat Bestätegung geliwwert ginn, datt hien un en Zougangsnetz verbonnen ass, deen vum Heembetreibernetz autoriséiert ass fir Servicer ze bidden. Autorisatioun ass implizit am Sënn datt se duerchgefouert gëtt andeems d'Sécherheet vum Zougangsnetz erfollegräich etabléiert ass. Dës Zort vun Autorisatioun muss fir all Zort Zougang Reseau benotzt ginn.

Onauthentifizéiert Noutdéngschter: Fir reglementaresche Viraussetzungen an e puer Regiounen ze erfëllen, mussen 5G Netzwierker onauthentifizéierten Zougang fir Noutdéngschter ubidden.

Reseau Kär a Radio Zougang Reseau: De 5G Netzwierk Kär an 5G Radio Zouganksnetz mussen d'Benotzung vun 128-Bit Verschlësselung an Integritéit Algorithmen ënnerstëtzen fir Sécherheet ze garantéieren AS и NAS. Netzwierkschnëttplazen mussen 256-Bit Verschlësselungsschlësselen ënnerstëtzen.

Basis Sécherheet Ufuerderunge fir Benotzer Equipement

méi

• D'Benotzerausrüstung muss Verschlësselung, Integritéitsschutz a Schutz géint Replayattacke fir Benotzerdaten, déi tëscht dem an dem Radioaccessnetz iwwerdroe ginn, ënnerstëtzen.
• D'Benotzerausrüstung muss d'Verschlësselung an d'Datenintegritéitsschutzmechanismen aktivéieren, sou wéi vum Radiozougangnetz geregelt.
• Benotzerausrüstung muss Verschlësselung, Integritéitsschutz a Schutz géint Replayattacke fir RRC an NAS Signalverkéier ënnerstëtzen.
• Benotzerausrüstung muss déi folgend kryptografesch Algorithmen ënnerstëtzen: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Benotzerausrüstung kann déi folgend kryptografesch Algorithmen ënnerstëtzen: 128-NEA3, 128-NIA3.
• D'Benotzerausrüstung muss déi folgend kryptografesch Algorithmen ënnerstëtzen: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 wann et d'Verbindung mam E-UTRA Radio Zouganksnetz ënnerstëtzt.
• De Schutz vun der Vertraulechkeet vun de Benotzerdaten, déi tëscht dem Benotzerausrüstung an dem Radiozougangnetz iwwerdroe ginn, ass fakultativ, awer muss zur Verfügung gestallt ginn wann ëmmer duerch Regulatioun erlaabt.
• Privatsphär Schutz fir RRC an NAS Signalverkéier ass fakultativ.
• De permanente Schlëssel vum Benotzer muss geschützt a gespäichert ginn a gutt gesécherten Komponenten vum Benotzerausrüstung.
• De permanenten Abonnementsidentifizéierer vun engem Abonnent soll net am Kloertext iwwer de Radiozougangsnetz iwwerdroe ginn, ausser fir Informatioun déi néideg ass fir eng korrekt Routing (z. MCC и MNC).
• Den ëffentleche Schlëssel vum Heembetreiber, de Schlësselidentifizéierer, de Sécherheetsschemaidentifizéierer an de Routingidentifizéierer musse gespäichert ginn USIM.

All Verschlësselungsalgorithmus ass mat enger binärer Zuel assoziéiert:

• "0000": NEA0 - Null Chiffer Algorithmus
• "0001": 128-NEA1 - 128-bëssen SNOW 3G baséiert Algorithmus
• "0010" 128-NEA2 - 128-bëssen AES baséiert Algorithmus
• "0011" 128-NEA3 - 128-bëssen ZUC baséiert Algorithmus.

Dateverschlësselung mat 128-NEA1 an 128-NEA2

PS De Circuit gëtt ausgeléint TS 133.501

Generatioun vu simuléierten Inserts duerch Algorithmen 128-NIA1 an 128-NIA2 fir Integritéit ze garantéieren

PS De Circuit gëtt ausgeléint TS 133.501

Basis Sécherheet Ufuerderunge fir 5G Reseau Funktiounen

méi

• AMF muss primär Authentifikatioun mat SUCI ënnerstëtzen.
• SEAF muss primär Authentifikatioun mat SUCI ënnerstëtzen.
• UDM an ARPF mussen de Benotzer säi permanente Schlëssel späicheren an dofir suergen, datt et vum Déif geschützt ass.
• D'AUSF liwwert SUPI dem lokalen Déngschtnetz nëmmen no erfollegräicher initialer Authentifikatioun mat SUCI.
• NEF däerf net verstoppt Kärnetzinformatioun ausserhalb vum Sécherheetsdomän vum Bedreiwer weiderginn.

