ProHoster > Blog > Administrasi > Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Jelas, nyandak ngembangkeun standar komunikasi anyar tanpa mikir ngeunaan mékanisme kaamanan mangrupa usaha pisan dubious jeung sia sia.

Arsitéktur Kaamanan 5G - sakumpulan mékanisme sareng prosedur kaamanan anu dilaksanakeun di jaringan generasi ka-5 sarta ngawengku sakabéh komponén jaringan, ti inti nepi ka interfaces radio.

Jaringan generasi ka-5, dina dasarna, évolusi jaringan LTE generasi ka-4. Téknologi aksés radio parantos ngalaman parobihan anu paling signifikan. Pikeun jaringan generasi ka-5, anu anyar RATAH (Teknologi Aksés Radio) - 5G Radio Anyar. Sedengkeun pikeun inti jaringan, éta teu ngalaman parobahan signifikan misalna. Dina hal ieu, arsitéktur kaamanan jaringan 5G parantos dikembangkeun kalayan tekenan kana ngagunakeun deui téknologi relevan anu diadopsi dina standar 4G LTE.

Sanajan kitu, éta patut dicatet yén rethiking ancaman dipikawanoh kayaning serangan dina interfaces hawa jeung lapisan signalling (signalling pesawat), serangan DDOS, serangan Man-In-The-Middle, jeung sajabana, ngajurung operator telekomunikasi pikeun ngembangkeun standar anyar sareng ngahijikeun mékanisme kaamanan lengkep anyar kana jaringan generasi ka-5.

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Suku Sunda

Taun 2015, International Telecommunication Union ngadamel rencana global anu munggaran pikeun ngembangkeun jaringan generasi kalima, naha masalah ngembangkeun mékanisme sareng prosedur kaamanan dina jaringan 5G janten parah pisan.

Téknologi anyar nawiskeun kecepatan transfer data anu saé pisan (leuwih ti 1 Gbps), latency kirang ti 1 mdet sareng kamampuan nyambungkeun sakitar 1 juta alat dina radius 1 km2. Sapertos syarat pangluhurna pikeun jaringan generasi ka-5 ogé ditingali dina prinsip organisasina.

Anu utama nyaéta desentralisasi, anu nunjukkeun panempatan seueur pangkalan data lokal sareng pusat pamrosesanna dina periphery jaringan. Ieu ngamungkinkeun pikeun ngaleutikan reureuh nalika M2M-komunikasi sareng ngaleungitkeun inti jaringan kusabab ngalayanan sajumlah ageung alat IoT. Ku kituna, ujung jaringan generasi saterusna dilegakeun sagala jalan ka base station, sahingga kreasi puseur komunikasi lokal sarta penyediaan jasa awan tanpa résiko Nepi kritis atawa panolakan tina jasa. Alami, parobihan pendekatan kana jaringan sareng layanan palanggan dipikaresep ku panyerang, sabab éta muka kasempetan anyar pikeun aranjeunna nyerang inpormasi pangguna rahasia sareng komponén jaringan sorangan pikeun nyababkeun panolakan jasa atanapi ngarebut sumber komputasi operator.

Kerentanan utama jaringan generasi ka-5

Beungeut serangan badag

deuiNalika ngawangun jaringan telekomunikasi generasi ka-3 sareng ka-4, operator telekomunikasi biasana dugi ka damel sareng hiji atanapi sababaraha padagang anu langsung nyayogikeun sakumpulan hardware sareng parangkat lunak. Nyaéta, sadayana tiasa dianggo, sakumaha anu aranjeunna nyarios, "out of the box" - cukup pikeun masang sareng ngonpigurasikeun alat anu dipésér ti anu ngajual; teu kudu ngaganti atawa suplement software proprietary. Tren modéren bertentangan sareng pendekatan "klasik" ieu sareng ditujukeun pikeun virtualisasi jaringan, pendekatan multi-vendor pikeun konstruksi sareng karagaman parangkat lunak. Téknologi sapertos SDN (Inggris Software Defined Network) jeung NFV (Bahasa Inggris Network Functions Virtualization), anu nyababkeun kalebet sajumlah ageung parangkat lunak anu diwangun dina dasar kode open source dina prosés sareng fungsi ngatur jaringan komunikasi. Ieu masihan panyerang kasempetan pikeun langkung saé diajar jaringan operator sareng ngaidentipikasi sajumlah kerentanan anu langkung ageung, anu, giliranana, ningkatkeun permukaan serangan jaringan generasi énggal dibandingkeun sareng anu ayeuna.

