โปรโฮสต์ > บล็อก > การบริหาร > ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

แน่นอนว่าการพัฒนามาตรฐานการสื่อสารใหม่โดยไม่ต้องคำนึงถึงกลไกด้านความปลอดภัยถือเป็นความพยายามที่น่าสงสัยและไร้ประโยชน์อย่างยิ่ง

สถาปัตยกรรมความปลอดภัย 5G — ชุดกลไกและขั้นตอนการรักษาความปลอดภัยที่นำมาใช้ เครือข่ายรุ่นที่ 5 และครอบคลุมส่วนประกอบเครือข่ายทั้งหมดตั้งแต่แกนกลางไปจนถึงอินเทอร์เฟซวิทยุ

โดยพื้นฐานแล้วเครือข่ายรุ่นที่ 5 ถือเป็นวิวัฒนาการ เครือข่าย LTE รุ่นที่ 4. เทคโนโลยีการเข้าถึงวิทยุมีการเปลี่ยนแปลงที่สำคัญที่สุด สำหรับเครือข่ายรุ่นที่ 5 ใหม่ หนู (เทคโนโลยีการเข้าถึงวิทยุ) - 5G วิทยุใหม่. สำหรับแกนหลักของเครือข่ายนั้น ยังไม่มีการเปลี่ยนแปลงที่สำคัญดังกล่าว ในเรื่องนี้ สถาปัตยกรรมความปลอดภัยของเครือข่าย 5G ได้รับการพัฒนาโดยเน้นการนำเทคโนโลยีที่เกี่ยวข้องมาใช้ซ้ำในมาตรฐาน 4G LTE

อย่างไรก็ตาม เป็นที่น่าสังเกตว่าการคิดใหม่เกี่ยวกับภัยคุกคามที่ทราบ เช่น การโจมตีอินเทอร์เฟซทางอากาศและเลเยอร์การส่งสัญญาณ (การส่งสัญญาณ เครื่องบิน), การโจมตี DDOS, การโจมตีแบบ Man-In-The-Middle ฯลฯ ทำให้ผู้ให้บริการโทรคมนาคมพัฒนามาตรฐานใหม่และรวมกลไกความปลอดภัยใหม่เข้ากับเครือข่ายรุ่นที่ 5

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

ข้อกำหนดเบื้องต้น

ในปี 2015 สหภาพโทรคมนาคมระหว่างประเทศได้จัดทำแผนระดับโลกแผนแรกสำหรับการพัฒนาเครือข่ายรุ่นที่ 5 ซึ่งเป็นสาเหตุที่ทำให้ปัญหาการพัฒนากลไกและขั้นตอนด้านความปลอดภัยในเครือข่าย XNUMXG กลายเป็นเรื่องรุนแรงโดยเฉพาะ

เทคโนโลยีใหม่นี้นำเสนอความเร็วการถ่ายโอนข้อมูลที่น่าประทับใจอย่างแท้จริง (มากกว่า 1 Gbps) เวลาแฝงน้อยกว่า 1 มิลลิวินาที และความสามารถในการเชื่อมต่ออุปกรณ์ประมาณ 1 ล้านเครื่องพร้อมกันภายในรัศมี 1 กม. 2 ข้อกำหนดสูงสุดสำหรับเครือข่ายรุ่นที่ 5 ดังกล่าวสะท้อนให้เห็นในหลักการขององค์กรด้วย

สิ่งสำคัญคือการกระจายอำนาจ ซึ่งบอกเป็นนัยถึงตำแหน่งของฐานข้อมูลท้องถิ่นจำนวนมากและศูนย์ประมวลผลที่บริเวณรอบนอกของเครือข่าย ทำให้สามารถลดความล่าช้าได้เมื่อ M2M- การสื่อสารและบรรเทาแกนเครือข่ายเนื่องจากการให้บริการอุปกรณ์ IoT จำนวนมาก ดังนั้น Edge ของเครือข่ายยุคหน้าจึงขยายไปจนถึงสถานีฐาน ทำให้สามารถสร้างศูนย์การสื่อสารในพื้นที่และการให้บริการคลาวด์ได้โดยไม่ต้องเสี่ยงต่อความล่าช้าที่สำคัญหรือการปฏิเสธการให้บริการ โดยปกติแล้ว แนวทางที่เปลี่ยนแปลงไปในด้านเครือข่ายและการบริการลูกค้าเป็นที่สนใจของผู้โจมตี เนื่องจากเป็นการเปิดโอกาสให้พวกเขาโจมตีทั้งข้อมูลที่เป็นความลับของผู้ใช้และส่วนประกอบเครือข่ายด้วยตนเอง เพื่อทำให้เกิดการปฏิเสธการให้บริการหรือยึดทรัพยากรคอมพิวเตอร์ของผู้ปฏิบัติงาน

ช่องโหว่หลักของเครือข่ายรุ่นที่ 5

พื้นผิวการโจมตีขนาดใหญ่

ขึ้นเมื่อสร้างเครือข่ายโทรคมนาคมรุ่นที่ 3 และ 4 ผู้ให้บริการโทรคมนาคมมักจะถูกจำกัดให้ทำงานร่วมกับผู้ขายหนึ่งรายหรือหลายรายที่จัดหาชุดฮาร์ดแวร์และซอฟต์แวร์ทันที นั่นคือทุกอย่างสามารถทำงานได้ตามที่พวกเขาพูดว่า "นอกกรอบ" - แค่ติดตั้งและกำหนดค่าอุปกรณ์ที่ซื้อจากผู้ขายก็เพียงพอแล้ว ไม่จำเป็นต้องเปลี่ยนหรือเสริมซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แนวโน้มสมัยใหม่สวนทางกับแนวทาง "คลาสสิก" นี้ และมุ่งเป้าไปที่การจำลองเสมือนของเครือข่าย ซึ่งเป็นแนวทางของผู้จำหน่ายหลายรายสำหรับการก่อสร้างและความหลากหลายของซอฟต์แวร์ เทคโนโลยีเช่น SDN (เครือข่ายกำหนดซอฟต์แวร์ภาษาอังกฤษ) และ NFV (การจำลองเสมือนฟังก์ชันเครือข่ายภาษาอังกฤษ) ซึ่งนำไปสู่การรวมซอฟต์แวร์จำนวนมากที่สร้างขึ้นบนพื้นฐานของโค้ดโอเพ่นซอร์สในกระบวนการและฟังก์ชันการจัดการเครือข่ายการสื่อสาร สิ่งนี้ทำให้ผู้โจมตีมีโอกาสศึกษาเครือข่ายของผู้ให้บริการได้ดีขึ้น และระบุช่องโหว่จำนวนมากขึ้น ซึ่งในทางกลับกัน จะเพิ่มพื้นที่การโจมตีของเครือข่ายรุ่นใหม่เมื่อเทียบกับเครือข่ายปัจจุบัน

