ProHoster > Blog > Pentadbiran > Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Jelas sekali, mengambil pembangunan standard komunikasi baharu tanpa memikirkan mekanisme keselamatan adalah usaha yang amat meragukan dan sia-sia.

Senibina Keselamatan 5G β€” satu set mekanisme dan prosedur keselamatan yang dilaksanakan dalam Rangkaian generasi ke-5 dan meliputi semua komponen rangkaian, daripada teras kepada antara muka radio.

Rangkaian generasi ke-5, pada dasarnya, adalah evolusi Rangkaian LTE generasi ke-4. Teknologi capaian radio telah mengalami perubahan yang paling ketara. Untuk rangkaian generasi ke-5, rangkaian baharu PERINGKAT (Teknologi Akses Radio) - Radio Baharu 5G. Bagi teras rangkaian, ia tidak mengalami perubahan yang begitu ketara. Dalam hal ini, seni bina keselamatan rangkaian 5G telah dibangunkan dengan penekanan pada penggunaan semula teknologi berkaitan yang diterima pakai dalam standard 4G LTE.

Walau bagaimanapun, perlu diingat bahawa memikirkan semula ancaman yang diketahui seperti serangan pada antara muka udara dan lapisan isyarat (isyarat pesawat), serangan DDOS, serangan Man-In-The-Middle, dsb., mendorong pengendali telekom untuk membangunkan piawaian baharu dan menyepadukan mekanisme keselamatan baharu sepenuhnya ke dalam rangkaian generasi ke-5.

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Prasyarat

Pada 2015, Kesatuan Telekomunikasi Antarabangsa telah merangka pelan global pertama seumpamanya untuk pembangunan rangkaian generasi kelima, itulah sebabnya isu membangunkan mekanisme dan prosedur keselamatan dalam rangkaian 5G menjadi semakin meruncing.

Teknologi baharu ini menawarkan kelajuan pemindahan data yang benar-benar mengagumkan (lebih daripada 1 Gbps), kependaman kurang daripada 1 ms dan keupayaan untuk menyambung secara serentak kira-kira 1 juta peranti dalam radius 1 km2. Keperluan tertinggi sedemikian untuk rangkaian generasi ke-5 juga ditunjukkan dalam prinsip organisasi mereka.

Yang utama ialah desentralisasi, yang membayangkan penempatan banyak pangkalan data tempatan dan pusat pemprosesannya di pinggir rangkaian. Ini memungkinkan untuk meminimumkan kelewatan apabila M2M-komunikasi dan melegakan teras rangkaian kerana servis sejumlah besar peranti IoT. Oleh itu, kelebihan rangkaian generasi akan datang berkembang sehingga ke stesen pangkalan, membolehkan penciptaan pusat komunikasi tempatan dan penyediaan perkhidmatan awan tanpa risiko kelewatan kritikal atau penafian perkhidmatan. Sememangnya, pendekatan yang diubah kepada rangkaian dan perkhidmatan pelanggan menarik minat penyerang, kerana ia membuka peluang baharu untuk mereka menyerang kedua-dua maklumat sulit pengguna dan komponen rangkaian itu sendiri untuk menyebabkan penafian perkhidmatan atau merampas sumber pengkomputeran pengendali.

Kelemahan utama rangkaian generasi ke-5

Permukaan serangan yang besar

lebihApabila membina rangkaian telekomunikasi generasi ke-3 dan ke-4, pengendali telekomunikasi biasanya terhad kepada bekerja dengan satu atau beberapa vendor yang segera membekalkan satu set perkakasan dan perisian. Iaitu, semuanya boleh berfungsi, seperti yang mereka katakan, "di luar kotak" - sudah cukup untuk memasang dan mengkonfigurasi peralatan yang dibeli daripada vendor; tidak perlu menggantikan atau menambah perisian proprietari. Aliran moden bertentangan dengan pendekatan "klasik" ini dan bertujuan untuk virtualisasi rangkaian, pendekatan berbilang vendor untuk pembinaan dan kepelbagaian perisian mereka. Teknologi seperti SDN (Rangkaian Ditakrifkan Perisian Inggeris) dan NFV (English Network Functions Virtualization), yang membawa kepada kemasukan sejumlah besar perisian yang dibina berdasarkan kod sumber terbuka dalam proses dan fungsi mengurus rangkaian komunikasi. Ini memberi peluang kepada penyerang untuk mengkaji dengan lebih baik rangkaian pengendali dan mengenal pasti lebih banyak kelemahan, yang seterusnya, meningkatkan permukaan serangan rangkaian generasi baharu berbanding dengan yang sedia ada.

