Je zrejmé, že prijať vývoj nového komunikačného štandardu bez premýšľania o bezpečnostných mechanizmoch je mimoriadne pochybné a márne úsilie.

5G bezpečnostná architektúra — súbor bezpečnostných mechanizmov a postupov zavedených v Siete 5. generácie a pokrýva všetky komponenty siete, od jadra po rádiové rozhrania.

Siete 5. generácie sú v podstate evolúciou LTE siete 4. generácie. Najvýraznejšími zmenami prešli technológie rádiového prístupu. Pre siete 5. generácie novinka POTKAN (Radio Access Technology) - Nové 5G rádio. Čo sa týka jadra siete, neprešlo až takými výraznými zmenami. V tomto smere bola bezpečnostná architektúra 5G sietí vyvinutá s dôrazom na opätovné použitie relevantných technológií prijatých v štandarde 4G LTE.

Je však potrebné poznamenať, že prehodnotenie známych hrozieb, ako sú útoky na vzdušné rozhrania a signalizačnú vrstvu (signalizácia lietadlo), útoky DDOS, útoky Man-In-The-Middle atď., podnietili telekomunikačných operátorov k vývoju nových štandardov a integrácii úplne nových bezpečnostných mechanizmov do sietí 5. generácie.

Предпосылки

Medzinárodná telekomunikačná únia vypracovala v roku 2015 prvý svojho druhu celosvetový plán rozvoja sietí piatej generácie, preto sa otázka rozvoja bezpečnostných mechanizmov a postupov v sieťach 5G stala obzvlášť akútnou.

Nová technológia ponúkala skutočne pôsobivé rýchlosti prenosu dát (viac ako 1 Gbps), latenciu menšiu ako 1 ms a možnosť súčasne pripojiť približne 1 milión zariadení v okruhu 1 km2. Takéto najvyššie požiadavky na siete 5. generácie sa odrážajú aj v princípoch ich organizácie.

Hlavným bola decentralizácia, ktorá znamenala umiestnenie mnohých lokálnych databáz a ich spracovateľských centier na perifériu siete. To umožnilo minimalizovať oneskorenia pri M2M-komunikácia a odľahčenie jadra siete vďaka obsluhe obrovského množstva zariadení internetu vecí. Okraj sietí novej generácie sa tak rozšíril až po základňové stanice, čo umožnilo vytváranie miestnych komunikačných centier a poskytovanie cloudových služieb bez rizika kritického oneskorenia alebo odmietnutia služby. Prirodzene, zmenený prístup k sieťovaniu a zákazníckemu servisu bol pre útočníkov zaujímavý, pretože im otvoril nové možnosti útočiť na dôverné používateľské informácie a samotné sieťové komponenty s cieľom spôsobiť odmietnutie služby alebo zabaviť výpočtové zdroje operátora.

Hlavné zraniteľnosti sietí 5. generácie

Veľká útočná plocha

viacPri budovaní telekomunikačných sietí 3. a 4. generácie sa telekomunikační operátori zvyčajne obmedzovali na spoluprácu s jedným alebo viacerými dodávateľmi, ktorí okamžite dodali súbor hardvéru a softvéru. To znamená, že všetko by mohlo fungovať, ako sa hovorí, „po vybalení“ - stačilo len nainštalovať a nakonfigurovať zariadenie zakúpené od predajcu; nebolo potrebné nahrádzať alebo dopĺňať proprietárny softvér. Moderné trendy sú v rozpore s týmto „klasickým“ prístupom a sú zamerané na virtualizáciu sietí, multi-vendorový prístup k ich výstavbe a softvérovú diverzitu. Technológie ako napr SDN (anglická softvérovo definovaná sieť) a NFV (English Network Functions Virtualization), čo vedie k začleneniu obrovského množstva softvéru postaveného na báze otvorených zdrojových kódov do procesov a funkcií správy komunikačných sietí. To dáva útočníkom príležitosť lepšie študovať sieť operátora a identifikovať väčší počet zraniteľností, čo zase zvyšuje útočnú plochu sietí novej generácie v porovnaní so súčasnými.

