Natyrisht, marrja përsipër e zhvillimit të një standardi të ri komunikimi pa menduar për mekanizmat e sigurisë është një përpjekje jashtëzakonisht e dyshimtë dhe e kotë.

Arkitektura e Sigurisë 5G — një grup mekanizmash dhe procedurash sigurie të zbatuara në Rrjetet e gjeneratës së 5-të dhe mbulon të gjithë komponentët e rrjetit, nga bërthama deri te ndërfaqet e radios.

Rrjetet e gjeneratës së 5-të janë, në thelb, një evolucion Rrjetet LTE të gjeneratës së 4-të. Teknologjitë e aksesit në radio kanë pësuar ndryshimet më të rëndësishme. Për rrjetet e gjeneratës së 5-të, një e re Miu (Teknologjia e qasjes në radio) - Radio e re 5G. Sa i përket bërthamës së rrjetit, ai nuk ka pësuar ndryshime kaq të rëndësishme. Në këtë drejtim, arkitektura e sigurisë së rrjeteve 5G është zhvilluar me një theks në ripërdorimin e teknologjive përkatëse të miratuara në standardin 4G LTE.

Megjithatë, vlen të përmendet se rimendimi i kërcënimeve të njohura si sulmet në ndërfaqet ajrore dhe shtresa e sinjalizimit (sinjalizim aeroplan), sulmet DDOS, sulmet Man-In-The-Middle, etj., i shtynë operatorët e telekomit të zhvillojnë standarde të reja dhe të integrojnë mekanizma krejtësisht të rinj të sigurisë në rrjetet e gjeneratës së 5-të.

parakushte

Në vitin 2015, Unioni Ndërkombëtar i Telekomunikacionit hartoi planin e parë global të këtij lloji për zhvillimin e rrjeteve të gjeneratës së pestë, kjo është arsyeja pse çështja e zhvillimit të mekanizmave dhe procedurave të sigurisë në rrjetet 5G është bërë veçanërisht e mprehtë.

Teknologjia e re ofroi shpejtësi vërtet mbresëlënëse të transferimit të të dhënave (më shumë se 1 Gbps), vonesë prej më pak se 1 ms dhe aftësinë për të lidhur njëkohësisht rreth 1 milion pajisje brenda një rrezeje prej 1 km2. Kërkesat e tilla më të larta për rrjetet e gjeneratës së 5-të pasqyrohen edhe në parimet e organizimit të tyre.

Kryesorja ishte decentralizimi, i cili nënkuptonte vendosjen e shumë bazave të të dhënave lokale dhe qendrave të përpunimit të tyre në periferi të rrjetit. Kjo bëri të mundur minimizimin e vonesave kur M2M- komunikon dhe lehtëson bërthamën e rrjetit për shkak të servisimit të një numri të madh pajisjesh IoT. Kështu, skaji i rrjeteve të gjeneratës së ardhshme u zgjerua deri në stacionet bazë, duke lejuar krijimin e qendrave lokale të komunikimit dhe ofrimin e shërbimeve cloud pa rrezikun e vonesave kritike ose mohimit të shërbimit. Natyrisht, qasja e ndryshuar ndaj rrjeteve dhe shërbimit ndaj klientit ishte me interes për sulmuesit, sepse u hapi atyre mundësi të reja për të sulmuar informacionin konfidencial të përdoruesit dhe vetë komponentët e rrjetit, në mënyrë që të shkaktonin një mohim të shërbimit ose të kapnin burimet kompjuterike të operatorit.

Dobësitë kryesore të rrjeteve të gjeneratës së 5-të

Sipërfaqe e madhe sulmi

më shumëGjatë ndërtimit të rrjeteve të telekomunikacionit të gjeneratave të 3-të dhe të 4-të, operatorët e telekomunikacionit zakonisht kufizoheshin në punën me një ose disa shitës të cilët furnizonin menjëherë një grup harduerësh dhe softuerësh. Kjo do të thotë, gjithçka mund të funksiononte, siç thonë ata, "jashtë kutisë" - mjaftonte vetëm të instaloni dhe konfiguroni pajisjet e blera nga shitësi; nuk kishte nevojë të zëvendësohej apo plotësohej softueri i pronarit. Tendencat moderne bien ndesh me këtë qasje "klasike" dhe synojnë virtualizimin e rrjeteve, një qasje me shumë shitës për ndërtimin e tyre dhe diversitetin e softuerit. Teknologji të tilla si Sdn (Anglisht Software Defined Network) dhe NFV (English Network Functions Virtualization), i cili çon në përfshirjen e një sasie të madhe softuerësh të ndërtuar mbi bazën e kodeve me burim të hapur në proceset dhe funksionet e menaxhimit të rrjeteve të komunikimit. Kjo u jep sulmuesve mundësinë për të studiuar më mirë rrjetin e operatorit dhe për të identifikuar një numër më të madh dobësish, gjë që, nga ana tjetër, rrit sipërfaqen e sulmit të rrjeteve të gjeneratës së re në krahasim me ato aktuale.

