Аён аст, ки қабули таҳияи стандарти нави коммуникатсионӣ бидуни андеша дар бораи механизмҳои амниятӣ як кӯшиши ниҳоят шубҳанок ва бефоида аст.

Архитектураи амнияти 5G - маҷмӯи механизмҳо ва расмиёти амният, ки дар Шабакаҳои насли 5 ва фарогирии тамоми ҷузъҳои шабака, аз аслӣ то интерфейсҳои радио.

Шабакаҳои насли 5 аслан як эволютсия мебошанд Шабакаҳои насли 4-уми LTE. Технологияҳои дастрасии радио тағйироти назаррасро аз сар гузаронидаанд. Барои шабакаҳои насли 5, нав Каламуш (Технологияи дастрасии радио) - Радиои нав 5G. Дар бораи ядрои шабака бошад, он ба чунин дигаргунихои чиддй дучор нагардидааст. Дар робита ба ин, меъмории амнияти шабакаҳои 5G бо таваҷҷӯҳ ба истифодаи дубораи технологияҳои дахлдори дар стандарти 4G LTE қабулшуда таҳия шудааст.

Бо вуҷуди ин, бояд қайд кард, ки аз нав дида баромадани таҳдидҳои маълум ба монанди ҳамла ба интерфейсҳои ҳавоӣ ва қабати сигнализатсия (нишондиҳандагӣ ҳавопаймо), ҳамлаҳои DDOS, ҳамлаҳои Man-In-The-Middle ва ғайра, операторони алоқаро водор карданд, ки стандартҳои нав таҳия кунанд ва механизмҳои комилан нави амниятро ба шабакаҳои насли 5 ворид кунанд.

Шарҳҳо

Соли 2015 Иттиҳоди Байналмилалии Телекоммуникатсия аввалин нақшаи глобалии худро оид ба рушди шабакаҳои насли панҷум таҳия кард, аз ин рӯ масъалаи таҳияи механизмҳо ва расмиёти амниятӣ дар шабакаҳои 5G махсусан тезу тунд шудааст.

Технологияи нав суръати воқеан таъсирбахши интиқоли маълумот (зиёда аз 1 Гбит/с), таъхири камтар аз 1 мс ва қобилияти пайваст кардани тақрибан 1 миллион дастгоҳро дар радиуси 1 км2 пешниҳод кард. Чунин талаботи баландтарин нисбат ба шабакаҳои насли 5 низ дар принсипҳои ташкили онҳо инъикос ёфтааст.

Асосиаш ѓайримутамарказизатсия буд, ки дар периферияи шабака љойгир кардани бисёр базањои мањаллї ва марказњои коркарди онњоро дар назар дошт. Ин имкон дод, ки таъхирҳо ҳангоми M2M-муошират ва сабук кардани асосии шабака аз ҳисоби хидматрасонии шумораи зиёди дастгоҳҳои IoT. Ҳамин тариқ, канори шабакаҳои насли оянда то ба истгоҳҳои базавӣ тавсеа ёфт, ки имкон дод марказҳои алоқаи маҳаллӣ ва пешниҳоди хидматҳои абрӣ бидуни хатари таъхирҳои ҷиддӣ ё радди хидмат. Табиист, ки равиши тағйирёфта ба шабака ва хидматрасонии муштариён барои ҳамлагарон ҷолиб буд, зеро он барои онҳо имкониятҳои нав фароҳам овард, ки ҳам ба маълумоти махфии корбар ва ҳам ба худи ҷузъҳои шабака ҳамла кунанд, то боиси радди хидмат ё мусодираи захираҳои компютерии оператор шаванд.

Офтобҳои асосии шабакаҳои насли 5

Сатҳи ҳамлаи калон

зиёдтарҲангоми сохтани шабакаҳои телекоммуникатсионии наслҳои 3 ва 4, операторони алоқа одатан бо кор бо як ё якчанд фурӯшандагон, ки фавран маҷмӯи таҷҳизот ва нармафзорро таъмин мекарданд, маҳдуд мешуданд. Яъне, ҳама чиз метавонад кор кунад, чунон ки мегӯянд, "аз қуттӣ" - танҳо насб ва танзим кардани таҷҳизоти аз фурӯшанда харидашуда кофӣ буд; иваз кардан ё илова кардани нармафзори хусусӣ лозим набуд. Тамоюлҳои муосир ба ин равиши "классикӣ" мухолифанд ва ба виртуализатсияи шабакаҳо, равиши бисёр фурӯшандаҳо ба сохтани онҳо ва гуногунии нармафзор нигаронида шудаанд. Технологияхо ба монанди SDN (Забони англисӣ Software Defined Network) ва NFV (English Network Functions Virtualization), ки боиси ворид шудани миқдори зиёди нармафзори дар асоси кодҳои кушодаасос ба равандҳо ва функсияҳои идоракунии шабакаҳои коммуникатсионӣ сохташуда мегардад. Ин ба ҳамлагарон имкон медиҳад, ки шабакаи операторро беҳтар омӯзанд ва шумораи бештари осебпазириро муайян кунанд, ки дар навбати худ сатҳи ҳамлаи шабакаҳои насли навро нисбат ба шабакаҳои ҳозира зиёд мекунад.