Veľké množstvo IoT zariadení

viacDo roku 2021 bude asi 57 % zariadení pripojených k 5G sieťam IoT. To znamená, že väčšina hostiteľov bude mať obmedzené kryptografické schopnosti (pozri bod 2), a preto bude zraniteľná voči útokom. Obrovské množstvo takýchto zariadení zvýši riziko šírenia botnetov a umožní vykonávať ešte výkonnejšie a distribuované DDoS útoky.

Obmedzené kryptografické schopnosti zariadení internetu vecí

viacAko už bolo spomenuté, siete 5. generácie aktívne využívajú periférne zariadenia, ktoré umožňujú odstrániť časť záťaže z jadra siete a tým znížiť latenciu. Je to potrebné pre také dôležité služby, ako je kontrola bezpilotných vozidiel, núdzový varovný systém IMS a iní, pre ktorých je zabezpečenie minimálneho zdržania kritické, pretože na ňom závisia ľudské životy. Vďaka pripojeniu veľkého množstva IoT zariadení, ktoré majú vzhľadom na svoje malé rozmery a nízku spotrebu energie veľmi obmedzené výpočtové zdroje, sa 5G siete stávajú zraniteľnými voči útokom zameraným na zachytenie kontroly a následnej manipulácie s takýmito zariadeniami. Môžu sa napríklad vyskytnúť situácie, keď sú infikované zariadenia internetu vecí, ktoré sú súčasťou systému.inteligentný dom“, typy malvéru ako napr Ransomvér a ransomvér. Možné sú aj scenáre zachytenia riadenia bezpilotných prostriedkov, ktoré prijímajú príkazy a navigačné informácie cez cloud. Formálne je táto zraniteľnosť spôsobená decentralizáciou sietí novej generácie, ale nasledujúci odsek načrtne problém decentralizácie jasnejšie.

Decentralizácia a rozšírenie hraníc siete

viacPeriférne zariadenia, ktoré zohrávajú úlohu jadier lokálnej siete, vykonávajú smerovanie používateľskej prevádzky, spracúvanie požiadaviek, ako aj lokálne ukladanie do vyrovnávacej pamäte a ukladanie používateľských údajov. Hranice sietí 5. generácie sa tak rozširujú okrem jadra aj na periférie, vrátane lokálnych databáz a rádiových rozhraní 5G-NR (5G New Radio). To vytvára príležitosť zaútočiť na výpočtové zdroje lokálnych zariadení, ktoré sú a priori slabšie chránené ako centrálne uzly jadra siete, s cieľom spôsobiť odmietnutie služby. To môže viesť k odpojeniu prístupu na internet pre celé oblasti, nesprávnemu fungovaniu IoT zariadení (napríklad v systéme inteligentnej domácnosti), ako aj nedostupnosti pohotovostnej pohotovostnej služby IMS.

ETSI a 3GPP však teraz zverejnili viac ako 10 štandardov pokrývajúcich rôzne aspekty bezpečnosti siete 5G. Prevažná väčšina tam opísaných mechanizmov je zameraná na ochranu pred zraniteľnosťami (vrátane tých, ktoré sú opísané vyššie). Jedným z hlavných je štandard TS 23.501 verzia 15.6.0, popisujúci bezpečnostnú architektúru sietí 5. generácie.

5G architektúra

Najprv sa pozrime na kľúčové princípy architektúry 5G siete, ktoré ďalej plne odhalia význam a oblasti zodpovednosti každého softvérového modulu a každej bezpečnostnej funkcie 5G.

