ProHoster > Blog > administratë > Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

Natyrisht, marrja përsipër e zhvillimit të një standardi të ri komunikimi pa menduar për mekanizmat e sigurisë është një përpjekje jashtëzakonisht e dyshimtë dhe e kotë.

Arkitektura e SigurisĂ« 5G — njĂ« grup mekanizmash dhe procedurash sigurie tĂ« zbatuara nĂ« Rrjetet e gjeneratĂ«s sĂ« 5-tĂ« dhe mbulon tĂ« gjithĂ« komponentĂ«t e rrjetit, nga bĂ«rthama deri te ndĂ«rfaqet e radios.

Rrjetet e gjeneratës së 5-të janë, në thelb, një evolucion Rrjetet LTE të gjeneratës së 4-të. Teknologjitë e aksesit në radio kanë pësuar ndryshimet më të rëndësishme. Për rrjetet e gjeneratës së 5-të, një e re Miu (Teknologjia e qasjes në radio) - Radio e re 5G. Sa i përket bërthamës së rrjetit, ai nuk ka pësuar ndryshime kaq të rëndësishme. Në këtë drejtim, arkitektura e sigurisë së rrjeteve 5G është zhvilluar me një theks në ripërdorimin e teknologjive përkatëse të miratuara në standardin 4G LTE.

Megjithatë, vlen të përmendet se rimendimi i kërcënimeve të njohura si sulmet në ndërfaqet ajrore dhe shtresa e sinjalizimit (sinjalizim aeroplan), sulmet DDOS, sulmet Man-In-The-Middle, etj., i shtynë operatorët e telekomit të zhvillojnë standarde të reja dhe të integrojnë mekanizma krejtësisht të rinj të sigurisë në rrjetet e gjeneratës së 5-të.

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

parakushte

Në vitin 2015, Unioni Ndërkombëtar i Telekomunikacionit hartoi planin e parë global të këtij lloji për zhvillimin e rrjeteve të gjeneratës së pestë, kjo është arsyeja pse çështja e zhvillimit të mekanizmave dhe procedurave të sigurisë në rrjetet 5G është bërë veçanërisht e mprehtë.

Teknologjia e re ofroi shpejtësi vërtet mbresëlënëse të transferimit të të dhënave (më shumë se 1 Gbps), vonesë prej më pak se 1 ms dhe aftësinë për të lidhur njëkohësisht rreth 1 milion pajisje brenda një rrezeje prej 1 km2. Kërkesat e tilla më të larta për rrjetet e gjeneratës së 5-të pasqyrohen edhe në parimet e organizimit të tyre.

Kryesorja ishte decentralizimi, i cili nënkuptonte vendosjen e shumë bazave të të dhënave lokale dhe qendrave të përpunimit të tyre në periferi të rrjetit. Kjo bëri të mundur minimizimin e vonesave kur M2M- komunikon dhe lehtëson bërthamën e rrjetit për shkak të servisimit të një numri të madh pajisjesh IoT. Kështu, skaji i rrjeteve të gjeneratës së ardhshme u zgjerua deri në stacionet bazë, duke lejuar krijimin e qendrave lokale të komunikimit dhe ofrimin e shërbimeve cloud pa rrezikun e vonesave kritike ose mohimit të shërbimit. Natyrisht, qasja e ndryshuar ndaj rrjeteve dhe shërbimit ndaj klientit ishte me interes për sulmuesit, sepse u hapi atyre mundësi të reja për të sulmuar informacionin konfidencial të përdoruesit dhe vetë komponentët e rrjetit, në mënyrë që të shkaktonin një mohim të shërbimit ose të kapnin burimet kompjuterike të operatorit.

Dobësitë kryesore të rrjeteve të gjeneratës së 5-të

Sipërfaqe e madhe sulmi

më shumëGjatë ndërtimit të rrjeteve të telekomunikacionit të gjeneratave të 3-të dhe të 4-të, operatorët e telekomunikacionit zakonisht kufizoheshin në punën me një ose disa shitës të cilët furnizonin menjëherë një grup harduerësh dhe softuerësh. Kjo do të thotë, gjithçka mund të funksiononte, siç thonë ata, "jashtë kutisë" - mjaftonte vetëm të instaloni dhe konfiguroni pajisjet e blera nga shitësi; nuk kishte nevojë të zëvendësohej apo plotësohej softueri i pronarit. Tendencat moderne bien ndesh me këtë qasje "klasike" dhe synojnë virtualizimin e rrjeteve, një qasje me shumë shitës për ndërtimin e tyre dhe diversitetin e softuerit. Teknologji të tilla si Sdn (Anglisht Software Defined Network) dhe NFV (English Network Functions Virtualization), i cili çon në përfshirjen e një sasie të madhe softuerësh të ndërtuar mbi bazën e kodeve me burim të hapur në proceset dhe funksionet e menaxhimit të rrjeteve të komunikimit. Kjo u jep sulmuesve mundësinë për të studiuar më mirë rrjetin e operatorit dhe për të identifikuar një numër më të madh dobësish, gjë që, nga ana tjetër, rrit sipërfaqen e sulmit të rrjeteve të gjeneratës së re në krahasim me ato aktuale.

Një numër i madh i pajisjeve IoT

më shumëDeri në vitin 2021, rreth 57% e pajisjeve të lidhura me rrjetet 5G do të jenë pajisje IoT. Kjo do të thotë që shumica e hosteve do të kenë aftësi të kufizuara kriptografike (shih pikën 2) dhe, në përputhje me rrethanat, do të jenë të prekshëm ndaj sulmeve. Një numër i madh i pajisjeve të tilla do të rrisë rrezikun e përhapjes së botnet-it dhe do të bëjë të mundur kryerjen e sulmeve DDoS edhe më të fuqishme dhe më të shpërndara.