Sebilangan besar peranti IoT

lebihMenjelang 2021, kira-kira 57% daripada peranti yang disambungkan ke rangkaian 5G akan menjadi peranti IoT. Ini bermakna kebanyakan hos akan mempunyai keupayaan kriptografi yang terhad (lihat titik 2) dan, dengan itu, akan terdedah kepada serangan. Sebilangan besar peranti sedemikian akan meningkatkan risiko percambahan botnet dan memungkinkan untuk melakukan serangan DDoS yang lebih berkuasa dan diedarkan.

Keupayaan kriptografi terhad peranti IoT

lebihSeperti yang telah disebutkan, rangkaian generasi ke-5 secara aktif menggunakan peranti persisian, yang memungkinkan untuk mengeluarkan sebahagian beban dari teras rangkaian dan dengan itu mengurangkan kependaman. Ini adalah perlu untuk perkhidmatan penting seperti kawalan kenderaan tanpa pemandu, sistem amaran kecemasan IMS dan yang lain, yang memastikan kelewatan yang minimum adalah kritikal, kerana nyawa manusia bergantung kepadanya. Disebabkan sambungan sejumlah besar peranti IoT, yang, disebabkan saiznya yang kecil dan penggunaan kuasa yang rendah, mempunyai sumber pengkomputeran yang sangat terhad, rangkaian 5G menjadi terdedah kepada serangan yang bertujuan untuk memintas kawalan dan manipulasi seterusnya bagi peranti tersebut. Sebagai contoh, mungkin terdapat senario di mana peranti IoT yang merupakan sebahagian daripada sistem dijangkiti "Rumah pintar", jenis perisian hasad seperti Ransomware dan ransomware. Senario memintas kawalan kenderaan tanpa pemandu yang menerima arahan dan maklumat navigasi melalui awan juga mungkin. Secara formal, kelemahan ini adalah disebabkan oleh desentralisasi rangkaian generasi baharu, tetapi perenggan seterusnya akan menggariskan masalah desentralisasi dengan lebih jelas.

Desentralisasi dan pengembangan sempadan rangkaian

lebihPeranti persisian, memainkan peranan teras rangkaian tempatan, menjalankan penghalaan trafik pengguna, memproses permintaan, serta caching tempatan dan penyimpanan data pengguna. Oleh itu, sempadan rangkaian generasi ke-5 berkembang, sebagai tambahan kepada teras, ke pinggir, termasuk pangkalan data tempatan dan antara muka radio 5G-NR (5G New Radio). Ini mewujudkan peluang untuk menyerang sumber pengkomputeran peranti tempatan, yang dilindungi secara priori lebih lemah daripada nod pusat teras rangkaian, dengan matlamat menyebabkan penafian perkhidmatan. Ini boleh menyebabkan terputusnya akses Internet untuk seluruh kawasan, fungsi peranti IoT yang tidak betul (contohnya, dalam sistem rumah pintar), serta ketiadaan perkhidmatan amaran kecemasan IMS.

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Walau bagaimanapun, ETSI dan 3GPP kini telah menerbitkan lebih daripada 10 piawaian yang merangkumi pelbagai aspek keselamatan rangkaian 5G. Sebilangan besar mekanisme yang diterangkan di sana bertujuan untuk melindungi daripada kelemahan (termasuk yang diterangkan di atas). Salah satu yang utama ialah standard TS 23.501 versi 15.6.0, menerangkan seni bina keselamatan rangkaian generasi ke-5.

seni bina 5G

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication
Mula-mula, mari kita beralih kepada prinsip utama seni bina rangkaian 5G, yang akan mendedahkan sepenuhnya maksud dan bidang tanggungjawab setiap modul perisian dan setiap fungsi keselamatan 5G.