• Rozdelenie uzlov siete na prvky, ktoré zabezpečujú chod protokolov vlastné lietadlo (z anglického UP – User Plane) a prvky, ktoré zabezpečujú chod protokolov riadiaca rovina (z anglického CP - Control Plane), čo zvyšuje flexibilitu z hľadiska škálovania a rozmiestnenia siete, t.j. je možné centralizované alebo decentralizované umiestnenie jednotlivých komponentov sieťových uzlov.
• Podpora mechanizmu delenie siete, na základe služieb poskytovaných špecifickým skupinám koncových užívateľov.
• Implementácia sieťových prvkov vo forme funkcie virtuálnej siete.
• Podpora simultánneho prístupu k centralizovaným a lokálnym službám, t.j. implementácia cloudových konceptov (z angl. fog computing) a hranica (z angl. hrany) výpočty.
• Реализация konvergentné architektúra kombinujúca rôzne typy prístupových sietí - 3GPP 5G New Radio a non-3GPP (Wi-Fi atď.) - s jediným sieťovým jadrom.
• Podpora jednotných algoritmov a autentifikačných procedúr bez ohľadu na typ prístupovej siete.
• Podpora pre bezstavové sieťové funkcie, v ktorých je vypočítaný zdroj oddelený od úložiska prostriedkov.
• Podpora roamingu so smerovaním prevádzky ako cez domácu sieť (z anglického home-routed roaming), tak aj s lokálnym „pristátím“ (z angl. local breakout) v hosťovskej sieti.
• Interakcia medzi sieťovými funkciami je reprezentovaná dvoma spôsobmi: orientované na služby и rozhranie.

Koncepcia zabezpečenia siete 5. generácie zahŕňa:

• Overenie používateľa zo siete.
• Overenie siete používateľom.
• Vyjednávanie kryptografických kľúčov medzi sieťou a užívateľským zariadením.
• Šifrovanie a kontrola integrity signalizačnej prevádzky.
• Šifrovanie a kontrola integrity používateľskej prevádzky.
• Ochrana ID používateľa.
• Ochrana rozhraní medzi rôznymi sieťovými prvkami v súlade s koncepciou domény bezpečnosti siete.
• Izolácia rôznych vrstiev mechanizmu delenie siete a definovanie vlastných úrovní zabezpečenia každej vrstvy.
• Autentifikácia používateľov a ochrana prevádzky na úrovni koncových služieb (IMS, IoT a iné).

Kľúčové softvérové ​​moduly a funkcie zabezpečenia siete 5G

AMF (z anglického Access & Mobility Management Function - funkcia riadenia prístupu a mobility) - poskytuje:

• Organizácia rozhraní riadiacej roviny.
• Organizácia výmeny signalizačnej prevádzky RRC, šifrovanie a ochranu integrity jeho údajov.
• Organizácia výmeny signalizačnej prevádzky NAS, šifrovanie a ochranu integrity jeho údajov.
• Riadenie registrácie užívateľského zariadenia v sieti a sledovanie prípadných registračných stavov.
• Riadenie pripojenia užívateľského zariadenia do siete a sledovanie možných stavov.
• Ovládajte dostupnosť používateľského zariadenia v sieti v stave CM-IDLE.
• Správa mobility používateľského zariadenia v sieti v stave CM-CONNECTED.
• Prenos krátkych správ medzi užívateľským zariadením a SMF.
• Správa lokalizačných služieb.
• Pridelenie ID vlákna EPS na interakciu s EPS.

SMF (anglicky: Session Management Function - funkcia správy relácie) - poskytuje:

• Manažment komunikačných relácií, t.j. vytváranie, modifikácia a uvoľňovanie relácií, vrátane udržiavania tunela medzi prístupovou sieťou a UPF.
• Distribúcia a správa IP adries užívateľských zariadení.
• Výber brány UPF na použitie.
• Organizácia interakcie s PCF.
• Riadenie presadzovania pravidiel QoS.
• Dynamická konfigurácia používateľského zariadenia pomocou protokolov DHCPv4 a DHCPv6.
• Monitorovanie zberu tarifných údajov a organizovanie interakcie s fakturačným systémom.
• Bezproblémové poskytovanie služieb (z angl. SSC - Session and Service Continuity).
• Interakcia s hosťovskými sieťami v rámci roamingu.

UPF (anglická funkcia užívateľskej roviny - funkcia užívateľskej roviny) - poskytuje:

• Interakcia s externými dátovými sieťami vrátane globálneho internetu.
• Smerovanie užívateľských paketov.
• Označovanie paketov v súlade s politikami QoS.
• Diagnostika užívateľského balíka (napríklad detekcia aplikácií na základe podpisu).
• Poskytovanie správ o využívaní premávky.
• UPF je tiež kotviacim bodom pre podporu mobility v rámci rôznych technológií rádiového prístupu aj medzi nimi.

