ProHoster > Blog > Uprava > Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Očitno je lotiti se razvoja novega komunikacijskega standarda brez razmišljanja o varnostnih mehanizmih izjemno dvomljivo in jalovo početje.

Varnostna arhitektura 5G — sklop varnostnih mehanizmov in postopkov, implementiranih v Omrežja 5. generacije in pokriva vse omrežne komponente, od jedra do radijskih vmesnikov.

Omrežja 5. generacije so v bistvu evolucija Omrežja LTE 4. generacije. Največ sprememb so doživele tehnologije radijskega dostopa. Za omrežja 5. generacije je nov PODGANA (Tehnologija radijskega dostopa) - Novi radio 5G. Kar zadeva jedro omrežja, ni bilo tako bistvenih sprememb. V zvezi s tem je bila razvita varnostna arhitektura omrežij 5G s poudarkom na ponovni uporabi ustreznih tehnologij, sprejetih v standardu 4G LTE.

Vendar je vredno omeniti, da ponovni razmislek o znanih grožnjah, kot so napadi na zračne vmesnike in signalno plast (signalizacija letalo), napadi DDOS, napadi Man-In-The-Middle itd., so telekomunikacijske operaterje spodbudili k razvoju novih standardov in integraciji popolnoma novih varnostnih mehanizmov v omrežja 5. generacije.

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Ozadje

Leta 2015 je Mednarodna telekomunikacijska zveza pripravila prvi tovrstni globalni načrt za razvoj omrežij pete generacije, zato je vprašanje razvoja varnostnih mehanizmov in postopkov v omrežjih 5G postalo še posebej pereče.

Nova tehnologija je ponudila resnično impresivne hitrosti prenosa podatkov (več kot 1 Gbps), zakasnitev manj kot 1 ms in možnost hkratnega povezovanja približno 1 milijona naprav v radiju 1 km2. Tako najvišje zahteve za omrežja 5. generacije se odražajo tudi v načelih njihove organizacije.

Glavna je bila decentralizacija, ki je pomenila postavitev številnih lokalnih baz podatkov in njihovih procesnih centrov na obrobje omrežja. To je omogočilo zmanjšanje zamud pri M2M-komunikacije in razbremenitev jedra omrežja zaradi servisiranja velikega števila IoT naprav. Tako se je rob omrežij naslednje generacije razširil vse do baznih postaj, kar omogoča ustvarjanje lokalnih komunikacijskih centrov in zagotavljanje storitev v oblaku brez tveganja kritičnih zakasnitev ali zavrnitve storitve. Seveda je bil spremenjen pristop k omrežnemu povezovanju in storitvam za stranke zanimiv za napadalce, saj jim je odprl nove možnosti za napad tako na zaupne podatke uporabnikov kot na same komponente omrežja, da bi povzročili zavrnitev storitve ali zasegli računalniške vire operaterja.

Glavne ranljivosti omrežij 5. generacije

Velika napadalna površina

večPri gradnji telekomunikacijskih omrežij 3. in 4. generacije so bili telekomunikacijski operaterji običajno omejeni na sodelovanje z enim ali več ponudniki, ki so takoj dobavili komplet strojne in programske opreme. To pomeni, da bi vse lahko delovalo, kot pravijo, "izven škatle" - dovolj je bilo samo namestiti in konfigurirati opremo, kupljeno pri prodajalcu; ni bilo potrebe po zamenjavi ali dopolnitvi lastniške programske opreme. Sodobni trendi so v nasprotju s tem »klasičnim« pristopom in so usmerjeni v virtualizacijo omrežij, multivendorski pristop k njihovi izgradnji in programsko raznolikost. Tehnologije, kot je npr SDN (angleško programsko definirano omrežje) in NFV (angleško Network Functions Virtualization), ki vodi do vključevanja ogromne količine programske opreme, zgrajene na osnovi odprtokodnih kod, v procese in funkcije upravljanja komunikacijskih omrežij. To daje napadalcem možnost, da bolje preučijo operaterjevo omrežje in prepoznajo večje število ranljivosti, kar posledično poveča napadalno površino omrežij nove generacije v primerjavi s trenutnimi.

