Att ta sig an utvecklingen av en ny kommunikationsstandard utan att tänka på säkerhetsmekanismer är uppenbarligen en extremt tveksam och meningslös strävan.

5G säkerhetsarkitektur — En uppsättning säkerhetsmekanismer och -procedurer som implementeras i 5:e generationens nätverk och täcker alla nätverkskomponenter, från kärnan till radiogränssnitten.

Femte generationens nätverk är i grunden en utveckling 4:e generationens LTE-nätverk. Radioaccessteknologier har genomgått de mest betydande förändringarna. För 5:e generationens nätverk, en ny RÅTTA (Radio Access Technology) - 5G ny radio. När det gäller kärnan i nätverket har det inte genomgått så betydande förändringar. I detta avseende har säkerhetsarkitekturen för 5G-nätverk utvecklats med tonvikt på återanvändning av relevant teknik som antagits i 4G LTE-standarden.

Det är dock värt att notera att man omprövar kända hot som attacker mot luftgränssnitt och signallagret (signal plane), DDOS-attacker, Man-In-The-Middle-attacker, etc., fick telekomoperatörer att utveckla nya standarder och integrera helt nya säkerhetsmekanismer i 5:e generationens nätverk.

Предпосылки

2015 utarbetade International Telecommunication Union den första globala planen i sitt slag för utveckling av femte generationens nätverk, varför frågan om att utveckla säkerhetsmekanismer och procedurer i 5G-nätverk har blivit särskilt akut.

Den nya tekniken erbjöd verkligt imponerande dataöverföringshastigheter (mer än 1 Gbps), latens på mindre än 1 ms och möjligheten att samtidigt ansluta cirka 1 miljon enheter inom en radie av 1 km2. De högsta kraven på 5:e generationens nätverk återspeglas också i principerna för deras organisation.

Den huvudsakliga var decentralisering, vilket innebar placeringen av många lokala databaser och deras bearbetningscenter i nätverkets periferi. Detta gjorde det möjligt att minimera förseningar när M2M-kommunikation och avlasta nätverkskärnan på grund av att serva ett stort antal IoT-enheter. Således expanderade kanten för nästa generations nätverk ända till basstationer, vilket möjliggjorde skapandet av lokala kommunikationscentra och tillhandahållande av molntjänster utan risk för kritiska förseningar eller denial of service. Naturligtvis var det förändrade förhållningssättet till nätverk och kundservice av intresse för angripare, eftersom det öppnade nya möjligheter för dem att attackera både konfidentiell användarinformation och nätverkskomponenterna själva för att orsaka ett överbelastningsskydd eller lägga beslag på operatörens datorresurser.

Huvudsakliga sårbarheter i 5:e generationens nätverk

Stor attackyta

MerNär man byggde telekommunikationsnätverk av 3:e och 4:e generationen var teleoperatörerna vanligtvis begränsade till att arbeta med en eller flera leverantörer som omedelbart levererade en uppsättning hårdvara och mjukvara. Det vill säga allt kunde fungera, som de säger, "utanför lådan" - det räckte att bara installera och konfigurera utrustningen som köpts från leverantören; det fanns inget behov av att ersätta eller komplettera proprietär programvara. Moderna trender strider mot detta "klassiska" tillvägagångssätt och är inriktade på virtualisering av nätverk, ett tillvägagångssätt för flera leverantörer av deras konstruktion och mångfald av mjukvara. Teknik som t.ex SDN (Engelska mjukvarudefinierade nätverk) och NFV (English Network Functions Virtualization), vilket leder till införandet av en enorm mängd programvara byggd på basis av öppna källkoder i processerna och funktionerna för att hantera kommunikationsnätverk. Detta ger angripare möjlighet att bättre studera operatörens nätverk och identifiera ett större antal sårbarheter, vilket i sin tur ökar attackytan för nya generationens nätverk jämfört med nuvarande.

Stort antal IoT-enheter

MerÅr 2021 kommer cirka 57 % av enheterna som är anslutna till 5G-nätverk att vara IoT-enheter. Detta innebär att de flesta värdar kommer att ha begränsade kryptografiska möjligheter (se punkt 2) och följaktligen kommer att vara sårbara för attacker. Ett stort antal sådana enheter kommer att öka risken för spridning av botnät och göra det möjligt att utföra ännu mer kraftfulla och distribuerade DDoS-attacker.

