Å ta på seg utviklingen av en ny kommunikasjonsstandard uten å tenke på sikkerhetsmekanismer er åpenbart en ekstremt tvilsom og fåfengt bestrebelse.

5G sikkerhetsarkitektur – et sett med sikkerhetsmekanismer og prosedyrer implementert i 5. generasjons nettverk og dekker alle nettverkskomponenter, fra kjernen til radiogrensesnittene.

5. generasjons nettverk er i hovedsak en evolusjon 4. generasjons LTE-nettverk. Самым значительным изменениям подверглись технологии радиодоступа. Для сетей 5-ого поколения была разработана новая ROTTE (Radio Access Technology) - 5G ny radio. Når det gjelder kjernen i nettverket, har det ikke gjennomgått så betydelige endringer. I denne forbindelse er sikkerhetsarkitekturen til 5G-nettverk utviklet med vekt på gjenbruk av relevante teknologier tatt i bruk i 4G LTE-standarden.

Det er imidlertid verdt å merke seg at å revurdere kjente trusler som angrep på luftgrensesnitt og signallaget (signale fly), DDOS-angrep, Man-In-The-Middle-angrep osv., fikk teleoperatører til å utvikle nye standarder og integrere helt nye sikkerhetsmekanismer i 5. generasjons nettverk.

Предпосылки

I 2015 utarbeidet International Telecommunication Union den første av sitt slag globale plan for utvikling av femte generasjons nettverk, og det er grunnen til at spørsmålet om utvikling av sikkerhetsmekanismer og prosedyrer i 5G-nettverk har blitt spesielt akutt.

Den nye teknologien tilbød virkelig imponerende dataoverføringshastigheter (mer enn 1 Gbps), ventetid på mindre enn 1 ms og muligheten til å koble til rundt 1 million enheter samtidig innenfor en radius på 1 km2. De høyeste kravene til 5. generasjons nettverk gjenspeiles også i prinsippene for deres organisasjon.

Den viktigste var desentralisering, som innebar plassering av mange lokale databaser og deres behandlingssentre i periferien av nettverket. Dette gjorde det mulig å minimere forsinkelser når M2M-kommunikasjon og avlaste nettverkskjernen på grunn av service på et stort antall IoT-enheter. Dermed utvidet kanten av neste generasjons nettverk seg helt til basestasjoner, noe som muliggjorde opprettelsen av lokale kommunikasjonssentre og levering av skytjenester uten risiko for kritiske forsinkelser eller tjenestenekt. Naturligvis var den endrede tilnærmingen til nettverk og kundeservice av interesse for angripere, fordi den åpnet nye muligheter for dem til å angripe både konfidensiell brukerinformasjon og nettverkskomponentene selv for å forårsake tjenestenekt eller beslaglegge operatørens dataressurser.

Hovedsårbarheter i 5. generasjons nettverk

Stor angrepsflate

MerVed bygging av telekommunikasjonsnettverk av 3. og 4. generasjon, var teleoperatører vanligvis begrenset til å jobbe med en eller flere leverandører som umiddelbart leverte et sett med maskinvare og programvare. Det vil si at alt kunne fungere, som de sier, "ut av esken" - det var nok å bare installere og konfigurere utstyret kjøpt fra leverandøren; det var ikke nødvendig å erstatte eller supplere proprietær programvare. Moderne trender strider mot denne "klassiske" tilnærmingen og er rettet mot virtualisering av nettverk, en multi-leverandør tilnærming til deres konstruksjon og programvaremangfold. Teknologier som f.eks SDN (engelsk programvaredefinert nettverk) og NFV (English Network Functions Virtualization), som fører til inkludering av en enorm mengde programvare bygget på grunnlag av åpne kildekoder i prosessene og funksjonene for å administrere kommunikasjonsnettverk. Dette gir angripere muligheten til bedre å studere operatørens nettverk og identifisere et større antall sårbarheter, som igjen øker angrepsoverflaten til nye generasjons nettverk sammenlignet med dagens.