Aftësi të kufizuara kriptografike të pajisjeve IoT

më shumëSiç u përmend tashmë, rrjetet e gjeneratës së 5-të përdorin në mënyrë aktive pajisje periferike, të cilat bëjnë të mundur heqjen e një pjese të ngarkesës nga thelbi i rrjetit dhe në këtë mënyrë zvogëlojnë vonesën. Kjo është e nevojshme për shërbime të tilla të rëndësishme si kontrolli i automjeteve pa pilot, sistemi i paralajmërimit emergjent IMS dhe të tjerë, për të cilët sigurimi i vonesës minimale është kritike, sepse jetët njerëzore varen prej saj. Për shkak të lidhjes së një numri të madh pajisjesh IoT, të cilat, për shkak të madhësisë së tyre të vogël dhe konsumit të ulët të energjisë, kanë burime kompjuterike shumë të kufizuara, rrjetet 5G bëhen të prekshme ndaj sulmeve që synojnë përgjimin e kontrollit dhe manipulimin e mëvonshëm të pajisjeve të tilla. Për shembull, mund të ketë skenarë ku pajisjet IoT që janë pjesë e sistemit janë të infektuara "shtëpi e zgjuar", llojet e malware si p.sh Ransomware dhe ransomware. Skenarët e kontrollit të përgjimit të mjeteve pa pilot që marrin komanda dhe informacione navigimi përmes cloud janë gjithashtu të mundshëm. Formalisht, kjo dobësi është për shkak të decentralizimit të rrjeteve të gjeneratës së re, por paragrafi tjetër do të përshkruajë më qartë problemin e decentralizimit.

Decentralizimi dhe zgjerimi i kufijve të rrjetit

më shumëPajisjet periferike, duke luajtur rolin e bërthamave të rrjetit lokal, kryejnë kursimin e trafikut të përdoruesve, përpunimin e kërkesave, si dhe ruajtjen lokale dhe ruajtjen e të dhënave të përdoruesit. Kështu, kufijtë e rrjeteve të gjeneratës së 5-të po zgjerohen, përveç bërthamës, në periferi, duke përfshirë bazat e të dhënave lokale dhe ndërfaqet radio 5G-NR (5G New Radio). Kjo krijon mundësinë për të sulmuar burimet kompjuterike të pajisjeve lokale, të cilat janë a priori më të dobëta të mbrojtura se nyjet qendrore të bërthamës së rrjetit, me qëllim që të shkaktojnë një mohim të shërbimit. Kjo mund të çojë në shkëputjen e aksesit në internet për zona të tëra, funksionimin e gabuar të pajisjeve IoT (për shembull, në një sistem shtëpie inteligjente), si dhe mosdisponueshmërinë e shërbimit të alarmit të urgjencës IMS.

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

Megjithatë, ETSI dhe 3GPP tani kanë publikuar më shumë se 10 standarde që mbulojnë aspekte të ndryshme të sigurisë së rrjetit 5G. Shumica dërrmuese e mekanizmave të përshkruar atje kanë për qëllim mbrojtjen kundër dobësive (përfshirë ato të përshkruara më sipër). Një nga ato kryesore është standardi TS 23.501 versioni 15.6.0, duke përshkruar arkitekturën e sigurisë së rrjeteve të gjeneratës së 5-të.

Arkitektura 5G

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2
Së pari, le të kthehemi te parimet kryesore të arkitekturës së rrjetit 5G, të cilat më tej do të zbulojnë plotësisht kuptimin dhe fushat e përgjegjësisë së secilit modul softueri dhe çdo funksioni të sigurisë 5G.

  • Ndarja e nyjeve tĂ« rrjetit nĂ« elementĂ« qĂ« sigurojnĂ« funksionimin e protokolleve aeroplan me porosi (nga anglishtja UP - Plani i pĂ«rdoruesit) dhe elementĂ« qĂ« sigurojnĂ« funksionimin e protokolleve avioni i kontrollit (nga anglishtja CP - Plani i Kontrollit), i cili rrit fleksibilitetin nĂ« drejtim tĂ« shkallĂ«zimit dhe vendosjes sĂ« rrjetit, d.m.th. Ă«shtĂ« i mundur vendosja e centralizuar ose e decentralizuar e nyjeve tĂ« rrjetit tĂ« komponentĂ«ve individualĂ«.
  • MbĂ«shtetja e mekanizmit prerja e rrjetit, bazuar nĂ« shĂ«rbimet e ofruara pĂ«r grupe tĂ« veçanta tĂ« pĂ«rdoruesve fundorĂ«.
  • Zbatimi i elementeve tĂ« rrjetit nĂ« formĂ« funksionet e rrjetit virtual.
  • MbĂ«shtetje pĂ«r akses tĂ« njĂ«kohshĂ«m nĂ« shĂ«rbimet e centralizuara dhe lokale, d.m.th. zbatimi i koncepteve tĂ« cloud (nga anglishtja. llogaritja e mjegullĂ«s) dhe kufiri (nga anglishtja. informatikĂ« buzĂ«) llogaritjet.
  • Zbatimi konvergjente arkitektura qĂ« kombinon lloje tĂ« ndryshme tĂ« rrjeteve tĂ« aksesit - 3GPP 5G Radio e re dhe jo-3GPP (Wi-Fi, etj.) - me njĂ« bĂ«rthamĂ« tĂ« vetme rrjeti.
  • MbĂ«shtetja e algoritmeve uniforme dhe procedurave tĂ« vĂ«rtetimit, pavarĂ«sisht nga lloji i rrjetit tĂ« aksesit.
  • MbĂ«shtetje pĂ«r funksionet e rrjetit pa shtetĂ«si, nĂ« tĂ« cilat burimi i llogaritur Ă«shtĂ« i ndarĂ« nga ruajtja e burimeve.
  • MbĂ«shtetje pĂ«r roaming me drejtimin e trafikut si pĂ«rmes rrjetit tĂ« shtĂ«pisĂ« (nga roaming-i nĂ« anglisht i drejtuar nga shtĂ«pia) dhe me njĂ« "ulje" lokale (nga breakout lokal nĂ« anglisht) nĂ« rrjetin e mysafirĂ«ve.
  • NdĂ«rveprimi ndĂ«rmjet funksioneve tĂ« rrjetit paraqitet nĂ« dy mĂ«nyra: tĂ« orientuar drejt shĂ«rbimit Đž ndĂ«rfaqe.