Begränsade kryptografiska möjligheter för IoT-enheter

MerSom redan nämnts använder 5:e generationens nätverk aktivt kringutrustning, vilket gör det möjligt att ta bort en del av belastningen från nätverkskärnan och därigenom minska latensen. Detta är nödvändigt för sådana viktiga tjänster som kontroll av obemannade fordon, nödvarningssystem IMS och andra, för vilka det är avgörande att säkerställa minimal försening, eftersom människoliv beror på det. På grund av anslutningen av ett stort antal IoT-enheter, som på grund av sin lilla storlek och låga energiförbrukning har mycket begränsade datorresurser, blir 5G-nätverk sårbara för attacker som syftar till att avlyssna kontroll och efterföljande manipulation av sådana enheter. Till exempel kan det finnas scenarier där IoT-enheter som är en del av systemet är infekterade "smarta huset", typer av skadlig programvara som t.ex Ransomware och ransomware. Scenarier för att avlyssna kontroll av obemannade fordon som tar emot kommandon och navigeringsinformation via molnet är också möjliga. Formellt beror denna sårbarhet på decentraliseringen av den nya generationens nätverk, men nästa stycke kommer att beskriva problemet med decentralisering tydligare.

Decentralisering och utbyggnad av nätverksgränser

MerKringutrustning, som spelar rollen som lokala nätverkskärnor, utför dirigering av användartrafik, bearbetning av förfrågningar samt lokal cachning och lagring av användardata. Således expanderar gränserna för 5:e generationens nätverk, förutom kärnan, till periferin, inklusive lokala databaser och 5G-NR (5G New Radio) radiogränssnitt. Detta skapar möjligheten att attackera datorresurserna för lokala enheter, som a priori är svagare skyddade än de centrala noderna i nätverkskärnan, med målet att orsaka ett överbelastningsskydd. Detta kan leda till att internetåtkomsten för hela områden bryts, att IoT-enheter fungerar felaktigt (till exempel i ett smart hemsystem), liksom att IMS-nödvarningstjänsten inte är tillgänglig.

Men ETSI och 3GPP har nu publicerat mer än 10 standarder som täcker olika aspekter av 5G-nätverkssäkerhet. De allra flesta av de mekanismer som beskrivs där syftar till att skydda mot sårbarheter (inklusive de som beskrivs ovan). En av de viktigaste är standarden TS 23.501 version 15.6.0, som beskriver säkerhetsarkitekturen för 5:e generationens nätverk.

5G-arkitektur

Låt oss först vända oss till nyckelprinciperna för 5G-nätverksarkitektur, som ytterligare kommer att avslöja innebörden och ansvarsområdena för varje mjukvarumodul och varje 5G-säkerhetsfunktion.

• Uppdelning av nätverksnoder i element som säkerställer driften av protokoll anpassat plan (från engelska UP - User Plane) och element som säkerställer driften av protokoll kontrollplan (från engelska CP - Control Plane), vilket ökar flexibiliteten vad gäller skalning och distribution av nätverket, dvs centraliserad eller decentraliserad placering av enskilda komponentnätverksnoder är möjlig.
• Mekanismstöd nätverksskivning, baserat på de tjänster som tillhandahålls specifika grupper av slutanvändare.
• Implementering av nätverkselement i form virtuella nätverksfunktioner.
• Stöd för samtidig åtkomst till centraliserade och lokala tjänster, dvs implementering av molnkoncept (från engelska. dimmaberäkning) och border (från engelska. kanten beräkning) beräkningar.
• genomförande konvergerande arkitektur som kombinerar olika typer av accessnätverk - 3GPP 5G Ny radio och icke-3GPP (Wi-Fi, etc.) - med en enda nätverkskärna.
• Stöd för enhetliga algoritmer och autentiseringsprocedurer, oavsett typ av accessnät.
• Stöd för tillståndslösa nätverksfunktioner, där den beräknade resursen är separerad från resurslagret.
• Stöd för roaming med trafikdirigering både genom hemnätverket (från engelska hemdirigerade roaming) och med en lokal ”landning” (från den engelska lokala breakouten) i gästnätverket.
• Interaktionen mellan nätverksfunktioner representeras på två sätt: serviceinriktad и gränssnitt.

