ProHoster > Blog > Pangangasiwa > Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Malinaw, ang pagkuha sa pagbuo ng isang bagong pamantayan ng komunikasyon nang hindi nag-iisip tungkol sa mga mekanismo ng seguridad ay isang lubhang kahina-hinala at walang saysay na pagsisikap.

5G Security Architecture β€” isang hanay ng mga mekanismo at pamamaraan ng seguridad na ipinatupad sa Mga network ng ika-5 henerasyon at sumasaklaw sa lahat ng bahagi ng network, mula sa core hanggang sa mga radio interface.

Ang mga network ng ika-5 henerasyon ay, sa esensya, isang ebolusyon Ika-4 na henerasyong LTE network. Ang mga teknolohiya sa pag-access sa radyo ay sumailalim sa pinakamahalagang pagbabago. Para sa mga network ng ika-5 henerasyon, isang bago DAGA (Radio Access Technology) - 5G Bagong Radyo. Tulad ng para sa core ng network, hindi ito sumailalim sa mga makabuluhang pagbabago. Kaugnay nito, ang arkitektura ng seguridad ng mga 5G network ay binuo na may diin sa muling paggamit ng mga nauugnay na teknolohiya na pinagtibay sa pamantayan ng 4G LTE.

Gayunpaman, nararapat na tandaan na ang muling pag-iisip ng mga kilalang banta tulad ng mga pag-atake sa mga air interface at ang signaling layer (pagbibigay ng senyas eroplano), DDOS attacks, Man-In-The-Middle attacks, atbp., ang nag-udyok sa mga operator ng telecom na bumuo ng mga bagong pamantayan at isama ang ganap na bagong mga mekanismo ng seguridad sa mga network ng ika-5 henerasyon.

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

ΠŸΡ€Π΅Π΄ΠΏΠΎΡΡ‹Π»ΠΊΠΈ

Noong 2015, iginuhit ng International Telecommunication Union ang una nitong uri ng pandaigdigang plano para sa pagpapaunlad ng mga network ng ikalimang henerasyon, kaya naman ang isyu ng pagbuo ng mga mekanismo at pamamaraan ng seguridad sa mga 5G network ay naging partikular na talamak.

Ang bagong teknolohiya ay nag-aalok ng tunay na kahanga-hangang bilis ng paglilipat ng data (higit sa 1 Gbps), latency na mas mababa sa 1 ms at ang kakayahang sabay na magkonekta ng humigit-kumulang 1 milyong device sa loob ng radius na 1 km2. Ang mga naturang pinakamataas na kinakailangan para sa mga network ng ika-5 henerasyon ay makikita rin sa mga prinsipyo ng kanilang organisasyon.

Ang pangunahing isa ay ang desentralisasyon, na nagpapahiwatig ng paglalagay ng maraming lokal na database at ang kanilang mga sentro ng pagproseso sa paligid ng network. Ginawa nitong posible na mabawasan ang mga pagkaantala kapag M2M-komunikasyon at mapawi ang network core dahil sa paglilingkod sa isang malaking bilang ng mga IoT device. Kaya, ang gilid ng mga susunod na henerasyong network ay lumawak hanggang sa mga base station, na nagpapahintulot sa paglikha ng mga lokal na sentro ng komunikasyon at ang pagbibigay ng mga serbisyo sa ulap nang walang panganib ng mga kritikal na pagkaantala o pagtanggi sa serbisyo. Naturally, ang binagong diskarte sa networking at serbisyo sa customer ay interesado sa mga umaatake, dahil nagbukas ito ng mga bagong pagkakataon para sa kanila na atakehin ang parehong kumpidensyal na impormasyon ng user at ang mga bahagi ng network mismo upang maging sanhi ng pagtanggi sa serbisyo o sakupin ang mga mapagkukunan ng computing ng operator.

Mga pangunahing kahinaan ng mga network ng ika-5 henerasyon

Malaking atake sa ibabaw

paKapag nagtatayo ng mga network ng telekomunikasyon ng ika-3 at ika-4 na henerasyon, ang mga operator ng telecom ay karaniwang limitado sa pakikipagtulungan sa isa o ilang mga vendor na agad na nagbigay ng isang set ng hardware at software. Iyon ay, maaaring gumana ang lahat, tulad ng sinasabi nila, "sa labas ng kahon" - sapat na upang mai-install at i-configure lamang ang kagamitan na binili mula sa vendor; hindi na kailangang palitan o dagdagan ang proprietary software. Ang mga modernong uso ay sumasalungat sa "klasikal" na diskarte na ito at naglalayon sa virtualization ng mga network, isang multi-vendor na diskarte sa kanilang pagbuo at pagkakaiba-iba ng software. Mga teknolohiya tulad ng SDN (English Software Defined Network) at NFV (English Network Functions Virtualization), na humahantong sa pagsasama ng isang malaking halaga ng software na binuo batay sa mga open source code sa mga proseso at pag-andar ng pamamahala ng mga network ng komunikasyon. Nagbibigay ito sa mga umaatake ng pagkakataon na mas mahusay na pag-aralan ang network ng operator at tukuyin ang mas malaking bilang ng mga kahinaan, na, naman, ay nagpapataas ng attack surface ng mga bagong henerasyong network kumpara sa mga kasalukuyan.