Koncepti i sigurisë së rrjetit të gjeneratës së 5-të përfshin:

  • VĂ«rtetimi i pĂ«rdoruesit nga rrjeti.
  • Autentifikimi i rrjetit nga pĂ«rdoruesi.
  • Negocimi i çelĂ«save kriptografikĂ« ndĂ«rmjet rrjetit dhe pajisjeve tĂ« pĂ«rdoruesit.
  • Enkriptimi dhe kontrolli i integritetit tĂ« trafikut tĂ« sinjalizimit.
  • Kriptimi dhe kontrolli i integritetit tĂ« trafikut tĂ« pĂ«rdoruesve.
  • Mbrojtja e ID-sĂ« sĂ« pĂ«rdoruesit.
  • Mbrojtja e ndĂ«rfaqeve ndĂ«rmjet elementĂ«ve tĂ« ndryshĂ«m tĂ« rrjetit nĂ« pĂ«rputhje me konceptin e njĂ« domeni sigurie rrjeti.
  • Izolimi i shtresave tĂ« ndryshme tĂ« mekanizmit prerja e rrjetit dhe duke pĂ«rcaktuar nivelet e sigurisĂ« sĂ« çdo shtrese.
  • Autentifikimi i pĂ«rdoruesit dhe mbrojtja e trafikut nĂ« nivelin e shĂ«rbimeve fundore (IMS, IoT dhe tĂ« tjera).

Modulet kryesore të softuerit dhe veçoritë e sigurisë së rrjetit 5G

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2 AMF (nga funksioni anglisht Access & Mobility Management - funksioni i menaxhimit të aksesit dhe lëvizshmërisë) - ofron:

  • Organizimi i ndĂ«rfaqeve tĂ« planit tĂ« kontrollit.
  • Organizimi i shkĂ«mbimit tĂ« trafikut sinjalizues RRC, enkriptimin dhe mbrojtjen e integritetit tĂ« tĂ« dhĂ«nave tĂ« tij.
  • Organizimi i shkĂ«mbimit tĂ« trafikut sinjalizues NAS, enkriptimin dhe mbrojtjen e integritetit tĂ« tĂ« dhĂ«nave tĂ« tij.
  • Menaxhimi i regjistrimit tĂ« pajisjeve tĂ« pĂ«rdoruesve nĂ« rrjet dhe monitorimi i gjendjeve tĂ« mundshme tĂ« regjistrimit.
  • Menaxhimi i lidhjes sĂ« pajisjeve tĂ« pĂ«rdoruesit me rrjetin dhe monitorimi i gjendjeve tĂ« mundshme.
  • Kontrolloni disponueshmĂ«rinĂ« e pajisjeve tĂ« pĂ«rdoruesit nĂ« rrjet nĂ« gjendjen CM-IDLE.
  • Menaxhimi i lĂ«vizshmĂ«risĂ« sĂ« pajisjeve tĂ« pĂ«rdoruesit nĂ« rrjet nĂ« gjendjen CM-CONNECTED.
  • Transmetimi i mesazheve tĂ« shkurtra ndĂ«rmjet pajisjeve tĂ« pĂ«rdoruesit dhe SMF.
  • Menaxhimi i shĂ«rbimeve tĂ« vendndodhjes.
  • Alokimi i ID-sĂ« sĂ« TemĂ«s EPS pĂ«r tĂ« bashkĂ«vepruar me EPS.

SMF (Anglisht: Session Management Function - funksioni i menaxhimit të sesionit) - ofron:

  • Menaxhimi i sesioneve tĂ« komunikimit, d.m.th. krijimi, modifikimi dhe lĂ«shimi i seancave, duke pĂ«rfshirĂ« mbajtjen e njĂ« tuneli midis rrjetit tĂ« aksesit dhe UPF.
  • ShpĂ«rndarja dhe menaxhimi i adresave IP tĂ« pajisjeve tĂ« pĂ«rdoruesve.
  • Zgjedhja e portĂ«s UPF pĂ«r t'u pĂ«rdorur.
  • Organizimi i ndĂ«rveprimit me PCF.
  • Menaxhimi i zbatimit tĂ« politikave QoS.
  • Konfigurimi dinamik i pajisjeve tĂ« pĂ«rdoruesit duke pĂ«rdorur protokollet DHCPv4 dhe DHCPv6.
  • Monitorimi i mbledhjes sĂ« tĂ« dhĂ«nave tarifore dhe organizimi i ndĂ«rveprimit me sistemin e faturimit.
  • Ofrimi pa probleme e shĂ«rbimeve (nga anglishtja. SSC - Sesioni dhe vazhdimĂ«sia e shĂ«rbimit).
  • NdĂ«rveprimi me rrjetet e mysafirĂ«ve brenda roaming.

UPF (Funksioni i planit të përdoruesit në anglisht - funksioni i planit të përdoruesit) - ofron:

  • NdĂ«rveprimi me rrjetet e jashtme tĂ« tĂ« dhĂ«nave, duke pĂ«rfshirĂ« internetin global.
  • Rutimi i paketave tĂ« pĂ«rdoruesve.
  • ShĂ«nimi i paketave nĂ« pĂ«rputhje me politikat QoS.
  • Diagnostifikimi i paketĂ«s sĂ« pĂ«rdoruesit (pĂ«r shembull, zbulimi i aplikacionit tĂ« bazuar nĂ« nĂ«nshkrim).
  • Sigurimi i raporteve mbi pĂ«rdorimin e trafikut.
  • UPF Ă«shtĂ« gjithashtu pika e ankorimit pĂ«r mbĂ«shtetjen e lĂ«vizshmĂ«risĂ« brenda dhe ndĂ«rmjet teknologjive tĂ« ndryshme tĂ« aksesit nĂ« radio.