อุปกรณ์ IoT จำนวนมาก

ขึ้นภายในปี 2021 อุปกรณ์ประมาณ 57% ที่เชื่อมต่อกับเครือข่าย 5G จะเป็นอุปกรณ์ IoT ซึ่งหมายความว่าโฮสต์ส่วนใหญ่จะมีความสามารถด้านการเข้ารหัสที่จำกัด (ดูจุดที่ 2) และด้วยเหตุนี้ จึงมีความเสี่ยงที่จะถูกโจมตี อุปกรณ์ดังกล่าวจำนวนมากจะเพิ่มความเสี่ยงของการแพร่กระจายของบอตเน็ต และทำให้สามารถทำการโจมตี DDoS ที่ทรงพลังและกระจายได้มากขึ้น

ความสามารถในการเข้ารหัสที่จำกัดของอุปกรณ์ IoT

ขึ้นดังที่ได้กล่าวไปแล้ว เครือข่ายรุ่นที่ 5 ใช้อุปกรณ์ต่อพ่วงอย่างจริงจัง ซึ่งทำให้สามารถลบส่วนหนึ่งของโหลดออกจากแกนเครือข่าย และลดเวลาแฝงได้ นี่เป็นสิ่งจำเป็นสำหรับบริการที่สำคัญเช่นการควบคุมยานพาหนะไร้คนขับระบบเตือนเหตุฉุกเฉิน IMS และคนอื่นๆ ที่ต้องแน่ใจว่าความล่าช้าน้อยที่สุดเป็นสิ่งสำคัญ เพราะชีวิตมนุษย์ขึ้นอยู่กับสิ่งนี้ เนื่องจากการเชื่อมต่อของอุปกรณ์ IoT จำนวนมาก ซึ่งมีทรัพยากรการประมวลผลที่จำกัด เนื่องจากมีขนาดเล็กและใช้พลังงานต่ำ เครือข่าย 5G จึงเสี่ยงต่อการโจมตีที่มีเป้าหมายเพื่อสกัดกั้นการควบคุมและการจัดการอุปกรณ์ดังกล่าวในภายหลัง ตัวอย่างเช่น อาจมีสถานการณ์ที่อุปกรณ์ IoT ที่เป็นส่วนหนึ่งของระบบติดไวรัส "บ้านอัจฉริยะ" ประเภทของมัลแวร์ เช่น แรนซัมแวร์และแรนซัมแวร์. สถานการณ์การสกัดกั้นการควบคุมยานพาหนะไร้คนขับที่รับคำสั่งและข้อมูลการนำทางผ่านคลาวด์ก็เป็นไปได้เช่นกัน อย่างเป็นทางการ ช่องโหว่นี้เกิดจากการกระจายอำนาจของเครือข่ายรุ่นใหม่ แต่ย่อหน้าถัดไปจะสรุปปัญหาของการกระจายอำนาจให้ชัดเจนยิ่งขึ้น

การกระจายอำนาจและการขยายขอบเขตเครือข่าย

ขึ้นอุปกรณ์ต่อพ่วงซึ่งมีบทบาทเป็นคอร์เครือข่ายท้องถิ่น ดำเนินการกำหนดเส้นทางการรับส่งข้อมูลของผู้ใช้ ประมวลผลคำขอ ตลอดจนแคชในเครื่องและการจัดเก็บข้อมูลผู้ใช้ ดังนั้น ขอบเขตของเครือข่ายรุ่นที่ 5 จึงขยายออกไป นอกเหนือจากแกนหลัก ไปจนถึงอุปกรณ์รอบนอก รวมถึงฐานข้อมูลท้องถิ่นและอินเทอร์เฟซวิทยุ 5G-NR (5G New Radio) สิ่งนี้สร้างโอกาสในการโจมตีทรัพยากรการประมวลผลของอุปกรณ์ในเครื่องซึ่งมีการป้องกันที่อ่อนแอกว่าโหนดกลางของแกนเครือข่าย โดยมีเป้าหมายในการทำให้เกิดการปฏิเสธการบริการ ซึ่งอาจนำไปสู่การขาดการเชื่อมต่ออินเทอร์เน็ตทั่วทั้งพื้นที่ การทำงานที่ไม่ถูกต้องของอุปกรณ์ IoT (เช่น ในระบบสมาร์ทโฮม) รวมถึงบริการแจ้งเตือนเหตุฉุกเฉิน IMS ไม่พร้อมใช้งาน

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

อย่างไรก็ตาม ETSI และ 3GPP ได้เผยแพร่มาตรฐานมากกว่า 10 มาตรฐานที่ครอบคลุมแง่มุมต่างๆ ของการรักษาความปลอดภัยเครือข่าย 5G กลไกส่วนใหญ่ที่อธิบายไว้มีวัตถุประสงค์เพื่อป้องกันช่องโหว่ (รวมถึงกลไกที่อธิบายไว้ข้างต้น) หนึ่งในสิ่งสำคัญคือมาตรฐาน TS 23.501 เวอร์ชัน 15.6.0อธิบายสถาปัตยกรรมความปลอดภัยของเครือข่ายรุ่นที่ 5

สถาปัตยกรรม 5G

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ
ก่อนอื่น มาดูหลักการสำคัญของสถาปัตยกรรมเครือข่าย 5G ซึ่งจะเปิดเผยความหมายและขอบเขตความรับผิดชอบของแต่ละโมดูลซอฟต์แวร์และฟังก์ชันความปลอดภัย 5G แต่ละรายการอย่างละเอียดยิ่งขึ้น