Malaking bilang ng mga IoT device

paSa 2021, humigit-kumulang 57% ng mga device na nakakonekta sa 5G network ay magiging mga IoT device. Nangangahulugan ito na ang karamihan sa mga host ay magkakaroon ng limitadong mga kakayahan sa cryptographic (tingnan ang punto 2) at, nang naaayon, ay magiging mahina sa mga pag-atake. Ang isang malaking bilang ng mga naturang device ay magpapataas ng panganib ng paglaganap ng botnet at gagawing posible na magsagawa ng mas malakas at distributed na pag-atake ng DDoS.

Mga limitadong kakayahan sa cryptographic ng mga IoT device

paTulad ng nabanggit na, ang mga network ng ika-5 henerasyon ay aktibong gumagamit ng mga peripheral na aparato, na ginagawang posible na alisin ang bahagi ng pag-load mula sa core ng network at sa gayon ay mabawasan ang latency. Ito ay kinakailangan para sa mga mahahalagang serbisyo tulad ng kontrol ng mga sasakyang walang sasakyan, sistema ng babala sa emergency IMS at iba pa, na ang pagtiyak ng kaunting pagkaantala ay kritikal, dahil ang buhay ng tao ay nakasalalay dito. Dahil sa koneksyon ng isang malaking bilang ng mga IoT device, na, dahil sa kanilang maliit na sukat at mababang paggamit ng kuryente, ay may napakalimitadong mapagkukunan ng computing, ang mga 5G network ay nagiging vulnerable sa mga pag-atake na naglalayong hadlangan ang kontrol at kasunod na pagmamanipula ng mga naturang device. Halimbawa, maaaring may mga sitwasyon kung saan ang mga IoT device na bahagi ng system ay nahawaan "matalinong Bahay", mga uri ng malware gaya ng Ransomware at ransomware. Posible rin ang mga senaryo ng pagharang sa kontrol ng mga unmanned na sasakyan na tumatanggap ng mga command at impormasyon sa pag-navigate sa pamamagitan ng cloud. Sa pormal na paraan, ang kahinaan na ito ay dahil sa desentralisasyon ng mga bagong henerasyong network, ngunit ang susunod na talata ay magbabalangkas sa problema ng desentralisasyon nang mas malinaw.

Desentralisasyon at pagpapalawak ng mga hangganan ng network

paAng mga peripheral na aparato, na gumaganap ng papel ng mga lokal na core ng network, ay nagsasagawa ng pagruruta ng trapiko ng gumagamit, pagpoproseso ng mga kahilingan, pati na rin ang lokal na pag-cache at pag-iimbak ng data ng gumagamit. Kaya, ang mga hangganan ng mga network ng ika-5 henerasyon ay lumalawak, bilang karagdagan sa core, sa paligid, kabilang ang mga lokal na database at 5G-NR (5G New Radio) na mga interface ng radyo. Lumilikha ito ng pagkakataong atakehin ang mga mapagkukunan sa pag-compute ng mga lokal na device, na isang priori na mas mahinang protektado kaysa sa mga gitnang node ng core ng network, na may layuning magdulot ng pagtanggi sa serbisyo. Ito ay maaaring humantong sa pagkadiskonekta ng pag-access sa Internet para sa buong mga lugar, hindi tamang paggana ng mga IoT device (halimbawa, sa isang smart home system), pati na rin ang hindi pagkakaroon ng serbisyong pang-emergency na alerto ng IMS.

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Gayunpaman, ang ETSI at 3GPP ay nag-publish na ngayon ng higit sa 10 mga pamantayan na sumasaklaw sa iba't ibang aspeto ng seguridad ng 5G network. Ang karamihan sa mga mekanismong inilarawan doon ay naglalayong protektahan laban sa mga kahinaan (kabilang ang mga inilarawan sa itaas). Ang isa sa mga pangunahing ay ang pamantayan TS 23.501 bersyon 15.6.0, na naglalarawan sa arkitektura ng seguridad ng mga network ng ika-5 henerasyon.

5G na arkitektura

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication
Una, buksan natin ang mga pangunahing prinsipyo ng arkitektura ng 5G network, na higit na maghahayag ng kahulugan at mga lugar ng responsibilidad ng bawat software module at bawat 5G security function.