Basis Sécherheet Prozeduren

Vertrauen Domains

A 5. Dëst Konzept beaflosst d'Entscheedungen, déi an der 5G Sécherheetsarchitektur ëmgesat ginn. Also kënne mir iwwer e Vertrauensmodell vu 5G Netzwierker schwätzen, deen d'Behuele vun de Netzwierksécherheetsmechanismen bestëmmt.

Op der Benotzersäit gëtt de Vertrauensdomän vun UICC an USIM geformt.

Op der Netzsäit huet de Vertrauensdomän eng méi komplex Struktur.

De Radio Zouganksnetz ass an zwee Komponenten opgedeelt - DU (vum Englesch Distributed Unitéiten - verdeelt Reseau Unitéiten) an CU (vun den englesche Zentral Eenheeten - Zentral Eenheeten vum Netz). Zesummen bilden se gNB - Radio Interface vun der 5G Netzwierk Basisstatioun. DUs hunn keen direkten Zougang zu Benotzerdaten well se op ongeschützte Infrastruktursegmenter ofgesat kënne ginn. CUs mussen a geschützte Netzwierksegmenter ofgesat ginn, well se verantwortlech sinn fir de Verkéier vun AS Sécherheetsmechanismen ofzeschléissen. Am Kär vum Netz läit AMF, wat den Traffic vun NAS Sécherheetsmechanismen ofschléisst. Déi aktuell 3GPP 5G Phase 1 Spezifizéierung beschreift d'Kombinatioun AMF mat Sécherheet Funktioun SEAF, mat de Root-Schlëssel (och bekannt als "Ankerschlëssel") vum besichtenen (déngen) Netzwierk. AUSF ass verantwortlech fir de Schlëssel ze späicheren no der erfollegräicher Authentifikatioun. Et ass néideg fir weiderbenotzen a Fäll wou de Benotzer gläichzäiteg mat e puer Radio Zougang Netzwierker ugeschloss ass. ARPF späichert Benotzer Umeldungsinformatiounen an ass en Analog vun USIM fir Abonnente. UDR и UDM Benotzerinformatioun späicheren, déi benotzt gëtt fir d'Logik ze bestëmmen fir Umeldungsinformatiounen ze generéieren, Benotzer IDen, Sessiounskontinuitéit ze garantéieren, etc.

Hierarchie vu Schlësselen an hir Verdeelungsschemaen

Generatioun Netzwierker, am Géigesaz zu 5G-LTE Netzwierker, huet d'Authentifikatiounsprozedur zwee Komponenten: primär a sekundär Authentifikatioun. Primär Authentifikatioun ass erfuerderlech fir all Benotzergeräter déi mam Netz verbannen. Sekundär Authentifikatioun kann op Ufro vun externen Netzwierker duerchgefouert ginn, wann den Abonnent mat hinnen verbënnt.

No der erfollegräicher Ofschloss vun der primärer Authentifikatioun an der Entwécklung vun engem gemeinsame Schlëssel K tëscht dem Benotzer an dem Netz, gëtt KSEAF aus dem Schlëssel K extrahéiert - e speziellen Anker (Root) Schlëssel vum Déngschtnetz. Duerno gi Schlësselen aus dësem Schlëssel generéiert fir d'Vertraulechkeet an d'Integritéit vu RRC an NAS Signaliséierungsdaten ze garantéieren.