UDM (Anglisht Unified Data Management - Unified Database) - ofron:

  • Menaxhimi i tĂ« dhĂ«nave tĂ« profilit tĂ« pĂ«rdoruesit, duke pĂ«rfshirĂ« ruajtjen dhe modifikimin e listĂ«s sĂ« shĂ«rbimeve tĂ« disponueshme pĂ«r pĂ«rdoruesit dhe parametrave tĂ« tyre pĂ«rkatĂ«s.
  • УпраĐČĐ»Đ”ĐœĐžĐ” SUPI
  • Gjeneroni kredencialet e vĂ«rtetimit 3GPP AKA.
  • Aksesoni autorizimin bazuar nĂ« tĂ« dhĂ«nat e profilit (pĂ«r shembull, kufizimet nĂ« roaming).
  • Menaxhimi i regjistrimit tĂ« pĂ«rdoruesve, d.m.th. ruajtja e AMF-sĂ« nĂ« shĂ«rbim.
  • MbĂ«shtetje pĂ«r seancat e shĂ«rbimit dhe komunikimit pa probleme, d.m.th. ruajtja e SMF-sĂ« tĂ« caktuar nĂ« sesionin aktual tĂ« komunikimit.
  • Menaxhimi i dĂ«rgimit tĂ« SMS.
  • Disa UDM tĂ« ndryshme mund t'i shĂ«rbejnĂ« tĂ« njĂ«jtit pĂ«rdorues pĂ«rgjatĂ« transaksioneve tĂ« ndryshme.

UDR (Anglisht Unified Data Repository - ruajtja e të dhënave të unifikuara) - siguron ruajtjen e të dhënave të ndryshme të përdoruesve dhe është, në fakt, një bazë të dhënash e të gjithë pajtimtarëve të rrjetit.

UDSF (Funksioni i ruajtjes së të dhënave të pastrukturuara në anglisht - funksioni i ruajtjes së pastrukturuar të të dhënave) - siguron që modulet AMF të ruajnë kontekstet aktuale të përdoruesve të regjistruar. Në përgjithësi, ky informacion mund të paraqitet si të dhëna të një strukture të pacaktuar. Kontektet e përdoruesit mund të përdoren për të siguruar seanca pa ndërprerje dhe të pandërprera të abonentëve, si gjatë tërheqjes së planifikuar të një prej AMF-ve nga shërbimi, ashtu edhe në rast emergjence. Në të dyja rastet, AMF rezervë do të "marr" shërbimin duke përdorur kontekste të ruajtura në USDF.

Kombinimi i UDR dhe UDSF në të njëjtën platformë fizike është një zbatim tipik i këtyre funksioneve të rrjetit.

PCF (Anglisht: Politika e Kontrollit Funksioni - funksioni i kontrollit të politikave) - krijon dhe cakton politika të caktuara shërbimi për përdoruesit, duke përfshirë parametrat QoS dhe rregullat e tarifimit. Për shembull, për të transmetuar një ose një lloj tjetër trafiku, kanalet virtuale me karakteristika të ndryshme mund të krijohen në mënyrë dinamike. Në të njëjtën kohë, mund të merren parasysh kërkesat e shërbimit të kërkuara nga pajtimtari, niveli i mbingarkesës së rrjetit, sasia e trafikut të konsumuar etj.

NEF (Funksioni i ekspozimit të rrjetit në anglisht - funksioni i ekspozimit të rrjetit) - ofron:

  • Organizimi i ndĂ«rveprimit tĂ« sigurt tĂ« platformave dhe aplikacioneve tĂ« jashtme me bĂ«rthamĂ«n e rrjetit.
  • Menaxhoni parametrat QoS dhe rregullat e tarifimit pĂ«r pĂ«rdorues tĂ« veçantĂ«.

DETI (English Security Anchor Function - funksioni i sigurisë ankoruese) - së bashku me AUSF, siguron autentifikimin e përdoruesve kur ata regjistrohen në rrjet me çdo teknologji aksesi.

AUSF (English Authentication Server Function - funksioni i serverit të vërtetimit) - luan rolin e një serveri vërtetimi që merr dhe përpunon kërkesat nga SEAF dhe i ridrejton ato në ARPF.

ARPF (Anglisht: Authentication Credential Repository and Processing Function - funksioni i ruajtjes dhe përpunimit të kredencialeve të vërtetimit) - siguron ruajtjen e çelësave sekret personal (KI) dhe parametrave të algoritmeve kriptografike, si dhe gjenerimin e vektorëve të vërtetimit në përputhje me 5G-AKA ose DHE AP-AKA. Ndodhet në qendrën e të dhënave të operatorit të telekomit në shtëpi, i mbrojtur nga ndikimet e jashtme fizike dhe, si rregull, është i integruar me UDM.

SCMF (Funksioni i menaxhimit të kontekstit të sigurisë në anglisht - funksioni i menaxhimit kontekstin e sigurisë) - Ofron menaxhimin e ciklit jetësor për kontekstin e sigurisë 5G.

SPCF (English Security Policy Control Function - funksioni i menaxhimit të politikave të sigurisë) - siguron koordinimin dhe zbatimin e politikave të sigurisë në lidhje me përdoruesit specifikë. Kjo merr parasysh aftësitë e rrjetit, aftësitë e pajisjeve të përdoruesit dhe kërkesat e shërbimit specifik (për shembull, nivelet e mbrojtjes të ofruara nga shërbimi kritik i komunikimit dhe shërbimi i aksesit në internet me brez të gjerë me valë mund të ndryshojnë). Aplikimi i politikave të sigurisë përfshin: përzgjedhjen e AUSF, përzgjedhjen e algoritmit të vërtetimit, përzgjedhjen e algoritmeve të enkriptimit dhe kontrollit të integritetit të të dhënave, përcaktimin e gjatësisë dhe ciklit jetësor të çelësave.