  • Dibisyon ng mga network node sa mga elemento na nagsisiguro sa pagpapatakbo ng mga protocol pasadyang eroplano (mula sa English UP - User Plane) at mga elemento na nagsisiguro sa pagpapatakbo ng mga protocol kontrol na eroplano (mula sa English CP - Control Plane), na nagpapataas ng flexibility sa mga tuntunin ng scaling at deployment ng network, ibig sabihin, posible ang sentralisadong o desentralisadong paglalagay ng mga indibidwal na bahagi ng network node.
  • Suporta sa mekanismo paghiwa ng network, batay sa mga serbisyong ibinigay sa mga partikular na grupo ng mga end user.
  • Pagpapatupad ng mga elemento ng network sa anyo mga function ng virtual network.
  • Suporta para sa sabay-sabay na pag-access sa mga sentralisado at lokal na serbisyo, ibig sabihin, pagpapatupad ng mga konsepto ng cloud (mula sa English. fog computing) at hangganan (mula sa English. gilid ng computing) mga kalkulasyon.
  • Pagpapatupad convergent arkitektura na pinagsasama-sama ang iba't ibang uri ng mga access network - 3GPP 5G Bagong Radyo at hindi 3GPP (Wi-Fi, atbp.) - na may isang core ng network.
  • Suporta ng magkakatulad na algorithm at mga pamamaraan ng pagpapatunay, anuman ang uri ng access network.
  • Suporta para sa stateless network functions, kung saan ang nakalkulang mapagkukunan ay pinaghihiwalay mula sa resource store.
  • Suporta para sa roaming na may pagruruta ng trapiko sa parehong home network (mula sa English na home-routed roaming) at may lokal na β€œlanding” (mula sa English local breakout) sa guest network.
  • Ang pakikipag-ugnayan sa pagitan ng mga function ng network ay kinakatawan sa dalawang paraan: nakatuon sa serbisyo ΠΈ interface.

Kasama sa 5th generation network security concept ang:

  • Pagpapatunay ng user mula sa network.
  • Network authentication ng user.
  • Negosasyon ng mga cryptographic key sa pagitan ng network at kagamitan ng user.
  • Encryption at integrity monitoring ng signaling traffic.
  • Pag-encrypt at kontrol sa integridad ng trapiko ng user.
  • Proteksyon ng User ID.
  • Pagprotekta sa mga interface sa pagitan ng iba't ibang elemento ng network alinsunod sa konsepto ng isang domain ng seguridad ng network.
  • Paghihiwalay ng iba't ibang mga layer ng mekanismo paghiwa ng network at pagtukoy sa sariling antas ng seguridad ng bawat layer.
  • Pagpapatunay ng user at proteksyon sa trapiko sa antas ng mga serbisyo sa pagtatapos (IMS, IoT at iba pa).

Mga pangunahing software module at 5G network security feature

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication AMF (mula sa English Access & Mobility Management Function - access at mobility management function) - nagbibigay ng:

  • Organisasyon ng mga interface ng control plane.
  • Organisasyon ng signaling traffic exchange RRC, pag-encrypt at proteksyon ng integridad ng data nito.
  • Organisasyon ng signaling traffic exchange NAS, pag-encrypt at proteksyon ng integridad ng data nito.
  • Pamamahala sa pagpaparehistro ng kagamitan ng gumagamit sa network at pagsubaybay sa mga posibleng estado ng pagpaparehistro.
  • Pamamahala ng koneksyon ng kagamitan ng gumagamit sa network at pagsubaybay sa mga posibleng estado.
  • Kontrolin ang pagkakaroon ng kagamitan ng user sa network sa estado ng CM-IDLE.
  • Pamamahala ng kadaliang mapakilos ng kagamitan ng gumagamit sa network sa estadong CM-CONNECTED.
  • Pagpapadala ng mga maikling mensahe sa pagitan ng kagamitan ng gumagamit at SMF.
  • Pamamahala ng mga serbisyo sa lokasyon.
  • Paglalaan ng Thread ID EPS upang makipag-ugnayan sa EPS.

SMF (Ingles: Session Management Function - session management function) - nagbibigay ng:

  • Pamamahala ng session ng komunikasyon, ibig sabihin, paggawa, pagbabago at pagpapalabas ng mga session, kabilang ang pagpapanatili ng tunnel sa pagitan ng access network at ng UPF.
  • Pamamahagi at pamamahala ng mga IP address ng kagamitan ng gumagamit.
  • Pagpili ng UPF gateway na gagamitin.
  • Organisasyon ng pakikipag-ugnayan sa PCF.
  • Pamamahala ng pagpapatupad ng patakaran QoS.
  • Dynamic na configuration ng user equipment gamit ang DHCPv4 at DHCPv6 protocols.
  • Pagsubaybay sa koleksyon ng data ng taripa at pag-aayos ng pakikipag-ugnayan sa sistema ng pagsingil.
  • Walang putol na pagbibigay ng mga serbisyo (mula sa English. SSC - Session at Pagpapatuloy ng Serbisyo).
  • Pakikipag-ugnayan sa mga guest network sa loob ng roaming.

