ProHoster > blog > Utawala > Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Ni wazi, kuchukua maendeleo ya kiwango kipya cha mawasiliano bila kufikiria kuhusu mifumo ya usalama ni jambo la kutia shaka na lisilo na maana.

Usanifu wa Usalama wa 5G - seti ya mifumo ya usalama na taratibu zinazotekelezwa katika Mitandao ya kizazi cha 5 na kufunika vipengele vyote vya mtandao, kuanzia msingi hadi miingiliano ya redio.

Mitandao ya kizazi cha 5, kimsingi, ni mageuzi Mitandao ya kizazi cha 4 ya LTE. Teknolojia za ufikiaji wa redio zimepitia mabadiliko muhimu zaidi. Kwa mitandao ya kizazi cha 5, mpya PANYA (Teknolojia ya Ufikiaji wa Redio) - 5G Redio Mpya. Kama msingi wa mtandao, haujapata mabadiliko makubwa kama haya. Katika suala hili, usanifu wa usalama wa mitandao ya 5G umeendelezwa kwa msisitizo wa kutumia tena teknolojia husika iliyopitishwa katika kiwango cha 4G LTE.

Walakini, inafaa kuzingatia kwamba kufikiria tena vitisho vinavyojulikana kama vile shambulio kwenye miingiliano ya hewa na safu ya kuashiria (Ishara ndege), mashambulizi ya DDOS, mashambulizi ya Man-In-The-Middle, n.k., yaliwafanya waendeshaji mawasiliano ya simu kubuni viwango vipya na kuunganisha mifumo mipya kabisa ya usalama katika mitandao ya kizazi cha 5.

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

ΠŸΡ€Π΅Π΄ΠΏΠΎΡΡ‹Π»ΠΊΠΈ

Mnamo mwaka wa 2015, Jumuiya ya Kimataifa ya Mawasiliano ilitayarisha mpango wa kwanza wa aina yake wa kimataifa wa maendeleo ya mitandao ya kizazi cha tano, ndiyo maana suala la kuunda mifumo na taratibu za usalama katika mitandao ya 5G limekuwa kali sana.

Teknolojia hiyo mpya ilitoa kasi ya kuvutia ya kuhamisha data (zaidi ya Gbps 1), muda wa kusubiri wa chini ya ms 1 na uwezo wa kuunganisha kwa wakati mmoja vifaa milioni 1 ndani ya eneo la kilomita 1. Mahitaji kama hayo ya juu zaidi kwa mitandao ya kizazi cha 2 pia yanaonyeshwa katika kanuni za shirika lao.

Jambo kuu lilikuwa ugatuaji, ambao ulimaanisha uwekaji wa hifadhidata nyingi za ndani na vituo vyao vya usindikaji kwenye pembezoni mwa mtandao. Hii ilifanya iwezekane kupunguza ucheleweshaji wakati M2M-mawasiliano na kupunguza msingi wa mtandao kwa sababu ya kuhudumia idadi kubwa ya vifaa vya IoT. Kwa hivyo, kando ya mitandao ya kizazi kijacho ilipanua hadi vituo vya msingi, kuruhusu kuundwa kwa vituo vya mawasiliano vya ndani na utoaji wa huduma za wingu bila hatari ya ucheleweshaji muhimu au kunyimwa huduma. Kwa kawaida, mbinu iliyobadilishwa ya mtandao na huduma kwa wateja ilikuwa ya manufaa kwa washambuliaji, kwa sababu ilifungua fursa mpya kwao kushambulia taarifa za siri za mtumiaji na vipengele vya mtandao wenyewe ili kusababisha kunyimwa huduma au kukamata rasilimali za kompyuta za operator.

Athari kuu za mitandao ya kizazi cha 5

Uso mkubwa wa mashambulizi

zaidiWakati wa kujenga mitandao ya mawasiliano ya kizazi cha 3 na 4, waendeshaji wa mawasiliano ya simu kwa kawaida walikuwa na mipaka ya kufanya kazi na muuzaji mmoja au kadhaa ambao mara moja walitoa seti ya maunzi na programu. Hiyo ni, kila kitu kinaweza kufanya kazi, kama wanasema, "nje ya boksi" - ilikuwa ya kutosha kufunga na kusanidi vifaa vilivyonunuliwa kutoka kwa muuzaji; hakukuwa na haja ya kubadilisha au kuongeza programu za umiliki. Mitindo ya kisasa inapingana na mbinu hii ya "classical" na inalenga virtualization ya mitandao, mbinu ya wauzaji wengi kwa utofauti wao wa ujenzi na programu. Teknolojia kama vile SDN (Programu ya Kiingereza Defined Network) na NFV (Kiingereza Network Functions Virtualization), ambayo inaongoza kwa kuingizwa kwa kiasi kikubwa cha programu iliyojengwa kwa misingi ya kanuni za chanzo wazi katika taratibu na kazi za kusimamia mitandao ya mawasiliano. Hii inawapa washambuliaji fursa ya kusoma vyema mtandao wa waendeshaji na kutambua idadi kubwa ya udhaifu, ambayo, kwa upande wake, huongeza uso wa mashambulizi ya mitandao ya kizazi kipya ikilinganishwa na ya sasa.

