ProHoster > Blog > Pentadbiran > Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication
Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication
Jelas sekali, mengambil pembangunan standard komunikasi baharu tanpa memikirkan mekanisme keselamatan adalah usaha yang amat meragukan dan sia-sia.
Senibina Keselamatan 5G β satu set mekanisme dan prosedur keselamatan yang dilaksanakan dalam Rangkaian generasi ke-5 dan meliputi semua komponen rangkaian, daripada teras kepada antara muka radio.
Rangkaian generasi ke-5, pada dasarnya, adalah evolusi Rangkaian LTE generasi ke-4. Teknologi capaian radio telah mengalami perubahan yang paling ketara. Untuk rangkaian generasi ke-5, rangkaian baharu PERINGKAT (Teknologi Akses Radio) - Radio Baharu 5G. Bagi teras rangkaian, ia tidak mengalami perubahan yang begitu ketara. Dalam hal ini, seni bina keselamatan rangkaian 5G telah dibangunkan dengan penekanan pada penggunaan semula teknologi berkaitan yang diterima pakai dalam standard 4G LTE.
Walau bagaimanapun, perlu diingat bahawa memikirkan semula ancaman yang diketahui seperti serangan pada antara muka udara dan lapisan isyarat (isyarat pesawat), serangan DDOS, serangan Man-In-The-Middle, dsb., mendorong pengendali telekom untuk membangunkan piawaian baharu dan menyepadukan mekanisme keselamatan baharu sepenuhnya ke dalam rangkaian generasi ke-5.
Prasyarat
Pada 2015, Kesatuan Telekomunikasi Antarabangsa telah merangka pelan global pertama seumpamanya untuk pembangunan rangkaian generasi kelima, itulah sebabnya isu membangunkan mekanisme dan prosedur keselamatan dalam rangkaian 5G menjadi semakin meruncing.
Teknologi baharu ini menawarkan kelajuan pemindahan data yang benar-benar mengagumkan (lebih daripada 1 Gbps), kependaman kurang daripada 1 ms dan keupayaan untuk menyambung secara serentak kira-kira 1 juta peranti dalam radius 1 km2. Keperluan tertinggi sedemikian untuk rangkaian generasi ke-5 juga ditunjukkan dalam prinsip organisasi mereka.
Yang utama ialah desentralisasi, yang membayangkan penempatan banyak pangkalan data tempatan dan pusat pemprosesannya di pinggir rangkaian. Ini memungkinkan untuk meminimumkan kelewatan apabila M2M-komunikasi dan melegakan teras rangkaian kerana servis sejumlah besar peranti IoT. Oleh itu, kelebihan rangkaian generasi akan datang berkembang sehingga ke stesen pangkalan, membolehkan penciptaan pusat komunikasi tempatan dan penyediaan perkhidmatan awan tanpa risiko kelewatan kritikal atau penafian perkhidmatan. Sememangnya, pendekatan yang diubah kepada rangkaian dan perkhidmatan pelanggan menarik minat penyerang, kerana ia membuka peluang baharu untuk mereka menyerang kedua-dua maklumat sulit pengguna dan komponen rangkaian itu sendiri untuk menyebabkan penafian perkhidmatan atau merampas sumber pengkomputeran pengendali.
Kelemahan utama rangkaian generasi ke-5
Permukaan serangan yang besar
lebihApabila membina rangkaian telekomunikasi generasi ke-3 dan ke-4, pengendali telekomunikasi biasanya terhad kepada bekerja dengan satu atau beberapa vendor yang segera membekalkan satu set perkakasan dan perisian. Iaitu, semuanya boleh berfungsi, seperti yang mereka katakan, "di luar kotak" - sudah cukup untuk memasang dan mengkonfigurasi peralatan yang dibeli daripada vendor; tidak perlu menggantikan atau menambah perisian proprietari. Aliran moden bertentangan dengan pendekatan "klasik" ini dan bertujuan untuk virtualisasi rangkaian, pendekatan berbilang vendor untuk pembinaan dan kepelbagaian perisian mereka. Teknologi seperti SDN (Rangkaian Ditakrifkan Perisian Inggeris) dan NFV (English Network Functions Virtualization), yang membawa kepada kemasukan sejumlah besar perisian yang dibina berdasarkan kod sumber terbuka dalam proses dan fungsi mengurus rangkaian komunikasi. Ini memberi peluang kepada penyerang untuk mengkaji dengan lebih baik rangkaian pengendali dan mengenal pasti lebih banyak kelemahan, yang seterusnya, meningkatkan permukaan serangan rangkaian generasi baharu berbanding dengan yang sedia ada.
