په ښکاره ډول، د امنیتي میکانیزمونو په اړه فکر کولو پرته د اړیکو د نوي معیارونو پراختیا یوه ډیره مشکوکه او بې ګټې هڅه ده.

د 5G امنیت جوړښت - د امنیتي میکانیزمونو او طرزالعملونو یوه ټولګه چې په کې پلي شوي د پنځم نسل شبکې او د شبکې ټولې برخې پوښي، له اصلي څخه د راډیو انٹرفیس پورې.

د پنځم نسل شبکې، په اصل کې، یو تکامل دی د څلورم نسل LTE شبکې. رادیو ته د لاسرسي ټیکنالوژي خورا مهم بدلونونه لري. د پنځم نسل شبکې لپاره، یو نوی موږکان (راډیو ته لاسرسی ټیکنالوژي) - 5G نوې راډیو. لکه څنګه چې د شبکې اصلي برخه ده، دا د پام وړ بدلون نه دی راغلی. پدې برخه کې ، د 5G شبکې امنیت جوړښت د 4G LTE معیار کې منل شوي اړونده ټیکنالوژیو بیا کارولو باندې ټینګار سره رامینځته شوی.

په هرصورت، دا د یادولو وړ ده چې د پیژندل شوي ګواښونو په اړه بیا غور کول لکه په هوایی انٹرفیسونو بریدونه او د سیګنال پرت (نښې نښانې الوتکه)، د DDOS بریدونه، په مینځ کې مینځني بریدونه، او داسې نور، د مخابراتو آپریټرانو ته وهڅول چې نوي معیارونه رامینځته کړي او په بشپړ ډول نوي امنیتي میکانیزمونه د 5th نسل شبکې سره یوځای کړي.

اړتیاوې

په 2015 کې، د مخابراتو نړیوالې اتحادیې د پنځم نسل شبکې د پراختیا لپاره د خپل ډول لومړی نړیوال پلان جوړ کړ، له همدې امله د 5G شبکو کې د امنیتي میکانیزمونو او طرزالعملونو پراختیا مسله په ځانګړې توګه شدیده شوې.

نوې ټیکنالوژي د ریښتیني اغیزمن ډیټا لیږد سرعت (له 1 Gbps څخه ډیر) ، له 1 ms څخه لږ ځنډ او د 1 km1 په شعاع کې په ورته وخت کې د شاوخوا 2 ملیون وسیلو سره وصل کولو وړتیا وړاندیز کوي. د پنځم نسل شبکې لپاره دا ډول لوړې اړتیاوې هم د دوی د سازمان په اصولو کې منعکس کیږي.

اصلي یې غیر متمرکز کول وو، کوم چې د شبکې په شاوخوا کې د ډیری محلي ډیټابیسونو او د دوی د پروسس مرکزونو ځای په ځای کول معنی لري. دا د دې امکان رامینځته کړی چې کله ځنډونه کم کړي M2M- مخابراتو او د IoT وسیلو لوی شمیر خدمت کولو له امله د شبکې کور آرام کول. په دې توګه، د راتلونکي نسل شبکې څنډې د بیس سټیشنونو ته ټولې لارې پراخې کړې، د ځایی ارتباطي مرکزونو رامینځته کولو او د کلاوډ خدماتو چمتو کولو ته اجازه ورکوي پرته له جدي ځنډ یا د خدماتو انکار خطر. په طبیعي توګه، د شبکې جوړولو او پیرودونکو خدماتو ته بدله شوې طریقه د برید کونکو لپاره په زړه پورې وه، ځکه چې دا د دوی لپاره نوي فرصتونه پرانستل چې د کاروونکو محرم معلوماتو او د شبکې اجزاو دواړه برید وکړي ترڅو د خدماتو انکار وکړي یا د آپریټر کمپیوټر سرچینې ضبط کړي.

د پنځم نسل شبکې اصلي زیانونه

د لوی برید سطح

نورکله چې د دریم او څلورم نسل مخابراتي شبکې رامینځته کول، د مخابراتو آپریټران معمولا د یو یا څو پلورونکو سره کار کولو پورې محدود و چې سمدلاسه یې د هارډویر او سافټویر سیټ چمتو کړ. دا دی، هرڅه کولی شي کار وکړي، لکه څنګه چې دوی وايي، "د بکس څخه بهر" - دا یوازې د پلورونکي څخه اخیستل شوي تجهیزات نصب او تنظیم کولو لپاره کافي وو؛ د ملکیت سافټویر بدلولو یا ضمیمه کولو ته اړتیا نشته. عصري رجحانات د دې "کلاسیک" چلند سره مخالف دي او موخه یې د شبکې مجازی کول دي، د دوی ساختماني او سافټویر تنوع ته د څو پلورونکي چلند. ټیکنالوژي لکه SDN (د انګلیسی سافټویر تعریف شوی شبکه) او NFV (د انګلیسي شبکې فعالیت مجازی کول) ، کوم چې د مخابراتي شبکو اداره کولو پروسو او دندو کې د خلاصې سرچینې کوډونو پراساس رامینځته شوي د لوی مقدار سافټویر شاملولو لامل کیږي. دا برید کونکو ته فرصت ورکوي چې د آپریټر شبکه ښه مطالعه کړي او د زیان منونکو لوی شمیر وپیژني، کوم چې په پایله کې، د اوسني نسلونو په پرتله د نوي نسل شبکې برید سطحه زیاتوي.