Idadi kubwa ya vifaa vya IoT

zaidiKufikia 2021, takriban 57% ya vifaa vilivyounganishwa kwenye mitandao ya 5G vitakuwa vifaa vya IoT. Hii ina maana kwamba wasimamizi wengi watakuwa na uwezo mdogo wa kriptografia (tazama hatua ya 2) na, ipasavyo, watakuwa katika hatari ya kushambuliwa. Idadi kubwa ya vifaa vile itaongeza hatari ya kuenea kwa botnet na kufanya iwezekanavyo kutekeleza mashambulizi ya DDoS yenye nguvu zaidi na yaliyosambazwa.

Uwezo mdogo wa kriptografia wa vifaa vya IoT

zaidiKama ilivyoelezwa tayari, mitandao ya kizazi cha 5 hutumia kikamilifu vifaa vya pembeni, ambayo inafanya uwezekano wa kuondoa sehemu ya mzigo kutoka kwa msingi wa mtandao na hivyo kupunguza latency. Hii ni muhimu kwa huduma muhimu kama vile udhibiti wa magari yasiyo na rubani, mfumo wa onyo wa dharura IMS na wengine, ambao kuhakikisha ucheleweshaji mdogo ni muhimu kwao, kwa sababu maisha ya wanadamu hutegemea. Kutokana na uunganisho wa idadi kubwa ya vifaa vya IoT, ambavyo, kwa sababu ya ukubwa wao mdogo na matumizi ya chini ya nguvu, vina rasilimali ndogo sana za kompyuta, mitandao ya 5G inakuwa hatari kwa mashambulizi yenye lengo la kuingilia udhibiti na uendeshaji unaofuata wa vifaa hivyo. Kwa mfano, kunaweza kuwa na hali ambapo vifaa vya IoT ambavyo ni sehemu ya mfumo vimeambukizwa "Nyumba nzuri", aina za programu hasidi kama vile Ransomware na ransomware. Matukio ya kukamata udhibiti wa magari yasiyo na rubani ambayo hupokea amri na maelezo ya urambazaji kupitia wingu pia yanawezekana. Kimsingi, udhaifu huu unatokana na ugatuaji wa mitandao ya kizazi kipya, lakini aya inayofuata itaelezea tatizo la ugatuaji kwa uwazi zaidi.

Ugatuaji na upanuzi wa mipaka ya mtandao

zaidiVifaa vya pembeni, vikicheza jukumu la msingi wa mtandao wa ndani, hufanya uelekezaji wa trafiki ya watumiaji, maombi ya usindikaji, pamoja na caching ya ndani na uhifadhi wa data ya mtumiaji. Kwa hiyo, mipaka ya mitandao ya kizazi cha 5 inapanua, pamoja na msingi, kwa pembeni, ikiwa ni pamoja na databases za mitaa na interfaces za redio za 5G-NR (5G New Radio). Hii inaunda fursa ya kushambulia rasilimali za kompyuta za vifaa vya ndani, ambavyo ni ulinzi dhaifu wa priori kuliko nodi za kati za msingi wa mtandao, kwa lengo la kusababisha kunyimwa huduma. Hii inaweza kusababisha kukatwa kwa ufikiaji wa mtandao kwa maeneo yote, utendakazi usio sahihi wa vifaa vya IoT (kwa mfano, katika mfumo mzuri wa nyumbani), pamoja na kutopatikana kwa huduma ya tahadhari ya dharura ya IMS.

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Hata hivyo, ETSI na 3GPP sasa zimechapisha zaidi ya viwango 10 vinavyoshughulikia vipengele mbalimbali vya usalama wa mtandao wa 5G. Idadi kubwa ya mifumo iliyoelezwa hapo inalenga kulinda dhidi ya udhaifu (ikiwa ni pamoja na wale walioelezwa hapo juu). Moja ya kuu ni kiwango TS 23.501 toleo la 15.6.0, inayoelezea usanifu wa usalama wa mitandao ya kizazi cha 5.

Usanifu wa 5G

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2
Kwanza, hebu tugeuke kwenye kanuni muhimu za usanifu wa mtandao wa 5G, ambayo itaonyesha kikamilifu maana na maeneo ya wajibu wa kila moduli ya programu na kila kazi ya usalama ya 5G.