  • การแบ่งโหนดเครือข่ายออกเป็นองค์ประกอบที่รับรองการทำงานของโปรโตคอล เครื่องบินที่กำหนดเอง (จากภาษาอังกฤษ UP - User Plane) และองค์ประกอบที่รับรองการทำงานของโปรโตคอล เครื่องบินควบคุม (จากภาษาอังกฤษ CP - Control Plane) ซึ่งเพิ่มความยืดหยุ่นในแง่ของการปรับขนาดและการปรับใช้เครือข่าย เช่น การวางตำแหน่งแบบรวมศูนย์หรือแบบกระจายอำนาจของโหนดเครือข่ายส่วนประกอบแต่ละส่วนนั้นเป็นไปได้
  • รองรับกลไก การแบ่งเครือข่ายขึ้นอยู่กับบริการที่มอบให้กับกลุ่มผู้ใช้ปลายทางที่เฉพาะเจาะจง
  • การนำองค์ประกอบเครือข่ายไปใช้ในรูปแบบ ฟังก์ชั่นเครือข่ายเสมือน.
  • รองรับการเข้าถึงบริการแบบรวมศูนย์และบริการท้องถิ่นพร้อมกัน เช่น การนำแนวคิดระบบคลาวด์ไปใช้ (จากภาษาอังกฤษ. คอมพิวเตอร์หมอก) และเส้นขอบ (จากภาษาอังกฤษ. การคำนวณที่ทันสมัย) การคำนวณ
  • การดำเนินงาน มาบรรจบกัน สถาปัตยกรรมที่รวมเครือข่ายการเข้าถึงประเภทต่างๆ - 3GPP 5G New Radio และ ไม่ใช่ 3GPP (Wi-Fi ฯลฯ) - ด้วยแกนเครือข่ายเดียว
  • รองรับอัลกอริธึมและขั้นตอนการตรวจสอบความถูกต้องแบบเดียวกัน โดยไม่คำนึงถึงประเภทของเครือข่ายการเข้าถึง
  • รองรับฟังก์ชันเครือข่ายไร้สัญชาติ ซึ่งทรัพยากรที่คำนวณจะถูกแยกออกจากที่เก็บทรัพยากร
  • รองรับการโรมมิ่งด้วยการกำหนดเส้นทางการรับส่งข้อมูลทั้งผ่านเครือข่ายภายในบ้าน (จากการโรมมิ่งแบบกำหนดเส้นทางที่บ้านในภาษาอังกฤษ) และด้วย "การลงจอด" ในพื้นที่ (จากฝ่าวงล้อมท้องถิ่นภาษาอังกฤษ) ในเครือข่ายแขก
  • การโต้ตอบระหว่างฟังก์ชันเครือข่ายจะแสดงได้สองวิธี: มุ่งเน้นการบริการ и อินเตอร์เฟซ.

แนวคิดความปลอดภัยเครือข่ายรุ่นที่ 5 ประกอบด้วย:

  • การตรวจสอบผู้ใช้จากเครือข่าย
  • การรับรองความถูกต้องเครือข่ายโดยผู้ใช้
  • การเจรจาต่อรองคีย์เข้ารหัสระหว่างเครือข่ายและอุปกรณ์ของผู้ใช้
  • การเข้ารหัสและการควบคุมความสมบูรณ์ของการรับส่งข้อมูลการส่งสัญญาณ
  • การเข้ารหัสและการควบคุมความสมบูรณ์ของการรับส่งข้อมูลของผู้ใช้
  • การป้องกันรหัสผู้ใช้
  • การปกป้องอินเทอร์เฟซระหว่างองค์ประกอบเครือข่ายที่แตกต่างกันตามแนวคิดของโดเมนความปลอดภัยเครือข่าย
  • การแยกชั้นกลไกต่างๆ การแบ่งเครือข่าย และกำหนดระดับความปลอดภัยของแต่ละเลเยอร์
  • การรับรองความถูกต้องผู้ใช้และการป้องกันการรับส่งข้อมูลในระดับบริการปลายทาง (IMS, IoT และอื่น ๆ )

โมดูลซอฟต์แวร์หลักและคุณสมบัติความปลอดภัยเครือข่าย 5G

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ สารเลว (จากฟังก์ชันการจัดการการเข้าถึงและการเคลื่อนไหวภาษาอังกฤษ - ฟังก์ชันการจัดการการเข้าถึงและการเคลื่อนไหว) - ให้:

  • การจัดระเบียบอินเทอร์เฟซระนาบควบคุม
  • องค์กรของการแลกเปลี่ยนสัญญาณจราจร RRCการเข้ารหัสและการปกป้องความสมบูรณ์ของข้อมูล
  • องค์กรของการแลกเปลี่ยนสัญญาณจราจร NASการเข้ารหัสและการปกป้องความสมบูรณ์ของข้อมูล
  • การจัดการการลงทะเบียนอุปกรณ์ของผู้ใช้บนเครือข่ายและการตรวจสอบสถานะการลงทะเบียนที่เป็นไปได้
  • การจัดการการเชื่อมต่ออุปกรณ์ของผู้ใช้กับเครือข่ายและการตรวจสอบสถานะที่เป็นไปได้
  • ควบคุมความพร้อมใช้งานของอุปกรณ์ผู้ใช้บนเครือข่ายในสถานะ CM-IDLE
  • การจัดการความคล่องตัวของอุปกรณ์ผู้ใช้ในเครือข่ายในสถานะ CM-CONNECTED
  • การส่งข้อความสั้นระหว่างอุปกรณ์ของผู้ใช้และ SMF
  • การจัดการบริการตำแหน่ง
  • การจัดสรร ID เธรด EPS เพื่อโต้ตอบกับ EPS

SMF (ภาษาอังกฤษ: ฟังก์ชันการจัดการเซสชัน - ฟังก์ชันการจัดการเซสชัน) - ให้:

  • การจัดการเซสชันการสื่อสาร เช่น การสร้าง การแก้ไข และการเปิดตัวเซสชัน รวมถึงการรักษาช่องสัญญาณระหว่างเครือข่ายการเข้าถึงและ UPF
  • การจัดจำหน่ายและการจัดการที่อยู่ IP ของอุปกรณ์ของผู้ใช้
  • การเลือกเกตเวย์ UPF ที่จะใช้
  • องค์กรของการมีปฏิสัมพันธ์กับ PCF
  • การจัดการบังคับใช้นโยบาย QoS.
  • การกำหนดค่าแบบไดนามิกของอุปกรณ์ผู้ใช้โดยใช้โปรโตคอล DHCPv4 และ DHCPv6
  • ตรวจสอบการรวบรวมข้อมูลภาษีและการจัดระเบียบปฏิสัมพันธ์กับระบบการเรียกเก็บเงิน
  • การให้บริการที่ราบรื่น (จากภาษาอังกฤษ. SSC - ความต่อเนื่องของเซสชันและบริการ).
  • การโต้ตอบกับเครือข่ายแขกภายในการโรมมิ่ง

UPF (ฟังก์ชันระนาบผู้ใช้ภาษาอังกฤษ - ฟังก์ชันระนาบผู้ใช้) - ให้:

  • การโต้ตอบกับเครือข่ายข้อมูลภายนอก รวมถึงอินเทอร์เน็ตทั่วโลก
  • การกำหนดเส้นทางแพ็กเก็ตผู้ใช้
  • การทำเครื่องหมายแพ็คเก็ตตามนโยบาย QoS
  • การวินิจฉัยแพ็คเกจผู้ใช้ (เช่น การตรวจหาแอปพลิเคชันตามลายเซ็น)
  • จัดทำรายงานการใช้สัญจร
  • UPF ยังเป็นจุดยึดในการรองรับการเคลื่อนที่ทั้งภายในและระหว่างเทคโนโลยีการเข้าถึงวิทยุที่แตกต่างกัน

ยูดีเอ็ม (การจัดการข้อมูลแบบครบวงจรภาษาอังกฤษ - ฐานข้อมูลแบบรวม) - ให้:

  • การจัดการข้อมูลโปรไฟล์ผู้ใช้ รวมถึงการจัดเก็บและแก้ไขรายการบริการที่ผู้ใช้สามารถใช้ได้และพารามิเตอร์ที่เกี่ยวข้อง
  • Управление สุปี
  • สร้างข้อมูลประจำตัวการตรวจสอบสิทธิ์ 3GPP AKA.
  • การอนุญาตการเข้าถึงตามข้อมูลโปรไฟล์ (เช่น ข้อจำกัดในการโรมมิ่ง)
  • การจัดการการลงทะเบียนผู้ใช้ เช่น การจัดเก็บบริการ AMF
  • รองรับเซสชันบริการและการสื่อสารที่ราบรื่น เช่น การจัดเก็บ SMF ที่กำหนดให้กับเซสชันการสื่อสารปัจจุบัน
  • การจัดการการส่ง SMS
  • UDM ที่แตกต่างกันหลายรายการสามารถให้บริการผู้ใช้รายเดียวกันในธุรกรรมที่ต่างกันได้

UDR (English Unified Data Repository - การจัดเก็บข้อมูลแบบครบวงจร) - ให้การจัดเก็บข้อมูลผู้ใช้ที่หลากหลายและในความเป็นจริงแล้วเป็นฐานข้อมูลของสมาชิกเครือข่ายทั้งหมด

สสส (ฟังก์ชันการจัดเก็บข้อมูลที่ไม่มีโครงสร้างภาษาอังกฤษ - ฟังก์ชันการจัดเก็บข้อมูลที่ไม่มีโครงสร้าง) - ช่วยให้มั่นใจได้ว่าโมดูล AMF จะบันทึกบริบทปัจจุบันของผู้ใช้ที่ลงทะเบียน โดยทั่วไปข้อมูลนี้สามารถนำเสนอเป็นข้อมูลที่มีโครงสร้างไม่แน่นอนได้ บริบทผู้ใช้สามารถใช้เพื่อรับรองเซสชันสมาชิกที่ราบรื่นและไม่สะดุด ทั้งในระหว่างการถอน AMF อันใดอันหนึ่งออกจากบริการตามแผน และในกรณีฉุกเฉิน ในทั้งสองกรณี AMF สำรองจะ "รับ" บริการโดยใช้บริบทที่จัดเก็บไว้ใน USDF

การรวม UDR และ UDSF บนแพลตฟอร์มทางกายภาพเดียวกันถือเป็นการนำฟังก์ชันเครือข่ายเหล่านี้ไปใช้โดยทั่วไป

PCF (ภาษาอังกฤษ: ฟังก์ชันการควบคุมนโยบาย - ฟังก์ชันการควบคุมนโยบาย) - สร้างและกำหนดนโยบายการบริการบางอย่างให้กับผู้ใช้ รวมถึงพารามิเตอร์ QoS และกฎการชาร์จ ตัวอย่างเช่น หากต้องการส่งการรับส่งข้อมูลประเภทใดประเภทหนึ่ง สามารถสร้างช่องทางเสมือนที่มีลักษณะแตกต่างกันได้แบบไดนามิก ในเวลาเดียวกัน สามารถพิจารณาข้อกำหนดของบริการที่ผู้ใช้บริการร้องขอ ระดับความแออัดของเครือข่าย ปริมาณการรับส่งข้อมูลที่ใช้ ฯลฯ สามารถนำมาพิจารณาได้

NEF (ฟังก์ชั่นการรับแสงเครือข่ายภาษาอังกฤษ - ฟังก์ชั่นการรับแสงเครือข่าย) - ให้:

  • จัดระเบียบการโต้ตอบที่ปลอดภัยของแพลตฟอร์มและแอปพลิเคชันภายนอกด้วยแกนเครือข่าย
  • จัดการพารามิเตอร์ QoS และกฎการชาร์จสำหรับผู้ใช้เฉพาะ

ทะเล (ฟังก์ชัน Anchor Security ภาษาอังกฤษ - ฟังก์ชัน Anchor Security) - ร่วมกับ AUSF ให้การรับรองความถูกต้องของผู้ใช้เมื่อพวกเขาลงทะเบียนบนเครือข่ายด้วยเทคโนโลยีการเข้าถึงใด ๆ

Ausf (ฟังก์ชันเซิร์ฟเวอร์การรับรองความถูกต้องภาษาอังกฤษ - ฟังก์ชันเซิร์ฟเวอร์การตรวจสอบความถูกต้อง) - มีบทบาทเป็นเซิร์ฟเวอร์การตรวจสอบความถูกต้องที่รับและประมวลผลคำขอจาก SEAF และเปลี่ยนเส้นทางไปยัง ARPF

เออาร์พีเอฟ (ภาษาอังกฤษ: Authentication Credential Repository and Processing Function - ฟังก์ชันการจัดเก็บและประมวลผลข้อมูลรับรองการตรวจสอบความถูกต้อง) - ให้การจัดเก็บคีย์ลับส่วนบุคคล (KI) และพารามิเตอร์ของอัลกอริธึมการเข้ารหัสตลอดจนการสร้างเวกเตอร์การตรวจสอบความถูกต้องตาม 5G-AKA หรือ EAP-อาคา ตั้งอยู่ในศูนย์ข้อมูลของผู้ให้บริการโทรคมนาคมภายในบ้าน ได้รับการปกป้องจากอิทธิพลทางกายภาพภายนอก และตามกฎแล้ว จะรวมเข้ากับ UDM

สคเอ็มเอฟ (ฟังก์ชันการจัดการบริบทความปลอดภัยภาษาอังกฤษ - ฟังก์ชันการจัดการ บริบทด้านความปลอดภัย) - ให้การจัดการวงจรการใช้งานสำหรับบริบทด้านความปลอดภัย 5G

