Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas
Akivaizdu, kad imtis naujo ryšio standarto kūrimo negalvojant apie saugumo mechanizmus yra itin abejotinas ir bergždžias darbas.
5G saugumo architektūra — saugumo mechanizmų ir procedūrų, įdiegtų 5 kartos tinklai ir apimantis visus tinklo komponentus, nuo šerdies iki radijo sąsajų.
5-osios kartos tinklai iš esmės yra evoliucija 4 kartos LTE tinklai. Radijo prieigos technologijos patyrė reikšmingiausių pokyčių. 5 kartos tinklams – naujas ŽIURKĖ (Radijo prieigos technologija) – 5G naujas radijas. Kalbant apie tinklo branduolį, jis nepatyrė tokių reikšmingų pokyčių. Šiuo atžvilgiu 5G tinklų saugumo architektūra buvo sukurta daugiausia dėmesio skiriant atitinkamų technologijų, priimtų 4G LTE standarte, pakartotiniam naudojimui.
Tačiau verta paminėti, kad pergalvojant žinomas grėsmes, tokias kaip atakos prieš oro sąsajas ir signalizacijos sluoksnį (signalizacija lėktuvas), DDOS atakos, Man-In-The-Middle atakos ir kt., paskatino telekomunikacijų operatorius sukurti naujus standartus ir integruoti visiškai naujus saugumo mechanizmus į 5 kartos tinklus.
Būtinos sąlygos
2015 metais Tarptautinė telekomunikacijų sąjunga parengė pirmąjį tokio pobūdžio pasaulinį penktosios kartos tinklų plėtros planą, todėl ypač aktuali 5G tinklų saugumo mechanizmų ir procedūrų kūrimo problema.
Naujoji technologija pasiūlė išties įspūdingą duomenų perdavimo greitį (daugiau nei 1 Gbps), mažesnį nei 1 ms delsą ir galimybę vienu metu prijungti apie 1 milijoną įrenginių 1 km2 spinduliu. Tokie aukščiausi reikalavimai 5 kartos tinklams atsispindi ir jų organizavimo principuose.
Pagrindinis buvo decentralizavimas, kuris reiškė daugelio vietinių duomenų bazių ir jų apdorojimo centrų išdėstymą tinklo periferijoje. Tai leido sumažinti vėlavimą M2M-ryšis ir atlaisvinti tinklo branduolį, nes aptarnaujama daugybės daiktų interneto įrenginių. Taigi naujos kartos tinklų kraštas išsiplėtė iki pat bazinių stočių, leidžiančių kurti vietinius komunikacijos centrus ir teikti debesų paslaugas be kritinių vėlavimų ar paslaugų atsisakymo rizikos. Natūralu, kad pasikeitęs požiūris į tinklų kūrimą ir klientų aptarnavimą sudomino užpuolikus, nes atvėrė jiems naujas galimybes atakuoti tiek konfidencialią vartotojų informaciją, tiek pačius tinklo komponentus, kad būtų atsisakyta teikti paslaugą ar užgrobti operatoriaus kompiuterinius išteklius.
Pagrindiniai 5 kartos tinklų pažeidžiamumai
Didelis puolimo paviršius
DaugiauKurdami 3 ir 4 kartos telekomunikacijų tinklus, telekomunikacijų operatoriai dažniausiai apsiribodavo darbu su vienu ar keliais pardavėjais, kurie iš karto tiekdavo aparatinės ir programinės įrangos rinkinį. Tai yra, viskas galėjo veikti, kaip sakoma, „iš dėžutės“ - pakako tiesiog įdiegti ir sukonfigūruoti iš pardavėjo įsigytą įrangą; nereikėjo keisti ar papildyti patentuotos programinės įrangos. Šiuolaikinės tendencijos prieštarauja šiam „klasikiniam“ požiūriui ir yra nukreiptos į tinklų virtualizavimą, kelių gamintojų požiūrį į jų kūrimą ir programinės įrangos įvairovę. Tokios technologijos kaip SDN (angl. Software Defined Network) ir NFV (angl. Network Functions Virtualization), todėl į komunikacijos tinklų valdymo procesus ir funkcijas įtraukiamas didžiulis kiekis programinės įrangos, sukurtos remiantis atvirojo kodo kodais. Tai suteikia užpuolikams galimybę geriau ištirti operatoriaus tinklą ir nustatyti daugiau pažeidžiamumų, o tai savo ruožtu padidina naujos kartos tinklų atakos paviršių, palyginti su dabartiniais.