Шумораи зиёди дастгоҳҳои IoT

зиёдтарТо соли 2021 тақрибан 57% дастгоҳҳои ба шабакаҳои 5G пайвастшуда дастгоҳҳои IoT хоҳанд буд. Ин маънои онро дорад, ки аксари ҳостҳо дорои қобилиятҳои маҳдуди криптографӣ хоҳанд буд (нигаред ба банди 2) ва мувофиқан, ба ҳамлаҳо осебпазир хоҳанд буд. Шумораи зиёди чунин дастгоҳҳо хатари паҳншавии ботнетро зиёд мекунанд ва имкон медиҳанд, ки ҳамлаҳои боз ҳам пурқувват ва паҳншудаи DDoS анҷом дода шаванд.

Имкониятҳои маҳдуди криптографии дастгоҳҳои IoT

зиёдтарТавре ки аллакай зикр гардид, шабакаҳои насли 5 дастгоҳҳои перифериро фаъолона истифода мебаранд, ки имкон медиҳанд як қисми сарборӣ аз ядрои шабака хориҷ карда шаванд ва ба ин васила таъхири таъхирро кам кунанд. Ин барои чунин хидматҳои муҳим, аз қабили идоракунии мошинҳои бесарнишин, системаи огоҳкунии фавқулодда зарур аст IMS ва дигарон, ки таъмини таъхири ҳадди ақал барои онҳо муҳим аст, зеро ҳаёти инсон аз он вобаста аст. Аз сабаби пайваст шудани шумораи зиёди дастгоҳҳои IoT, ки аз сабаби андозаи хурд ва масрафи ками нерӯи худ, захираҳои компютерии хеле маҳдуд доранд, шабакаҳои 5G дар муқобили ҳамлаҳо, ки барои боздоштани назорат ва коркарди минбаъдаи чунин дастгоҳҳо нигаронида шудаанд, осебпазир мешаванд. Масалан, мумкин аст сенарияҳое вуҷуд дошта бошанд, ки дастгоҳҳои IoT, ки қисми система мебошанд, сироят меёбанд "хонаи оқил", намудҳои нармафзори зараровар ба монанди Ransomware ва ransomware. Сенарияҳои боздоштани назорати мошинҳои бесарнишин, ки фармонҳо ва иттилооти навигатсияро тавассути абр мегиранд, низ имконпазир аст. Ба таври расмӣ, ин осебпазирӣ ба ғайримарказикунонии шабакаҳои насли нав вобаста аст, аммо дар сархати оянда мушкилоти ғайримарказикунонӣ равшантар нишон дода мешавад.

Гайримарказизатсия ва васеъ кардани марзҳои шабака

зиёдтарДастгоҳҳои периферӣ, ки нақши ядроҳои шабакаи локалиро мебозанд, масири трафики корбарон, коркарди дархостҳо, инчунин кэшкунии маҳаллӣ ва нигоҳдории маълумоти корбарро иҷро мекунанд. Ҳамин тариқ, сарҳадҳои шабакаҳои насли 5, ба ғайр аз аслӣ, ба периферия, аз ҷумла пойгоҳи додаҳои маҳаллӣ ва интерфейсҳои радиои 5G-NR (5G New Radio) васеъ мешаванд. Ин имкон медиҳад, ки ба захираҳои ҳисоббарории дастгоҳҳои маҳаллӣ, ки нисбат ба гиреҳҳои марказии ядрои шабака априорӣ заифтар ҳифз шудаанд, бо ҳадафи радди хидмат ҳамла кунанд. Ин метавонад ба қатъ шудани дастрасии интернет барои тамоми минтақаҳо, кори нодурусти дастгоҳҳои IoT (масалан, дар системаи хонагии интеллектуалӣ) ва инчунин мавҷуд набудани хадамоти огоҳии изтирории IMS оварда расонад.

Аммо, ETSI ва 3GPP ҳоло зиёда аз 10 стандартро нашр кардаанд, ки ҷанбаҳои гуногуни амнияти шабакаи 5G-ро фаро мегиранд. Аксарияти механизмҳои дар он тавсифшуда ба муҳофизат аз осебпазирӣ (аз ҷумла механизмҳои дар боло тавсифшуда) нигаронида шудаанд. Яке аз омилҳои асосӣ стандарт аст Нусхаи TS 23.501 15.6.0, тавсифи меъмории амнияти шабакаҳои насли 5.

Меъмории 5G

Аввалан, биёед ба принсипҳои асосии меъмории шабакаи 5G муроҷиат кунем, ки минбаъд маъно ва соҳаҳои масъулияти ҳар як модули нармафзор ва ҳар як функсияи амнияти 5G-ро пурра ошкор мекунанд.