  • Mgawanyiko wa nodi za mtandao katika vipengele vinavyohakikisha uendeshaji wa itifaki ndege maalum (kutoka kwa Kiingereza UP - Ndege ya Mtumiaji) na vipengele vinavyohakikisha uendeshaji wa itifaki ndege ya kudhibiti (kutoka kwa Kiingereza CP - Ndege ya Kudhibiti), ambayo huongeza kubadilika kwa suala la kuongeza na kupeleka mtandao, yaani, uwekaji wa kati au uliogawanyika wa nodi za mtandao wa sehemu ya mtu binafsi inawezekana.
  • Msaada wa utaratibu kukatwa kwa mtandao, kulingana na huduma zinazotolewa kwa vikundi maalum vya watumiaji wa mwisho.
  • Utekelezaji wa vipengele vya mtandao katika fomu kazi za mtandao pepe.
  • Usaidizi wa ufikiaji wa wakati mmoja wa huduma za serikali kuu na za ndani, i.e. utekelezaji wa dhana za wingu (kutoka Kiingereza. kompyuta ya ukungu) na mpaka (kutoka Kiingereza. kompyuta makali) mahesabu.
  • Utekelezaji kuungana usanifu unaochanganya aina tofauti za mitandao ya ufikiaji - 3GPP 5G Redio Mpya na isiyo ya 3GPP (Wi-Fi, nk) - na msingi mmoja wa mtandao.
  • Usaidizi wa algorithms sare na taratibu za uthibitishaji, bila kujali aina ya mtandao wa kufikia.
  • Usaidizi wa kazi za mtandao zisizo na uraia, ambapo rasilimali iliyokokotwa hutenganishwa na hifadhi ya rasilimali.
  • Usaidizi wa kuzurura na uelekezaji wa trafiki kupitia mtandao wa nyumbani (kutoka kwa uzururaji wa nyumbani wa Kiingereza) na kwa "kutua" ya ndani (kutoka kwa kipindi kifupi cha Kiingereza) katika mtandao wa wageni.
  • Mwingiliano kati ya kazi za mtandao unawakilishwa kwa njia mbili: yenye mwelekeo wa huduma ΠΈ kiolesura.

Dhana ya usalama wa mtandao wa kizazi cha 5 inajumuisha:

  • Uthibitishaji wa mtumiaji kutoka kwa mtandao.
  • Uthibitishaji wa mtandao na mtumiaji.
  • Majadiliano ya funguo za kriptografia kati ya mtandao na vifaa vya mtumiaji.
  • Udhibiti wa usimbaji fiche na uadilifu wa kuashiria trafiki.
  • Usimbaji fiche na udhibiti wa uadilifu wa trafiki ya watumiaji.
  • Ulinzi wa kitambulisho cha mtumiaji.
  • Kulinda miingiliano kati ya vipengele tofauti vya mtandao kwa mujibu wa dhana ya kikoa cha usalama cha mtandao.
  • Kutengwa kwa tabaka tofauti za utaratibu kukatwa kwa mtandao na kufafanua viwango vya usalama vya kila safu.
  • Uthibitishaji wa mtumiaji na ulinzi wa trafiki katika kiwango cha huduma za mwisho (IMS, IoT na wengine).

Moduli muhimu za programu na vipengele vya usalama vya mtandao wa 5G

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2 AMF (kutoka kwa Kiingereza Access & Mobility Management Function - ufikiaji na usimamizi wa uhamaji) - hutoa:

  • Shirika la miingiliano ya ndege ya kudhibiti.
  • Shirika la kuashiria kubadilishana trafiki RRC, usimbaji fiche na ulinzi wa uadilifu wa data yake.
  • Shirika la kuashiria kubadilishana trafiki NAS, usimbaji fiche na ulinzi wa uadilifu wa data yake.
  • Kusimamia usajili wa vifaa vya mtumiaji kwenye mtandao na ufuatiliaji wa majimbo ya usajili iwezekanavyo.
  • Kusimamia uunganisho wa vifaa vya mtumiaji kwenye mtandao na ufuatiliaji wa majimbo iwezekanavyo.
  • Dhibiti upatikanaji wa vifaa vya mtumiaji kwenye mtandao katika hali ya CM-IDLE.
  • Usimamizi wa uhamaji wa vifaa vya mtumiaji katika mtandao katika hali ya CM-CONNECTED.
  • Usambazaji wa ujumbe mfupi kati ya vifaa vya mtumiaji na SMF.
  • Usimamizi wa huduma za eneo.
  • Ugawaji wa kitambulisho cha nyuzi EPS kuingiliana na EPS.

SMF (Kiingereza: Kazi ya Usimamizi wa Kikao - kazi ya usimamizi wa kikao) - hutoa:

  • Usimamizi wa kipindi cha mawasiliano, yaani, kuunda, kurekebisha na kutoa vipindi, ikijumuisha kudumisha njia kati ya mtandao wa ufikiaji na UPF.
  • Usambazaji na usimamizi wa anwani za IP za vifaa vya mtumiaji.
  • Kuchagua lango la UPF la kutumia.
  • Shirika la mwingiliano na PCF.
  • Usimamizi wa utekelezaji wa sera QoS.
  • Usanidi wa nguvu wa vifaa vya mtumiaji kwa kutumia itifaki za DHCPv4 na DHCPv6.
  • Kufuatilia ukusanyaji wa data ya ushuru na kupanga mwingiliano na mfumo wa utozaji.
  • Utoaji wa huduma bila mshono (kutoka Kiingereza. SSC - Kikao na Mwendelezo wa Huduma).
  • Mwingiliano na mitandao ya wageni ndani ya uzururaji.

UPF (Kiingereza User Plane Function - user plane function) - hutoa:

  • Mwingiliano na mitandao ya data ya nje, ikiwa ni pamoja na mtandao wa kimataifa.
  • Kuelekeza pakiti za watumiaji.
  • Kuashiria kwa pakiti kwa mujibu wa sera za QoS.
  • Uchunguzi wa kifurushi cha mtumiaji (kwa mfano, utambuzi wa programu kulingana na saini).
  • Kutoa ripoti juu ya matumizi ya trafiki.
  • UPF pia ni sehemu ya msingi ya kusaidia uhamaji ndani na kati ya teknolojia tofauti za ufikiaji wa redio.