SIDF (Funksioni i de-fshehjes sĂ« identifikuesit tĂ« abonimit nĂ« anglisht - funksioni i nxjerrjes sĂ« identifikuesit tĂ« pĂ«rdoruesit) - siguron nxjerrjen e identifikuesit tĂ« pĂ«rhershĂ«m tĂ« pajtimit tĂ« njĂ« pajtimtari (anglisht SUPI) nga njĂ« identifikues i fshehur (anglisht SUCI), marrĂ« si pjesĂ« e kĂ«rkesĂ«s sĂ« procedurĂ«s sĂ« vĂ«rtetimit “Auth Info Req”.

Kërkesat bazë të sigurisë për rrjetet e komunikimit 5G

më shumëAutentifikimi i përdoruesit: Rrjeti 5G që shërben duhet të vërtetojë SUPI-në e përdoruesit në procesin 5G AKA midis përdoruesit dhe rrjetit.

Shërbimi i vërtetimit të rrjetit: Përdoruesi duhet të vërtetojë ID-në e rrjetit të shërbimit 5G, me vërtetimin e arritur nëpërmjet përdorimit të suksesshëm të çelësave të marrë përmes procedurës 5G AKA.

Autorizimi i përdoruesit: Rrjeti i shërbimit duhet të autorizojë përdoruesin duke përdorur profilin e përdoruesit të marrë nga rrjeti i operatorit të telekomit në shtëpi.

Autorizimi i rrjetit të shërbimit nga rrjeti i operatorit vendas: Përdoruesit duhet t'i sigurohet konfirmimi se ai është i lidhur me një rrjet shërbimi që është i autorizuar nga rrjeti i operatorit vendas për të ofruar shërbime. Autorizimi është i nënkuptuar në kuptimin që sigurohet nga përfundimi me sukses i procedurës 5G AKA.

Autorizimi i rrjetit të aksesit nga rrjeti i operatorit vendas: Përdoruesit duhet t'i sigurohet konfirmimi se ai është i lidhur me një rrjet aksesi që është i autorizuar nga rrjeti i operatorit vendas për të ofruar shërbime. Autorizimi është i nënkuptuar në kuptimin që ai zbatohet duke vendosur me sukses sigurinë e rrjetit të aksesit. Ky lloj autorizimi duhet të përdoret për çdo lloj rrjeti aksesi.

Shërbime emergjente të paautenifikuara: Për të përmbushur kërkesat rregullatore në disa rajone, rrjetet 5G duhet të ofrojnë akses të paautentikuar për shërbimet e urgjencës.

Bërthama e rrjetit dhe rrjeti i aksesit në radio: Bërthama e rrjetit 5G dhe rrjeti i aksesit në radio 5G duhet të mbështesin përdorimin e enkriptimit 128-bit dhe algoritmeve të integritetit për të garantuar sigurinë AS О NAS. Ndërfaqet e rrjetit duhet të mbështesin çelësat e enkriptimit 256-bit.

Kërkesat themelore të sigurisë për pajisjet e përdoruesit

më shumë

  • Pajisja e pĂ«rdoruesit duhet tĂ« mbĂ«shtesĂ« enkriptimin, mbrojtjen e integritetit dhe mbrojtjen kundĂ«r sulmeve tĂ« pĂ«rsĂ«ritura pĂ«r tĂ« dhĂ«nat e pĂ«rdoruesit tĂ« transmetuara ndĂ«rmjet saj dhe rrjetit tĂ« aksesit nĂ« radio.
  • Pajisja e pĂ«rdoruesit duhet tĂ« aktivizojĂ« mekanizmat e enkriptimit dhe tĂ« mbrojtjes sĂ« integritetit tĂ« tĂ« dhĂ«nave siç drejtohet nga rrjeti i aksesit nĂ« radio.
  • Pajisjet e pĂ«rdoruesit duhet tĂ« mbĂ«shtesin enkriptimin, mbrojtjen e integritetit dhe mbrojtjen kundĂ«r sulmeve tĂ« pĂ«rsĂ«ritura pĂ«r trafikun e sinjalizimit RRC dhe NAS.
  • Pajisjet e pĂ«rdoruesit duhet tĂ« mbĂ«shtesin algoritmet e mĂ«poshtme kriptografike: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Pajisjet e pĂ«rdoruesit mund tĂ« mbĂ«shtesin algoritmet e mĂ«poshtme kriptografike: 128-NEA3, 128-NIA3.
  • Pajisjet e pĂ«rdoruesit duhet tĂ« mbĂ«shtesin algoritmet e mĂ«poshtme kriptografike: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 nĂ«se mbĂ«shtet lidhjen me rrjetin e aksesit radio E-UTRA.
  • Mbrojtja e konfidencialitetit tĂ« tĂ« dhĂ«nave tĂ« pĂ«rdoruesit tĂ« transmetuara ndĂ«rmjet pajisjes sĂ« pĂ«rdoruesit dhe rrjetit tĂ« aksesit nĂ« radio Ă«shtĂ« opsionale, por duhet tĂ« sigurohet sa herĂ« qĂ« lejohet nga rregullorja.
  • Mbrojtja e privatĂ«sisĂ« pĂ«r trafikun e sinjalizimit RRC dhe NAS Ă«shtĂ« opsionale.
  • ÇelĂ«si i pĂ«rhershĂ«m i pĂ«rdoruesit duhet tĂ« mbrohet dhe tĂ« ruhet nĂ« komponentĂ« tĂ« siguruar mirĂ« tĂ« pajisjes sĂ« pĂ«rdoruesit.
  • Identifikuesi i pajtimit tĂ« pĂ«rhershĂ«m tĂ« njĂ« pajtimtari nuk duhet tĂ« transmetohet nĂ« tekst tĂ« qartĂ« pĂ«rmes rrjetit tĂ« aksesit nĂ« radio, pĂ«rveç informacionit tĂ« nevojshĂ«m pĂ«r drejtimin e saktĂ« (pĂ«r shembull MCC Đž MNC).
  • ÇelĂ«si publik i rrjetit tĂ« operatorit tĂ« shtĂ«pisĂ«, identifikuesi i çelĂ«sit, identifikuesi i skemĂ«s sĂ« sigurisĂ« dhe identifikuesi i rrugĂ«s duhet tĂ« ruhen nĂ« USIM.