• Тақсимоти гиреҳҳои шабакавӣ ба унсурҳое, ки кори протоколҳоро таъмин мекунанд ҳавопаймои фармоишӣ (аз забони англисӣ UP - User Plane) ва унсурҳое, ки кори протоколҳоро таъмин мекунанд ҳавопаймои идоракунӣ (аз инглисии CP - Control Plane), ки чандириро дар робита бо миқёс ва ҷойгиркунии шабака афзоиш медиҳад, яъне ҷойгиркунии мутамарказ ё ғайримарказонидашудаи гиреҳҳои инфиродии шабака имконпазир аст.
• Дастгирии механизм буридани шабака, дар асоси хидматҳо ба гурӯҳҳои мушаххаси корбарони ниҳоӣ.
• Амалисозии унсурҳои шабака дар шакли функсияҳои шабакаи виртуалӣ.
• Дастгирии дастрасии ҳамзамон ба хидматҳои мутамарказ ва маҳаллӣ, яъне татбиқи консепсияҳои абрӣ (аз забони англисӣ. ҳисобкунии туман) ва сарҳад (аз забони англисӣ. канори компютер) ҳисобҳо.
• Реализация конвергент меъморӣ, ки намудҳои гуногуни шабакаҳои дастрасӣ - 3GPP 5G New Radio ва ғайри 3GPP (Wi-Fi ва ғ.) - бо як ядрои шабакавӣ.
• Дастгирии алгоритмҳои ягона ва расмиёти аутентификатсия, новобаста аз намуди шабакаи дастрасӣ.
• Дастгирии функсияҳои шабакаи бидуни шаҳрвандӣ, ки дар он манбаи ҳисобшуда аз мағозаи захираҳо ҷудо карда мешавад.
• Дастгирии роуминг бо масири трафик ҳам тавассути шабакаи хонагӣ (аз роуминги хонагӣ дар инглисӣ) ва ҳам бо “десант” (аз забони локалии англисӣ) дар шабакаи меҳмонон.
• Муносибати байни функсияҳои шабакавӣ бо ду роҳ ифода карда мешавад: хизматрасонй нигаронида шудааст и интерфейс.

Консепсияи амнияти шабакавии насли 5 дар бар мегирад:

• Аутентификатсияи корбар аз шабака.
• Аутентификатсияи шабака аз ҷониби корбар.
• Музокироти калидҳои криптографӣ байни шабака ва таҷҳизоти корбар.
• Рамзгузорӣ ва назорати якпорчагии трафики сигнализатсия.
• Рамзгузорӣ ва назорати тамомияти трафики корбарон.
• Муҳофизати ID корбар.
• Муҳофизати интерфейсҳо байни унсурҳои гуногуни шабака мувофиқи консепсияи домени амнияти шабака.
• Озод кардани кабатхои гуногуни механизм буридани шабака ва муайян кардани сатҳҳои амниятии ҳар як қабат.
• Аутентификатсияи корбар ва ҳифзи трафик дар сатҳи хидматҳои ниҳоӣ (IMS, IoT ва ғайра).

Модулҳои асосии нармафзор ва хусусиятҳои амнияти шабакаи 5G

АФР (аз забони англисӣ Функсияи идоракунии дастрасӣ ва мобилӣ - функсияи идоракунии дастрасӣ ва ҳаракат) - таъмин менамояд:

• Ташкили интерфейсҳои ҳавопаймоҳои идоракунӣ.
• Ташкили мубодилаи трафики сигнализатсия CRR, рамзгузорӣ ва ҳифзи тамомияти маълумоти он.
• Ташкили мубодилаи трафики сигнализатсия НАС, рамзгузорӣ ва ҳифзи тамомияти маълумоти он.
• Идоракунии бақайдгирии таҷҳизоти корбар дар шабака ва мониторинги ҳолати имконпазири бақайдгирӣ.
• Идоракунии пайвасти таҷҳизоти корбар ба шабака ва мониторинги ҳолати имконпазир.
• Назорати мавҷудияти таҷҳизоти корбар дар шабака дар ҳолати CM-IDLE.
• Идоракунии мобилии таҷҳизоти корбар дар шабака дар ҳолати CM-CONNECTED.
• Интиқоли паёмҳои кӯтоҳ байни таҷҳизоти корбар ва SMF.
• Идоракунии хадамоти ҷойгиршавӣ.
• Тақсимоти ID-и ришта EPS барои муошират бо EPS.

SMF (Англисӣ: Function Management Session - функсияи идоракунии сессия) - таъмин менамояд:

• Идоракунии сессияи коммуникатсионӣ, яъне эҷод, тағир додан ва озод кардани сессияҳо, аз ҷумла нигоҳ доштани нақби байни шабакаи дастрасӣ ва UPF.
• Тақсим ва идоракунии суроғаҳои IP-и таҷҳизоти корбар.
• Интихоби дарвозаи UPF барои истифода.
• Ташкили фаъолияти муштарак бо PCF.
• Идоракунии татбиқи сиёсат QoS.
• Конфигуратсияи динамикии таҷҳизоти корбар бо истифода аз протоколҳои DHCPv4 ва DHCPv6.
• Мониторинги ҷамъоварии маълумоти тарифӣ ва ташкили ҳамкорӣ бо системаи биллинг.
• Таъмини бефосилаи хидматҳо (аз забони англисӣ. SSC - Иҷлосия ва давомнокии хидмат).
• Мулоқот бо шабакаҳои меҳмонон дар роуминг.