  • Pembahagian nod rangkaian kepada elemen yang memastikan operasi protokol pesawat tersuai (dari bahasa Inggeris UP - User Plane) dan elemen yang memastikan operasi protokol pesawat kawalan (daripada CP Bahasa Inggeris - Control Plane), yang meningkatkan fleksibiliti dari segi penskalaan dan penggunaan rangkaian, iaitu penempatan terpusat atau terdesentralisasi bagi nod rangkaian komponen individu adalah mungkin.
  • Sokongan mekanisme penghirisan rangkaian, berdasarkan perkhidmatan yang diberikan kepada kumpulan pengguna akhir tertentu.
  • Pelaksanaan elemen rangkaian dalam bentuk fungsi rangkaian maya.
  • Sokongan untuk akses serentak kepada perkhidmatan berpusat dan tempatan, iaitu pelaksanaan konsep awan (dari bahasa Inggeris. pengkomputeran kabus) dan sempadan (dari bahasa Inggeris. pengkalan sampingan) pengiraan.
  • РСализация konvergen seni bina yang menggabungkan pelbagai jenis rangkaian capaian - Radio Baharu 3GPP 5G dan bukan 3GPP (Wi-Fi, dsb.) - dengan teras rangkaian tunggal.
  • Sokongan algoritma seragam dan prosedur pengesahan, tanpa mengira jenis rangkaian capaian.
  • Sokongan untuk fungsi rangkaian tanpa kewarganegaraan, di mana sumber yang dikira diasingkan daripada stor sumber.
  • Sokongan untuk perayauan dengan penghalaan trafik kedua-dua melalui rangkaian rumah (dari perayauan laluan rumah Inggeris) dan dengan "pendaratan" tempatan (daripada pecahan tempatan Inggeris) dalam rangkaian tetamu.
  • Interaksi antara fungsi rangkaian diwakili dalam dua cara: berorientasikan perkhidmatan ΠΈ antara muka.

Konsep keselamatan rangkaian generasi ke-5 termasuk:

  • Pengesahan pengguna daripada rangkaian.
  • Pengesahan rangkaian oleh pengguna.
  • Rundingan kunci kriptografi antara rangkaian dan peralatan pengguna.
  • Penyulitan dan kawalan integriti trafik isyarat.
  • Penyulitan dan kawalan integriti trafik pengguna.
  • Perlindungan ID pengguna.
  • Melindungi antara muka antara elemen rangkaian yang berbeza mengikut konsep domain keselamatan rangkaian.
  • Pengasingan lapisan mekanisme yang berbeza penghirisan rangkaian dan menentukan tahap keselamatan setiap lapisan sendiri.
  • Pengesahan pengguna dan perlindungan trafik pada tahap perkhidmatan akhir (IMS, IoT dan lain-lain).

Modul perisian utama dan ciri keselamatan rangkaian 5G

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication AMF (daripada Fungsi Pengurusan Akses & Mobiliti Bahasa Inggeris - fungsi pengurusan akses dan mobiliti) - menyediakan:

  • Organisasi antara muka satah kawalan.
  • Organisasi pertukaran lalu lintas isyarat RRC, penyulitan dan perlindungan integriti datanya.
  • Organisasi pertukaran lalu lintas isyarat NAS, penyulitan dan perlindungan integriti datanya.
  • Menguruskan pendaftaran peralatan pengguna pada rangkaian dan memantau kemungkinan keadaan pendaftaran.
  • Menguruskan sambungan peralatan pengguna ke rangkaian dan memantau keadaan yang mungkin.
  • Kawal ketersediaan peralatan pengguna pada rangkaian dalam keadaan CM-IDLE.
  • Pengurusan mobiliti peralatan pengguna dalam rangkaian dalam keadaan CM-CONNECTED.
  • Penghantaran mesej ringkas antara peralatan pengguna dan SMF.
  • Pengurusan perkhidmatan lokasi.
  • Peruntukan ID benang EPS untuk berinteraksi dengan EPS.

SMF (Bahasa Inggeris: Fungsi Pengurusan Sesi - fungsi pengurusan sesi) - menyediakan:

  • Pengurusan sesi komunikasi, iaitu mencipta, mengubah suai dan melepaskan sesi, termasuk mengekalkan terowong antara rangkaian akses dan UPF.
  • Pengedaran dan pengurusan alamat IP peralatan pengguna.
  • Memilih gerbang UPF untuk digunakan.
  • Organisasi interaksi dengan PCF.
  • Pengurusan penguatkuasaan dasar QoS.
  • Konfigurasi dinamik peralatan pengguna menggunakan protokol DHCPv4 dan DHCPv6.
  • Memantau pengumpulan data tarif dan mengatur interaksi dengan sistem pengebilan.
  • Penyediaan perkhidmatan yang lancar (daripada bahasa Inggeris. SSC - Sesi dan Kesinambungan Perkhidmatan).
  • Interaksi dengan rangkaian tetamu dalam perayauan.