د IoT وسایلو لوی شمیر

نورتر 2021 پورې، د 57G شبکې سره تړل شوي شاوخوا 5٪ وسایل به IoT وسایل وي. دا پدې مانا ده چې ډیری کوربه به محدود کریپټوګرافیک وړتیاوې ولري (پوائنټ 2 وګورئ) او په وینا، د بریدونو لپاره به زیان منونکي وي. د دې ډول وسیلو لوی شمیر به د بوټینیټ خپریدو خطر زیات کړي او دا به امکان ولري چې حتی خورا پیاوړي او توزیع شوي DDoS بریدونه ترسره کړي.

د IoT وسایلو محدود کریپټوګرافیک وړتیاوې

نورلکه څنګه چې مخکې یادونه وشوه، د 5th نسل شبکې په فعاله توګه پردی وسایل کاروي، کوم چې دا ممکنه کوي چې د شبکې له اصلي څخه د بار برخه لرې کړي او په دې توګه ځنډ کم کړي. دا د داسې مهمو خدماتو لپاره اړین دی لکه د بې پیلوټه موټرو کنټرول، د بیړني خبرتیا سیسټم IMS او نور، چې د لږ تر لږه ځنډ ډاډمن کول خورا مهم دي، ځکه چې د انسان ژوند په دې پورې تړلی دی. د لوی شمیر IoT وسیلو سره د ارتباط له امله ، کوم چې د دوی د کوچنۍ اندازې او ټیټ بریښنا مصرف له امله خورا محدود کمپیوټري سرچینې لري ، د 5G شبکې د بریدونو لپاره زیان منونکي کیږي چې هدف یې د کنټرول مداخله او د ورته وسیلو تعقیبي لاسوهنه ده. د مثال په توګه ، ممکن داسې سناریوګانې وي چیرې چې د IoT وسیلې چې د سیسټم برخه دي په ناروغۍ اخته شوي "هوښیاره ما Houseۍ"، د مالویر ډولونه لکه Ransomware او ransomware. د بې پیلوټه وسایطو د کنټرول مداخلې سناریوګانې چې د بادل له لارې امرونه او د نیویګیشن معلومات ترلاسه کوي هم امکان لري. په رسمي توګه، دا زیانمنتیا د نوي نسل د شبکو د غیر متمرکز کیدو له امله ده، مګر راتلونکی پراګراف به د غیر متمرکز کولو ستونزه په روښانه توګه بیان کړي.

د شبکې د سرحدونو غیر مرکزي کول او پراخول

نورپرفیریل وسایل، د محلي شبکې کور رول لوبوي، د کاروونکي ټرافیک، پروسس کولو غوښتنې، او همدارنګه د محلي کیچ کولو او د کاروونکي ډیټا ذخیره کول ترسره کوي. په دې توګه، د 5th نسل شبکې حدود پراخیږي، د کور سربیره، محیط ته، په شمول د محلي ډیټابیسونو او 5G-NR (5G نوي راډیو) راډیو انٹرفیسونه. دا د دې فرصت رامینځته کوي چې د محلي وسیلو کمپیوټري سرچینو برید وکړي ، کوم چې د شبکې اصلي مرکزي نوډونو په پرتله د لومړیتوب ضعیف محافظت دي ، د خدماتو انکار لامل کیدو سره. دا کولی شي د ټولو سیمو لپاره د انټرنیټ لاسرسي منحل کیدو لامل شي ، د IoT وسیلو غلط فعالیت (د مثال په توګه په سمارټ کور سیسټم کې) ، او همدارنګه د IMS بیړني خبرتیا خدمت نشتوالی.

په هرصورت، ETSI او 3GPP اوس له 10 څخه ډیر معیارونه خپاره کړي چې د 5G شبکې امنیت مختلف اړخونه پوښي. د هغه میکانیزمونو لویه برخه چې دلته تشریح شوي د زیان مننې په وړاندې د ساتنې په هدف دي (پشمول هغه چې پورته بیان شوي). یو له اصلي څخه معیاري دی TS 23.501 نسخه 15.6.0د پنځم نسل شبکې امنیتي جوړښت تشریح کوي.

د 5G جوړښت

لومړی، راځئ چې د 5G شبکې جوړښت کلیدي اصولو ته وګرځو، کوم چې به د هر سافټویر ماډل او د هر 5G امنیتي فعالیت مسؤلیت معنی او ساحې په بشپړه توګه ښکاره کړي.