Veliko število IoT naprav

večDo leta 2021 bo približno 57 % naprav, povezanih v omrežja 5G, IoT naprav. To pomeni, da bo imela večina gostiteljev omejene kriptografske zmogljivosti (glejte točko 2) in bodo zato ranljivi za napade. Ogromno število takih naprav bo povečalo tveganje za širjenje botnetov in omogočilo izvajanje še močnejših in porazdeljenih DDoS napadov.

Omejene kriptografske zmogljivosti naprav IoT

večKot smo že omenili, omrežja 5. generacije aktivno uporabljajo periferne naprave, ki omogočajo odstranitev dela obremenitve iz jedra omrežja in s tem zmanjšanje zakasnitve. To je potrebno za tako pomembne storitve, kot je nadzor brezpilotnih vozil, sistem za opozarjanje v sili IMS in drugi, za katere je zagotavljanje minimalne zamude kritično, saj so od tega odvisna človeška življenja. Zaradi povezovanja velikega števila IoT naprav, ki imajo zaradi svoje majhnosti in nizke porabe energije zelo omejene računalniške vire, postanejo 5G omrežja ranljiva za napade, katerih cilj je prestrezanje nadzora in kasnejše manipulacije takih naprav. Obstajajo lahko na primer scenariji, v katerih so okužene naprave interneta stvari, ki so del sistema.pametna hiša", vrste zlonamerne programske opreme, kot je npr Ransomware in izsiljevalska programska oprema. Možni so tudi scenariji prestrezanja nadzora brezpilotnih vozil, ki preko oblaka prejemajo ukaze in navigacijske informacije. Formalno je ta ranljivost posledica decentralizacije omrežij nove generacije, vendar bo naslednji odstavek bolj jasno orisal problem decentralizacije.

Decentralizacija in širjenje meja omrežja

večPeriferne naprave, ki igrajo vlogo jeder lokalnega omrežja, izvajajo usmerjanje uporabniškega prometa, obdelavo zahtev ter lokalno predpomnjenje in shranjevanje uporabniških podatkov. Tako se meje omrežij 5. generacije širijo poleg jedra tudi na periferijo, vključno z lokalnimi bazami podatkov in radijskimi vmesniki 5G-NR (5G New Radio). To ustvarja priložnost za napad na računalniške vire lokalnih naprav, ki so a priori šibkeje zaščitene kot osrednja vozlišča omrežnega jedra, s ciljem povzročitve zavrnitve storitve. To lahko privede do prekinitve dostopa do interneta za celotna območja, nepravilnega delovanja naprav IoT (na primer v sistemu pametnega doma), pa tudi do nedostopnosti storitve IMS za nujne alarme.

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Vendar sta ETSI in 3GPP zdaj objavila več kot 10 standardov, ki pokrivajo različne vidike varnosti omrežja 5G. Velika večina tam opisanih mehanizmov je namenjena zaščiti pred ranljivostmi (vključno s tistimi, opisanimi zgoraj). Eden glavnih je standard TS 23.501 različica 15.6.0, ki opisuje varnostno arhitekturo omrežij 5. generacije.

5G arhitektura

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija
Najprej se obrnemo na ključne principe arhitekture omrežja 5G, ki bodo v nadaljevanju v celoti razkrili pomen in področja odgovornosti vsakega programskega modula in vsake varnostne funkcije 5G.

  • Razdelitev omrežnih vozlišč na elemente, ki zagotavljajo delovanje protokolov letalo po meri (iz angleščine UP - User Plane) in elementi, ki zagotavljajo delovanje protokolov nadzorna ravnina (iz angleščine CP - Control Plane), kar poveča fleksibilnost glede skaliranja in razmestitve omrežja, to je možna centralizirana ali decentralizirana postavitev posameznih komponent omrežnih vozlišč.
  • Podpora mehanizmu rezanje omrežja, ki temelji na storitvah, zagotovljenih določenim skupinam končnih uporabnikov.
  • Implementacija mrežnih elementov v formi funkcije virtualnega omrežja.
  • Podpora za hkraten dostop do centraliziranih in lokalnih storitev, to je implementacija konceptov oblaka (iz angl. računalništvo v megli) in meja (iz angleščine. robno računalništvo) izračuni.
  • Реализация konvergenten arhitektura, ki združuje različne vrste dostopovnih omrežij - 3GPP 5G New Radio in ne-3GPP (Wi-Fi itd.) - z enim omrežnim jedrom.
  • Podpora enotnim algoritmom in avtentikacijskim postopkom ne glede na vrsto dostopovnega omrežja.
  • Podpora za omrežne funkcije brez stanja, pri katerih je računalniški vir ločen od shrambe virov.
  • Podpora za gostovanje z usmerjanjem prometa tako prek domačega omrežja (iz angleščine home-routed roaming) kot z lokalnim "pristankom" (iz angleščine local breakout) v omrežju za goste.
  • Interakcija med omrežnimi funkcijami je predstavljena na dva načina: storitveno usmerjeni и vmesnik.