UPF (Fungsi Pesawat Pengguna Bahasa Inggeris - fungsi pesawat pengguna) - menyediakan:

  • Interaksi dengan rangkaian data luaran, termasuk Internet global.
  • Menghalakan paket pengguna.
  • Penandaan paket mengikut dasar QoS.
  • Diagnostik pakej pengguna (contohnya, pengesanan aplikasi berasaskan tandatangan).
  • Menyediakan laporan mengenai penggunaan trafik.
  • UPF juga merupakan titik utama untuk menyokong mobiliti dalam dan antara teknologi capaian radio yang berbeza.

UDM (Pengurusan Data Bersepadu Bahasa Inggeris - pangkalan data bersatu) - menyediakan:

  • Mengurus data profil pengguna, termasuk menyimpan dan mengubah suai senarai perkhidmatan yang tersedia kepada pengguna dan parameter yang sepadan.
  • Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ SUPI
  • Hasilkan bukti kelayakan pengesahan 3GPP Aka.
  • Keizinan akses berdasarkan data profil (contohnya, sekatan perayauan).
  • Pengurusan pendaftaran pengguna, iaitu storan perkhidmatan AMF.
  • Sokongan untuk sesi perkhidmatan dan komunikasi yang lancar, iaitu menyimpan SMF yang diberikan kepada sesi komunikasi semasa.
  • Pengurusan penghantaran SMS.
  • Beberapa UDM berbeza boleh memberi perkhidmatan kepada pengguna yang sama merentas transaksi yang berbeza.

UDR (Repositori Data Bersatu Bahasa Inggeris - penyimpanan data bersatu) - menyediakan storan pelbagai data pengguna dan sebenarnya, pangkalan data semua pelanggan rangkaian.

UDSF (Fungsi Penyimpanan Data Tidak Berstruktur Bahasa Inggeris - fungsi storan data tidak berstruktur) - memastikan modul AMF menyimpan konteks semasa pengguna berdaftar. Secara umum, maklumat ini boleh dipersembahkan sebagai data struktur tidak tentu. Konteks pengguna boleh digunakan untuk memastikan sesi pelanggan yang lancar dan tidak terganggu, baik semasa pengeluaran salah satu AMF yang dirancang daripada perkhidmatan dan sekiranya berlaku kecemasan. Dalam kedua-dua kes, AMF sandaran akan "mengambil" perkhidmatan menggunakan konteks yang disimpan dalam USDF.

Menggabungkan UDR dan UDSF pada platform fizikal yang sama adalah pelaksanaan biasa fungsi rangkaian ini.

PCF (Bahasa Inggeris: Fungsi Kawalan Dasar - fungsi kawalan dasar) - mencipta dan menyerahkan dasar perkhidmatan tertentu kepada pengguna, termasuk parameter QoS dan peraturan pengecasan. Contohnya, untuk menghantar satu atau satu lagi jenis trafik, saluran maya dengan ciri yang berbeza boleh dibuat secara dinamik. Pada masa yang sama, keperluan perkhidmatan yang diminta oleh pelanggan, tahap kesesakan rangkaian, jumlah trafik yang digunakan, dan lain-lain boleh diambil kira.

NEF (Fungsi Pendedahan Rangkaian Bahasa Inggeris - fungsi pendedahan rangkaian) - menyediakan:

  • Organisasi interaksi selamat platform dan aplikasi luaran dengan teras rangkaian.
  • Urus parameter QoS dan peraturan pengecasan untuk pengguna tertentu.

LAUT (Fungsi Sauh Keselamatan Bahasa Inggeris - fungsi keselamatan sauh) - bersama-sama dengan AUSF, menyediakan pengesahan pengguna apabila mereka mendaftar pada rangkaian dengan sebarang teknologi akses.

AUSF (Fungsi Pelayan Pengesahan Bahasa Inggeris - fungsi pelayan pengesahan) - memainkan peranan sebagai pelayan pengesahan yang menerima dan memproses permintaan daripada SEAF dan mengubah halanya ke ARPF.

ARPF (Bahasa Inggeris: Repositori Kredensial Pengesahan dan Fungsi Pemprosesan - fungsi menyimpan dan memproses bukti kelayakan pengesahan) - menyediakan penyimpanan kunci rahsia peribadi (KI) dan parameter algoritma kriptografi, serta penjanaan vektor pengesahan mengikut 5G-AKA atau EAP-AKA. Ia terletak di pusat data pengendali telekomunikasi rumah, dilindungi daripada pengaruh fizikal luaran, dan, sebagai peraturan, disepadukan dengan UDM.

SCMF (Fungsi Pengurusan Konteks Keselamatan Bahasa Inggeris - fungsi pengurusan konteks keselamatan) - Menyediakan pengurusan kitaran hayat untuk konteks keselamatan 5G.