Sebilangan besar peranti IoT
lebihMenjelang 2021, kira-kira 57% daripada peranti yang disambungkan ke rangkaian 5G akan menjadi peranti IoT. Ini bermakna kebanyakan hos akan mempunyai keupayaan kriptografi yang terhad (lihat titik 2) dan, dengan itu, akan terdedah kepada serangan. Sebilangan besar peranti sedemikian akan meningkatkan risiko percambahan botnet dan memungkinkan untuk melakukan serangan DDoS yang lebih berkuasa dan diedarkan.
Keupayaan kriptografi terhad peranti IoT
lebihSeperti yang telah disebutkan, rangkaian generasi ke-5 secara aktif menggunakan peranti persisian, yang memungkinkan untuk mengeluarkan sebahagian beban dari teras rangkaian dan dengan itu mengurangkan kependaman. Ini adalah perlu untuk perkhidmatan penting seperti kawalan kenderaan tanpa pemandu, sistem amaran kecemasan IMS dan yang lain, yang memastikan kelewatan yang minimum adalah kritikal, kerana nyawa manusia bergantung kepadanya. Disebabkan sambungan sejumlah besar peranti IoT, yang, disebabkan saiznya yang kecil dan penggunaan kuasa yang rendah, mempunyai sumber pengkomputeran yang sangat terhad, rangkaian 5G menjadi terdedah kepada serangan yang bertujuan untuk memintas kawalan dan manipulasi seterusnya bagi peranti tersebut. Sebagai contoh, mungkin terdapat senario di mana peranti IoT yang merupakan sebahagian daripada sistem dijangkiti "Rumah pintar", jenis perisian hasad seperti Ransomware dan ransomware. Senario memintas kawalan kenderaan tanpa pemandu yang menerima arahan dan maklumat navigasi melalui awan juga mungkin. Secara formal, kelemahan ini adalah disebabkan oleh desentralisasi rangkaian generasi baharu, tetapi perenggan seterusnya akan menggariskan masalah desentralisasi dengan lebih jelas.
Desentralisasi dan pengembangan sempadan rangkaian
lebihPeranti persisian, memainkan peranan teras rangkaian tempatan, menjalankan penghalaan trafik pengguna, memproses permintaan, serta caching tempatan dan penyimpanan data pengguna. Oleh itu, sempadan rangkaian generasi ke-5 berkembang, sebagai tambahan kepada teras, ke pinggir, termasuk pangkalan data tempatan dan antara muka radio 5G-NR (5G New Radio). Ini mewujudkan peluang untuk menyerang sumber pengkomputeran peranti tempatan, yang dilindungi secara priori lebih lemah daripada nod pusat teras rangkaian, dengan matlamat menyebabkan penafian perkhidmatan. Ini boleh menyebabkan terputusnya akses Internet untuk seluruh kawasan, fungsi peranti IoT yang tidak betul (contohnya, dalam sistem rumah pintar), serta ketiadaan perkhidmatan amaran kecemasan IMS.
Walau bagaimanapun, ETSI dan 3GPP kini telah menerbitkan lebih daripada 10 piawaian yang merangkumi pelbagai aspek keselamatan rangkaian 5G. Sebilangan besar mekanisme yang diterangkan di sana bertujuan untuk melindungi daripada kelemahan (termasuk yang diterangkan di atas). Salah satu yang utama ialah standard TS 23.501 versi 15.6.0, menerangkan seni bina keselamatan rangkaian generasi ke-5.
seni bina 5G
Mula-mula, mari kita beralih kepada prinsip utama seni bina rangkaian 5G, yang akan mendedahkan sepenuhnya maksud dan bidang tanggungjawab setiap modul perisian dan setiap fungsi keselamatan 5G.
Pembahagian nod rangkaian kepada elemen yang memastikan operasi protokol pesawat tersuai (dari bahasa Inggeris UP - User Plane) dan elemen yang memastikan operasi protokol pesawat kawalan (daripada CP Bahasa Inggeris - Control Plane), yang meningkatkan fleksibiliti dari segi penskalaan dan penggunaan rangkaian, iaitu penempatan terpusat atau terdesentralisasi bagi nod rangkaian komponen individu adalah mungkin.