Femte generationens nätverkssäkerhetskoncept inkluderar:

• Användarautentisering från nätverket.
• Nätverksautentisering av användaren.
• Förhandling av kryptografiska nycklar mellan nätverk och användarutrustning.
• Kryptering och integritetsövervakning av signaltrafik.
• Kryptering och kontroll av användartrafikens integritet.
• Användar-ID-skydd.
• Skydda gränssnitt mellan olika nätverkselement i enlighet med konceptet för en nätverkssäkerhetsdomän.
• Isolering av olika lager av mekanismen nätverksskivning och definiera varje lagers egna säkerhetsnivåer.
• Användarautentisering och trafikskydd på nivån för sluttjänster (IMS, IoT och andra).

Viktiga programvarumoduler och 5G-nätverkssäkerhetsfunktioner

AMF (från den engelska Access & Mobility Management Function - åtkomst- och mobilitetshanteringsfunktion) - ger:

• Organisation av kontrollplansgränssnitt.
• Organisation av signaltrafikutbyte RRC, kryptering och skydd av dess datas integritet.
• Organisation av signaltrafikutbyte NAS, kryptering och skydd av dess datas integritet.
• Hantera registreringen av användarutrustning på nätverket och övervaka eventuella registreringstillstånd.
• Hantera anslutningen av användarutrustning till nätverket och övervaka möjliga tillstånd.
• Kontrollera tillgängligheten för användarutrustning på nätverket i CM-IDLE-tillståndet.
• Mobilitetshantering av användarutrustning i nätverket i CM-CONNECTED-tillståndet.
• Överföring av kortmeddelanden mellan användarutrustning och SMF.
• Hantering av platstjänster.
• Tilldelning av tråd-ID EPS att interagera med EPS.

SMF (engelska: Session Management Function - sessionshanteringsfunktion) - ger:

• Kommunikationssessionshantering, d.v.s. skapa, modifiera och släppa sessioner, inklusive underhåll av en tunnel mellan accessnätet och UPF.
• Distribution och hantering av IP-adresser till användarutrustning.
• Väljer den UPF-gateway som ska användas.
• Organisation av interaktion med PCF.
• Hantering av policytillämpning QoS.
• Dynamisk konfiguration av användarutrustning med protokollen DHCPv4 och DHCPv6.
• Övervaka insamlingen av tariffdata och organisera interaktion med faktureringssystemet.
• Sömlöst tillhandahållande av tjänster (från engelska. SSC - Session och servicekontinuitet).
• Interaktion med gästnätverk inom roaming.

UPF (Engelsk användarplansfunktion - användarplansfunktion) - ger:

• Interaktion med externa datanätverk, inklusive det globala Internet.
• Dirigera användarpaket.
• Märkning av paket i enlighet med QoS-policyer.
• Användarpaketdiagnostik (till exempel signaturbaserad applikationsdetektering).
• Tillhandahålla rapporter om trafikanvändning.
• UPF är också ankarpunkten för att stödja mobilitet både inom och mellan olika radioaccessteknologier.

UDM (English Unified Data Management - unified databas) - ger:

• Hantera användarprofildata, inklusive lagring och ändring av listan över tjänster som är tillgängliga för användare och deras motsvarande parametrar.
• Управление SUPI
• Generera 3GPP-autentiseringsuppgifter AKA.
• Åtkomstbehörighet baserad på profildata (till exempel roamingbegränsningar).
• Användarregistreringshantering, dvs lagring av betjänande AMF.
• Stöd för sömlösa service- och kommunikationssessioner, d.v.s. lagring av den SMF som är tilldelad den aktuella kommunikationssessionen.
• SMS leveranshantering.
• Flera olika UDM:er kan betjäna samma användare över olika transaktioner.

UDR (English Unified Data Repository - lagring av unified data) - tillhandahåller lagring av olika användardata och är i själva verket en databas över alla nätabonnenter.

UDSF (English Unstructured Data Storage Function - ostrukturerad datalagringsfunktion) - säkerställer att AMF-moduler sparar de aktuella sammanhangen för registrerade användare. I allmänhet kan denna information presenteras som data av en obestämd struktur. Användarkontexter kan användas för att säkerställa sömlösa och oavbrutna abonnentsessioner, både under det planerade tillbakadragandet av en av AMF:erna från tjänsten och i händelse av en nödsituation. I båda fallen kommer backup-AMF att "hämta" tjänsten med hjälp av sammanhang lagrade i USDF.