• د شبکې نوډونو ویش په عناصرو کې چې د پروتوکول عملیات یقیني کوي دودیز الوتکه (د انګلیسي UP - د کارونکي الوتکې څخه) او هغه عناصر چې د پروتوکول عملیات یقیني کوي د کنټرول الوتکه (د انګلیسي CP - Control Plane څخه)، کوم چې د شبکې د اندازه کولو او ځای په ځای کولو شرایطو کې انعطاف زیاتوي، د بیلګې په توګه د انفرادي برخې شبکې نوډونو مرکزي یا غیر متمرکز ځای پرځای کول ممکن دي.
• د میکانیزم ملاتړ د شبکې ټوټه کولد پای کاروونکو ځانګړو ګروپونو ته چمتو شوي خدماتو پراساس.
• په فورمه کې د شبکې عناصرو پلي کول د مجازی شبکې دندې.
• مرکزي او محلي خدماتو ته په ورته وخت کې د لاسرسي لپاره ملاتړ ، د بیلګې په توګه د بادل مفاهیمو پلي کول (له انګلیسي څخه. فوګ کمپیوټري) او سرحد (له انګلیسي څخه. کنډک کمپیوټري) محاسبه.
• پلي کول متقابل جوړښت د لاسرسي مختلف ډوله شبکې ترکیب کوي - 3GPP 5G نوې راډیو او غیر 3GPP (وائی فای، او داسې نور) - د یوې شبکې کور سره.
• د یونیفورم الګوریتمونو او تصدیق کولو پروسیجرونو ملاتړ، پرته له دې چې د لاسرسي شبکې ډول ته پام وکړي.
• د بې ریاسته شبکې دندو لپاره ملاتړ، په کوم کې چې محاسبه شوې سرچینه د سرچینې پلورنځي څخه جلا کیږي.
• د ټرافیک روټینګ سره د رومینګ لپاره ملاتړ دواړه د کور شبکې له لارې (د انګلیسي کور روټیډ رومینګ څخه) او د میلمه شبکې کې د ځایی "لینډینګ" (د انګلیسي ځایي بریک آوټ څخه) سره.
• د شبکې د دندو تر منځ تعامل په دوو لارو ښودل شوی دی: د خدمت پر بنسټ и انٹرفیس.

د پنځم نسل شبکې امنیت مفهوم پکې شامل دی:

• د شبکې څخه د کارونکي تصدیق.
• د کارونکي لخوا د شبکې تصدیق.
• د شبکې او کاروونکي تجهیزاتو ترمنځ د کریپټوګرافیک کیلي خبرې اترې.
• د سیګنال ترافیک کوډ کول او بشپړتیا کنټرول.
• کوډ کول او د کارونکي ترافیک بشپړتیا کنټرول.
• د کارن ID محافظت.
• د شبکې امنیت ډومین مفهوم سره سم د مختلف شبکې عناصرو ترمینځ د انٹرفیسونو ساتنه.
• د میکانیزم د مختلفو پرتونو جلا کول د شبکې ټوټه کول او د هر پرت د خپل امنیت کچه ​​تعریفوي.
• د پای خدماتو (IMS، IoT او نور) په کچه د کارونکي تصدیق او ترافیک محافظت.

د کلیدي سافټویر ماډلونه او د 5G شبکې امنیت ځانګړتیاوې

AMF (د انګلیسي لاسرسي او خوځښت مدیریت فنکشن څخه - د لاسرسي او خوځښت مدیریت فعالیت) - چمتو کوي:

• د کنټرول الوتکې انٹرفیس تنظیم کول.
• د سیګنال ټرافيکي تبادلې تنظیم RRCکوډ کول او د دې معلوماتو بشپړتیا ساتنه.
• د سیګنال ټرافيکي تبادلې تنظیم NASکوډ کول او د دې معلوماتو بشپړتیا ساتنه.
• په شبکه کې د کاروونکو تجهیزاتو راجسټریشن اداره کول او د راجسټریشن احتمالي حالتونو څارنه.
• شبکې ته د کاروونکو تجهیزاتو پیوستون اداره کول او د احتمالي حالتونو څارنه.
• په CM-IDLE حالت کې په شبکه کې د کارونکي تجهیزاتو شتون کنټرول کړئ.
• په CM-Connected حالت کې په شبکه کې د کارونکي تجهیزاتو د خوځښت مدیریت.
• د کاروونکو تجهیزاتو او SMF ترمنځ د لنډ پیغامونو لیږد.
• د موقعیت خدماتو مدیریت.
• د تار ID تخصیص له ډېټابيز د EPS سره تعامل کول.

SMF (انګلیسي: د ناستې مدیریت فعالیت - د ناستې مدیریت فعالیت) - وړاندې کوي:

• د مخابراتو سیشن مدیریت، د بیلګې په توګه د غونډو جوړول، تعدیل کول او خوشې کول، په شمول د لاسرسي شبکې او UPF ترمنځ د تونل ساتل.
• د کاروونکو تجهیزاتو IP پتې ویش او مدیریت.
• د کارولو لپاره د UPF دروازې غوره کول.
• د PCF سره د متقابل عمل تنظیم کول.
• د پالیسۍ پلي کولو مدیریت پوښتنه.
• د DHCPv4 او DHCPv6 پروتوکولونو په کارولو سره د کارونکي تجهیزاتو متحرک ترتیب.
• د تعرفو معلوماتو راټولولو څارنه او د بلینګ سیسټم سره د تعامل تنظیم کول.
• د خدماتو بې ساري چمتو کول (له انګلیسي څخه. SSC - د ناستې او خدماتو دوام).
• په رومینګ کې د میلمنو شبکو سره تعامل.

UPF (د انګلیسي کارونکي الوتکې فعالیت - د کارونکي الوتکې فعالیت) - چمتو کوي:

• د نړیوال انټرنیټ په ګډون د بهرنیو ډیټا شبکو سره تعامل.
• د کارونکي پیکټونو روټ کول.
• د QoS پالیسیو سره سم د کڅوړو نښه کول.
• د کارن بسته تشخیص (د مثال په توګه، د لاسلیک پر بنسټ د غوښتنلیک کشف).
• د ترافیکي کارونې په اړه راپورونه چمتو کول.
• UPF د مختلف راډیو لاسرسي ټیکنالوژیو دننه او ترمینځ د خوځښت مالتړ لپاره د لنگر نقطه هم ده.