UDM (Kiingereza Unified Data Management - database umoja) - hutoa:

  • Kudhibiti data ya wasifu wa mtumiaji, ikiwa ni pamoja na kuhifadhi na kurekebisha orodha ya huduma zinazopatikana kwa watumiaji na vigezo vyao vinavyolingana.
  • Utawala SUPI
  • Tengeneza vitambulisho vya uthibitishaji wa 3GPP A.K.A..
  • Uidhinishaji wa ufikiaji kulingana na data ya wasifu (kwa mfano, vizuizi vya utumiaji wa mitandao ya ng'ambo).
  • Usimamizi wa usajili wa watumiaji, yaani, uhifadhi wa huduma ya AMF.
  • Usaidizi wa vipindi vya huduma na mawasiliano bila mshono, yaani, kuhifadhi SMF iliyopewa kikao cha sasa cha mawasiliano.
  • Usimamizi wa uwasilishaji wa SMS.
  • UDM kadhaa tofauti zinaweza kumhudumia mtumiaji yule yule katika shughuli mbalimbali za malipo.

UDR (Kiingereza Unified Data Repository - uhifadhi wa data umoja) - hutoa uhifadhi wa data mbalimbali za mtumiaji na ni, kwa kweli, database ya wanachama wote wa mtandao.

UDSF (Kazi ya Uhifadhi wa Data Isiyoundwa kwa Kiingereza - kazi ya uhifadhi wa data isiyo na muundo) - inahakikisha kwamba moduli za AMF zinahifadhi mazingira ya sasa ya watumiaji waliojiandikisha. Kwa ujumla, habari hii inaweza kuwasilishwa kama data ya muundo usio na kipimo. Miktadha ya mtumiaji inaweza kutumika ili kuhakikisha vipindi vya wasajili visivyo na mshono na visivyokatizwa, wakati wa uondoaji uliopangwa wa mojawapo ya AMF kutoka kwa huduma, na katika tukio la dharura. Katika visa vyote viwili, AMF ya chelezo "itachukua" huduma kwa kutumia miktadha iliyohifadhiwa katika USDF.

Kuchanganya UDR na UDSF kwenye jukwaa moja halisi ni utekelezaji wa kawaida wa kazi hizi za mtandao.

PCF (Kiingereza: Kazi ya Udhibiti wa Sera - kazi ya udhibiti wa sera) - huunda na kuwapa watumiaji sera fulani za huduma, ikiwa ni pamoja na vigezo vya QoS na sheria za kutoza. Kwa mfano, kusambaza aina moja au nyingine ya trafiki, chaneli pepe zilizo na sifa tofauti zinaweza kuundwa kwa nguvu. Wakati huo huo, mahitaji ya huduma iliyoombwa na mteja, kiwango cha msongamano wa mtandao, kiasi cha trafiki inayotumiwa, nk inaweza kuzingatiwa.

NEF (Kiingereza Network Exposure Function - network exposure function) - hutoa:

  • Shirika la mwingiliano salama wa majukwaa ya nje na programu na msingi wa mtandao.
  • Dhibiti vigezo vya QoS na sheria za malipo kwa watumiaji maalum.

BAHARI (Kazi ya Anchor ya Usalama ya Kiingereza - kazi ya usalama wa nanga) - pamoja na AUSF, hutoa uthibitishaji wa watumiaji wakati wanajiandikisha kwenye mtandao na teknolojia yoyote ya kufikia.

AUSF (Kazi ya Seva ya Uthibitishaji wa Kiingereza - kazi ya seva ya uthibitishaji) - ina jukumu la seva ya uthibitishaji ambayo inapokea na kushughulikia maombi kutoka kwa SEAF na kuyaelekeza kwa ARPF.

ARPF (Kiingereza: Uthibitishaji wa Hifadhi ya Uthibitishaji na Kazi ya Usindikaji - kazi ya kuhifadhi na kusindika hati za uthibitishaji) - hutoa uhifadhi wa funguo za siri za kibinafsi (KI) na vigezo vya algoriti za kriptografia, pamoja na kizazi cha vekta za uthibitishaji kwa mujibu wa 5G-AKA au EAP-AKA. Iko katika kituo cha data cha opereta wa telecom ya nyumbani, imelindwa kutokana na ushawishi wa nje wa mwili, na, kama sheria, imeunganishwa na UDM.

SCMF (Kazi ya Usimamizi wa Muktadha wa Usalama wa Kiingereza - kazi ya usimamizi muktadha wa usalama) - Hutoa usimamizi wa mzunguko wa maisha kwa muktadha wa usalama wa 5G.