Att kombinera UDR och UDSF på samma fysiska plattform är en typisk implementering av dessa nätverksfunktioner.

PCF (engelska: Policy Control Function - policy control function) - skapar och tilldelar vissa tjänstepolicyer till användare, inklusive QoS-parametrar och debiteringsregler. Till exempel, för att överföra en eller annan typ av trafik, kan virtuella kanaler med olika egenskaper skapas dynamiskt. Samtidigt kan kraven på tjänsten som begärs av abonnenten, nivån av nätstockning, mängden trafik som förbrukas etc. tas med i beräkningen.

NEF (English Network Exposure Function - nätverksexponeringsfunktion) - ger:

• Organisering av säker interaktion av externa plattformar och applikationer med nätverkskärnan.
• Hantera QoS-parametrar och debiteringsregler för specifika användare.

SEAF (engelska: Security Anchor Function) - tillsammans med AUSF, tillhandahåller autentisering av användare när de registrerar sig på ett nätverk med valfri accessteknik.

Ausf (English Authentication Server Function - autentiseringsserverfunktion) - spelar rollen som en autentiseringsserver som tar emot och bearbetar förfrågningar från SEAF och omdirigerar dem till ARPF.

ARPF (engelska: Authentication Credential Repository and Processing Function - funktion för att lagra och bearbeta autentiseringsuppgifter) - tillhandahåller lagring av personliga hemliga nycklar (KI) och parametrar för kryptografiska algoritmer, samt generering av autentiseringsvektorer i enlighet med 5G-AKA eller EAP-AKA. Den ligger i hemteleoperatörens datacenter, skyddad från yttre fysisk påverkan och är som regel integrerad med UDM.

SCMF (Engelska säkerhetskontexthanteringsfunktion - hanteringsfunktion säkerhetssammanhang) - Ger livscykelhantering för 5G-säkerhetssammanhang.

SPCF (English Security Policy Control Function - säkerhetspolicyhanteringsfunktion) - säkerställer samordning och tillämpning av säkerhetspolicyer i förhållande till specifika användare. Detta tar hänsyn till nätverkets kapacitet, kapaciteten hos användarutrustningen och kraven för den specifika tjänsten (till exempel kan skyddsnivåerna som tillhandahålls av den kritiska kommunikationstjänsten och den trådlösa bredbandsinternettjänsten skilja sig åt). Tillämpning av säkerhetspolicyer inkluderar: val av AUSF, val av autentiseringsalgoritm, val av datakryptering och integritetskontrollalgoritmer, bestämning av nycklars längd och livscykel.

SIDF (English Subscription Identifier De-concealing Function - funktion för utvinning av användaridentifierare) - säkerställer extrahering av en abonnents permanenta prenumerationsidentifierare (engelska SUPI) från en dold identifierare (engelska SUCI), mottagen som en del av autentiseringsprocedurbegäran "Auth Info Req".

Grundläggande säkerhetskrav för 5G-kommunikationsnätverk

MerAnvändarautentisering: Det betjänande 5G-nätverket måste autentisera användarens SUPI i 5G AKA-processen mellan användaren och nätverket.

Betjänar nätverksautentisering: Användaren måste autentisera 5G-serverns nätverks-ID, med autentisering uppnådd genom framgångsrik användning av nycklar som erhållits genom 5G AKA-proceduren.

Användarbehörighet: Betjäningsnätverket måste auktorisera användaren med hjälp av användarprofilen som erhållits från hemteleoperatörens nät.

Auktorisering av det betjänande nätet av hemoperatörens nätverk: Användaren måste få en bekräftelse på att han är ansluten till ett servicenätverk som är auktoriserat av hemoperatörens nätverk för att tillhandahålla tjänster. Auktorisation är implicit i den meningen att den säkerställs genom att 5G AKA-förfarandet genomförs framgångsrikt.

Auktorisering av accessnätet av hemoperatörens nätverk: Användaren måste få en bekräftelse på att han är ansluten till ett accessnät som är auktoriserat av hemoperatörens nätverk för att tillhandahålla tjänster. Auktorisering är implicit i den meningen att den upprätthålls genom att framgångsrikt etablera säkerheten för accessnätet. Denna typ av behörighet måste användas för alla typer av accessnätverk.

Oautentiserade räddningstjänst: För att uppfylla regulatoriska krav i vissa regioner måste 5G-nätverk tillhandahålla oautentiserad åtkomst för nödtjänster.