Një numër i madh i pajisjeve IoT

më shumëDeri në vitin 2021, rreth 57% e pajisjeve të lidhura me rrjetet 5G do të jenë pajisje IoT. Kjo do të thotë që shumica e hosteve do të kenë aftësi të kufizuara kriptografike (shih pikën 2) dhe, në përputhje me rrethanat, do të jenë të prekshëm ndaj sulmeve. Një numër i madh i pajisjeve të tilla do të rrisë rrezikun e përhapjes së botnet-it dhe do të bëjë të mundur kryerjen e sulmeve DDoS edhe më të fuqishme dhe më të shpërndara.

Aftësi të kufizuara kriptografike të pajisjeve IoT

më shumëSiç u përmend tashmë, rrjetet e gjeneratës së 5-të përdorin në mënyrë aktive pajisje periferike, të cilat bëjnë të mundur heqjen e një pjese të ngarkesës nga thelbi i rrjetit dhe në këtë mënyrë zvogëlojnë vonesën. Kjo është e nevojshme për shërbime të tilla të rëndësishme si kontrolli i automjeteve pa pilot, sistemi i paralajmërimit emergjent IMS dhe të tjerë, për të cilët sigurimi i vonesës minimale është kritike, sepse jetët njerëzore varen prej saj. Për shkak të lidhjes së një numri të madh pajisjesh IoT, të cilat, për shkak të madhësisë së tyre të vogël dhe konsumit të ulët të energjisë, kanë burime kompjuterike shumë të kufizuara, rrjetet 5G bëhen të prekshme ndaj sulmeve që synojnë përgjimin e kontrollit dhe manipulimin e mëvonshëm të pajisjeve të tilla. Për shembull, mund të ketë skenarë ku pajisjet IoT që janë pjesë e sistemit janë të infektuara "shtëpi e zgjuar", llojet e malware si p.sh Ransomware dhe ransomware. Skenarët e kontrollit të përgjimit të mjeteve pa pilot që marrin komanda dhe informacione navigimi përmes cloud janë gjithashtu të mundshëm. Formalisht, kjo dobësi është për shkak të decentralizimit të rrjeteve të gjeneratës së re, por paragrafi tjetër do të përshkruajë më qartë problemin e decentralizimit.

Decentralizimi dhe zgjerimi i kufijve të rrjetit

më shumëPajisjet periferike, duke luajtur rolin e bërthamave të rrjetit lokal, kryejnë kursimin e trafikut të përdoruesve, përpunimin e kërkesave, si dhe ruajtjen lokale dhe ruajtjen e të dhënave të përdoruesit. Kështu, kufijtë e rrjeteve të gjeneratës së 5-të po zgjerohen, përveç bërthamës, në periferi, duke përfshirë bazat e të dhënave lokale dhe ndërfaqet radio 5G-NR (5G New Radio). Kjo krijon mundësinë për të sulmuar burimet kompjuterike të pajisjeve lokale, të cilat janë a priori më të dobëta të mbrojtura se nyjet qendrore të bërthamës së rrjetit, me qëllim që të shkaktojnë një mohim të shërbimit. Kjo mund të çojë në shkëputjen e aksesit në internet për zona të tëra, funksionimin e gabuar të pajisjeve IoT (për shembull, në një sistem shtëpie inteligjente), si dhe mosdisponueshmërinë e shërbimit të alarmit të urgjencës IMS.

Megjithatë, ETSI dhe 3GPP tani kanë publikuar më shumë se 10 standarde që mbulojnë aspekte të ndryshme të sigurisë së rrjetit 5G. Shumica dërrmuese e mekanizmave të përshkruar atje kanë për qëllim mbrojtjen kundër dobësive (përfshirë ato të përshkruara më sipër). Një nga ato kryesore është standardi TS 23.501 versioni 15.6.0, duke përshkruar arkitekturën e sigurisë së rrjeteve të gjeneratës së 5-të.

Arkitektura 5G

Së pari, le të kthehemi te parimet kryesore të arkitekturës së rrjetit 5G, të cilat më tej do të zbulojnë plotësisht kuptimin dhe fushat e përgjegjësisë së secilit modul softueri dhe çdo funksioni të sigurisë 5G.