Stort antall IoT-enheter

MerInnen 2021 vil omtrent 57 % av enhetene koblet til 5G-nettverk være IoT-enheter. Dette betyr at de fleste verter vil ha begrensede kryptografiske muligheter (se punkt 2) og vil følgelig være sårbare for angrep. Et stort antall slike enheter vil øke risikoen for spredning av botnett og gjøre det mulig å utføre enda kraftigere og mer distribuerte DDoS-angrep.

Begrensede kryptografiske muligheter til IoT-enheter

MerSom allerede nevnt bruker 5. generasjons nettverk aktivt perifere enheter, som gjør det mulig å fjerne deler av belastningen fra nettverkskjernen og dermed redusere latens. Dette er nødvendig for så viktige tjenester som kontroll av ubemannede kjøretøy, nødvarslingssystem IMS og andre, for hvem det er avgjørende å sikre minimal forsinkelse, fordi menneskeliv avhenger av det. På grunn av tilkoblingen av et stort antall IoT-enheter, som på grunn av sin lille størrelse og lave strømforbruk har svært begrensede dataressurser, blir 5G-nettverk sårbare for angrep rettet mot å avskjære kontroll og påfølgende manipulasjon av slike enheter. For eksempel kan det være scenarier der IoT-enheter som er en del av systemet er infisert "smart House", typer skadelig programvare som f.eks Ransomware og løsepengevare. Scenarier for å avskjære kontroll av ubemannede kjøretøy som mottar kommandoer og navigasjonsinformasjon gjennom skyen er også mulig. Formelt sett skyldes denne sårbarheten desentralisering av nye generasjonsnettverk, men neste avsnitt vil skissere problemet med desentralisering tydeligere.

Desentralisering og utvidelse av nettverksgrenser

MerPerifere enheter, som spiller rollen som lokale nettverkskjerner, utfører ruting av brukertrafikk, behandler forespørsler, samt lokal bufring og lagring av brukerdata. Dermed utvides grensene for 5. generasjons nettverk, i tillegg til kjernen, til periferien, inkludert lokale databaser og 5G-NR (5G New Radio) radiogrensesnitt. Dette skaper muligheten til å angripe dataressursene til lokale enheter, som a priori er svakere beskyttet enn de sentrale nodene i nettverkskjernen, med mål om å forårsake tjenestenekt. Dette kan føre til frakobling av Internett-tilgang for hele områder, feil funksjon av IoT-enheter (for eksempel i et smarthussystem), samt utilgjengelighet av IMS-nødvarslingstjenesten.

Imidlertid har ETSI og 3GPP nå publisert mer enn 10 standarder som dekker ulike aspekter av 5G-nettverkssikkerhet. De aller fleste mekanismene som er beskrevet der er rettet mot å beskytte mot sårbarheter (inkludert de som er beskrevet ovenfor). En av de viktigste er standarden TS 23.501 версии 15.6.0, описывающий архитектуру безопасности сетей 5-ого поколения.

5G-arkitektur

La oss først se på nøkkelprinsippene for 5G-nettverksarkitektur, som ytterligere vil avsløre betydningen og ansvarsområdene til hver programvaremodul og hver 5G-sikkerhetsfunksjon.