Koncept omrežne varnosti 5. generacije vključuje:

  • Preverjanje pristnosti uporabnika iz omrežja.
  • Preverjanje pristnosti omrežja s strani uporabnika.
  • Pogajanje kriptografskih ključev med omrežjem in uporabniško opremo.
  • Enkripcija in kontrola integritete signalnega prometa.
  • Šifriranje in nadzor integritete uporabniškega prometa.
  • Zaščita ID-ja uporabnika.
  • Varovanje vmesnikov med različnimi omrežnimi elementi v skladu s konceptom omrežne varnostne domene.
  • Izolacija različnih plasti mehanizma rezanje omrežja in definiranje varnostnih ravni vsake plasti.
  • Avtentikacija uporabnikov in zaščita prometa na ravni končnih storitev (IMS, IoT in druge).

Ključni programski moduli in varnostne funkcije omrežja 5G

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija AMF (iz angleščine Access & Mobility Management Function - funkcija upravljanja dostopa in mobilnosti) - zagotavlja:

  • Organizacija vmesnikov nadzorne ravnine.
  • Organizacija izmenjave signalnega prometa RRC, šifriranje in zaščito celovitosti njegovih podatkov.
  • Organizacija izmenjave signalnega prometa NAS, šifriranje in zaščito celovitosti njegovih podatkov.
  • Upravljanje registracije uporabniške opreme na omrežju in spremljanje morebitnih stanj registracije.
  • Upravljanje povezave uporabniške opreme z omrežjem in spremljanje morebitnih stanj.
  • Nadzor razpoložljivosti uporabniške opreme v omrežju v stanju CM-IDLE.
  • Upravljanje mobilnosti uporabniške opreme v omrežju v stanju CM-CONNECTED.
  • Prenos kratkih sporočil med uporabniško opremo in SMF.
  • Upravljanje lokacijskih storitev.
  • Dodelitev ID-ja niti EPS za interakcijo z EPS.

SMF (Angleško: Session Management Function - funkcija upravljanja sej) - zagotavlja:

  • Upravljanje komunikacijskih sej, tj. ustvarjanje, spreminjanje in sproščanje sej, vključno z vzdrževanjem tunela med dostopovnim omrežjem in UPF.
  • Distribucija in upravljanje IP naslovov uporabniške opreme.
  • Izbira prehoda UPF za uporabo.
  • Organizacija interakcije s PCF.
  • Upravljanje uveljavljanja politike QoS.
  • Dinamična konfiguracija uporabniške opreme z uporabo protokolov DHCPv4 in DHCPv6.
  • Spremljanje zbiranja tarifnih podatkov in organiziranje interakcije z obračunskim sistemom.
  • Brezhibno zagotavljanje storitev (iz angl. SSC - neprekinjenost sej in storitev).
  • Interakcija z gostujočimi omrežji v okviru gostovanja.

UPF (Angleško User Plane Function - funkcija uporabniške ravnine) - zagotavlja:

  • Interakcija z zunanjimi podatkovnimi omrežji, vključno z globalnim internetom.
  • Usmerjanje uporabniških paketov.
  • Označevanje paketov v skladu s politikami QoS.
  • Diagnostika uporabniškega paketa (na primer zaznavanje aplikacij na podlagi podpisov).
  • Zagotavljanje poročil o uporabi prometa.
  • UPF je tudi sidrišče za podporo mobilnosti znotraj in med različnimi tehnologijami radijskega dostopa.