Çdo algoritĂ«m kriptimi shoqĂ«rohet me njĂ« numĂ«r binar:

  • "0000": NEA0 - Algoritmi i shifrimit null
  • "0001": 128-NEA1 - 128-bit SNOW Algoritmi i bazuar nĂ« 3G
  • "0010" 128-NEA2 - 128-bit AES algoritmi i bazuar
  • "0011" 128-NEA3 - 128-bit ZUC algoritmi i bazuar.

Kriptimi i të dhënave duke përdorur 128-NEA1 dhe 128-NEA2Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

P.S. Diagrami është huazuar nga TS 133.501

Gjenerimi i inserteve të simuluara nga algoritmet 128-NIA1 dhe 128-NIA2 për të siguruar integritetHyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

P.S. Diagrami është huazuar nga TS 133.501

Kërkesat bazë të sigurisë për funksionet e rrjetit 5G

më shumë

  • AMF duhet tĂ« mbĂ«shtesĂ« vĂ«rtetimin parĂ«sor duke pĂ«rdorur SUCI.
  • SEAF duhet tĂ« mbĂ«shtesĂ« vĂ«rtetimin parĂ«sor duke pĂ«rdorur SUCI.
  • UDM dhe ARPF duhet tĂ« ruajnĂ« çelĂ«sin e pĂ«rhershĂ«m tĂ« pĂ«rdoruesit dhe tĂ« sigurojnĂ« qĂ« ai tĂ« mbrohet nga vjedhja.
  • AUSF do t'i ofrojĂ« SUPI rrjetit lokal tĂ« shĂ«rbimit vetĂ«m pas vĂ«rtetimit fillestar tĂ« suksesshĂ«m duke pĂ«rdorur SUCI.
  • NEF nuk duhet tĂ« pĂ«rcjellĂ« informacionin e fshehur tĂ« rrjetit bazĂ« jashtĂ« domenit tĂ« sigurisĂ« sĂ« operatorit.

Procedurat themelore të sigurisë

Domenet e besimit

Në rrjetet e gjeneratës së 5-të, besimi në elementët e rrjetit zvogëlohet ndërsa elementët largohen nga bërthama e rrjetit. Ky koncept ndikon në vendimet e zbatuara në arkitekturën e sigurisë 5G. Kështu, mund të flasim për një model besimi të rrjeteve 5G që përcakton sjelljen e mekanizmave të sigurisë së rrjetit.

Nga ana e përdoruesit, domeni i besimit formohet nga UICC dhe USIM.

Nga ana e rrjetit, domeni i besimit ka një strukturë më komplekse.

Hyrje nĂ« ArkitekturĂ«n e SigurisĂ« 5G: NFV, çelĂ«sat dhe vĂ«rtetimi 2 Rrjeti i aksesit nĂ« radio Ă«shtĂ« i ndarĂ« nĂ« dy komponentĂ« − DU (nga anglishtja Distributed Units - distributed network units) dhe CU (nga njĂ«sitĂ« qendrore angleze - njĂ«sitĂ« qendrore tĂ« rrjetit). SĂ« bashku ata formojnĂ« gNB — ndĂ«rfaqja radio e stacionit bazĂ« tĂ« rrjetit 5G. DU-tĂ« nuk kanĂ« qasje tĂ« drejtpĂ«rdrejtĂ« nĂ« tĂ« dhĂ«nat e pĂ«rdoruesve pasi ato mund tĂ« vendosen nĂ« segmente tĂ« infrastrukturĂ«s sĂ« pambrojtur. CU-tĂ« duhet tĂ« vendosen nĂ« segmente tĂ« mbrojtura tĂ« rrjetit, pasi ato janĂ« pĂ«rgjegjĂ«se pĂ«r pĂ«rfundimin e trafikut nga mekanizmat e sigurisĂ« AS. NĂ« thelbin e rrjetit ndodhet AMF, i cili pĂ«rfundon trafikun nga mekanizmat e sigurisĂ« NAS. Specifikimi aktual i FazĂ«s 3 5GPP 1G pĂ«rshkruan kombinimin AMF me funksion sigurie DETI, qĂ« pĂ«rmban çelĂ«sin rrĂ«njĂ« (i njohur edhe si "çelĂ«si i ankorimit") tĂ« rrjetit tĂ« vizituar (nĂ« shĂ«rbim). AUSF Ă«shtĂ« pĂ«rgjegjĂ«s pĂ«r ruajtjen e çelĂ«sit tĂ« marrĂ« pas vĂ«rtetimit tĂ« suksesshĂ«m. ËshtĂ« e nevojshme pĂ«r ripĂ«rdorim nĂ« rastet kur pĂ«rdoruesi Ă«shtĂ« i lidhur njĂ«kohĂ«sisht me disa rrjete tĂ« aksesit nĂ« radio. ARPF ruan kredencialet e pĂ«rdoruesve dhe Ă«shtĂ« njĂ« analog i USIM pĂ«r abonentĂ«t. UDR Đž UDM ruaj informacionin e pĂ«rdoruesit, i cili pĂ«rdoret pĂ«r tĂ« pĂ«rcaktuar logjikĂ«n pĂ«r gjenerimin e kredencialeve, ID-tĂ« e pĂ«rdoruesve, sigurimin e vazhdimĂ«sisĂ« sĂ« sesionit, etj.