UDM (anglicky Unified Data Management - jednotná databáza) - poskytuje:

• Správa údajov profilu používateľa vrátane ukladania a úpravy zoznamu služieb dostupných používateľom a ich zodpovedajúcich parametrov.
• management SUPI
• Vygenerujte overovacie poverenia 3GPP AKA.
• Autorizácia prístupu na základe údajov profilu (napríklad obmedzenia roamingu).
• Správa registrácie používateľov, t. j. ukladanie obsluhujúceho AMF.
• Podpora bezproblémových servisných a komunikačných relácií, t.j. ukladanie SMF priradených k aktuálnej komunikačnej relácii.
• Správa doručovania SMS.
• Niekoľko rôznych UDM môže slúžiť rovnakému používateľovi v rôznych transakciách.

UDR (anglicky Unified Data Repository – úložisko zjednotených dát) – poskytuje úložisko rôznych užívateľských dát a je vlastne databázou všetkých účastníkov siete.

UDSF (anglicky Unstructured Data Storage Function - funkcia ukladania neštruktúrovaných dát) - zabezpečuje, že moduly AMF ukladajú aktuálne kontexty registrovaných používateľov. Vo všeobecnosti môžu byť tieto informácie prezentované ako údaje neurčitej štruktúry. Užívateľské kontexty môžu byť použité na zabezpečenie plynulých a neprerušovaných relácií predplatiteľov, a to ako počas plánovaného vyradenia jedného z AMF zo služby, tak aj v prípade núdze. V oboch prípadoch záložný AMF „vyzdvihne“ službu pomocou kontextov uložených v USDF.

Kombinácia UDR a UDSF na rovnakej fyzickej platforme je typickou implementáciou týchto sieťových funkcií.

PCF (anglicky: Policy Control Function - policy control function) - vytvára a priraďuje používateľom určité zásady služieb, vrátane parametrov QoS a pravidiel spoplatňovania. Napríklad na prenos jedného alebo druhého typu prevádzky možno dynamicky vytvárať virtuálne kanály s rôznymi charakteristikami. Súčasne je možné brať do úvahy požiadavky služby požadované účastníkom, úroveň preťaženia siete, množstvo spotrebovanej prevádzky atď.

NEF (anglicky Network Exposure Function - funkcia sieťovej expozície) - poskytuje:

• Organizácia bezpečnej interakcie externých platforiem a aplikácií s jadrom siete.
• Spravujte parametre QoS a pravidlá spoplatňovania pre konkrétnych používateľov.

SEAF (English Security Anchor Function - kotevná bezpečnostná funkcia) - spolu s AUSF poskytuje autentifikáciu užívateľov pri registrácii v sieti akoukoľvek prístupovou technológiou.

Ausf (anglicky Authentication Server Function - funkcia autentifikačného servera) - hrá úlohu autentifikačného servera, ktorý prijíma a spracováva požiadavky od SEAF a presmeruje ich na ARPF.

ARPF (anglicky: Authentication Credential Repository and Processing Function - funkcia ukladania a spracovania autentifikačných poverení) - zabezpečuje ukladanie osobných tajných kľúčov (KI) a parametrov kryptografických algoritmov, ako aj generovanie autentifikačných vektorov v súlade s 5G-AKA resp. EAP-AKA. Je umiestnený v dátovom centre domáceho telekomunikačného operátora, chránený pred vonkajšími fyzickými vplyvmi a spravidla je integrovaný s UDM.

SCMF (anglická funkcia správy kontextu zabezpečenia - funkcia správy bezpečnostný kontext) – Poskytuje správu životného cyklu pre kontext zabezpečenia 5G.