UDM (angleško Unified Data Management - enotna baza podatkov) - zagotavlja:

  • Upravljanje podatkov uporabniškega profila, vključno s shranjevanjem in spreminjanjem seznama storitev, ki so na voljo uporabnikom, in njihovih ustreznih parametrov.
  • Upravljanje SUPI
  • Ustvarite poverilnice za preverjanje pristnosti 3GPP AKA.
  • Pooblastilo za dostop na podlagi podatkov profila (na primer omejitve gostovanja).
  • Upravljanje registracije uporabnikov, to je shranjevanje streženja AMF.
  • Podpora za brezhibne storitvene in komunikacijske seje, tj. shranjevanje SMF-ja, dodeljenega trenutni komunikacijski seji.
  • Upravljanje dostave SMS sporočil.
  • Več različnih UDM-jev lahko služi istemu uporabniku v različnih transakcijah.

UDR (angleško Unified Data Repository - shranjevanje enotnih podatkov) - omogoča shranjevanje različnih uporabniških podatkov in je pravzaprav zbirka podatkov o vseh naročnikih omrežja.

UDSF (Angleško Unstructured Data Storage Function - funkcija shranjevanja nestrukturiranih podatkov) - zagotavlja, da moduli AMF shranijo trenutne kontekste registriranih uporabnikov. Na splošno je te informacije mogoče predstaviti kot podatke z nedoločeno strukturo. Uporabniški konteksti se lahko uporabljajo za zagotavljanje nemotenih in neprekinjenih naročniških sej, tako med načrtovanim umikom enega od AMF-jev iz storitve kot v nujnih primerih. V obeh primerih bo varnostni AMF "pobral" storitev z uporabo kontekstov, shranjenih v USDF.

Združevanje UDR in UDSF na isti fizični platformi je tipična izvedba teh omrežnih funkcij.

PCF (Angleško: Policy Control Function - funkcija nadzora politike) - ustvarja in uporabnikom dodeljuje določene politike storitev, vključno s parametri QoS in pravili zaračunavanja. Na primer, za prenos ene ali druge vrste prometa je mogoče dinamično ustvariti virtualne kanale z različnimi značilnostmi. Hkrati se lahko upoštevajo zahteve storitve, ki jo zahteva naročnik, stopnja prezasedenosti omrežja, količina porabljenega prometa itd.

NEF (Angleška funkcija omrežne izpostavljenosti - funkcija omrežne izpostavljenosti) - zagotavlja:

  • Organizacija varne interakcije zunanjih platform in aplikacij z jedrom omrežja.
  • Upravljajte parametre QoS in pravila zaračunavanja za določene uporabnike.

SEAF (Angleško Security Anchor Function - varnostna funkcija sidra) - skupaj z AUSF zagotavlja avtentikacijo uporabnikov, ko se registrirajo v omrežju s katero koli tehnologijo dostopa.

AUSF (Angleško Authentication Server Function - funkcija strežnika za preverjanje pristnosti) - igra vlogo strežnika za preverjanje pristnosti, ki sprejema in obdeluje zahteve iz SEAF in jih preusmerja na ARPF.

ARPF (angleško: Authentication Credential Repository and Processing Function – funkcija shranjevanja in obdelave avtentikacijskih poverilnic) – zagotavlja shranjevanje osebnih tajnih ključev (KI) in parametrov kriptografskih algoritmov ter generiranje avtentikacijskih vektorjev v skladu s 5G-AKA oz. EAP-AKA. Nahaja se v podatkovnem centru domačega telekomunikacijskega operaterja, zaščiten pred zunanjimi fizičnimi vplivi in ​​je praviloma integriran z UDM.

SCMF (Angleška funkcija upravljanja varnostnega konteksta - funkcija upravljanja varnostni kontekst) – Zagotavlja upravljanje življenjskega cikla za varnostni kontekst 5G.

SPCF (Angleško Security Policy Control Function - funkcija upravljanja varnostne politike) - zagotavlja usklajevanje in uporabo varnostnih politik v zvezi z določenimi uporabniki. Pri tem se upoštevajo zmogljivosti omrežja, zmogljivosti uporabniške opreme in zahteve določene storitve (na primer, ravni zaščite, ki jo zagotavljata kritična komunikacijska storitev in storitev brezžičnega širokopasovnega dostopa do interneta, se lahko razlikujejo). Uporaba varnostnih politik vključuje: izbiro AUSF, izbiro algoritma za avtentikacijo, izbiro algoritmov za šifriranje in kontrolo integritete podatkov, določitev dolžine in življenjskega cikla ključev.