SPCF (Kazi ya Udhibiti wa Sera ya Usalama ya Kiingereza - kazi ya usimamizi wa sera ya usalama) - inahakikisha uratibu na matumizi ya sera za usalama kuhusiana na watumiaji mahususi. Hii inazingatia uwezo wa mtandao, uwezo wa vifaa vya mtumiaji na mahitaji ya huduma maalum (kwa mfano, viwango vya ulinzi vinavyotolewa na huduma muhimu ya mawasiliano na huduma ya upatikanaji wa mtandao wa wireless broadband inaweza kutofautiana). Utumiaji wa sera za usalama ni pamoja na: uteuzi wa AUSF, uteuzi wa algoriti ya uthibitishaji, uteuzi wa usimbaji fiche wa data na kanuni za udhibiti wa uadilifu, uamuzi wa urefu na mzunguko wa maisha wa funguo.

SIDF (Kitambulisho cha Usajili wa Kiingereza Kitendo cha Kufichua - kipengele cha uondoaji wa kitambulisho cha mtumiaji) - huhakikisha uondoaji wa kitambulisho cha kudumu cha usajili wa mteja (Kiingereza SUPI) kutoka kwa kitambulisho kilichofichwa (Kiingereza SUCI), iliyopokelewa kama sehemu ya ombi la utaratibu wa uthibitishaji "Auth Info Req".

Mahitaji ya kimsingi ya usalama kwa mitandao ya mawasiliano ya 5G

zaidiUthibitishaji wa mtumiaji: Mtandao unaotumika wa 5G lazima uthibitishe SUPI ya mtumiaji katika mchakato wa 5G AKA kati ya mtumiaji na mtandao.

Inatumikia Uthibitishaji wa Mtandao: Mtumiaji lazima athibitishe kitambulisho cha mtandao wa huduma ya 5G, na uthibitishaji unapatikana kupitia utumiaji mzuri wa vitufe vilivyopatikana kupitia utaratibu wa 5G AKA.

Idhini ya mtumiaji: Mtandao unaohudumia lazima uidhinishe mtumiaji kwa kutumia wasifu wa mtumiaji uliopokelewa kutoka kwa mtandao wa opereta wa telecom ya nyumbani.

Uidhinishaji wa mtandao unaohudumia na mtandao wa opereta wa nyumbani: Mtumiaji lazima apewe uthibitisho kwamba ameunganishwa kwenye mtandao wa huduma ambao umeidhinishwa na mtandao wa operator wa nyumbani kutoa huduma. Uidhinishaji haujawekwa wazi kwa maana kwamba unahakikishwa kwa kukamilika kwa utaratibu wa 5G AKA.

Uidhinishaji wa mtandao wa ufikiaji na mtandao wa opereta wa nyumbani: Mtumiaji lazima apewe uthibitisho kwamba ameunganishwa kwenye mtandao wa ufikiaji ambao umeidhinishwa na mtandao wa waendeshaji wa nyumbani kutoa huduma. Uidhinishaji haujawekwa wazi kwa maana kwamba unatekelezwa kwa kuanzisha kwa ufanisi usalama wa mtandao wa ufikiaji. Uidhinishaji wa aina hii lazima utumike kwa aina yoyote ya mtandao wa ufikiaji.

Huduma za dharura ambazo hazijaidhinishwa: Ili kukidhi mahitaji ya udhibiti katika baadhi ya maeneo, mitandao ya 5G lazima itoe ufikiaji ambao haujaidhinishwa kwa huduma za dharura.

Msingi wa mtandao na mtandao wa ufikiaji wa redio: Msingi wa mtandao wa 5G na mtandao wa ufikiaji wa redio wa 5G lazima usaidie matumizi ya usimbaji fiche wa 128-bit na kanuni za uadilifu ili kuhakikisha usalama. AS ΠΈ NAS. Miunganisho ya mtandao lazima iauni vitufe vya usimbuaji wa biti 256.

Mahitaji ya kimsingi ya usalama kwa vifaa vya mtumiaji

zaidi

  • Ni lazima kifaa cha mtumiaji kisaidie usimbaji fiche, ulinzi wa uadilifu, na ulinzi dhidi ya mashambulizi ya kucheza tena kwa data ya mtumiaji inayotumwa kati yake na mtandao wa ufikiaji wa redio.
  • Kifaa cha mtumiaji lazima kuwezesha usimbaji na mifumo ya ulinzi wa uadilifu wa data kama inavyoelekezwa na mtandao wa ufikiaji wa redio.
  • Vifaa vya mtumiaji lazima visaidie usimbaji fiche, ulinzi wa uadilifu, na ulinzi dhidi ya mashambulizi ya kucheza tena kwa RRC na NAS inayoashiria trafiki.
  • Vifaa vya mtumiaji lazima visaidie algoriti zifuatazo za kriptografia: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Vifaa vya mtumiaji vinaweza kusaidia algoriti zifuatazo za kriptografia: 128-NEA3, 128-NIA3.
  • Vifaa vya mtumiaji lazima visaidie algoriti zifuatazo za kriptografia: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 ikiwa inaauni muunganisho kwenye mtandao wa ufikiaji wa redio wa E-UTRA.
  • Ulinzi wa usiri wa data ya mtumiaji inayotumwa kati ya kifaa cha mtumiaji na mtandao wa ufikiaji wa redio ni hiari, lakini lazima itolewe wakati wowote inaporuhusiwa na kanuni.
  • Ulinzi wa faragha kwa RRC na trafiki ya kuashiria NAS ni ya hiari.
  • Ufunguo wa kudumu wa mtumiaji lazima ulindwe na kuhifadhiwa katika vipengele vilivyolindwa vyema vya vifaa vya mtumiaji.
  • Kitambulisho cha kudumu cha usajili haipaswi kutumwa kwa maandishi wazi kupitia mtandao wa ufikiaji wa redio isipokuwa kwa maelezo muhimu kwa uelekezaji sahihi (kwa mfano. MCC ΠΈ MNC).
  • Ufunguo wa umma wa mtandao wa mtumiaji wa nyumbani, kitambulisho cha ufunguo, kitambulisho cha mpango wa usalama na kitambulisho cha uelekezaji lazima vihifadhiwe ndani. USIM.