UPF (Pag-andar ng Eroplano ng Gumagamit sa Ingles - pag-andar ng eroplano ng gumagamit) - nagbibigay ng:

  • Pakikipag-ugnayan sa mga panlabas na network ng data, kabilang ang pandaigdigang Internet.
  • Pagruruta ng mga packet ng gumagamit.
  • Pagmarka ng mga packet alinsunod sa mga patakaran ng QoS.
  • Mga diagnostic ng package ng user (halimbawa, pagtukoy ng application na nakabatay sa lagda).
  • Pagbibigay ng mga ulat sa paggamit ng trapiko.
  • Ang UPF din ang anchor point para sa pagsuporta sa kadaliang mapakilos sa loob at pagitan ng iba't ibang teknolohiya sa pag-access sa radyo.

UDM (English Unified Data Management - pinag-isang database) - nagbibigay ng:

  • Pamamahala ng data ng profile ng user, kabilang ang pag-iimbak at pagbabago ng listahan ng mga serbisyong available sa mga user at ang kanilang mga kaukulang parameter.
  • Pamamahala SUPI
  • Bumuo ng mga kredensyal sa pagpapatunay ng 3GPP Aka.
  • I-access ang awtorisasyon batay sa data ng profile (halimbawa, mga paghihigpit sa roaming).
  • Pamamahala ng pagpaparehistro ng user, ibig sabihin, imbakan ng paghahatid ng AMF.
  • Suporta para sa tuluy-tuloy na serbisyo at mga sesyon ng komunikasyon, ibig sabihin, pag-iimbak ng SMF na nakatalaga sa kasalukuyang session ng komunikasyon.
  • Pamamahala ng paghahatid ng SMS.
  • Maraming iba't ibang UDM ang maaaring maghatid ng parehong user sa iba't ibang transaksyon.

UDR (English Unified Data Repository - imbakan ng pinag-isang data) - nagbibigay ng imbakan ng iba't ibang data ng user at, sa katunayan, isang database ng lahat ng mga subscriber sa network.

UDSF (English Unstructured Data Storage Function - unstructured data storage function) - tinitiyak na nai-save ng mga module ng AMF ang kasalukuyang konteksto ng mga rehistradong user. Sa pangkalahatan, ang impormasyong ito ay maaaring ipakita bilang data ng isang hindi tiyak na istraktura. Maaaring gamitin ang mga konteksto ng user upang matiyak ang tuluy-tuloy at walang patid na mga session ng subscriber, kapwa sa panahon ng nakaplanong pag-withdraw ng isa sa mga AMF mula sa serbisyo, at sa kaganapan ng isang emergency. Sa parehong mga kaso, "kukunin" ng backup na AMF ang serbisyo gamit ang mga kontekstong nakaimbak sa USDF.

Ang pagsasama-sama ng UDR at UDSF sa parehong pisikal na platform ay isang tipikal na pagpapatupad ng mga function ng network na ito.

PCF (Ingles: Policy Control Function - policy control function) - gumagawa at nagtatalaga ng ilang partikular na patakaran sa serbisyo sa mga user, kabilang ang mga parameter ng QoS at mga panuntunan sa pagsingil. Halimbawa, upang magpadala ng isa o ibang uri ng trapiko, ang mga virtual na channel na may iba't ibang katangian ay maaaring dynamic na gawin. Kasabay nito, maaaring isaalang-alang ang mga kinakailangan ng serbisyong hiniling ng subscriber, ang antas ng pagsisikip ng network, ang dami ng natupok na trapiko, atbp.

NEF (English Network Exposure Function - network exposure function) - nagbibigay ng:

  • Organisasyon ng ligtas na pakikipag-ugnayan ng mga panlabas na platform at application na may core ng network.
  • Pamahalaan ang mga parameter ng QoS at mga panuntunan sa pagsingil para sa mga partikular na user.

DAGAT (English Security Anchor Function - anchor security function) - kasama ang AUSF, ay nagbibigay ng authentication ng mga user kapag nagparehistro sila sa network gamit ang anumang access technology.

AUSF (English Authentication Server Function - authentication server function) - gumaganap ng papel ng isang authentication server na tumatanggap at nagpoproseso ng mga kahilingan mula sa SEAF at nagre-redirect sa kanila sa ARPF.

ARPF (Ingles: Authentication Credential Repository and Processing Function - function ng pag-iimbak at pagproseso ng mga kredensyal sa pagpapatotoo) - nagbibigay ng storage ng mga personal na secret key (KI) at mga parameter ng cryptographic algorithm, pati na rin ang pagbuo ng mga vector ng pagpapatotoo alinsunod sa 5G-AKA o EAP-AKA. Ito ay matatagpuan sa data center ng home telecom operator, na protektado mula sa panlabas na pisikal na impluwensya, at, bilang panuntunan, ay isinama sa UDM.

SCMF (Pag-andar ng Pamamahala ng Konteksto ng Seguridad sa Ingles - function ng pamamahala konteksto ng seguridad) - Nagbibigay ng pamamahala sa lifecycle para sa konteksto ng seguridad ng 5G.