Разделение сетевых узлов на элементы, обеспечивающие работу протоколов tilpasset fly (fra engelsk UP - User Plane) og elementer som sikrer drift av protokoller kontrollfly (fra engelsk CP - Control Plane), som øker fleksibiliteten når det gjelder skalering og distribusjon av nettverket, dvs. sentralisert eller desentralisert plassering av individuelle komponentnettverksnoder er mulig.
Mekanismestøtte nettverkskutting, basert på tjenestene som tilbys til bestemte grupper av sluttbrukere.
Implementering av nettverkselementer i skjema virtuelle nettverksfunksjoner.
Støtte for samtidig tilgang til sentraliserte og lokale tjenester, dvs. implementering av skykonsepter (fra engelsk. tåkeberegning) og border (fra engelsk. kanten beregning) beregninger.
implementering konvergent arkitektur som kombinerer ulike typer aksessnettverk - 3GPP 5G Ny radio og ikke-3GPP (Wi-Fi, etc.) - med en enkelt nettverkskjerne.
Støtte for enhetlige algoritmer og autentiseringsprosedyrer, uavhengig av type aksessnettverk.
Støtte for statsløse nettverksfunksjoner, der den beregnede ressursen er atskilt fra ressurslageret.
Støtte for roaming med trafikkruting både gjennom hjemmenettverket (fra engelsk hjemmerutet roaming) og med en lokal "landing" (fra engelsk lokal breakout) i gjestenettverket.
Samspillet mellom nettverksfunksjoner er representert på to måter: serviceorientert и grensesnitt.

5. generasjons nettverkssikkerhetskonsept inkluderer:

Brukerautentisering fra nettverket.
Nettverksautentisering av brukeren.
Forhandling av kryptonøkler mellom nettverk og brukerutstyr.
Kryptering og integritetskontroll av signaltrafikk.
Kryptering og kontroll av integriteten til brukertrafikk.
Защиту идентификатора пользователя.
Beskytte grensesnitt mellom ulike nettverkselementer i samsvar med konseptet med et nettverkssikkerhetsdomene.
Изоляцию различных слоев механизма nettverkskutting og definere hvert lags egne sikkerhetsnivåer.
Brukerautentisering og trafikkbeskyttelse på nivå med slutttjenester (IMS, IoT og andre).

Nøkkelprogramvaremoduler og 5G-nettverkssikkerhetsfunksjoner

AMF (fra den engelske Access & Mobility Management Function - tilgangs- og mobilitetsadministrasjonsfunksjon) - gir:

Organisering av kontrollplangrensesnitt.
Organisering av signaltrafikkutveksling DRR, kryptering og beskyttelse av integriteten til dataene.
Organisering av signaltrafikkutveksling NAS, kryptering og beskyttelse av integriteten til dataene.
Управление регистрацией пользовательского оборудования в сети и контроль возможных состояний регистрации.
Управление соединением пользовательского оборудования с сетью и контроль возможных состояний.
Kontroller tilgjengeligheten av brukerutstyr på nettverket i CM-IDLE-tilstand.
Mobilitetsstyring av brukerutstyr i nettverket i CM-CONNECTED-tilstand.
Overføring av korte meldinger mellom brukerutstyr og SMF.
Administrasjon av lokaliseringstjenester.
Tildeling av tråd-ID EPS å samhandle med EPS.

SMF (engelsk: Session Management Function - session management function) - gir:

Kommunikasjonsøktadministrasjon, dvs. opprette, modifisere og frigi økter, inkludert vedlikehold av en tunnel mellom aksessnettverket og UPF.
Distribusjon og administrasjon av IP-adresser til brukerutstyr.
Velge UPF-gatewayen som skal brukes.
Organisering av interaksjon med PCF.
Håndhevelse av retningslinjer QoS.
Dynamisk konfigurasjon av brukerutstyr ved hjelp av DHCPv4- og DHCPv6-protokollene.
Overvåke innsamlingen av tariffdata og organisere interaksjon med faktureringssystemet.
Sømløs levering av tjenester (fra engelsk. SSC - Session and Service Continuity).
Interaksjon med gjestenettverk innen roaming.

UPF (Engelsk brukerplanfunksjon - brukerplanfunksjon) - gir:

Interaksjon med eksterne datanettverk, inkludert det globale Internett.
Ruting av brukerpakker.
Merking av pakker i henhold til QoS-policyer.
Brukerpakkediagnostikk (for eksempel signaturbasert applikasjonsdeteksjon).
Gir rapporter om trafikkbruk.
UPF также является якорной точкой для поддержки мобильности как внутри одной, так и между различными технологиями радиодоступа.