SPCF (anglicky Security Policy Control Function - funkcia riadenia bezpečnostnej politiky) - zabezpečuje koordináciu a aplikáciu bezpečnostných politík vo vzťahu ku konkrétnym používateľom. Toto zohľadňuje možnosti siete, možnosti používateľského zariadenia a požiadavky špecifickej služby (napríklad úrovne ochrany poskytovanej kritickou komunikačnou službou a službou bezdrôtového širokopásmového prístupu na internet sa môžu líšiť). Aplikácia bezpečnostných politík zahŕňa: výber AUSF, výber autentifikačného algoritmu, výber šifrovania dát a algoritmov kontroly integrity, určenie dĺžky a životného cyklu kľúčov.

SIDF (English Subscription Identifier De-concealing Function - funkcia extrakcie užívateľského identifikátora) - zabezpečuje extrakciu trvalého identifikátora predplatného účastníka (anglicky SUPI) zo skrytého identifikátora (angl. SUCI), ktorá bola prijatá ako súčasť žiadosti o overenie „Požiadavka na informácie o autentifikácii“.

Základné bezpečnostné požiadavky na komunikačné siete 5G

viacOverenie používateľa: Obsluhujúca sieť 5G musí overiť SUPI používateľa v procese 5G AKA medzi používateľom a sieťou.

Poskytovanie sieťovej autentifikácie: Používateľ musí overiť ID obslužnej siete 5G, pričom overenie sa dosiahne úspešným použitím kľúčov získaných prostredníctvom postupu 5G AKA.

Autorizácia užívateľa: Obsluhujúca sieť musí autorizovať používateľa pomocou používateľského profilu prijatého zo siete domáceho telekomunikačného operátora.

Autorizácia obslužnej siete sieťou domáceho operátora: Používateľovi musí byť poskytnuté potvrdenie, že je pripojený k servisnej sieti, ktorá má oprávnenie od siete domáceho operátora na poskytovanie služieb. Autorizácia je implicitná v tom zmysle, že je zabezpečená úspešným dokončením postupu 5G AKA.

Autorizácia prístupovej siete sieťou domáceho operátora: Používateľovi musí byť poskytnuté potvrdenie, že je pripojený k prístupovej sieti, ktorá má oprávnenie od siete domáceho operátora na poskytovanie služieb. Autorizácia je implicitná v tom zmysle, že sa vynucuje úspešným vytvorením bezpečnosti prístupovej siete. Tento typ autorizácie sa musí použiť pre akýkoľvek typ prístupovej siete.

Neoverené pohotovostné služby: Na splnenie regulačných požiadaviek v niektorých regiónoch musia siete 5G poskytovať núdzovým službám neoverený prístup.

Jadro siete a rádiová prístupová sieť: Jadro siete 5G a sieť s rádiovým prístupom 5G musia podporovať použitie 128-bitového šifrovania a algoritmov integrity na zaistenie bezpečnosti AS и NAS. Sieťové rozhrania musia podporovať 256-bitové šifrovacie kľúče.

Základné bezpečnostné požiadavky na užívateľské zariadenia

viac

• Používateľské zariadenie musí podporovať šifrovanie, ochranu integrity a ochranu pred opakovanými útokmi pre používateľské dáta prenášané medzi ním a sieťou s rádiovým prístupom.
• Používateľské zariadenie musí aktivovať šifrovanie a mechanizmy ochrany integrity dát podľa pokynov siete s rádiovým prístupom.
• Používateľské vybavenie musí podporovať šifrovanie, ochranu integrity a ochranu pred opakovanými útokmi pre signalizáciu RRC a NAS.
• Používateľské vybavenie musí podporovať nasledujúce kryptografické algoritmy: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Používateľské vybavenie môže podporovať nasledujúce kryptografické algoritmy: 128-NEA3, 128-NIA3.
• Používateľské zariadenie musí podporovať nasledujúce kryptografické algoritmy: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, ak podporuje pripojenie k rádiovej prístupovej sieti E-UTRA.
• Ochrana dôvernosti užívateľských dát prenášaných medzi užívateľským zariadením a rádiovou prístupovou sieťou je voliteľná, ale musí byť zabezpečená vždy, keď to povoľuje nariadenie.
• Ochrana súkromia pre signalizáciu RRC a NAS je voliteľná.
• Trvalý kľúč používateľa musí byť chránený a uložený v dobre zabezpečených komponentoch používateľského zariadenia.
• Identifikátor trvalého predplatného predplatiteľa by nemal byť prenášaný ako čistý text cez rádiovú prístupovú sieť, s výnimkou informácií potrebných na správne smerovanie (napr. MCC и MNC).
• Verejný kľúč siete domáceho operátora, identifikátor kľúča, identifikátor bezpečnostnej schémy a smerovací identifikátor musia byť uložené v USIM.