Sokongan mekanisme penghirisan rangkaian, berdasarkan perkhidmatan yang diberikan kepada kumpulan pengguna akhir tertentu.
Sokongan untuk akses serentak kepada perkhidmatan berpusat dan tempatan, iaitu pelaksanaan konsep awan (dari bahasa Inggeris. pengkomputeran kabus) dan sempadan (dari bahasa Inggeris. pengkalan sampingan) pengiraan.
Π Π΅Π°Π»ΠΈΠ·Π°ΡΠΈΡ konvergen seni bina yang menggabungkan pelbagai jenis rangkaian capaian - Radio Baharu 3GPP 5G dan bukan 3GPP (Wi-Fi, dsb.) - dengan teras rangkaian tunggal.
Sokongan algoritma seragam dan prosedur pengesahan, tanpa mengira jenis rangkaian capaian.
Sokongan untuk fungsi rangkaian tanpa kewarganegaraan, di mana sumber yang dikira diasingkan daripada stor sumber.
Sokongan untuk perayauan dengan penghalaan trafik kedua-dua melalui rangkaian rumah (dari perayauan laluan rumah Inggeris) dan dengan "pendaratan" tempatan (daripada pecahan tempatan Inggeris) dalam rangkaian tetamu.
Keizinan akses berdasarkan data profil (contohnya, sekatan perayauan).
Pengurusan pendaftaran pengguna, iaitu storan perkhidmatan AMF.
Sokongan untuk sesi perkhidmatan dan komunikasi yang lancar, iaitu menyimpan SMF yang diberikan kepada sesi komunikasi semasa.
Pengurusan penghantaran SMS.
Beberapa UDM berbeza boleh memberi perkhidmatan kepada pengguna yang sama merentas transaksi yang berbeza.
UDR (Repositori Data Bersatu Bahasa Inggeris - penyimpanan data bersatu) - menyediakan storan pelbagai data pengguna dan sebenarnya, pangkalan data semua pelanggan rangkaian.
UDSF (Fungsi Penyimpanan Data Tidak Berstruktur Bahasa Inggeris - fungsi storan data tidak berstruktur) - memastikan modul AMF menyimpan konteks semasa pengguna berdaftar. Secara umum, maklumat ini boleh dipersembahkan sebagai data struktur tidak tentu. Konteks pengguna boleh digunakan untuk memastikan sesi pelanggan yang lancar dan tidak terganggu, baik semasa pengeluaran salah satu AMF yang dirancang daripada perkhidmatan dan sekiranya berlaku kecemasan. Dalam kedua-dua kes, AMF sandaran akan "mengambil" perkhidmatan menggunakan konteks yang disimpan dalam USDF.
Menggabungkan UDR dan UDSF pada platform fizikal yang sama adalah pelaksanaan biasa fungsi rangkaian ini.
PCF (Bahasa Inggeris: Fungsi Kawalan Dasar - fungsi kawalan dasar) - mencipta dan menyerahkan dasar perkhidmatan tertentu kepada pengguna, termasuk parameter QoS dan peraturan pengecasan. Contohnya, untuk menghantar satu atau satu lagi jenis trafik, saluran maya dengan ciri yang berbeza boleh dibuat secara dinamik. Pada masa yang sama, keperluan perkhidmatan yang diminta oleh pelanggan, tahap kesesakan rangkaian, jumlah trafik yang digunakan, dan lain-lain boleh diambil kira.
NEF (Fungsi Pendedahan Rangkaian Bahasa Inggeris - fungsi pendedahan rangkaian) - menyediakan:
Organisasi interaksi selamat platform dan aplikasi luaran dengan teras rangkaian.
Urus parameter QoS dan peraturan pengecasan untuk pengguna tertentu.
LAUT (Fungsi Sauh Keselamatan Bahasa Inggeris - fungsi keselamatan sauh) - bersama-sama dengan AUSF, menyediakan pengesahan pengguna apabila mereka mendaftar pada rangkaian dengan sebarang teknologi akses.
AUSF (Fungsi Pelayan Pengesahan Bahasa Inggeris - fungsi pelayan pengesahan) - memainkan peranan sebagai pelayan pengesahan yang menerima dan memproses permintaan daripada SEAF dan mengubah halanya ke ARPF.