Sajumlah ageung alat IoT

deuiKu 2021, sakitar 57% tina alat anu nyambung ka jaringan 5G bakal janten alat IoT. Ieu ngandung harti yén sabagéan ageung host bakal gaduh kamampuan cryptographic kawates (tingali titik 2) sareng, sasuai, bakal rentan ka serangan. Sajumlah ageung alat sapertos kitu bakal ningkatkeun résiko proliferasi botnet sareng ngamungkinkeun pikeun ngalaksanakeun serangan DDoS anu langkung kuat sareng disebarkeun.

Kamampuan kriptografi kawates alat IoT

deuiSakumaha anu parantos disebatkeun, jaringan generasi ka-5 aktip ngagunakeun alat periferal, anu ngamungkinkeun pikeun ngaleungitkeun bagian tina beban tina inti jaringan sareng ku kituna ngirangan latency. Ieu dipikabutuh pikeun layanan penting sapertos kontrol kandaraan unmanned, sistem peringatan darurat IMS jeung sajabana, pikeun saha mastikeun reureuh minimal mangrupa kritik, sabab kahirupan manusa gumantung kana eta. Kusabab sambungan sajumlah ageung alat IoT, anu, kusabab ukuranana anu alit sareng konsumsi kakuatan anu rendah, gaduh sumber komputasi anu terbatas, jaringan 5G janten rentan ka serangan anu ditujukeun pikeun nyegat kontrol sareng manipulasi salajengna tina alat-alat sapertos kitu. Salaku conto, meureun aya skenario dimana alat IoT anu bagian tina sistem katépaan "pinter House", jinis malware sapertos Ransomware sareng ransomware. Skenario pikeun nyegat kontrol kendaraan tanpa awak anu nampi paréntah sareng inpormasi navigasi ngalangkungan awan ogé mungkin. Sacara formal, kerentanan ieu disababkeun ku desentralisasi jaringan generasi anyar, tapi paragraf salajengna bakal ngagariskeun masalah desentralisasi langkung jelas.

Desentralisasi sareng perluasan wates jaringan

deuiAlat periferal, maénkeun peran inti jaringan lokal, ngalaksanakeun routing lalu lintas pangguna, ngolah pamundut, ogé cache lokal sareng neundeun data pangguna. Ku kituna, wates jaringan generasi ka-5 ngalegaan, salian inti, ka periphery, kaasup basis data lokal jeung 5G-NR (5G Radio Anyar) interfaces radio. Ieu nyiptakeun kasempetan pikeun nyerang sumber komputasi alat lokal, anu apriori langkung lemah ditangtayungan tibatan titik sentral inti jaringan, kalayan tujuan pikeun nyababkeun panolakan jasa. Ieu tiasa nyababkeun pegatna aksés Internét pikeun sakumna daérah, fungsi alat IoT anu salah (contona, dina sistem bumi pinter), ogé henteu sayogi jasa waspada darurat IMS.

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Nanging, ETSI sareng 3GPP ayeuna parantos nyebarkeun langkung ti 10 standar anu nyertakeun sagala rupa aspék kaamanan jaringan 5G. Seuseueurna mékanisme anu dijelaskeun di ditu ditujukeun pikeun ngajagaan tina kerentanan (kalebet anu dijelaskeun di luhur). Salah sahiji anu utama nyaéta standar TS 23.501 Vérsi 15.6.0, ngajelaskeun arsitektur kaamanan jaringan generasi ka-5.

Arsitéktur 5G

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi
Kahiji, hayu urang balikkeun kana prinsip konci arsitektur jaringan 5G, anu salajengna bakal pinuh nembongkeun harti jeung wewengkon tanggung jawab unggal modul software sarta unggal fungsi kaamanan 5G.