UDM (English Unified Data Management - enhetlig database) - gir:

Administrere brukerprofildata, inkludert lagring og endring av listen over tjenester som er tilgjengelige for brukere og deres tilhørende parametere.
administrasjon SUPI
Generer 3GPP-autentiseringslegitimasjon AKA.
Tilgangsautorisasjon basert på profildata (for eksempel roaming-begrensninger).
Brukerregistreringsadministrasjon, dvs. lagring av serverende AMF.
Støtte for sømløse service- og kommunikasjonsøkter, dvs. lagring av SMF som er tilordnet gjeldende kommunikasjonsøkt.
SMS-leveringshåndtering.
Flere forskjellige UDM-er kan betjene den samme brukeren på tvers av forskjellige transaksjoner.

UDR (English Unified Data Repository – lagring av enhetlige data) – gir lagring av ulike brukerdata og er faktisk en database over alle nettverksabonnenter.

UDSF (English Unstructured Data Storage Function - ustrukturert datalagringsfunksjon) - sikrer at AMF-moduler lagrer gjeldende kontekster for registrerte brukere. Generelt kan denne informasjonen presenteres som data av en ubestemt struktur. Brukerkontekster kan brukes til å sikre sømløse og uavbrutt abonnentøkter, både under planlagt uttak av en av AMF-ene fra tjenesten, og i nødstilfeller. I begge tilfeller vil backup-AMF "hente" tjenesten ved å bruke kontekster lagret i USDF.

Å kombinere UDR og UDSF på samme fysiske plattform er en typisk implementering av disse nettverksfunksjonene.

PCF (engelsk: Policy Control Function - policy control function) - oppretter og tildeler visse tjenestepolicyer til brukere, inkludert QoS-parametere og belastningsregler. For eksempel, for å overføre en eller annen type trafikk, kan virtuelle kanaler med forskjellige egenskaper opprettes dynamisk. Samtidig kan kravene til tjenesten som abonnenten ber om, nivået på nettverksbelastning, mengden trafikk som forbrukes, etc. tas i betraktning.

NEF (English Network Exposure Function - nettverkseksponeringsfunksjon) - gir:

Organisering av sikker interaksjon av eksterne plattformer og applikasjoner med nettverkskjernen.
Administrer QoS-parametere og belastningsregler for spesifikke brukere.

SEAF (English Security Anchor Function - ankersikkerhetsfunksjon) - gir sammen med AUSF autentisering av brukere når de registrerer seg på nettverket med hvilken som helst tilgangsteknologi.

AUSF (English Authentication Server Function - autentiseringsserverfunksjon) - spiller rollen som en autentiseringsserver som mottar og behandler forespørsler fra SEAF og omdirigerer dem til ARPF.

ARPF (engelsk: Authentication Credential Repository and Processing Function - funksjon for lagring og behandling av autentiseringslegitimasjon) - gir lagring av personlige hemmelige nøkler (KI) og parametere for kryptografiske algoritmer, samt generering av autentiseringsvektorer i samsvar med 5G-AKA eller EAP-AKA. Den ligger i datasenteret til hjemmeteleoperatøren, beskyttet mot ytre fysisk påvirkning, og er som regel integrert med UDM.

SCMF (Engelsk Security Context Management Function - administrasjonsfunksjon sikkerhetskontekst) - Gir livssyklusadministrasjon for 5G-sikkerhetskonteksten.

SPCF (English Security Policy Control Function - sikkerhetspolicystyringsfunksjon) - sikrer koordinering og anvendelse av sikkerhetspolicyer i forhold til spesifikke brukere. Dette tar hensyn til nettverkets evner, funksjonene til brukerutstyret og kravene til den spesifikke tjenesten (for eksempel kan beskyttelsesnivåene som tilbys av den kritiske kommunikasjonstjenesten og den trådløse bredbåndsinternetttilgangstjenesten variere). Anvendelse av sikkerhetspolicyer inkluderer: valg av AUSF, valg av autentiseringsalgoritme, valg av datakryptering og integritetskontrollalgoritmer, bestemmelse av lengden og livssyklusen til nøkler.