• Ndarja e nyjeve të rrjetit në elementë që sigurojnë funksionimin e protokolleve aeroplan me porosi (nga anglishtja UP - Plani i përdoruesit) dhe elementë që sigurojnë funksionimin e protokolleve avioni i kontrollit (nga anglishtja CP - Plani i Kontrollit), i cili rrit fleksibilitetin në drejtim të shkallëzimit dhe vendosjes së rrjetit, d.m.th. është i mundur vendosja e centralizuar ose e decentralizuar e nyjeve të rrjetit të komponentëve individualë.
• Mbështetja e mekanizmit prerja e rrjetit, bazuar në shërbimet e ofruara për grupe të veçanta të përdoruesve fundorë.
• Zbatimi i elementeve të rrjetit në formë funksionet e rrjetit virtual.
• Mbështetje për akses të njëkohshëm në shërbimet e centralizuara dhe lokale, d.m.th. zbatimi i koncepteve të cloud (nga anglishtja. llogaritja e mjegullës) dhe kufiri (nga anglishtja. informatikë buzë) llogaritjet.
• Zbatimi konvergjente arkitektura që kombinon lloje të ndryshme të rrjeteve të aksesit - 3GPP 5G Radio e re dhe jo-3GPP (Wi-Fi, etj.) - me një bërthamë të vetme rrjeti.
• Mbështetja e algoritmeve uniforme dhe procedurave të vërtetimit, pavarësisht nga lloji i rrjetit të aksesit.
• Mbështetje për funksionet e rrjetit pa shtetësi, në të cilat burimi i llogaritur është i ndarë nga ruajtja e burimeve.
• Mbështetje për roaming me drejtimin e trafikut si përmes rrjetit të shtëpisë (nga roaming-i në anglisht i drejtuar nga shtëpia) dhe me një "ulje" lokale (nga breakout lokal në anglisht) në rrjetin e mysafirëve.
• Ndërveprimi ndërmjet funksioneve të rrjetit paraqitet në dy mënyra: të orientuar drejt shërbimit и ndërfaqe.

Koncepti i sigurisë së rrjetit të gjeneratës së 5-të përfshin:

• Vërtetimi i përdoruesit nga rrjeti.
• Autentifikimi i rrjetit nga përdoruesi.
• Negocimi i çelësave kriptografikë ndërmjet rrjetit dhe pajisjeve të përdoruesit.
• Enkriptimi dhe kontrolli i integritetit të trafikut të sinjalizimit.
• Kriptimi dhe kontrolli i integritetit të trafikut të përdoruesve.
• Mbrojtja e ID-së së përdoruesit.
• Mbrojtja e ndërfaqeve ndërmjet elementëve të ndryshëm të rrjetit në përputhje me konceptin e një domeni sigurie rrjeti.
• Izolimi i shtresave të ndryshme të mekanizmit prerja e rrjetit dhe duke përcaktuar nivelet e sigurisë së çdo shtrese.
• Autentifikimi i përdoruesit dhe mbrojtja e trafikut në nivelin e shërbimeve fundore (IMS, IoT dhe të tjera).

Modulet kryesore të softuerit dhe veçoritë e sigurisë së rrjetit 5G

AMF (nga funksioni anglisht Access & Mobility Management - funksioni i menaxhimit të aksesit dhe lëvizshmërisë) - ofron:

• Organizimi i ndërfaqeve të planit të kontrollit.
• Organizimi i shkëmbimit të trafikut sinjalizues RRC, enkriptimin dhe mbrojtjen e integritetit të të dhënave të tij.
• Organizimi i shkëmbimit të trafikut sinjalizues NAS, enkriptimin dhe mbrojtjen e integritetit të të dhënave të tij.
• Menaxhimi i regjistrimit të pajisjeve të përdoruesve në rrjet dhe monitorimi i gjendjeve të mundshme të regjistrimit.
• Menaxhimi i lidhjes së pajisjeve të përdoruesit me rrjetin dhe monitorimi i gjendjeve të mundshme.
• Kontrolloni disponueshmërinë e pajisjeve të përdoruesit në rrjet në gjendjen CM-IDLE.
• Menaxhimi i lëvizshmërisë së pajisjeve të përdoruesit në rrjet në gjendjen CM-CONNECTED.
• Transmetimi i mesazheve të shkurtra ndërmjet pajisjeve të përdoruesit dhe SMF.
• Menaxhimi i shërbimeve të vendndodhjes.
• Alokimi i ID-së së Temës EPS për të bashkëvepruar me EPS.

SMF (Anglisht: Session Management Function - funksioni i menaxhimit të sesionit) - ofron:

• Menaxhimi i sesioneve të komunikimit, d.m.th. krijimi, modifikimi dhe lëshimi i seancave, duke përfshirë mbajtjen e një tuneli midis rrjetit të aksesit dhe UPF.
• Shpërndarja dhe menaxhimi i adresave IP të pajisjeve të përdoruesve.
• Zgjedhja e portës UPF për t'u përdorur.
• Organizimi i ndërveprimit me PCF.
• Menaxhimi i zbatimit të politikave QoS.
• Konfigurimi dinamik i pajisjeve të përdoruesit duke përdorur protokollet DHCPv4 dhe DHCPv6.
• Monitorimi i mbledhjes së të dhënave tarifore dhe organizimi i ndërveprimit me sistemin e faturimit.
• Ofrimi pa probleme e shërbimeve (nga anglishtja. SSC - Sesioni dhe vazhdimësia e shërbimit).
• Ndërveprimi me rrjetet e mysafirëve brenda roaming.