  • Divisi titik jaringan kana elemen anu mastikeun operasi protokol pesawat custom (tina Inggris UP - Plane Pamaké) sareng elemen anu mastikeun operasi protokol pesawat kontrol (tina CP Inggris - Control Plane), anu ningkatkeun kalenturan dina hal skala sareng panyebaran jaringan, nyaéta panempatan terpusat atanapi desentralisasi tina titik jaringan komponén individu mungkin.
  • rojongan mékanisme nyiksikan jaringan, dumasar kana jasa anu disayogikeun ka grup khusus pangguna akhir.
  • Palaksanaan elemen jaringan dina bentuk fungsi jaringan virtual.
  • Rojongan pikeun aksés sakaligus kana jasa terpusat sareng lokal, nyaéta palaksanaan konsép awan (tina basa Inggris. komputasi kabut) jeung wates (tina basa Inggris. komputasi ujung) itungan.
  • Реализация konvergen arsitéktur ngagabungkeun tipena béda jaringan aksés - 3GPP 5G Radio Anyar jeung non-3GPP (Wi-Fi, jsb) - kalawan inti jaringan tunggal.
  • Rojongan algoritma seragam sareng prosedur auténtikasi, henteu paduli jinis jaringan aksés.
  • Rojongan pikeun fungsi jaringan stateless, dimana sumberdaya diitung dipisahkeun tina toko sumberdaya.
  • Rojongan pikeun roaming jeung lalulintas routing duanana ngaliwatan jaringan asal (tina basa Inggris home-routed roaming) jeung ku "badarat" lokal (tina breakout lokal Inggris) dina jaringan tamu.
  • Interaksi antara fungsi jaringan digambarkeun ku dua cara: berorientasi jasa и panganteur.

Konsep kaamanan jaringan generasi ka-5 ngawengku:

  • Auténtikasi pamaké tina jaringan.
  • Auténtikasi jaringan ku pangguna.
  • Negosiasi konci cryptographic antara jaringan jeung alat pamaké.
  • Énkripsi sareng kontrol integritas tina lalu lintas sinyal.
  • Énkripsi sareng kontrol integritas lalu lintas pangguna.
  • Perlindungan ID pamaké.
  • Ngajagi interfaces antara elemen jaringan béda luyu jeung konsép domain kaamanan jaringan.
  • Isolasi lapisan béda mékanisme nyiksikan jaringan jeung nangtukeun tingkat kaamanan unggal lapisan urang sorangan.
  • Auténtikasi pangguna sareng perlindungan lalu lintas dina tingkat jasa tungtung (IMS, IoT sareng anu sanésna).

Modul software konci sareng fitur kaamanan jaringan 5G

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi AMF (tina Fungsi Inggris Aksés & Manajemén Mobilitas - aksés sareng fungsi manajemén mobilitas) - nyayogikeun:

  • Organisasi interfaces pesawat kontrol.
  • Organisasi bursa lalulintas signalling RRC, énkripsi sareng panyalindungan integritas datana.
  • Organisasi bursa lalulintas signalling Nas, énkripsi sareng panyalindungan integritas datana.
  • Ngatur pendaptaran alat pangguna dina jaringan sareng ngawaskeun kaayaan pendaptaran anu mungkin.
  • Ngatur sambungan pakakas pamaké ka jaringan jeung ngawas kaayaan mungkin.
  • Ngadalikeun kasadiaan pakakas pamaké dina jaringan dina kaayaan CM-IDLE.
  • Manajemén mobilitas pakakas pangguna dina jaringan dina kaayaan CM-CONNECTED.
  • Pangiriman pesen pondok antara parabot pamaké sarta SMF.
  • Manajemén jasa lokasi.
  • Alokasi Thread ID EPS pikeun berinteraksi sareng EPS.

SMF (Basa Inggris: Fungsi Manajemén Sidang - fungsi manajemén sési) - nyayogikeun:

  • Manajemén sési komunikasi, nyaéta nyiptakeun, ngarobih sareng ngaleupaskeun sési, kalebet ngajaga torowongan antara jaringan aksés sareng UPF.
  • Distribusi sareng ngokolakeun alamat IP alat pangguna.
  • Milih gateway UPF pikeun dianggo.
  • Organisasi interaksi jeung PCF.
  • Manajemén penegak kawijakan QoS.
  • Konfigurasi dinamis pakakas pamaké ngagunakeun protokol DHCPv4 jeung DHCPv6.
  • Ngawaskeun kumpulan data tarif sareng ngatur interaksi sareng sistem tagihan.
  • Panyadiaan jasa anu mulus (tina basa Inggris. SSC - Sidang jeung Continuity Service).
  • Interaksi sareng jaringan tamu dina roaming.

UPF (Fungsi Pesawat Pangguna Inggris - fungsi pesawat pangguna) - nyayogikeun:

  • Interaksi sareng jaringan data éksternal, kalebet Internét global.
  • Routing pakét pamaké.
  • Nyirian pakét luyu jeung kawijakan QoS.
  • Diagnostik pakét pangguna (contona, deteksi aplikasi dumasar kana tanda tangan).
  • Nyadiakeun laporan ngeunaan pamakéan lalulintas.
  • UPF ogé mangrupikeun titik jangkar pikeun ngadukung mobilitas di jero sareng antara téknologi aksés radio anu béda.