SIDF (angl. Subscription Identifier De-concealing Function - funkcija ekstrakcije uporabniškega identifikatorja) - zagotavlja ekstrakcijo naročnikovega stalnega naročniškega identifikatorja (angl. SUPI) iz skritega identifikatorja (angl. SUCI), prejeto kot del zahteve postopka preverjanja pristnosti »Auth Info Req«.

Osnovne varnostne zahteve za komunikacijska omrežja 5G

večPreverjanje pristnosti uporabnika: Strežeče omrežje 5G mora overiti uporabnikov SUPI v procesu 5G AKA med uporabnikom in omrežjem.

Storitev avtentikacije omrežja: Uporabnik mora avtentikirati ID omrežne storitve 5G, pri čemer avtentikacijo doseže z uspešno uporabo ključev, pridobljenih s postopkom 5G AKA.

Pooblastilo uporabnika: Strežeče omrežje mora avtorizirati uporabnika z uporabo uporabniškega profila, prejetega iz omrežja domačega telekomunikacijskega operaterja.

Avtorizacija strežnega omrežja s strani domačega omrežja operaterja: Uporabnik mora prejeti potrdilo, da je povezan s servisnim omrežjem, ki ga je domače operatersko omrežje pooblastilo za opravljanje storitev. Avtorizacija je implicitna v smislu, da je zagotovljena z uspešnim zaključkom postopka 5G AKA.

Avtorizacija dostopovnega omrežja s strani domačega omrežja operaterja: Uporabniku je treba posredovati potrdilo, da je povezan v dostopovno omrežje, ki je pooblaščeno s strani domačega omrežja operaterja za opravljanje storitev. Avtorizacija je implicitna v smislu, da je uveljavljena z uspešno vzpostavitvijo varnosti dostopovnega omrežja. To vrsto avtorizacije je treba uporabiti za katero koli vrsto dostopovnega omrežja.

Nepreverjene nujne službe: Za izpolnjevanje regulativnih zahtev v nekaterih regijah morajo omrežja 5G zagotavljati neoverjen dostop za storitve v sili.

Jedro omrežja in radijsko dostopovno omrežje: jedro omrežja 5G in radijsko dostopovno omrežje 5G morata podpirati uporabo 128-bitnega šifriranja in algoritmov celovitosti, da se zagotovi varnost AS и NAS. Omrežni vmesniki morajo podpirati 256-bitne šifrirne ključe.

Osnovne varnostne zahteve za uporabniško opremo

več

  • Uporabniška oprema mora podpirati šifriranje, zaščito integritete in zaščito pred napadi ponovnega predvajanja uporabniških podatkov, ki se prenašajo med njo in radijskim dostopovnim omrežjem.
  • Uporabniška oprema mora aktivirati mehanizme za šifriranje in zaščito celovitosti podatkov, kot je navedeno v radijskem dostopovnem omrežju.
  • Uporabniška oprema mora podpirati šifriranje, zaščito integritete in zaščito pred napadi ponovnega predvajanja za signalni promet RRC in NAS.
  • Uporabniška oprema mora podpirati naslednje kriptografske algoritme: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Uporabniška oprema lahko podpira naslednje kriptografske algoritme: 128-NEA3, 128-NIA3.
  • Uporabniška oprema mora podpirati naslednje kriptografske algoritme: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, če podpira povezavo z radijskim dostopovnim omrežjem E-UTRA.
  • Zaščita zaupnosti uporabniških podatkov, ki se prenašajo med uporabniško opremo in radijskim dostopovnim omrežjem, ni obvezna, vendar mora biti zagotovljena, kadar koli to dovoljuje uredba.
  • Zaščita zasebnosti za signalni promet RRC in NAS ni obvezna.
  • Trajni ključ uporabnika mora biti zaščiten in shranjen v dobro zavarovanih komponentah uporabniške opreme.
  • Naročnikov trajni naročniški identifikator se ne sme prenašati v čistem besedilu prek radijskega dostopovnega omrežja, razen informacij, ki so potrebne za pravilno usmerjanje (npr. MCC и MNC).
  • Javni ključ domačega operaterja, identifikator ključa, identifikator varnostne sheme in identifikator usmerjanja morajo biti shranjeni v USIM.