SPCF (English Security Policy Control Function - security policy management function) - tinitiyak ang koordinasyon at aplikasyon ng mga patakaran sa seguridad kaugnay ng mga partikular na user. Isinasaalang-alang nito ang mga kakayahan ng network, ang mga kakayahan ng kagamitan ng gumagamit at ang mga kinakailangan ng partikular na serbisyo (halimbawa, ang mga antas ng proteksyon na ibinigay ng serbisyo ng kritikal na komunikasyon at ang wireless broadband Internet access service ay maaaring magkaiba). Ang aplikasyon ng mga patakaran sa seguridad ay kinabibilangan ng: pagpili ng AUSF, pagpili ng authentication algorithm, pagpili ng data encryption at integrity control algorithm, pagpapasiya ng haba at life cycle ng mga key.

SIDF (English Subscription Identifier De-concealing Function - user identifier extraction function) - tinitiyak ang pagkuha ng permanenteng subscription identifier ng subscriber (English SUPI) mula sa isang nakatagong identifier (English SUCI), na natanggap bilang bahagi ng kahilingan sa pamamaraan ng pagpapatunay na "Req ng Impormasyon ng Auth".

Mga pangunahing kinakailangan sa seguridad para sa 5G na mga network ng komunikasyon

paKatibayan ng pag aari: Dapat na patotohanan ng naghahatid na 5G network ang SUPI ng user sa prosesong 5G AKA sa pagitan ng user at ng network.

Naghahatid ng Network Authentication: Dapat i-authenticate ng user ang 5G serving network ID, na may authentication na nakamit sa pamamagitan ng matagumpay na paggamit ng mga key na nakuha sa pamamagitan ng 5G AKA procedure.

Pahintulot ng user: Dapat pahintulutan ng network ng paghahatid ang user gamit ang profile ng user na natanggap mula sa network ng home telecom operator.

Awtorisasyon ng network ng paghahatid ng network ng home operator: Ang gumagamit ay dapat bigyan ng kumpirmasyon na siya ay konektado sa isang network ng serbisyo na pinahintulutan ng network ng home operator na magbigay ng mga serbisyo. Ang pahintulot ay implicit sa kahulugan na ito ay sinisiguro ng matagumpay na pagkumpleto ng 5G AKA procedure.

Awtorisasyon ng access network ng home operator network: Ang user ay dapat bigyan ng kumpirmasyon na siya ay konektado sa isang access network na pinahintulutan ng home operator network na magbigay ng mga serbisyo. Ang pahintulot ay implicit sa kahulugan na ito ay ipinapatupad sa pamamagitan ng matagumpay na pagtatatag ng seguridad ng access network. Ang ganitong uri ng awtorisasyon ay dapat gamitin para sa anumang uri ng access network.

Mga serbisyong pang-emergency na hindi napatotohanan: Upang matugunan ang mga kinakailangan sa regulasyon sa ilang rehiyon, ang mga 5G network ay dapat magbigay ng hindi napatotohanang pag-access para sa mga serbisyong pang-emergency.

Network core at radio access network: Dapat suportahan ng 5G network core at 5G radio access network ang paggamit ng 128-bit encryption at integrity algorithm upang matiyak ang seguridad AS ΠΈ NAS. Dapat suportahan ng mga interface ng network ang mga 256-bit na encryption key.

Mga pangunahing kinakailangan sa kaligtasan para sa kagamitan ng gumagamit

pa

  • Ang kagamitan ng gumagamit ay dapat na sumusuporta sa pag-encrypt, proteksyon sa integridad, at proteksyon laban sa mga pag-atake ng replay para sa data ng user na ipinadala sa pagitan nito at ng network ng pag-access sa radyo.
  • Dapat i-activate ng kagamitan ng gumagamit ang pag-encrypt at mga mekanismo ng proteksyon sa integridad ng data ayon sa direksyon ng network ng radio access.
  • Dapat suportahan ng kagamitan ng user ang pag-encrypt, proteksyon sa integridad, at proteksyon laban sa mga pag-atake ng replay para sa trapiko ng pagsenyas ng RRC at NAS.
  • Dapat suportahan ng kagamitan ng user ang mga sumusunod na cryptographic algorithm: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Maaaring suportahan ng kagamitan ng user ang mga sumusunod na cryptographic algorithm: 128-NEA3, 128-NIA3.
  • Dapat suportahan ng kagamitan ng user ang mga sumusunod na cryptographic algorithm: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 kung sinusuportahan nito ang koneksyon sa E-UTRA radio access network.
  • Opsyonal ang proteksyon ng pagiging kumpidensyal ng data ng user na ipinadala sa pagitan ng kagamitan ng user at ng radio access network, ngunit dapat ibigay kapag pinahihintulutan ng regulasyon.
  • Ang proteksyon sa privacy para sa RRC at NAS signaling traffic ay opsyonal.
  • Ang permanenteng susi ng gumagamit ay dapat na protektado at nakaimbak sa mahusay na secure na mga bahagi ng kagamitan ng gumagamit.
  • Ang permanenteng subscription identifier ng subscriber ay hindi dapat ipadala sa malinaw na text sa radio access network maliban sa impormasyong kinakailangan para sa tamang pagruruta (halimbawa MCC ΠΈ MNC).
  • Ang network ng home operator ng pampublikong key, ang key identifier, ang security scheme identifier, at ang routing identifier ay dapat na naka-imbak sa USIM.