UPF (Funksioni i planit të përdoruesit në anglisht - funksioni i planit të përdoruesit) - ofron:

• Ndërveprimi me rrjetet e jashtme të të dhënave, duke përfshirë internetin global.
• Rutimi i paketave të përdoruesve.
• Shënimi i paketave në përputhje me politikat QoS.
• Diagnostifikimi i paketës së përdoruesit (për shembull, zbulimi i aplikacionit të bazuar në nënshkrim).
• Sigurimi i raporteve mbi përdorimin e trafikut.
• UPF është gjithashtu pika e ankorimit për mbështetjen e lëvizshmërisë brenda dhe ndërmjet teknologjive të ndryshme të aksesit në radio.

UDM (Anglisht Unified Data Management - Unified Database) - ofron:

• Menaxhimi i të dhënave të profilit të përdoruesit, duke përfshirë ruajtjen dhe modifikimin e listës së shërbimeve të disponueshme për përdoruesit dhe parametrave të tyre përkatës.
• Управление SUPI
• Gjeneroni kredencialet e vërtetimit 3GPP AKA.
• Aksesoni autorizimin bazuar në të dhënat e profilit (për shembull, kufizimet në roaming).
• Menaxhimi i regjistrimit të përdoruesve, d.m.th. ruajtja e AMF-së në shërbim.
• Mbështetje për seancat e shërbimit dhe komunikimit pa probleme, d.m.th. ruajtja e SMF-së të caktuar në sesionin aktual të komunikimit.
• Menaxhimi i dërgimit të SMS.
• Disa UDM të ndryshme mund t'i shërbejnë të njëjtit përdorues përgjatë transaksioneve të ndryshme.

UDR (Anglisht Unified Data Repository - ruajtja e të dhënave të unifikuara) - siguron ruajtjen e të dhënave të ndryshme të përdoruesve dhe është, në fakt, një bazë të dhënash e të gjithë pajtimtarëve të rrjetit.

UDSF (Funksioni i ruajtjes së të dhënave të pastrukturuara në anglisht - funksioni i ruajtjes së pastrukturuar të të dhënave) - siguron që modulet AMF të ruajnë kontekstet aktuale të përdoruesve të regjistruar. Në përgjithësi, ky informacion mund të paraqitet si të dhëna të një strukture të pacaktuar. Kontektet e përdoruesit mund të përdoren për të siguruar seanca pa ndërprerje dhe të pandërprera të abonentëve, si gjatë tërheqjes së planifikuar të një prej AMF-ve nga shërbimi, ashtu edhe në rast emergjence. Në të dyja rastet, AMF rezervë do të "marr" shërbimin duke përdorur kontekste të ruajtura në USDF.

Kombinimi i UDR dhe UDSF në të njëjtën platformë fizike është një zbatim tipik i këtyre funksioneve të rrjetit.

PCF (Anglisht: Politika e Kontrollit Funksioni - funksioni i kontrollit të politikave) - krijon dhe cakton politika të caktuara shërbimi për përdoruesit, duke përfshirë parametrat QoS dhe rregullat e tarifimit. Për shembull, për të transmetuar një ose një lloj tjetër trafiku, kanalet virtuale me karakteristika të ndryshme mund të krijohen në mënyrë dinamike. Në të njëjtën kohë, mund të merren parasysh kërkesat e shërbimit të kërkuara nga pajtimtari, niveli i mbingarkesës së rrjetit, sasia e trafikut të konsumuar etj.

NEF (Funksioni i ekspozimit të rrjetit në anglisht - funksioni i ekspozimit të rrjetit) - ofron:

• Organizimi i ndërveprimit të sigurt të platformave dhe aplikacioneve të jashtme me bërthamën e rrjetit.
• Menaxhoni parametrat QoS dhe rregullat e tarifimit për përdorues të veçantë.

DETI (English Security Anchor Function - funksioni i sigurisë ankoruese) - së bashku me AUSF, siguron autentifikimin e përdoruesve kur ata regjistrohen në rrjet me çdo teknologji aksesi.

AUSF (English Authentication Server Function - funksioni i serverit të vërtetimit) - luan rolin e një serveri vërtetimi që merr dhe përpunon kërkesat nga SEAF dhe i ridrejton ato në ARPF.

ARPF (Anglisht: Authentication Credential Repository and Processing Function - funksioni i ruajtjes dhe përpunimit të kredencialeve të vërtetimit) - siguron ruajtjen e çelësave sekret personal (KI) dhe parametrave të algoritmeve kriptografike, si dhe gjenerimin e vektorëve të vërtetimit në përputhje me 5G-AKA ose DHE AP-AKA. Ndodhet në qendrën e të dhënave të operatorit të telekomit në shtëpi, i mbrojtur nga ndikimet e jashtme fizike dhe, si rregull, është i integruar me UDM.

SCMF (Funksioni i menaxhimit të kontekstit të sigurisë në anglisht - funksioni i menaxhimit kontekstin e sigurisë) - Ofron menaxhimin e ciklit jetësor për kontekstin e sigurisë 5G.

