अर्थात, सुरक्षा यंत्रणेचा विचार न करता नवीन संप्रेषण मानक विकसित करणे हा एक अत्यंत संशयास्पद आणि व्यर्थ प्रयत्न आहे.
5G सुरक्षा आर्किटेक्चर - मध्ये लागू केलेल्या सुरक्षा यंत्रणा आणि प्रक्रियांचा संच आणि गाभ्यापासून रेडिओ इंटरफेसपर्यंत सर्व नेटवर्क घटकांना कव्हर करते.
5 व्या पिढीचे नेटवर्क हे थोडक्यात एक उत्क्रांती आहे . रेडिओ ऍक्सेस तंत्रज्ञानामध्ये सर्वात लक्षणीय बदल झाले आहेत. 5व्या पिढीच्या नेटवर्कसाठी, एक नवीन (रेडिओ प्रवेश तंत्रज्ञान) - . नेटवर्कच्या गाभ्यासाठी, त्यात इतके महत्त्वपूर्ण बदल झालेले नाहीत. या संदर्भात, 5G LTE मानकामध्ये स्वीकारलेल्या संबंधित तंत्रज्ञानाचा पुनर्वापर करण्यावर भर देऊन 4G नेटवर्कचे सुरक्षा आर्किटेक्चर विकसित केले गेले आहे.
तथापि, हे लक्षात घेण्यासारखे आहे की हवाई इंटरफेसवरील हल्ले आणि सिग्नलिंग लेयर ( विमान), डीडीओएस हल्ले, मॅन-इन-द-मिडल हल्ले इत्यादींनी टेलिकॉम ऑपरेटरना नवीन मानके विकसित करण्यास आणि 5व्या पिढीच्या नेटवर्कमध्ये पूर्णपणे नवीन सुरक्षा यंत्रणा एकत्रित करण्यास प्रवृत्त केले.
पार्श्वभूमी
2015 मध्ये, इंटरनॅशनल टेलिकम्युनिकेशन युनियनने पाचव्या पिढीच्या नेटवर्कच्या विकासासाठी आपल्या प्रकारची पहिली जागतिक योजना तयार केली, म्हणूनच 5G नेटवर्कमध्ये सुरक्षा यंत्रणा आणि प्रक्रिया विकसित करण्याचा मुद्दा विशेषतः तीव्र झाला आहे.
नवीन तंत्रज्ञानाने खरोखर प्रभावी डेटा ट्रान्सफर गती (1 Gbps पेक्षा जास्त), 1 ms पेक्षा कमी लेटन्सी आणि 1 km1 च्या त्रिज्येमध्ये सुमारे 2 दशलक्ष उपकरणे एकाच वेळी कनेक्ट करण्याची क्षमता प्रदान केली आहे. 5व्या पिढीच्या नेटवर्कसाठी अशा सर्वोच्च आवश्यकता त्यांच्या संस्थेच्या तत्त्वांमध्ये देखील दिसून येतात.
मुख्य म्हणजे विकेंद्रीकरण, ज्याने नेटवर्कच्या परिघावर अनेक स्थानिक डेटाबेस आणि त्यांची प्रक्रिया केंद्रे स्थापित करणे सूचित केले. यामुळे विलंब कमी करणे शक्य झाले -संप्रेषण आणि मोठ्या संख्येने IoT उपकरणांच्या सर्व्हिसिंगमुळे नेटवर्क कोरला आराम मिळतो. अशाप्रकारे, पुढील पिढीच्या नेटवर्कची किनार बेस स्टेशनपर्यंत सर्व मार्गाने विस्तारली, ज्यामुळे गंभीर विलंब किंवा सेवा नाकारण्याच्या जोखमीशिवाय स्थानिक दळणवळण केंद्रे तयार करणे आणि क्लाउड सेवांची तरतूद करणे शक्य झाले. साहजिकच, नेटवर्किंग आणि ग्राहक सेवेचा बदललेला दृष्टीकोन हल्लेखोरांसाठी स्वारस्यपूर्ण होता, कारण यामुळे त्यांना सेवा नाकारण्यासाठी किंवा ऑपरेटरची संगणकीय संसाधने ताब्यात घेण्यासाठी गोपनीय वापरकर्ता माहिती आणि नेटवर्क घटकांवर हल्ला करण्याच्या नवीन संधी उपलब्ध झाल्या.
5व्या पिढीच्या नेटवर्कची मुख्य भेद्यता
मोठा हल्ला पृष्ठभाग
अधिक वाचातिसऱ्या आणि चौथ्या पिढ्यांचे दूरसंचार नेटवर्क तयार करताना, दूरसंचार ऑपरेटर सहसा हार्डवेअर आणि सॉफ्टवेअरचा संच त्वरित पुरवणाऱ्या एक किंवा अनेक विक्रेत्यांसह काम करण्यापुरते मर्यादित होते. म्हणजेच, सर्वकाही कार्य करू शकते, जसे ते म्हणतात, "बॉक्सच्या बाहेर" - विक्रेत्याकडून खरेदी केलेली उपकरणे फक्त स्थापित करणे आणि कॉन्फिगर करणे पुरेसे होते; मालकीचे सॉफ्टवेअर बदलण्याची किंवा पूरक करण्याची गरज नव्हती. आधुनिक ट्रेंड या "शास्त्रीय" दृष्टिकोनाच्या विरूद्ध आहेत आणि नेटवर्कचे आभासीकरण, त्यांच्या बांधकाम आणि सॉफ्टवेअर विविधतेसाठी एक बहु-विक्रेता दृष्टीकोन हे लक्ष्य आहे. तंत्रज्ञान जसे की (इंग्रजी सॉफ्टवेअर परिभाषित नेटवर्क) आणि (इंग्लिश नेटवर्क फंक्शन्स व्हर्च्युअलायझेशन), ज्यामुळे संप्रेषण नेटवर्क व्यवस्थापित करण्याच्या प्रक्रिया आणि कार्यांमध्ये मुक्त स्त्रोत कोडच्या आधारे तयार केलेल्या मोठ्या प्रमाणात सॉफ्टवेअरचा समावेश होतो. हे हल्लेखोरांना ऑपरेटरच्या नेटवर्कचा चांगल्या प्रकारे अभ्यास करण्याची आणि मोठ्या संख्येने भेद्यता ओळखण्याची संधी देते, ज्यामुळे, वर्तमान नेटवर्कच्या तुलनेत नवीन पिढीच्या नेटवर्कची आक्रमण पृष्ठभाग वाढते.