SIDF (English Subscription Identifier De-concealing Function - funksjon for utvinning av brukeridentifikator) - sikrer utvinning av en abonnents permanente abonnementsidentifikator (engelsk SUPI) fra en skjult identifikator (engelsk SUCI), mottatt som en del av autentiseringsprosedyreforespørselen "Auth Info Req".

Grunnleggende sikkerhetskrav for 5G kommunikasjonsnettverk

MerBruker autentisering: Det betjenende 5G-nettverket må autentisere brukerens SUPI i 5G AKA-prosessen mellom brukeren og nettverket.

Servering av nettverksautentisering: Brukeren må autentisere 5G-servernettverks-IDen, med autentisering oppnådd gjennom vellykket bruk av nøkler oppnådd gjennom 5G AKA-prosedyren.

Авторизация пользователя: Betjeningsnettverket må autorisere brukeren ved å bruke brukerprofilen mottatt fra hjemmeteleoperatørens nett.

Авторизация обслуживающей сети сетью домашнего оператора: Brukeren må få bekreftelse på at han er koblet til et tjenestenettverk som er autorisert av hjemmeoperatørnettverket til å tilby tjenester. Autorisasjon er implisitt i den forstand at den er sikret ved vellykket gjennomføring av 5G AKA-prosedyren.

Autorisasjon av aksessnettet av hjemmeoperatørnettverket: Brukeren må få bekreftelse på at han er koblet til et aksessnett som er autorisert av hjemmeoperatørnettverket til å yte tjenester. Autorisasjon er implisitt i den forstand at den håndheves ved vellykket etablering av sikkerheten til tilgangsnettverket. Denne typen autorisasjon må brukes for alle typer aksessnettverk.

Uautentiserte nødetater: For å oppfylle regulatoriske krav i enkelte regioner, må 5G-nettverk gi uautentisert tilgang for nødtjenester.

Kjernenettverk og radioaksessnett: 5G-nettverkskjernen og 5G-radiotilgangsnettverket må støtte bruken av 128-biters kryptering og integritetsalgoritmer for å sikre sikkerhet AS и NAS. Nettverksgrensesnitt må støtte 256-bits krypteringsnøkler.

Grunnleggende sikkerhetskrav til brukerutstyr

Mer

Brukerutstyret må støtte kryptering, integritetsbeskyttelse og beskyttelse mot repetisjonsangrep for brukerdata som overføres mellom det og radioaksessnettverket.
Brukerutstyret må aktivere kryptering og beskyttelsesmekanismer for dataintegritet som anvist av radioaksessnettverket.
Brukerutstyr må støtte kryptering, integritetsbeskyttelse og beskyttelse mot replay-angrep for RRC- og NAS-signaltrafikk.
Brukerutstyr må støtte følgende kryptografiske algoritmer: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Brukerutstyr kan støtte følgende kryptografiske algoritmer: 128-NEA3, 128-NIA3.
Brukerutstyr må støtte følgende kryptografiske algoritmer: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 hvis det støtter tilkobling til E-UTRA radioaksessnettverk.
Beskyttelse av konfidensialiteten til brukerdata som overføres mellom brukerutstyret og radioaksessnettverket er valgfritt, men må gis når det er tillatt i henhold til forskriften.
Personvern for RRC- og NAS-signaltrafikk er valgfritt.
Постоянный ключ пользователя должен быть защищен и должен храниться в хорошо защищенных компонентах пользовательского оборудования.
En abonnents permanente abonnementsidentifikator skal ikke overføres i klartekst over radioaksessnettverket, bortsett fra informasjon som er nødvendig for korrekt ruting (f.eks. MCC и MNC).
Hjemmeoperatørens offentlige nettverksnøkkel, nøkkelidentifikatoren, sikkerhetsskjemaidentifikatoren og rutingidentifikatoren må lagres i USIM.

