Аюулгүй байдлын механизмын талаар бодолгүйгээр харилцаа холбооны шинэ стандартыг бий болгох нь туйлын эргэлзээтэй, дэмий хоосон оролдлого болох нь ойлгомжтой.

5G аюулгүй байдлын архитектур - онд хэрэгжүүлсэн аюулгүй байдлын механизм, журмын багц 5-р үеийн сүлжээ голоос эхлээд радио интерфейс хүртэлх бүх сүлжээний бүрэлдэхүүн хэсгүүдийг хамарна.

5-р үеийн сүлжээ нь үндсэндээ хувьсал юм 4-р үеийн LTE сүлжээнүүд. Радио хандалтын технологид хамгийн их өөрчлөлт орсон. 5-р үеийн сүлжээний хувьд шинэ RAT байна (Радио хандалтын технологи) - 5G шинэ радио. Сүлжээний үндсэн хэсгийн хувьд ийм дорвитой өөрчлөлт ороогүй. Үүнтэй холбогдуулан 5G LTE стандартад батлагдсан холбогдох технологиудыг дахин ашиглахад анхаарч 4G сүлжээний аюулгүй байдлын архитектурыг боловсруулсан.

Гэсэн хэдий ч агаарын интерфейс болон дохионы давхаргад халдах зэрэг мэдэгдэж буй аюул заналхийллийг дахин бодож үзэх нь зүйтэй юм.дохио өгөх онгоц), DDOS халдлага, Man-In-The-Middle халдлага гэх мэт нь харилцаа холбооны операторуудыг шинэ стандарт боловсруулж, аюулгүй байдлын цоо шинэ механизмуудыг 5-р үеийн сүлжээнд нэгтгэхэд түлхэц өгсөн.

Урьдчилсан нөхцөл

2015 онд Олон улсын цахилгаан холбооны холбоо тав дахь үеийн сүлжээг хөгжүүлэх дэлхийн анхны төлөвлөгөөг боловсруулсан бөгөөд иймээс 5G сүлжээн дэх аюулгүй байдлын механизм, журмыг боловсруулах асуудал онцгой хурцаар тавигдаж байна.

Шинэ технологи нь өгөгдөл дамжуулах үнэхээр гайхалтай хурд (1 Gbps-ээс их), 1 мс-ээс бага хоцролт, 1 км1 радиуст 2 сая орчим төхөөрөмжийг нэгэн зэрэг холбох боломжийг санал болгосон. 5-р үеийн сүлжээнд тавигдах ийм өндөр шаардлага нь тэдний зохион байгуулалтын зарчимд тусгагдсан байдаг.

Хамгийн гол нь төвлөрлийг сааруулах явдал байсан бөгөөд энэ нь олон орон нутгийн мэдээллийн сан, тэдгээрийн боловсруулах төвүүдийг сүлжээний захад байрлуулах явдал байв. Энэ нь хойшлуулах хугацааг багасгах боломжийг олгосон M2M-маш олон тооны IoT төхөөрөмжид үйлчилгээ үзүүлсний улмаас харилцаа холбоо, сүлжээний цөмийг хөнгөвчлөх. Ийнхүү шинэ үеийн сүлжээнүүдийн зах хязгаар нь суурь станцууд хүртэл өргөжин тэлж, орон нутгийн харилцааны төвүүдийг бий болгож, үүлэн үйлчилгээг чухал саатал, үйлчилгээнээс татгалзах эрсдэлгүйгээр үзүүлэх боломжийг олгосон. Мэдээжийн хэрэг, сүлжээний болон харилцагчийн үйлчилгээний өөрчлөгдсөн хандлага нь халдагчдад сонирхолтой байсан, учир нь энэ нь үйлчилгээ үзүүлэхээс татгалзах эсвэл операторын тооцооллын нөөцийг булаан авахын тулд хэрэглэгчийн нууц мэдээлэл болон сүлжээний бүрэлдэхүүн хэсгүүдэд халдах шинэ боломжийг нээж өгсөн юм.

5-р үеийн сүлжээнүүдийн гол сул талууд

Том довтолгооны гадаргуу

Дэлгэрэнгүй3, 4-р үеийн харилцаа холбооны сүлжээг барьж байгуулахдаа харилцаа холбооны операторууд ихэвчлэн техник хангамж, програм хангамжийг нэн даруй нийлүүлдэг нэг буюу хэд хэдэн үйлдвэрлэгчтэй ажиллахаар хязгаарлагддаг байв. Өөрөөр хэлбэл, "хайрцагнаас гарсан" бүх зүйл ажиллах боломжтой - худалдагчаас худалдаж авсан төхөөрөмжийг суулгаж, тохируулахад л хангалттай байсан; өмчийн программ хангамжийг солих, нэмэх шаардлагагүй байсан. Орчин үеийн чиг хандлага нь энэхүү "сонгодог" арга барилтай зөрчилдөж байгаа бөгөөд сүлжээг виртуалчлах, тэдгээрийн бүтээн байгуулалт, програм хангамжийн олон талт арга барилд чиглэгддэг. зэрэг технологиуд SDN (Англи програм хангамжаар тодорхойлогдсон сүлжээ) ба NFV (Англи сүлжээний функцүүдийн виртуалчлал) нь харилцаа холбооны сүлжээг удирдах үйл явц, функцүүдэд нээлттэй эх код дээр суурилсан асар их хэмжээний програм хангамжийг оруулахад хүргэдэг. Энэ нь халдагчид операторын сүлжээг илүү сайн судалж, олон тооны эмзэг байдлыг тодорхойлох боломжийг олгодог бөгөөд энэ нь эргээд одоогийн сүлжээнүүдийнхтэй харьцуулахад шинэ үеийн сүлжээнүүдийн халдлагын гадаргууг нэмэгдүүлдэг.

Олон тооны IoT төхөөрөмж

Дэлгэрэнгүй2021 он гэхэд 57G сүлжээнд холбогдсон төхөөрөмжүүдийн 5 орчим хувь нь IoT төхөөрөмж байх болно. Энэ нь ихэнх хостууд хязгаарлагдмал криптографийн чадавхитай байх болно (2-р зүйлийг үзнэ үү) ба үүний дагуу халдлагад өртөмтгий байх болно. Маш олон тооны ийм төхөөрөмжүүд нь ботнетийн тархалтын эрсдлийг нэмэгдүүлж, илүү хүчтэй, тархсан DDoS халдлага хийх боломжтой болно.

IoT төхөөрөмжүүдийн хязгаарлагдмал криптографийн боломжууд

ДэлгэрэнгүйӨмнө дурьдсанчлан, 5-р үеийн сүлжээнүүд нь захын төхөөрөмжийг идэвхтэй ашигладаг бөгөөд энэ нь сүлжээний цөмөөс ачааллын хэсгийг салгаж, улмаар хоцролтыг багасгах боломжийг олгодог. Энэ нь нисгэгчгүй тээврийн хэрэгслийг хянах, яаралтай тусламжийн систем гэх мэт чухал үйлчилгээнд зайлшгүй шаардлагатай IMS болон бусад хүмүүсийн хувьд хамгийн бага саатал гаргах нь чухал, учир нь хүний ​​амьдрал үүнээс хамаардаг. Жижиг хэмжээтэй, бага эрчим хүч зарцуулдаг учраас маш хязгаарлагдмал тооцоолох нөөцтэй олон тооны IoT төхөөрөмжүүд холбогдсон тул 5G сүлжээ нь хяналтыг таслан зогсоох, улмаар эдгээр төхөөрөмжүүдийг удирдахад чиглэсэн халдлагад өртөмтгий болдог. Жишээлбэл, системийн нэг хэсэг болох IoT төхөөрөмжүүд халдвар авсан хувилбарууд байж болно "ухаалаг байшин", зэрэг хортой програмын төрлүүд Ransomware болон ransomware. Үүлээр дамжуулан команд, навигацийн мэдээллийг хүлээн авдаг нисгэгчгүй тээврийн хэрэгслийн хяналтыг таслан зогсоох хувилбарууд бас боломжтой. Албан ёсоор энэ эмзэг байдал нь шинэ үеийн сүлжээнүүдийн төвлөрлийг сааруулахтай холбоотой боловч дараагийн догол мөрөнд төвлөрлийг сааруулах асуудлыг илүү тодорхой тайлбарлах болно.

Төвлөрлийг сааруулах, сүлжээний хил хязгаарыг өргөжүүлэх

ДэлгэрэнгүйДотоод сүлжээний үндсэн үүрэг гүйцэтгэдэг захын төхөөрөмжүүд нь хэрэглэгчийн траффикийг чиглүүлэх, хүсэлтийг боловсруулах, мөн хэрэглэгчийн өгөгдлийг орон нутгийн кэш хийх, хадгалах ажлыг гүйцэтгэдэг. Тиймээс 5-р үеийн сүлжээнүүдийн хил хязгаар нь цөмөөс гадна захын бүс рүү, түүний дотор орон нутгийн мэдээллийн сан, 5G-NR (5G шинэ радио) радио интерфэйсүүд хүртэл өргөжиж байна. Энэ нь сүлжээний гол зангилаанаас априори сул хамгаалалттай орон нутгийн төхөөрөмжүүдийн тооцооллын нөөц рүү халдах боломжийг бий болгож, үйлчилгээ үзүүлэхээс татгалзах зорилготой юм. Энэ нь бүх нутаг дэвсгэрийн интернетийн холболтыг таслах, IoT төхөөрөмжүүдийн буруу ажиллах (жишээлбэл, ухаалаг гэрийн системд), мөн IMS-ийн яаралтай тусламжийн үйлчилгээг ашиглах боломжгүй болоход хүргэж болзошгүй юм.

Гэсэн хэдий ч ETSI болон 3GPP нь 10G сүлжээний аюулгүй байдлын янз бүрийн асуудлыг хамарсан 5 гаруй стандартыг нийтэлсэн байна. Тэнд тайлбарласан механизмуудын дийлэнх нь эмзэг байдлаас (дээр дурдсаныг оруулаад) хамгаалахад чиглэгддэг. Үүний нэг гол зүйл бол стандарт юм TS 23.501 хувилбар 15.6.0, 5-р үеийн сүлжээний аюулгүй байдлын архитектурыг тайлбарласан.

5G архитектур

Нэгдүгээрт, 5G сүлжээний архитектурын үндсэн зарчмуудыг авч үзье, энэ нь програм хангамжийн модуль, 5G аюулгүй байдлын функц бүрийн утга учир, хариуцлагын талбарыг цаашид бүрэн илчлэх болно.

• Сүлжээний зангилааг протоколын ажиллагааг хангах элементүүдэд хуваах захиалгат онгоц (Англи хэлнээс UP - User Plane) ба протоколуудын ажиллагааг хангадаг элементүүд хяналтын онгоц (Англи хэлнээс CP - Control Plane) бөгөөд энэ нь сүлжээг өргөтгөх, байрлуулах уян хатан байдлыг нэмэгдүүлдэг, өөрөөр хэлбэл сүлжээний бие даасан бүрэлдэхүүн хэсгүүдийг төвлөрсөн эсвэл төвлөрсөн бус байдлаар байрлуулах боломжтой.
• Механизмын дэмжлэг сүлжээний зүсэлт, эцсийн хэрэглэгчдийн тодорхой бүлэгт үзүүлж буй үйлчилгээн дээр үндэслэсэн.
• Сүлжээний элементүүдийг хэлбэрээр хэрэгжүүлэх виртуал сүлжээний функцууд.
• Төвлөрсөн болон орон нутгийн үйлчилгээнд нэгэн зэрэг нэвтрэх, тухайлбал үүлний үзэл баримтлалыг хэрэгжүүлэхэд дэмжлэг үзүүлэх (англи хэлнээс. манан тооцоолох) ба хил (Англи хэлнээс. захын тооцоолол) тооцоолол.
• Реализация нэгдэх янз бүрийн төрлийн хандалтын сүлжээг хослуулсан архитектур - 3GPP 5G New Radio болон 3GPP бус (Wi-Fi гэх мэт) - нэг сүлжээний цөмтэй.
• Хандалтын сүлжээний төрлөөс үл хамааран нэг төрлийн алгоритм, баталгаажуулалтын процедурыг дэмжих.
• Тооцоолсон нөөц нь нөөцийн сангаас тусгаарлагдсан харьяалалгүй сүлжээний функцүүдийн дэмжлэг.
• Гэрийн сүлжээгээр (Англи гэрийн чиглүүлэлттэй роумингоос) болон зочны сүлжээн дэх орон нутгийн "буух" (Англи хэлний локал тасалбараас) аль алинд нь замын хөдөлгөөний чиглүүлэлт бүхий роумингыг дэмжих.
• Сүлжээний функцүүдийн харилцан үйлчлэлийг хоёр аргаар илэрхийлдэг. үйлчилгээнд чиглэсэн и интерфейс.

5-р үеийн сүлжээний аюулгүй байдлын үзэл баримтлалд орно:

• Сүлжээнээс хэрэглэгчийн баталгаажуулалт.
• Хэрэглэгчийн сүлжээний баталгаажуулалт.
• Сүлжээ болон хэрэглэгчийн тоног төхөөрөмжийн хооронд криптографийн түлхүүрүүдийг тохиролцох.
• Шифрлэлт ба дохионы хөдөлгөөний бүрэн бүтэн байдлыг хянах.
• Шифрлэлт, хэрэглэгчийн хөдөлгөөний бүрэн бүтэн байдлыг хянах.
• Хэрэглэгчийн ID хамгаалалт.
• Сүлжээний аюулгүй байдлын домэйны үзэл баримтлалын дагуу сүлжээний янз бүрийн элементүүдийн хоорондын интерфейсийг хамгаалах.
• Механизмын янз бүрийн давхаргыг тусгаарлах сүлжээний зүсэлт давхарга бүрийн аюулгүй байдлын түвшинг тодорхойлох.
• Эцсийн үйлчилгээний түвшинд (IMS, IoT болон бусад) хэрэглэгчийн баталгаажуулалт, замын хөдөлгөөний хамгаалалт.

Програм хангамжийн үндсэн модулиуд болон 5G сүлжээний аюулгүй байдлын онцлогууд

AMF (Англи хэлний Access & Mobility Management Function - хандалт ба хөдөлгөөнт удирдлагын функцээс) - дараахь зүйлийг хангана.

• Хяналтын хавтгайн интерфейсийн зохион байгуулалт.
• Дохионы хөдөлгөөний солилцооны зохион байгуулалт RRC, шифрлэлт, мэдээллийн бүрэн бүтэн байдлыг хамгаалах.
• Дохионы хөдөлгөөний солилцооны зохион байгуулалт оруулж тооцвол, шифрлэлт, мэдээллийн бүрэн бүтэн байдлыг хамгаалах.
• Сүлжээнд хэрэглэгчийн тоног төхөөрөмжийн бүртгэлийг удирдах, бүртгэлийн боломжит төлөвийг хянах.
• Хэрэглэгчийн тоног төхөөрөмжийг сүлжээнд холбох, боломжит төлөв байдлыг хянах.
• CM-IDLE төлөвт сүлжээнд байгаа хэрэглэгчийн тоног төхөөрөмжийн бэлэн байдлыг хянах.
• CM-CONNECTED төлөв дэх сүлжээн дэх хэрэглэгчийн төхөөрөмжийн хөдөлгөөнт байдлын удирдлага.
• Хэрэглэгчийн төхөөрөмж болон SMF хооронд богино мессеж дамжуулах.
• Байршлын үйлчилгээний менежмент.
• Thread ID хуваарилалт EPS EPS-тэй харилцах.

SMF (Англи: Session Management Function - сесс удирдах функц) - дараахь зүйлийг хангана.

• Харилцаа холбооны сессийн удирдлага, тухайлбал, хандалтын сүлжээ болон UPF хоёрын хоорондох туннелийг хадгалах зэрэг сесс үүсгэх, өөрчлөх, гаргах.
• Хэрэглэгчийн төхөөрөмжийн IP хаягийг хуваарилах, удирдах.
• Ашиглах UPF гарцыг сонгож байна.
• PCF-тэй харилцах зохион байгуулалт.
• Бодлогын хэрэгжилтийн удирдлага QoS.
• DHCPv4 болон DHCPv6 протоколуудыг ашиглан хэрэглэгчийн төхөөрөмжийн динамик тохиргоо.
• Тарифын мэдээлэл цуглуулахад хяналт тавих, тооцооны системтэй харилцах ажлыг зохион байгуулах.
• Үйлчилгээг тасралтгүй үзүүлэх (англи хэлнээс. SSC - Сеанс ба үйлчилгээний тасралтгүй байдал).
• Роуминг доторх зочны сүлжээнүүдтэй харилцах.

UPF (Англи хэрэглэгчийн хавтгай функц - хэрэглэгчийн хавтгай функц) - дараахь зүйлийг хангана.

• Гадаад мэдээллийн сүлжээ, түүний дотор дэлхийн интернеттэй харилцах.
• Хэрэглэгчийн пакетуудыг чиглүүлэх.
• QoS бодлогын дагуу пакетуудыг тэмдэглэнэ.
• Хэрэглэгчийн багцын оношлогоо (жишээ нь, гарын үсэг дээр суурилсан програм илрүүлэх).
• Замын хөдөлгөөний ашиглалтын талаар тайлан гаргаж байна.
• UPF нь мөн өөр өөр радио хандалтын технологи дотор болон тэдгээрийн хооронд хөдөлгөөнийг дэмжих зангуу цэг юм.

UDM (Англи хэлний нэгдсэн мэдээллийн менежмент - нэгдсэн мэдээллийн сан) - дараахь зүйлийг хангана.

• Хэрэглэгчийн профайлын өгөгдлийг удирдах, үүнд хэрэглэгчид ашиглах боломжтой үйлчилгээний жагсаалт болон тэдгээрийн холбогдох параметрүүдийг хадгалах, өөрчлөх.
• Удирдлага SUPI
• 3GPP баталгаажуулалтын итгэмжлэлүүдийг үүсгэх АА.
• Профайлын өгөгдөлд суурилсан хандалтын зөвшөөрөл (жишээ нь, роуминг хязгаарлалт).
• Хэрэглэгчийн бүртгэлийн менежмент, өөрөөр хэлбэл AMF-д үйлчлэх хадгалалт.
• Үйлчилгээний болон харилцааны тасалдалгүй сессийг дэмжих, өөрөөр хэлбэл одоогийн харилцааны сессэд томилогдсон SMF-г хадгалах.
• SMS хүргэх менежмент.
• Хэд хэдэн өөр UDM нь өөр өөр гүйлгээгээр нэг хэрэглэгчдэд үйлчлэх боломжтой.

UDR (Англи хэлний нэгдсэн мэдээллийн сан - нэгдсэн өгөгдлийг хадгалах) - янз бүрийн хэрэглэгчийн өгөгдлийг хадгалах боломжийг олгодог бөгөөд үнэн хэрэгтээ бүх сүлжээний захиалагчдын мэдээллийн сан юм.

UDSF (Англи хэлээр бүтэцгүй өгөгдөл хадгалах функц - бүтэцгүй өгөгдөл хадгалах функц) - AMF модулиуд нь бүртгэлтэй хэрэглэгчдийн одоогийн контекстийг хадгалах боломжийг олгодог. Ерөнхийдөө энэ мэдээллийг тодорхой бус бүтцийн өгөгдөл болгон танилцуулж болно. Хэрэглэгчийн контекстийг AMF-ийн аль нэгийг үйлчилгээнээс татан буулгахаар төлөвлөж буй үед болон онцгой байдлын үед аль алинд нь тасралтгүй, тасралтгүй захиалагч сессийг хангахад ашиглаж болно. Аль ч тохиолдолд нөөц AMF нь USDF-д хадгалагдсан контекстүүдийг ашиглан үйлчилгээг "авах" болно.

UDR болон UDSF-ийг нэг физик платформ дээр хослуулах нь эдгээр сүлжээний функцүүдийн ердийн хэрэгжилт юм.

PCF (Англи хэл: Policy Control Function - бодлогын хяналтын функц) - QoS параметрүүд болон цэнэглэх дүрэм зэрэг үйлчилгээний тодорхой бодлогыг хэрэглэгчдэд бий болгож, хуваарилдаг. Жишээлбэл, нэг буюу өөр төрлийн урсгалыг дамжуулахын тулд өөр өөр шинж чанартай виртуал сувгуудыг динамикаар үүсгэж болно. Үүний зэрэгцээ захиалагчийн хүссэн үйлчилгээний шаардлага, сүлжээний түгжрэлийн түвшин, зарцуулсан траффикийн хэмжээ гэх мэтийг харгалзан үзэж болно.

NEF (Англи сүлжээний өртөлтийн функц - сүлжээний өртөлтийн функц) - дараахь зүйлийг хангана.

• Сүлжээний цөмтэй гадаад платформ болон програмуудын аюулгүй харилцан үйлчлэлийн зохион байгуулалт.
• Тодорхой хэрэглэгчдэд зориулсан QoS параметрүүд болон цэнэглэх дүрмийг удирдах.

ТЭНЭГТЭЙ (Англи хэлний аюулгүй байдлын зангуу функц - зангууны аюулгүй байдлын функц) - AUSF-ийн хамтаар ямар ч хандалтын технологиор сүлжээнд бүртгүүлэх үед хэрэглэгчдийг баталгаажуулах боломжийг олгодог.

AUSF (Англи Authentication Server Function - authentication server function) - SEAF-аас хүсэлтийг хүлээн авч боловсруулж ARPF руу дахин чиглүүлдэг баталгаажуулалтын серверийн үүргийг гүйцэтгэдэг.

ARPF (Англи хэл: Authentication Credential Repository and Processing Function - гэрчлэлийн итгэмжлэлийг хадгалах, боловсруулах функц) - хувийн нууц түлхүүр (KI) болон криптограф алгоритмын параметрүүдийг хадгалахаас гадна 5G-AKA эсвэл баталгаажуулалтын векторуудыг үүсгэх боломжийг олгодог. EAP-АКА. Энэ нь гэрийн харилцаа холбооны операторын мэдээллийн төвд байрладаг, гадны физик нөлөөллөөс хамгаалагдсан бөгөөд дүрмээр бол UDM-тэй нэгдсэн байдаг.

SCMF (Англи хэлний аюулгүй байдлын контекст удирдлагын функц - удирдлагын функц аюулгүй байдлын контекст) - 5G аюулгүй байдлын хүрээнд амьдралын мөчлөгийн удирдлагыг хангана.

ТӨХК (Англи хэлний Аюулгүй байдлын бодлогын хяналтын функц - аюулгүй байдлын бодлогын удирдлагын функц) - тодорхой хэрэглэгчидтэй холбоотой аюулгүй байдлын бодлогыг зохицуулах, хэрэглэхийг баталгаажуулдаг. Энэ нь сүлжээний чадавхи, хэрэглэгчийн тоног төхөөрөмжийн чадавхи, тодорхой үйлчилгээний шаардлагыг харгалзан үздэг (жишээлбэл, чухал харилцаа холбооны үйлчилгээ болон утасгүй өргөн зурвасын интернетийн хандалтын үйлчилгээнээс хамгаалсан хамгаалалтын түвшин өөр байж болно). Аюулгүй байдлын бодлогыг хэрэгжүүлэхэд: AUSF-ийг сонгох, баталгаажуулах алгоритмыг сонгох, өгөгдлийн шифрлэлт, бүрэн бүтэн байдлыг хянах алгоритмыг сонгох, түлхүүрүүдийн урт ба амьдралын мөчлөгийг тодорхойлох зэрэг орно.

SIDF (Англи хэлний захиалгын танигчийг арилгах функц - хэрэглэгчийн танигчийг задлах функц) - захиалагчийн байнгын захиалгын танигчийг (Англи SUPI) далд танигчаас (Англи хэлээр) гаргаж авах боломжийг олгодог. SUCI), баталгаажуулах процедурын хүсэлтийн нэг хэсэг болгон хүлээн авсан "Auth Info Req".

5G холбооны сүлжээнд тавигдах аюулгүй байдлын үндсэн шаардлага

ДэлгэрэнгүйХэрэглэгчийн баталгаажуулалт: Үйлчилж буй 5G сүлжээ нь хэрэглэгч болон сүлжээний хоорондох 5G AKA процесст хэрэглэгчийн SUPI-г баталгаажуулах ёстой.

Сүлжээний баталгаажуулалтыг хийж байна: Хэрэглэгч нь 5G AKA журмаар олж авсан түлхүүрүүдийг амжилттай ашигласнаар баталгаажуулалт хийх 5G сүлжээний ID-г баталгаажуулах ёстой.

Хэрэглэгчийн зөвшөөрөл: Үйлчилгээний сүлжээ нь гэрийн харилцаа холбооны операторын сүлжээнээс хүлээн авсан хэрэглэгчийн профайлыг ашиглан хэрэглэгчийг зөвшөөрөх ёстой.

Гэрийн операторын сүлжээгээр үйлчлэх сүлжээний зөвшөөрөл: Хэрэглэгч нь гэрийн операторын сүлжээнээс үйлчилгээ үзүүлэх зөвшөөрөл авсан үйлчилгээний сүлжээнд холбогдсон гэдгээ баталгаажуулсан байх ёстой. Зөвшөөрөл нь 5G AKA процедурыг амжилттай гүйцэтгэснээр баталгаажсан гэсэн утгаараа далд юм.

Гэрийн операторын сүлжээгээр нэвтрэх сүлжээг зөвшөөрөх: Хэрэглэгч нь гэрийн операторын сүлжээнээс үйлчилгээ үзүүлэх зөвшөөрөл авсан хандалтын сүлжээнд холбогдсон гэдгээ баталгаажуулсан байх ёстой. Зөвшөөрөл нь нэвтрэх сүлжээний аюулгүй байдлыг амжилттай бий болгосноор хэрэгждэг гэсэн утгаараа далд юм. Энэ төрлийн зөвшөөрлийг ямар ч төрлийн хандалтын сүлжээнд ашиглах ёстой.

Баталгаажаагүй яаралтай тусламжийн үйлчилгээ: Зарим бүс нутагт зохицуулалтын шаардлагыг хангахын тулд 5G сүлжээ нь яаралтай тусламжийн үйлчилгээнд танигдаагүй хандалтыг хангах ёстой.

Сүлжээний үндсэн болон радио хандалтын сүлжээ: 5G сүлжээний үндсэн болон 5G радио хандалтын сүлжээ нь аюулгүй байдлыг хангахын тулд 128 битийн шифрлэлт, бүрэн бүтэн байдлын алгоритмуудыг ашиглахыг дэмжих ёстой. AS и оруулж тооцвол. Сүлжээний интерфейс нь 256 битийн шифрлэлтийн түлхүүрүүдийг дэмжих ёстой.

Хэрэглэгчийн тоног төхөөрөмжийн аюулгүй байдлын үндсэн шаардлага

Дэлгэрэнгүй

• Хэрэглэгчийн төхөөрөмж нь түүний болон радио хандалтын сүлжээний хооронд дамжуулагдсан хэрэглэгчийн өгөгдлийг шифрлэх, бүрэн бүтэн байдлыг хамгаалах, дахин тоглуулах халдлагаас хамгаалахыг дэмжих ёстой.
• Хэрэглэгчийн төхөөрөмж нь радио хандалтын сүлжээний зааврын дагуу шифрлэлт болон мэдээллийн бүрэн бүтэн байдлыг хамгаалах механизмыг идэвхжүүлэх ёстой.
• Хэрэглэгчийн тоног төхөөрөмж нь RRC болон NAS дохиоллын траффикийн шифрлэлт, бүрэн бүтэн байдлыг хамгаалах, дахин тоглуулах халдлагаас хамгаалахыг дэмжих ёстой.
• Хэрэглэгчийн төхөөрөмж нь дараах криптограф алгоритмуудыг дэмжих ёстой: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Хэрэглэгчийн тоног төхөөрөмж нь дараах криптограф алгоритмуудыг дэмжих боломжтой: 128-NEA3, 128-NIA3.
• Хэрэглэгчийн төхөөрөмж нь E-UTRA радио хандалтын сүлжээнд холбогдохыг дэмждэг бол 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 гэсэн криптографийн алгоритмуудыг дэмжих ёстой.
• Хэрэглэгчийн төхөөрөмж болон радио хандалтын сүлжээний хооронд дамжуулагдсан хэрэглэгчийн мэдээллийн нууцлалыг хамгаалах нь сонголттой боловч дүрэм журмын дагуу зөвшөөрөгдсөн тохиолдолд хангагдсан байх ёстой.
• RRC болон NAS дохиоллын траффикийн нууцлалын хамгаалалт нь сонголттой.
• Хэрэглэгчийн байнгын түлхүүр нь хамгаалагдсан байх ёстой бөгөөд хэрэглэгчийн төхөөрөмжийн сайн хамгаалагдсан бүрэлдэхүүн хэсгүүдэд хадгалагдах ёстой.
• Захиалагчийн байнгын захиалгын танигчийг зөв чиглүүлэхэд шаардлагатай мэдээллээс бусад тохиолдолд радио хандалтын сүлжээгээр тодорхой текстээр дамжуулж болохгүй (жишээ нь МСК и MNC).
• Гэрийн операторын сүлжээний нийтийн түлхүүр, түлхүүр танигч, аюулгүй байдлын схемийн танигч, чиглүүлэлтийн танигчийг энд хадгалсан байх ёстой. USIM.

Шифрлэлтийн алгоритм бүр нь хоёртын тоотой холбоотой:

• "0000": NEA0 - null шифрлэх алгоритм
• "0001": 128-NEA1 - 128-бит SNOW 3G дээр суурилсан алгоритм
• "0010" 128-NEA2 - 128-бит AES суурилсан алгоритм
• "0011" 128-NEA3 - 128-бит ZUC суурилсан алгоритм.

128-NEA1 ба 128-NEA2 ашиглан өгөгдлийг шифрлэх

Жич Хэлхээ нь зээлсэн TS 133.501

Бүрэн бүтэн байдлыг хангахын тулд 128-NIA1 ба 128-NIA2 алгоритмаар загварчилсан оруулга үүсгэх.

Жич Хэлхээ нь зээлсэн TS 133.501

5G сүлжээний функцүүдийн аюулгүй байдлын үндсэн шаардлага

Дэлгэрэнгүй

• AMF нь SUCI ашиглан анхан шатны баталгаажуулалтыг дэмжих ёстой.
• SEAF нь SUCI ашиглан анхан шатны баталгаажуулалтыг дэмжих ёстой.
• UDM болон ARPF нь хэрэглэгчийн байнгын түлхүүрийг хадгалж, хулгайгаас хамгаалагдсан байх ёстой.
• AUSF нь SUCI-г ашиглан анхан шатны баталгаажуулалт амжилттай хийгдсэн тохиолдолд л дотоод үйлчилгээний сүлжээнд SUPI-г өгнө.
• NEF нь үндсэн сүлжээний далд мэдээллийг операторын аюулгүй байдлын домэйноос гадуур дамжуулах ёсгүй.

Аюулгүй байдлын үндсэн журам

Итгэмжлэгдсэн домэйнууд

5-р үеийн сүлжээнд элементүүд нь сүлжээний цөмөөс холдох тусам сүлжээний элементүүдэд итгэх итгэл буурдаг. Энэхүү үзэл баримтлал нь 5G аюулгүй байдлын архитектурт хэрэгжиж буй шийдвэрүүдэд нөлөөлдөг. Тиймээс бид сүлжээний аюулгүй байдлын механизмын зан төлөвийг тодорхойлдог 5G сүлжээний итгэлцлийн загварын талаар ярьж болно.

Хэрэглэгчийн тал дээр итгэлцлийн домэйн нь UICC болон USIM-ээр үүсгэгддэг.

Сүлжээний тал дээр итгэлцлийн домэйн нь илүү төвөгтэй бүтэцтэй байдаг.

Радио хандалтын сүлжээ нь хоёр бүрэлдэхүүн хэсэгт хуваагддаг - DU (Англи хэлнээс Distributed Units - тархсан сүлжээний нэгжүүд) ба CU (Англи хэлний төв нэгжээс - сүлжээний төв нэгжүүд). Тэд хамтдаа үүсдэг gNB — 5G сүлжээний суурь станцын радио интерфейс. Хамгаалалтгүй дэд бүтцийн сегментүүдэд байршуулах боломжтой тул DU-ууд хэрэглэгчийн өгөгдөлд шууд хандах эрхгүй. CU-ууд нь AS аюулгүй байдлын механизмаас траффикийг зогсоох үүрэгтэй тул хамгаалагдсан сүлжээний сегментүүдэд байрлуулах ёстой. Сүлжээний гол хэсэгт байрладаг AMF, энэ нь NAS аюулгүй байдлын механизмаас урсгалыг зогсоодог. Одоогийн 3GPP 5G-ийн 1-р үе шатны тодорхойлолт нь хослолыг дүрсэлсэн AMF аюулгүй байдлын функцтэй ТЭНЭГТЭЙ, зочилсон (үйлчлэх) сүлжээний үндсэн түлхүүрийг (мөн "зангуу түлхүүр" гэж нэрлэдэг) агуулсан. AUSF амжилттай баталгаажуулсны дараа олж авсан түлхүүрийг хадгалах үүрэгтэй. Хэрэглэгч хэд хэдэн радио хандалтын сүлжээнд нэгэн зэрэг холбогдсон тохиолдолд дахин ашиглах шаардлагатай. ARPF хэрэглэгчийн итгэмжлэлийг хадгалдаг бөгөөд захиалагчдад зориулсан USIM-ийн аналог юм. UDR и UDM итгэмжлэл, хэрэглэгчийн ID үүсгэх, сессийн тасралтгүй байдлыг хангах гэх мэт логикийг тодорхойлоход ашигладаг хэрэглэгчийн мэдээллийг хадгалах.

Түлхүүрүүдийн шатлал ба тэдгээрийн хуваарилалтын схем

5-р үеийн сүлжээнд 4G-LTE сүлжээнээс ялгаатай нь баталгаажуулалтын процедур нь үндсэн ба хоёрдогч баталгаажуулалт гэсэн хоёр бүрэлдэхүүн хэсэгтэй. Сүлжээнд холбогдсон бүх хэрэглэгчийн төхөөрөмжид анхан шатны баталгаажуулалт шаардлагатай. Захиалагч тэдгээрт холбогдсон тохиолдолд гадаад сүлжээнүүдийн хүсэлтээр хоёрдогч баталгаажуулалтыг хийж болно.

Анхдагч баталгаажуулалтыг амжилттай хийж, хэрэглэгч болон сүлжээний хооронд хуваалцсан түлхүүр K-г хөгжүүлсний дараа KSEAF-ийг үйлчилгээ үзүүлэх сүлжээний тусгай зангуу (үндэс) түлхүүр болох K түлхүүрээс гаргаж авдаг. Үүний дараа RRC болон NAS дохиоллын хөдөлгөөний мэдээллийн нууцлал, бүрэн бүтэн байдлыг хангах үүднээс энэ түлхүүрээс түлхүүрүүдийг үүсгэнэ.

Тайлбар бүхий диаграм
Тэмдэглэл:
CK Шифрийн түлхүүр
IK (Англи хэл: Integrity Key) - мэдээллийн бүрэн бүтэн байдлыг хамгаалах механизмд ашигладаг түлхүүр.
CK' (eng. Cipher Key) - EAP-AKA механизмд зориулж CK-ээс үүсгэсэн өөр криптограф түлхүүр.
IK' (Англи хэлний бүрэн бүтэн байдлын түлхүүр) - EAP-AKA мэдээллийн бүрэн бүтэн байдлыг хамгаалах механизмд ашигладаг өөр нэг түлхүүр.
KAUSF - ARPF функц болон хэрэглэгчийн тоног төхөөрөмжөөр үүсгэгдсэн CK и IK 5G AKA болон EAP-AKA үед.
KSEAF - түлхүүрээс AUSF функцээр олж авсан зангуу түлхүүр KAMFAUSF.
KAMF — SEAF функцээр түлхүүрээс олж авсан түлхүүр KSEAF.
KNASint, KNASec — түлхүүрээс AMF функцээр олж авсан түлхүүрүүд KAMF NAS дохионы урсгалыг хамгаалах.
KRRCint, KRRCenc — түлхүүрээс AMF функцээр олж авсан түлхүүрүүд KAMF RRC дохионы урсгалыг хамгаалах.
KUPint, KUPenc — түлхүүрээс AMF функцээр олж авсан түлхүүрүүд KAMF AS дохиоллын урсгалыг хамгаалах.
NH — AMF функцээр түлхүүрээс авсан завсрын түлхүүр KAMF хүлээлгэн өгөх явцад мэдээллийн аюулгүй байдлыг хангах.
KgNB — түлхүүрээс AMF функцээр олж авсан түлхүүр KAMF хөдөлгөөнт механизмын аюулгүй байдлыг хангах.

SUPI ба эсрэгээр нь SUCI үүсгэх схемүүд

SUPI болон SUCI авах схемүүд

SUPI-ийн SUCI болон SUCI-ийн SUPI-ийн үйлдвэрлэл:

Гэрчлэлт

Анхдагч баталгаажуулалт

5G сүлжээнд EAP-AKA болон 5G AKA нь стандарт анхан шатны баталгаажуулалтын механизм юм. Анхан шатны баталгаажуулалтын механизмыг хоёр үе шат болгон хувацгаая: эхнийх нь нэвтрэлт танилтыг эхлүүлэх, баталгаажуулах аргыг сонгох, хоёр дахь нь хэрэглэгч болон сүлжээний хооронд харилцан баталгаажуулалтыг хариуцдаг.

Санаачлага

Хэрэглэгч бүртгэлийн хүсэлтээ SEAF-д илгээдэг бөгөөд үүнд хэрэглэгчийн далд захиалгын ID SUCI байна.

SEAF нь AUSF-д SNN (Үйлчилгээний сүлжээний нэр) болон SUPI эсвэл SUCI агуулсан баталгаажуулах хүсэлтийн мессежийг (Nausf_UEAuthentication_Authenticate Request) илгээдэг.

AUSF нь SEAF нэвтрэлт танилт хүсэлт гаргагч нь өгөгдсөн SNN-ийг ашиглахыг зөвшөөрсөн эсэхийг шалгадаг. Хэрэв үйлчилгээ үзүүлэх сүлжээ нь энэ SNN-г ашиглах эрхгүй бол AUSF нь "Үйлчилгээний сүлжээнд зөвшөөрөлгүй" (Nausf_UEAuthentication_Authenticate Response) зөвшөөрлийн алдааны мессежээр хариу өгдөг.

Баталгаажуулах итгэмжлэлийг AUSF-аас SUPI эсвэл SUCI болон SNN-ээр дамжуулан UDM, ARPF эсвэл SIDF-д хүсэлт гаргадаг.

SUPI эсвэл SUCI болон хэрэглэгчийн мэдээлэлд үндэслэн UDM/ARPF нь дараагийн ашиглах баталгаажуулалтын аргыг сонгож, хэрэглэгчийн итгэмжлэлийг гаргадаг.

Харилцан баталгаажуулалт

Аливаа баталгаажуулалтын аргыг ашиглах үед UDM/ARPF сүлжээний функцууд нь баталгаажуулалтын вектор (AV) үүсгэх ёстой.

EAP-AKA: UDM/ARPF эхлээд AMF = 1 салгах бит бүхий баталгаажуулалтын векторыг үүсгээд дараа нь үүсгэнэ. CK' и IK' нь CK, IK болон SNN ба шинэ AV баталгаажуулалтын вектор (RAND, AUTN, XRES*, CK', IK'), үүнийг зөвхөн EAP-AKA-д ашиглах зааврын хамт AUSF руу илгээсэн.

5G AKA: UDM/ARPF түлхүүрийг авдаг KAUSF нь CK, IK болон SNN, дараа нь энэ нь 5G HE AV үүсгэдэг. 5G Гэрийн орчны баталгаажуулалтын вектор). 5G HE AV баталгаажуулалтын вектор (RAND, AUTN, XRES, KAUSF) нь зөвхөн 5G AKA-д ашиглах зааврын хамт AUSF руу илгээгдэнэ.

Энэ AUSF-ийн дараа зангууны түлхүүрийг авна KSEAF түлхүүрээс KAUSF мөн RAND, AUTN болон RES*-ийг агуулсан "Nausf_UEAuthentication_Authenticate Response" гэсэн мессежээр SEAF "Challenge" руу хүсэлт илгээдэг. Дараа нь RAND болон AUTN нь аюулгүй NAS дохионы мессежийг ашиглан хэрэглэгчийн төхөөрөмжид дамждаг. Хэрэглэгчийн USIM нь хүлээн авсан RAND болон AUTN-ээс RES*-ийг тооцож SEAF руу илгээдэг. SEAF энэ утгыг баталгаажуулахын тулд AUSF руу дамжуулдаг.

AUSF нь түүнд хадгалагдсан XRES* болон хэрэглэгчээс хүлээн авсан RES*-ийг харьцуулдаг. Хэрэв таарч байгаа бол операторын гэрийн сүлжээнд байгаа AUSF болон UDM-д баталгаажуулалт амжилттай болсон тухай мэдэгдэх бөгөөд хэрэглэгч болон SEAF нь бие даан түлхүүр үүсгэдэг. KAMF нь KSEAF болон цаашдын харилцаа холбооны SUPI.

Хоёрдогч баталгаажуулалт

5G стандарт нь хэрэглэгчийн төхөөрөмж болон гадаад мэдээллийн сүлжээний хооронд EAP-AKA-д суурилсан нэмэлт баталгаажуулалтыг дэмждэг. Энэ тохиолдолд SMF нь EAP баталгаажуулагчийн үүргийг гүйцэтгэдэг бөгөөд ажил дээр тулгуурладаг AAA-хэрэглэгчийг баталгаажуулж, зөвшөөрөл өгдөг гадаад сүлжээний сервер.

• Гэрийн сүлжээнд заавал анхдагч хэрэглэгчийн баталгаажуулалт хийгдэж, NAS-ийн аюулгүй байдлын нийтлэг контекстийг AMF-тай хамтран боловсруулдаг.
• Хэрэглэгч AMF-д сесс байгуулах хүсэлтийг илгээдэг.
• AMF нь хэрэглэгчийн SUPI-г харуулсан сесс байгуулах хүсэлтийг SMF-д илгээдэг.
• SMF нь өгсөн SUPI-г ашиглан UDM дахь хэрэглэгчийн итгэмжлэлийг баталгаажуулдаг.
• SMF нь AMF-ийн хүсэлтийн хариуг илгээдэг.
• SMF нь гадаад сүлжээн дэх AAA серверээс сесс үүсгэх зөвшөөрөл авахын тулд EAP баталгаажуулалтын процедурыг эхлүүлдэг. Үүнийг хийхийн тулд SMF болон хэрэглэгч хоёр мессеж солилцож процедурыг эхлүүлнэ.
• Дараа нь хэрэглэгч болон гадаад сүлжээний AAA сервер нь хэрэглэгчийг баталгаажуулах, зөвшөөрөл өгөхийн тулд мессеж солилцдог. Энэ тохиолдолд хэрэглэгч SMF руу мессеж илгээдэг бөгөөд энэ нь эргээд UPF-ээр дамжуулан гадаад сүлжээтэй мессеж солилцдог.

дүгнэлт

Хэдийгээр 5G аюулгүй байдлын архитектур нь одоо байгаа технологийг дахин ашиглахад суурилдаг ч цоо шинэ сорилтуудыг бий болгож байна. Маш олон тооны IoT төхөөрөмж, өргөтгөсөн сүлжээний хил хязгаар, төвлөрсөн бус архитектурын элементүүд нь кибер гэмт хэрэгтнүүдийн төсөөллийг чөлөөтэй болгож өгдөг 5G стандартын үндсэн зарчмуудын зөвхөн нэг хэсэг юм.

5G аюулгүй байдлын архитектурын үндсэн стандарт нь TS 23.501 хувилбар 15.6.0 - аюулгүй байдлын механизм, журмын үйл ажиллагааны гол цэгүүдийг агуулсан. Ялангуяа хэрэглэгчийн өгөгдөл, сүлжээний зангилааны хамгаалалтыг хангах, крипто түлхүүр үүсгэх, баталгаажуулах процедурыг хэрэгжүүлэхэд VNF бүрийн үүргийг тайлбарласан болно. Гэсэн хэдий ч энэ стандарт нь харилцаа холбооны операторуудад ихэвчлэн шинэ үеийн сүлжээг эрчимтэй хөгжүүлж, ашиглалтад оруулдаг тул аюулгүй байдлын тулгамдсан асуудлуудад хариулт өгдөггүй.

Үүнтэй холбогдуулан 5-р үеийн сүлжээг ажиллуулах, хамгаалахад тулгарч буй бэрхшээлүүд нь ээжийн найзын хүү шиг дамжуулах хурд, хариу үйлдэл амласан жирийн хэрэглэгчдэд ямар ч байдлаар нөлөөлөхгүй гэдэгт би итгэхийг хүсч байна. шинэ үеийн сүлжээнүүдийн зарласан чадварууд.

Ашигтай холбоосууд

3GPP техникийн үзүүлэлтүүдийн цуврал
5G аюулгүй байдлын архитектур
5G системийн архитектур
5G Wiki
5G архитектурын тэмдэглэл
5G аюулгүй байдлын тойм

Эх сурвалж: www.habr.com