SPCF (Fungsi Kawalan Dasar Keselamatan Bahasa Inggeris - fungsi pengurusan dasar keselamatan) - memastikan penyelarasan dan penggunaan dasar keselamatan berhubung dengan pengguna tertentu. Ini mengambil kira keupayaan rangkaian, keupayaan peralatan pengguna dan keperluan perkhidmatan khusus (contohnya, tahap perlindungan yang disediakan oleh perkhidmatan komunikasi kritikal dan perkhidmatan akses Internet jalur lebar wayarles mungkin berbeza). Penggunaan dasar keselamatan termasuk: pemilihan AUSF, pemilihan algoritma pengesahan, pemilihan penyulitan data dan algoritma kawalan integriti, penentuan panjang dan kitaran hayat kunci.

SIDF (Fungsi Penyahsembunyian Pengecam Langganan Bahasa Inggeris - fungsi pengekstrakan pengecam pengguna) - memastikan pengecaman pengecam langganan tetap pelanggan (SUPI Inggeris) daripada pengecam tersembunyi (Bahasa Inggeris SUCI), diterima sebagai sebahagian daripada permintaan prosedur pengesahan "Permintaan Maklumat Pengesahan".

Keperluan keselamatan asas untuk rangkaian komunikasi 5G

lebihPengesahan pengguna: Rangkaian 5G yang berkhidmat mesti mengesahkan SUPI pengguna dalam proses 5G AKA antara pengguna dan rangkaian.

Melayan Pengesahan Rangkaian: Pengguna mesti mengesahkan ID rangkaian perkhidmatan 5G, dengan pengesahan dicapai melalui kejayaan penggunaan kunci yang diperoleh melalui prosedur 5G AKA.

Keizinan pengguna: Rangkaian penyajian mesti membenarkan pengguna menggunakan profil pengguna yang diterima daripada rangkaian pengendali telekom rumah.

Keizinan rangkaian penyajian oleh rangkaian pengendali rumah: Pengguna mesti diberikan pengesahan bahawa dia disambungkan ke rangkaian perkhidmatan yang diberi kuasa oleh rangkaian pengendali rumah untuk menyediakan perkhidmatan. Keizinan adalah tersirat dalam erti kata bahawa ia dipastikan dengan kejayaan menyelesaikan prosedur AKA 5G.

Keizinan rangkaian capaian oleh rangkaian pengendali rumah: Pengguna mesti diberikan pengesahan bahawa dia disambungkan ke rangkaian capaian yang dibenarkan oleh rangkaian pengendali rumah untuk menyediakan perkhidmatan. Keizinan adalah tersirat dalam erti kata bahawa ia dikuatkuasakan dengan berjaya mewujudkan keselamatan rangkaian capaian. Jenis kebenaran ini mesti digunakan untuk sebarang jenis rangkaian capaian.

Perkhidmatan kecemasan yang tidak disahkan: Untuk memenuhi keperluan kawal selia di sesetengah wilayah, rangkaian 5G mesti menyediakan akses yang tidak disahkan untuk perkhidmatan kecemasan.

Teras rangkaian dan rangkaian capaian radio: Teras rangkaian 5G dan rangkaian capaian radio 5G mesti menyokong penggunaan penyulitan 128-bit dan algoritma integriti untuk memastikan keselamatan AS ΠΈ NAS. Antara muka rangkaian mesti menyokong kunci penyulitan 256-bit.

Keperluan keselamatan asas untuk peralatan pengguna

lebih

  • Peralatan pengguna mesti menyokong penyulitan, perlindungan integriti dan perlindungan terhadap serangan ulang tayang untuk data pengguna yang dihantar antaranya dan rangkaian capaian radio.
  • Peralatan pengguna mesti mengaktifkan penyulitan dan mekanisme perlindungan integriti data seperti yang diarahkan oleh rangkaian capaian radio.
  • Peralatan pengguna mesti menyokong penyulitan, perlindungan integriti dan perlindungan terhadap serangan ulang tayang untuk trafik isyarat RRC dan NAS.
  • Peralatan pengguna mesti menyokong algoritma kriptografi berikut: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Peralatan pengguna boleh menyokong algoritma kriptografi berikut: 128-NEA3, 128-NIA3.
  • Peralatan pengguna mesti menyokong algoritma kriptografi berikut: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 jika ia menyokong sambungan ke rangkaian akses radio E-UTRA.
  • Perlindungan kerahsiaan data pengguna yang dihantar antara peralatan pengguna dan rangkaian capaian radio adalah pilihan, tetapi mesti disediakan apabila dibenarkan oleh peraturan.
  • Perlindungan privasi untuk trafik isyarat RRC dan NAS adalah pilihan.
  • Kunci kekal pengguna mesti dilindungi dan disimpan dalam komponen peralatan pengguna yang selamat.
  • Pengecam langganan tetap pelanggan tidak boleh dihantar dalam teks yang jelas melalui rangkaian capaian radio kecuali maklumat yang diperlukan untuk penghalaan yang betul (contohnya MCC ΠΈ MNC).
  • Kunci awam rangkaian pengendali rumah, pengecam kunci, pengecam skim keselamatan dan pengecam penghalaan mesti disimpan dalam USIM.