Každý šifrovací algoritmus je spojený s binárnym číslom:

• "0000": NEA0 - nulový šifrovací algoritmus
• "0001": 128-NEA1 - 128-bit SNEH Algoritmus založený na 3G
• "0010" 128-NEA2 - 128-bit AES založený na algoritme
• "0011" 128-NEA3 - 128-bit ZUC založený na algoritme

Šifrovanie údajov pomocou 128-NEA1 a 128-NEA2

PS Obvod je požičaný z TS 133.501

Generovanie simulovaných vložiek pomocou algoritmov 128-NIA1 a 128-NIA2 na zabezpečenie integrity

PS Obvod je požičaný z TS 133.501

Základné bezpečnostné požiadavky pre funkcie siete 5G

viac

• AMF musí podporovať primárnu autentifikáciu pomocou SUCI.
• SEAF musí podporovať primárnu autentifikáciu pomocou SUCI.
• UDM a ARPF musia uchovávať trvalý kľúč používateľa a zabezpečiť, aby bol chránený pred krádežou.
• AUSF poskytne SUPI lokálnej obslužnej sieti iba po úspešnej počiatočnej autentifikácii pomocou SUCI.
• NEF nesmie preposielať skryté informácie o základnej sieti mimo bezpečnostnú doménu operátora.

Základné bezpečnostné postupy

Dôverovať doménam

V sieťach 5. generácie dôvera v sieťové prvky klesá, keď sa prvky vzďaľujú od jadra siete. Tento koncept ovplyvňuje rozhodnutia implementované v bezpečnostnej architektúre 5G. Môžeme teda hovoriť o dôveryhodnom modeli sietí 5G, ktorý určuje správanie mechanizmov zabezpečenia siete.

Na strane užívateľa je dôveryhodná doména tvorená UICC a USIM.

Na strane siete má dôveryhodná doména zložitejšiu štruktúru.

Rádiová prístupová sieť je rozdelená na dve zložky − DU (z anglického Distributed Units – distribuované sieťové jednotky) a CU (z anglického Central Units – centrálne jednotky siete). Spolu tvoria gNB — rádiové rozhranie základnej stanice siete 5G. Následní používatelia nemajú priamy prístup k užívateľským údajom, pretože ich možno nasadiť na nechránených segmentoch infraštruktúry. CU musia byť nasadené v chránených segmentoch siete, pretože sú zodpovedné za ukončenie prevádzky z bezpečnostných mechanizmov AS. V jadre siete sa nachádza AMF, ktorý ukončí prevádzku z bezpečnostných mechanizmov NAS. Aktuálna špecifikácia 3GPP 5G Phase 1 popisuje kombináciu AMF s bezpečnostnou funkciou SEAF, ktorý obsahuje koreňový kľúč (známy aj ako „kľúč kotvy“) navštívenej (obslužnej) siete. Ausf je zodpovedný za uloženie kľúča získaného po úspešnej autentifikácii. Je potrebné na opätovné použitie v prípadoch, keď je používateľ súčasne pripojený k viacerým rádiovým prístupovým sieťam. ARPF uchováva používateľské poverenia a je analógom USIM pre predplatiteľov. UDR и UDM ukladať informácie o používateľovi, ktoré sa používajú na určenie logiky generovania poverení, ID používateľov, zabezpečenia kontinuity relácie atď.

Hierarchia kľúčov a ich distribučné schémy

V sieťach 5. generácie, na rozdiel od sietí 4G-LTE, má postup autentifikácie dve zložky: primárnu a sekundárnu autentifikáciu. Primárna autentifikácia sa vyžaduje pre všetky používateľské zariadenia pripájajúce sa k sieti. Sekundárna autentifikácia môže byť vykonaná na požiadanie z externých sietí, ak sa k nim účastník pripojí.