IoT उपकरणांची मोठी संख्या
अधिक वाचा2021 पर्यंत, 57G नेटवर्कशी कनेक्ट केलेली सुमारे 5% उपकरणे IoT उपकरणे असतील. याचा अर्थ असा की बहुतेक यजमानांकडे मर्यादित क्रिप्टोग्राफिक क्षमता असतील (पॉइंट 2 पहा) आणि त्यानुसार, हल्ल्यांसाठी असुरक्षित असतील. अशा मोठ्या संख्येने उपकरणे बॉटनेट प्रसाराचा धोका वाढवतील आणि आणखी शक्तिशाली आणि वितरित DDoS हल्ले करणे शक्य करेल.
IoT उपकरणांची मर्यादित क्रिप्टोग्राफिक क्षमता
अधिक वाचाआधीच नमूद केल्याप्रमाणे, 5 व्या पिढीचे नेटवर्क सक्रियपणे परिधीय उपकरणे वापरतात, ज्यामुळे नेटवर्क कोरमधून लोडचा काही भाग काढून टाकणे शक्य होते आणि त्यामुळे विलंब कमी होतो. मानवरहित वाहनांचे नियंत्रण, आपत्कालीन चेतावणी प्रणाली यासारख्या महत्त्वाच्या सेवांसाठी हे आवश्यक आहे आणि इतर, ज्यांच्यासाठी किमान विलंब सुनिश्चित करणे महत्वाचे आहे, कारण मानवी जीवन त्यावर अवलंबून आहे. मोठ्या संख्येने IoT डिव्हाइसेसच्या कनेक्शनमुळे, त्यांच्या लहान आकारामुळे आणि कमी उर्जेच्या वापरामुळे, अत्यंत मर्यादित संगणकीय संसाधने आहेत, 5G नेटवर्क अशा उपकरणांच्या नियंत्रण आणि त्यानंतरच्या हाताळणीच्या उद्देशाने हल्ल्यांना असुरक्षित बनतात. उदाहरणार्थ, अशी परिस्थिती असू शकते जिथे सिस्टमचा भाग असलेल्या IoT उपकरणांना संसर्ग झाला आहे "", मालवेअरचे प्रकार जसे की . क्लाउडद्वारे आदेश आणि नेव्हिगेशन माहिती प्राप्त करणार्या मानवरहित वाहनांचे नियंत्रण रोखण्याची परिस्थिती देखील शक्य आहे. औपचारिकपणे, ही भेद्यता नवीन पिढीच्या नेटवर्कच्या विकेंद्रीकरणामुळे आहे, परंतु पुढील परिच्छेद विकेंद्रीकरणाच्या समस्येचे अधिक स्पष्टपणे वर्णन करेल.
विकेंद्रीकरण आणि नेटवर्क सीमांचा विस्तार
अधिक वाचापरिधीय उपकरणे, स्थानिक नेटवर्क कोरची भूमिका बजावत, वापरकर्त्याच्या रहदारीचे मार्गक्रमण, विनंत्या प्रक्रिया, तसेच स्थानिक कॅशिंग आणि वापरकर्ता डेटाचे संचयन पार पाडतात. अशा प्रकारे, स्थानिक डेटाबेस आणि 5G-NR (5G न्यू रेडिओ) रेडिओ इंटरफेससह, 5व्या पिढीच्या नेटवर्कच्या सीमा कोर व्यतिरिक्त, परिघापर्यंत विस्तारत आहेत. हे स्थानिक उपकरणांच्या संगणकीय संसाधनांवर हल्ला करण्याची संधी निर्माण करते, जे नेटवर्क कोरच्या मध्यवर्ती नोड्सपेक्षा अधिक कमकुवत संरक्षित आहेत, सेवा नाकारण्याचे उद्दिष्ट आहे. यामुळे संपूर्ण क्षेत्रासाठी इंटरनेट प्रवेश खंडित होऊ शकतो, IoT उपकरणांचे चुकीचे कार्य (उदाहरणार्थ, स्मार्ट होम सिस्टममध्ये), तसेच IMS आणीबाणी अलर्ट सेवेची अनुपलब्धता होऊ शकते.
तथापि, ETSI आणि 3GPP ने आता 10G नेटवर्क सुरक्षिततेच्या विविध पैलूंचा समावेश करणारी 5 पेक्षा जास्त मानके प्रकाशित केली आहेत. तेथे वर्णन केलेल्या बहुसंख्य यंत्रणा असुरक्षिततेपासून संरक्षण करण्याच्या उद्देशाने आहेत (वर वर्णन केलेल्यांसह). मुख्यपैकी एक मानक आहे , 5व्या पिढीच्या नेटवर्कच्या सुरक्षा आर्किटेक्चरचे वर्णन करते.
5G आर्किटेक्चर
प्रथम, 5G नेटवर्क आर्किटेक्चरच्या मुख्य तत्त्वांकडे वळूया, जे प्रत्येक सॉफ्टवेअर मॉड्यूल आणि प्रत्येक 5G सुरक्षा कार्याचा अर्थ आणि जबाबदारीचे क्षेत्र पूर्णपणे प्रकट करेल.
- नेटवर्क नोड्सचे घटकांमध्ये विभाजन जे प्रोटोकॉलचे ऑपरेशन सुनिश्चित करतात (इंग्रजी UP - वापरकर्ता विमान) आणि घटक जे प्रोटोकॉलचे ऑपरेशन सुनिश्चित करतात (इंग्रजी CP - कंट्रोल प्लेन मधून), जे नेटवर्कच्या स्केलिंग आणि तैनातीच्या बाबतीत लवचिकता वाढवते, म्हणजे वैयक्तिक घटक नेटवर्क नोड्सचे केंद्रीकृत किंवा विकेंद्रित प्लेसमेंट शक्य आहे.
- यंत्रणा समर्थन , अंतिम वापरकर्त्यांच्या विशिष्ट गटांना प्रदान केलेल्या सेवांवर आधारित.
- फॉर्ममध्ये नेटवर्क घटकांची अंमलबजावणी .