UPF (Функсияи ҳавопаймои истифодабарандаи англисӣ - функсияи ҳавопаймои корбар) - таъмин менамояд:

• Ҳамкорӣ бо шабакаҳои додаҳои беруна, аз ҷумла Интернети ҷаҳонӣ.
• Масири бастаҳои корбар.
• Тамғагузории бастаҳо мувофиқи сиёсати QoS.
• Ташхиси бастаи корбар (масалан, муайянкунии барномаҳо дар асоси имзо).
• Пешниҳоди ҳисобот дар бораи истифодаи трафик.
• UPF инчунин нуқтаи лангар барои дастгирии ҳаракат ҳам дар дохили ва ҳам дар байни технологияҳои гуногуни дастрасии радио мебошад.

UDM (Англиси ягонаи идоракунии маълумот - махзани ягона) - таъмин менамояд:

• Идоракунии маълумоти профили корбар, аз ҷумла нигоҳдорӣ ва тағир додани рӯйхати хидматҳое, ки ба корбарон дастрасанд ва параметрҳои мувофиқи онҳо.
• Идоракунӣ СУПИ
• Эҷоди эътимодномаи аутентификатсияи 3GPP AKA.
• Иҷозати дастрасӣ дар асоси маълумоти профил (масалан, маҳдудиятҳои роуминг).
• Идоракунии бақайдгирии корбарон, яъне нигоҳдории AMF-и хидматрасон.
• Дастгирии сеансҳои бефосилаи хидматрасонӣ ва иртиботӣ, яъне нигоҳдории SMF, ки ба сессияи муоширати ҷорӣ таъин шудааст.
• Идоракунии интиқоли SMS.
• Якчанд UDM-ҳои гуногун метавонанд ба як корбар дар транзаксияҳои гуногун хидмат расонанд.

UDR (англисӣ Unified Data Repository - нигаҳдории додаҳои муттаҳид) - нигоҳдории маълумоти гуногуни корбарро таъмин мекунад ва дар асл, махзани маълумотҳои ҳамаи муштариёни шабака мебошад.

UDSF (Функсияи нигоҳдории маълумотҳои сохторнашудаи англисӣ - функсияи нигоҳдории маълумот) - кафолат медиҳад, ки модулҳои AMF контекстҳои ҷории корбарони ба қайд гирифташударо ҳифз мекунанд. Умуман, ин маълумотро метавон ҳамчун маълумоти сохтори номуайян муаррифӣ кард. Контекстҳои корбарро метавон барои таъмини сеансҳои бефосила ва бефосилаи муштарӣ, ҳам ҳангоми ба нақша гирифтани яке аз AMF аз хидмат ва ҳам дар ҳолати фавқулодда истифода бурд. Дар ҳарду ҳолат, AMF-и эҳтиётӣ хидматро бо истифода аз контекстҳои дар USDF нигоҳ дошташуда "гирад".

Якҷоя кардани UDR ва UDSF дар як платформаи физикӣ як амали маъмулии ин функсияҳои шабака мебошад.

PCF (Забони англисӣ: Policy Control Function - функсияи назорати сиёсат) - барои корбарон сиёсатҳои муайяни хадамот, аз ҷумла параметрҳои QoS ва қоидаҳои пуркунии барқро эҷод ва таъин мекунад. Масалан, барои интиқоли ин ё он намуди трафик, каналҳои виртуалии дорои хусусиятҳои гуногун метавонанд ба таври динамикӣ эҷод карда шаванд. Дар баробари ин, талаботи хидмате, ки муштарӣ дархост кардааст, сатҳи бандшавии шабака, ҳаҷми трафики истеъмолшуда ва ғайраро ба назар гирифтан мумкин аст.

Неф (Function Network Exposure English - Функсияи Exposure Network) - таъмин менамояд:

• Ташкили ҳамкории бехатари платформаҳо ва замимаҳои беруна бо ядрои шабака.
• Параметрҳои QoS ва қоидаҳои барқро барои корбарони мушаххас идора кунед.

БАХР (Англисии Security Anchor Function - функсияи бехатарии лангар) - дар якҷоягӣ бо AUSF, аутентификатсияи корбаронро ҳангоми сабти ном дар шабака бо ҳама гуна технологияи дастрасӣ таъмин мекунад.

AUSF (Функсияи инглисии аутентификатсия сервер - функсияи сервери аутентификатсия) - нақши сервери аутентификатсияро мебозад, ки дархостҳоро аз SEAF қабул ва коркард мекунад ва онҳоро ба ARPF равона мекунад.

ARPF (англисӣ: Repository Authentication Credential and Processing Function - функсияи нигоҳдорӣ ва коркарди эътимодномаҳои аслӣ) - нигоҳдории калидҳои махфии шахсӣ (KI) ва параметрҳои алгоритмҳои криптографӣ, инчунин тавлиди векторҳои аутентификатсияро мувофиқи 5G-AKA ё ВА АП-АКА. Он дар маркази додаҳои оператори алоқаи хонагӣ ҷойгир буда, аз таъсири физикии беруна муҳофизат карда шудааст ва чун қоида, бо UDM муттаҳид карда шудааст.

SCMF (Функсияи идоракунии контексти амниятӣ - функсияи идоракунӣ контексти амният) - Идоракунии давраи ҳаётро барои контексти амнияти 5G таъмин мекунад.