SPCF (ฟังก์ชันการควบคุมนโยบายความปลอดภัยภาษาอังกฤษ - ฟังก์ชันการจัดการนโยบายความปลอดภัย) - ช่วยให้มั่นใจในการประสานงานและการประยุกต์ใช้นโยบายความปลอดภัยที่เกี่ยวข้องกับผู้ใช้เฉพาะ โดยคำนึงถึงความสามารถของเครือข่าย ความสามารถของอุปกรณ์ของผู้ใช้ และข้อกำหนดของบริการเฉพาะ (เช่น ระดับการป้องกันที่ได้รับจากบริการการสื่อสารที่สำคัญและบริการการเข้าถึงอินเทอร์เน็ตบรอดแบนด์ไร้สายอาจแตกต่างกัน) การใช้นโยบายความปลอดภัยประกอบด้วย: การเลือก AUSF, การเลือกอัลกอริธึมการรับรองความถูกต้อง, การเลือกอัลกอริธึมการเข้ารหัสข้อมูลและการควบคุมความสมบูรณ์, การกำหนดความยาวและวงจรชีวิตของคีย์

ซิดเอฟ (ฟังก์ชันยกเลิกการปกปิดตัวระบุการสมัครสมาชิกภาษาอังกฤษ - ฟังก์ชันการแยกตัวระบุผู้ใช้) - ช่วยให้มั่นใจได้ถึงการแยกตัวระบุการสมัครสมาชิกถาวรของผู้สมัครสมาชิก (SUPI ภาษาอังกฤษ) จากตัวระบุที่ซ่อนอยู่ (ภาษาอังกฤษ สสจ) ซึ่งได้รับเป็นส่วนหนึ่งของคำขอขั้นตอนการรับรองความถูกต้อง “Auth Info Req”

ข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานสำหรับเครือข่ายการสื่อสาร 5G

ขึ้นการตรวจสอบผู้ใช้: เครือข่าย 5G ที่ให้บริการจะต้องตรวจสอบสิทธิ์ SUPI ของผู้ใช้ในกระบวนการ 5G AKA ระหว่างผู้ใช้และเครือข่าย

ให้บริการรับรองความถูกต้องเครือข่าย: ผู้ใช้จะต้องตรวจสอบความถูกต้องของรหัสเครือข่ายที่ให้บริการ 5G ด้วยการตรวจสอบความถูกต้องที่เกิดขึ้นจากการใช้คีย์ที่ได้รับผ่านขั้นตอน 5G AKA ได้สำเร็จ

การอนุญาตผู้ใช้: เครือข่ายที่ให้บริการจะต้องอนุญาตผู้ใช้โดยใช้โปรไฟล์ผู้ใช้ที่ได้รับจากเครือข่ายของผู้ให้บริการโทรคมนาคมภายในบ้าน

การอนุญาตเครือข่ายที่ให้บริการโดยเครือข่ายผู้ให้บริการภายในบ้าน: ผู้ใช้จะต้องได้รับการยืนยันว่าเขาเชื่อมต่อกับเครือข่ายบริการที่ได้รับอนุญาตจากเครือข่ายผู้ให้บริการที่บ้านเพื่อให้บริการ การอนุญาตนั้นมีความหมายโดยนัยในแง่ที่รับประกันได้ว่ากระบวนการ 5G AKA จะเสร็จสมบูรณ์

การอนุญาตการเข้าถึงเครือข่ายโดยเครือข่ายผู้ให้บริการภายในบ้าน: ผู้ใช้จะต้องได้รับการยืนยันว่าเขาเชื่อมต่อกับเครือข่ายการเข้าถึงที่ได้รับอนุญาตจากเครือข่ายผู้ให้บริการที่บ้านเพื่อให้บริการ การอนุญาตนั้นมีความหมายโดยนัยในแง่ที่ว่ามันถูกบังคับใช้โดยการสร้างความปลอดภัยของเครือข่ายการเข้าถึงได้สำเร็จ การอนุญาตประเภทนี้จะต้องใช้สำหรับเครือข่ายการเข้าถึงทุกประเภท

บริการฉุกเฉินที่ไม่ได้รับการรับรองความถูกต้อง: เพื่อให้เป็นไปตามข้อกำหนดด้านกฎระเบียบในบางภูมิภาค เครือข่าย 5G จะต้องจัดให้มีการเข้าถึงบริการฉุกเฉินโดยไม่ผ่านการตรวจสอบสิทธิ์

แกนเครือข่ายและเครือข่ายการเข้าถึงวิทยุ: แกนเครือข่าย 5G และเครือข่ายการเข้าถึงวิทยุ 5G จะต้องรองรับการใช้การเข้ารหัส 128 บิตและอัลกอริธึมความสมบูรณ์เพื่อความปลอดภัย AS и NAS. อินเทอร์เฟซเครือข่ายต้องรองรับคีย์เข้ารหัส 256 บิต

ข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานสำหรับอุปกรณ์ของผู้ใช้

ขึ้น

  • อุปกรณ์ของผู้ใช้ต้องรองรับการเข้ารหัส การปกป้องความสมบูรณ์ และการป้องกันการโจมตีซ้ำสำหรับข้อมูลผู้ใช้ที่ส่งระหว่างอุปกรณ์กับเครือข่ายการเข้าถึงวิทยุ
  • อุปกรณ์ของผู้ใช้จะต้องเปิดใช้งานกลไกการเข้ารหัสและการปกป้องความสมบูรณ์ของข้อมูลตามที่กำหนดโดยเครือข่ายการเข้าถึงวิทยุ
  • อุปกรณ์ผู้ใช้ต้องรองรับการเข้ารหัส การปกป้องความสมบูรณ์ และการป้องกันการโจมตีซ้ำสำหรับการรับส่งข้อมูล RRC และ NAS
  • อุปกรณ์ผู้ใช้จะต้องรองรับอัลกอริธึมการเข้ารหัสต่อไปนี้: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • อุปกรณ์ผู้ใช้สามารถรองรับอัลกอริธึมการเข้ารหัสต่อไปนี้: 128-NEA3, 128-NIA3
  • อุปกรณ์ผู้ใช้ต้องรองรับอัลกอริธึมการเข้ารหัสต่อไปนี้: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 หากรองรับการเชื่อมต่อกับเครือข่ายการเข้าถึงวิทยุ E-UTRA
  • การปกป้องความลับของข้อมูลผู้ใช้ที่ส่งระหว่างอุปกรณ์ของผู้ใช้และเครือข่ายการเข้าถึงวิทยุเป็นทางเลือก แต่ต้องจัดให้มีเมื่อใดก็ตามที่ได้รับอนุญาตตามกฎระเบียบ
  • การป้องกันความเป็นส่วนตัวสำหรับการรับส่งข้อมูลสัญญาณ RRC และ NAS เป็นทางเลือก
  • กุญแจถาวรของผู้ใช้จะต้องได้รับการปกป้องและจัดเก็บไว้ในส่วนประกอบที่ปลอดภัยของอุปกรณ์ของผู้ใช้
  • ตัวระบุการสมัครสมาชิกถาวรของผู้สมัครสมาชิกไม่ควรส่งเป็นข้อความที่ชัดเจนผ่านเครือข่ายการเข้าถึงวิทยุ ยกเว้นข้อมูลที่จำเป็นสำหรับการกำหนดเส้นทางที่ถูกต้อง (เช่น MCC и MNC).
  • คีย์สาธารณะเครือข่ายของผู้ให้บริการที่บ้าน ตัวระบุคีย์ ตัวระบุรูปแบบการรักษาความปลอดภัย และตัวระบุเส้นทางจะต้องถูกจัดเก็บไว้ใน ยูซิม.