Didelis daiktų interneto įrenginių skaičius
DaugiauIki 2021 m. apie 57 % įrenginių, prijungtų prie 5G tinklų, bus IoT įrenginiai. Tai reiškia, kad dauguma kompiuterių turės ribotas kriptografines galimybes (žr. 2 punktą) ir atitinkamai bus pažeidžiami atakų. Didelis tokių įrenginių skaičius padidins botneto plitimo riziką ir leis vykdyti dar galingesnes ir paskirstytas DDoS atakas.
Ribotos IoT įrenginių kriptografinės galimybės
DaugiauKaip jau minėta, 5 kartos tinklai aktyviai naudoja periferinius įrenginius, kurie leidžia pašalinti dalį apkrovos iš tinklo šerdies ir taip sumažinti delsą. Tai reikalinga tokioms svarbioms paslaugoms kaip bepiločių transporto priemonių valdymas, avarinio įspėjimo sistema IGS ir kiti, kuriems labai svarbu užtikrinti minimalų delsimą, nes nuo to priklauso žmonių gyvybės. Sujungus daug daiktų interneto įrenginių, kurie dėl mažo dydžio ir mažo energijos suvartojimo turi labai ribotus skaičiavimo išteklius, 5G tinklai tampa pažeidžiami atakoms, kuriomis siekiama perimti tokių įrenginių valdymą ir vėliau manipuliuoti jais. Pavyzdžiui, gali būti scenarijų, kai IoT įrenginiai, kurie yra sistemos dalis, yra užkrėsti.protingas Namas“, kenkėjiškų programų tipai, pvz., Išpirkos reikalaujančios ir išpirkos reikalaujančios programos. Taip pat galimi nepilotuojamų transporto priemonių valdymo perėmimo scenarijai, kurie per debesį gauna komandas ir navigacijos informaciją. Formaliai šis pažeidžiamumas atsiranda dėl naujos kartos tinklų decentralizavimo, tačiau kitoje pastraipoje decentralizacijos problema bus aiškesnė.
Tinklo ribų decentralizavimas ir išplėtimas
DaugiauIšoriniai įrenginiai, atliekantys vietinio tinklo branduolių vaidmenį, atlieka vartotojų srauto nukreipimą, apdoroja užklausas, taip pat vietinę talpyklą ir vartotojo duomenų saugojimą. Taigi, 5-osios kartos tinklų ribos plečiasi, be branduolio, į periferiją, įskaitant vietines duomenų bazes ir 5G-NR (5G New Radio) radijo sąsajas. Tai sukuria galimybę atakuoti vietinių įrenginių, kurie a priori yra silpniau apsaugoti nei centriniai tinklo branduolio mazgai, skaičiavimo išteklius, siekiant sukelti paslaugų atsisakymą. Tai gali lemti interneto prieigos atjungimą ištisoms vietovėms, netinkamą daiktų interneto įrenginių veikimą (pavyzdžiui, išmaniųjų namų sistemoje), taip pat IMS avarinio įspėjimo paslaugos nepasiekimą.
Tačiau ETSI ir 3GPP dabar paskelbė daugiau nei 10 standartų, apimančių įvairius 5G tinklo saugumo aspektus. Didžioji dauguma ten aprašytų mechanizmų yra skirti apsisaugoti nuo pažeidžiamumų (įskaitant tuos, kurie aprašyti aukščiau). Vienas iš pagrindinių yra standartas TS 23.501 versija 15.6.0, aprašantis 5 kartos tinklų saugumo architektūrą.
5G architektūra
Pirma, pereikime prie pagrindinių 5G tinklo architektūros principų, kurie dar labiau atskleis kiekvieno programinės įrangos modulio ir kiekvienos 5G saugos funkcijos prasmę ir atsakomybės sritis.
Tinklo mazgų suskirstymas į elementus, užtikrinančius protokolų veikimą pritaikytas lėktuvas (iš anglų kalbos UP – User Plane) ir protokolų veikimą užtikrinantys elementai valdymo plokštuma (iš anglų kalbos CP - Control Plane), kuris padidina lankstumą keičiant mastelį ir tinklo išdėstymą, t. y. galimas centralizuotas arba decentralizuotas atskirų komponentų tinklo mazgų išdėstymas.
Mechanizmo palaikymas tinklo pjaustymas, remiantis konkrečioms galutinių vartotojų grupėms teikiamomis paslaugomis.
Palaikymas tuo pačiu metu prieigai prie centralizuotų ir vietinių paslaugų, t. y. debesijos koncepcijų diegimas (iš anglų k. rūko skaičiavimas) ir sieną (iš anglų k. kraštinių skaičiavimų) skaičiavimai.
Vykdymas susiliejantis architektūra, jungianti skirtingų tipų prieigos tinklus – 3GPP 5G New Radio ir ne 3GPP (Wi-Fi ir kt.) – su vienu tinklo branduoliu.
Vienodų algoritmų ir autentifikavimo procedūrų palaikymas, neatsižvelgiant į prieigos tinklo tipą.
Tinklo be būsenos funkcijų palaikymas, kai skaičiuojami ištekliai yra atskirti nuo išteklių saugyklos.
Tarptinklinio ryšio palaikymas naudojant srauto nukreipimą tiek per namų tinklą (iš anglų kalbos namų maršruto tarptinklinis ryšys), tiek su vietiniu „nuleidimu“ (iš anglų kalbos vietinio pertraukimo) svečių tinkle.
Prieigos leidimas pagal profilio duomenis (pvz., tarptinklinio ryšio apribojimai).
Vartotojų registracijos valdymas, ty aptarnaujančios AMF saugojimas.
Sklandžių paslaugų ir ryšio seansų palaikymas, t. y. dabartinei ryšio sesijai priskirto SMF saugojimas.
SMS pristatymo valdymas.
Keletas skirtingų UDM gali aptarnauti tą patį vartotoją atliekant skirtingas operacijas.
UDR (angl. Unified Data Repository – vieningų duomenų saugykla) – suteikia įvairių vartotojų duomenų saugojimą ir iš tikrųjų yra visų tinklo abonentų duomenų bazė.
UDSF (angl. Unstructured Data Storage Function – nestruktūrizuota duomenų saugojimo funkcija) – užtikrina, kad AMF moduliai išsaugos esamus registruotų vartotojų kontekstus. Apskritai ši informacija gali būti pateikta kaip neapibrėžtos struktūros duomenys. Vartotojo kontekstai gali būti naudojami siekiant užtikrinti sklandų ir nepertraukiamą abonento seansą tiek planuojamo vieno iš AMF pašalinimo iš paslaugos metu, tiek kritinės situacijos atveju. Abiem atvejais atsarginė AMF „pasiims“ paslaugą naudodama USDF saugomus kontekstus.
UDR ir UDSF derinimas toje pačioje fizinėje platformoje yra tipiškas šių tinklo funkcijų įgyvendinimas.
PCF (Angliškai: Policy Control Function – policy control function) – sukuria ir priskiria vartotojams tam tikras paslaugų strategijas, įskaitant QoS parametrus ir apmokestinimo taisykles. Pavyzdžiui, norint perduoti vienokią ar kitokią srautą, galima dinamiškai kurti virtualius kanalus su skirtingomis charakteristikomis. Kartu galima atsižvelgti į abonento pageidaujamos paslaugos reikalavimus, tinklo perkrovos lygį, suvartojamo srauto kiekį ir kt.
NEF (angl. Network Exposure Function – tinklo ekspozicijos funkcija) – suteikia:
Saugios išorinių platformų ir programų sąveikos su tinklo šerdimi organizavimas.
Tvarkykite QoS parametrus ir apmokestinimo taisykles konkretiems vartotojams.
JŪRA (angl. Security Inchor Function – inkaro saugos funkcija) – kartu su AUSF užtikrina vartotojų autentifikavimą, kai jie registruojasi tinkle naudodami bet kokią prieigos technologiją.
AUSF (Angl. Authentication Server Function – autentifikavimo serverio funkcija) – atlieka autentifikavimo serverio, kuris priima ir apdoroja užklausas iš SEAF ir nukreipia jas į ARPF, vaidmenį.
ARPF (Angliškai: Authentication Credential Repository and Processing Function – autentifikavimo kredencialų saugojimo ir apdorojimo funkcija) – užtikrina asmeninių slaptųjų raktų (KI) ir kriptografinių algoritmų parametrų saugojimą, taip pat autentifikavimo vektorių generavimą pagal 5G-AKA arba IR AP- AKA. Jis yra namų telekomunikacijų operatoriaus duomenų centre, apsaugotas nuo išorinių fizinių poveikių ir, kaip taisyklė, yra integruotas su UDM.
SCMF (Angl. Security Context Management Function – valdymo funkcija saugumo kontekste) – Teikiamas 5G saugos konteksto gyvavimo ciklo valdymas.
SPCF (angl. Security Policy Control Function – saugumo politikos valdymo funkcija) – užtikrina saugumo politikos koordinavimą ir taikymą konkrečių vartotojų atžvilgiu. Tai atsižvelgiama į tinklo galimybes, vartotojo įrangos galimybes ir konkrečios paslaugos reikalavimus (pavyzdžiui, kritinės komunikacijos paslaugos ir belaidžio plačiajuosčio interneto prieigos paslaugos teikiamos apsaugos lygiai gali skirtis). Saugumo politikos taikymas apima: AUSF parinkimą, autentifikavimo algoritmo pasirinkimą, duomenų šifravimo ir vientisumo kontrolės algoritmų pasirinkimą, raktų ilgio ir gyvavimo ciklo nustatymą.
SIDF (Angl. Subscription Identifier De-concealing Function – vartotojo identifikatoriaus ištraukimo funkcija) – užtikrina nuolatinio abonento prenumeratos identifikatoriaus (anglų k. SUPI) ištraukimą iš paslėpto identifikatoriaus (anglų k. SUCI), gautas kaip autentifikavimo procedūros užklausos „Auth Info Req“ dalis.
Pagrindiniai 5G ryšio tinklų saugumo reikalavimai
DaugiauVartotojo autentifikavimas: aptarnaujantis 5G tinklas turi autentifikuoti vartotojo SUPI 5G AKA procese tarp vartotojo ir tinklo.
Tinklo autentifikavimo aptarnavimas: vartotojas turi patvirtinti 5G aptarnaujančio tinklo ID, autentifikavimas pasiekiamas sėkmingai naudojant raktus, gautus naudojant 5G AKA procedūrą.
Vartotojo įgaliojimas: aptarnaujantis tinklas turi įgalioti vartotoją naudodamas vartotojo profilį, gautą iš namų telekomunikacijų operatoriaus tinklo.
Aptarnaujančio tinklo autorizacija iš namų operatoriaus tinklo: vartotojui turi būti pateiktas patvirtinimas, kad jis yra prisijungęs prie paslaugų tinklo, kuriam namų operatoriaus tinklas yra įgaliotas teikti paslaugas. Leidimas yra numanomas ta prasme, kad jį užtikrina sėkmingas 5G AKA procedūros užbaigimas.
Prieigos tinklo leidimas iš namų operatoriaus tinklo: vartotojui turi būti pateiktas patvirtinimas, kad jis yra prisijungęs prie prieigos tinklo, kuriam namų operatoriaus tinklas yra įgaliotas teikti paslaugas. Leidimas yra numanomas ta prasme, kad jis vykdomas sėkmingai nustatant prieigos tinklo saugumą. Šio tipo leidimas turi būti naudojamas bet kokio tipo prieigos tinklui.
Neatpažintos pagalbos tarnybos: Kad atitiktų reguliavimo reikalavimus kai kuriuose regionuose, 5G tinklai turi suteikti neautentifikuotą prieigą prie pagalbos tarnybų.
Pagrindinis tinklo ir radijo prieigos tinklas: 5G tinklo branduolys ir 5G radijo prieigos tinklas turi palaikyti 128 bitų šifravimo ir vientisumo algoritmų naudojimą, kad būtų užtikrintas saugumas AS и NAS. Tinklo sąsajos turi palaikyti 256 bitų šifravimo raktus.
Pagrindiniai naudotojo įrangos saugos reikalavimai
Daugiau
Vartotojo įranga turi palaikyti tarp jos ir radijo prieigos tinklo perduodamų vartotojo duomenų šifravimą, vientisumo apsaugą ir apsaugą nuo atkūrimo atakų.
Vartotojo įranga turi įjungti šifravimo ir duomenų vientisumo apsaugos mechanizmus, kaip nurodo radijo prieigos tinklas.
Vartotojo įranga turi palaikyti RRC ir NAS signalų srauto šifravimą, vientisumo apsaugą ir apsaugą nuo atkūrimo atakų.
Vartotojo įranga turi palaikyti šiuos kriptografinius algoritmus: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Vartotojo įranga gali palaikyti šiuos kriptografinius algoritmus: 128-NEA3, 128-NIA3.
Vartotojo įranga turi palaikyti šiuos kriptografinius algoritmus: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, jei palaiko ryšį su E-UTRA radijo prieigos tinklu.
Vartotojo duomenų, perduodamų tarp vartotojo įrangos ir radijo prieigos tinklo, konfidencialumo apsauga yra neprivaloma, tačiau turi būti užtikrinta, kai tai leidžia taisyklės.
RRC ir NAS signalų srauto privatumo apsauga yra neprivaloma.
Naudotojo nuolatinis raktas turi būti apsaugotas ir laikomas gerai apsaugotuose vartotojo įrangos komponentuose.
Abonento nuolatinis abonento identifikatorius neturėtų būti perduodamas aiškiu tekstu radijo prieigos tinklu, išskyrus informaciją, reikalingą teisingam maršruto nustatymui (pvz. MKC и DB).
Namų operatoriaus tinklo viešasis raktas, rakto identifikatorius, saugos schemos identifikatorius ir maršruto parinkimo identifikatorius turi būti saugomi USIM.
Kiekvienas šifravimo algoritmas yra susietas su dvejetainiu skaičiumi:
Pagrindiniai 5G tinklo funkcijų saugumo reikalavimai
Daugiau
AMF turi palaikyti pirminį autentifikavimą naudojant SUCI.
SEAF turi palaikyti pirminį autentifikavimą naudojant SUCI.
UDM ir ARPF turi saugoti nuolatinį vartotojo raktą ir užtikrinti, kad jis būtų apsaugotas nuo vagystės.
AUSF teikia SUPI vietiniam aptarnavimo tinklui tik sėkmingai atlikus pradinį autentifikavimą naudojant SUCI.
NEF neturi persiųsti paslėptos pagrindinio tinklo informacijos už operatoriaus saugos srities ribų.
Pagrindinės saugos procedūros
Pasitikėti domenais
5 kartos tinkluose pasitikėjimas tinklo elementais mažėja, kai elementai tolsta nuo tinklo šerdies. Ši koncepcija daro įtaką 5G saugumo architektūroje įgyvendinamiems sprendimams. Taigi galime kalbėti apie 5G tinklų pasitikėjimo modelį, kuris lemia tinklo saugumo mechanizmų elgesį.
Vartotojo pusėje pasitikėjimo domeną sudaro UICC ir USIM.
Tinklo pusėje pasitikėjimo domenas turi sudėtingesnę struktūrą.
Radijo prieigos tinklas yra padalintas į du komponentus – DU (iš anglų kalbos Distributed Units – paskirstyti tinklo vienetai) ir CU (iš anglų kalbos centriniai padaliniai – centriniai tinklo padaliniai). Kartu jie susidaro gNB — 5G tinklo bazinės stoties radijo sąsaja. DU neturi tiesioginės prieigos prie vartotojo duomenų, nes jie gali būti naudojami neapsaugotuose infrastruktūros segmentuose. CU turi būti dislokuoti apsaugotuose tinklo segmentuose, nes jie yra atsakingi už srauto nutraukimą iš AS saugos mechanizmų. Tinklo centre yra AMF, kuris nutraukia srautą iš NAS apsaugos mechanizmų. Dabartinė 3GPP 5G 1 fazės specifikacija aprašo derinį AMF su saugos funkcija JŪRA, kuriame yra lankomo (aptarnaujamo) tinklo šakninis raktas (taip pat žinomas kaip „prierašo raktas“). AUSF yra atsakingas už rakto, gauto po sėkmingo autentifikavimo, saugojimą. Jis būtinas pakartotiniam naudojimui tais atvejais, kai vartotojas vienu metu yra prisijungęs prie kelių radijo prieigos tinklų. ARPF saugo vartotojo kredencialus ir yra USIM analogas abonentams. UDR и LTM saugoti vartotojo informaciją, kuri naudojama kredencialų generavimo logikai, vartotojo ID, seanso tęstinumo užtikrinimui ir kt.
Raktų hierarchija ir jų paskirstymo schemos
5 kartos tinkluose, skirtingai nei 4G-LTE tinkluose, autentifikavimo procedūra susideda iš dviejų komponentų: pirminio ir antrinio autentifikavimo. Pirminis autentifikavimas reikalingas visiems vartotojo įrenginiams, jungiantiems prie tinklo. Antrinis autentifikavimas gali būti atliekamas paprašius iš išorinių tinklų, jei prie jų prisijungia abonentas.
Sėkmingai užbaigus pirminį autentifikavimą ir sukūrus bendrą raktą K tarp vartotojo ir tinklo, KSEAF išgaunamas iš rakto K – specialaus aptarnaujančio tinklo inkaro (šakninio) rakto. Vėliau iš šio rakto sugeneruojami raktai, užtikrinantys RRC ir NAS signalizacijos srauto duomenų konfidencialumą ir vientisumą.
Diagrama su paaiškinimais Žymėjimas: CK Šifravimo raktas IK (angl. Integrity Key) – raktas, naudojamas duomenų vientisumo apsaugos mechanizmuose. CK' (angl. Cipher Key) – kitas kriptografinis raktas, sukurtas iš CK, skirtas EAP-AKA mechanizmui. IK' (angl. Integrity Key) – kitas raktas, naudojamas duomenų vientisumo apsaugos mechanizmuose EAP-AKA. KAUSF - generuoja ARPF funkcija ir vartotojo įranga iš CK и IK 5G AKA ir EAP-AKA metu. KSEAF - inkaro raktas, gautas naudojant AUSF funkciją iš rakto KAMFAUSF. KAMF — raktas, gautas naudojant SEAF funkciją iš klavišo KSEAF. KNASint, KNASenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti NAS signalų srautą. KRRCint, KRRCenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti RRC signalinį eismą. KUPint, KUPenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti AS signalinį eismą. NH — tarpinis klavišas, gautas naudojant AMF funkciją iš klavišo KAMF užtikrinti duomenų saugumą perdavimo metu. KgNB — raktas, gautas naudojant AMF funkciją iš klavišo KAMF užtikrinti judėjimo mechanizmų saugumą.
SUCI generavimo iš SUPI ir atvirkščiai schemos
SUPI ir SUCI gavimo schemos
SUCI gamyba iš SUPI ir SUPI iš SUCI:
Autentifikavimas
Pirminis autentifikavimas
5G tinkluose EAP-AKA ir 5G AKA yra standartiniai pirminiai autentifikavimo mechanizmai. Padalinkime pirminį autentifikavimo mechanizmą į dvi fazes: pirmoji yra atsakinga už autentifikavimo inicijavimą ir autentifikavimo metodo pasirinkimą, antroji – už abipusį vartotojo ir tinklo autentifikavimą.
Iniciacija
Vartotojas SEAF pateikia registracijos užklausą, kurioje yra paslėptas vartotojo prenumeratos ID SUCI.
SEAF siunčia AUSF autentifikavimo užklausos pranešimą (Nausf_UEAuthentication_Authenticate Request), kuriame yra SNN (aptarnaujančio tinklo pavadinimas) ir SUPI arba SUCI.
AUSF patikrina, ar SEAF autentifikavimo prašytojui leidžiama naudoti nurodytą SNN. Jei aptarnaujančiam tinklui neleidžiama naudoti šio SNN, AUSF atsako su prieigos klaidos pranešimu „Aptarnaujantis tinklas neįgalintas“ (Nausf_UEAuthentication_Authenticate Response).
AUSF prašo autentifikavimo kredencialų UDM, ARPF arba SIDF per SUPI arba SUCI ir SNN.
Remdamasis SUPI arba SUCI ir vartotojo informacija, UDM/ARPF pasirenka autentifikavimo metodą, kurį naudoti toliau, ir išduoda vartotojo kredencialus.
Abipusis autentifikavimas
Naudojant bet kurį autentifikavimo metodą, UDM/ARPF tinklo funkcijos turi sukurti autentifikavimo vektorių (AV).
EAP-AKA: UDM/ARPF pirmiausia sugeneruoja autentifikavimo vektorių su skiriamuoju bitu AMF = 1, tada sugeneruoja CK' и IK' iš CK, IK ir SNN ir sudaro naują AV autentifikavimo vektorių (RAND, AUTN, XRES*, CK', IK'), kuris siunčiamas AUSF su instrukcijomis naudoti tik EAP-AKA.
5G dar žinomas kaip: UDM / ARPF gauna raktą KAUSF iš CK, IK ir SNN, po kurio jis generuoja 5G HE AV. 5G namų aplinkos autentifikavimo vektorius). 5G HE AV autentifikavimo vektorius (RAND, AUTN, XRES, KAUSF) siunčiamas AUSF su instrukcijomis, kaip jį naudoti tik 5G ryšiui.
Po šio AUSF gaunamas inkaro raktas KSEAF nuo rakto KAUSF ir siunčia užklausą SEAF „Iššūkis“ pranešimu „Nausf_UEAuthentication_Authenticate Response“, kuriame taip pat yra RAND, AUTN ir RES*. Tada RAND ir AUTN perduodami į vartotojo įrangą naudojant saugų NAS signalizacijos pranešimą. Vartotojo USIM apskaičiuoja RES* iš gautų RAND ir AUTN ir siunčia jį į SEAF. SEAF perduoda šią vertę AUSF patikrinti.
AUSF lygina jame saugomą XRES* ir iš vartotojo gautą RES*. Jei sutampa, operatoriaus namų tinkle AUSF ir UDM pranešama apie sėkmingą autentifikavimą, o vartotojas ir SEAF savarankiškai generuoja raktą. KAMF iš KSEAF ir SUPI tolesniam bendravimui.
Antrinis autentifikavimas
5G standartas palaiko pasirenkamą antrinį autentifikavimą, pagrįstą EAP-AKA tarp vartotojo įrangos ir išorinio duomenų tinklo. Šiuo atveju SMF atlieka EAP autentifikatoriaus vaidmenį ir remiasi darbu AAA- išorinis tinklo serveris, kuris autentifikuoja ir suteikia įgaliojimus vartotojui.
Įvyksta privalomas pradinis vartotojo autentifikavimas namų tinkle ir sukuriamas bendras NAS saugos kontekstas su AMF.
Vartotojas siunčia užklausą AMF užmegzti seansą.
AMF siunčia užklausą sukurti seansą SMF, nurodydamas vartotojo SUPI.
SMF inicijuoja EAP autentifikavimo procedūrą, kad gautų leidimą užmegzti seansą iš AAA serverio išoriniame tinkle. Norėdami tai padaryti, SMF ir vartotojas apsikeičia pranešimais, kad pradėtų procedūrą.
Tada vartotojas ir išorinio tinklo AAA serveris keičiasi pranešimais, kad patvirtintų ir įgaliotų vartotoją. Tokiu atveju vartotojas siunčia pranešimus į SMF, kuris savo ruožtu keičiasi pranešimais su išoriniu tinklu per UPF.
išvada
Nors 5G saugumo architektūra pagrįsta pakartotiniu esamų technologijų naudojimu, ji kelia visiškai naujų iššūkių. Didžiulis daiktų interneto įrenginių skaičius, išplėstos tinklo ribos ir decentralizuotos architektūros elementai – tai tik keletas pagrindinių 5G standarto principų, suteikiančių valią kibernetinių nusikaltėlių vaizduotei.
Pagrindinis 5G saugos architektūros standartas yra TS 23.501 versija 15.6.0 — yra pagrindiniai saugumo mechanizmų ir procedūrų veikimo punktai. Visų pirma, aprašomas kiekvieno VNF vaidmuo užtikrinant vartotojo duomenų ir tinklo mazgų apsaugą, generuojant kriptovaliutų raktus ir įgyvendinant autentifikavimo procedūrą. Tačiau net ir šis standartas nepateikia atsakymų į aktualias saugumo problemas, su kuriomis telekomunikacijų operatoriai dažniau susiduria intensyviau plėtojant ir pradėjus eksploatuoti naujos kartos tinklus.
Šiuo atžvilgiu norisi tikėti, kad 5 kartos tinklų eksploatavimo ir apsaugos sunkumai niekaip nepaveiks paprastų vartotojų, kuriems žadamas perdavimo greitis ir atsakymai kaip mamos draugės sūnui ir jau nekantrauja visus išbandyti. deklaruojamos naujos kartos tinklų galimybės.