SPCF (Function Control Policy Security - функсияи идоракунии сиёсати амният) - ҳамоҳангсозӣ ва татбиқи сиёсати амниятро дар робита бо корбарони мушаххас таъмин мекунад. Ин имкониятҳои шабака, имкониятҳои таҷҳизоти корбар ва талаботи хидмати мушаххасро ба назар мегирад (масалан, сатҳҳои муҳофизат аз ҷониби хадамоти алоқаи муҳим ва хадамоти дастрасии фарохмаҷрои бесими интернет метавонанд фарқ кунанд). Татбиқи сиёсатҳои амниятӣ инҳоро дар бар мегирад: интихоби AUSF, интихоби алгоритми аутентификатсия, интихоби рамзгузории додаҳо ва алгоритмҳои назорати якпорчагӣ, муайян кардани дарозӣ ва давраи ҳаёти калидҳо.

СИФФ (Функсияи De-concealing Identifier Subscription Subscription - функсияи истихроҷи идентификатори корбар) - истихроҷи идентификатори доимии обунаи муштариро (Тоҷикӣ SUPI) аз идентификатори пинҳонӣ (англисӣ) таъмин мекунад SUCI), дар доираи дархости расмиёти тасдиқи "Auth Info Req" гирифта шудааст.

Талаботи асосии амниятӣ барои шабакаҳои алоқаи 5G

зиёдтарАутентификатсияи корбар: Шабакаи хидматрасонии 5G бояд SUPI-и корбарро дар раванди 5G AKA байни корбар ва шабака тасдиқ кунад.

Хизматрасонии аутентификатсияи шабака: Истифодабаранда бояд ID-и шабакаи хидматрасонии 5G-ро тасдиқ кунад ва аутентификатсия тавассути истифодаи бомуваффақияти калидҳои тавассути тартиби 5G AKA ба даст овардашуда ба даст оварда шавад.

Иҷозати корбар: Шабакаи хидматрасонӣ бояд ба корбар иҷозат диҳад, ки профили корбареро, ки аз шабакаи оператори алоқаи хонагӣ гирифта шудааст, истифода барад.

Иҷозати шабакаи хидматрасонӣ аз ҷониби шабакаи оператори хонагӣ: Ба корбар бояд тасдиқи пайваст будани ӯ ба шабакаи хидматрасоние дода шавад, ки аз ҷониби шабакаи оператори хонагӣ барои пешниҳоди хидматҳо иҷозат дода шудааст. Иҷозатнома ба он маъност, ки он бо анҷоми бомуваффақияти расмиёти 5G AKA таъмин карда мешавад.

Иҷозатномаи шабакаи дастрасӣ аз ҷониби шабакаи оператори хонагӣ: Ба корбар бояд тасдиқи пайваст будани ӯ ба шабакаи дастрасӣ, ки аз ҷониби шабакаи оператори хонагӣ барои пешниҳоди хидматҳо иҷозат дода шудааст, пешниҳод карда шавад. Авторизатсия ба он маъност, ки он тавассути бомуваффақият таъсис додани амнияти шабакаи дастрасӣ амалӣ карда мешавад. Ин навъи иҷозат бояд барои ҳама гуна шабакаи дастрасӣ истифода шавад.

Хидматҳои фавқулоддаи тасдиқнашуда: Барои қонеъ кардани талаботи танзимкунанда дар баъзе минтақаҳо, шабакаҳои 5G бояд дастрасии беасосро барои хадамоти фавқулодда таъмин кунанд.

Шабакаи асосии шабака ва шабакаи дастрасии радио: Асосии шабакаи 5G ва шабакаи дастрасии радиои 5G бояд истифодаи алгоритмҳои рамзгузорӣ ва якпорчагии 128-битро барои таъмини амният дастгирӣ кунад AS и НАС. Интерфейсҳои шабакавӣ бояд калидҳои рамзгузории 256-битро дастгирӣ кунанд.

Талаботи асосии бехатарӣ барои таҷҳизоти истифодабаранда

зиёдтар

• Таҷҳизоти корбар бояд рамзгузорӣ, муҳофизати якпорчагӣ ва муҳофизатро аз ҳамлаҳои такрорӣ барои маълумоти корбар, ки байни он ва шабакаи дастрасии радио интиқол дода мешавад, дастгирӣ кунад.
• Таҷҳизоти корбар бояд механизмҳои рамзгузорӣ ва ҳифзи тамомияти маълумотро мувофиқи дастури шабакаи дастрасии радио фаъол созад.
• Таҷҳизоти корбар бояд рамзгузорӣ, муҳофизати якпорчагӣ ва муҳофизатро аз ҳамлаҳои такрорӣ барои трафики сигналии RRC ва NAS дастгирӣ кунад.
• Таҷҳизоти корбар бояд алгоритмҳои криптографии зеринро дастгирӣ кунад: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Таҷҳизоти корбар метавонад алгоритмҳои криптографии зеринро дастгирӣ кунад: 128-NEA3, 128-NIA3.
• Таҷҳизоти корбар бояд алгоритмҳои криптографии зеринро дастгирӣ кунад: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, агар он пайвастшавӣ ба шабакаи дастрасии радиои E-UTRA-ро дастгирӣ кунад.
• Ҳимояи махфияти маълумоти корбар, ки байни таҷҳизоти корбар ва шабакаи дастрасии радио интиқол дода мешавад, ихтиёрӣ аст, аммо ҳангоми иҷозати муқарраршуда бояд таъмин карда шавад.
• Муҳофизати махфият барои трафики сигнализатсияи RRC ва NAS ихтиёрӣ аст.
• Калиди доимии корбар бояд дар ҷузъҳои боэътимоди таҷҳизоти корбар ҳифз ва нигоҳ дошта шавад.
• Идентификатори обунаи доимии муштарӣ набояд дар матни равшан тавассути шабакаи дастрасии радио интиқол дода шавад, ба истиснои маълумоте, ки барои масири дуруст зарур аст (масалан MCC и МНК).
• Калиди ҷамъиятии шабакаи оператори хонагӣ, идентификатори калид, идентификатори схемаи амният ва идентификатори масир бояд дар УСИМ.