Kila algoriti ya usimbaji fiche inahusishwa na nambari ya binary:

  • "0000": NEA0 - Null ciphering algoriti
  • "0001": 128-NEA1 - 128-bit SNOW Algorithm ya msingi ya 3G
  • "0010" 128-NEA2 - 128-bit AES algorithm ya msingi
  • "0011" 128-NEA3 - 128-bit ZUC algorithm ya msingi.

Usimbaji fiche wa data kwa kutumia 128-NEA1 na 128-NEA2Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

PS Mzunguko umekopwa kutoka TS 133.501

Uzalishaji wa uingizaji ulioiga kwa algorithms 128-NIA1 na 128-NIA2 ili kuhakikisha uadilifu.Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

PS Mzunguko umekopwa kutoka TS 133.501

Mahitaji ya kimsingi ya usalama kwa vitendaji vya mtandao wa 5G

zaidi

  • AMF lazima iauni uthibitishaji msingi kwa kutumia SUCI.
  • SEAF lazima isaidie uthibitishaji msingi kwa kutumia SUCI.
  • UDM na ARPF lazima zihifadhi ufunguo wa kudumu wa mtumiaji na kuhakikisha kwamba unalindwa dhidi ya wizi.
  • AUSF itatoa tu SUPI kwa mtandao wa huduma wa ndani baada ya uthibitishaji wa awali uliofaulu kwa kutumia SUCI.
  • NEF haipaswi kusambaza taarifa za msingi za mtandao zilizofichwa nje ya kikoa cha usalama cha mwendeshaji.

Taratibu za Msingi za Usalama

Vikoa vya Kuaminiana

Katika mitandao ya kizazi cha 5, uaminifu katika vipengele vya mtandao hupungua kadiri vipengee vinavyosogea kutoka kwa msingi wa mtandao. Dhana hii huathiri maamuzi yanayotekelezwa katika usanifu wa usalama wa 5G. Kwa hivyo, tunaweza kuzungumza juu ya mfano wa uaminifu wa mitandao ya 5G ambayo huamua tabia ya mifumo ya usalama wa mtandao.

Kwa upande wa mtumiaji, kikoa cha uaminifu kinaundwa na UICC na USIM.

Kwa upande wa mtandao, kikoa cha uaminifu kina muundo ngumu zaidi.

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2 Mtandao wa ufikiaji wa redio umegawanywa katika vipengele viwili - DU (kutoka kwa Vitengo vya Kusambazwa kwa Kiingereza - vitengo vya mtandao vilivyosambazwa) na CU (kutoka kwa Kiingereza Central Units - vitengo vya kati vya mtandao). Pamoja wanaunda gNB - interface ya redio ya kituo cha msingi cha mtandao wa 5G. DUs hazina ufikiaji wa moja kwa moja kwa data ya mtumiaji kwani zinaweza kutumwa kwenye sehemu za miundombinu zisizolindwa. CU lazima zitumike katika sehemu za mtandao zilizolindwa, kwa kuwa zina jukumu la kukomesha trafiki kutoka kwa mifumo ya usalama ya AS. Katika msingi wa mtandao iko AMF, ambayo husimamisha trafiki kutoka kwa mifumo ya usalama ya NAS. Vipimo vya sasa vya 3GPP 5G Awamu ya 1 inaelezea mchanganyiko AMF na kazi ya usalama BAHARI, iliyo na ufunguo wa mizizi (pia inajulikana kama "ufunguo wa nanga") wa mtandao uliotembelewa (unaohudumia). AUSF ni wajibu wa kuhifadhi ufunguo uliopatikana baada ya uthibitishaji wa mafanikio. Inahitajika kutumika tena katika hali ambapo mtumiaji ameunganishwa wakati huo huo kwenye mitandao kadhaa ya ufikiaji wa redio. ARPF huhifadhi kitambulisho cha mtumiaji na ni mlinganisho wa USIM kwa waliojisajili. UDR ΠΈ UDM kuhifadhi maelezo ya mtumiaji, ambayo hutumika kubainisha mantiki ya kutoa vitambulisho, vitambulisho vya mtumiaji, kuhakikisha mwendelezo wa kipindi, n.k.

Hierarkia ya funguo na mifumo yao ya usambazaji

Katika mitandao ya kizazi cha 5, tofauti na mitandao ya 4G-LTE, utaratibu wa uthibitishaji una vipengele viwili: uthibitishaji wa msingi na wa sekondari. Uthibitishaji msingi unahitajika kwa vifaa vyote vya mtumiaji vinavyounganishwa kwenye mtandao. Uthibitishaji wa pili unaweza kufanywa kwa ombi kutoka kwa mitandao ya nje, ikiwa mteja ataunganisha nao.