Hver krypteringsalgoritme er assosiert med et binært tall:

«0000»: NEA0 — Null ciphering algorithm
"0001": 128-NEA1 - 128-bit SNØ 3G-basert algoritme
"0010" 128-NEA2 - 128-bit AES basert algoritme
"0011" 128-NEA3 - 128-bit ZUC basert algoritme

Datakryptering ved hjelp av 128-NEA1 og 128-NEA2

PS Kretsen er lånt fra TS 133.501

Выработка имитовставок алгоритмами 128-NIA1 и 128-NIA2 для обеспечения целостности

PS Kretsen er lånt fra TS 133.501

Grunnleggende sikkerhetskrav for 5G-nettverksfunksjoner

Mer

AMF må støtte primær autentisering ved bruk av SUCI.
SEAF må støtte primær autentisering ved bruk av SUCI.
UDM og ARPF skal lagre brukerens permanente nøkkel og sørge for at den er beskyttet mot tyveri.
AUSF должна предоставлять SUPI локальной обслуживающей сети только в случае успешной первичной аутентификации с использованием SUCI.
NEF skal ikke videresende skjult kjernenettverksinformasjon utenfor operatørens sikkerhetsdomene.

Grunnleggende sikkerhetsprosedyrer

Stol på domener

I 5. generasjons nettverk avtar tilliten til nettverkselementer når elementene beveger seg bort fra nettverkskjernen. Dette konseptet påvirker beslutningene implementert i 5G-sikkerhetsarkitekturen. Dermed kan vi snakke om en tillitsmodell av 5G-nettverk som bestemmer oppførselen til nettverkssikkerhetsmekanismer.

På brukersiden er tillitsdomenet dannet av UICC og USIM.

På nettverkssiden har tillitsdomenet en mer kompleks struktur.

Radioaksessnettverket er delt inn i to komponenter − DU (от англ. Distributed Units — распределенные единицы сети) и CU (fra engelske Central Units - sentrale enheter i nettverket). Sammen danner de gNB — radiogrensesnitt for 5G-nettverkets basestasjon. DU-er har ikke direkte tilgang til brukerdata da de kan distribueres på ubeskyttede infrastruktursegmenter. CU-er må distribueres i beskyttede nettverkssegmenter, siden de er ansvarlige for å terminere trafikk fra AS-sikkerhetsmekanismer. I kjernen av nettverket er plassert AMF, som avslutter trafikk fra NAS-sikkerhetsmekanismer. Den nåværende 3GPP 5G fase 1-spesifikasjonen beskriver kombinasjonen AMF med sikkerhetsfunksjon SEAF, som inneholder rotnøkkelen (også kjent som "ankernøkkelen") til det besøkte (serverende) nettverket. AUSF er ansvarlig for å lagre nøkkelen som er oppnådd etter vellykket autentisering. Det er nødvendig for gjenbruk i tilfeller der brukeren samtidig er koblet til flere radioaksessnett. ARPF lagrer brukerlegitimasjon og er en analog av USIM for abonnenter. UDR и UDM lagre brukerinformasjon, som brukes til å bestemme logikken for å generere legitimasjon, bruker-IDer, sikre øktkontinuitet, etc.

Иерархия ключей и схемы их распределения

В сетях 5-ого поколения, в отличие от сетей 4G-LTE, процедура аутентификации имеет две составляющие: первичную и вторичную аутентификацию. Первичная аутентификация обязательна для всех пользовательских устройств, подключающихся к сети. Вторичная аутентификация может производиться по запросу от внешних сетей, если абонент к таковым подключается.