UDM (Manajemén Data Ngahiji Basa Inggris - database ngahiji) - nyayogikeun:

  • Ngatur data profil pangguna, kalebet nyimpen sareng ngarobih daptar jasa anu sayogi pikeun pangguna sareng parameter anu saluyu.
  • manajemén SUPI
  • Ngahasilkeun kredensial auténtikasi 3GPP aka.
  • Otorisasina aksés dumasar kana data profil (contona, larangan roaming).
  • Manajemén pendaptaran pamaké, nyaéta neundeun porsi AMF.
  • Rojongan pikeun layanan lancar sareng sesi komunikasi, nyaéta nyimpen SMF anu ditugaskeun ka sési komunikasi ayeuna.
  • manajemén pangiriman SMS.
  • Sababaraha UDM anu béda tiasa ngalayanan pangguna anu sami dina transaksi anu béda.

UDR (Inggris Unified Data Repository - panyimpen data ngahijikeun) - nyayogikeun panyimpen sababaraha data pangguna sareng, kanyataanna, pangkalan data sadaya palanggan jaringan.

UDSF (Inggris Fungsi Panyimpen Data Henteu Terstruktur - fungsi panyimpen data anu teu terstruktur) - mastikeun yén modul AMF ngahemat kontéks pangguna anu kadaptar ayeuna. Sacara umum, inpormasi ieu tiasa disayogikeun salaku data tina struktur anu teu katangtu. Konteks pangguna tiasa dianggo pikeun mastikeun sesi palanggan anu lancar sareng teu kaganggu, boh nalika rencana ditarikna salah sahiji AMF tina jasa, sareng upami aya kaayaan darurat. Dina duanana kasus, cadangan AMF bakal "nyokot" jasa ngagunakeun konteks disimpen dina USDF.

Ngagabungkeun UDR sareng UDSF dina platform fisik anu sami mangrupikeun palaksanaan khas tina fungsi jaringan ieu.

PCF (Inggris: Fungsi Control Kawijakan - fungsi kontrol kawijakan) - nyieun jeung nangtukeun kawijakan layanan tangtu pamaké, kaasup parameter QoS jeung aturan ngecas. Contona, pikeun ngirimkeun hiji atawa tipe séjén lalulintas, saluran maya jeung ciri béda bisa dinamis dijieun. Dina waktos anu sami, syarat jasa anu dipénta ku palanggan, tingkat kamacetan jaringan, jumlah lalu lintas anu dikonsumsi, sareng sajabana tiasa dipertimbangkeun.

NEF (Fungsi Paparan Jaringan Inggris - fungsi paparan jaringan) - nyayogikeun:

  • Organisasi interaksi aman tina platform éksternal sareng aplikasi sareng inti jaringan.
  • Atur parameter QoS sareng aturan ngecas pikeun pangguna khusus.

LAUT (Fungsi Jangkar Kaamanan Inggris - fungsi kaamanan jangkar) - bareng jeung AUSF, nyadiakeun auténtikasi pamaké nalika aranjeunna ngadaptar dina jaringan kalayan sagala téhnologi aksés.

AUSF (Fungsi Server auténtikasi Inggris - fungsi server auténtikasi) - muterkeun peran hiji server auténtikasi anu narima jeung prosés requests ti SEAF sarta alihan ka ARPF.

ARPF (Basa Inggris: Authentication Credential Repository and Processing Function - fungsi nyimpen jeung ngolah kredensial auténtikasi) - nyadiakeun neundeun konci rusiah pribadi (KI) jeung parameter algoritma kriptografi, kitu ogé generasi véktor auténtikasi luyu jeung 5G-AKA atawa Jeung AP-AKA. Tempatna di pusat data operator telekomunikasi bumi, ditangtayungan tina pangaruh fisik éksternal, sareng, sakumaha aturan, terpadu sareng UDM.

SCMF (Fungsi Manajemén Kontéks Kaamanan Inggris - fungsi manajemén konteks kaamanan) - Nyadiakeun manajemén siklus hirup pikeun konteks kaamanan 5G.