- केंद्रीकृत आणि स्थानिक सेवांमध्ये एकाचवेळी प्रवेशासाठी समर्थन, म्हणजे क्लाउड संकल्पनांची अंमलबजावणी (इंग्रजीतून. ) आणि सीमा (इंग्रजीतून. ) गणना.
- अंमलबजावणी आर्किटेक्चर विविध प्रकारच्या ऍक्सेस नेटवर्क्सचे संयोजन - 3GPP 5G नवीन रेडिओ आणि (वाय-फाय, इ.) - एकाच नेटवर्क कोरसह.
- प्रवेश नेटवर्कच्या प्रकाराकडे दुर्लक्ष करून, एकसमान अल्गोरिदम आणि प्रमाणीकरण प्रक्रियेचे समर्थन.
- स्टेटलेस नेटवर्क फंक्शन्ससाठी समर्थन, ज्यामध्ये गणना केलेले संसाधन संसाधन स्टोअरमधून वेगळे केले जाते.
- होम नेटवर्कद्वारे (इंग्रजी होम-रूटेड रोमिंगमधून) आणि अतिथी नेटवर्कमध्ये स्थानिक "लँडिंग" (इंग्रजी लोकल ब्रेकआउटमधून) दोन्ही ट्रॅफिक रूटिंगसह रोमिंगसाठी समर्थन.
- नेटवर्क फंक्शन्समधील परस्परसंवाद दोन प्रकारे दर्शविला जातो: и .
5व्या पिढीच्या नेटवर्क सुरक्षा संकल्पनेचा समावेश आहे:
- नेटवर्कवरून वापरकर्ता प्रमाणीकरण.
- वापरकर्त्याद्वारे नेटवर्क प्रमाणीकरण.
- नेटवर्क आणि वापरकर्ता उपकरणे दरम्यान क्रिप्टोग्राफिक की च्या वाटाघाटी.
- सिग्नलिंग रहदारीचे एन्क्रिप्शन आणि अखंडता नियंत्रण.
- वापरकर्ता रहदारीच्या अखंडतेचे कूटबद्धीकरण आणि नियंत्रण.
- वापरकर्ता आयडी संरक्षण.
- नेटवर्क सुरक्षा डोमेनच्या संकल्पनेनुसार विविध नेटवर्क घटकांमधील इंटरफेसचे संरक्षण करणे.
- यंत्रणेच्या विविध स्तरांचे पृथक्करण आणि प्रत्येक लेयरचे स्वतःचे सुरक्षा स्तर परिभाषित करणे.
- अंतिम सेवा (IMS, IoT आणि इतर) च्या स्तरावर वापरकर्ता प्रमाणीकरण आणि रहदारी संरक्षण.
प्रमुख सॉफ्टवेअर मॉड्यूल आणि 5G नेटवर्क सुरक्षा वैशिष्ट्ये
AMF (इंग्रजी ऍक्सेस आणि मोबिलिटी मॅनेजमेंट फंक्शनमधून - ऍक्सेस आणि मोबिलिटी मॅनेजमेंट फंक्शन) - प्रदान करते:
- कंट्रोल प्लेन इंटरफेसचे आयोजन.
- सिग्नलिंग ट्रॅफिक एक्सचेंजची संस्था , एन्क्रिप्शन आणि त्याच्या डेटाच्या अखंडतेचे संरक्षण.
- सिग्नलिंग ट्रॅफिक एक्सचेंजची संस्था , एन्क्रिप्शन आणि त्याच्या डेटाच्या अखंडतेचे संरक्षण.
- नेटवर्कवर वापरकर्ता उपकरणांची नोंदणी व्यवस्थापित करणे आणि संभाव्य नोंदणी स्थितींचे निरीक्षण करणे.
- वापरकर्त्याच्या उपकरणांचे नेटवर्कशी कनेक्शन व्यवस्थापित करणे आणि संभाव्य स्थितींचे निरीक्षण करणे.
- CM-IDLE स्थितीत नेटवर्कवरील वापरकर्ता उपकरणांची उपलब्धता नियंत्रित करा.
- सीएम-कनेक्टेड स्थितीत नेटवर्कमधील वापरकर्ता उपकरणांचे गतिशीलता व्यवस्थापन.
- वापरकर्ता उपकरणे आणि SMF दरम्यान लहान संदेशांचे प्रसारण.
- स्थान सेवा व्यवस्थापन.
- थ्रेड आयडी वाटप EPS सह संवाद साधण्यासाठी.
एसएमएफ (इंग्रजी: सत्र व्यवस्थापन कार्य - सत्र व्यवस्थापन कार्य) - प्रदान करते:
- कम्युनिकेशन सेशन मॅनेजमेंट, म्हणजे ऍक्सेस नेटवर्क आणि UPF दरम्यान बोगदा राखणे यासह सत्रे तयार करणे, बदलणे आणि सोडणे.
- वापरकर्ता उपकरणांच्या IP पत्त्यांचे वितरण आणि व्यवस्थापन.
- वापरण्यासाठी UPF गेटवे निवडत आहे.
- PCF सह परस्परसंवादाचे आयोजन.
- धोरण अंमलबजावणी व्यवस्थापन .
- DHCPv4 आणि DHCPv6 प्रोटोकॉल वापरून वापरकर्ता उपकरणांचे डायनॅमिक कॉन्फिगरेशन.
- टॅरिफ डेटाच्या संकलनाचे निरीक्षण करणे आणि बिलिंग सिस्टमसह परस्परसंवाद आयोजित करणे.
- सेवांची अखंड तरतूद (इंग्रजीतून. ).
- रोमिंगमध्ये अतिथी नेटवर्कसह परस्परसंवाद.
UPF (इंग्लिश यूजर प्लेन फंक्शन - यूजर प्लेन फंक्शन) - प्रदान करते:
- जागतिक इंटरनेटसह बाह्य डेटा नेटवर्कसह परस्परसंवाद.
- राउटिंग वापरकर्ता पॅकेट.
- QoS धोरणांनुसार पॅकेट चिन्हांकित करणे.
- वापरकर्ता पॅकेज डायग्नोस्टिक्स (उदाहरणार्थ, स्वाक्षरी-आधारित अनुप्रयोग शोध).