Hierarkia e çelësave dhe skemat e shpërndarjes së tyre

Në rrjetet e gjeneratës së 5-të, ndryshe nga rrjetet 4G-LTE, procedura e vërtetimit ka dy komponentë: vërtetimin parësor dhe dytësor. Kërkohet vërtetimi parësor për të gjitha pajisjet e përdoruesve që lidhen me rrjetin. Autentifikimi dytësor mund të kryhet me kërkesë nga rrjetet e jashtme, nëse pajtimtari lidhet me to.

Pas përfundimit të suksesshëm të vërtetimit primar dhe zhvillimit të një çelësi të përbashkët K midis përdoruesit dhe rrjetit, KSEAF nxirret nga çelësi K - një çelës i veçantë ankorues (rrënjë) i rrjetit të shërbimit. Më pas, çelësat gjenerohen nga ky çelës për të siguruar konfidencialitetin dhe integritetin e të dhënave të trafikut të sinjalizimit RRC dhe NAS.

Diagram me shpjegimeHyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2
Emërtimet:
CK ÇelĂ«si shifror
IK (Anglisht: Integrity Key) - një çelës i përdorur në mekanizmat e mbrojtjes së integritetit të të dhënave.
CK' (eng. Cipher Key) - një tjetër çelës kriptografik i krijuar nga CK për mekanizmin EAP-AKA.
IK' (English Integrity Key) - një tjetër çelës i përdorur në mekanizmat e mbrojtjes së integritetit të të dhënave për EAP-AKA.
KAUSF - gjeneruar nga funksioni ARPF dhe pajisjet e përdoruesit nga CK О IK gjatë 5G AKA dhe EAP-AKA.
FSKV - çelësi i ankorimit i marrë nga funksioni AUSF nga çelësi KAMFAUSF.
KAMF — çelĂ«si i marrĂ« nga funksioni SEAF nga çelĂ«si FSKV.
KNASint, KNASenc — çelĂ«sat e marrĂ« nga funksioni AMF nga çelĂ«si KAMF pĂ«r tĂ« mbrojtur trafikun e sinjalizimit tĂ« NAS.
KRRCint, KRRCenc — çelĂ«sat e marrĂ« nga funksioni AMF nga çelĂ«si KAMF pĂ«r tĂ« mbrojtur trafikun e sinjalizimit RRC.
KUPint, KUPenc — çelĂ«sat e marrĂ« nga funksioni AMF nga çelĂ«si KAMF pĂ«r tĂ« mbrojtur trafikun e sinjalizimit AS.
NH — çelĂ«si i ndĂ«rmjetĂ«m i marrĂ« nga funksioni AMF nga çelĂ«si KAMF pĂ«r tĂ« garantuar sigurinĂ« e tĂ« dhĂ«nave gjatĂ« dorĂ«zimit.
KgNB — çelĂ«si i marrĂ« nga funksioni AMF nga çelĂ«si KAMF pĂ«r tĂ« garantuar sigurinĂ« e mekanizmave tĂ« lĂ«vizshmĂ«risĂ«.

Skemat për gjenerimin e SUCI nga SUPI dhe anasjelltas

Skemat për marrjen e SUPI dhe SUCI

Prodhimi i SUCI nga SUPI dhe SUPI nga SUCI:
Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

vërtetim

Autentifikimi primar

Në rrjetet 5G, EAP-AKA dhe 5G AKA janë mekanizma standardë të vërtetimit primar. Le të ndajmë mekanizmin parësor të vërtetimit në dy faza: e para është përgjegjëse për fillimin e vërtetimit dhe zgjedhjen e një metode vërtetimi, e dyta është përgjegjëse për vërtetimin e ndërsjellë midis përdoruesit dhe rrjetit.

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

Inicimi

Përdoruesi paraqet një kërkesë regjistrimi në SEAF, e cila përmban ID-në e fshehur të abonimit të përdoruesit SUCI.

SEAF i dërgon AUSF një mesazh kërkese vërtetimi (Nausf_UEAuthentication_Authenticate Request) që përmban SNN (Emri i rrjetit të shërbimit) dhe SUPI ose SUCI.

AUSF kontrollon nëse kërkuesi i vërtetimit SEAF lejohet të përdorë SNN-në e dhënë. Nëse rrjeti i shërbimit nuk është i autorizuar për të përdorur këtë SNN, atëherë AUSF përgjigjet me një mesazh gabimi autorizimi "Rrjeti i shërbimit nuk është i autorizuar" (Nausf_UEAuthentication_Authenticate Response).

Kredencialet e vërtetimit kërkohen nga AUSF tek UDM, ARPF ose SIDF nëpërmjet SUPI ose SUCI dhe SNN.

Bazuar në SUPI ose SUCI dhe informacionin e përdoruesit, UDM/ARPF zgjedh metodën e vërtetimit për t'u përdorur më pas dhe lëshon kredencialet e përdoruesit.

Autentifikimi i ndërsjellë

Kur përdorni ndonjë metodë vërtetimi, funksionet e rrjetit UDM/ARPF duhet të gjenerojnë një vektor vërtetimi (AV).

EAP-AKA: UDM/ARPF fillimisht gjeneron një vektor vërtetimi me bitin ndarës AMF = 1, më pas gjeneron CK' О IK' nga CK, IK dhe SNN dhe përbën një vektor të ri të vërtetimit AV (RAND, AUTN, XRES*, CK', IK'), i cili i dërgohet AUSF-së me udhëzime për ta përdorur vetëm për EAP-AKA.

5G AKA: UDM/ARPF merr çelësin KAUSF nga CK, IK dhe SNN, pas së cilës gjeneron 5G HE AV. Vektori i vërtetimit të mjedisit shtëpiak 5G). Vektori i vërtetimit 5G HE AV (RAND, AUTN, XRES, KAUSF) i dërgohet AUSF me udhëzime për ta përdorur atë vetëm për 5G AKA.