LTM (د انګلیسي متحد ډیټا مدیریت - متحد ډیټابیس) - وړاندې کوي:

• د کارونکي پروفایل ډیټا اداره کول ، پشمول د کاروونکو لپاره د موجود خدماتو لیست ذخیره کول او ترمیم کول او د دوی اړوند پیرامیټونه.
• حکومتداري SUPI
• د 3GPP تصدیق سندونه تولید کړئ AKA.
• د پروفایل ډیټا پراساس واک ته لاسرسی (د مثال په توګه ، د رومینګ محدودیتونه).
• د کارونکي راجستریشن مدیریت، د بیلګې په توګه د AMF خدمت کولو ذخیره کول.
• د بې سیمه خدماتو او مخابراتو غونډو لپاره ملاتړ ، د بیلګې په توګه د اوسني مخابراتو ناستې ته ټاکل شوي SMF ذخیره کول.
• د ایس ایم ایس تحویلي مدیریت.
• ډیری مختلف UDMs کولی شي ورته کارونکي په مختلف معاملو کې خدمت وکړي.

UDR (د انګلیسي متحد ډیټا ذخیره - د متحد معلوماتو ذخیره کول) - د مختلف کاروونکو ډیټا ذخیره چمتو کوي او په حقیقت کې د شبکې ټولو پیرودونکو ډیټابیس دی.

UDSF (د انګلیسي غیر ساختماني ډیټا ذخیره کولو فنکشن - د غیر جوړښت شوي ډیټا ذخیره کولو فعالیت) - ډاډ ترلاسه کوي چې د AMF ماډلونه د راجسټر شوي کاروونکو اوسني شرایط خوندي کوي. په عموم کې، دا معلومات د نامعلوم جوړښت ډاټا په توګه وړاندې کیدی شي. د کارونکي شرایط د خدماتو څخه د AMFs څخه د یو پلان شوي وتلو پرمهال او د بیړني حالت په حالت کې د بې ځایه او بې وقفې پیرودونکي ناستې ډاډ ترلاسه کولو لپاره کارول کیدی شي. په دواړو حالتونو کې، بیک اپ AMF به په USDF کې زیرمه شوي شرایطو په کارولو سره خدمت "چمتو" کړي.

په ورته فزیکي پلیټ فارم کې د UDR او UDSF ترکیب د دې شبکې دندو یو عادي پلي کول دي.

CPF (انګلیسي: د پالیسۍ کنټرول فعالیت - د پالیسۍ کنټرول فعالیت) - کاروونکو ته د خدماتو ځینې پالیسۍ رامینځته کوي او ګماري ، پشمول د QoS پیرامیټونه او د چارج کولو مقررات. د مثال په توګه، د یو یا بل ډول ټرافیک لیږدولو لپاره، د مختلف ځانګړتیاو سره مجازی چینلونه په متحرک ډول رامینځته کیدی شي. په ورته وخت کې ، د پیرودونکي لخوا غوښتنه شوي د خدماتو اړتیاوې ، د شبکې ګنګس کچه ، د مصرف شوي ترافیک مقدار او نور په پام کې نیول کیدی شي.

NEF (د انګلیسي شبکې د افشا کولو فنکشن - د شبکې افشا کولو فعالیت) - وړاندې کوي:

• د شبکې کور سره د بهرني پلیټ فارمونو او غوښتنلیکونو خوندي تعامل تنظیم کول.
• د ځانګړو کاروونکو لپاره د QoS پیرامیټونه او د چارج کولو مقررات اداره کړئ.

SEAF (د انګلیسي امنیت اینکر فنکشن - د لنگر امنیت فعالیت) - د AUSF سره یوځای د کاروونکو تصدیق چمتو کوي کله چې دوی د لاسرسي ټیکنالوژۍ سره په شبکه کې راجستر کیږي.

AUSF (د انګلیسي تصدیق سرور فعالیت - د تصدیق سرور فعالیت) - د تصدیق کولو سرور رول لوبوي چې د SEAF څخه غوښتنې ترلاسه کوي او پروسس کوي او ARPF ته یې لیږدوي.

ARPF (انګلیسي: د اعتبار اعتبار ذخیره او پروسس کولو فنکشن - د تصدیق اسنادو ذخیره کولو او پروسس کولو فعالیت) - د شخصي پټو کیلي (KI) ذخیره کول او د کریپټوګرافیک الګوریتم پیرامیټرونه ، او همدارنګه د 5G-AKA سره سم د تصدیق ویکتورونو نسل چمتو کوي. او AP-اکا. دا د کور مخابراتي آپریټر ډیټا مرکز کې موقعیت لري ، د بهرني فزیکي تاثیراتو څخه خوندي دی ، او د یوې قاعدې په توګه ، د UDM سره مدغم شوی.

SCMF (په انګلیسي کې د امنیتي شرایطو مدیریت فعالیت - مدیریت فعالیت امنیتي شرایط) - د 5G امنیت شرایطو لپاره د ژوند دورې مدیریت چمتو کوي.