แต่ละอัลกอริธึมการเข้ารหัสจะเชื่อมโยงกับเลขฐานสอง:

  • "0000": NEA0 - อัลกอริธึมการเข้ารหัสแบบ Null
  • "0001": 128-NEA1 - 128 บิต หิมะ อัลกอริธึมที่ใช้ 3G
  • "0010" 128-NEA2 - 128 บิต AES อัลกอริธึมพื้นฐาน
  • "0011" 128-NEA3 - 128 บิต ซูค อัลกอริธึมพื้นฐาน

การเข้ารหัสข้อมูลโดยใช้ 128-NEA1 และ 128-NEA2ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

ป.ล. วงจรนี้ยืมมาจาก TS 133.501

การสร้างเม็ดมีดจำลองด้วยอัลกอริธึม 128-NIA1 และ 128-NIA2 เพื่อให้มั่นใจถึงความสมบูรณ์ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

ป.ล. วงจรนี้ยืมมาจาก TS 133.501

ข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานสำหรับฟังก์ชันเครือข่าย 5G

ขึ้น

  • AMF ต้องรองรับการรับรองความถูกต้องหลักโดยใช้ SUCI
  • SEAF ต้องรองรับการรับรองความถูกต้องหลักโดยใช้ SUCI
  • UDM และ ARPF ต้องจัดเก็บคีย์ถาวรของผู้ใช้และตรวจสอบให้แน่ใจว่าได้รับการป้องกันการโจรกรรม
  • AUSF จะมอบ SUPI ให้กับเครือข่ายที่ให้บริการเฉพาะที่เมื่อการรับรองความถูกต้องเบื้องต้นสำเร็จโดยใช้ SUCI เท่านั้น
  • NEF จะต้องไม่ส่งต่อข้อมูลเครือข่ายหลักที่ซ่อนอยู่นอกโดเมนความปลอดภัยของผู้ให้บริการ

ขั้นตอนความปลอดภัยขั้นพื้นฐาน

เชื่อถือโดเมน

ในเครือข่ายรุ่นที่ 5 ความน่าเชื่อถือในองค์ประกอบเครือข่ายจะลดลงเมื่อองค์ประกอบต่างๆ ย้ายออกจากแกนหลักของเครือข่าย แนวคิดนี้มีอิทธิพลต่อการตัดสินใจที่นำมาใช้ในสถาปัตยกรรมความปลอดภัย 5G ดังนั้นเราจึงสามารถพูดถึงโมเดลความน่าเชื่อถือของเครือข่าย 5G ที่กำหนดพฤติกรรมของกลไกความปลอดภัยของเครือข่ายได้

ในด้านผู้ใช้ โดเมนที่เชื่อถือได้ถูกสร้างขึ้นโดย UICC และ USIM

ในด้านเครือข่าย โดเมนที่เชื่อถือได้มีโครงสร้างที่ซับซ้อนมากขึ้น

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ เครือข่ายการเข้าถึงวิทยุแบ่งออกเป็นสององค์ประกอบ - DU (จากหน่วยกระจายภาษาอังกฤษ - หน่วยเครือข่ายแบบกระจาย) และ CU (จากหน่วยกลางภาษาอังกฤษ - หน่วยกลางของเครือข่าย) พวกเขารวมตัวกันเป็น จีเอ็นบี — อินเทอร์เฟซวิทยุของสถานีฐานเครือข่าย 5G DU ไม่มีสิทธิ์เข้าถึงข้อมูลผู้ใช้โดยตรง เนื่องจากสามารถนำไปใช้งานบนเซ็กเมนต์โครงสร้างพื้นฐานที่ไม่ได้รับการป้องกันได้ CU ต้องได้รับการปรับใช้ในส่วนเครือข่ายที่ได้รับการป้องกัน เนื่องจากมีหน้าที่ในการยุติการรับส่งข้อมูลจากกลไกความปลอดภัยของ AS ที่แกนกลางของเครือข่ายตั้งอยู่ สารเลวซึ่งยุติการรับส่งข้อมูลจากกลไกความปลอดภัยของ NAS ข้อมูลจำเพาะ 3GPP 5G Phase 1 ปัจจุบันอธิบายถึงการรวมกัน สารเลว ด้วยฟังก์ชั่นความปลอดภัย ทะเลซึ่งมีคีย์รูท (หรือที่เรียกว่า "คีย์แองเคอร์") ของเครือข่ายที่เยี่ยมชม (ให้บริการ) Ausf มีหน้าที่จัดเก็บคีย์ที่ได้รับหลังจากการรับรองความถูกต้องสำเร็จ จำเป็นสำหรับการนำกลับมาใช้ใหม่ในกรณีที่ผู้ใช้เชื่อมต่อกับเครือข่ายการเข้าถึงวิทยุหลายเครือข่ายพร้อมกัน เออาร์พีเอฟ จัดเก็บข้อมูลรับรองผู้ใช้และเป็นอะนาล็อกของ USIM สำหรับสมาชิก UDR и ยูดีเอ็ม จัดเก็บข้อมูลผู้ใช้ ซึ่งใช้ในการกำหนดตรรกะสำหรับการสร้างข้อมูลประจำตัว รหัสผู้ใช้ การรับรองความต่อเนื่องของเซสชัน ฯลฯ