Ҳар як алгоритми рамзгузорӣ бо рақами дуӣ алоқаманд аст:

• "0000": NEA0 - Алгоритми рамзгузории нул
• "0001": 128-NEA1 - 128-бит барф Алгоритм дар асоси 3G
• "0010" 128-NEA2 - 128-бит AES алгоритми асосёфта
• "0011" 128-NEA3 - 128-бит ZUC алгоритми асосёфта.

Рамзгузории маълумот бо истифода аз 128-NEA1 ва 128-NEA2

P.S. Диаграмма аз он гирифта шудааст TS 133.501

Эҷоди замимаҳои моделиронӣ аз рӯи алгоритмҳои 128-NIA1 ва 128-NIA2 барои таъмини якпорчагӣ

P.S. Диаграмма аз он гирифта шудааст TS 133.501

Талаботи асосии амниятӣ барои функсияҳои шабакаи 5G

зиёдтар

• AMF бояд аутентификатсияи ибтидоиро бо истифода аз SUCI дастгирӣ кунад.
• SEAF бояд аутентификатсияи ибтидоиро бо истифода аз SUCI дастгирӣ кунад.
• UDM ва ARPF бояд калиди доимии корбарро нигоҳ дошта, онро аз дуздӣ эмин нигоҳ доранд.
• AUSF бояд SUPI-ро ба шабакаи маҳаллии хидматрасонӣ танҳо пас аз тасдиқи бомуваффақияти аввалия бо истифода аз SUCI таъмин кунад.
• NEF набояд маълумоти шабакаи асосии пинҳониро берун аз домени амниятии оператор интиқол диҳад.

Тартиби асосии бехатарӣ

Доменҳои боварӣ

Дар шабакаҳои насли 5, эътимод ба унсурҳои шабака коҳиш меёбад, зеро элементҳо аз ядрои шабака дур мешаванд. Ин консепсия ба қарорҳое, ки дар меъмории амнияти 5G амалӣ мешаванд, таъсир мерасонад. Ҳамин тариқ, мо метавонем дар бораи модели эътимоди шабакаҳои 5G сӯҳбат кунем, ки рафтори механизмҳои амнияти шабакаро муайян мекунад.

Дар тарафи корбар, домени боварӣ аз ҷониби UICC ва USIM ташкил карда мешавад.

Дар паҳлӯи шабака, домени эътимод сохтори мураккабтар дорад.

Шабакаи дастрасии радио ба ду қисм тақсим мешавад - DU (аз забони англисӣ Distributed Units - воҳидҳои шабакавии тақсимшуда) ва CU (аз забони англисии «Центральный водит» — звенохои марказии шабака). Якҷоя онҳо ташкил медиҳанд gNB — интерфейси радиои истгоҳи пойгоҳи шабакаи 5G. DU-ҳо ба маълумоти корбар дастрасии мустақим надоранд, зеро онҳо метавонанд дар сегментҳои инфрасохтори муҳофизатнашаванда ҷойгир карда шаванд. CU-ҳо бояд дар сегментҳои шабакаҳои муҳофизатшаванда ҷойгир карда шаванд, зеро онҳо барои қатъ кардани трафик аз механизмҳои амнияти AS масъуланд. Дар маркази шабака ҷойгир аст АФР, ки трафикро аз механизмҳои амнияти NAS қатъ мекунад. Мушаххасоти кунунии 3GPP 5G Phase 1 комбинатсияро тавсиф мекунад АФР бо функсияи бехатарӣ БАХР, дорои калиди решавӣ (инчунин бо номи "калиди лангар" маълум аст) шабакаи боздидшуда (хизматрасонӣ). AUSF барои нигоҳ доштани калиди пас аз тасдиқи бомуваффақият гирифташуда масъул аст. Он барои истифодаи такрорӣ дар ҳолатҳое зарур аст, ки корбар дар як вақт ба якчанд шабакаҳои дастрасии радио пайваст аст. ARPF маълумоти корбарро нигоҳ медорад ва аналоги USIM барои муштариён мебошад. UDR и UDM нигоҳ доштани маълумоти корбар, ки барои муайян кардани мантиқи тавлиди эътимоднома, ID-и корбар, таъмини давомнокии сессия ва ғайра истифода мешавад.