SPCF (د انګلیسي امنیت پالیسۍ کنټرول فعالیت - د امنیت پالیسۍ مدیریت فعالیت) - د ځانګړو کاروونکو په اړه د امنیتي پالیسیو همغږي او پلي کول تضمینوي. دا د شبکې وړتیاوې په پام کې نیسي، د کارونکي تجهیزاتو وړتیاوې او د ځانګړي خدمت اړتیاوې (د بیلګې په توګه، د مهم مخابراتي خدماتو لخوا چمتو شوي محافظت کچه ​​او د بیسیم براډ بانډ انټرنیټ لاسرسي خدمت ممکن توپیر ولري). د امنیتي پالیسیو په پلي کولو کې شامل دي: د AUSF انتخاب، د تصدیق کولو الګوریتم انتخاب، د ډیټا کوډ کولو او بشپړتیا کنټرول الګوریتم انتخاب، د کیلي اوږدوالی او د ژوند دوره ټاکل.

SIDF (د انګلیسي ګډون کونکي پیژندونکي د پټولو فنکشن - د کارونکي پیژندونکي استخراج فنکشن) - د پټ پیژندونکي (انګلیسي) څخه د پیرودونکي د دایمي ګډون کونکي پیژندونکي (انګلیسي SUPI) استخراج تضمینوي SUCI)، د تصدیق کولو پروسې غوښتنې د یوې برخې په توګه ترلاسه شوی "د تصدیق معلوماتو غوښتنه".

د 5G مخابراتي شبکو لپاره اساسي امنیتي اړتیاوې

نورد کارن تصدیق: د خدمت کولو 5G شبکه باید د کارونکي او شبکې ترمنځ د 5G AKA پروسې کې د کارونکي SUPI تصدیق کړي.

د شبکې تصدیق خدمت کول: کاروونکی باید د 5G خدمت کولو شبکې ID تصدیق کړي، د 5G AKA طرزالعمل له لارې ترلاسه شوي کیلي د بریالۍ کارولو له لارې ترلاسه شوي تصدیق سره.

د کارونکي اجازه: د خدمت کولو شبکه باید د کور د مخابراتو آپریټر شبکې څخه ترلاسه شوي د کارونکي پروفایل په کارولو سره کارونکي ته اجازه ورکړي.

د کور آپریټر شبکې لخوا د خدمت کولو شبکې واک ورکول: کارونکي باید د تصدیق سره چمتو شي چې هغه د خدماتو شبکې سره وصل دی چې د کور آپریټر شبکې لخوا د خدماتو چمتو کولو واک ورکړل شوی. واک ورکول په دې معنی کې نغښتي دي چې دا د 5G AKA طرزالعمل په بریالۍ بشپړیدو سره تضمین کیږي.

د کور آپریټر شبکې لخوا د لاسرسي شبکې واک ورکول: کارونکي باید د تایید سره چمتو شي چې هغه د لاسرسي شبکې سره وصل دی چې د کور آپریټر شبکې لخوا د خدماتو چمتو کولو اجازه ورکړل شوې. واک په دې معنی کې نغښتی دی چې دا په بریالیتوب سره د لاسرسي شبکې امنیت رامینځته کولو سره پلي کیږي. دا ډول اجازه باید د هر ډول لاسرسي شبکې لپاره وکارول شي.

غیر مستند بیړني خدمتونه: په ځینو سیمو کې د تنظیمي اړتیاو پوره کولو لپاره، 5G شبکې باید د بیړنیو خدماتو لپاره غیر مستند لاسرسی چمتو کړي.

د شبکې اصلي او د راډیو لاسرسي شبکه: د 5G شبکې کور او د 5G راډیو لاسرسي شبکه باید د امنیت ډاډ ترلاسه کولو لپاره د 128-bit کوډ کولو او بشپړتیا الګوریتمونو کارولو ملاتړ وکړي AS и NAS. د شبکې انٹرفیس باید د 256-bit کوډ کولو کیلي ملاتړ وکړي.

د کارونکي تجهیزاتو لپاره لومړني خوندیتوب اړتیاوې

نور

• د کارونکي تجهیزات باید د کوډ کولو ، بشپړتیا محافظت ، او د دې او د راډیو لاسرسي شبکې ترمینځ لیږدول شوي د کارونکي ډیټا لپاره د بیا چلولو بریدونو پروړاندې محافظت ملاتړ وکړي.
• د کارونکي تجهیزات باید د کوډ کولو او ډیټا بشپړتیا محافظت میکانیزمونه فعال کړي لکه څنګه چې د راډیو لاسرسي شبکې لخوا لارښود شوي.
• د کارونکي تجهیزات باید د کوډ کولو ، بشپړتیا محافظت ، او د RRC او NAS سیګنال ټرافیک لپاره د بیا چلولو بریدونو پروړاندې محافظت ملاتړ وکړي.
• د کارونکي تجهیزات باید د لاندې کریپټوګرافیک الګوریتمونو ملاتړ وکړي: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• د کارونکي تجهیزات کولی شي د لاندې کریپټوګرافیک الګوریتمونو ملاتړ وکړي: 128-NEA3، 128-NIA3.
• د کارونکي تجهیزات باید د لاندې کریپټوګرافیک الګوریتمونو ملاتړ وکړي: 128-EEA1، 128-EEA2، 128-EIA1، 128-EIA2 که چیرې دا د E-UTRA راډیو لاسرسي شبکې سره اړیکې ملاتړ کوي.
• د کارونکي تجهیزاتو او د راډیو لاسرسي شبکې ترمینځ لیږدول شوي د کارونکي ډیټا محرمیت ساتنه اختیاري ده ، مګر باید چمتو شي کله چې د مقرراتو لخوا اجازه ورکړل شي.
• د RRC او NAS سیګنلینګ ترافیک لپاره د محرمیت محافظت اختیاري دی.
• د کارونکي دایمي کیلي باید د کارونکي تجهیزاتو په ښه خوندي برخو کې خوندي او زیرمه شي.
• د پیرودونکي دایمي ګډون پیژندونکی باید د راډیو لاسرسي شبکې کې په روښانه متن کې ونه لیږدول شي پرته له دې چې د سمې لارې لپاره اړین معلومات (د مثال په توګه MCC и MNC).
• د کور آپریټر شبکې عامه کیلي، کلیدي پیژندونکی، د امنیت سکیم پیژندونکی، او د روټینګ پیژندونکی باید زیرمه شي USIM.