Setiap algoritma penyulitan dikaitkan dengan nombor binari:

  • "0000": NEA0 - Algoritma ciphering nol
  • "0001": 128-NEA1 - 128-bit SNOW Algoritma berasaskan 3G
  • "0010" 128-NEA2 - 128-bit AES algoritma berasaskan
  • "0011" 128-NEA3 - 128-bit ZUC algoritma berasaskan.

Penyulitan data menggunakan 128-NEA1 dan 128-NEA2Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

PS Litar dipinjam daripada TS 133.501

Penjanaan sisipan simulasi oleh algoritma 128-NIA1 dan 128-NIA2 untuk memastikan integritiPengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

PS Litar dipinjam daripada TS 133.501

Keperluan keselamatan asas untuk fungsi rangkaian 5G

lebih

  • AMF mesti menyokong pengesahan utama menggunakan SUCI.
  • SEAF mesti menyokong pengesahan utama menggunakan SUCI.
  • UDM dan ARPF mesti menyimpan kunci kekal pengguna dan memastikan ia dilindungi daripada kecurian.
  • AUSF hanya akan menyediakan SUPI kepada rangkaian penyajian tempatan apabila pengesahan awal berjaya menggunakan SUCI.
  • NEF tidak boleh memajukan maklumat rangkaian teras tersembunyi di luar domain keselamatan pengendali.

Prosedur Keselamatan Asas

Domain Amanah

Dalam rangkaian generasi ke-5, kepercayaan terhadap elemen rangkaian berkurangan apabila elemen bergerak menjauhi teras rangkaian. Konsep ini mempengaruhi keputusan yang dilaksanakan dalam seni bina keselamatan 5G. Oleh itu, kita boleh bercakap tentang model amanah rangkaian 5G yang menentukan tingkah laku mekanisme keselamatan rangkaian.

Di sisi pengguna, domain amanah dibentuk oleh UICC dan USIM.

Di bahagian rangkaian, domain amanah mempunyai struktur yang lebih kompleks.

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication Rangkaian capaian radio terbahagi kepada dua komponen βˆ’ DU (dari Unit Teragih Bahasa Inggeris - unit rangkaian teragih) dan CU (dari Unit Pusat Bahasa Inggeris - unit pusat rangkaian). Bersama-sama mereka membentuk gNB β€” antara muka radio stesen pangkalan rangkaian 5G. DU tidak mempunyai akses langsung kepada data pengguna kerana ia boleh digunakan pada segmen infrastruktur yang tidak dilindungi. CU mesti digunakan dalam segmen rangkaian yang dilindungi, kerana mereka bertanggungjawab untuk menamatkan trafik daripada mekanisme keselamatan AS. Pada teras rangkaian terletak AMF, yang menamatkan trafik daripada mekanisme keselamatan NAS. Spesifikasi 3GPP 5G Fasa 1 semasa menerangkan gabungan itu AMF dengan fungsi keselamatan LAUT, yang mengandungi kekunci akar (juga dikenali sebagai "kunci utama") bagi rangkaian (menyaji) yang dilawati. AUSF bertanggungjawab untuk menyimpan kunci yang diperolehi selepas pengesahan berjaya. Ia perlu untuk digunakan semula dalam kes di mana pengguna disambungkan secara serentak ke beberapa rangkaian capaian radio. ARPF menyimpan bukti kelayakan pengguna dan merupakan analog USIM untuk pelanggan. UDR ΠΈ UDM menyimpan maklumat pengguna, yang digunakan untuk menentukan logik untuk menjana bukti kelayakan, ID pengguna, memastikan kesinambungan sesi, dsb.

Hierarki kunci dan skema pengedarannya

Dalam rangkaian generasi ke-5, tidak seperti rangkaian 4G-LTE, prosedur pengesahan mempunyai dua komponen: pengesahan primer dan sekunder. Pengesahan utama diperlukan untuk semua peranti pengguna yang menyambung ke rangkaian. Pengesahan sekunder boleh dilakukan atas permintaan daripada rangkaian luaran, jika pelanggan menyambung kepada mereka.