ARPF (Bahasa Inggeris: Repositori Kredensial Pengesahan dan Fungsi Pemprosesan - fungsi menyimpan dan memproses bukti kelayakan pengesahan) - menyediakan penyimpanan kunci rahsia peribadi (KI) dan parameter algoritma kriptografi, serta penjanaan vektor pengesahan mengikut 5G-AKA atau EAP-AKA. Ia terletak di pusat data pengendali telekomunikasi rumah, dilindungi daripada pengaruh fizikal luaran, dan, sebagai peraturan, disepadukan dengan UDM.
SCMF (Fungsi Pengurusan Konteks Keselamatan Bahasa Inggeris - fungsi pengurusan konteks keselamatan) - Menyediakan pengurusan kitaran hayat untuk konteks keselamatan 5G.
SPCF (Fungsi Kawalan Dasar Keselamatan Bahasa Inggeris - fungsi pengurusan dasar keselamatan) - memastikan penyelarasan dan penggunaan dasar keselamatan berhubung dengan pengguna tertentu. Ini mengambil kira keupayaan rangkaian, keupayaan peralatan pengguna dan keperluan perkhidmatan khusus (contohnya, tahap perlindungan yang disediakan oleh perkhidmatan komunikasi kritikal dan perkhidmatan akses Internet jalur lebar wayarles mungkin berbeza). Penggunaan dasar keselamatan termasuk: pemilihan AUSF, pemilihan algoritma pengesahan, pemilihan penyulitan data dan algoritma kawalan integriti, penentuan panjang dan kitaran hayat kunci.
SIDF (Fungsi Penyahsembunyian Pengecam Langganan Bahasa Inggeris - fungsi pengekstrakan pengecam pengguna) - memastikan pengecaman pengecam langganan tetap pelanggan (SUPI Inggeris) daripada pengecam tersembunyi (Bahasa Inggeris SUCI), diterima sebagai sebahagian daripada permintaan prosedur pengesahan "Permintaan Maklumat Pengesahan".
Keperluan keselamatan asas untuk rangkaian komunikasi 5G
lebihPengesahan pengguna: Rangkaian 5G yang berkhidmat mesti mengesahkan SUPI pengguna dalam proses 5G AKA antara pengguna dan rangkaian.
Melayan Pengesahan Rangkaian: Pengguna mesti mengesahkan ID rangkaian perkhidmatan 5G, dengan pengesahan dicapai melalui kejayaan penggunaan kunci yang diperoleh melalui prosedur 5G AKA.
Keizinan pengguna: Rangkaian penyajian mesti membenarkan pengguna menggunakan profil pengguna yang diterima daripada rangkaian pengendali telekom rumah.
Keizinan rangkaian penyajian oleh rangkaian pengendali rumah: Pengguna mesti diberikan pengesahan bahawa dia disambungkan ke rangkaian perkhidmatan yang diberi kuasa oleh rangkaian pengendali rumah untuk menyediakan perkhidmatan. Keizinan adalah tersirat dalam erti kata bahawa ia dipastikan dengan kejayaan menyelesaikan prosedur AKA 5G.
Keizinan rangkaian capaian oleh rangkaian pengendali rumah: Pengguna mesti diberikan pengesahan bahawa dia disambungkan ke rangkaian capaian yang dibenarkan oleh rangkaian pengendali rumah untuk menyediakan perkhidmatan. Keizinan adalah tersirat dalam erti kata bahawa ia dikuatkuasakan dengan berjaya mewujudkan keselamatan rangkaian capaian. Jenis kebenaran ini mesti digunakan untuk sebarang jenis rangkaian capaian.
Perkhidmatan kecemasan yang tidak disahkan: Untuk memenuhi keperluan kawal selia di sesetengah wilayah, rangkaian 5G mesti menyediakan akses yang tidak disahkan untuk perkhidmatan kecemasan.
Teras rangkaian dan rangkaian capaian radio: Teras rangkaian 5G dan rangkaian capaian radio 5G mesti menyokong penggunaan penyulitan 128-bit dan algoritma integriti untuk memastikan keselamatan AS ΠΈ NAS. Antara muka rangkaian mesti menyokong kunci penyulitan 256-bit.
Keperluan keselamatan asas untuk peralatan pengguna
lebih
Peralatan pengguna mesti menyokong penyulitan, perlindungan integriti dan perlindungan terhadap serangan ulang tayang untuk data pengguna yang dihantar antaranya dan rangkaian capaian radio.
Peralatan pengguna mesti mengaktifkan penyulitan dan mekanisme perlindungan integriti data seperti yang diarahkan oleh rangkaian capaian radio.