هر کوډ کولو الګوریتم د بائنری شمیر سره تړاو لري:

• "0000": NEA0 - نول سیفرینګ الګوریتم
• "0001": 128-NEA1 - 128-bit واوره د 3G پر بنسټ الګوریتم
• "0010" 128-NEA2 - 128-bit AES د الګوریتم پر بنسټ
• "0011" 128-NEA3 - 128-bit ZUC د الګوریتم پر بنسټ.

د 128-NEA1 او 128-NEA2 په کارولو سره د معلوماتو کوډ کول

P.S. ډیاګرام له پور اخیستل شوی TS 133.501

د بشپړتیا ډاډ ترلاسه کولو لپاره د الګوریتم 128-NIA1 او 128-NIA2 لخوا د سمول شوي داخلونو رامینځته کول

P.S. ډیاګرام له پور اخیستل شوی TS 133.501

د 5G شبکې دندو لپاره اساسي امنیتي اړتیاوې

نور

• AMF باید د SUCI په کارولو سره د لومړني تصدیق ملاتړ وکړي.
• SEAF باید د SUCI په کارولو سره د لومړني تصدیق ملاتړ وکړي.
• UDM او ARPF باید د کارونکي دایمي کیلي ذخیره کړي او ډاډ ترلاسه کړي چې دا د غلا څخه خوندي دی.
• AUSF به یوازې د SUCI په کارولو سره د بریالي لومړني تصدیق کولو وروسته محلي خدماتو شبکې ته SUPI چمتو کړي.
• NEF باید د اصلي شبکې پټ معلومات د آپریټر د امنیت ډومین څخه بهر نه لیږدوي.

د خوندیتوب بنسټیز طرزالعملونه

باور ډومین

د پنځم نسل شبکې کې، د شبکې عناصرو باور کمیږي ځکه چې عناصر د شبکې له اصلي څخه لیرې کیږي. دا مفهوم د 5G امنیت جوړښت کې پلي شوي پریکړو اغیزه کوي. په دې توګه، موږ کولی شو د 5G شبکې د باور ماډل په اړه وغږیږو چې د شبکې امنیت میکانیزم چلند ټاکي.

د کارونکي اړخ کې، د باور ډومین د UICC او USIM لخوا جوړ شوی.

د شبکې په اړخ کې، د باور ډومین ډیر پیچلي جوړښت لري.

د راډیو لاسرسي شبکه په دوه برخو ویشل شوې - DU (د انګلیسي توزیع شوي واحدونو څخه - د توزیع شوي شبکې واحدونو څخه) او CU (د انګلیسي مرکزي واحدونو څخه - د شبکې مرکزي واحدونه). په ګډه دوی جوړوي gNB - د 5G شبکې بیس سټیشن راډیو انٹرفیس. DUs د کارونکي ډیټا ته مستقیم لاسرسی نلري ځکه چې دوی په غیر خوندي زیربنا برخو کې ځای په ځای کیدی شي. CUs باید د خوندي شبکې برخو کې ځای په ځای شي، ځکه چې دوی د AS امنیتي میکانیزمونو څخه د ترافیک پای ته رسولو مسولیت لري. د شبکې په اصلي برخه کې موقعیت لري AMF، کوم چې د NAS امنیتي میکانیزمونو څخه ترافیک پای ته رسوي. اوسنی 3GPP 5G مرحله 1 مشخصات ترکیب بیانوي AMF د خوندیتوب فعالیت سره SEAF، د لیدل شوي (خدمت کولو) شبکې ریټ کیلي (د "لنگر کیلي" په نوم هم پیژندل کیږي) لري. AUSF د بریالي تصدیق وروسته ترلاسه شوي کیلي ذخیره کولو مسؤلیت لري. دا په هغه قضیو کې د بیا کارولو لپاره اړین دی چیرې چې کارونکي په ورته وخت کې د څو راډیو لاسرسي شبکو سره وصل وي. ARPF د کارونکي اسناد ذخیره کوي او د پیرودونکو لپاره د USIM انلاګ دی. UDR и LTM د کاروونکي معلومات ذخیره کړئ، کوم چې د اعتبار، کارن IDs، د ناستې دوام ډاډمن کولو، او داسې نورو لپاره د منطق ټاکلو لپاره کارول کیږي.