Po úspešnom dokončení primárnej autentifikácie a vývoji zdieľaného kľúča K medzi používateľom a sieťou sa KSEAF extrahuje z kľúča K - špeciálneho kotevného (koreňového) kľúča obsluhujúcej siete. Následne sa z tohto kľúča vygenerujú kľúče, aby sa zabezpečila dôvernosť a integrita signalizačných prevádzkových údajov RRC a NAS.

Diagram s vysvetlivkami
označenie:
CK Šifrovací kľúč
IK (anglicky: Integrity Key) – kľúč používaný v mechanizmoch ochrany integrity údajov.
CK' (angl. Cipher Key) - ďalší kryptografický kľúč vytvorený z CK pre mechanizmus EAP-AKA.
IK' (English Integrity Key) – ďalší kľúč používaný v mechanizmoch ochrany integrity údajov pre EAP-AKA.
KAUSF - generované funkciou ARPF a užívateľským zariadením z CK и IK počas 5G AKA a EAP-AKA.
KSEAF - kotevný kľúč získaný funkciou AUSF z kľúča KAMFAUSF.
KAMF — kľúč získaný funkciou SEAF z kľúča KSEAF.
KNASint, KNASenc — kľúče získané funkciou AMF z kľúča KAMF na ochranu signalizácie NAS.
KRRCint, KRRCenc — kľúče získané funkciou AMF z kľúča KAMF na ochranu signalizácie RRC.
KUPint, KUPenc — kľúče získané funkciou AMF z kľúča KAMF na ochranu signalizácie AS.
NH — prechodný kľúč získaný funkciou AMF z kľúča KAMF na zaistenie bezpečnosti údajov pri odovzdávaní.
KgNB — kľúč získaný funkciou AMF z kľúča KAMF zabezpečiť bezpečnosť mechanizmov mobility.

Schémy na generovanie SUCI zo SUPI a naopak

Schémy na získanie SUPI a SUCI

Výroba SUCI od SUPI a SUPI od SUCI:

overenie pravosti

Primárna autentifikácia

V sieťach 5G sú štandardné primárne mechanizmy autentifikácie EAP-AKA a 5G AKA. Rozdeľme primárny autentifikačný mechanizmus na dve fázy: prvá je zodpovedná za spustenie autentifikácie a výber metódy autentifikácie, druhá je zodpovedná za vzájomnú autentifikáciu medzi používateľom a sieťou.

Zasvätenie

Používateľ odošle žiadosť o registráciu do SEAF, ktorá obsahuje skryté ID predplatného používateľa SUCI.

SEAF odošle do AUSF správu s požiadavkou na overenie (Nausf_UEAuthentication_Authenticate Request) obsahujúcu SNN (Serving Network Name) a SUPI alebo SUCI.

AUSF skontroluje, či má žiadateľ o autentifikáciu SEAF povolené používať dané SNN. Ak obsluhujúca sieť nemá oprávnenie na používanie tohto SNN, AUSF odpovie chybovým hlásením o autorizácii „Poskytujúca sieť nie je autorizovaná“ (Nausf_UEAuthentication_Authenticate Response).

Autentifikačné údaje požaduje AUSF pre UDM, ARPF alebo SIDF cez SUPI alebo SUCI a SNN.

Na základe SUPI alebo SUCI a informácií o používateľovi UDM/ARPF vyberie metódu overenia, ktorá sa má použiť ako ďalšia, a vydá poverenia používateľa.

Vzájomná autentifikácia

Pri použití akejkoľvek metódy autentifikácie musia funkcie siete UDM/ARPF generovať autentifikačný vektor (AV).

EAP-AKA: UDM/ARPF najprv vygeneruje autentifikačný vektor s oddeľovacím bitom AMF = 1, potom vygeneruje CK' и IK' z CK, IK a SNN a predstavuje nový vektor autentifikácie AV (RAND, AUTN, XRES*, CK', IK'), ktorý sa posiela do AUSF s pokynmi na jeho použitie iba pre EAP-AKA.