- रहदारी वापराचा अहवाल प्रदान करणे.
- UPF विविध रेडिओ प्रवेश तंत्रज्ञानामध्ये आणि दरम्यान गतिशीलतेला समर्थन देण्यासाठी अँकर पॉइंट देखील आहे.
UDM (इंग्रजी युनिफाइड डेटा मॅनेजमेंट - युनिफाइड डेटाबेस) - प्रदान करते:
- वापरकर्ता प्रोफाइल डेटा व्यवस्थापित करणे, वापरकर्त्यांसाठी उपलब्ध सेवांची सूची आणि त्यांच्या संबंधित पॅरामीटर्स संग्रहित करणे आणि सुधारित करणे.
- शासन
- 3GPP प्रमाणीकरण क्रेडेन्शियल व्युत्पन्न करा .
- प्रोफाइल डेटावर आधारित प्रवेश अधिकृतता (उदाहरणार्थ, रोमिंग प्रतिबंध).
- वापरकर्ता नोंदणी व्यवस्थापन, म्हणजे सर्व्हिंग AMF चे स्टोरेज.
- अखंड सेवा आणि संप्रेषण सत्रांसाठी समर्थन, म्हणजे वर्तमान संप्रेषण सत्रासाठी नियुक्त केलेले SMF संचयित करणे.
- एसएमएस वितरण व्यवस्थापन.
- अनेक भिन्न UDM समान वापरकर्त्यास वेगवेगळ्या व्यवहारांमध्ये सेवा देऊ शकतात.
UDR (इंग्रजी युनिफाइड डेटा रिपॉझिटरी - युनिफाइड डेटाचे संचयन) - विविध वापरकर्त्यांच्या डेटाचे संचयन प्रदान करते आणि खरं तर, सर्व नेटवर्क सदस्यांचा डेटाबेस आहे.
UDSF (इंग्रजी अनस्ट्रक्चर्ड डेटा स्टोरेज फंक्शन - अनस्ट्रक्चर्ड डेटा स्टोरेज फंक्शन) - हे सुनिश्चित करते की AMF मॉड्यूल नोंदणीकृत वापरकर्त्यांचे वर्तमान संदर्भ जतन करतात. सर्वसाधारणपणे, ही माहिती अनिश्चित संरचनेचा डेटा म्हणून सादर केली जाऊ शकते. सेवेतून AMF पैकी एकाच्या नियोजित पैसे काढताना आणि आणीबाणीच्या परिस्थितीत, अखंड आणि अखंड सदस्य सत्रे सुनिश्चित करण्यासाठी वापरकर्ता संदर्भ वापरले जाऊ शकतात. दोन्ही प्रकरणांमध्ये, बॅकअप AMF USDF मध्ये संग्रहित संदर्भ वापरून सेवा "पिक अप" करेल.
समान भौतिक प्लॅटफॉर्मवर UDR आणि UDSF एकत्र करणे ही या नेटवर्क फंक्शन्सची विशिष्ट अंमलबजावणी आहे.
पीसीएफ (इंग्रजी: पॉलिसी कंट्रोल फंक्शन - पॉलिसी कंट्रोल फंक्शन) - QoS पॅरामीटर्स आणि चार्जिंग नियमांसह वापरकर्त्यांना काही सेवा धोरणे तयार आणि नियुक्त करते. उदाहरणार्थ, एक किंवा दुसर्या प्रकारचे रहदारी प्रसारित करण्यासाठी, भिन्न वैशिष्ट्यांसह आभासी चॅनेल गतिशीलपणे तयार केले जाऊ शकतात. त्याच वेळी, ग्राहकाने विनंती केलेल्या सेवेच्या आवश्यकता, नेटवर्क गर्दीची पातळी, वापरल्या जाणार्या रहदारीचे प्रमाण इत्यादी विचारात घेतल्या जाऊ शकतात.
NEF (इंग्रजी नेटवर्क एक्सपोजर फंक्शन - नेटवर्क एक्सपोजर फंक्शन) - प्रदान करते:
- नेटवर्क कोरसह बाह्य प्लॅटफॉर्म आणि अनुप्रयोगांच्या सुरक्षित परस्परसंवादाची संस्था.
- विशिष्ट वापरकर्त्यांसाठी QoS पॅरामीटर्स आणि चार्जिंग नियम व्यवस्थापित करा.
SEAF (इंग्लिश सिक्युरिटी अँकर फंक्शन - अँकर सिक्युरिटी फंक्शन) - AUSF सह, वापरकर्ते जेव्हा नेटवर्कवर कोणत्याही ऍक्सेस टेक्नॉलॉजीसह नोंदणी करतात तेव्हा त्यांचे प्रमाणीकरण प्रदान करते.
AUSF (इंग्रजी ऑथेंटिकेशन सर्व्हर फंक्शन - प्रमाणीकरण सर्व्हर फंक्शन) - प्रमाणीकरण सर्व्हरची भूमिका बजावते जो SEAF कडून विनंत्या प्राप्त करतो आणि त्यावर प्रक्रिया करतो आणि त्यांना ARPF कडे पुनर्निर्देशित करतो.
एआरपीएफ (इंग्रजी: ऑथेंटिकेशन क्रेडेन्शियल रिपॉझिटरी आणि प्रोसेसिंग फंक्शन - ऑथेंटिकेशन क्रेडेन्शियल संचयित आणि प्रक्रिया करण्याचे कार्य) - वैयक्तिक गुप्त की (KI) आणि क्रिप्टोग्राफिक अल्गोरिदमचे पॅरामीटर्स, तसेच 5G-AKA नुसार प्रमाणीकरण वेक्टरची निर्मिती प्रदान करते. -उर्फ. हे होम टेलिकॉम ऑपरेटरच्या डेटा सेंटरमध्ये स्थित आहे, बाह्य भौतिक प्रभावांपासून संरक्षित आहे आणि, नियमानुसार, UDM सह एकत्रित केले आहे.
SCMF (इंग्रजी सुरक्षा संदर्भ व्यवस्थापन कार्य - व्यवस्थापन कार्य ) - 5G सुरक्षा संदर्भासाठी जीवनचक्र व्यवस्थापन प्रदान करते.
SPCF (इंग्रजी सुरक्षा धोरण नियंत्रण कार्य - सुरक्षा धोरण व्यवस्थापन कार्य) - विशिष्ट वापरकर्त्यांच्या संबंधात सुरक्षा धोरणांचे समन्वय आणि अनुप्रयोग सुनिश्चित करते. हे नेटवर्कची क्षमता, वापरकर्त्याच्या उपकरणांची क्षमता आणि विशिष्ट सेवेची आवश्यकता लक्षात घेते (उदाहरणार्थ, गंभीर संप्रेषण सेवा आणि वायरलेस ब्रॉडबँड इंटरनेट ऍक्सेस सेवेद्वारे प्रदान केलेल्या संरक्षणाचे स्तर भिन्न असू शकतात). सुरक्षा धोरणांच्या वापरामध्ये हे समाविष्ट आहे: AUSF ची निवड, प्रमाणीकरण अल्गोरिदमची निवड, डेटा एन्क्रिप्शन आणि इंटिग्रिटी कंट्रोल अल्गोरिदमची निवड, कीची लांबी आणि जीवन चक्र निश्चित करणे.
SIDF (इंग्रजी सबस्क्रिप्शन आयडेंटिफायर डी-किसलींग फंक्शन - यूजर आयडेंटिफायर एक्स्ट्रॅक्शन फंक्शन) - लपलेल्या आयडेंटिफायरमधून सबस्क्रिप्शन आयडेंटिफायर (इंग्रजी SUPI) काढण्याची खात्री करते (इंग्रजी ), प्रमाणीकरण प्रक्रियेच्या विनंतीचा भाग म्हणून प्राप्त झाले “Auth Info Req”.
5G संप्रेषण नेटवर्कसाठी मूलभूत सुरक्षा आवश्यकता
अधिक वाचावापरकर्ता प्रमाणीकरण: सर्व्हिंग 5G नेटवर्कने वापरकर्ता आणि नेटवर्कमधील 5G AKA प्रक्रियेमध्ये वापरकर्त्याचे SUPI प्रमाणीकृत करणे आवश्यक आहे.
नेटवर्क प्रमाणीकरण सेवा देत आहे: वापरकर्त्याने 5G सर्व्हिंग नेटवर्क आयडी प्रमाणित करणे आवश्यक आहे, प्रमाणीकरण 5G AKA प्रक्रियेद्वारे प्राप्त की च्या यशस्वी वापराद्वारे प्राप्त झाले आहे.
वापरकर्ता अधिकृतता: सर्व्हिंग नेटवर्कने होम टेलिकॉम ऑपरेटरच्या नेटवर्कवरून प्राप्त केलेला वापरकर्ता प्रोफाइल वापरून वापरकर्त्यास अधिकृत करणे आवश्यक आहे.
होम ऑपरेटर नेटवर्कद्वारे सर्व्हिंग नेटवर्कची अधिकृतता: वापरकर्त्याला पुष्टी प्रदान करणे आवश्यक आहे की तो सेवा प्रदान करण्यासाठी होम ऑपरेटर नेटवर्कद्वारे अधिकृत असलेल्या सेवा नेटवर्कशी कनेक्ट केलेला आहे. अधिकृतता या अर्थाने निहित आहे की 5G AKA प्रक्रिया यशस्वीरित्या पूर्ण केल्याने याची खात्री केली जाते.
होम ऑपरेटर नेटवर्कद्वारे ऍक्सेस नेटवर्कची अधिकृतता: वापरकर्त्याला पुष्टी प्रदान करणे आवश्यक आहे की तो अॅक्सेस नेटवर्कशी कनेक्ट आहे जो सेवा प्रदान करण्यासाठी होम ऑपरेटर नेटवर्कद्वारे अधिकृत आहे. अधिकृतता या अर्थाने निहित आहे की ती प्रवेश नेटवर्कची सुरक्षितता यशस्वीरित्या स्थापित करून लागू केली जाते. या प्रकारची अधिकृतता कोणत्याही प्रकारच्या प्रवेश नेटवर्कसाठी वापरली जाणे आवश्यक आहे.
अप्रमाणित आणीबाणी सेवा: काही प्रदेशांमध्ये नियामक आवश्यकता पूर्ण करण्यासाठी, 5G नेटवर्कने आपत्कालीन सेवांसाठी अनधिकृत प्रवेश प्रदान करणे आवश्यक आहे.
नेटवर्क कोर आणि रेडिओ प्रवेश नेटवर्क: सुरक्षा सुनिश्चित करण्यासाठी 5G नेटवर्क कोर आणि 5G रेडिओ ऍक्सेस नेटवर्कने 128-बिट एन्क्रिप्शन आणि इंटिग्रिटी अल्गोरिदमच्या वापरास समर्थन देणे आवश्यक आहे и . नेटवर्क इंटरफेसने 256-बिट एनक्रिप्शन की समर्थित करणे आवश्यक आहे.
वापरकर्ता उपकरणांसाठी मूलभूत सुरक्षा आवश्यकता
अधिक वाचा
- वापरकर्ता उपकरणे एनक्रिप्शन, अखंडता संरक्षण आणि ते आणि रेडिओ प्रवेश नेटवर्क दरम्यान प्रसारित केलेल्या वापरकर्त्याच्या डेटासाठी रीप्ले हल्ल्यांपासून संरक्षणास समर्थन देणे आवश्यक आहे.
- वापरकर्त्याच्या उपकरणांनी रेडिओ ऍक्सेस नेटवर्कद्वारे निर्देशित केल्यानुसार एनक्रिप्शन आणि डेटा अखंडता संरक्षण यंत्रणा सक्रिय करणे आवश्यक आहे.
- वापरकर्ता उपकरणे एनक्रिप्शन, अखंडता संरक्षण आणि RRC आणि NAS सिग्नलिंग रहदारीसाठी रिप्ले हल्ल्यांपासून संरक्षणास समर्थन देणे आवश्यक आहे.
- वापरकर्ता उपकरणे खालील क्रिप्टोग्राफिक अल्गोरिदमचे समर्थन करणे आवश्यक आहे: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
- वापरकर्ता उपकरणे खालील क्रिप्टोग्राफिक अल्गोरिदमला समर्थन देऊ शकतात: 128-NEA3, 128-NIA3.
- वापरकर्ता उपकरणे खालील क्रिप्टोग्राफिक अल्गोरिदमचे समर्थन करणे आवश्यक आहे: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 जर ते E-UTRA रेडिओ ऍक्सेस नेटवर्कशी कनेक्शनचे समर्थन करत असेल.
- वापरकर्ता उपकरणे आणि रेडिओ ऍक्सेस नेटवर्क दरम्यान प्रसारित केलेल्या वापरकर्त्याच्या डेटाच्या गोपनीयतेचे संरक्षण ऐच्छिक आहे, परंतु जेव्हा जेव्हा नियमानुसार परवानगी असेल तेव्हा प्रदान करणे आवश्यक आहे.
- RRC आणि NAS सिग्नलिंग रहदारीसाठी गोपनीयता संरक्षण पर्यायी आहे.
- वापरकर्त्याची कायमची की वापरकर्त्याच्या उपकरणाच्या सु-सुरक्षित घटकांमध्ये संरक्षित आणि संग्रहित करणे आवश्यक आहे.
- योग्य राउटिंगसाठी आवश्यक असलेल्या माहितीशिवाय (उदाहरणार्थ и ).
- होम ऑपरेटरचे नेटवर्क पब्लिक की, की आयडेंटिफायर, सिक्युरिटी स्कीम आयडेंटिफायर आणि राउटिंग आयडेंटिफायर यात संग्रहित करणे आवश्यक आहे .
प्रत्येक एन्क्रिप्शन अल्गोरिदम बायनरी नंबरशी संबंधित आहे:
- "0000": NEA0 - शून्य सायफरिंग अल्गोरिदम
- "0001": 128-NEA1 - 128-बिट 3G आधारित अल्गोरिदम
- "0010" 128-NEA2 - 128-बिट आधारित अल्गोरिदम
- "0011" 128-NEA3 - 128-बिट आधारित अल्गोरिदम.
128-NEA1 आणि 128-NEA2 वापरून डेटा एन्क्रिप्शन
P.S. रेखाचित्र उधार घेतले आहे
अखंडता सुनिश्चित करण्यासाठी अल्गोरिदम 128-NIA1 आणि 128-NIA2 द्वारे सिम्युलेटेड इन्सर्टची निर्मिती
P.S. रेखाचित्र उधार घेतले आहे
5G नेटवर्क कार्यांसाठी मूलभूत सुरक्षा आवश्यकता
अधिक वाचा
- AMF ने SUCI वापरून प्राथमिक प्रमाणीकरणास समर्थन देणे आवश्यक आहे.
- SEAF ने SUCI वापरून प्राथमिक प्रमाणीकरणास समर्थन देणे आवश्यक आहे.
- UDM आणि ARPF ने वापरकर्त्याची कायमची की संग्रहित केली पाहिजे आणि ती चोरीपासून संरक्षित असल्याची खात्री करा.
- SUCI वापरून यशस्वी प्रारंभिक प्रमाणीकरण झाल्यावर AUSF फक्त स्थानिक सर्व्हिंग नेटवर्कला SUPI प्रदान करेल.
- NEF ने ऑपरेटरच्या सुरक्षा डोमेनच्या बाहेर लपविलेली कोर नेटवर्क माहिती फॉरवर्ड करू नये.
मूलभूत सुरक्षा प्रक्रिया
डोमेनवर विश्वास ठेवा
5व्या पिढीच्या नेटवर्कमध्ये, घटक नेटवर्क कोरपासून दूर गेल्याने नेटवर्क घटकांवरील विश्वास कमी होतो. ही संकल्पना 5G सुरक्षा आर्किटेक्चरमध्ये लागू केलेल्या निर्णयांवर प्रभाव टाकते. अशा प्रकारे, आम्ही 5G नेटवर्कच्या विश्वासार्ह मॉडेलबद्दल बोलू शकतो जे नेटवर्क सुरक्षा यंत्रणेचे वर्तन निर्धारित करते.
वापरकर्त्याच्या बाजूने, ट्रस्ट डोमेन UICC आणि USIM द्वारे तयार केले जाते.
नेटवर्कच्या बाजूने, ट्रस्ट डोमेनची रचना अधिक जटिल आहे.
रेडिओ ऍक्सेस नेटवर्क दोन घटकांमध्ये विभागलेले आहे - DU (इंग्रजी वितरित युनिट्समधून - वितरित नेटवर्क युनिट्स) आणि CU (इंग्रजी सेंट्रल युनिट्समधून - नेटवर्कच्या मध्यवर्ती युनिट्स). एकत्रितपणे ते तयार होतात gNB — 5G नेटवर्क बेस स्टेशनचा रेडिओ इंटरफेस. DU ला वापरकर्त्याच्या डेटावर थेट प्रवेश नाही कारण ते असुरक्षित पायाभूत सुविधा विभागांवर तैनात केले जाऊ शकतात. CUs संरक्षित नेटवर्क विभागांमध्ये तैनात केले जाणे आवश्यक आहे, कारण ते AS सुरक्षा यंत्रणेकडून रहदारी समाप्त करण्यासाठी जबाबदार आहेत. नेटवर्कच्या कोरमध्ये स्थित आहे AMF, जे NAS सुरक्षा यंत्रणेकडून रहदारी बंद करते. सध्याचे 3GPP 5G फेज 1 तपशील संयोजनाचे वर्णन करते AMF सुरक्षा कार्यासह SEAF, भेट दिलेल्या (सर्व्हिंग) नेटवर्कची रूट की (ज्याला "अँकर की" देखील म्हणतात) समाविष्ट आहे. AUSF यशस्वी प्रमाणीकरणानंतर प्राप्त केलेली की साठवण्यासाठी जबाबदार आहे. वापरकर्ता एकाच वेळी अनेक रेडिओ ऍक्सेस नेटवर्कशी जोडलेला असतो अशा प्रकरणांमध्ये ते पुन्हा वापरण्यासाठी आवश्यक आहे. एआरपीएफ वापरकर्ता क्रेडेन्शियल्स संग्रहित करते आणि सदस्यांसाठी USIM चे अॅनालॉग आहे. UDR и UDM वापरकर्ता माहिती संग्रहित करा, ज्याचा वापर क्रेडेंशियल्स, वापरकर्ता आयडी, सत्र सातत्य सुनिश्चित करणे इत्यादीसाठी तर्क निर्धारित करण्यासाठी केला जातो.