Vsak algoritem šifriranja je povezan z binarnim številom:

  • "0000": NEA0 - Algoritem ničelnega šifriranja
  • "0001": 128-NEA1 - 128-bitni SNOW Algoritem, ki temelji na 3G
  • "0010" 128-NEA2 - 128-bit AES temelji algoritem
  • "0011" 128-NEA3 - 128-bit ZUC temelji algoritem.

Šifriranje podatkov z uporabo 128-NEA1 in 128-NEA2Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

PS Vezje je izposojeno od TS 133.501

Generiranje simuliranih vstavkov z algoritmoma 128-NIA1 in 128-NIA2 za zagotovitev celovitostiUvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

PS Vezje je izposojeno od TS 133.501

Osnovne varnostne zahteve za funkcije omrežja 5G

več

  • AMF mora podpirati primarno avtentikacijo z uporabo SUCI.
  • SEAF mora podpirati primarno avtentikacijo z uporabo SUCI.
  • UDM in ARPF morata shraniti trajni ključ uporabnika in zagotoviti, da je zaščiten pred krajo.
  • AUSF zagotovi SUPI samo lokalnemu strežbenemu omrežju po uspešni začetni avtentikaciji z uporabo SUCI.
  • NEF ne sme posredovati skritih informacij o jedrnem omrežju izven operaterjeve varnostne domene.

Osnovni varnostni postopki

Domene zaupanja

V omrežjih 5. generacije se zaupanje v omrežne elemente zmanjšuje, ko se elementi odmikajo od jedra omrežja. Ta koncept vpliva na odločitve, implementirane v varnostno arhitekturo 5G. Tako lahko govorimo o modelu zaupanja omrežij 5G, ki določa obnašanje varnostnih mehanizmov omrežja.

Na uporabniški strani domeno zaupanja tvorita UICC in USIM.

Na strani omrežja ima domena zaupanja bolj zapleteno strukturo.

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija Radijsko dostopovno omrežje je razdeljeno na dve komponenti − DU (iz angleških porazdeljenih enot - porazdeljene omrežne enote) in CU (iz angleških centralnih enot - centralne enote omrežja). Skupaj tvorijo gNB — radijski vmesnik bazne postaje omrežja 5G. DU-ji nimajo neposrednega dostopa do uporabniških podatkov, saj jih je mogoče namestiti na nezaščitenih segmentih infrastrukture. CU-ji morajo biti nameščeni v zaščitenih segmentih omrežja, saj so odgovorni za zaključek prometa iz varnostnih mehanizmov AS. V jedru omrežja se nahaja AMF, ki prekine promet iz varnostnih mehanizmov NAS. Trenutna specifikacija 3GPP 5G Phase 1 opisuje kombinacijo AMF z varnostno funkcijo SEAF, ki vsebuje korenski ključ (znan tudi kot "sidrni ključ") obiskanega (servirnega) omrežja. AUSF je odgovoren za shranjevanje ključa, pridobljenega po uspešni avtentikaciji. Potreben je za ponovno uporabo v primerih, ko je uporabnik hkrati povezan na več radijskih dostopovnih omrežij. ARPF shranjuje uporabniške poverilnice in je analog USIM za naročnike. UDR и UDM shranjevanje podatkov o uporabnikih, ki se uporabljajo za določanje logike za generiranje poverilnic, uporabniških ID-jev, zagotavljanje kontinuitete seje itd.

Hierarhija ključev in njihove distribucijske sheme

V omrežjih 5. generacije ima postopek avtentikacije za razliko od omrežij 4G-LTE dve komponenti: primarno in sekundarno avtentikacijo. Za vse uporabniške naprave, ki se povezujejo v omrežje, je potrebna primarna avtentikacija. Sekundarna avtentikacija se lahko izvaja na zahtevo zunanjih omrežij, če se naročnik vanje poveže.