Peralatan pengguna mesti menyokong penyulitan, perlindungan integriti dan perlindungan terhadap serangan ulang tayang untuk trafik isyarat RRC dan NAS.
Peralatan pengguna mesti menyokong algoritma kriptografi berikut: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Peralatan pengguna boleh menyokong algoritma kriptografi berikut: 128-NEA3, 128-NIA3.
Peralatan pengguna mesti menyokong algoritma kriptografi berikut: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 jika ia menyokong sambungan ke rangkaian akses radio E-UTRA.
Perlindungan kerahsiaan data pengguna yang dihantar antara peralatan pengguna dan rangkaian capaian radio adalah pilihan, tetapi mesti disediakan apabila dibenarkan oleh peraturan.
Perlindungan privasi untuk trafik isyarat RRC dan NAS adalah pilihan.
Kunci kekal pengguna mesti dilindungi dan disimpan dalam komponen peralatan pengguna yang selamat.
Pengecam langganan tetap pelanggan tidak boleh dihantar dalam teks yang jelas melalui rangkaian capaian radio kecuali maklumat yang diperlukan untuk penghalaan yang betul (contohnya MCC ΠΈ MNC).
Kunci awam rangkaian pengendali rumah, pengecam kunci, pengecam skim keselamatan dan pengecam penghalaan mesti disimpan dalam USIM.
Setiap algoritma penyulitan dikaitkan dengan nombor binari:
"0000": NEA0 - Algoritma ciphering nol
"0001": 128-NEA1 - 128-bit SNOW Algoritma berasaskan 3G
"0010" 128-NEA2 - 128-bit AES algoritma berasaskan
Keperluan keselamatan asas untuk fungsi rangkaian 5G
lebih
AMF mesti menyokong pengesahan utama menggunakan SUCI.
SEAF mesti menyokong pengesahan utama menggunakan SUCI.
UDM dan ARPF mesti menyimpan kunci kekal pengguna dan memastikan ia dilindungi daripada kecurian.
AUSF hanya akan menyediakan SUPI kepada rangkaian penyajian tempatan apabila pengesahan awal berjaya menggunakan SUCI.
NEF tidak boleh memajukan maklumat rangkaian teras tersembunyi di luar domain keselamatan pengendali.
Prosedur Keselamatan Asas
Domain Amanah
Dalam rangkaian generasi ke-5, kepercayaan terhadap elemen rangkaian berkurangan apabila elemen bergerak menjauhi teras rangkaian. Konsep ini mempengaruhi keputusan yang dilaksanakan dalam seni bina keselamatan 5G. Oleh itu, kita boleh bercakap tentang model amanah rangkaian 5G yang menentukan tingkah laku mekanisme keselamatan rangkaian.
Di sisi pengguna, domain amanah dibentuk oleh UICC dan USIM.
Di bahagian rangkaian, domain amanah mempunyai struktur yang lebih kompleks.
Rangkaian capaian radio terbahagi kepada dua komponen β DU (dari Unit Teragih Bahasa Inggeris - unit rangkaian teragih) dan CU (dari Unit Pusat Bahasa Inggeris - unit pusat rangkaian). Bersama-sama mereka membentuk gNB β antara muka radio stesen pangkalan rangkaian 5G. DU tidak mempunyai akses langsung kepada data pengguna kerana ia boleh digunakan pada segmen infrastruktur yang tidak dilindungi. CU mesti digunakan dalam segmen rangkaian yang dilindungi, kerana mereka bertanggungjawab untuk menamatkan trafik daripada mekanisme keselamatan AS. Pada teras rangkaian terletak AMF, yang menamatkan trafik daripada mekanisme keselamatan NAS. Spesifikasi 3GPP 5G Fasa 1 semasa menerangkan gabungan itu AMF dengan fungsi keselamatan LAUT, yang mengandungi kekunci akar (juga dikenali sebagai "kunci utama") bagi rangkaian (menyaji) yang dilawati. AUSF bertanggungjawab untuk menyimpan kunci yang diperolehi selepas pengesahan berjaya. Ia perlu untuk digunakan semula dalam kes di mana pengguna disambungkan secara serentak ke beberapa rangkaian capaian radio. ARPF menyimpan bukti kelayakan pengguna dan merupakan analog USIM untuk pelanggan. UDR ΠΈ UDM menyimpan maklumat pengguna, yang digunakan untuk menentukan logik untuk menjana bukti kelayakan, ID pengguna, memastikan kesinambungan sesi, dsb.
Hierarki kunci dan skema pengedarannya
Dalam rangkaian generasi ke-5, tidak seperti rangkaian 4G-LTE, prosedur pengesahan mempunyai dua komponen: pengesahan primer dan sekunder. Pengesahan utama diperlukan untuk semua peranti pengguna yang menyambung ke rangkaian. Pengesahan sekunder boleh dilakukan atas permintaan daripada rangkaian luaran, jika pelanggan menyambung kepada mereka.
Selepas berjaya menyelesaikan pengesahan utama dan pembangunan kunci K yang dikongsi antara pengguna dan rangkaian, KSEAF diekstrak daripada kunci K - kunci utama (root) khas rangkaian penyajian. Selepas itu, kunci dijana daripada kunci ini untuk memastikan kerahsiaan dan integriti data trafik isyarat RRC dan NAS.
Gambar rajah dengan penerangan Notasi: CK Kunci Sifir IK (Bahasa Inggeris: Kunci Integriti) - kunci yang digunakan dalam mekanisme perlindungan integriti data. CK' (ms. Kunci Sifir) - satu lagi kunci kriptografi yang dicipta daripada CK untuk mekanisme EAP-AKA. IK' (Kunci Integriti Bahasa Inggeris) - satu lagi kunci yang digunakan dalam mekanisme perlindungan integriti data untuk EAP-AKA. KAUSF - dijana oleh fungsi ARPF dan peralatan pengguna daripada CK ΠΈ IK semasa 5G AKA dan EAP-AKA. KSEAF - kunci sauh yang diperolehi oleh fungsi AUSF daripada kekunci KAMFAUSF. KAMF β kunci yang diperolehi oleh fungsi SEAF daripada kekunci KSEAF. KNASint, KNASenc β kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat NAS. KRRCint, KRRCenc β kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat RRC. KUPint, KUPenc β kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat AS. NH β kunci perantaraan yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk memastikan keselamatan data semasa penyerahan. KgNB β kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk memastikan keselamatan mekanisme mobiliti.
Skim penjanaan SUCI daripada SUPI dan sebaliknya
Skim untuk mendapatkan SUPI dan SUCI
Pengeluaran SUCI dari SUPI dan SUPI dari SUCI:
Pengesahan
Pengesahan utama
Dalam rangkaian 5G, EAP-AKA dan 5G AKA ialah mekanisme pengesahan utama standard. Mari bahagikan mekanisme pengesahan utama kepada dua fasa: yang pertama bertanggungjawab untuk memulakan pengesahan dan memilih kaedah pengesahan, yang kedua bertanggungjawab untuk pengesahan bersama antara pengguna dan rangkaian.
Permulaan
Pengguna menyerahkan permintaan pendaftaran kepada SEAF, yang mengandungi ID langganan tersembunyi pengguna SUCI.
SEAF menghantar kepada AUSF mesej permintaan pengesahan (Nausf_UEAuthentication_Authenticate Request) yang mengandungi SNN (Serving Network Name) dan SUPI atau SUCI.
AUSF menyemak sama ada peminta pengesahan SEAF dibenarkan menggunakan SNN yang diberikan. Jika rangkaian penyajian tidak dibenarkan untuk menggunakan SNN ini, maka AUSF bertindak balas dengan mesej ralat keizinan "Rangkaian perkhidmatan tidak dibenarkan" (Nausf_UEAuthentication_Authenticate Response).
Bukti kelayakan pengesahan diminta oleh AUSF kepada UDM, ARPF atau SIDF melalui SUPI atau SUCI dan SNN.
Berdasarkan SUPI atau SUCI dan maklumat pengguna, UDM/ARPF memilih kaedah pengesahan untuk digunakan seterusnya dan mengeluarkan bukti kelayakan pengguna.
Pengesahan Bersama
Apabila menggunakan sebarang kaedah pengesahan, fungsi rangkaian UDM/ARPF mesti menjana vektor pengesahan (AV).
EAP-AKA: UDM/ARPF mula-mula menjana vektor pengesahan dengan memisahkan bit AMF = 1, kemudian menjana CK' ΠΈ IK' daripada CK, IK dan SNN dan membentuk vektor pengesahan AV baharu (RAND, AUTN, XRES*, CK', IK'), yang dihantar ke AUSF dengan arahan untuk menggunakannya hanya untuk EAP-AKA.
5G AKA: UDM/ARPF mendapat kuncinya KAUSF daripada CK, IK dan SNN, selepas itu ia menjana 5G HE AV. Vektor Pengesahan Persekitaran Rumah 5G). Vektor pengesahan 5G HE AV (RAND, AUTN, XRES, KAUSF) dihantar ke AUSF dengan arahan untuk menggunakannya untuk 5G sahaja AKA.
Selepas AUSF ini kunci utama diperolehi KSEAF daripada kunci KAUSF dan menghantar permintaan kepada SEAF "Cabaran" dalam mesej "Nausf_UEAuthentication_Authenticate Response", yang juga mengandungi RAND, AUTN dan RES*. Seterusnya, RAND dan AUTN dihantar ke peralatan pengguna menggunakan mesej isyarat NAS yang selamat. USIM pengguna mengira RES* daripada RAND dan AUTN yang diterima dan menghantarnya ke SEAF. SEAF menyampaikan nilai ini kepada AUSF untuk pengesahan.
AUSF membandingkan XRES* yang disimpan di dalamnya dan RES* yang diterima daripada pengguna. Jika terdapat padanan, AUSF dan UDM dalam rangkaian rumah pengendali dimaklumkan tentang pengesahan yang berjaya, dan pengguna dan SEAF secara bebas menjana kunci KAMF daripada KSEAF dan SUPI untuk komunikasi selanjutnya.
Pengesahan sekunder
Standard 5G menyokong pengesahan sekunder pilihan berdasarkan EAP-AKA antara peralatan pengguna dan rangkaian data luaran. Dalam kes ini, SMF memainkan peranan sebagai pengesah EAP dan bergantung pada kerja AAA-pelayan rangkaian luaran yang mengesahkan dan membenarkan pengguna.
Pengesahan pengguna awal mandatori pada rangkaian rumah berlaku dan konteks keselamatan NAS biasa dibangunkan dengan AMF.
Pengguna menghantar permintaan kepada AMF untuk menubuhkan sesi.
AMF menghantar permintaan untuk mewujudkan sesi kepada SMF yang menunjukkan SUPI pengguna.
SMF mengesahkan kelayakan pengguna dalam UDM menggunakan SUPI yang disediakan.
SMF menghantar jawapan kepada permintaan daripada AMF.
SMF memulakan prosedur pengesahan EAP untuk mendapatkan kebenaran untuk mewujudkan sesi daripada pelayan AAA pada rangkaian luaran. Untuk melakukan ini, SMF dan pengguna bertukar-tukar mesej untuk memulakan prosedur.
Pengguna dan pelayan AAA rangkaian luaran kemudian bertukar-tukar mesej untuk mengesahkan dan membenarkan pengguna. Dalam kes ini, pengguna menghantar mesej kepada SMF, yang seterusnya bertukar-tukar mesej dengan rangkaian luaran melalui UPF.
Kesimpulan
Walaupun seni bina keselamatan 5G adalah berdasarkan penggunaan semula teknologi sedia ada, ia menimbulkan cabaran baharu sepenuhnya. Sebilangan besar peranti IoT, sempadan rangkaian yang diperluas dan elemen seni bina terdesentralisasi hanyalah sebahagian daripada prinsip utama standard 5G yang memberi kebebasan kepada imaginasi penjenayah siber.
Standard teras untuk seni bina keselamatan 5G ialah TS 23.501 versi 15.6.0 β mengandungi perkara utama operasi mekanisme dan prosedur keselamatan. Secara khususnya, ia menerangkan peranan setiap VNF dalam memastikan perlindungan data pengguna dan nod rangkaian, dalam menjana kunci kripto dan dalam melaksanakan prosedur pengesahan. Tetapi piawaian ini tidak memberikan jawapan kepada isu keselamatan yang mendesak yang dihadapi oleh pengendali telekomunikasi dengan lebih kerap apabila rangkaian generasi baharu yang lebih intensif dibangunkan dan beroperasi.
Dalam hal ini, saya ingin percaya bahawa kesukaran mengendalikan dan melindungi rangkaian generasi ke-5 sama sekali tidak akan menjejaskan pengguna biasa, yang dijanjikan kelajuan penghantaran dan tindak balas seperti anak kepada rakan ibu dan sudah tidak sabar-sabar untuk mencuba semua keupayaan rangkaian generasi baharu yang diisytiharkan.