Иерархияи калидҳо ва схемаҳои тақсимоти онҳо

Дар шабакаҳои насли 5, бар хилофи шабакаҳои 4G-LTE, тартиби аутентификатсия ду ҷузъ дорад: аутентификатсияи ибтидоӣ ва дуюмдараҷа. Аутентификатсияи аввалия барои ҳамаи дастгоҳҳои корбаре, ки ба шабака пайваст мешаванд, талаб карда мешавад. Аутентификатсияи дуюмдараҷа метавонад бо дархости шабакаҳои беруна анҷом дода шавад, агар муштарӣ ба онҳо пайваст шавад.

Пас аз бомуваффақият анҷом додани аутентификатсияи аввалия ва таҳияи калиди муштараки К байни корбар ва шабака, KSEAF аз калиди К - калиди махсуси лангари (реша) шабакаи хидматрасонӣ истихроҷ карда мешавад. Баъдан, аз ин калид калидҳо тавлид мешаванд, то махфият ва якпорчагии маълумотҳои трафики сигнали RRC ва NAS таъмин карда шаванд.

Диаграмма бо шарҳҳо
Нотик:
CK Калиди рамзӣ
IK (англисӣ: Integrity Key) - калидест, ки дар механизмҳои ҳифзи тамомияти додаҳо истифода мешавад.
CK' (англ. Cipher Key) - калиди дигари криптографӣ аз CK барои механизми EAP-AKA сохта шудааст.
IK' (Калиди беайбии англисӣ) - калиди дигаре, ки дар механизмҳои ҳифзи тамомияти додаҳо барои EAP-AKA истифода мешавад.
КАУСФ - аз ҷониби функсияи ARPF ва таҷҳизоти корбар тавлидшуда аз CK и IK дар давоми 5G AKA ва EAP-AKA.
KSEAF - калиди лангар, ки бо функсияи AUSF аз калид гирифта шудааст KAMFAUSF.
КАМФ — калид, ки бо функсияи SEAF аз калид ба даст омадааст KSEAF.
KNASint, KNASec — калидҳое, ки бо функсияи AMF аз калид гирифта шудаанд КАМФ барои ҳифзи трафики сигналии NAS.
KRRCint, KRRCenc — калидҳое, ки бо функсияи AMF аз калид гирифта шудаанд КАМФ барои ҳифзи трафики сигнализатсия RRC.
KUPint, KUPenc — калидҳое, ки бо функсияи AMF аз калид гирифта шудаанд КАМФ барои муҳофизат кардани трафики AS сигнализатсия.
NH — калиди фосилавӣ, ки бо функсияи AMF аз калид гирифта мешавад КАМФ барои таъмини амнияти маълумот ҳангоми интиқол.
КгНБ — калид, ки бо функсияи AMF аз калид гирифта мешавад КАМФ таъмини бехатарии механизмхои харакаткунанда.

Нақшаҳои тавлиди SUCI аз SUPI ва баръакс

Нақшаҳо барои гирифтани SUPI ва SUCI

Истеҳсоли SUCI аз SUPI ва SUPI аз SUCI:

Сертификатсия

Аутентификатсияи ибтидоӣ

Дар шабакаҳои 5G, EAP-AKA ва 5G AKA механизмҳои ибтидоии аутентификатсия мебошанд. Механизми ибтидоии аутентификатсияро ба ду марҳила тақсим мекунем: якум барои оғози аутентификатсия ва интихоби усули аутентификатсия масъул аст, дуюм барои аутентификатсияи мутақобилан байни корбар ва шабака масъул аст.

Ташаббус

Истифодабаранда ба SEAF дархости бақайдгирӣ пешниҳод мекунад, ки дар он ID обунаи пинҳонии корбар SUCI мавҷуд аст.

SEAF ба AUSF паёми дархости аутентификатсия (Nausf_UEAuthentication_Authenticate Request) мефиристад, ки дорои SNN (Номи хидматрасонии шабака) ва SUPI ё SUCI мебошад.

AUSF тафтиш мекунад, ки оё ба дархосткунандаи аутентификатсияи SEAF иҷозати истифодаи SNN-и додашударо дорад. Агар шабакаи хидматрасонӣ барои истифодаи ин SNN иҷоза надошта бошад, пас AUSF бо паёми хатогии авторизатсия "Шабакаи хидматрасонӣ иҷозат дода нашудааст" (Nausf_UEAuthentication_Authenticate Response) ҷавоб медиҳад.

Маълумоти эътимоднома аз ҷониби AUSF ба UDM, ARPF ё SIDF тавассути SUPI ё SUCI ва SNN дархост карда мешавад.

Дар асоси SUPI ё SUCI ва маълумоти корбар, UDM/ARPF усули аутентификатсияро барои истифодаи минбаъда интихоб мекунад ва маълумоти корбарро медиҳад.

Аутентификатсияи мутақобила

Ҳангоми истифодаи ягон усули аутентификатсия, функсияҳои шабакаи UDM/ARPF бояд вектори аутентификатсия (AV) тавлид кунанд.

EAP-AKA: UDM/ARPF аввал вектори аутентификатсияро бо ҷудокунии бит AMF = 1 тавлид мекунад, сипас тавлид мекунад CK' и IK' аз он CK, IK ва SNN ва вектори аутентификатсияи нави AV-ро ташкил медиҳад (RAND, AUTN, XRES*, CK', IK'), ки ба AUSF бо дастур оид ба истифодаи он танҳо барои EAP-AKA фиристода мешавад.