د کلیدونو درجه بندي او د دوی د توزیع سکیمونه

په پنځم نسل شبکو کې، د 5G-LTE شبکو برعکس، د تصدیق کولو پروسه دوه برخې لري: ابتدايي او ثانوي تصدیق. لومړني تصدیق د ټولو کاروونکو وسیلو لپاره اړین دی چې شبکې سره وصل وي. ثانوي تصدیق د بهرنیو شبکو په غوښتنه ترسره کیدی شي، که چیرې پیرودونکي دوی سره وصل شي.

د لومړني تصدیق بریالیتوب او د کارونکي او شبکې تر مینځ د ګډ کیلي K پراختیا وروسته ، KSEAF د K K - د خدمت کولو شبکې ځانګړي اینکر (روټ) کیلي څخه ایستل کیږي. وروسته بیا، کیلي د دې کیلي څخه رامینځته کیږي ترڅو د RRC او NAS سیګنال ترافیک ډیټا محرمیت او بشپړتیا یقیني کړي.

ډیاګرام د توضیحاتو سره
اشاره:
CK د سیفر کیلي
IK (انګریزي: Integrity Key) - یوه کلیمه چې د معلوماتو د بشپړتیا ساتنې میکانیزمونو کې کارول کیږي.
CK' (eng. Cipher Key) - د EAP-AKA میکانیزم لپاره د CK څخه جوړ شوی بل کریپټوګرافیک کیلي.
IK' (د انګلیسي بشپړتیا کیلي) - بل کلی چې د EAP-AKA لپاره د ډیټا بشپړتیا محافظت میکانیزمونو کې کارول کیږي.
KAUSF - د ARPF فعالیت او د کارونکي تجهیزاتو لخوا رامینځته شوی CK и IK د 5G AKA او EAP-AKA په جریان کې.
KSEAF - د کیلي څخه د AUSF فنکشن لخوا ترلاسه شوي لنگر کیلي د ‏‎KAMFAUSF.
KAMF - د کیلي څخه د SEAF فنکشن لخوا ترلاسه شوي کیلي KSEAF.
KNASint, KNASenc - کیلي د کیلي څخه د AMF فنکشن لخوا ترلاسه شوي KAMF د NAS سیګنلینګ ترافیک ساتنه.
KRRCint, KRRCenc - کیلي د کیلي څخه د AMF فنکشن لخوا ترلاسه شوي KAMF د RRC سیګنال ټرافیک ساتنه.
KUPint, KUPenc - کیلي د کیلي څخه د AMF فنکشن لخوا ترلاسه شوي KAMF د AS سیګنال ټرافیک ساتنه.
NH - منځمهاله کیلي د کیلي څخه د AMF فنکشن لخوا ترلاسه کیږي KAMF د سپارلو پرمهال د معلوماتو امنیت ډاډمن کول.
KgNB - د کیلي څخه د AMF فعالیت لخوا ترلاسه شوي کیلي KAMF د خوځښت میکانیزمونو خوندیتوب ډاډمن کول.

د SUPI څخه د SUCI او برعکس د تولید لپاره سکیمونه

د SUPI او SUCI ترلاسه کولو لپاره سکیمونه

د SUCI څخه SUCI او د SUCI څخه SUPI تولید:

تصدیق کول

لومړني تصدیق

په 5G شبکو کې، EAP-AKA او 5G AKA د معیاري لومړني تصدیق میکانیزمونه دي. راځئ چې د اصلي تصدیق کولو میکانیزم په دوه مرحلو ویشو: لومړی د تصدیق پیل کولو او د تصدیق کولو میتود غوره کولو مسؤل دی ، دوهم د کارونکي او شبکې ترمینځ د دوه اړخیز تصدیق مسؤلیت لري.

نوښت

کارونکي SEAF ته د راجسټریشن غوښتنه وړاندې کوي، کوم چې د کارونکي پټ ګډون ID SUCI لري.

SEAF AUSF ته د تصدیق غوښتنې پیغام (Nausf_UEAuthentication_Authenticate Request) لیږي چې پکې SNN (د شبکې نوم خدمت کول) او SUPI یا SUCI شامل دي.

AUSF ګوري چې ایا د SEAF تصدیق غوښتونکي ته اجازه ورکړل شوې چې ورکړل شوی SNN وکاروي. که چیرې د خدمت کولو شبکه د دې SNN کارولو اجازه نلري، نو AUSF د "خدمت کولو شبکه مجاز نه ده" (Nausf_UEAuthentication_Authenticate Response) سره ځواب ورکوي.

د تصدیق اسناد د AUSF لخوا UDM، ARPF یا SIDF ته د SUPI یا SUCI او SNN له لارې غوښتل کیږي.

د SUPI یا SUCI او د کارونکي معلوماتو پراساس، UDM/ARPF د بل کارولو لپاره د تصدیق کولو میتود غوره کوي او د کارونکي اسناد مسله کوي.

متقابل اعتبار

کله چې د تصدیق کولو کومې طریقې کاروئ، د UDM/ARPF شبکې فعالیتونه باید د تصدیق ویکتور (AV) تولید کړي.

EAP-AKA: UDM/ARPF لومړی د بیټ AMF = 1 جلا کولو سره د تصدیق ویکتور رامینځته کوي ، بیا تولیدوي CK' и IK' د CK, IK او SNN او د نوي AV تصدیق ویکتور جوړوي (RAND، AUTN، XRES*، CK', IK')، کوم چې AUSF ته د لارښوونو سره لیږل کیږي چې یوازې د EAP-AKA لپاره یې وکاروي.