Po uspešnem zaključku primarne avtentikacije in razvoju deljenega ključa K med uporabnikom in omrežjem se KSEAF ekstrahira iz ključa K - posebnega sidrnega (korenskega) ključa strežnega omrežja. Nato se iz tega ključa generirajo ključi, da se zagotovi zaupnost in celovitost podatkov o prometu signaliziranja RRC in NAS.

Diagram z razlagamiUvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija
Oznake:
CK Šifrirani ključ
IK (angleško: Integrity Key) - ključ, ki se uporablja v mehanizmih za zaščito celovitosti podatkov.
CK' (angl. Cipher Key) - drug kriptografski ključ, ustvarjen iz CK za mehanizem EAP-AKA.
VEM' (Angleško Integrity Key) - še en ključ, ki se uporablja v mehanizmih za zaščito celovitosti podatkov za EAP-AKA.
KAUSF - generirana s funkcijo ARPF in uporabniško opremo iz CK и IK med 5G AKA in EAP-AKA.
KSEAF - sidrni ključ, pridobljen s funkcijo AUSF iz ključa KAMFAUSF.
KAMF — ključ, pridobljen s funkcijo SEAF iz ključa KSEAF.
KNASint, KNASenc — tipke, pridobljene s funkcijo AMF iz tipke KAMF za zaščito signalnega prometa NAS.
KRRCint, KRRCenc — tipke, pridobljene s funkcijo AMF iz tipke KAMF za zaščito RRC signalnega prometa.
KUPint, KUPenc — tipke, pridobljene s funkcijo AMF iz tipke KAMF za zaščito signalnega prometa AS.
NH — vmesni ključ, pridobljen s funkcijo AMF iz ključa KAMF za zagotavljanje varnosti podatkov med predajami.
KgNB — ključ, pridobljen s funkcijo AMF iz ključa KAMF zagotoviti varnost mehanizmov mobilnosti.

Sheme za generiranje SUCI iz SUPI in obratno

Sheme za pridobitev SUPI in SUCI

Proizvodnja SUCI iz SUPI in SUPI iz SUCI:
Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Preverjanje pristnosti

Primarna avtentikacija

V omrežjih 5G sta EAP-AKA in 5G AKA standardni primarni mehanizem za preverjanje pristnosti. Razdelimo primarni avtentikacijski mehanizem na dve fazi: prva je odgovorna za začetek avtentikacije in izbiro metode avtentikacije, druga je odgovorna za medsebojno avtentikacijo med uporabnikom in omrežjem.

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

Iniciacija

Uporabnik SEAF-u odda zahtevo za registracijo, ki vsebuje uporabnikov skriti ID naročnine SUCI.

SEAF pošlje AUSF sporočilo z zahtevo za preverjanje pristnosti (Nausf_UEAuthentication_Authenticate Request), ki vsebuje SNN (Serving Network Name) in SUPI ali SUCI.

AUSF preveri, ali je zahtevniku za avtentikacijo SEAF dovoljeno uporabljati dani SNN. Če strežno omrežje ni pooblaščeno za uporabo tega SNN, se AUSF odzove s sporočilom o avtorizacijski napaki »Storitveno omrežje ni pooblaščeno« (Nausf_UEAuthentication_Authenticate Response).

Poverilnice za preverjanje pristnosti zahteva AUSF od UDM, ARPF ali SIDF prek SUPI ali SUCI in SNN.

Na podlagi SUPI ali SUCI in informacij o uporabniku UDM/ARPF izbere naslednji način preverjanja pristnosti in izda poverilnice uporabnika.

Vzajemna avtentikacija

Pri uporabi katerega koli načina preverjanja pristnosti morajo omrežne funkcije UDM/ARPF ustvariti vektor preverjanja pristnosti (AV).

EAP-AKA: UDM/ARPF najprej ustvari vektor za preverjanje pristnosti z ločilnim bitom AMF = 1, nato ustvari CK' и VEM' z dne CK, IK in SNN ter predstavlja nov vektor avtentikacije AV (RAND, AUTN, XRES*, CK', VEM'), ki se pošlje AUSF z navodili za uporabo samo za EAP-AKA.

5G AKA: UDM/ARPF dobi ključ KAUSF z dne CK, IK in SNN, nato pa ustvari 5G HE AV. Vektor za avtentikacijo domačega okolja 5G). Vektor za preverjanje pristnosti 5G HE AV (RAND, AUTN, XRES, KAUSF) se pošlje AUSF z navodili za uporabo le za 5G AKA.

Po tem AUSF dobimo sidrni ključ KSEAF od ključa KAUSF in pošlje zahtevo SEAF “Challenge” v sporočilu “Nausf_UEAuthentication_Authenticate Response”, ki vsebuje tudi RAND, AUTN in RES*. Nato se RAND in AUTN preneseta na uporabniško opremo z uporabo varnega signalnega sporočila NAS. Uporabnikov USIM izračuna RES* iz prejetega RAND in AUTN ter ga pošlje SEAF. SEAF posreduje to vrednost AUSF za preverjanje.

AUSF primerja XRES*, ki je shranjen v njem, in RES*, prejet od uporabnika. Če obstaja ujemanje, sta AUSF in UDM v domačem omrežju operaterja obveščena o uspešni avtentikaciji, uporabnik in SEAF pa neodvisno ustvarita ključ KAMF z dne KSEAF in SUPI za nadaljnjo komunikacijo.

Sekundarna avtentikacija

Standard 5G podpira izbirno sekundarno avtentikacijo na podlagi EAP-AKA med uporabniško opremo in zunanjim podatkovnim omrežjem. V tem primeru SMF igra vlogo avtentifikatorja EAP in se zanaša na delo AAA- zunanji omrežni strežnik, ki preverja pristnost in avtorizira uporabnika.

Uvod v varnostno arhitekturo 5G: NFV, ključi in 2 avtentikacija

  • Izvede se obvezna začetna avtentikacija uporabnika v domačem omrežju in z AMF se razvije skupni varnostni kontekst NAS.
  • Uporabnik pošlje AMF zahtevo za vzpostavitev seje.
  • AMF pošlje zahtevo za vzpostavitev seje v SMF, pri čemer navede uporabnikov SUPI.
  • SMF potrdi uporabnikove poverilnice v UDM z uporabo posredovanega SUPI.
  • SMF pošlje odgovor na zahtevo AMF.
  • SMF sproži postopek avtentikacije EAP za pridobitev dovoljenja za vzpostavitev seje od strežnika AAA v zunanjem omrežju. V ta namen si SMF in uporabnik izmenjata sporočila za začetek postopka.
  • Uporabnik in zunanji omrežni strežnik AAA nato izmenjata sporočila za avtentikacijo in avtorizacijo uporabnika. V tem primeru uporabnik pošilja sporočila v SMF, ta pa si izmenjuje sporočila z zunanjim omrežjem preko UPF.

Zaključek

Čeprav varnostna arhitektura 5G temelji na ponovni uporabi obstoječih tehnologij, postavlja povsem nove izzive. Ogromno število IoT naprav, razširjene omrežne meje in decentralizirani arhitekturni elementi so le nekateri izmed ključnih principov standarda 5G, ki kibernetskim kriminalcem dajejo prosto pot domišljiji.

Osnovni standard za varnostno arhitekturo 5G je TS 23.501 različica 15.6.0 — vsebuje ključne točke delovanja varnostnih mehanizmov in postopkov. Še posebej opisuje vlogo posameznega VNF pri zagotavljanju zaščite uporabniških podatkov in omrežnih vozlišč, pri generiranju kripto ključev in pri izvajanju postopka avtentikacije. A tudi ta standard ne daje odgovorov na pereča varnostna vprašanja, s katerimi se telekomunikacijski operaterji pogosteje srečujejo, čim intenzivneje se razvijajo in uvajajo omrežja nove generacije.

V zvezi s tem bi rad verjel, da težave pri delovanju in varovanju omrežij 5. generacije nikakor ne bodo prizadele običajnih uporabnikov, ki se jim obljubljajo prenosne hitrosti in odzivnost kot sinu mamine prijateljice in že nestrpno preizkušajo vse deklarirane zmogljivosti omrežij nove generacije.

Uporabne povezave

Serija specifikacij 3GPP
Varnostna arhitektura 5G
Arhitektura sistema 5G
5G Wiki
Opombe o arhitekturi 5G
Pregled varnosti 5G

Vir: www.habr.com

Dodaj komentar