5G AKA: UDM/ARPF калидро мегирад КАУСФ аз он CK, IK ва SNN, пас аз он 5G HE AV тавлид мекунад. Вектори аутентификатсияи муҳити хонагии 5G). Вектори аутентификатсияи 5G HE AV (RAND, AUTN, XRES, КАУСФ) ба AUSF бо дастур оид ба истифодаи он барои 5G танҳо AKA фиристода мешавад.

Пас аз ин AUSF калиди лангар гирифта мешавад KSEAF аз калид КАУСФ ва дархостро ба SEAF "Challenge" дар паёми "Nausf_UEAuthentication_Authenticate Response" мефиристад, ки он инчунин RAND, AUTN ва RES*-ро дар бар мегирад. Баъдан, RAND ва AUTN ба таҷҳизоти корбар бо истифода аз паёми сигналии бехатари NAS интиқол дода мешаванд. USIM-и корбар RES*-ро аз RAND ва AUTN-и гирифташуда ҳисоб мекунад ва онро ба SEAF мефиристад. SEAF ин арзишро барои тасдиқ ба AUSF интиқол медиҳад.

AUSF XRES*-и дар он захирашуда ва RES*-и аз корбар гирифташударо муқоиса мекунад. Агар мувофиқат мавҷуд бошад, AUSF ва UDM дар шабакаи хонагии оператор дар бораи аутентификатсияи муваффақ огоҳ карда мешаванд ва корбар ва SEAF мустақилона калид тавлид мекунанд. КАМФ аз он KSEAF ва SUPI барои муоширати минбаъда.

Аутентификатсияи дуюмдараҷа

Стандарти 5G аутентификатсияи ихтиёрии дуввумро дар асоси EAP-AKA байни таҷҳизоти корбар ва шабакаи берунии додаҳо дастгирӣ мекунад. Дар ин ҳолат, SMF нақши аутентификатори EAP-ро мебозад ва ба кор такя мекунад AAA-сервери шабакаи беруна, ки аутентификатсия ва иҷозати корбарро медиҳад.

• Аутентификатсияи ҳатмии ибтидоии корбар дар шабакаи хонагӣ сурат мегирад ва контексти умумии амнияти NAS бо AMF таҳия карда мешавад.
• Истифодабаранда ба AMF дархост мефиристад, то сессия таъсис диҳад.
• AMF дархост барои таъсиси сессия ба SMF бо нишон додани SUPI корбар мефиристад.
• SMF маълумоти корбарро дар UDM бо истифода аз SUPI пешниҳодшуда тасдиқ мекунад.
• SMF ба дархости AMF ҷавоб мефиристад.
• SMF расмиёти аутентификатсияи EAP-ро барои гирифтани иҷозат барои таъсиси сессия аз сервери AAA дар шабакаи беруна оғоз мекунад. Барои ин кор, SMF ва корбар мубодилаи паёмҳоро барои оғоз кардани расмиёт.
• Корбар ва сервери шабакаи берунии AAA пас аз он мубодилаи паёмҳо барои тасдиқ ва иҷозати корбар. Дар ин ҳолат, корбар паёмҳоро ба SMF мефиристад, ки дар навбати худ тавассути UPF бо шабакаи беруна паёмҳо мубодила мекунад.

хулоса

Гарчанде ки меъмории амнияти 5G ба истифодаи такрории технологияҳои мавҷуда асос ёфтааст, он мушкилоти комилан навро ба бор меорад. Шумораи зиёди дастгоҳҳои IoT, сарҳадҳои васеъшудаи шабака ва унсурҳои меъмории ғайримарказӣ танҳо баъзе аз принсипҳои асосии стандарти 5G мебошанд, ки тасаввуроти киберҷинояткоронро озод мекунанд.

Стандарти асосии меъмории амнияти 5G ин аст Нусхаи TS 23.501 15.6.0 — нуктахои асосии кори механизмхо ва тартиботи бехатариро дарбар мегирад. Аз ҷумла, он нақши ҳар як VNF-ро дар таъмини ҳифзи маълумоти корбар ва гиреҳҳои шабакавӣ, тавлиди калидҳои криптографӣ ва татбиқи расмиёти аутентификатсия тавсиф мекунад. Аммо ҳатто ин стандарт ба масъалаҳои мубрами амниятӣ, ки бо операторони телекоммуникатсионӣ рӯбарӯ мешаванд, аксар вақт шабакаҳои насли нав бо шиддат таҳия ва ба истифода дода мешаванд, ҷавоб намедиҳад.

Дар робита ба ин, ман мехостам бовар кунам, ки мушкилоти корбарӣ ва ҳифзи шабакаҳои насли 5 ба ҳеҷ ваҷҳ ба корбарони оддӣ, ки суръати интиқол ва посухҳои мисли писари як дӯсти модар ваъда дода шудааст, таъсир намерасонад ва аллакай саъй доранд, ки ҳама чизро санҷанд. имкониятҳои эълоншудаи шабакаҳои насли нав.

Пайвандҳои муфид

Силсилаи мушаххасоти 3GPP
Меъмории амнияти 5G
Меъмории системаи 5G
5G Wiki
Қайдҳои меъмории 5G
Шарҳи амнияти 5G

Манбаъ: will.com