SPCF (Fungsi Kontrol Kabijakan Kaamanan Inggris - fungsi manajemén kawijakan kaamanan) - mastikeun koordinasi sareng aplikasi kawijakan kaamanan anu aya hubunganana sareng pangguna khusus. Ieu merhatikeun kamampuan jaringan, kamampuan alat pangguna sareng sarat ladenan khusus (contona, tingkat panyalindungan anu disayogikeun ku ladenan komunikasi kritis sareng ladenan aksés Internét pita lebar nirkabel tiasa bénten). Aplikasi kawijakan kaamanan ngawengku: pilihan AUSF, pilihan algoritma auténtikasi, pilihan enkripsi data jeung kontrol integritas algoritma, tekad tina panjang tur hirup siklus konci.

SIDF (Basa Inggris Subscription Identifier De-concealing Function - fungsi ékstraksi identifier pamaké) - mastikeun ékstraksi identifier langganan permanén palanggan (English SUPI) tina identifier disumputkeun (Inggris). SUCI), ditampa salaku bagian tina pamundut prosedur auténtikasi "Auth Info Req".

Syarat kaamanan dasar pikeun jaringan komunikasi 5G

deuiauténtikasi pamaké: Jaringan 5G anu ngalayanan kedah nga-asténtikasi SUPI pangguna dina prosés 5G AKA antara pangguna sareng jaringan.

Ngalayanan auténtikasi jaringan: Pamaké kedah nga-asténtikasi 5G ngalayanan jaringan ID, kalawan auténtikasi kahontal ngaliwatan sukses pamakéan konci diala ngaliwatan prosedur 5G AKA.

Otorisasina pamaké: Jaringan ngalayanan kedah masihan otorisasi ka pangguna nganggo profil pangguna anu ditampi tina jaringan operator telekomunikasi bumi.

Otorisasi jaringan ngalayanan ku jaringan operator asal: Pamaké kedah disayogikeun konpirmasi yén anjeunna nyambung ka jaringan jasa anu diidinan ku jaringan operator asal pikeun nyayogikeun jasa. Otorisasina implisit dina harti yén éta dipastikeun ku parantosan suksés prosedur 5G AKA.

Otorisasi jaringan aksés ku jaringan operator asal: Pamaké kedah disayogikeun ku konfirmasi yén anjeunna nyambung ka jaringan aksés anu diidinan ku jaringan operator asal pikeun nyayogikeun jasa. Otorisasina implisit dina harti yén éta dikuatkeun ku suksés ngadegkeun kaamanan jaringan aksés. Jenis otorisasi ieu kedah dianggo pikeun sagala jinis jaringan aksés.

Palayanan darurat anu teu dioténtikasi: Pikeun nyumponan sarat pangaturan di sababaraha daérah, jaringan 5G kedah nyayogikeun aksés anu teu dioténtikasi pikeun layanan darurat.

Jaringan inti sareng jaringan aksés radio: Inti jaringan 5G sareng jaringan aksés radio 5G kedah ngadukung panggunaan enkripsi 128-bit sareng algoritma integritas pikeun mastikeun kaamanan. AS и Nas. Antarbeungeut jaringan kedah ngadukung konci enkripsi 256-bit.

syarat kaamanan dasar pikeun alat pamaké

deui

  • Parabot pamake kedah ngadukung énkripsi, panyalindungan integritas, sareng panyalindungan ngalawan serangan replay pikeun data pangguna anu dikirimkeun antara éta sareng jaringan aksés radio.
  • Parabot pamaké kudu ngaktipkeun énkripsi sarta mékanisme panyalindungan integritas data sakumaha diarahkeun ku jaringan aksés radio.
  • Parabot pangguna kedah ngadukung enkripsi, panyalindungan integritas, sareng panyalindungan ngalawan serangan replay pikeun lalu lintas sinyal RRC sareng NAS.
  • Parabot pamaké kudu ngarojong algoritma kriptografi handap: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Parabot pamaké bisa ngarojong algoritma cryptographic handap: 128-NEA3, 128-NIA3.
  • Parabot pamaké kudu ngarojong algoritma cryptographic handap: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 lamun ngarojong sambungan kana jaringan aksés radio E-UTRA.
  • Perlindungan karusiahan data pangguna anu dikirimkeun antara alat pangguna sareng jaringan aksés radio nyaéta pilihan, tapi kedah disayogikeun iraha waé ku régulasi.
  • Perlindungan privasi pikeun lalu lintas sinyal RRC sareng NAS mangrupikeun pilihan.
  • Konci permanén pamaké kudu ditangtayungan tur disimpen dina komponén well-aman tina parabot pamaké.
  • Identifier langganan permanén palanggan teu kudu dikirimkeun dina téks jelas ngaliwatan jaringan aksés radio iwal informasi diperlukeun pikeun routing bener (contona. PKS и ahérat).
  • Konci publik jaringan operator imah, identifier konci, identifier skéma kaamanan, jeung identifier routing kudu disimpen dina USIM.