Diagramm mat Erklärungen
Bezeechnunge:
CK Chiffer Schlëssel
IK (Englesch: Integrity Key) - e Schlëssel deen an Dateintegritéitsschutzmechanismen benotzt gëtt.
CK' (eng. Chiffer Key) - aner cryptographic Schlëssel geschaf aus CK fir den EAP-AKA Mechanismus.
IK' (Englesch Integritéitsschlëssel) - en anere Schlëssel deen an Dateintegritéitsschutzmechanismen fir EAP-AKA benotzt gëtt.
KAUSF - generéiert vun der ARPF Funktioun a Benotzer Ausrüstung aus CK и IK während 5G AKA an EAP-AKA.
KSEAF - Ankerschlëssel kritt vun der AUSF Funktioun vum Schlëssel KAMFAUSF.
KAMF - de Schlëssel kritt vun der SEAF Funktioun vum Schlëssel KSEAF.
KNASint, KNASenc - Schlësselen kritt vun der AMF Funktioun vum Schlëssel KAMF NAS Signalverkéier ze schützen.
KRRCint, KRRCenc - Schlësselen kritt vun der AMF Funktioun vum Schlëssel KAMF RRC Signalverkéier ze schützen.
KUPint, KUPenc - Schlësselen kritt vun der AMF Funktioun vum Schlëssel KAMF AS Signalverkéier ze schützen.
NH - Zwëschenschlëssel kritt vun der AMF Funktioun vum Schlëssel KAMF fir d'Datesécherheet während Iwwerreechungen ze garantéieren.
KgNB - de Schlëssel kritt vun der AMF Funktioun vum Schlëssel KAMF fir d'Sécherheet vun de Mobilitéitsmechanismen ze garantéieren.

Scheme fir SUCI aus SUPI ze generéieren a vice versa

Schemae fir SUPI an SUCI ze kréien

Produktioun vun SUCI aus SUPI an SUPI aus SUCI:

Authentifikatioun

Primär Authentifikatioun

An 5G Netzwierker sinn EAP-AKA an 5G AKA Standard primär Authentifikatiounsmechanismen. Loosst eis de primäre Authentifikatiounsmechanismus an zwou Phasen opdeelen: déi éischt ass verantwortlech fir d'Authentifikatioun ze initiéieren an eng Authentifikatiounsmethod ze wielen, déi zweet ass verantwortlech fir géigesäiteg Authentifikatioun tëscht dem Benotzer an dem Netz.

Initiatioun

De Benotzer stellt eng Umeldungsufro un SEAF of, déi dem Benotzer seng verstoppt Abonnement ID SUCI enthält.

SEAF schéckt un AUSF eng Authentifikatioun Ufro Message (Nausf_UEAuthentication_Authenticate Request) mat SNN (Serving Network Name) an SUPI oder SUCI.

AUSF kontrolléiert ob de SEAF Authentifikatiounsufroer erlaabt ass de gegebene SNN ze benotzen. Wann de Servernetz net autoriséiert ass fir dësen SNN ze benotzen, da reagéiert d'AUSF mat enger Autorisatiounsfehlermeldung "Netzwierk net autoriséiert" (Nausf_UEAuthentication_Authenticate Response).

Authentifikatiouns-Umeldungsinformatiounen ginn vun der AUSF un UDM, ARPF oder SIDF iwwer SUPI oder SUCI an SNN gefrot.

Baséierend op SUPI oder SUCI a Benotzerinformatioun, wielt UDM / ARPF d'Authentifikatiounsmethod fir déi nächst ze benotzen an erausginn d'Umeldungsinformatiounen vum Benotzer.

Géigesäiteg Authentifikatioun

Wann Dir eng Authentifikatiounsmethod benotzt, mussen d'UDM / ARPF Netzwierkfunktiounen en Authentifikatiounsvektor (AV) generéieren.

EAP-AKA: UDM / ARPF generéiert als éischt en Authentifikatiounsvektor mat Trennungsbit AMF = 1, generéiert dann CK' и IK' aus CK, IK an SNN a bilden en neien AV Authentifikatiounsvektor (RAND, AUTN, XRES*, CK', IK'), déi un d'AUSF geschéckt gëtt mat Instruktioune fir se nëmme fir EAP-AKA ze benotzen.

5G AKA: UDM / ARPF kritt de Schlëssel KAUSF aus CK, IK an SNN, duerno generéiert et 5G HE AV. 5G Heem Ëmfeld Authentifikatioun Vector). 5G HE AV Authentifikatiounsvektor (RAND, AUTN, XRES, KAUSF) gëtt un d'AUSF geschéckt mat Instruktioune fir et nëmme fir 5G AKA ze benotzen.

No dëser AUSF gëtt den Ankerschlëssel kritt KSEAF vum Schlëssel KAUSF a schéckt eng Ufro un SEAF "Challenge" am Message "Nausf_UEAuthentication_Authenticate Response", déi enthält och RAND, AUTN an RES *. Als nächst ginn d'RAND an d'AUTN un d'Benotzerausrüstung iwwerdroen mat enger sécherer NAS Signalmeldung. D'USIM vum Benotzer berechent RES * aus dem kritt RAND an AUTN a schéckt et zu SEAF. SEAF relais dëse Wäert un AUSF fir Verifizéierung.

AUSF vergläicht den XRES* gespäichert an der RES* kritt vum Benotzer. Wann et e Match gëtt, ginn d'AUSF an UDM am Heemnetz vum Bedreiwer iwwer erfollegräich Authentifikatioun informéiert, an de Benotzer an SEAF generéieren onofhängeg e Schlëssel KAMF aus KSEAF an SUPI fir weider Kommunikatioun.

Sekundär Authentifikatioun

De 5G Standard ënnerstëtzt optional sekundär Authentifikatioun baséiert op EAP-AKA tëscht der Benotzerausrüstung an dem externen Datenetz. An dësem Fall spillt SMF d'Roll vum EAP Authentifizéierer a setzt op d'Aarbecht AAA-en externen Netzwierkserver deen de Benotzer authentifizéiert an autoriséiert.

• Obligatoresch initial Benotzerauthentifikatioun am Heemnetz geschitt an e gemeinsame NAS Sécherheetskontext gëtt mat AMF entwéckelt.
• De Benotzer schéckt eng Ufro un AMF fir eng Sessioun opzebauen.
• AMF schéckt eng Ufro fir eng Sessioun op SMF z'etabléieren, wat de SUPI vum Benotzer uginn.
• SMF validéiert d'Umeldungsinformatiounen vum Benotzer an UDM mat der geliwwerter SUPI.
• De SMF schéckt eng Äntwert op d'Ufro vun der AMF.
• SMF initiéiert d'EAP Authentifikatiounsprozedur fir d'Erlaabnes ze kréien fir eng Sessioun vum AAA-Server am externen Netzwierk z'etabléieren. Fir dëst ze maachen, de SMF an de Benotzer austauschen Messagen fir d'Prozedur ze initiéieren.
• De Benotzer an den externen Netzwierk AAA Server tauschen dann Messagen fir de Benotzer ze authentifizéieren an ze autoriséieren. An dësem Fall schéckt de Benotzer Messagen un de SMF, deen am Tour Messagen mam externen Netz iwwer UPF austauscht.

Konklusioun

Och wann d'5G Sécherheetsarchitektur op der Wiederverwendung vun existente Technologien baséiert, stellt se komplett nei Erausfuerderungen. Eng riesech Unzuel vun IoT-Geräter, erweiderten Netzwierkgrenzen an dezentraliséierter Architekturelementer sinn nëmmen e puer vun de Schlësselprinzipien vum 5G Standard, déi d'Imaginatioun vun Cyberkriminelle fräi ginn.

De Kärstandard fir 5G Sécherheetsarchitektur ass TS 23.501 Versioun 15.6.0 - enthält Schlësselpunkte vun der Operatioun vu Sécherheetsmechanismen a Prozeduren. Besonnesch beschreift et d'Roll vun all VNF fir de Schutz vu Benotzerdaten an Netzknäppchen ze garantéieren, bei der Generatioun vu Krypto-Schlësselen an der Ëmsetzung vun der Authentifikatiounsprozedur. Awer och dëse Standard gëtt keng Äntwerten op dréngend Sécherheetsprobleemer, déi Telekomoperateure méi dacks konfrontéieren, déi méi intensiv nei Generatioun Netzwierker entwéckelt an a Betrib geholl ginn.

An dëser Hisiicht géif ech gleewen, datt d'Schwieregkeete fir d'5. déi deklaréiert Fäegkeeten vun der neier Generatioun Netzwierker.

Nëtzlech Adressen

3GPP Spezifizéierung Serie
5G Sécherheetsarchitektur
5G System Architektur
5G Wiki
5G Architektur Notizen
5G Sécherheet Iwwersiicht

Source: will.com