5G AKA: UDM/ARPF dostane kľúč KAUSF z CK, IK a SNN, po ktorom generuje 5G HE AV. Vektor na overenie domáceho prostredia 5G). 5G HE AV autentifikačný vektor (RAND, AUTN, XRES, KAUSF) sa odošle do AUSF s pokynmi na použitie iba pre 5G AKA.

Po tomto AUSF sa získa kotviaci kľúč KSEAF z kľúča KAUSF a odošle požiadavku na SEAF „Challenge“ v správe „Nausf_UEAuthentication_Authenticate Response“, ktorá tiež obsahuje RAND, AUTN a RES*. Potom sa RAND a AUTN prenesú do užívateľského zariadenia pomocou zabezpečenej signalizačnej správy NAS. USIM užívateľa vypočíta RES* z prijatých RAND a AUTN a odošle ho do SEAF. SEAF odošle túto hodnotu AUSF na overenie.

AUSF porovnáva XRES* v ňom uložené a RES* prijaté od užívateľa. Ak existuje zhoda, AUSF a UDM v domácej sieti operátora sú informované o úspešnej autentifikácii a používateľ a SEAF nezávisle vygenerujú kľúč KAMF z KSEAF a SUPI pre ďalšiu komunikáciu.

Sekundárna autentifikácia

Štandard 5G podporuje voliteľnú sekundárnu autentifikáciu založenú na EAP-AKA medzi užívateľským zariadením a externou dátovou sieťou. V tomto prípade SMF hrá úlohu autentifikátora EAP a spolieha sa na prácu AAA-externý sieťový server, ktorý overuje a autorizuje používateľa.

• Nastáva povinná počiatočná autentifikácia užívateľa v domácej sieti a spoločný bezpečnostný kontext NAS je vyvinutý s AMF.
• Používateľ odošle do AMF požiadavku na vytvorenie relácie.
• AMF odošle požiadavku na vytvorenie relácie do SMF s uvedením SUPI používateľa.
• SMF overuje poverenia používateľa v UDM pomocou poskytnutého SUPI.
• SMF odošle odpoveď na požiadavku z AMF.
• SMF iniciuje autentifikačnú procedúru EAP na získanie povolenia na vytvorenie relácie zo servera AAA na externej sieti. Za týmto účelom si SMF a používateľ vymieňajú správy na spustenie procedúry.
• Používateľ a server AAA externej siete si potom vymieňajú správy na overenie a autorizáciu používateľa. V tomto prípade používateľ posiela správy do SMF, ktoré si vymieňa správy s externou sieťou cez UPF.

Záver

Hoci je bezpečnostná architektúra 5G založená na opätovnom použití existujúcich technológií, prináša úplne nové výzvy. Obrovské množstvo zariadení internetu vecí, rozšírené hranice siete a prvky decentralizovanej architektúry sú len niektoré z kľúčových princípov štandardu 5G, ktoré dávajú voľný priechod fantázii kyberzločincov.

Základným štandardom pre bezpečnostnú architektúru 5G je TS 23.501 verzia 15.6.0 — obsahuje kľúčové body fungovania bezpečnostných mechanizmov a postupov. Predovšetkým popisuje úlohu každého VNF pri zabezpečovaní ochrany užívateľských dát a sieťových uzlov, pri generovaní krypto kľúčov a pri implementácii autentifikačnej procedúry. Ani tento štandard však neposkytuje odpovede na naliehavé bezpečnostné problémy, ktorým čelia telekomunikační operátori tým častejšie, čím intenzívnejšie sa vyvíjajú a uvádzajú do prevádzky siete novej generácie.

V tejto súvislosti by som chcel veriť, že ťažkosti s prevádzkou a ochranou sietí 5. generácie sa nijako nedotknú bežných používateľov, ktorí majú sľubované prenosové rýchlosti a odozvy ako syn maminej kamarátky a už teraz túžia vyskúšať všetky deklarované schopnosti sietí novej generácie.

Užitočné odkazy

Séria špecifikácií 3GPP
Architektúra zabezpečenia 5G
Architektúra systému 5G
5G Wiki
Poznámky k architektúre 5G
Prehľad zabezpečenia 5G

Zdroj: hab.com