Unggal algoritma enkripsi pakait sareng angka binér:

  • "0000": NEA0 - algoritma ciphering null
  • "0001": 128-NEA1 - 128-bit salju Algoritma dumasar 3G
  • "0010" 128-NEA2 - 128-bit AES algoritma dumasar
  • "0011" 128-NEA3 - 128-bit ZUC algoritma dumasar.

Énkripsi data nganggo 128-NEA1 sareng 128-NEA2Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

P.S. diagram injeuman tina TS 133.501

Generasi sisipan simulasi ku algoritma 128-NIA1 sareng 128-NIA2 pikeun mastikeun integritasBubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

P.S. diagram injeuman tina TS 133.501

Syarat kaamanan dasar pikeun fungsi jaringan 5G

deui

  • AMF kedah ngadukung auténtikasi primér nganggo SUCI.
  • SEAF kedah ngadukung auténtikasi primér nganggo SUCI.
  • UDM sareng ARPF kedah nyimpen konci permanén pangguna sareng mastikeun yén éta ditangtayungan tina maling.
  • AUSF ngan wajib nyadiakeun SUPI ka jaringan porsi lokal sanggeus auténtikasi awal suksés ngagunakeun SUCI.
  • NEF henteu kedah neraskeun inpormasi jaringan inti disumputkeun di luar domain kaamanan operator.

Prosedur Kasalametan Dasar

Amanah Domains

Dina jaringan generasi ka-5, kapercayaan ka elemen jaringan turun nalika elemen ngajauhan inti jaringan. Konsep ieu mangaruhan kaputusan anu dilaksanakeun dina arsitektur kaamanan 5G. Ku kituna, urang tiasa ngobrol ngeunaan modél amanah jaringan 5G anu nangtukeun paripolah mékanisme kaamanan jaringan.

Di sisi pangguna, domain amanah dibentuk ku UICC sareng USIM.

Di sisi jaringan, domain amanah ngagaduhan struktur anu langkung kompleks.

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi Jaringan aksés radio dibagi jadi dua komponén − DU (tina Basa Inggris Distributed Unit - unit jaringan disebarkeun) jeung CU (tina Unit Tengah Inggris - unit sentral jaringan). Babarengan ngabentuk gNB - panganteur radio tina base station jaringan 5G. DUs teu boga wasa langsung ka data pamaké sabab bisa deployed on bagéan infrastruktur nu teu dijagi. CUs kudu deployed dina bagéan jaringan ditangtayungan, saprak aranjeunna jawab terminating lalulintas tina mékanisme kaamanan AS. Dina inti jaringan ayana AMF, nu terminates lalulintas tina mékanisme kaamanan NAS. Spésifikasi 3GPP 5G Fase 1 ayeuna ngajelaskeun kombinasi éta AMF kalawan fungsi kaamanan LAUT, ngandung konci root (ogé katelah "konci jangkar") tina jaringan nu didatangan (ngalayanan). AUSF tanggung jawab pikeun nyimpen konci diala sanggeus auténtikasi suksés. Ieu diperlukeun pikeun dipake deui dina kasus dimana pamaké disambungkeun sakaligus ka sababaraha jaringan aksés radio. ARPF nyimpen kredensial pamaké sarta mangrupa analog tina USIM pikeun palanggan. UDR и UDM nyimpen inpormasi pangguna, anu dianggo pikeun nangtukeun logika pikeun ngahasilkeun kredensial, ID pangguna, mastikeun kontinuitas sési, jsb.

Hierarki konci sareng skéma distribusina

Dina jaringan generasi ka-5, teu saperti jaringan 4G-LTE, prosedur auténtikasi boga dua komponén: auténtikasi primér jeung sekundér. Auténtikasi primér diperlukeun pikeun sakabéh alat pamaké nyambung ka jaringan. Auténtikasi sekundér tiasa dilakukeun upami dipénta ti jaringan éksternal, upami palanggan nyambung ka aranjeunna.