SPCF (English Security Policy Control Function - funksioni i menaxhimit të politikave të sigurisë) - siguron koordinimin dhe zbatimin e politikave të sigurisë në lidhje me përdoruesit specifikë. Kjo merr parasysh aftësitë e rrjetit, aftësitë e pajisjeve të përdoruesit dhe kërkesat e shërbimit specifik (për shembull, nivelet e mbrojtjes të ofruara nga shërbimi kritik i komunikimit dhe shërbimi i aksesit në internet me brez të gjerë me valë mund të ndryshojnë). Aplikimi i politikave të sigurisë përfshin: përzgjedhjen e AUSF, përzgjedhjen e algoritmit të vërtetimit, përzgjedhjen e algoritmeve të enkriptimit dhe kontrollit të integritetit të të dhënave, përcaktimin e gjatësisë dhe ciklit jetësor të çelësave.

SIDF (Funksioni i de-fshehjes së identifikuesit të abonimit në anglisht - funksioni i nxjerrjes së identifikuesit të përdoruesit) - siguron nxjerrjen e identifikuesit të përhershëm të pajtimit të një pajtimtari (anglisht SUPI) nga një identifikues i fshehur (anglisht SUCI), marrë si pjesë e kërkesës së procedurës së vërtetimit “Auth Info Req”.

Kërkesat bazë të sigurisë për rrjetet e komunikimit 5G

më shumëAutentifikimi i përdoruesit: Rrjeti 5G që shërben duhet të vërtetojë SUPI-në e përdoruesit në procesin 5G AKA midis përdoruesit dhe rrjetit.

Shërbimi i vërtetimit të rrjetit: Përdoruesi duhet të vërtetojë ID-në e rrjetit të shërbimit 5G, me vërtetimin e arritur nëpërmjet përdorimit të suksesshëm të çelësave të marrë përmes procedurës 5G AKA.

Autorizimi i përdoruesit: Rrjeti i shërbimit duhet të autorizojë përdoruesin duke përdorur profilin e përdoruesit të marrë nga rrjeti i operatorit të telekomit në shtëpi.

Autorizimi i rrjetit të shërbimit nga rrjeti i operatorit vendas: Përdoruesit duhet t'i sigurohet konfirmimi se ai është i lidhur me një rrjet shërbimi që është i autorizuar nga rrjeti i operatorit vendas për të ofruar shërbime. Autorizimi është i nënkuptuar në kuptimin që sigurohet nga përfundimi me sukses i procedurës 5G AKA.

Autorizimi i rrjetit të aksesit nga rrjeti i operatorit vendas: Përdoruesit duhet t'i sigurohet konfirmimi se ai është i lidhur me një rrjet aksesi që është i autorizuar nga rrjeti i operatorit vendas për të ofruar shërbime. Autorizimi është i nënkuptuar në kuptimin që ai zbatohet duke vendosur me sukses sigurinë e rrjetit të aksesit. Ky lloj autorizimi duhet të përdoret për çdo lloj rrjeti aksesi.

Shërbime emergjente të paautenifikuara: Për të përmbushur kërkesat rregullatore në disa rajone, rrjetet 5G duhet të ofrojnë akses të paautentikuar për shërbimet e urgjencës.

Bërthama e rrjetit dhe rrjeti i aksesit në radio: Bërthama e rrjetit 5G dhe rrjeti i aksesit në radio 5G duhet të mbështesin përdorimin e enkriptimit 128-bit dhe algoritmeve të integritetit për të garantuar sigurinë AS и NAS. Ndërfaqet e rrjetit duhet të mbështesin çelësat e enkriptimit 256-bit.

Kërkesat themelore të sigurisë për pajisjet e përdoruesit

më shumë

• Pajisja e përdoruesit duhet të mbështesë enkriptimin, mbrojtjen e integritetit dhe mbrojtjen kundër sulmeve të përsëritura për të dhënat e përdoruesit të transmetuara ndërmjet saj dhe rrjetit të aksesit në radio.
• Pajisja e përdoruesit duhet të aktivizojë mekanizmat e enkriptimit dhe të mbrojtjes së integritetit të të dhënave siç drejtohet nga rrjeti i aksesit në radio.
• Pajisjet e përdoruesit duhet të mbështesin enkriptimin, mbrojtjen e integritetit dhe mbrojtjen kundër sulmeve të përsëritura për trafikun e sinjalizimit RRC dhe NAS.
• Pajisjet e përdoruesit duhet të mbështesin algoritmet e mëposhtme kriptografike: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Pajisjet e përdoruesit mund të mbështesin algoritmet e mëposhtme kriptografike: 128-NEA3, 128-NIA3.
• Pajisjet e përdoruesit duhet të mbështesin algoritmet e mëposhtme kriptografike: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 nëse mbështet lidhjen me rrjetin e aksesit radio E-UTRA.
• Mbrojtja e konfidencialitetit të të dhënave të përdoruesit të transmetuara ndërmjet pajisjes së përdoruesit dhe rrjetit të aksesit në radio është opsionale, por duhet të sigurohet sa herë që lejohet nga rregullorja.
• Mbrojtja e privatësisë për trafikun e sinjalizimit RRC dhe NAS është opsionale.
• Çelësi i përhershëm i përdoruesit duhet të mbrohet dhe të ruhet në komponentë të siguruar mirë të pajisjes së përdoruesit.
• Identifikuesi i pajtimit të përhershëm të një pajtimtari nuk duhet të transmetohet në tekst të qartë përmes rrjetit të aksesit në radio, përveç informacionit të nevojshëm për drejtimin e saktë (për shembull MCC и MNC).
• Çelësi publik i rrjetit të operatorit të shtëpisë, identifikuesi i çelësit, identifikuesi i skemës së sigurisë dhe identifikuesi i rrugës duhet të ruhen në USIM.