5G اکا: UDM/ARPF کلیدي ترلاسه کوي KAUSF د CK, IK او SNN، چې وروسته دا د 5G HE AV تولیدوي. 5G د کور چاپیریال تصدیق ویکتور). د 5G HE AV تصدیق ویکتور (RAND، AUTN، XRES، KAUSF) AUSF ته د لارښوونو سره لیږل کیږي چې دا یوازې د 5G AKA لپاره وکاروي.

د دې وروسته AUSF د لنگر کیلي ترلاسه کیږي KSEAF له کیلي څخه KAUSF او د "Nausf_UEAauthentication_Authenticate Response" په پیغام کې SEAF "ننګونې" ته غوښتنه لیږي، چې RAND، AUTN او RES* هم لري. بیا، RAND او AUTN د خوندي NAS سیګنلینګ پیغام په کارولو سره د کارونکي تجهیزاتو ته لیږدول کیږي. د کارونکي USIM د ترلاسه شوي RAND او AUTN څخه RES* محاسبه کوي او SEAF ته لیږي. SEAF دا ارزښت AUSF ته د تصدیق لپاره رسوي.

AUSF په دې کې ذخیره شوي XRES* او د کارونکي څخه ترلاسه شوي RES* پرتله کوي. که چیرې لوبه شتون ولري ، د آپریټر کور شبکه کې AUSF او UDM د بریالي تصدیق کولو څخه خبریږي ، او کارونکي او SEAF په خپلواکه توګه یو کیلي رامینځته کوي KAMF د KSEAF او د نورو اړیکو لپاره SUPI.

ثانوي تصدیق

د 5G معیار د کارونکي تجهیزاتو او بهرني ډیټا شبکې ترمینځ د EAP-AKA پراساس اختیاري ثانوي تصدیق ملاتړ کوي. په دې حالت کې، SMF د EAP تصدیق کونکي رول لوبوي او په کار تکیه کوي AAA- د بهرنۍ شبکې سرور چې د کارونکي تصدیق او اجازه ورکوي.

• په کور شبکه کې د لومړني کارونکي لازمي تصدیق پیښیږي او د AMF سره د NAS امنیت عمومي شرایط رامینځته کیږي.
• کارن AMF ته د ناستې د جوړولو لپاره غوښتنه لیږي.
• AMF SMF ته د ناستې د جوړولو غوښتنه لیږي چې د کارونکي SUPI په ګوته کوي.
• SMF د چمتو شوي SUPI په کارولو سره په UDM کې د کارونکي اعتبار تاییدوي.
• SMF د AMF غوښتنې ته ځواب لیږي.
• SMF په بهرنۍ شبکه کې د AAA سرور څخه د ناستې رامینځته کولو اجازه ترلاسه کولو لپاره د EAP تصدیق کولو طرزالعمل پیل کوي. د دې کولو لپاره، SMF او کاروونکي د پروسې پیل کولو لپاره پیغامونه تبادله کوي.
• کارونکي او د بهرنۍ شبکې AAA سرور بیا د کارونکي تصدیق او تایید لپاره پیغامونه تبادله کوي. په دې حالت کې، کاروونکي SMF ته پیغامونه لیږي، چې په پایله کې یې د UPF له لارې بهرنۍ شبکې سره پیغامونه تبادله کوي.

پایلې

که څه هم د 5G امنیت جوړښت د موجوده ټیکنالوژیو بیا کارولو پراساس دی ، دا په بشپړ ډول نوي ننګونې رامینځته کوي. د IoT وسیلو لوی شمیر ، پراخه شوي شبکې حدود او غیر متمرکز جوړښت عناصر یوازې د 5G معیار ځینې کلیدي اصول دي چې د سایبر جنایتکارانو تصور ته وړیا تقویه ورکوي.

د 5G امنیت جوړښت لپاره اصلي معیار دی TS 23.501 نسخه 15.6.0 - د امنیتي میکانیزمونو او طرزالعملونو د عملیاتو کلیدي ټکي لري. په ځانګړې توګه، دا د کاروونکي ډیټا او د شبکې نوډونو ساتنه، د کریپټو کلیدونو په جوړولو او د تصدیق کولو پروسې پلي کولو کې د هر VNF رول تشریح کوي. مګر حتی دا معیار د فشار امنیتي مسلو ته ځواب نه ورکوي چې د مخابراتو آپریټرانو سره مخ کیږي ډیری وختونه د نوي نسل شبکې په شدت سره رامینځته کیږي او فعالیت کوي.

پدې برخه کې ، زه غواړم باور ولرم چې د 5th نسل شبکې د چلولو او ساتنې ستونزې به په هیڅ ډول په عادي کاروونکو اغیزه ونکړي ، کوم چې د لیږد سرعت او ځوابونو ژمنه شوې لکه د مور د ملګري زوی او دمخه یې هڅه کولو ته لیواله دي. د نوي نسل شبکې اعلان شوي وړتیاوې.

ګټور لینکونه

د 3GPP مشخصاتو لړۍ
د 5G امنیت جوړښت
د 5G سیسټم جوړښت
5G ويکي
د 5G جوړښت یادښتونه
د 5G امنیت عمومي کتنه

سرچینه: www.habr.com