Ang bawat algorithm ng pag-encrypt ay nauugnay sa isang binary na numero:

  • "0000": NEA0 - Null ciphering algorithm
  • "0001": 128-NEA1 - 128-bit SNOW 3G based na algorithm
  • "0010" 128-NEA2 - 128-bit AES batay sa algorithm
  • "0011" 128-NEA3 - 128-bit ZUC batay sa algorithm.

Pag-encrypt ng data gamit ang 128-NEA1 at 128-NEA2Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

PS Ang circuit ay hiniram mula sa TS 133.501

Pagbuo ng mga simulate na pagsingit sa pamamagitan ng mga algorithm 128-NIA1 at 128-NIA2 para matiyak ang integridadPanimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

PS Ang circuit ay hiniram mula sa TS 133.501

Mga pangunahing kinakailangan sa seguridad para sa mga function ng 5G network

pa

  • Dapat suportahan ng AMF ang pangunahing pagpapatotoo gamit ang SUCI.
  • Dapat suportahan ng SEAF ang pangunahing pagpapatunay gamit ang SUCI.
  • Dapat na iimbak ng UDM at ARPF ang permanenteng susi ng user at tiyaking protektado ito mula sa pagnanakaw.
  • Ang AUSF ay magbibigay lamang ng SUPI sa lokal na network ng paghahatid sa matagumpay na paunang pagpapatunay gamit ang SUCI.
  • Hindi dapat ipasa ng NEF ang nakatagong pangunahing impormasyon ng network sa labas ng domain ng seguridad ng operator.

Pangunahing Pamamaraan sa Kaligtasan

Trust Domains

Sa mga network ng ika-5 henerasyon, bumababa ang tiwala sa mga elemento ng network habang lumalayo ang mga elemento mula sa core ng network. Ang konseptong ito ay nakakaimpluwensya sa mga pagpapasya na ipinatupad sa 5G na arkitektura ng seguridad. Kaya, maaari nating pag-usapan ang tungkol sa isang trust model ng mga 5G network na tumutukoy sa gawi ng mga mekanismo ng seguridad ng network.

Sa panig ng user, ang trust domain ay nabuo ng UICC at USIM.

Sa panig ng network, ang domain ng tiwala ay may mas kumplikadong istraktura.

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication Ang radio access network ay nahahati sa dalawang bahagi βˆ’ DU (mula sa English Distributed Units - distributed network units) at CU (mula sa English Central Units - mga central unit ng network). Magkasama silang bumubuo gNB β€” radio interface ng 5G network base station. Walang direktang access ang mga DU sa data ng user dahil maaari silang i-deploy sa mga hindi protektadong bahagi ng imprastraktura. Dapat i-deploy ang mga CU sa mga protektadong segment ng network, dahil responsable ang mga ito sa pagwawakas ng trapiko mula sa mga mekanismo ng seguridad ng AS. Sa core ng network ay matatagpuan AMF, na nagwawakas ng trapiko mula sa mga mekanismo ng seguridad ng NAS. Inilalarawan ng kasalukuyang detalye ng 3GPP 5G Phase 1 ang kumbinasyon AMF may function ng kaligtasan DAGAT, na naglalaman ng root key (kilala rin bilang "anchor key") ng binisita (serving) network. AUSF ay responsable para sa pag-iimbak ng susi na nakuha pagkatapos ng matagumpay na pagpapatunay. Ito ay kinakailangan para sa muling paggamit sa mga kaso kung saan ang user ay sabay-sabay na nakakonekta sa ilang mga radio access network. ARPF nag-iimbak ng mga kredensyal ng gumagamit at isang analogue ng USIM para sa mga subscriber. UDR ΠΈ UDM mag-imbak ng impormasyon ng user, na ginagamit upang matukoy ang lohika para sa pagbuo ng mga kredensyal, user ID, pagtiyak ng pagpapatuloy ng session, atbp.

Hierarchy ng mga susi at ang kanilang mga scheme ng pamamahagi

Sa 5th generation network, hindi tulad ng 4G-LTE network, ang authentication procedure ay may dalawang bahagi: primary at secondary authentication. Kinakailangan ang pangunahing pagpapatotoo para sa lahat ng device ng user na kumokonekta sa network. Maaaring isagawa ang pangalawang pagpapatotoo kapag hiniling mula sa mga panlabas na network, kung kumonekta sa kanila ang subscriber.

Pagkatapos ng matagumpay na pagkumpleto ng pangunahing pagpapatunay at pagbuo ng isang nakabahaging key K sa pagitan ng user at ng network, ang KSEAF ay nakuha mula sa key K - isang espesyal na anchor (root) key ng network ng paghahatid. Kasunod nito, nabuo ang mga susi mula sa susi na ito upang matiyak ang pagiging kumpidensyal at integridad ng data ng trapiko sa pagsenyas ng RRC at NAS.