ลำดับชั้นของคีย์และแผนการแจกจ่าย

ในเครือข่ายรุ่นที่ 5 ซึ่งแตกต่างจากเครือข่าย 4G-LTE ขั้นตอนการตรวจสอบความถูกต้องมีสององค์ประกอบ: การตรวจสอบความถูกต้องหลักและรอง จำเป็นต้องมีการรับรองความถูกต้องหลักสำหรับอุปกรณ์ผู้ใช้ทั้งหมดที่เชื่อมต่อกับเครือข่าย การรับรองความถูกต้องรองสามารถทำได้เมื่อมีการร้องขอจากเครือข่ายภายนอก หากผู้สมัครสมาชิกเชื่อมต่อกับเครือข่ายเหล่านั้น

หลังจากเสร็จสิ้นการรับรองความถูกต้องหลักและการพัฒนาคีย์ K ที่ใช้ร่วมกันระหว่างผู้ใช้และเครือข่ายแล้ว KSEAF จะถูกแยกออกจากคีย์ K ซึ่งเป็นคีย์ Anchor (root) พิเศษของเครือข่ายที่ให้บริการ จากนั้น คีย์จะถูกสร้างขึ้นจากคีย์นี้เพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูลการรับส่งข้อมูลการส่งสัญญาณ RRC และ NAS

แผนภาพพร้อมคำอธิบายข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ
การกำหนด:
CK รหัสคีย์
IK (อังกฤษ: Integrity Key) - คีย์ที่ใช้ในกลไกการปกป้องความสมบูรณ์ของข้อมูล
ซีเค' (eng. Cipher Key) - คีย์เข้ารหัสอื่นที่สร้างจาก CK สำหรับกลไก EAP-AKA
ไอเค' (คีย์ความสมบูรณ์ภาษาอังกฤษ) - คีย์อื่นที่ใช้ในกลไกการปกป้องความสมบูรณ์ของข้อมูลสำหรับ EAP-AKA
เคออส - สร้างโดยฟังก์ชัน ARPF และอุปกรณ์ผู้ใช้จาก CK и IK ในช่วง 5G AKA และ EAP-AKA
กศน - คีย์จุดยึดที่ได้รับจากฟังก์ชัน AUSF จากคีย์ คัมฟอฟ.
คาเอ็มเอฟ — คีย์ที่ได้รับจากฟังก์ชัน SEAF จากคีย์ กศน.
เคเอ็นซินท์, KNASec — คีย์ที่ได้รับจากฟังก์ชัน AMF จากคีย์ คาเอ็มเอฟ เพื่อปกป้องการรับส่งข้อมูลสัญญาณ NAS
KRRCint, KRRCenc — คีย์ที่ได้รับจากฟังก์ชัน AMF จากคีย์ คาเอ็มเอฟ เพื่อป้องกันการรับส่งข้อมูลสัญญาณ RRC
กพ, KUPenc — คีย์ที่ได้รับจากฟังก์ชัน AMF จากคีย์ คาเอ็มเอฟ เพื่อป้องกันการรับส่งข้อมูลสัญญาณ AS
NH — คีย์กลางที่ได้รับจากฟังก์ชัน AMF จากคีย์ คาเอ็มเอฟ เพื่อรับรองความปลอดภัยของข้อมูลในระหว่างการส่งมอบ
กก.น — คีย์ที่ได้รับจากฟังก์ชัน AMF จากคีย์ คาเอ็มเอฟ เพื่อรับรองความปลอดภัยของกลไกการเคลื่อนที่

แผนการสร้าง SUCI จาก SUPI และในทางกลับกัน

แผนการรับ SUPI และ SUCI

การผลิต SUCI จาก SUPI และ SUPI จาก SUCI:
ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

การรับรอง

การรับรองความถูกต้องหลัก

ในเครือข่าย 5G EAP-AKA และ 5G AKA เป็นกลไกการตรวจสอบสิทธิ์หลักมาตรฐาน แบ่งกลไกการตรวจสอบสิทธิ์หลักออกเป็นสองขั้นตอน: ขั้นแรกมีหน้าที่รับผิดชอบในการเริ่มต้นการตรวจสอบสิทธิ์และเลือกวิธีการตรวจสอบสิทธิ์ ส่วนที่สองรับผิดชอบในการตรวจสอบความถูกต้องร่วมกันระหว่างผู้ใช้และเครือข่าย

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

การเริ่มต้น

ผู้ใช้ส่งคำขอลงทะเบียนไปที่ SEAF ซึ่งมี ID การสมัครสมาชิกที่ซ่อนอยู่ของผู้ใช้ SUCI

SEAF ส่งข้อความคำขอการรับรองความถูกต้อง (Nausf_UEAuthentication_Authenticate Request) ให้กับ AUSF ที่มี SNN (ชื่อเครือข่ายที่ให้บริการ) และ SUPI หรือ SUCI

AUSF ตรวจสอบว่าผู้ร้องขอการรับรองความถูกต้อง SEAF ได้รับอนุญาตให้ใช้ SNN ที่กำหนดหรือไม่ หากเครือข่ายที่ให้บริการไม่ได้รับอนุญาตให้ใช้ SNN นี้ AUSF จะตอบกลับพร้อมข้อความแสดงข้อผิดพลาดในการให้สิทธิ์ “เครือข่ายที่ให้บริการไม่ได้รับอนุญาต” (Nausf_UEAuthentication_Authenticate Response)

ข้อมูลรับรองการตรวจสอบความถูกต้องได้รับการร้องขอโดย AUSF ถึง UDM, ARPF หรือ SIDF ผ่าน SUPI หรือ SUCI และ SNN

ตาม SUPI หรือ SUCI และข้อมูลผู้ใช้ UDM/ARPF เลือกวิธีการตรวจสอบสิทธิ์เพื่อใช้ถัดไป และออกข้อมูลประจำตัวของผู้ใช้

การรับรองความถูกต้องร่วมกัน

เมื่อใช้วิธีการตรวจสอบความถูกต้องใดๆ ฟังก์ชันเครือข่าย UDM/ARPF จะต้องสร้างเวกเตอร์การตรวจสอบความถูกต้อง (AV)

EAP-AKA: UDM/ARPF จะสร้างเวกเตอร์การตรวจสอบความถูกต้องก่อนโดยแยกบิต AMF = 1 จากนั้นจึงสร้าง ซีเค' и ไอเค' ของ CK, IK และ SNN และประกอบด้วยเวกเตอร์การตรวจสอบ AV ใหม่ (RAND, AUTN, XRES*, ซีเค', ไอเค') ซึ่งถูกส่งไปยัง AUSF พร้อมคำแนะนำเพื่อใช้สำหรับ EAP-AKA เท่านั้น

5G AKA: UDM/ARPF ได้รับกุญแจ เคออส ของ CK, IK และ SNN หลังจากนั้นจะสร้าง 5G HE AV เวกเตอร์การรับรองความถูกต้องสภาพแวดล้อมภายในบ้าน 5G) เวกเตอร์การรับรองความถูกต้อง 5G HE AV (RAND, AUTN, XRES, เคออส) จะถูกส่งไปยัง AUSF พร้อมคำแนะนำการใช้งานสำหรับ 5G เท่านั้น AKA

หลังจาก AUSF นี้จะได้รับคีย์จุดยึด กศน จากกุญแจ เคออส และส่งคำขอไปที่ SEAF “Challenge” ในข้อความ “Nausf_UEAuthentication_Authenticate Response” ซึ่งมี RAND, AUTN และ RES* ด้วย จากนั้น RAND และ AUTN จะถูกส่งไปยังอุปกรณ์ของผู้ใช้โดยใช้ข้อความส่งสัญญาณ NAS ที่ปลอดภัย USIM ของผู้ใช้จะคำนวณ RES* จาก RAND และ AUTN ที่ได้รับ และส่งไปที่ SEAF SEAF ถ่ายทอดค่านี้ไปยัง AUSF เพื่อตรวจสอบ

AUSF เปรียบเทียบ XRES* ที่จัดเก็บไว้ในนั้นและ RES* ที่ได้รับจากผู้ใช้ หากตรงกัน AUSF และ UDM ในเครือข่ายภายในบ้านของผู้ให้บริการจะได้รับแจ้งว่าการตรวจสอบความถูกต้องสำเร็จ และผู้ใช้และ SEAF จะสร้างคีย์โดยอิสระ คาเอ็มเอฟ ของ กศน และ SUPI เพื่อการสื่อสารต่อไป

การรับรองความถูกต้องรอง

มาตรฐาน 5G รองรับการรับรองความถูกต้องรองเสริมตาม EAP-AKA ระหว่างอุปกรณ์ของผู้ใช้และเครือข่ายข้อมูลภายนอก ในกรณีนี้ SMF จะมีบทบาทเป็นผู้ตรวจสอบสิทธิ์ EAP และอาศัยการทำงาน AAA-เซิร์ฟเวอร์เครือข่ายภายนอกที่ตรวจสอบสิทธิ์และอนุญาตผู้ใช้

ข้อมูลเบื้องต้นเกี่ยวกับสถาปัตยกรรมความปลอดภัย 5G: NFV, คีย์ และการตรวจสอบสิทธิ์ 2 รายการ

  • การรับรองความถูกต้องผู้ใช้เบื้องต้นที่บังคับบนเครือข่ายในบ้านเกิดขึ้นและมีการพัฒนาบริบทความปลอดภัยของ NAS ทั่วไปด้วย AMF
  • ผู้ใช้ส่งคำขอไปยัง AMF เพื่อสร้างเซสชัน
  • AMF ส่งคำขอเพื่อสร้างเซสชันไปยัง SMF เพื่อระบุ SUPI ของผู้ใช้
  • SMF ตรวจสอบข้อมูลรับรองของผู้ใช้ใน UDM โดยใช้ SUPI ที่ให้มา
  • SMF ส่งการตอบกลับคำขอจาก AMF
  • SMF เริ่มต้นขั้นตอนการตรวจสอบสิทธิ์ EAP เพื่อขอรับสิทธิ์ในการสร้างเซสชันจากเซิร์ฟเวอร์ AAA บนเครือข่ายภายนอก ในการดำเนินการนี้ SMF และผู้ใช้จะแลกเปลี่ยนข้อความเพื่อเริ่มขั้นตอนนี้
  • ผู้ใช้และเซิร์ฟเวอร์ AAA เครือข่ายภายนอกจะแลกเปลี่ยนข้อความเพื่อตรวจสอบสิทธิ์และให้สิทธิ์ผู้ใช้ ในกรณีนี้ ผู้ใช้จะส่งข้อความไปยัง SMF ซึ่งจะแลกเปลี่ยนข้อความกับเครือข่ายภายนอกผ่าน UPF

ข้อสรุป

แม้ว่าสถาปัตยกรรมความปลอดภัย 5G จะขึ้นอยู่กับการนำเทคโนโลยีที่มีอยู่กลับมาใช้ใหม่ แต่ก็ก่อให้เกิดความท้าทายใหม่โดยสิ้นเชิง อุปกรณ์ IoT จำนวนมาก การขยายขอบเขตเครือข่าย และองค์ประกอบสถาปัตยกรรมแบบกระจายอำนาจ เป็นเพียงหลักการสำคัญบางประการของมาตรฐาน 5G ที่ให้จินตนาการของอาชญากรไซเบอร์อย่างอิสระ

มาตรฐานหลักสำหรับสถาปัตยกรรมความปลอดภัย 5G คือ TS 23.501 เวอร์ชัน 15.6.0 — ประกอบด้วยประเด็นสำคัญของการทำงานของกลไกและขั้นตอนการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่ง จะอธิบายบทบาทของแต่ละ VNF ในการรับรองการปกป้องข้อมูลผู้ใช้และโหนดเครือข่าย ในการสร้างคีย์เข้ารหัสลับ และในการดำเนินขั้นตอนการรับรองความถูกต้อง แต่ถึงแม้มาตรฐานนี้จะไม่ได้ให้คำตอบสำหรับปัญหาด้านความปลอดภัยเร่งด่วนที่ผู้ให้บริการโทรคมนาคมต้องเผชิญบ่อยครั้งมากขึ้นเมื่อมีการพัฒนาและใช้งานเครือข่ายรุ่นใหม่ที่มีความเข้มข้นมากขึ้น

ในเรื่องนี้ฉันอยากจะเชื่อว่าความยากลำบากในการใช้งานและการปกป้องเครือข่ายรุ่นที่ 5 จะไม่ส่งผลกระทบต่อผู้ใช้ทั่วไป แต่อย่างใด ซึ่งได้รับสัญญาว่าจะมีความเร็วและการตอบสนองในการส่งข้อมูลเหมือนลูกของเพื่อนแม่และกระตือรือร้นที่จะลองทั้งหมดแล้ว ความสามารถที่ประกาศไว้ของเครือข่ายเจเนอเรชั่นใหม่

ลิงค์ที่มีประโยชน์

ซีรี่ส์ข้อมูลจำเพาะ 3GPP
สถาปัตยกรรมความปลอดภัย 5G
สถาปัตยกรรมระบบ 5G
วิกิพีเดีย 5G
บันทึกสถาปัตยกรรม 5G
ภาพรวมด้านความปลอดภัย 5G

ที่มา: will.com

เพิ่มความคิดเห็น