Etter vellykket gjennomføring av primær autentisering og utvikling av en delt nøkkel K mellom brukeren og nettverket, trekkes KSEAF ut fra nøkkelen K - en spesiell ankernøkkel (rotnøkkel) til det betjenende nettverket. Deretter genereres nøkler fra denne nøkkelen for å sikre konfidensialiteten og integriteten til RRC- og NAS-signaltrafikkdata.

Diagram med forklaringer
betegnelser:
CK Chiffernøkkel
IK (engelsk: Integrity Key) - en nøkkel som brukes i beskyttelsesmekanismer for dataintegritet.
CK' (eng. Cipher Key) - en annen kryptografisk nøkkel opprettet fra CK for EAP-AKA-mekanismen.
IK' (англ. Integrity Key) — другой ключ, использующийся в механизмах защиты целостности данных для EAP-AKA.
KAUSF - generert av ARPF-funksjonen og brukerutstyr fra CK и IK во время 5G AKA и EAP-AKA.
KSEAF - ankernøkkel hentet av AUSF-funksjonen fra nøkkelen KAMFAUSF.
KAMF — nøkkelen hentet av SEAF-funksjonen fra nøkkelen KSEAF.
KNASint, KNASenc — ключи, получаемые функцией AMF из ключа KAMF для защиты сигнального трафика NAS.
KRRCint, KRRCenc — ключи, получаемые функцией AMF из ключа KAMF for å beskytte RRC-signaltrafikk.
KUPint, KUPenc — ключи, получаемые функцией AMF из ключа KAMF for å beskytte AS-signaltrafikk.
NH — mellomnøkkel hentet av AMF-funksjonen fra tasten KAMF for å sikre datasikkerhet ved overleveringer.
KgNB — nøkkelen hentet av AMF-funksjonen fra nøkkelen KAMF for å sikre sikkerheten til mobilitetsmekanismer.

Opplegg for generering av SUCI fra SUPI og omvendt

Ordninger for å oppnå SUPI og SUCI

Produksjon av SUCI fra SUPI og SUPI fra SUCI:

Autentisering

Primær autentisering

В сетях 5G EAP-AKA и 5G AKA являются стандартными механизмами первичной аутентификации. Разобьем механизм первичной аутентификации на две фазы: первая отвечает за инициацию аутентификации и выбора метода аутентификации, вторая — за взаимную аутентификацию между пользователем и сетью.

Initiering

Brukeren sender inn en registreringsforespørsel til SEAF, som inneholder brukerens skjulte abonnements-ID SUCI.

SEAF sender til AUSF en melding om autentiseringsforespørsel (Nausf_UEAuthentication_Authenticate Request) som inneholder SNN (Serving Network Name) og SUPI eller SUCI.

AUSF sjekker om SEAF-autentiseringsanmoderen har tillatelse til å bruke det gitte SNN. Hvis det betjenende nettverket ikke er autorisert til å bruke denne SNN-en, svarer AUSF med en autorisasjonsfeilmelding "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

Autentiseringslegitimasjon blir forespurt av AUSF til UDM, ARPF eller SIDF via SUPI eller SUCI og SNN.

Basert på SUPI eller SUCI og brukerinformasjon, velger UDM/ARPF den neste autentiseringsmetoden og utsteder brukerens legitimasjon.

Взаимная аутентификация

Når du bruker en hvilken som helst autentiseringsmetode, må UDM/ARPF-nettverksfunksjonene generere en autentiseringsvektor (AV).

EAP-AKA: UDM/ARPF genererer først en autentiseringsvektor med skillebit AMF = 1, og genererer deretter CK' и IK' av CK, IK og SNN og utgjør en ny AV-autentiseringsvektor (RAND, AUTN, XRES*, CK', IK'), som sendes til AUSF med instruksjoner om å bruke den kun for EAP-AKA.

5G AKA: UDM/ARPF får nøkkelen KAUSF av CK, IK и SNN, после чего генерирует 5G HE AVангл. 5G Home Environment Authentication Vector). Вектор аутентификации 5G HE AV (RAND, AUTN, XRES, KAUSF) sendes til AUSF med instruksjoner om å bruke den kun for 5G AKA.