Diagram na may mga paliwanagPanimula sa 5G Security Architecture: NFV, Keys at 2 Authentication
Legend:
CK Susi ng Cipher
IK (Ingles: Integrity Key) - isang susi na ginagamit sa mga mekanismo ng proteksyon ng integridad ng data.
CK' (eng. Cipher Key) - isa pang cryptographic key na ginawa mula sa CK para sa mekanismo ng EAP-AKA.
IK' (English Integrity Key) - isa pang key na ginagamit sa mga mekanismo ng proteksyon ng integridad ng data para sa EAP-AKA.
KAUSF - nabuo ng ARPF function at kagamitan ng user mula sa CK ΠΈ IK sa panahon ng 5G AKA at EAP-AKA.
KSEAF - anchor key na nakuha ng AUSF function mula sa key KAMFAUSF.
KAMF β€” ang key na nakuha ng SEAF function mula sa key KSEAF.
KNASint, KNASenc β€” mga key na nakuha ng AMF function mula sa key KAMF para protektahan ang NAS signaling traffic.
KRRCint, KRRCenc β€” mga key na nakuha ng AMF function mula sa key KAMF upang protektahan ang trapiko ng pagsenyas ng RRC.
KUPint, KUPenc β€” mga key na nakuha ng AMF function mula sa key KAMF upang protektahan ang trapiko ng AS signaling.
NH β€” intermediate key na nakuha ng AMF function mula sa key KAMF upang matiyak ang seguridad ng data sa panahon ng mga handover.
KgNB β€” ang key na nakuha ng AMF function mula sa key KAMF upang matiyak ang kaligtasan ng mga mekanismo ng kadaliang kumilos.

Mga scheme para sa pagbuo ng SUCI mula sa SUPI at vice versa

Mga scheme para sa pagkuha ng SUPI at SUCI

Produksyon ng SUCI mula sa SUPI at SUPI mula sa SUCI:
Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Pagpapatunay

Pangunahing pagpapatunay

Sa mga 5G network, ang EAP-AKA at 5G AKA ay karaniwang pangunahing mekanismo ng pagpapatunay. Hatiin natin ang pangunahing mekanismo ng pagpapatotoo sa dalawang yugto: ang una ay responsable para sa pagsisimula ng pagpapatunay at pagpili ng isang paraan ng pagpapatunay, ang pangalawa ay responsable para sa mutual na pagpapatotoo sa pagitan ng user at ng network.

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

Pagtanggap sa bagong kasapi

Nagsusumite ang user ng kahilingan sa pagpaparehistro sa SEAF, na naglalaman ng nakatagong subscription ID ng user na SUCI.

Nagpapadala ang SEAF sa AUSF ng mensahe ng kahilingan sa pagpapatunay (Nausf_UEAuthentication_Authenticate Request) na naglalaman ng SNN (Serving Network Name) at SUPI o SUCI.

Tinitingnan ng AUSF kung pinapayagan ang humihiling ng pagpapatotoo ng SEAF na gamitin ang ibinigay na SNN. Kung ang network ng paghahatid ay hindi pinahintulutan na gamitin ang SNN na ito, ang AUSF ay tutugon ng isang mensahe ng error sa pagpapahintulot na "Hindi awtorisado ang network ng paghahatid" (Nausf_UEAuthentication_Authenticate Response).

Ang mga kredensyal sa pagpapatunay ay hinihiling ng AUSF sa UDM, ARPF o SIDF sa pamamagitan ng SUPI o SUCI at SNN.

Batay sa SUPI o SUCI at impormasyon ng user, pipiliin ng UDM/ARPF ang paraan ng pagpapatunay na susunod na gagamitin at magbibigay ng mga kredensyal ng user.

Mutual Authentication

Kapag gumagamit ng anumang paraan ng pagpapatunay, ang mga function ng network ng UDM/ARPF ay dapat bumuo ng isang vector ng pagpapatunay (AV).

EAP-AKA: Ang UDM/ARPF ay unang bumubuo ng isang authentication vector na may naghihiwalay na bit AMF = 1, pagkatapos ay bumubuo CK' ΠΈ IK' ng CK, IK at SNN at bumubuo ng bagong AV authentication vector (RAND, AUTN, XRES*, CK', IK'), na ipinadala sa AUSF na may mga tagubilin na gamitin lamang ito para sa EAP-AKA.

5G AKA: Nakukuha ng UDM/ARPF ang susi KAUSF ng CK, IK at SNN, pagkatapos nito ay bumubuo ito ng 5G HE AV. 5G Home Environment Authentication Vector). 5G HE AV authentication vector (RAND, AUTN, XRES, KAUSF) ay ipinadala sa AUSF na may mga tagubilin na gamitin ito para sa 5G lamang AKA.