Nätverkskärna och radioaccessnät: 5G-nätverkets kärna och 5G-radioåtkomstnätverket måste stödja användningen av 128-bitars kryptering och integritetsalgoritmer för att säkerställa säkerheten AS и NAS. Nätverksgränssnitt måste stödja 256-bitars krypteringsnycklar.

Grundläggande säkerhetskrav för användarutrustning

Mer

• Användarutrustningen måste stödja kryptering, integritetsskydd och skydd mot replay-attacker för användardata som överförs mellan den och radioaccessnätverket.
• Användarutrustningen måste aktivera mekanismer för kryptering och dataintegritetsskydd enligt anvisningar från radioaccessnätverket.
• Användarutrustning måste stödja kryptering, integritetsskydd och skydd mot replay-attacker för RRC- och NAS-signaltrafik.
• Användarutrustning måste stödja följande kryptografiska algoritmer: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Användarutrustning kan stödja följande kryptografiska algoritmer: 128-NEA3, 128-NIA3.
• Användarutrustning måste stödja följande kryptografiska algoritmer: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 om den stöder anslutning till E-UTRA-radioaccessnätverket.
• Skydd av konfidentialitet för användardata som överförs mellan användarutrustningen och radioaccessnätverket är valfritt, men måste tillhandahållas närhelst det är tillåtet enligt förordning.
• Sekretessskydd för RRC- och NAS-signaltrafik är valfritt.
• Användarens permanenta nyckel måste skyddas och förvaras i väl säkrade komponenter i användarutrustningen.
• En abonnents permanenta abonnemangsidentifierare ska inte sändas i klartext över radioaccessnätverket förutom information som är nödvändig för korrekt dirigering (t.ex. MCC и MNC).
• Hemoperatörens offentliga nätverksnyckel, nyckelidentifieraren, säkerhetsschemaidentifieraren och routingidentifieraren måste lagras i USIM.

Varje krypteringsalgoritm är associerad med ett binärt tal:

• "0000": NEA0 - Noll chifferalgoritm
• "0001": 128-NEA1 - 128-bitar SNÖ 3G-baserad algoritm
• "0010" 128-NEA2 - 128-bitar AES baserad algoritm
• "0011" 128-NEA3 - 128-bitar ZUC baserad algoritm

Datakryptering med 128-NEA1 och 128-NEA2

PS Kretsen är lånad från TS 133.501

Generering av simulerade skär av algoritmerna 128-NIA1 och 128-NIA2 för att säkerställa integritet

PS Kretsen är lånad från TS 133.501

Grundläggande säkerhetskrav för 5G-nätverksfunktioner

Mer

• AMF måste stödja primär autentisering med SUCI.
• SEAF måste stödja primär autentisering med SUCI.
• UDM och ARPF måste lagra användarens permanenta nyckel och se till att den är skyddad mot stöld.
• AUSF ska endast tillhandahålla SUPI till det lokala betjänande nätverket efter framgångsrik initial autentisering med SUCI.
• NEF får inte vidarebefordra dold kärnnätsinformation utanför operatörens säkerhetsdomän.

Grundläggande säkerhetsrutiner

Lita på domäner

I 5:e generationens nätverk minskar förtroendet för nätverkselement när element flyttas bort från nätverkskärnan. Detta koncept påverkar de beslut som implementeras i 5G-säkerhetsarkitekturen. Således kan vi prata om en förtroendemodell för 5G-nätverk som bestämmer beteendet hos nätverkssäkerhetsmekanismer.

På användarsidan bildas förtroendedomänen av UICC och USIM.

På nätverkssidan har förtroendedomänen en mer komplex struktur.

Radioaccessnätet är uppdelat i två komponenter − DU (från engelska Distributed Units - distributed network units) och CU (från engelska Central Units - centrala enheter i nätverket). Tillsammans bildar de gNB — Radiogränssnitt för 5G-nätets basstation. DU:er har inte direkt tillgång till användardata eftersom de kan distribueras på oskyddade infrastruktursegment. CU:er måste distribueras i skyddade nätverkssegment, eftersom de är ansvariga för att avsluta trafik från AS-säkerhetsmekanismer. Kärnan i nätverket ligger AMF, som avslutar trafik från NAS-säkerhetsmekanismer. Den nuvarande 3GPP 5G Fas 1-specifikationen beskriver kombinationen AMF med säkerhetsfunktion SEAF, som innehåller rotnyckeln (även känd som "ankarnyckeln") för det besökta (betjänande) nätverket. Ausf ansvarar för att lagra nyckeln som erhållits efter framgångsrik autentisering. Det är nödvändigt för återanvändning i de fall användaren samtidigt är ansluten till flera radioaccessnät. ARPF lagrar användaruppgifter och är en analog till USIM för prenumeranter. UDR и UDM lagra användarinformation, som används för att bestämma logiken för att generera autentiseringsuppgifter, användar-ID, säkerställa sessionskontinuitet, etc.