Etter denne AUSF oppnås ankernøkkelen KSEAF fra nøkkelen KAUSF og sender en forespørsel til SEAF "Challenge" i meldingen "Nausf_UEAuthentication_Authenticate Response", som også inneholder RAND, AUTN og RES*. Deretter sendes RAND og AUTN til brukerutstyret ved hjelp av en sikker NAS-signaleringsmelding. Brukerens USIM beregner RES* fra den mottatte RAND og AUTN og sender den til SEAF. SEAF videresender denne verdien til AUSF for verifisering.

AUSF sammenligner XRES* lagret i den og RES* mottatt fra brukeren. Hvis det er en match, blir AUSF og UDM i operatørens hjemmenettverk varslet om vellykket autentisering, og brukeren og SEAF genererer uavhengig en nøkkel KAMF av KSEAF og SUPI for videre kommunikasjon.

Sekundær autentisering

5G-standarden støtter valgfri sekundær autentisering basert på EAP-AKA mellom brukerutstyret og det eksterne datanettverket. I dette tilfellet spiller SMF rollen som EAP-autentisering og er avhengig av arbeidet AAA-en ekstern nettverksserver som autentiserer og autoriserer brukeren.

Происходит обязательная первичная аутентификация пользователя в домашней сети и вырабатывает общий с AMF контекст безопасности NAS.
Brukeren sender en forespørsel til AMF om å etablere en økt.
AMF sender en forespørsel om å etablere en økt til SMF som indikerer brukerens SUPI.
SMF validerer brukerens legitimasjon i UDM ved å bruke den oppgitte SUPIen.
SMF sender et svar på forespørselen fra AMF.
SMF запускает процедуру аутентификации EAP с целью получить разрешение на установление сессии от AAA-сервера внешней сети. Для этого SMF и пользователь обмениваются сообщениями с целью инициировать процедуру.
Brukeren og den eksterne nettverkets AAA-server utveksler deretter meldinger for å autentisere og autorisere brukeren. I dette tilfellet sender brukeren meldinger til SMF, som igjen utveksler meldinger med det eksterne nettverket via UPF.

Konklusjon

Selv om 5G-sikkerhetsarkitekturen er basert på gjenbruk av eksisterende teknologier, byr den på helt nye utfordringer. Et stort antall IoT-enheter, utvidede nettverksgrenser og desentraliserte arkitekturelementer er bare noen av nøkkelprinsippene i 5G-standarden som gir fritt spillerom til cyberkriminelles fantasi.

Kjernestandarden for 5G-sikkerhetsarkitektur er TS 23.501 версии 15.6.0 — inneholder nøkkelpunkter for driften av sikkerhetsmekanismer og prosedyrer. Spesielt beskriver den rollen til hver VNF i å sikre beskyttelse av brukerdata og nettverksnoder, i å generere kryptonøkler og i implementering av autentiseringsprosedyren. Men selv denne standarden gir ikke svar på presserende sikkerhetsproblemer som oftere møter teleoperatører jo mer intensivt ny generasjons nettverk utvikles og settes i drift.

I denne forbindelse vil jeg tro at vanskelighetene med å betjene og beskytte 5. generasjons nettverk ikke på noen måte vil påvirke vanlige brukere, som er lovet overføringshastigheter og svar som sønnen til en mors venn og allerede er ivrige etter å prøve ut alle de erklærte egenskapene til den nye generasjonens nettverk.

Nyttige lenker

3GPP spesifikasjonsserie
5G sikkerhetsarkitektur
5G systemarkitektur
5G Wiki
5G-arkitekturnotater
5G sikkerhetsoversikt

Kilde: www.habr.com

Introduksjon til 5G-sikkerhetsarkitektur: NFV, nøkler og 2-autentisering