Pagkatapos nitong AUSF ang anchor key ay nakuha KSEAF mula sa susi KAUSF at nagpapadala ng kahilingan sa SEAF "Challenge" sa mensaheng "Nausf_UEAuthentication_Authenticate Response", na naglalaman din ng RAND, AUTN at RES*. Susunod, ang RAND at AUTN ay ipinapadala sa kagamitan ng gumagamit gamit ang isang secure na mensahe ng senyas ng NAS. Kinakalkula ng USIM ng user ang RES* mula sa natanggap na RAND at AUTN at ipinapadala ito sa SEAF. Inirelay ng SEAF ang halagang ito sa AUSF para sa pag-verify.

Inihahambing ng AUSF ang XRES* na nakaimbak dito at ang RES* na natanggap mula sa user. Kung may tugma, ang AUSF at UDM sa home network ng operator ay aabisuhan ng matagumpay na pagpapatunay, at ang user at ang SEAF ay independiyenteng bumuo ng isang susi KAMF ng KSEAF at SUPI para sa karagdagang komunikasyon.

Pangalawang pagpapatunay

Sinusuportahan ng 5G standard ang opsyonal na pangalawang pagpapatotoo batay sa EAP-AKA sa pagitan ng kagamitan ng user at ng external na network ng data. Sa kasong ito, ginagampanan ng SMF ang papel ng EAP authenticator at umaasa sa trabaho AAA-isang panlabas na server ng network na nagpapatunay at nagbibigay ng pahintulot sa gumagamit.

Panimula sa 5G Security Architecture: NFV, Keys at 2 Authentication

  • Ang ipinag-uutos na paunang pagpapatunay ng user sa home network ay nangyayari at isang karaniwang konteksto ng seguridad ng NAS ay binuo gamit ang AMF.
  • Nagpapadala ang user ng kahilingan sa AMF para magtatag ng session.
  • Nagpapadala ang AMF ng kahilingan para magtatag ng session sa SMF na nagsasaad ng SUPI ng user.
  • Pinapatunayan ng SMF ang mga kredensyal ng user sa UDM gamit ang ibinigay na SUPI.
  • Ang SMF ay nagpapadala ng tugon sa kahilingan mula sa AMF.
  • Sinisimulan ng SMF ang pamamaraan ng pagpapatunay ng EAP upang makakuha ng pahintulot na magtatag ng session mula sa AAA server sa panlabas na network. Upang gawin ito, ang SMF at ang gumagamit ay nagpapalitan ng mga mensahe upang simulan ang pamamaraan.
  • Ang user at ang external na network na AAA server ay nagpapalitan ng mga mensahe upang patotohanan at pahintulutan ang user. Sa kasong ito, nagpapadala ang user ng mga mensahe sa SMF, na nagpapalitan naman ng mga mensahe sa panlabas na network sa pamamagitan ng UPF.

Konklusyon

Bagama't nakabatay ang arkitektura ng seguridad ng 5G sa muling paggamit ng mga kasalukuyang teknolohiya, nagdudulot ito ng ganap na mga bagong hamon. Ang isang malaking bilang ng mga IoT device, pinalawak na mga hangganan ng network at mga elemento ng desentralisadong arkitektura ay ilan lamang sa mga pangunahing prinsipyo ng pamantayan ng 5G na nagbibigay ng libreng pagpigil sa imahinasyon ng mga cybercriminal.

Ang pangunahing pamantayan para sa arkitektura ng seguridad ng 5G ay TS 23.501 bersyon 15.6.0 β€” naglalaman ng mga pangunahing punto ng pagpapatakbo ng mga mekanismo at pamamaraan ng seguridad. Sa partikular, inilalarawan nito ang papel ng bawat VNF ​​sa pagtiyak ng proteksyon ng data ng user at mga node ng network, sa pagbuo ng mga crypto key at sa pagpapatupad ng pamamaraan ng pagpapatunay. Ngunit kahit na ang pamantayang ito ay hindi nagbibigay ng mga sagot sa pagpindot sa mga isyu sa seguridad na mas madalas na kinakaharap ng mga operator ng telecom habang ang mas masinsinang mga bagong henerasyong network ay binuo at inilalagay sa operasyon.

Kaugnay nito, nais kong maniwala na ang mga kahirapan sa pagpapatakbo at pagprotekta sa mga network ng ika-5 henerasyon ay hindi sa anumang paraan makakaapekto sa mga ordinaryong gumagamit, na pinangakuan ng bilis ng paghahatid at mga tugon tulad ng anak ng isang kaibigan ng isang ina at sabik na sabik na subukan ang lahat. ang ipinahayag na mga kakayahan ng mga bagong henerasyong network.

Kapaki-pakinabang na mga link

Serye ng Detalye ng 3GPP
5G na arkitektura ng seguridad
5G system architecture
5G Wiki
Mga tala sa arkitektura ng 5G
Pangkalahatang-ideya ng seguridad ng 5G

Pinagmulan: www.habr.com

Magdagdag ng komento