Hierarki av nycklar och deras distributionssystem

I 5:e generationens nätverk, till skillnad från 4G-LTE-nätverk, har autentiseringsproceduren två komponenter: primär och sekundär autentisering. Primär autentisering krävs för alla användarenheter som ansluter till nätverket. Sekundär autentisering kan utföras på begäran från externa nätverk, om abonnenten ansluter till dem.

Efter framgångsrikt slutförande av primär autentisering och utvecklingen av en delad nyckel K mellan användaren och nätverket, extraheras KSEAF från nyckel K - en speciell ankarnyckel (rot) för det betjänande nätverket. Därefter genereras nycklar från denna nyckel för att säkerställa konfidentialitet och integritet för RRC- och NAS-signaleringstrafikdata.

Diagram med förklaringar
beteckningar:
CK Chiffernyckel
IK (engelska: Integrity Key) - en nyckel som används i dataintegritetsskyddsmekanismer.
CK' (eng. Cipher Key) - en annan kryptografisk nyckel skapad från CK för EAP-AKA-mekanismen.
IK' (English Integrity Key) - en annan nyckel som används i dataintegritetsskyddsmekanismer för EAP-AKA.
KAUSF - genereras av ARPF-funktionen och användarutrustning från CK и IK under 5G AKA och EAP-AKA.
KSEAF - ankarnyckel som erhålls av AUSF-funktionen från nyckeln KAMFAUSF.
KAMF — Nyckeln som erhålls av SEAF-funktionen från nyckeln KSEAF.
KNASint, KNASenc — nycklar som erhålls av AMF-funktionen från knappen KAMF för att skydda NAS-signaltrafik.
KRRCint, KRRCenc — nycklar som erhålls av AMF-funktionen från knappen KAMF för att skydda RRC-signaltrafik.
KUPint, KUPenc — nycklar som erhålls av AMF-funktionen från knappen KAMF för att skydda AS-signaltrafik.
NH — Mellannyckel som erhålls av AMF-funktionen från nyckeln KAMF för att säkerställa datasäkerheten vid överlåtelser.
KgNB — Nyckeln som erhålls av AMF-funktionen från nyckeln KAMF för att säkerställa säkerheten för rörlighetsmekanismer.

Schema för att generera SUCI från SUPI och vice versa

Schema för att erhålla SUPI och SUCI

Produktion av SUCI från SUPI och SUPI från SUCI:

autentisering

Primär autentisering

I 5G-nätverk är EAP-AKA och 5G AKA vanliga primära autentiseringsmekanismer. Låt oss dela upp den primära autentiseringsmekanismen i två faser: den första är ansvarig för att initiera autentisering och välja en autentiseringsmetod, den andra är ansvarig för ömsesidig autentisering mellan användaren och nätverket.

Initiering

Användaren skickar en registreringsbegäran till SEAF, som innehåller användarens dolda prenumerations-ID SUCI.

SEAF skickar till AUSF ett autentiseringsbegäranmeddelande (Nausf_UEAuthentication_Authenticate Request) innehållande SNN (Serving Network Name) och SUPI eller SUCI.

AUSF kontrollerar om SEAF-autentiseringsbegäraren tillåts använda den givna SNN:n. Om det betjänande nätverket inte är auktoriserat att använda detta SNN, svarar AUSF med ett auktoriseringsfelmeddelande "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response).

Autentiseringsuppgifter begärs av AUSF till UDM, ARPF eller SIDF via SUPI eller SUCI och SNN.

Baserat på SUPI eller SUCI och användarinformation, väljer UDM/ARPF den autentiseringsmetod som ska användas härnäst och utfärdar användarens autentiseringsuppgifter.