Saatos parantosan suksés auténtikasi primér sareng pamekaran konci K anu dibagi antara pangguna sareng jaringan, KSEAF diekstrak tina konci K - konci jangkar (root) khusus tina jaringan porsi. Salajengna, konci dihasilkeun tina konci ieu pikeun mastikeun karusiahan sareng integritas data lalu lintas sinyal RRC sareng NAS.

Diagram kalawan kateranganBubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi
Rarancang:
CK Cipher Key
IK (Inggris: Integrity Key) - konci anu digunakeun dina mékanisme panyalindungan integritas data.
CK' (eng. Cipher Key) - konci cryptographic sejen dijieun tina CK pikeun mékanisme EAP-AKA.
IK' (Integritas Key Inggris) - konci sejen dipaké dina mékanisme panyalindungan integritas data pikeun EAP-AKA.
KAUSF - dihasilkeun ku fungsi ARPF jeung alat pamaké ti CK и IK salila 5G AKA jeung EAP-AKA.
KSEAF - konci jangkar diala ku fungsi AUSF ti konci KAMFAUSF.
KAMF - konci diala ku fungsi SEAF ti kenop KSEAF.
KNASint, KNASenc - kenop diala ku fungsi AMF ti kenop KAMF pikeun ngajaga lalu lintas sinyal NAS.
KRRCint, KRRCenc - kenop diala ku fungsi AMF ti kenop KAMF ngajaga lalulintas signalling RRC.
KUPint, KUPenc - kenop diala ku fungsi AMF ti kenop KAMF pikeun ngajaga lalulintas signalling AS.
NH - konci panengah diala ku fungsi AMF tina konci KAMF pikeun mastikeun kaamanan data salila handovers.
KgNB - konci diala ku fungsi AMF tina konci KAMF pikeun mastikeun kasalametan mékanisme mobilitas.

Skéma pikeun ngahasilkeun SUCI ti SUPI sareng sabalikna

Skéma pikeun meunangkeun SUPI sareng SUCI

Produksi SUCI ti SUPI sareng SUPI ti SUCI:
Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

Konfirmasi

auténtikasi primér

Dina jaringan 5G, EAP-AKA sareng 5G AKA mangrupikeun mékanisme auténtikasi primér standar. Hayu urang ngabagi mékanisme auténtikasi primér jadi dua fase: anu kahiji tanggung jawab pikeun ngamimitian auténtikasi sareng milih metodeu auténtikasi, anu kadua tanggung jawab pikeun auténtikasi silih antara pangguna sareng jaringan.

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

inisiasi

Pamaké ngirimkeun pamundut pendaptaran ka SEAF, anu ngandung ID langganan disumputkeun pangguna SUCI.

SEAF ngirim ka AUSF pesen pamundut auténtikasi (Nausf_UEAuthentication_Authenticate Request) ngandung SNN (Ngalayanan Ngaran Network) jeung SUPI atanapi SUCI.

AUSF pariksa naha requester auténtikasi SEAF diwenangkeun ngagunakeun SNN dibikeun. Lamun jaringan porsi teu otorisasi ngagunakeun SNN ieu, lajeng AUSF ngabales pesen kasalahan otorisasina "Ngalayanan jaringan teu otorisasi" (Nausf_UEAuthentication_Authenticate Response).

Kapercayaan auténtikasi dipénta ku AUSF ka UDM, ARPF atanapi SIDF via SUPI atanapi SUCI sareng SNN.

Dumasar inpormasi SUPI atanapi SUCI sareng pangguna, UDM/ARPF milih metodeu auténtikasi pikeun dianggo salajengna sareng ngaluarkeun kredensial pangguna.

Auténtikasi silih

Nalika nganggo metodeu auténtikasi naon waé, fungsi jaringan UDM/ARPF kedah ngahasilkeun vektor auténtikasi (AV).

EAP-AKA: UDM/ARPF mimitina ngahasilkeun véktor auténtikasi kalayan misahkeun bit AMF = 1, teras ngahasilkeun CK' и IK' ti CK, IK sareng SNN sareng janten véktor auténtikasi AV énggal (RAND, AUTN, XRES*, CK', IK'), anu dikirim ka AUSF sareng petunjuk pikeun ngagunakeun éta ngan pikeun EAP-AKA.

5G AKA: UDM / ARPF meunang konci KAUSF ti CK, IK jeung SNN, nu satutasna ngahasilkeun 5G HE AV. Véktor Auténtikasi Lingkungan Imah 5G). Vektor auténtikasi 5G HE AV (RAND, AUTN, XRES, KAUSF) dikirim ka AUSF kalayan paréntah pikeun ngagunakeun éta ngan ukur 5G AKA.