Baada ya kukamilika kwa ufanisi wa uthibitishaji wa msingi na maendeleo ya ufunguo wa pamoja wa K kati ya mtumiaji na mtandao, KSEAF hutolewa kutoka kwa ufunguo wa K - ufunguo maalum wa nanga (mizizi) wa mtandao wa huduma. Baadaye, funguo hutolewa kutoka kwa ufunguo huu ili kuhakikisha usiri na uadilifu wa data ya trafiki ya RRC na NAS inayoashiria.

Mchoro wenye maelezoUtangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2
Uteuzi:
CK Ufunguo wa Cipher
IK (Kiingereza: Integrity Key) - ufunguo unaotumika katika mbinu za kulinda uadilifu wa data.
CK' (eng. Cipher Key) - ufunguo mwingine wa kriptografia iliyoundwa kutoka kwa CK kwa utaratibu wa EAP-AKA.
IK' (English Integrity Key) - ufunguo mwingine unaotumika katika mbinu za kulinda uadilifu wa data kwa EAP-AKA.
KAUSF - yanayotokana na kazi ya ARPF na vifaa vya mtumiaji kutoka CK ΠΈ IK wakati wa 5G AKA na EAP-AKA.
KSEAF - ufunguo wa nanga uliopatikana na kazi ya AUSF kutoka kwa ufunguo KAMFAUSF.
KAMF β€” ufunguo uliopatikana na kitendakazi cha SEAF kutoka kwa ufunguo KSEAF.
KNASint, KNASsenc - funguo zilizopatikana na kazi ya AMF kutoka kwa ufunguo KAMF kulinda trafiki ya kuashiria NAS.
KRRCint, KRRCEnc - funguo zilizopatikana na kazi ya AMF kutoka kwa ufunguo KAMF kulinda trafiki ya kuashiria RRC.
KUPint, KUPenc - funguo zilizopatikana na kazi ya AMF kutoka kwa ufunguo KAMF kulinda trafiki ya ishara ya AS.
NH β€” kitufe cha kati kilichopatikana na kitendakazi cha AMF kutoka kwa kitufe KAMF ili kuhakikisha usalama wa data wakati wa makabidhiano.
KgNB - ufunguo uliopatikana na kazi ya AMF kutoka kwa ufunguo KAMF ili kuhakikisha usalama wa mifumo ya uhamaji.

Mipango ya kuzalisha SUCI kutoka SUPI na kinyume chake

Mipango ya kupata SUPI na SUCI

Uzalishaji wa SUCI kutoka SUPI na SUPI kutoka SUCI:
Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Uthibitishaji

Uthibitishaji wa msingi

Katika mitandao ya 5G, EAP-AKA na 5G AKA ni njia za msingi za uthibitishaji. Wacha tugawanye utaratibu wa msingi wa uthibitishaji katika awamu mbili: ya kwanza inawajibika kwa kuanzisha uthibitishaji na kuchagua njia ya uthibitishaji, ya pili inawajibika kwa uthibitishaji wa pande zote kati ya mtumiaji na mtandao.

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

Kuanzishwa

Mtumiaji huwasilisha ombi la usajili kwa SEAF, ambalo lina kitambulisho cha mtumiaji kilichofichwa cha usajili SUCI.

SEAF hutuma kwa AUSF ujumbe wa ombi la uthibitishaji (Nausf_UEAuthentication_Authenticate Request) iliyo na SNN (Jina la Mtandao Linalotoa) na SUPI au SUCI.

AUSF hukagua ikiwa mwombaji wa uthibitishaji wa SEAF anaruhusiwa kutumia SNN iliyotolewa. Ikiwa mtandao unaotoa huduma haujaidhinishwa kutumia SNN hii, basi AUSF itajibu kwa ujumbe wa hitilafu wa uidhinishaji "Mtandao wa kuhudumia haujaidhinishwa" (Nausf_UEAuthentication_Authenticate Response).

Kitambulisho cha uthibitishaji kinaombwa na AUSF kwa UDM, ARPF au SIDF kupitia SUPI au SUCI na SNN.

Kulingana na SUPI au SUCI na maelezo ya mtumiaji, UDM/ARPF huchagua mbinu ya uthibitishaji ya kutumia inayofuata na kutoa vitambulisho vya mtumiaji.

Uthibitishaji wa Pamoja

Unapotumia mbinu yoyote ya uthibitishaji, utendakazi wa mtandao wa UDM/ARPF lazima utoe vekta ya uthibitishaji (AV).

EAP-AKA: UDM/ARPF kwanza hutoa vekta ya uthibitishaji na kutenganisha kidogo AMF = 1, kisha hutoa. CK' ΠΈ IK' ya CK, IK na SNN na huunda vekta mpya ya uthibitishaji wa AV (RAND, AUTN, XRES*, CK', IK'), ambayo hutumwa kwa AUSF ikiwa na maagizo ya kuitumia kwa EAP-AKA pekee.