Selepas berjaya menyelesaikan pengesahan utama dan pembangunan kunci K yang dikongsi antara pengguna dan rangkaian, KSEAF diekstrak daripada kunci K - kunci utama (root) khas rangkaian penyajian. Selepas itu, kunci dijana daripada kunci ini untuk memastikan kerahsiaan dan integriti data trafik isyarat RRC dan NAS.

Gambar rajah dengan peneranganPengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication
Notasi:
CK Kunci Sifir
IK (Bahasa Inggeris: Kunci Integriti) - kunci yang digunakan dalam mekanisme perlindungan integriti data.
CK' (ms. Kunci Sifir) - satu lagi kunci kriptografi yang dicipta daripada CK untuk mekanisme EAP-AKA.
IK' (Kunci Integriti Bahasa Inggeris) - satu lagi kunci yang digunakan dalam mekanisme perlindungan integriti data untuk EAP-AKA.
KAUSF - dijana oleh fungsi ARPF dan peralatan pengguna daripada CK ΠΈ IK semasa 5G AKA dan EAP-AKA.
KSEAF - kunci sauh yang diperolehi oleh fungsi AUSF daripada kekunci KAMFAUSF.
KAMF β€” kunci yang diperolehi oleh fungsi SEAF daripada kekunci KSEAF.
KNASint, KNASenc β€” kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat NAS.
KRRCint, KRRCenc β€” kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat RRC.
KUPint, KUPenc β€” kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk melindungi trafik isyarat AS.
NH β€” kunci perantaraan yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk memastikan keselamatan data semasa penyerahan.
KgNB β€” kunci yang diperolehi oleh fungsi AMF daripada kekunci KAMF untuk memastikan keselamatan mekanisme mobiliti.

Skim penjanaan SUCI daripada SUPI dan sebaliknya

Skim untuk mendapatkan SUPI dan SUCI

Pengeluaran SUCI dari SUPI dan SUPI dari SUCI:
Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Pengesahan

Pengesahan utama

Dalam rangkaian 5G, EAP-AKA dan 5G AKA ialah mekanisme pengesahan utama standard. Mari bahagikan mekanisme pengesahan utama kepada dua fasa: yang pertama bertanggungjawab untuk memulakan pengesahan dan memilih kaedah pengesahan, yang kedua bertanggungjawab untuk pengesahan bersama antara pengguna dan rangkaian.

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

Permulaan

Pengguna menyerahkan permintaan pendaftaran kepada SEAF, yang mengandungi ID langganan tersembunyi pengguna SUCI.

SEAF menghantar kepada AUSF mesej permintaan pengesahan (Nausf_UEAuthentication_Authenticate Request) yang mengandungi SNN (Serving Network Name) dan SUPI atau SUCI.

AUSF menyemak sama ada peminta pengesahan SEAF dibenarkan menggunakan SNN yang diberikan. Jika rangkaian penyajian tidak dibenarkan untuk menggunakan SNN ini, maka AUSF bertindak balas dengan mesej ralat keizinan "Rangkaian perkhidmatan tidak dibenarkan" (Nausf_UEAuthentication_Authenticate Response).

Bukti kelayakan pengesahan diminta oleh AUSF kepada UDM, ARPF atau SIDF melalui SUPI atau SUCI dan SNN.

Berdasarkan SUPI atau SUCI dan maklumat pengguna, UDM/ARPF memilih kaedah pengesahan untuk digunakan seterusnya dan mengeluarkan bukti kelayakan pengguna.

Pengesahan Bersama

Apabila menggunakan sebarang kaedah pengesahan, fungsi rangkaian UDM/ARPF mesti menjana vektor pengesahan (AV).

EAP-AKA: UDM/ARPF mula-mula menjana vektor pengesahan dengan memisahkan bit AMF = 1, kemudian menjana CK' ΠΈ IK' daripada CK, IK dan SNN dan membentuk vektor pengesahan AV baharu (RAND, AUTN, XRES*, CK', IK'), yang dihantar ke AUSF dengan arahan untuk menggunakannya hanya untuk EAP-AKA.

5G AKA: UDM/ARPF mendapat kuncinya KAUSF daripada CK, IK dan SNN, selepas itu ia menjana 5G HE AV. Vektor Pengesahan Persekitaran Rumah 5G). Vektor pengesahan 5G HE AV (RAND, AUTN, XRES, KAUSF) dihantar ke AUSF dengan arahan untuk menggunakannya untuk 5G sahaja AKA.