Saatos AUSF ieu konci jangkar dicandak KSEAF ti konci KAUSF sarta ngirimkeun pamundut ka SEAF "Tantangan" dina pesen "Nausf_UEAuthentication_Authenticate Tanggapan", nu ogé ngandung RAND, AUTN na RES *. Salajengna, RAND sareng AUTN dikirimkeun ka alat pangguna nganggo pesen sinyal NAS anu aman. USIM pamaké ngitung RES * ti RAND na AUTN narima sarta ngirimkeun ka SEAF. SEAF relays nilai ieu AUSF pikeun verifikasi.

AUSF ngabandingkeun XRES * disimpen di dinya jeung RES * narima ti pamaké. Upami aya pertandingan, AUSF sareng UDM dina jaringan asal operator dibéjakeun ngeunaan auténtikasi anu suksés, sareng pangguna sareng SEAF sacara mandiri ngahasilkeun konci. KAMF ti KSEAF jeung SUPI pikeun komunikasi salajengna.

auténtikasi sekundér

Standar 5G ngarojong auténtikasi sekundér pilihan dumasar kana EAP-AKA antara alat pamaké sareng jaringan data éksternal. Dina hal ieu, SMF maénkeun peran authenticator EAP sareng ngandelkeun padamelan AAA-pangladén jaringan éksternal anu ngabuktoskeun sareng otorisasi pangguna.

Bubuka Arsitéktur Kaamanan 5G: NFV, Konci sareng 2 Auténtikasi

  • Auténtikasi pangguna awal wajib dina jaringan asal lumangsung sareng kontéks kaamanan NAS umum dikembangkeun sareng AMF.
  • Pamaké ngirimkeun pamundut ka AMF pikeun ngadamel sési.
  • AMF ngirimkeun pamundut pikeun ngadamel sési ka SMF anu nunjukkeun SUPI pangguna.
  • SMF ngesahkeun kredensial pangguna dina UDM nganggo SUPI anu disayogikeun.
  • SMF ngirimkeun réspon kana pamundut ti AMF.
  • SMF initiates prosedur auténtikasi EAP pikeun ménta idin pikeun ngadegkeun sési ti server AAA dina jaringan éksternal. Jang ngalampahkeun ieu, SMF jeung pamaké nukeur pesen pikeun initiate prosedur.
  • Pangguna sareng server AAA jaringan éksternal teras tukeur pesen pikeun ngabuktoskeun sareng otorisasi pangguna. Dina hal ieu, pamaké ngirim pesen ka SMF, anu dina gilirannana bursa pesen jeung jaringan éksternal via UPF.

kacindekan

Sanaos arsitéktur kaamanan 5G didasarkeun kana panggunaan deui téknologi anu tos aya, éta nyababkeun tantangan énggal. Sajumlah ageung alat IoT, wates jaringan anu dilegaan sareng elemen arsitéktur anu terdesentralisasi mangrupikeun sababaraha prinsip konci standar 5G anu masihan bebas kana imajinasi penjahat cyber.

Standar inti pikeun arsitektur kaamanan 5G nyaéta TS 23.501 Vérsi 15.6.0 - ngandung titik konci operasi mékanisme jeung prosedur kaamanan. Khususna, éta ngajelaskeun peran unggal VNF dina mastikeun panyalindungan data pangguna sareng titik jaringan, dina ngahasilkeun konci crypto sareng dina ngalaksanakeun prosedur auténtikasi. Tapi sanajan standar ieu henteu masihan jawaban kana masalah kaamanan anu disanghareupan ku operator telekomunikasi langkung sering, jaringan generasi anyar anu langkung intensif dikembangkeun sareng dioperasikeun.

Dina hal ieu, kuring hoyong yakin yén kasusah operasi sareng ngajagi jaringan generasi ka-5 moal mangaruhan kumaha waé pangguna biasa, anu dijanjikeun kecepatan pangiriman sareng réspon sapertos putra réréncangan indung sareng parantos hoyong nyobian sadayana. kamampuan anu dinyatakeun tina jaringan generasi anyar.

link mangpaat

3GPP spésifikasi runtuyan
Arsitéktur kaamanan 5G
Arsitéktur sistem 5G
5G Wiki
Catetan arsitektur 5G
Tinjauan kaamanan 5G

sumber: www.habr.com

Tambahkeun komentar