Çdo algoritëm kriptimi shoqërohet me një numër binar:

• "0000": NEA0 - Algoritmi i shifrimit null
• "0001": 128-NEA1 - 128-bit SNOW Algoritmi i bazuar në 3G
• "0010" 128-NEA2 - 128-bit AES algoritmi i bazuar
• "0011" 128-NEA3 - 128-bit ZUC algoritmi i bazuar.

Kriptimi i të dhënave duke përdorur 128-NEA1 dhe 128-NEA2

P.S. Diagrami është huazuar nga TS 133.501

Gjenerimi i inserteve të simuluara nga algoritmet 128-NIA1 dhe 128-NIA2 për të siguruar integritet

P.S. Diagrami është huazuar nga TS 133.501

Kërkesat bazë të sigurisë për funksionet e rrjetit 5G

më shumë

• AMF duhet të mbështesë vërtetimin parësor duke përdorur SUCI.
• SEAF duhet të mbështesë vërtetimin parësor duke përdorur SUCI.
• UDM dhe ARPF duhet të ruajnë çelësin e përhershëm të përdoruesit dhe të sigurojnë që ai të mbrohet nga vjedhja.
• AUSF do t'i ofrojë SUPI rrjetit lokal të shërbimit vetëm pas vërtetimit fillestar të suksesshëm duke përdorur SUCI.
• NEF nuk duhet të përcjellë informacionin e fshehur të rrjetit bazë jashtë domenit të sigurisë së operatorit.

Procedurat themelore të sigurisë

Domenet e besimit

Në rrjetet e gjeneratës së 5-të, besimi në elementët e rrjetit zvogëlohet ndërsa elementët largohen nga bërthama e rrjetit. Ky koncept ndikon në vendimet e zbatuara në arkitekturën e sigurisë 5G. Kështu, mund të flasim për një model besimi të rrjeteve 5G që përcakton sjelljen e mekanizmave të sigurisë së rrjetit.

Nga ana e përdoruesit, domeni i besimit formohet nga UICC dhe USIM.

Nga ana e rrjetit, domeni i besimit ka një strukturë më komplekse.

Rrjeti i aksesit në radio është i ndarë në dy komponentë − DU (nga anglishtja Distributed Units - distributed network units) dhe CU (nga njësitë qendrore angleze - njësitë qendrore të rrjetit). Së bashku ata formojnë gNB — ndërfaqja radio e stacionit bazë të rrjetit 5G. DU-të nuk kanë qasje të drejtpërdrejtë në të dhënat e përdoruesve pasi ato mund të vendosen në segmente të infrastrukturës së pambrojtur. CU-të duhet të vendosen në segmente të mbrojtura të rrjetit, pasi ato janë përgjegjëse për përfundimin e trafikut nga mekanizmat e sigurisë AS. Në thelbin e rrjetit ndodhet AMF, i cili përfundon trafikun nga mekanizmat e sigurisë NAS. Specifikimi aktual i Fazës 3 5GPP 1G përshkruan kombinimin AMF me funksion sigurie DETI, që përmban çelësin rrënjë (i njohur edhe si "çelësi i ankorimit") të rrjetit të vizituar (në shërbim). AUSF është përgjegjës për ruajtjen e çelësit të marrë pas vërtetimit të suksesshëm. Është e nevojshme për ripërdorim në rastet kur përdoruesi është i lidhur njëkohësisht me disa rrjete të aksesit në radio. ARPF ruan kredencialet e përdoruesve dhe është një analog i USIM për abonentët. UDR и UDM ruaj informacionin e përdoruesit, i cili përdoret për të përcaktuar logjikën për gjenerimin e kredencialeve, ID-të e përdoruesve, sigurimin e vazhdimësisë së sesionit, etj.

Hierarkia e çelësave dhe skemat e shpërndarjes së tyre

Në rrjetet e gjeneratës së 5-të, ndryshe nga rrjetet 4G-LTE, procedura e vërtetimit ka dy komponentë: vërtetimin parësor dhe dytësor. Kërkohet vërtetimi parësor për të gjitha pajisjet e përdoruesve që lidhen me rrjetin. Autentifikimi dytësor mund të kryhet me kërkesë nga rrjetet e jashtme, nëse pajtimtari lidhet me to.

Pas përfundimit të suksesshëm të vërtetimit primar dhe zhvillimit të një çelësi të përbashkët K midis përdoruesit dhe rrjetit, KSEAF nxirret nga çelësi K - një çelës i veçantë ankorues (rrënjë) i rrjetit të shërbimit. Më pas, çelësat gjenerohen nga ky çelës për të siguruar konfidencialitetin dhe integritetin e të dhënave të trafikut të sinjalizimit RRC dhe NAS.

Diagram me shpjegime
Emërtimet:
CK Çelësi shifror
IK (Anglisht: Integrity Key) - një çelës i përdorur në mekanizmat e mbrojtjes së integritetit të të dhënave.
CK' (eng. Cipher Key) - një tjetër çelës kriptografik i krijuar nga CK për mekanizmin EAP-AKA.
IK' (English Integrity Key) - një tjetër çelës i përdorur në mekanizmat e mbrojtjes së integritetit të të dhënave për EAP-AKA.
KAUSF - gjeneruar nga funksioni ARPF dhe pajisjet e përdoruesit nga CK и IK gjatë 5G AKA dhe EAP-AKA.
FSKV - çelësi i ankorimit i marrë nga funksioni AUSF nga çelësi KAMFAUSF.
KAMF — çelësi i marrë nga funksioni SEAF nga çelësi FSKV.
KNASint, KNASenc — çelësat e marrë nga funksioni AMF nga çelësi KAMF për të mbrojtur trafikun e sinjalizimit të NAS.
KRRCint, KRRCenc — çelësat e marrë nga funksioni AMF nga çelësi KAMF për të mbrojtur trafikun e sinjalizimit RRC.
KUPint, KUPenc — çelësat e marrë nga funksioni AMF nga çelësi KAMF për të mbrojtur trafikun e sinjalizimit AS.
NH — çelësi i ndërmjetëm i marrë nga funksioni AMF nga çelësi KAMF për të garantuar sigurinë e të dhënave gjatë dorëzimit.
KgNB — çelësi i marrë nga funksioni AMF nga çelësi KAMF për të garantuar sigurinë e mekanizmave të lëvizshmërisë.

Skemat për gjenerimin e SUCI nga SUPI dhe anasjelltas

Skemat për marrjen e SUPI dhe SUCI

Prodhimi i SUCI nga SUPI dhe SUPI nga SUCI:

vërtetim

Autentifikimi primar

Në rrjetet 5G, EAP-AKA dhe 5G AKA janë mekanizma standardë të vërtetimit primar. Le të ndajmë mekanizmin parësor të vërtetimit në dy faza: e para është përgjegjëse për fillimin e vërtetimit dhe zgjedhjen e një metode vërtetimi, e dyta është përgjegjëse për vërtetimin e ndërsjellë midis përdoruesit dhe rrjetit.

Inicimi

Përdoruesi paraqet një kërkesë regjistrimi në SEAF, e cila përmban ID-në e fshehur të abonimit të përdoruesit SUCI.

SEAF i dërgon AUSF një mesazh kërkese vërtetimi (Nausf_UEAuthentication_Authenticate Request) që përmban SNN (Emri i rrjetit të shërbimit) dhe SUPI ose SUCI.

AUSF kontrollon nëse kërkuesi i vërtetimit SEAF lejohet të përdorë SNN-në e dhënë. Nëse rrjeti i shërbimit nuk është i autorizuar për të përdorur këtë SNN, atëherë AUSF përgjigjet me një mesazh gabimi autorizimi "Rrjeti i shërbimit nuk është i autorizuar" (Nausf_UEAuthentication_Authenticate Response).

Kredencialet e vërtetimit kërkohen nga AUSF tek UDM, ARPF ose SIDF nëpërmjet SUPI ose SUCI dhe SNN.

Bazuar në SUPI ose SUCI dhe informacionin e përdoruesit, UDM/ARPF zgjedh metodën e vërtetimit për t'u përdorur më pas dhe lëshon kredencialet e përdoruesit.

Autentifikimi i ndërsjellë

Kur përdorni ndonjë metodë vërtetimi, funksionet e rrjetit UDM/ARPF duhet të gjenerojnë një vektor vërtetimi (AV).

EAP-AKA: UDM/ARPF fillimisht gjeneron një vektor vërtetimi me bitin ndarës AMF = 1, më pas gjeneron CK' и IK' nga CK, IK dhe SNN dhe përbën një vektor të ri të vërtetimit AV (RAND, AUTN, XRES*, CK', IK'), i cili i dërgohet AUSF-së me udhëzime për ta përdorur vetëm për EAP-AKA.

5G AKA: UDM/ARPF merr çelësin KAUSF nga CK, IK dhe SNN, pas së cilës gjeneron 5G HE AV. Vektori i vërtetimit të mjedisit shtëpiak 5G). Vektori i vërtetimit 5G HE AV (RAND, AUTN, XRES, KAUSF) i dërgohet AUSF me udhëzime për ta përdorur atë vetëm për 5G AKA.

Pas këtij AUSF merret çelësi i ankorimit FSKV nga çelësi KAUSF dhe i dërgon një kërkesë SEAF "Challenge" në mesazhin "Nausf_UEAuthentication_Authenticate Response", i cili gjithashtu përmban RAND, AUTN dhe RES*. Më pas, RAND dhe AUTN transmetohen në pajisjen e përdoruesit duke përdorur një mesazh të sigurt sinjalizimi NAS. USIM i përdoruesit llogarit RES* nga RAND dhe AUTN e marrë dhe e dërgon atë në SEAF. SEAF ia transmeton këtë vlerë AUSF për verifikim.

AUSF krahason XRES* të ruajtur në të dhe RES* të marra nga përdoruesi. Nëse ka një përputhje, AUSF dhe UDM në rrjetin shtëpiak të operatorit njoftohen për vërtetimin e suksesshëm dhe përdoruesi dhe SEAF gjenerojnë në mënyrë të pavarur një çelës KAMF nga FSKV dhe SUPI për komunikim të mëtejshëm.

Autentifikimi dytësor

Standardi 5G mbështet vërtetimin dytësor opsional bazuar në EAP-AKA ndërmjet pajisjes së përdoruesit dhe rrjetit të jashtëm të të dhënave. Në këtë rast, SMF luan rolin e vërtetuesit të EAP dhe mbështetet në punën AAA-një server i jashtëm i rrjetit që vërteton dhe autorizon përdoruesin.

• Autentifikimi fillestar i detyrueshëm i përdoruesit në rrjetin e shtëpisë ndodh dhe një kontekst i përbashkët sigurie NAS zhvillohet me AMF.
• Përdoruesi i dërgon një kërkesë AMF për të krijuar një sesion.
• AMF dërgon një kërkesë për të krijuar një seancë në SMF duke treguar SUPI të përdoruesit.
• SMF vërteton kredencialet e përdoruesit në UDM duke përdorur SUPI-në e dhënë.
• SMF i dërgon një përgjigje kërkesës nga AMF.
• SMF fillon procedurën e vërtetimit të EAP për të marrë lejen për të krijuar një sesion nga serveri AAA në rrjetin e jashtëm. Për ta bërë këtë, SMF dhe përdoruesi shkëmbejnë mesazhe për të filluar procedurën.
• Përdoruesi dhe serveri AAA i rrjetit të jashtëm shkëmbejnë më pas mesazhe për të vërtetuar dhe autorizuar përdoruesin. Në këtë rast, përdoruesi dërgon mesazhe në SMF, e cila nga ana tjetër shkëmben mesazhe me rrjetin e jashtëm nëpërmjet UPF.

Përfundim

Megjithëse arkitektura e sigurisë 5G bazohet në ripërdorimin e teknologjive ekzistuese, ajo paraqet sfida krejtësisht të reja. Një numër i madh i pajisjeve IoT, kufijtë e zgjeruar të rrjetit dhe elementët e arkitekturës së decentralizuar janë vetëm disa nga parimet kryesore të standardit 5G që i japin fre imagjinatës së kriminelëve kibernetikë.

Standardi kryesor për arkitekturën e sigurisë 5G është TS 23.501 versioni 15.6.0 — përmban pikat kyçe të funksionimit të mekanizmave dhe procedurave të sigurisë. Në veçanti, ai përshkruan rolin e çdo VNF në sigurimin e mbrojtjes së të dhënave të përdoruesit dhe nyjeve të rrjetit, në gjenerimin e çelësave kripto dhe në zbatimin e procedurës së vërtetimit. Por edhe ky standard nuk jep përgjigje për çështjet urgjente të sigurisë me të cilat përballen operatorët e telekomit më shpesh, sa më intensivisht zhvillohen dhe vihen në funksion rrjetet e gjeneratës së re.

Në këtë drejtim, do të doja të besoja se vështirësitë e funksionimit dhe mbrojtjes së rrjeteve të gjeneratës së 5-të nuk do të ndikojnë në asnjë mënyrë përdoruesit e zakonshëm, të cilëve u premtohen shpejtësi transmetimi dhe përgjigje si djali i një shoqeje nëne dhe tashmë janë të etur për të provuar të gjitha. aftësitë e deklaruara të rrjeteve të gjeneratës së re.

Lidhje të dobishme

Seria e specifikimeve 3GPP
Arkitektura e sigurisë 5G
Arkitektura e sistemit 5G
5G Wiki
Shënime të arkitekturës 5G
Përmbledhje e sigurisë 5G

Burimi: www.habr.com