ProHoster > Dienoraštis > Administravimas > Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Akivaizdu, kad imtis naujo ryšio standarto kūrimo negalvojant apie saugumo mechanizmus yra itin abejotinas ir bergždžias darbas.

5G saugumo architektūra — saugumo mechanizmų ir procedūrų, įdiegtų 5 kartos tinklai ir apimantis visus tinklo komponentus, nuo šerdies iki radijo sąsajų.

5-osios kartos tinklai iš esmės yra evoliucija 4 kartos LTE tinklai. Radijo prieigos technologijos patyrė reikšmingiausių pokyčių. 5 kartos tinklams – naujas ŽIURKĖ (Radijo prieigos technologija) – 5G naujas radijas. Kalbant apie tinklo branduolį, jis nepatyrė tokių reikšmingų pokyčių. Šiuo atžvilgiu 5G tinklų saugumo architektūra buvo sukurta daugiausia dėmesio skiriant atitinkamų technologijų, priimtų 4G LTE standarte, pakartotiniam naudojimui.

Tačiau verta paminėti, kad pergalvojant žinomas grėsmes, tokias kaip atakos prieš oro sąsajas ir signalizacijos sluoksnį (signalizacija lėktuvas), DDOS atakos, Man-In-The-Middle atakos ir kt., paskatino telekomunikacijų operatorius sukurti naujus standartus ir integruoti visiškai naujus saugumo mechanizmus į 5 kartos tinklus.

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Būtinos sąlygos

2015 metais Tarptautinė telekomunikacijų sąjunga parengė pirmąjį tokio pobūdžio pasaulinį penktosios kartos tinklų plėtros planą, todėl ypač aktuali 5G tinklų saugumo mechanizmų ir procedūrų kūrimo problema.

Naujoji technologija pasiūlė išties įspūdingą duomenų perdavimo greitį (daugiau nei 1 Gbps), mažesnį nei 1 ms delsą ir galimybę vienu metu prijungti apie 1 milijoną įrenginių 1 km2 spinduliu. Tokie aukščiausi reikalavimai 5 kartos tinklams atsispindi ir jų organizavimo principuose.

Pagrindinis buvo decentralizavimas, kuris reiškė daugelio vietinių duomenų bazių ir jų apdorojimo centrų išdėstymą tinklo periferijoje. Tai leido sumažinti vėlavimą M2M-ryšis ir atlaisvinti tinklo branduolį, nes aptarnaujama daugybės daiktų interneto įrenginių. Taigi naujos kartos tinklų kraštas išsiplėtė iki pat bazinių stočių, leidžiančių kurti vietinius komunikacijos centrus ir teikti debesų paslaugas be kritinių vėlavimų ar paslaugų atsisakymo rizikos. Natūralu, kad pasikeitęs požiūris į tinklų kūrimą ir klientų aptarnavimą sudomino užpuolikus, nes atvėrė jiems naujas galimybes atakuoti tiek konfidencialią vartotojų informaciją, tiek pačius tinklo komponentus, kad būtų atsisakyta teikti paslaugą ar užgrobti operatoriaus kompiuterinius išteklius.

Pagrindiniai 5 kartos tinklų pažeidžiamumai

Didelis puolimo paviršius

DaugiauKurdami 3 ir 4 kartos telekomunikacijų tinklus, telekomunikacijų operatoriai dažniausiai apsiribodavo darbu su vienu ar keliais pardavėjais, kurie iš karto tiekdavo aparatinės ir programinės įrangos rinkinį. Tai yra, viskas galėjo veikti, kaip sakoma, „iš dėžutės“ - pakako tiesiog įdiegti ir sukonfigūruoti iš pardavėjo įsigytą įrangą; nereikėjo keisti ar papildyti patentuotos programinės įrangos. Šiuolaikinės tendencijos prieštarauja šiam „klasikiniam“ požiūriui ir yra nukreiptos į tinklų virtualizavimą, kelių gamintojų požiūrį į jų kūrimą ir programinės įrangos įvairovę. Tokios technologijos kaip SDN (angl. Software Defined Network) ir NFV (angl. Network Functions Virtualization), todėl į komunikacijos tinklų valdymo procesus ir funkcijas įtraukiamas didžiulis kiekis programinės įrangos, sukurtos remiantis atvirojo kodo kodais. Tai suteikia užpuolikams galimybę geriau ištirti operatoriaus tinklą ir nustatyti daugiau pažeidžiamumų, o tai savo ruožtu padidina naujos kartos tinklų atakos paviršių, palyginti su dabartiniais.

Didelis daiktų interneto įrenginių skaičius

DaugiauIki 2021 m. apie 57 % įrenginių, prijungtų prie 5G tinklų, bus IoT įrenginiai. Tai reiškia, kad dauguma kompiuterių turės ribotas kriptografines galimybes (žr. 2 punktą) ir atitinkamai bus pažeidžiami atakų. Didelis tokių įrenginių skaičius padidins botneto plitimo riziką ir leis vykdyti dar galingesnes ir paskirstytas DDoS atakas.

Ribotos IoT įrenginių kriptografinės galimybės

DaugiauKaip jau minėta, 5 kartos tinklai aktyviai naudoja periferinius įrenginius, kurie leidžia pašalinti dalį apkrovos iš tinklo šerdies ir taip sumažinti delsą. Tai reikalinga tokioms svarbioms paslaugoms kaip bepiločių transporto priemonių valdymas, avarinio įspėjimo sistema IGS ir kiti, kuriems labai svarbu užtikrinti minimalų delsimą, nes nuo to priklauso žmonių gyvybės. Sujungus daug daiktų interneto įrenginių, kurie dėl mažo dydžio ir mažo energijos suvartojimo turi labai ribotus skaičiavimo išteklius, 5G tinklai tampa pažeidžiami atakoms, kuriomis siekiama perimti tokių įrenginių valdymą ir vėliau manipuliuoti jais. Pavyzdžiui, gali būti scenarijų, kai IoT įrenginiai, kurie yra sistemos dalis, yra užkrėsti.protingas Namas“, kenkėjiškų programų tipai, pvz., Išpirkos reikalaujančios ir išpirkos reikalaujančios programos. Taip pat galimi nepilotuojamų transporto priemonių valdymo perėmimo scenarijai, kurie per debesį gauna komandas ir navigacijos informaciją. Formaliai šis pažeidžiamumas atsiranda dėl naujos kartos tinklų decentralizavimo, tačiau kitoje pastraipoje decentralizacijos problema bus aiškesnė.

Tinklo ribų decentralizavimas ir išplėtimas

DaugiauIšoriniai įrenginiai, atliekantys vietinio tinklo branduolių vaidmenį, atlieka vartotojų srauto nukreipimą, apdoroja užklausas, taip pat vietinę talpyklą ir vartotojo duomenų saugojimą. Taigi, 5-osios kartos tinklų ribos plečiasi, be branduolio, į periferiją, įskaitant vietines duomenų bazes ir 5G-NR (5G New Radio) radijo sąsajas. Tai sukuria galimybę atakuoti vietinių įrenginių, kurie a priori yra silpniau apsaugoti nei centriniai tinklo branduolio mazgai, skaičiavimo išteklius, siekiant sukelti paslaugų atsisakymą. Tai gali lemti interneto prieigos atjungimą ištisoms vietovėms, netinkamą daiktų interneto įrenginių veikimą (pavyzdžiui, išmaniųjų namų sistemoje), taip pat IMS avarinio įspėjimo paslaugos nepasiekimą.

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Tačiau ETSI ir 3GPP dabar paskelbė daugiau nei 10 standartų, apimančių įvairius 5G tinklo saugumo aspektus. Didžioji dauguma ten aprašytų mechanizmų yra skirti apsisaugoti nuo pažeidžiamumų (įskaitant tuos, kurie aprašyti aukščiau). Vienas iš pagrindinių yra standartas TS 23.501 versija 15.6.0, aprašantis 5 kartos tinklų saugumo architektūrą.

5G architektūra

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas
Pirma, pereikime prie pagrindinių 5G tinklo architektūros principų, kurie dar labiau atskleis kiekvieno programinės įrangos modulio ir kiekvienos 5G saugos funkcijos prasmę ir atsakomybės sritis.

  • Tinklo mazgų suskirstymas į elementus, užtikrinančius protokolų veikimą pritaikytas lėktuvas (iš anglų kalbos UP – User Plane) ir protokolų veikimą užtikrinantys elementai valdymo plokštuma (iš anglų kalbos CP - Control Plane), kuris padidina lankstumą keičiant mastelį ir tinklo išdėstymą, t. y. galimas centralizuotas arba decentralizuotas atskirų komponentų tinklo mazgų išdėstymas.
  • Mechanizmo palaikymas tinklo pjaustymas, remiantis konkrečioms galutinių vartotojų grupėms teikiamomis paslaugomis.
  • Tinklo elementų įgyvendinimas formoje virtualaus tinklo funkcijos.
  • Palaikymas tuo pačiu metu prieigai prie centralizuotų ir vietinių paslaugų, t. y. debesijos koncepcijų diegimas (iš anglų k. rūko skaičiavimas) ir sieną (iš anglų k. kraštinių skaičiavimų) skaičiavimai.
  • Vykdymas susiliejantis architektūra, jungianti skirtingų tipų prieigos tinklus – 3GPP 5G New Radio ir ne 3GPP (Wi-Fi ir kt.) – su vienu tinklo branduoliu.
  • Vienodų algoritmų ir autentifikavimo procedūrų palaikymas, neatsižvelgiant į prieigos tinklo tipą.
  • Tinklo be būsenos funkcijų palaikymas, kai skaičiuojami ištekliai yra atskirti nuo išteklių saugyklos.
  • Tarptinklinio ryšio palaikymas naudojant srauto nukreipimą tiek per namų tinklą (iš anglų kalbos namų maršruto tarptinklinis ryšys), tiek su vietiniu „nuleidimu“ (iš anglų kalbos vietinio pertraukimo) svečių tinkle.
  • Tinklo funkcijų sąveika vaizduojama dviem būdais: orientuota į paslaugas и sąsaja.

5 kartos tinklo saugumo koncepcija apima:

  • Vartotojo autentifikavimas iš tinklo.
  • Vartotojo atliekamas tinklo autentifikavimas.
  • Derybos dėl kriptografinių raktų tarp tinklo ir vartotojo įrangos.
  • Signalizacijos srauto šifravimas ir vientisumo kontrolė.
  • Vartotojų srauto vientisumo šifravimas ir kontrolė.
  • Vartotojo ID apsauga.
  • Sąsajų tarp skirtingų tinklo elementų apsauga pagal tinklo saugumo srities koncepciją.
  • Skirtingų mechanizmo sluoksnių izoliavimas tinklo pjaustymas ir apibrėžiant kiekvieno sluoksnio saugumo lygius.
  • Vartotojo autentifikavimas ir srauto apsauga galutinių paslaugų lygiu (IMS, IoT ir kt.).

Pagrindiniai programinės įrangos moduliai ir 5G tinklo saugos funkcijos

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas AMF (iš anglų kalbos Access & Mobility Management Function – prieigos ir mobilumo valdymo funkcija) – suteikia:

  • Valdymo plokštumos sąsajų organizavimas.
  • Signalinio eismo mainų organizavimas RRK, šifravimas ir jo duomenų vientisumo apsauga.
  • Signalinio eismo mainų organizavimas NAS, šifravimas ir jo duomenų vientisumo apsauga.
  • Vartotojų įrangos registravimo tinkle valdymas ir galimų registracijos būsenų stebėjimas.
  • Vartotojo įrangos prijungimo prie tinklo valdymas ir galimų būsenų stebėjimas.
  • Valdykite vartotojo įrangos prieinamumą tinkle esant CM-IDLE būsenai.
  • Vartotojo įrangos mobilumo valdymas tinkle esant CM-CONNECTED būsenai.
  • Trumpųjų pranešimų perdavimas tarp vartotojo įrangos ir SMF.
  • Vietos paslaugų valdymas.
  • Gijos ID paskirstymas EPS bendrauti su EPS.

SMF (Angliškai: Session Management Function – seanso valdymo funkcija) – suteikia:

  • Ryšio seanso valdymas, t. y. seansų kūrimas, keitimas ir išleidimas, įskaitant tunelio tarp prieigos tinklo ir UPF palaikymą.
  • Vartotojų įrangos IP adresų platinimas ir valdymas.
  • Naudojamo UPF šliuzo pasirinkimas.
  • Sąveikos su PCF organizavimas.
  • Politikos vykdymo valdymas QoS.
  • Dinaminė vartotojo įrangos konfigūracija naudojant DHCPv4 ir DHCPv6 protokolus.
  • Tarifų duomenų rinkimo stebėjimas ir sąveikos su atsiskaitymo sistema organizavimas.
  • Sklandus paslaugų teikimas (iš anglų k. SSC – seanso ir paslaugų tęstinumas).
  • Sąveika su svečių tinklais tarptinklinio ryšio metu.

UPF (Angl. User Plane Function – vartotojo plokštumos funkcija) – suteikia:

  • Sąveika su išoriniais duomenų tinklais, įskaitant pasaulinį internetą.
  • Vartotojo paketų nukreipimas.
  • Paketų žymėjimas pagal QoS politiką.
  • Vartotojo paketo diagnostika (pavyzdžiui, parašu pagrįstos programos aptikimas).
  • Ataskaitų apie eismo naudojimą teikimas.
  • UPF taip pat yra tvirtinimo taškas, skirtas palaikyti mobilumą tiek skirtingų radijo prieigos technologijų viduje, tiek tarp jų.

LTM (Angl. Unified Data Management – ​​vieninga duomenų bazė) – suteikia:

  • Vartotojo profilio duomenų tvarkymas, įskaitant vartotojams prieinamų paslaugų sąrašo ir atitinkamų parametrų saugojimą ir keitimą.
  • Valdymas SUPI
  • Generuokite 3GPP autentifikavimo kredencialus AKA.
  • Prieigos leidimas pagal profilio duomenis (pvz., tarptinklinio ryšio apribojimai).
  • Vartotojų registracijos valdymas, ty aptarnaujančios AMF saugojimas.
  • Sklandžių paslaugų ir ryšio seansų palaikymas, t. y. dabartinei ryšio sesijai priskirto SMF saugojimas.
  • SMS pristatymo valdymas.
  • Keletas skirtingų UDM gali aptarnauti tą patį vartotoją atliekant skirtingas operacijas.

UDR (angl. Unified Data Repository – vieningų duomenų saugykla) – suteikia įvairių vartotojų duomenų saugojimą ir iš tikrųjų yra visų tinklo abonentų duomenų bazė.

UDSF (angl. Unstructured Data Storage Function – nestruktūrizuota duomenų saugojimo funkcija) – užtikrina, kad AMF moduliai išsaugos esamus registruotų vartotojų kontekstus. Apskritai ši informacija gali būti pateikta kaip neapibrėžtos struktūros duomenys. Vartotojo kontekstai gali būti naudojami siekiant užtikrinti sklandų ir nepertraukiamą abonento seansą tiek planuojamo vieno iš AMF pašalinimo iš paslaugos metu, tiek kritinės situacijos atveju. Abiem atvejais atsarginė AMF „pasiims“ paslaugą naudodama USDF saugomus kontekstus.

UDR ir UDSF derinimas toje pačioje fizinėje platformoje yra tipiškas šių tinklo funkcijų įgyvendinimas.

PCF (Angliškai: Policy Control Function – policy control function) – sukuria ir priskiria vartotojams tam tikras paslaugų strategijas, įskaitant QoS parametrus ir apmokestinimo taisykles. Pavyzdžiui, norint perduoti vienokią ar kitokią srautą, galima dinamiškai kurti virtualius kanalus su skirtingomis charakteristikomis. Kartu galima atsižvelgti į abonento pageidaujamos paslaugos reikalavimus, tinklo perkrovos lygį, suvartojamo srauto kiekį ir kt.

NEF (angl. Network Exposure Function – tinklo ekspozicijos funkcija) – suteikia:

  • Saugios išorinių platformų ir programų sąveikos su tinklo šerdimi organizavimas.
  • Tvarkykite QoS parametrus ir apmokestinimo taisykles konkretiems vartotojams.

JŪRA (angl. Security Inchor Function – inkaro saugos funkcija) – kartu su AUSF užtikrina vartotojų autentifikavimą, kai jie registruojasi tinkle naudodami bet kokią prieigos technologiją.

AUSF (Angl. Authentication Server Function – autentifikavimo serverio funkcija) – atlieka autentifikavimo serverio, kuris priima ir apdoroja užklausas iš SEAF ir nukreipia jas į ARPF, vaidmenį.

ARPF (Angliškai: Authentication Credential Repository and Processing Function – autentifikavimo kredencialų saugojimo ir apdorojimo funkcija) – užtikrina asmeninių slaptųjų raktų (KI) ir kriptografinių algoritmų parametrų saugojimą, taip pat autentifikavimo vektorių generavimą pagal 5G-AKA arba IR AP- AKA. Jis yra namų telekomunikacijų operatoriaus duomenų centre, apsaugotas nuo išorinių fizinių poveikių ir, kaip taisyklė, yra integruotas su UDM.

SCMF (Angl. Security Context Management Function – valdymo funkcija saugumo kontekste) – Teikiamas 5G saugos konteksto gyvavimo ciklo valdymas.

SPCF (angl. Security Policy Control Function – saugumo politikos valdymo funkcija) – užtikrina saugumo politikos koordinavimą ir taikymą konkrečių vartotojų atžvilgiu. Tai atsižvelgiama į tinklo galimybes, vartotojo įrangos galimybes ir konkrečios paslaugos reikalavimus (pavyzdžiui, kritinės komunikacijos paslaugos ir belaidžio plačiajuosčio interneto prieigos paslaugos teikiamos apsaugos lygiai gali skirtis). Saugumo politikos taikymas apima: AUSF parinkimą, autentifikavimo algoritmo pasirinkimą, duomenų šifravimo ir vientisumo kontrolės algoritmų pasirinkimą, raktų ilgio ir gyvavimo ciklo nustatymą.

SIDF (Angl. Subscription Identifier De-concealing Function – vartotojo identifikatoriaus ištraukimo funkcija) – užtikrina nuolatinio abonento prenumeratos identifikatoriaus (anglų k. SUPI) ištraukimą iš paslėpto identifikatoriaus (anglų k. SUCI), gautas kaip autentifikavimo procedūros užklausos „Auth Info Req“ dalis.

Pagrindiniai 5G ryšio tinklų saugumo reikalavimai

DaugiauVartotojo autentifikavimas: aptarnaujantis 5G tinklas turi autentifikuoti vartotojo SUPI 5G AKA procese tarp vartotojo ir tinklo.

Tinklo autentifikavimo aptarnavimas: vartotojas turi patvirtinti 5G aptarnaujančio tinklo ID, autentifikavimas pasiekiamas sėkmingai naudojant raktus, gautus naudojant 5G AKA procedūrą.

Vartotojo įgaliojimas: aptarnaujantis tinklas turi įgalioti vartotoją naudodamas vartotojo profilį, gautą iš namų telekomunikacijų operatoriaus tinklo.

Aptarnaujančio tinklo autorizacija iš namų operatoriaus tinklo: vartotojui turi būti pateiktas patvirtinimas, kad jis yra prisijungęs prie paslaugų tinklo, kuriam namų operatoriaus tinklas yra įgaliotas teikti paslaugas. Leidimas yra numanomas ta prasme, kad jį užtikrina sėkmingas 5G AKA procedūros užbaigimas.

Prieigos tinklo leidimas iš namų operatoriaus tinklo: vartotojui turi būti pateiktas patvirtinimas, kad jis yra prisijungęs prie prieigos tinklo, kuriam namų operatoriaus tinklas yra įgaliotas teikti paslaugas. Leidimas yra numanomas ta prasme, kad jis vykdomas sėkmingai nustatant prieigos tinklo saugumą. Šio tipo leidimas turi būti naudojamas bet kokio tipo prieigos tinklui.

Neatpažintos pagalbos tarnybos: Kad atitiktų reguliavimo reikalavimus kai kuriuose regionuose, 5G tinklai turi suteikti neautentifikuotą prieigą prie pagalbos tarnybų.

Pagrindinis tinklo ir radijo prieigos tinklas: 5G tinklo branduolys ir 5G radijo prieigos tinklas turi palaikyti 128 bitų šifravimo ir vientisumo algoritmų naudojimą, kad būtų užtikrintas saugumas AS и NAS. Tinklo sąsajos turi palaikyti 256 bitų šifravimo raktus.

Pagrindiniai naudotojo įrangos saugos reikalavimai

Daugiau

  • Vartotojo įranga turi palaikyti tarp jos ir radijo prieigos tinklo perduodamų vartotojo duomenų šifravimą, vientisumo apsaugą ir apsaugą nuo atkūrimo atakų.
  • Vartotojo įranga turi įjungti šifravimo ir duomenų vientisumo apsaugos mechanizmus, kaip nurodo radijo prieigos tinklas.
  • Vartotojo įranga turi palaikyti RRC ir NAS signalų srauto šifravimą, vientisumo apsaugą ir apsaugą nuo atkūrimo atakų.
  • Vartotojo įranga turi palaikyti šiuos kriptografinius algoritmus: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Vartotojo įranga gali palaikyti šiuos kriptografinius algoritmus: 128-NEA3, 128-NIA3.
  • Vartotojo įranga turi palaikyti šiuos kriptografinius algoritmus: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, jei palaiko ryšį su E-UTRA radijo prieigos tinklu.
  • Vartotojo duomenų, perduodamų tarp vartotojo įrangos ir radijo prieigos tinklo, konfidencialumo apsauga yra neprivaloma, tačiau turi būti užtikrinta, kai tai leidžia taisyklės.
  • RRC ir NAS signalų srauto privatumo apsauga yra neprivaloma.
  • Naudotojo nuolatinis raktas turi būti apsaugotas ir laikomas gerai apsaugotuose vartotojo įrangos komponentuose.
  • Abonento nuolatinis abonento identifikatorius neturėtų būti perduodamas aiškiu tekstu radijo prieigos tinklu, išskyrus informaciją, reikalingą teisingam maršruto nustatymui (pvz. MKC и DB).
  • Namų operatoriaus tinklo viešasis raktas, rakto identifikatorius, saugos schemos identifikatorius ir maršruto parinkimo identifikatorius turi būti saugomi USIM.

Kiekvienas šifravimo algoritmas yra susietas su dvejetainiu skaičiumi:

  • „0000“: NEA0 – nulinio šifravimo algoritmas
  • "0001": 128-NEA1 – 128 bitai SNIEGAS 3G pagrįstas algoritmas
  • „0010“ 128-NEA2 – 128 bitų AES pagrįstas algoritmas
  • „0011“ 128-NEA3 – 128 bitų ZUC pagrįstas algoritmas.

Duomenų šifravimas naudojant 128-NEA1 ir 128-NEA2Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

PS Grandinė pasiskolinta iš TS 133.501

Imituojamų įdėklų generavimas pagal algoritmus 128-NIA1 ir 128-NIA2, siekiant užtikrinti vientisumąĮvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

PS Grandinė pasiskolinta iš TS 133.501

Pagrindiniai 5G tinklo funkcijų saugumo reikalavimai

Daugiau

  • AMF turi palaikyti pirminį autentifikavimą naudojant SUCI.
  • SEAF turi palaikyti pirminį autentifikavimą naudojant SUCI.
  • UDM ir ARPF turi saugoti nuolatinį vartotojo raktą ir užtikrinti, kad jis būtų apsaugotas nuo vagystės.
  • AUSF teikia SUPI vietiniam aptarnavimo tinklui tik sėkmingai atlikus pradinį autentifikavimą naudojant SUCI.
  • NEF neturi persiųsti paslėptos pagrindinio tinklo informacijos už operatoriaus saugos srities ribų.

Pagrindinės saugos procedūros

Pasitikėti domenais

5 kartos tinkluose pasitikėjimas tinklo elementais mažėja, kai elementai tolsta nuo tinklo šerdies. Ši koncepcija daro įtaką 5G saugumo architektūroje įgyvendinamiems sprendimams. Taigi galime kalbėti apie 5G tinklų pasitikėjimo modelį, kuris lemia tinklo saugumo mechanizmų elgesį.

Vartotojo pusėje pasitikėjimo domeną sudaro UICC ir USIM.

Tinklo pusėje pasitikėjimo domenas turi sudėtingesnę struktūrą.

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas Radijo prieigos tinklas yra padalintas į du komponentus – DU (iš anglų kalbos Distributed Units – paskirstyti tinklo vienetai) ir CU (iš anglų kalbos centriniai padaliniai – centriniai tinklo padaliniai). Kartu jie susidaro gNB — 5G tinklo bazinės stoties radijo sąsaja. DU neturi tiesioginės prieigos prie vartotojo duomenų, nes jie gali būti naudojami neapsaugotuose infrastruktūros segmentuose. CU turi būti dislokuoti apsaugotuose tinklo segmentuose, nes jie yra atsakingi už srauto nutraukimą iš AS saugos mechanizmų. Tinklo centre yra AMF, kuris nutraukia srautą iš NAS apsaugos mechanizmų. Dabartinė 3GPP 5G 1 fazės specifikacija aprašo derinį AMF su saugos funkcija JŪRA, kuriame yra lankomo (aptarnaujamo) tinklo šakninis raktas (taip pat žinomas kaip „prierašo raktas“). AUSF yra atsakingas už rakto, gauto po sėkmingo autentifikavimo, saugojimą. Jis būtinas pakartotiniam naudojimui tais atvejais, kai vartotojas vienu metu yra prisijungęs prie kelių radijo prieigos tinklų. ARPF saugo vartotojo kredencialus ir yra USIM analogas abonentams. UDR и LTM saugoti vartotojo informaciją, kuri naudojama kredencialų generavimo logikai, vartotojo ID, seanso tęstinumo užtikrinimui ir kt.

Raktų hierarchija ir jų paskirstymo schemos

5 kartos tinkluose, skirtingai nei 4G-LTE tinkluose, autentifikavimo procedūra susideda iš dviejų komponentų: pirminio ir antrinio autentifikavimo. Pirminis autentifikavimas reikalingas visiems vartotojo įrenginiams, jungiantiems prie tinklo. Antrinis autentifikavimas gali būti atliekamas paprašius iš išorinių tinklų, jei prie jų prisijungia abonentas.

Sėkmingai užbaigus pirminį autentifikavimą ir sukūrus bendrą raktą K tarp vartotojo ir tinklo, KSEAF išgaunamas iš rakto K – specialaus aptarnaujančio tinklo inkaro (šakninio) rakto. Vėliau iš šio rakto sugeneruojami raktai, užtikrinantys RRC ir NAS signalizacijos srauto duomenų konfidencialumą ir vientisumą.

Diagrama su paaiškinimaisĮvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas
Žymėjimas:
CK Šifravimo raktas
IK (angl. Integrity Key) – raktas, naudojamas duomenų vientisumo apsaugos mechanizmuose.
CK' (angl. Cipher Key) – kitas kriptografinis raktas, sukurtas iš CK, skirtas EAP-AKA mechanizmui.
IK' (angl. Integrity Key) – kitas raktas, naudojamas duomenų vientisumo apsaugos mechanizmuose EAP-AKA.
KAUSF - generuoja ARPF funkcija ir vartotojo įranga iš CK и IK 5G AKA ir EAP-AKA metu.
KSEAF - inkaro raktas, gautas naudojant AUSF funkciją iš rakto KAMFAUSF.
KAMF — raktas, gautas naudojant SEAF funkciją iš klavišo KSEAF.
KNASint, KNASenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti NAS signalų srautą.
KRRCint, KRRCenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti RRC signalinį eismą.
KUPint, KUPenc — klavišai, gauti naudojant AMF funkciją iš klavišo KAMF apsaugoti AS signalinį eismą.
NH — tarpinis klavišas, gautas naudojant AMF funkciją iš klavišo KAMF užtikrinti duomenų saugumą perdavimo metu.
KgNB — raktas, gautas naudojant AMF funkciją iš klavišo KAMF užtikrinti judėjimo mechanizmų saugumą.

SUCI generavimo iš SUPI ir atvirkščiai schemos

SUPI ir SUCI gavimo schemos

SUCI gamyba iš SUPI ir SUPI iš SUCI:
Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Autentifikavimas

Pirminis autentifikavimas

5G tinkluose EAP-AKA ir 5G AKA yra standartiniai pirminiai autentifikavimo mechanizmai. Padalinkime pirminį autentifikavimo mechanizmą į dvi fazes: pirmoji yra atsakinga už autentifikavimo inicijavimą ir autentifikavimo metodo pasirinkimą, antroji – už abipusį vartotojo ir tinklo autentifikavimą.

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

Iniciacija

Vartotojas SEAF pateikia registracijos užklausą, kurioje yra paslėptas vartotojo prenumeratos ID SUCI.

SEAF siunčia AUSF autentifikavimo užklausos pranešimą (Nausf_UEAuthentication_Authenticate Request), kuriame yra SNN (aptarnaujančio tinklo pavadinimas) ir SUPI arba SUCI.

AUSF patikrina, ar SEAF autentifikavimo prašytojui leidžiama naudoti nurodytą SNN. Jei aptarnaujančiam tinklui neleidžiama naudoti šio SNN, AUSF atsako su prieigos klaidos pranešimu „Aptarnaujantis tinklas neįgalintas“ (Nausf_UEAuthentication_Authenticate Response).

AUSF prašo autentifikavimo kredencialų UDM, ARPF arba SIDF per SUPI arba SUCI ir SNN.

Remdamasis SUPI arba SUCI ir vartotojo informacija, UDM/ARPF pasirenka autentifikavimo metodą, kurį naudoti toliau, ir išduoda vartotojo kredencialus.

Abipusis autentifikavimas

Naudojant bet kurį autentifikavimo metodą, UDM/ARPF tinklo funkcijos turi sukurti autentifikavimo vektorių (AV).

EAP-AKA: UDM/ARPF pirmiausia sugeneruoja autentifikavimo vektorių su skiriamuoju bitu AMF = 1, tada sugeneruoja CK' и IK'CK, IK ir SNN ir sudaro naują AV autentifikavimo vektorių (RAND, AUTN, XRES*, CK', IK'), kuris siunčiamas AUSF su instrukcijomis naudoti tik EAP-AKA.

5G dar žinomas kaip: UDM / ARPF gauna raktą KAUSFCK, IK ir SNN, po kurio jis generuoja 5G HE AV. 5G namų aplinkos autentifikavimo vektorius). 5G HE AV autentifikavimo vektorius (RAND, AUTN, XRES, KAUSF) siunčiamas AUSF su instrukcijomis, kaip jį naudoti tik 5G ryšiui.

Po šio AUSF gaunamas inkaro raktas KSEAF nuo rakto KAUSF ir siunčia užklausą SEAF „Iššūkis“ pranešimu „Nausf_UEAuthentication_Authenticate Response“, kuriame taip pat yra RAND, AUTN ir RES*. Tada RAND ir AUTN perduodami į vartotojo įrangą naudojant saugų NAS signalizacijos pranešimą. Vartotojo USIM apskaičiuoja RES* iš gautų RAND ir AUTN ir siunčia jį į SEAF. SEAF perduoda šią vertę AUSF patikrinti.

AUSF lygina jame saugomą XRES* ir iš vartotojo gautą RES*. Jei sutampa, operatoriaus namų tinkle AUSF ir UDM pranešama apie sėkmingą autentifikavimą, o vartotojas ir SEAF savarankiškai generuoja raktą. KAMFKSEAF ir SUPI tolesniam bendravimui.

Antrinis autentifikavimas

5G standartas palaiko pasirenkamą antrinį autentifikavimą, pagrįstą EAP-AKA tarp vartotojo įrangos ir išorinio duomenų tinklo. Šiuo atveju SMF atlieka EAP autentifikatoriaus vaidmenį ir remiasi darbu AAA- išorinis tinklo serveris, kuris autentifikuoja ir suteikia įgaliojimus vartotojui.

Įvadas į 5G saugos architektūrą: NFV, raktai ir 2 autentifikavimas

  • Įvyksta privalomas pradinis vartotojo autentifikavimas namų tinkle ir sukuriamas bendras NAS saugos kontekstas su AMF.
  • Vartotojas siunčia užklausą AMF užmegzti seansą.
  • AMF siunčia užklausą sukurti seansą SMF, nurodydamas vartotojo SUPI.
  • SMF patvirtina vartotojo kredencialus UDM naudodamas pateiktą SUPI.
  • SMF siunčia atsakymą į AMF užklausą.
  • SMF inicijuoja EAP autentifikavimo procedūrą, kad gautų leidimą užmegzti seansą iš AAA serverio išoriniame tinkle. Norėdami tai padaryti, SMF ir vartotojas apsikeičia pranešimais, kad pradėtų procedūrą.
  • Tada vartotojas ir išorinio tinklo AAA serveris keičiasi pranešimais, kad patvirtintų ir įgaliotų vartotoją. Tokiu atveju vartotojas siunčia pranešimus į SMF, kuris savo ruožtu keičiasi pranešimais su išoriniu tinklu per UPF.

išvada

Nors 5G saugumo architektūra pagrįsta pakartotiniu esamų technologijų naudojimu, ji kelia visiškai naujų iššūkių. Didžiulis daiktų interneto įrenginių skaičius, išplėstos tinklo ribos ir decentralizuotos architektūros elementai – tai tik keletas pagrindinių 5G standarto principų, suteikiančių valią kibernetinių nusikaltėlių vaizduotei.

Pagrindinis 5G saugos architektūros standartas yra TS 23.501 versija 15.6.0 — yra pagrindiniai saugumo mechanizmų ir procedūrų veikimo punktai. Visų pirma, aprašomas kiekvieno VNF vaidmuo užtikrinant vartotojo duomenų ir tinklo mazgų apsaugą, generuojant kriptovaliutų raktus ir įgyvendinant autentifikavimo procedūrą. Tačiau net ir šis standartas nepateikia atsakymų į aktualias saugumo problemas, su kuriomis telekomunikacijų operatoriai dažniau susiduria intensyviau plėtojant ir pradėjus eksploatuoti naujos kartos tinklus.

Šiuo atžvilgiu norisi tikėti, kad 5 kartos tinklų eksploatavimo ir apsaugos sunkumai niekaip nepaveiks paprastų vartotojų, kuriems žadamas perdavimo greitis ir atsakymai kaip mamos draugės sūnui ir jau nekantrauja visus išbandyti. deklaruojamos naujos kartos tinklų galimybės.

Naudingos nuorodos

3GPP specifikacijų serija
5G saugumo architektūra
5G sistemos architektūra
5G Wiki
5G architektūros pastabos
5G saugumo apžvalga

Šaltinis: www.habr.com

Добавить комментарий