5G AKA: UDM/ARPF inapata ufunguo KAUSF ya CK, IK na SNN, baada ya hapo inazalisha 5G HE AV. Vekta ya Uthibitishaji wa Mazingira ya Nyumbani ya 5G). Vekta ya uthibitishaji ya 5G HE AV (RAND, AUTN, XRES, KAUSF) inatumwa kwa AUSF ikiwa na maagizo ya kuitumia kwa 5G pekee AKA.

Baada ya AUSF hii ufunguo wa nanga unapatikana KSEAF kutoka kwa ufunguo KAUSF na kutuma ombi kwa SEAF "Challenge" katika ujumbe "Nausf_UEAuthentication_Authenticate Response", ambayo pia ina RAND, AUTN na RES*. Kisha, RAND na AUTN hutumwa kwa kifaa cha mtumiaji kwa kutumia ujumbe salama wa kuashiria wa NAS. USIM ya mtumiaji hukokotoa RES* kutoka kwa RAND na AUTN iliyopokelewa na kuituma kwa SEAF. SEAF hupeleka thamani hii kwa AUSF kwa uthibitishaji.

AUSF inalinganisha XRES* iliyohifadhiwa ndani yake na RES* iliyopokelewa kutoka kwa mtumiaji. Ikiwa kuna mechi, AUSF na UDM katika mtandao wa nyumbani wa opereta huarifiwa kuhusu uthibitishaji uliofaulu, na mtumiaji na SEAF hutoa ufunguo kwa kujitegemea. KAMF ya KSEAF na SUPI kwa mawasiliano zaidi.

Uthibitishaji wa pili

Kiwango cha 5G kinaweza kutumia uthibitishaji wa hiari wa upili kulingana na EAP-AKA kati ya kifaa cha mtumiaji na mtandao wa data wa nje. Katika kesi hii, SMF ina jukumu la uthibitishaji wa EAP na inategemea kazi AAA- seva ya mtandao wa nje ambayo inathibitisha na kuidhinisha mtumiaji.

Utangulizi wa Usanifu wa Usalama wa 5G: NFV, Funguo na Uthibitishaji wa 2

  • Uthibitishaji wa lazima wa mtumiaji wa awali kwenye mtandao wa nyumbani hutokea na muktadha wa kawaida wa usalama wa NAS unatengenezwa na AMF.
  • Mtumiaji hutuma ombi kwa AMF ili kuanzisha kipindi.
  • AMF inatuma ombi la kuanzisha kipindi kwa SMF inayoonyesha SUPI ya mtumiaji.
  • SMF huthibitisha kitambulisho cha mtumiaji katika UDM kwa kutumia SUPI iliyotolewa.
  • SMF hutuma jibu kwa ombi kutoka kwa AMF.
  • SMF huanzisha utaratibu wa uthibitishaji wa EAP ili kupata kibali cha kuanzisha kipindi kutoka kwa seva ya AAA kwenye mtandao wa nje. Ili kufanya hivyo, SMF na mtumiaji hubadilishana ujumbe ili kuanzisha utaratibu.
  • Mtumiaji na seva ya mtandao ya nje ya AAA kisha hubadilishana ujumbe ili kuthibitisha na kuidhinisha mtumiaji. Katika kesi hii, mtumiaji hutuma ujumbe kwa SMF, ambayo hubadilishana ujumbe na mtandao wa nje kupitia UPF.

Hitimisho

Ingawa usanifu wa usalama wa 5G unategemea utumiaji tena wa teknolojia zilizopo, unaleta changamoto mpya kabisa. Idadi kubwa ya vifaa vya IoT, mipaka ya mtandao iliyopanuliwa na vipengele vya usanifu vilivyogatuliwa ni baadhi tu ya kanuni muhimu za kiwango cha 5G ambazo hutoa uhuru kwa mawazo ya wahalifu wa mtandao.

Kiwango cha msingi cha usanifu wa usalama wa 5G ni TS 23.501 toleo la 15.6.0 - ina vidokezo muhimu vya uendeshaji wa mifumo na taratibu za usalama. Hasa, inaelezea jukumu la kila VNF katika kuhakikisha ulinzi wa data ya mtumiaji na nodes za mtandao, katika kuzalisha funguo za crypto na kutekeleza utaratibu wa uthibitishaji. Lakini hata kiwango hiki haitoi majibu kwa maswala ya usalama ambayo yanawakabili waendeshaji wa mawasiliano ya simu mara nyingi zaidi mitandao ya kizazi kipya inatengenezwa na kuanza kutumika.

Katika suala hili, ningependa kuamini kuwa ugumu wa kufanya kazi na kulinda mitandao ya kizazi cha 5 hautaathiri kwa njia yoyote watumiaji wa kawaida, ambao wameahidiwa kasi ya maambukizi na majibu kama mtoto wa rafiki wa mama na tayari wana hamu ya kujaribu kila kitu. uwezo uliotangazwa wa mitandao ya kizazi kipya.

Viungo muhimu

Mfululizo wa Uainishaji wa 3GPP
Usanifu wa usalama wa 5G
Usanifu wa mfumo wa 5G
Wiki ya 5G
Maelezo ya usanifu wa 5G
Muhtasari wa usalama wa 5G

Chanzo: mapenzi.com

Kuongeza maoni