की आणि त्यांच्या वितरण योजनांची श्रेणीक्रम
5व्या पिढीच्या नेटवर्कमध्ये, 4G-LTE नेटवर्कच्या विपरीत, प्रमाणीकरण प्रक्रियेमध्ये दोन घटक असतात: प्राथमिक आणि दुय्यम प्रमाणीकरण. नेटवर्कशी कनेक्ट होत असलेल्या सर्व वापरकर्ता उपकरणांसाठी प्राथमिक प्रमाणीकरण आवश्यक आहे. बाह्य नेटवर्कच्या विनंतीनुसार दुय्यम प्रमाणीकरण केले जाऊ शकते, जर ग्राहक त्यांच्याशी कनेक्ट झाला.
प्राथमिक प्रमाणीकरण यशस्वीरित्या पूर्ण केल्यानंतर आणि वापरकर्ता आणि नेटवर्क दरम्यान सामायिक की K विकसित केल्यानंतर, KSEAF ही सर्व्हिंग नेटवर्कची एक विशेष अँकर (रूट) की K मधून काढली जाते. त्यानंतर, RRC आणि NAS सिग्नलिंग ट्रॅफिक डेटाची गोपनीयता आणि अखंडता सुनिश्चित करण्यासाठी या की मधून की व्युत्पन्न केल्या जातात.
स्पष्टीकरणांसह आकृती
पदनाम:
CK सायफर की
IK (इंग्रजी: Integrity Key) - डेटा इंटिग्रिटी प्रोटेक्शन मेकॅनिझममध्ये वापरली जाणारी की.
सीके' (eng. सिफर की) - EAP-AKA यंत्रणेसाठी CK मधून तयार केलेली दुसरी क्रिप्टोग्राफिक की.
IK' (इंग्लिश इंटिग्रिटी की) - EAP-AKA साठी डेटा इंटिग्रिटी प्रोटेक्शन मेकॅनिझममध्ये वापरली जाणारी दुसरी की.
KAUSF - पासून एआरपीएफ फंक्शन आणि वापरकर्ता उपकरणे व्युत्पन्न CK и IK 5G AKA आणि EAP-AKA दरम्यान.
KSEAF - की पासून AUSF फंक्शनद्वारे प्राप्त केलेली अँकर की कॅम्फॉसफ.
KAMF — की मधून SEAF फंक्शनद्वारे प्राप्त केलेली की KSEAF.
KNASint, KNASenc — की मधून AMF फंक्शनद्वारे प्राप्त की KAMF NAS सिग्नलिंग रहदारीचे संरक्षण करण्यासाठी.
KRRCint, KRRCenc — की मधून AMF फंक्शनद्वारे प्राप्त की KAMF RRC सिग्नलिंग रहदारीचे संरक्षण करण्यासाठी.
KUPint, KUPenc — की मधून AMF फंक्शनद्वारे प्राप्त की KAMF AS सिग्नलिंग रहदारीचे संरक्षण करण्यासाठी.
NH — की मधून AMF फंक्शनद्वारे मिळवलेली इंटरमीडिएट की KAMF हस्तांतरित करताना डेटा सुरक्षितता सुनिश्चित करण्यासाठी.
KgNB — की मधून AMF फंक्शनने मिळवलेली की KAMF गतिशीलता यंत्रणेची सुरक्षा सुनिश्चित करण्यासाठी.
SUPI कडून SUCI निर्माण करण्याच्या योजना आणि त्याउलट
SUPI आणि SUCI मिळवण्यासाठी योजना
SUPI कडून SUCI आणि SUCI कडून SUPI चे उत्पादन:
प्रमाणीकरण
प्राथमिक प्रमाणीकरण
5G नेटवर्क्समध्ये, EAP-AKA आणि 5G AKA मानक प्राथमिक प्रमाणीकरण यंत्रणा आहेत. चला प्राथमिक प्रमाणीकरण यंत्रणा दोन टप्प्यात विभाजित करूया: पहिली प्रमाणीकरण सुरू करण्यासाठी आणि प्रमाणीकरण पद्धत निवडण्यासाठी जबाबदार आहे, दुसरी वापरकर्ता आणि नेटवर्कमधील परस्पर प्रमाणीकरणासाठी जबाबदार आहे.
दीक्षा
वापरकर्ता SEAF ला नोंदणी विनंती सबमिट करतो, ज्यामध्ये वापरकर्त्याचा छुपा सदस्यता आयडी SUCI असतो.
SEAF AUSF ला एक प्रमाणीकरण विनंती संदेश (Nausf_UEAauthentication_Authenticate Request) पाठवते ज्यामध्ये SNN (सर्व्हिंग नेटवर्क नेम) आणि SUPI किंवा SUCI असतात.
AUSF तपासते की SEAF प्रमाणीकरण विनंतीकर्त्याला दिलेला SNN वापरण्याची परवानगी आहे. सर्व्हिंग नेटवर्क हे SNN वापरण्यासाठी अधिकृत नसल्यास, AUSF "सर्व्हिंग नेटवर्क अधिकृत नाही" (Nausf_UEA प्रमाणीकरण_प्रमाणित प्रतिसाद) अधिकृतता त्रुटी संदेशासह प्रतिसाद देते.
AUSF द्वारे UDM, ARPF किंवा SIDF द्वारे SUPI किंवा SUCI आणि SNN द्वारे प्रमाणीकरण क्रेडेन्शियल्सची विनंती केली जाते.
SUPI किंवा SUCI आणि वापरकर्त्याच्या माहितीवर आधारित, UDM/ARPF पुढील वापरण्यासाठी प्रमाणीकरण पद्धत निवडते आणि वापरकर्त्याचे क्रेडेन्शियल जारी करते.
परस्पर प्रमाणीकरण
कोणतीही प्रमाणीकरण पद्धत वापरताना, UDM/ARPF नेटवर्क फंक्शन्सने प्रमाणीकरण व्हेक्टर (AV) निर्माण करणे आवश्यक आहे.