Selepas AUSF ini kunci utama diperolehi KSEAF daripada kunci KAUSF dan menghantar permintaan kepada SEAF "Cabaran" dalam mesej "Nausf_UEAuthentication_Authenticate Response", yang juga mengandungi RAND, AUTN dan RES*. Seterusnya, RAND dan AUTN dihantar ke peralatan pengguna menggunakan mesej isyarat NAS yang selamat. USIM pengguna mengira RES* daripada RAND dan AUTN yang diterima dan menghantarnya ke SEAF. SEAF menyampaikan nilai ini kepada AUSF untuk pengesahan.

AUSF membandingkan XRES* yang disimpan di dalamnya dan RES* yang diterima daripada pengguna. Jika terdapat padanan, AUSF dan UDM dalam rangkaian rumah pengendali dimaklumkan tentang pengesahan yang berjaya, dan pengguna dan SEAF secara bebas menjana kunci KAMF daripada KSEAF dan SUPI untuk komunikasi selanjutnya.

Pengesahan sekunder

Standard 5G menyokong pengesahan sekunder pilihan berdasarkan EAP-AKA antara peralatan pengguna dan rangkaian data luaran. Dalam kes ini, SMF memainkan peranan sebagai pengesah EAP dan bergantung pada kerja AAA-pelayan rangkaian luaran yang mengesahkan dan membenarkan pengguna.

Pengenalan kepada Seni Bina Keselamatan 5G: NFV, Keys and 2 Authentication

  • Pengesahan pengguna awal mandatori pada rangkaian rumah berlaku dan konteks keselamatan NAS biasa dibangunkan dengan AMF.
  • Pengguna menghantar permintaan kepada AMF untuk menubuhkan sesi.
  • AMF menghantar permintaan untuk mewujudkan sesi kepada SMF yang menunjukkan SUPI pengguna.
  • SMF mengesahkan kelayakan pengguna dalam UDM menggunakan SUPI yang disediakan.
  • SMF menghantar jawapan kepada permintaan daripada AMF.
  • SMF memulakan prosedur pengesahan EAP untuk mendapatkan kebenaran untuk mewujudkan sesi daripada pelayan AAA pada rangkaian luaran. Untuk melakukan ini, SMF dan pengguna bertukar-tukar mesej untuk memulakan prosedur.
  • Pengguna dan pelayan AAA rangkaian luaran kemudian bertukar-tukar mesej untuk mengesahkan dan membenarkan pengguna. Dalam kes ini, pengguna menghantar mesej kepada SMF, yang seterusnya bertukar-tukar mesej dengan rangkaian luaran melalui UPF.

Kesimpulan

Walaupun seni bina keselamatan 5G adalah berdasarkan penggunaan semula teknologi sedia ada, ia menimbulkan cabaran baharu sepenuhnya. Sebilangan besar peranti IoT, sempadan rangkaian yang diperluas dan elemen seni bina terdesentralisasi hanyalah sebahagian daripada prinsip utama standard 5G yang memberi kebebasan kepada imaginasi penjenayah siber.

Standard teras untuk seni bina keselamatan 5G ialah TS 23.501 versi 15.6.0 β€” mengandungi perkara utama operasi mekanisme dan prosedur keselamatan. Secara khususnya, ia menerangkan peranan setiap VNF dalam memastikan perlindungan data pengguna dan nod rangkaian, dalam menjana kunci kripto dan dalam melaksanakan prosedur pengesahan. Tetapi piawaian ini tidak memberikan jawapan kepada isu keselamatan yang mendesak yang dihadapi oleh pengendali telekomunikasi dengan lebih kerap apabila rangkaian generasi baharu yang lebih intensif dibangunkan dan beroperasi.

Dalam hal ini, saya ingin percaya bahawa kesukaran mengendalikan dan melindungi rangkaian generasi ke-5 sama sekali tidak akan menjejaskan pengguna biasa, yang dijanjikan kelajuan penghantaran dan tindak balas seperti anak kepada rakan ibu dan sudah tidak sabar-sabar untuk mencuba semua keupayaan rangkaian generasi baharu yang diisytiharkan.

Pautan berguna

Siri Spesifikasi 3GPP
Seni bina keselamatan 5G
seni bina sistem 5G
Wiki 5G
nota seni bina 5G
Gambaran keseluruhan keselamatan 5G

Sumber: www.habr.com

Tambah komen