Ömsesidig autentisering

När du använder någon autentiseringsmetod måste UDM/ARPF-nätverksfunktionerna generera en autentiseringsvektor (AV).

EAP-AKA: UDM/ARPF genererar först en autentiseringsvektor med separerande bit AMF = 1 och genererar sedan CK' и IK' av CK, IK och SNN och utgör en ny AV-autentiseringsvektor (RAND, AUTN, XRES*, CK', IK'), som skickas till AUSF med instruktioner om att använda den endast för EAP-AKA.

5G AKA: UDM/ARPF får nyckeln KAUSF av CK, IK och SNN, varefter den genererar 5G HE AV. 5G hemmiljöautentiseringsvektor). 5G HE AV-autentiseringsvektor (RAND, AUTN, XRES, KAUSF) skickas till AUSF med instruktioner om att använda den för endast 5G AKA.

Efter denna AUSF erhålls ankarnyckeln KSEAF från nyckeln KAUSF och skickar en begäran till SEAF "Challenge" i meddelandet "Nausf_UEAuthentication_Authenticate Response", som även innehåller RAND, AUTN och RES*. Därefter sänds RAND och AUTN till användarutrustningen med användning av ett säkert NAS-signaleringsmeddelande. Användarens USIM beräknar RES* från den mottagna RAND och AUTN och skickar den till SEAF. SEAF vidarebefordrar detta värde till AUSF för verifiering.

AUSF jämför XRES* lagrad i den och RES* mottagen från användaren. Om det finns en matchning meddelas AUSF och UDM i operatörens hemnätverk om framgångsrik autentisering, och användaren och SEAF genererar oberoende av varandra en nyckel KAMF av KSEAF och SUPI för vidare kommunikation.

Sekundär autentisering

5G-standarden stöder valfri sekundär autentisering baserad på EAP-AKA mellan användarutrustningen och det externa datanätverket. I det här fallet spelar SMF rollen som EAP-autentisering och förlitar sig på arbetet AAA-en extern nätverksserver som autentiserar och auktoriserar användaren.

• Obligatorisk initial användarautentisering på hemmanätverket sker och en gemensam NAS-säkerhetskontext utvecklas med AMF.
• Användaren skickar en begäran till AMF att upprätta en session.
• AMF skickar en begäran om att upprätta en session till SMF som indikerar användarens SUPI.
• SMF validerar användarens autentiseringsuppgifter i UDM med den tillhandahållna SUPI.
• SMF skickar ett svar på begäran från AMF.
• SMF initierar EAP-autentiseringsproceduren för att få tillstånd att upprätta en session från AAA-servern på det externa nätverket. För att göra detta utbyter SMF och användaren meddelanden för att initiera proceduren.
• Användaren och den externa nätverks AAA-servern utbyter sedan meddelanden för att autentisera och auktorisera användaren. I detta fall skickar användaren meddelanden till SMF, som i sin tur utbyter meddelanden med det externa nätverket via UPF.

Slutsats

Även om 5G-säkerhetsarkitekturen är baserad på återanvändning av befintlig teknik, innebär den helt nya utmaningar. Ett stort antal IoT-enheter, utökade nätverksgränser och decentraliserade arkitekturelement är bara några av nyckelprinciperna i 5G-standarden som ger fritt spelrum åt cyberbrottslingars fantasi.

Kärnstandarden för 5G-säkerhetsarkitektur är TS 23.501 version 15.6.0 — innehåller nyckelpunkter för hur säkerhetsmekanismer och -procedurer fungerar. I synnerhet beskriver den rollen för varje VNF för att säkerställa skyddet av användardata och nätverksnoder, vid generering av kryptonycklar och vid implementering av autentiseringsproceduren. Men inte ens denna standard ger svar på akuta säkerhetsfrågor som telekomoperatörer möter oftare ju mer intensivt den nya generationens nät utvecklas och tas i drift.

I detta avseende skulle jag vilja tro att svårigheterna med att driva och skydda 5:e generationens nätverk inte på något sätt kommer att påverka vanliga användare, som utlovas överföringshastigheter och svar som sonen till en mammas vän och som redan är ivriga att prova alla den deklarerade kapaciteten hos den nya generationens nätverk.

Användbara länkar

3GPP-specifikationsserien
5G säkerhetsarkitektur
5G-systemarkitektur
5G Wiki
5G-arkitekturanteckningar
5G-säkerhetsöversikt

Källa: will.com