EAP-AKA: UDM/ARPF प्रथम विभक्त बिट AMF = 1 सह प्रमाणीकरण वेक्टर जनरेट करते, नंतर जनरेट करते सीके' и IK' पासून CK, IK आणि SNN आणि नवीन AV प्रमाणीकरण वेक्टर (RAND, AUTN, XRES*, सीके', IK'), जे फक्त EAP-AKA साठी वापरण्याच्या सूचनांसह AUSF ला पाठवले जाते.
5G उर्फ: UDM/ARPF ला कळ मिळते KAUSF पासून CK, IK आणि SNN, त्यानंतर ते 5G HE AV व्युत्पन्न करते. 5G होम एन्व्हायर्नमेंट ऑथेंटिकेशन वेक्टर). 5G HE AV प्रमाणीकरण वेक्टर (RAND, AUTN, XRES, KAUSF) फक्त 5G AKA साठी वापरण्याच्या सूचनांसह AUSF ला पाठवले जाते.
या AUSF नंतर अँकर की प्राप्त होते KSEAF की पासून KAUSF आणि "Nausf_UEA Authentication_Authenticate Response" या संदेशात SEAF "चॅलेंज" ला विनंती पाठवते, ज्यामध्ये RAND, AUTN आणि RES* देखील आहेत. पुढे, RAND आणि AUTN सुरक्षित NAS सिग्नलिंग संदेश वापरून वापरकर्त्याच्या उपकरणांमध्ये प्रसारित केले जातात. वापरकर्त्याचा USIM प्राप्त RAND आणि AUTN वरून RES* ची गणना करतो आणि SEAF ला पाठवतो. SEAF हे मूल्य AUSF ला पडताळणीसाठी रिले करते.
AUSF त्यात संग्रहित XRES* आणि वापरकर्त्याकडून प्राप्त RES* यांची तुलना करते. जुळत असल्यास, ऑपरेटरच्या होम नेटवर्कमधील AUSF आणि UDM ला यशस्वी प्रमाणीकरणाबद्दल सूचित केले जाते आणि वापरकर्ता आणि SEAF स्वतंत्रपणे एक की व्युत्पन्न करतात. KAMF पासून KSEAF आणि पुढील संवादासाठी SUPI.
दुय्यम प्रमाणीकरण
5G मानक वापरकर्ता उपकरणे आणि बाह्य डेटा नेटवर्क दरम्यान EAP-AKA वर आधारित पर्यायी दुय्यम प्रमाणीकरणास समर्थन देते. या प्रकरणात, SMF EAP ऑथेंटिकेटरची भूमिका बजावते आणि कामावर अवलंबून असते - एक बाह्य नेटवर्क सर्व्हर जो वापरकर्त्यास प्रमाणीकृत आणि अधिकृत करतो.
- होम नेटवर्कवर अनिवार्य प्रारंभिक वापरकर्ता प्रमाणीकरण होते आणि AMF सह एक सामान्य NAS सुरक्षा संदर्भ विकसित केला जातो.
- वापरकर्ता सत्र स्थापन करण्यासाठी एएमएफला विनंती पाठवतो.
- AMF वापरकर्त्याच्या SUPI दर्शविणारे SMF ला सत्र स्थापन करण्याची विनंती पाठवते.
- SMF प्रदान केलेल्या SUPI चा वापर करून UDM मध्ये वापरकर्त्याचे क्रेडेन्शियल प्रमाणित करते.
- SMF AMF च्या विनंतीला प्रतिसाद पाठवते.
- SMF बाह्य नेटवर्कवर AAA सर्व्हरवरून सत्र स्थापित करण्यासाठी परवानगी मिळविण्यासाठी EAP प्रमाणीकरण प्रक्रिया सुरू करते. हे करण्यासाठी, प्रक्रिया सुरू करण्यासाठी SMF आणि वापरकर्ता संदेशांची देवाणघेवाण करतात.
- वापरकर्ता आणि बाह्य नेटवर्क AAA सर्व्हर नंतर वापरकर्त्यास प्रमाणीकृत आणि अधिकृत करण्यासाठी संदेशांची देवाणघेवाण करतात. या प्रकरणात, वापरकर्ता SMF ला संदेश पाठवतो, जो UPF द्वारे बाह्य नेटवर्कसह संदेशांची देवाणघेवाण करतो.
निष्कर्ष
जरी 5G सुरक्षा आर्किटेक्चर विद्यमान तंत्रज्ञानाच्या पुनर्वापरावर आधारित आहे, तरीही ते पूर्णपणे नवीन आव्हाने उभी करते. मोठ्या संख्येने IoT उपकरणे, विस्तारित नेटवर्क सीमा आणि विकेंद्रीकृत आर्किटेक्चर घटक ही 5G मानकाची काही प्रमुख तत्त्वे आहेत जी सायबर गुन्हेगारांच्या कल्पनेला मुक्त लगाम देतात.
5G सुरक्षा आर्किटेक्चरसाठी मुख्य मानक आहे - सुरक्षा यंत्रणा आणि कार्यपद्धतींच्या ऑपरेशनचे मुख्य मुद्दे आहेत. विशेषतः, वापरकर्ता डेटा आणि नेटवर्क नोड्सचे संरक्षण सुनिश्चित करण्यासाठी, क्रिप्टो की व्युत्पन्न करण्यात आणि प्रमाणीकरण प्रक्रिया लागू करण्यात प्रत्येक VNF च्या भूमिकेचे वर्णन करते. परंतु हे मानक देखील दूरसंचार ऑपरेटर्सना भेडसावणार्या सुरक्षिततेच्या समस्यांना उत्तरे देत नाही जेवढे अधिक तीव्रतेने नवीन पिढीचे नेटवर्क विकसित केले जातात आणि कार्यान्वित केले जातात.
या संदर्भात, मी विश्वास ठेवू इच्छितो की 5 व्या पिढीच्या नेटवर्कचे संचालन आणि संरक्षण करण्यातील अडचणींचा कोणत्याही प्रकारे सामान्य वापरकर्त्यांवर परिणाम होणार नाही, ज्यांना ट्रान्समिशन गती आणि आईच्या मित्राच्या मुलाप्रमाणे प्रतिसाद देण्याचे वचन दिले आहे आणि ते सर्व प्रयत्न करण्यासाठी आधीच उत्सुक आहेत. नवीन पिढीच्या नेटवर्कची घोषित क्षमता.
उपयुक्त दुवे
स्त्रोत: www.habr.com