Pas këtij AUSF merret çelësi i ankorimit FSKV nga çelësi KAUSF dhe i dërgon një kërkesë SEAF "Challenge" në mesazhin "Nausf_UEAuthentication_Authenticate Response", i cili gjithashtu përmban RAND, AUTN dhe RES*. Më pas, RAND dhe AUTN transmetohen në pajisjen e përdoruesit duke përdorur një mesazh të sigurt sinjalizimi NAS. USIM i përdoruesit llogarit RES* nga RAND dhe AUTN e marrë dhe e dërgon atë në SEAF. SEAF ia transmeton këtë vlerë AUSF për verifikim.

AUSF krahason XRES* të ruajtur në të dhe RES* të marra nga përdoruesi. Nëse ka një përputhje, AUSF dhe UDM në rrjetin shtëpiak të operatorit njoftohen për vërtetimin e suksesshëm dhe përdoruesi dhe SEAF gjenerojnë në mënyrë të pavarur një çelës KAMF nga FSKV dhe SUPI për komunikim të mëtejshëm.

Autentifikimi dytësor

Standardi 5G mbështet vërtetimin dytësor opsional bazuar në EAP-AKA ndërmjet pajisjes së përdoruesit dhe rrjetit të jashtëm të të dhënave. Në këtë rast, SMF luan rolin e vërtetuesit të EAP dhe mbështetet në punën AAA-një server i jashtëm i rrjetit që vërteton dhe autorizon përdoruesin.

Hyrje në Arkitekturën e Sigurisë 5G: NFV, çelësat dhe vërtetimi 2

  • Autentifikimi fillestar i detyrueshĂ«m i pĂ«rdoruesit nĂ« rrjetin e shtĂ«pisĂ« ndodh dhe njĂ« kontekst i pĂ«rbashkĂ«t sigurie NAS zhvillohet me AMF.
  • PĂ«rdoruesi i dĂ«rgon njĂ« kĂ«rkesĂ« AMF pĂ«r tĂ« krijuar njĂ« sesion.
  • AMF dĂ«rgon njĂ« kĂ«rkesĂ« pĂ«r tĂ« krijuar njĂ« seancĂ« nĂ« SMF duke treguar SUPI tĂ« pĂ«rdoruesit.
  • SMF vĂ«rteton kredencialet e pĂ«rdoruesit nĂ« UDM duke pĂ«rdorur SUPI-nĂ« e dhĂ«nĂ«.
  • SMF i dĂ«rgon njĂ« pĂ«rgjigje kĂ«rkesĂ«s nga AMF.
  • SMF fillon procedurĂ«n e vĂ«rtetimit tĂ« EAP pĂ«r tĂ« marrĂ« lejen pĂ«r tĂ« krijuar njĂ« sesion nga serveri AAA nĂ« rrjetin e jashtĂ«m. PĂ«r ta bĂ«rĂ« kĂ«tĂ«, SMF dhe pĂ«rdoruesi shkĂ«mbejnĂ« mesazhe pĂ«r tĂ« filluar procedurĂ«n.
  • PĂ«rdoruesi dhe serveri AAA i rrjetit tĂ« jashtĂ«m shkĂ«mbejnĂ« mĂ« pas mesazhe pĂ«r tĂ« vĂ«rtetuar dhe autorizuar pĂ«rdoruesin. NĂ« kĂ«tĂ« rast, pĂ«rdoruesi dĂ«rgon mesazhe nĂ« SMF, e cila nga ana tjetĂ«r shkĂ«mben mesazhe me rrjetin e jashtĂ«m nĂ«pĂ«rmjet UPF.

PĂ«rfundim

Megjithëse arkitektura e sigurisë 5G bazohet në ripërdorimin e teknologjive ekzistuese, ajo paraqet sfida krejtësisht të reja. Një numër i madh i pajisjeve IoT, kufijtë e zgjeruar të rrjetit dhe elementët e arkitekturës së decentralizuar janë vetëm disa nga parimet kryesore të standardit 5G që i japin fre imagjinatës së kriminelëve kibernetikë.

Standardi kryesor pĂ«r arkitekturĂ«n e sigurisĂ« 5G Ă«shtĂ« TS 23.501 versioni 15.6.0 — pĂ«rmban pikat kyçe tĂ« funksionimit tĂ« mekanizmave dhe procedurave tĂ« sigurisĂ«. NĂ« veçanti, ai pĂ«rshkruan rolin e çdo VNF nĂ« sigurimin e mbrojtjes sĂ« tĂ« dhĂ«nave tĂ« pĂ«rdoruesit dhe nyjeve tĂ« rrjetit, nĂ« gjenerimin e çelĂ«save kripto dhe nĂ« zbatimin e procedurĂ«s sĂ« vĂ«rtetimit. Por edhe ky standard nuk jep pĂ«rgjigje pĂ«r çështjet urgjente tĂ« sigurisĂ« me tĂ« cilat pĂ«rballen operatorĂ«t e telekomit mĂ« shpesh, sa mĂ« intensivisht zhvillohen dhe vihen nĂ« funksion rrjetet e gjeneratĂ«s sĂ« re.

Në këtë drejtim, do të doja të besoja se vështirësitë e funksionimit dhe mbrojtjes së rrjeteve të gjeneratës së 5-të nuk do të ndikojnë në asnjë mënyrë përdoruesit e zakonshëm, të cilëve u premtohen shpejtësi transmetimi dhe përgjigje si djali i një shoqeje nëne dhe tashmë janë të etur për të provuar të gjitha. aftësitë e deklaruara të rrjeteve të gjeneratës së re.

Lidhje të dobishme

Seria e specifikimeve 3GPP
Arkitektura e sigurisë 5G
Arkitektura e sistemit 5G
5G Wiki
Shënime të arkitekturës 5G
Përmbledhje e sigurisë 5G

Burimi: www.habr.com

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster