Açıkçası, güvenlik mekanizmalarını düşünmeden yeni bir iletişim standardı geliştirmeye kalkışmak son derece şüpheli ve beyhude bir çabadır.

5G Güvenlik Mimarisi - uygulanan bir dizi güvenlik mekanizması ve prosedürü 5. nesil ağlar ve çekirdekten radyo arayüzlerine kadar tüm ağ bileşenlerini kapsar.

5. nesil ağlar özünde bir evrimdir 4. nesil LTE ağları. Radyo erişim teknolojileri en önemli değişikliklere uğradı. 5. nesil ağlar için yeni SIÇAN (Radyo Erişim Teknolojisi) - 5G Yeni Radyo. Ağın çekirdeğine gelince, bu kadar önemli değişikliklere uğramadı. Bu bağlamda, 5G ağlarının güvenlik mimarisi, 4G LTE standardında benimsenen ilgili teknolojilerin yeniden kullanılmasına önem verilerek geliştirildi.

Ancak hava arayüzlerine ve sinyal katmanına yapılan saldırılar gibi bilinen tehditlerin yeniden düşünülmesi gerektiğini belirtmekte fayda var (Sinyal uçak), DDOS saldırıları, Ortadaki Adam saldırıları vb. telekom operatörlerini yeni standartlar geliştirmeye ve tamamen yeni güvenlik mekanizmalarını 5. nesil ağlara entegre etmeye yöneltti.

AMAÇ

2015 yılında Uluslararası Telekomünikasyon Birliği, beşinci nesil ağların geliştirilmesine yönelik türünün ilk küresel planını hazırladı; bu nedenle 5G ağlarında güvenlik mekanizmaları ve prosedürleri geliştirme konusu özellikle akut hale geldi.

Yeni teknoloji, gerçekten etkileyici veri aktarım hızları (1 Gbps'den fazla), 1 ms'den az gecikme ve 1 km1'lik bir yarıçap içinde yaklaşık 2 milyon cihazı aynı anda bağlama yeteneği sunuyordu. 5. nesil ağlar için bu kadar yüksek gereksinimler, organizasyon ilkelerine de yansıyor.

Bunlardan en önemlisi, birçok yerel veri tabanının ve bunların işlem merkezlerinin ağın çevresine yerleştirilmesini ima eden ademi merkeziyetçilikti. Bu, gecikmelerin en aza indirilmesini mümkün kıldı M2M-çok sayıda IoT cihazına hizmet verilmesi nedeniyle iletişim ve ağ çekirdeğini rahatlatır. Böylece, yeni nesil ağların uç noktası baz istasyonlarına kadar genişleyerek, kritik gecikmeler veya hizmet reddi riski olmadan yerel iletişim merkezlerinin oluşturulmasına ve bulut hizmetlerinin sağlanmasına olanak tanıdı. Doğal olarak, ağ oluşturma ve müşteri hizmetlerine yönelik değişen yaklaşım saldırganların ilgisini çekti çünkü bu durum, hizmet reddine neden olmak veya operatörün bilgi işlem kaynaklarını ele geçirmek amacıyla hem gizli kullanıcı bilgilerine hem de ağ bileşenlerine saldırmak için onlara yeni fırsatlar açtı.

5. nesil ağların ana güvenlik açıkları

Geniş saldırı yüzeyi

Daha fazla3. ve 4. nesil telekomünikasyon ağlarını kurarken, telekomünikasyon operatörleri genellikle bir dizi donanım ve yazılımı hemen sağlayan bir veya daha fazla satıcıyla çalışmakla sınırlıydı. Yani, her şey "kutudan çıktığı gibi" işe yarayabilirdi - satıcıdan satın alınan ekipmanı kurmak ve yapılandırmak yeterliydi; özel mülk yazılımı değiştirmeye veya tamamlamaya gerek yoktu. Modern trendler bu “klasik” yaklaşıma ters düşüyor ve ağların sanallaştırılmasını, ağların yapımına ve yazılım çeşitliliğine çok tedarikçili bir yaklaşım getirmeyi hedefliyor. Gibi teknolojiler SDN (İngilizce Yazılım Tanımlı Ağ) ve NFV (İngilizce Ağ İşlevleri Sanallaştırma), iletişim ağlarını yönetme süreçlerine ve işlevlerine açık kaynak kodları temelinde oluşturulmuş çok sayıda yazılımın dahil edilmesine yol açar. Bu, saldırganlara operatörün ağını daha iyi inceleme ve daha fazla sayıda güvenlik açığını tespit etme fırsatı verir, bu da yeni nesil ağların saldırı yüzeyini mevcut ağlara göre artırır.

Çok sayıda IoT cihazı

Daha fazla2021 yılına gelindiğinde 57G ağlarına bağlı cihazların yaklaşık %5'si IoT cihazları olacak. Bu, çoğu ana bilgisayarın sınırlı şifreleme yeteneklerine sahip olacağı (bkz. madde 2) ve dolayısıyla saldırılara karşı savunmasız olacağı anlamına gelir. Bu tür cihazların çok sayıda olması, botnet yayılması riskini artıracak ve daha güçlü ve dağıtılmış DDoS saldırılarının gerçekleştirilmesini mümkün kılacaktır.

IoT cihazlarının sınırlı şifreleme yetenekleri

Daha fazlaDaha önce de belirtildiği gibi, 5. nesil ağlar, yükün bir kısmını ağ çekirdeğinden kaldırmayı ve böylece gecikmeyi azaltmayı mümkün kılan çevresel aygıtları aktif olarak kullanır. İnsansız araçların kontrolü, acil uyarı sistemi gibi önemli hizmetler için bu gerekli IMS ve insan hayatının buna bağlı olması nedeniyle minimum gecikmenin sağlanmasının kritik önem taşıdığı diğerleri. Küçük boyutları ve düşük güç tüketimi nedeniyle çok sınırlı bilgi işlem kaynaklarına sahip olan çok sayıda IoT cihazının bağlanması nedeniyle, 5G ağları, bu tür cihazların kontrolünü ve daha sonra manipülasyonunu engellemeyi amaçlayan saldırılara karşı savunmasız hale geliyor. Örneğin sistemin bir parçası olan IoT cihazlarına virüs bulaştığı senaryolar olabilir"akıllı ev" gibi kötü amaçlı yazılım türleri Fidye yazılımı ve fidye yazılımı. Bulut üzerinden komut ve navigasyon bilgisi alan insansız araçların kontrolünün ele geçirilmesi senaryoları da mümkündür. Resmi olarak bu güvenlik açığı yeni nesil ağların merkeziyetsizliğinden kaynaklanmaktadır, ancak bir sonraki paragraf merkeziyetsizlik sorununu daha net bir şekilde özetleyecektir.

Ağ sınırlarının merkezden uzaklaştırılması ve genişletilmesi

Daha fazlaYerel ağ çekirdeklerinin rolünü oynayan çevre birimleri, kullanıcı trafiğinin yönlendirilmesini, istekleri işlemenin yanı sıra kullanıcı verilerinin yerel önbelleğe alınmasını ve depolanmasını da gerçekleştirir. Böylece 5. nesil ağların sınırları, çekirdeğe ek olarak yerel veritabanları ve 5G-NR (5G Yeni Radyo) radyo arayüzlerini de içerecek şekilde çevreye doğru genişliyor. Bu, hizmet reddine neden olmak amacıyla ağ çekirdeğinin merkezi düğümlerinden öncelikli olarak daha zayıf korunan yerel cihazların bilgi işlem kaynaklarına saldırma fırsatı yaratır. Bu, tüm alanlar için İnternet erişiminin kesilmesine, IoT cihazlarının hatalı çalışmasına (örneğin akıllı ev sisteminde) ve ayrıca IMS acil durum uyarı hizmetinin kullanılamamasına yol açabilir.

Ancak ETSI ve 3GPP, 10G ağ güvenliğinin çeşitli yönlerini kapsayan 5'dan fazla standart yayınladı. Burada açıklanan mekanizmaların büyük çoğunluğu (yukarıda açıklananlar dahil) güvenlik açıklarına karşı koruma sağlamayı amaçlamaktadır. Bunlardan en önemlilerinden biri standarttır. TS 23.501 versiyon 15.6.05. nesil ağların güvenlik mimarisini anlatıyor.

5G mimarisi

Öncelikle, her yazılım modülünün ve her 5G güvenlik fonksiyonunun anlamını ve sorumluluk alanlarını daha da tam olarak ortaya çıkaracak olan 5G ağ mimarisinin temel ilkelerine dönelim.

• Ağ düğümlerinin protokollerin çalışmasını sağlayan öğelere bölünmesi özel uçak (İngilizce UP - Kullanıcı Düzleminden) ve protokollerin çalışmasını sağlayan unsurlar kontrol Paneli (İngilizce CP - Kontrol Düzleminden) ağın ölçeklendirilmesi ve dağıtımı açısından esnekliği artırır, yani. bireysel bileşen ağ düğümlerinin merkezi veya merkezi olmayan yerleştirilmesi mümkündür.
• Mekanizma desteği ağ dilimleme, belirli son kullanıcı gruplarına sağlanan hizmetlere dayalıdır.
• Ağ elemanlarının formda uygulanması sanal ağ işlevleri.
• Merkezi ve yerel hizmetlere eşzamanlı erişim desteği, yani bulut kavramlarının uygulanması (İngilizce'den. sis hesaplama) ve kenarlık (İngilizce'den. kenar hesaplama) hesaplamalar.
• uygulama yakınsak farklı türdeki erişim ağlarını birleştiren mimari - 3GPP 5G Yeni Radyo ve 3GPP olmayan (Wi-Fi vb.) - tek bir ağ çekirdeği ile.
• Erişim ağının türüne bakılmaksızın tek tip algoritmaların ve kimlik doğrulama prosedürlerinin desteklenmesi.
• Hesaplanan kaynağın kaynak deposundan ayrıldığı durum bilgisi olmayan ağ işlevleri desteği.
• Hem ev ağı üzerinden (İngiliz eve yönlendirilmiş dolaşımdan) hem de misafir ağında yerel bir "iniş" (İngiliz yerel çıkışından) üzerinden trafik yönlendirme ile dolaşım desteği.
• Ağ işlevleri arasındaki etkileşim iki şekilde temsil edilir: hizmet odaklı и arayüz.

5. nesil ağ güvenliği konsepti şunları içerir::

• Ağdan kullanıcı kimlik doğrulaması.
• Kullanıcı tarafından ağ kimlik doğrulaması.
• Ağ ve kullanıcı ekipmanı arasında kriptografik anahtarların müzakere edilmesi.
• Sinyal trafiğinin şifreleme ve bütünlük kontrolü.
• Kullanıcı trafiğinin bütünlüğünün şifrelenmesi ve kontrolü.
• Kullanıcı kimliği koruması.
• Ağ güvenlik alanı kavramına uygun olarak farklı ağ öğeleri arasındaki arayüzlerin korunması.
• Mekanizmanın farklı katmanlarının izolasyonu ağ dilimleme ve her katmanın kendi güvenlik seviyelerini tanımlamak.
• Son hizmetler (IMS, IoT ve diğerleri) düzeyinde kullanıcı kimlik doğrulaması ve trafik koruması.

Temel yazılım modülleri ve 5G ağ güvenliği özellikleri

AMF (İngilizce Erişim ve Hareketlilik Yönetimi İşlevinden - erişim ve hareketlilik yönetimi işlevi) - şunları sağlar:

• Kontrol düzlemi arayüzlerinin organizasyonu.
• Sinyal trafiği değişiminin organizasyonu RRC, verilerinin bütünlüğünün şifrelenmesi ve korunması.
• Sinyal trafiği değişiminin organizasyonu NAS, verilerinin bütünlüğünün şifrelenmesi ve korunması.
• Kullanıcı ekipmanlarının ağ üzerindeki kaydının yönetilmesi ve olası kayıt durumlarının izlenmesi.
• Kullanıcı ekipmanlarının ağa bağlantısının yönetilmesi ve olası durumların izlenmesi.
• CM-IDLE durumunda ağdaki kullanıcı ekipmanının kullanılabilirliğini kontrol edin.
• CM-CONNECTED durumunda ağdaki kullanıcı ekipmanının mobilite yönetimi.
• Kullanıcı ekipmanı ile SMF arasında kısa mesajların iletimi.
• Konum hizmetleri yönetimi.
• Konu kimliği tahsisi EPS EPS ile etkileşime geçmek için.

SMF (İngilizce: Oturum Yönetimi İşlevi - oturum yönetimi işlevi) - şunları sağlar:

• İletişim oturumu yönetimi, yani erişim ağı ile UPF arasında bir tünelin sürdürülmesi de dahil olmak üzere oturumların oluşturulması, değiştirilmesi ve serbest bırakılması.
• Kullanıcı ekipmanının IP adreslerinin dağıtımı ve yönetimi.
• Kullanılacak UPF ağ geçidini seçme.
• PCF ile etkileşimin organizasyonu.
• Politika uygulama yönetimi QoS.
• DHCPv4 ve DHCPv6 protokollerini kullanarak kullanıcı ekipmanının dinamik konfigürasyonu.
• Tarife verilerinin toplanmasının izlenmesi ve faturalandırma sistemi ile etkileşimin organize edilmesi.
• Kusursuz hizmet sunumu (İngilizce'den. SSC - Oturum ve Hizmet Sürekliliği).
• Dolaşımda konuk ağlarıyla etkileşim.

UPF (İngilizce Kullanıcı Düzlemi İşlevi - kullanıcı düzlemi işlevi) - şunları sağlar:

• Küresel İnternet de dahil olmak üzere harici veri ağlarıyla etkileşim.
• Kullanıcı paketlerinin yönlendirilmesi.
• Paketlerin QoS politikalarına uygun olarak işaretlenmesi.
• Kullanıcı paketi teşhisi (örneğin imza tabanlı uygulama tespiti).
• Trafik kullanımına ilişkin raporların sağlanması.
• UPF aynı zamanda farklı radyo erişim teknolojileri içinde ve arasında mobiliteyi destekleyen bir dayanak noktasıdır.

UDM (İngilizce Birleşik Veri Yönetimi - birleşik veritabanı) - şunları sağlar:

• Kullanıcılara sunulan hizmetlerin listesinin ve bunlara karşılık gelen parametrelerin saklanması ve değiştirilmesi de dahil olmak üzere kullanıcı profili verilerinin yönetilmesi.
• Управление SUPI
• 3GPP kimlik doğrulama bilgileri oluşturun AKA.
• Profil verilerine (örneğin dolaşım kısıtlamaları) dayalı erişim yetkilendirmesi.
• Kullanıcı kaydı yönetimi, yani AMF sunumunun depolanması.
• Kesintisiz hizmet ve iletişim oturumları desteği, yani mevcut iletişim oturumuna atanan SMF'nin saklanması.
• SMS dağıtım yönetimi.
• Birkaç farklı UDM, aynı kullanıcıya farklı işlemlerde hizmet verebilir.

UDR (İngilizce Birleşik Veri Havuzu - birleşik verilerin depolanması) - çeşitli kullanıcı verilerinin depolanmasını sağlar ve aslında tüm ağ abonelerinin veritabanıdır.

UDSF (İngilizce Yapılandırılmamış Veri Depolama İşlevi - yapılandırılmamış veri depolama işlevi) - AMF modüllerinin kayıtlı kullanıcıların mevcut bağlamlarını kaydetmesini sağlar. Genel olarak bu bilgiler belirsiz bir yapının verileri olarak sunulabilir. Kullanıcı bağlamları, hem AMF'lerden birinin planlı olarak hizmetten çekilmesi sırasında hem de acil bir durumda abone oturumlarının kesintisiz ve kesintisiz olmasını sağlamak için kullanılabilir. Her iki durumda da yedek AMF, USDF'de depolanan bağlamları kullanarak hizmeti "alacaktır".

UDR ve UDSF'nin aynı fiziksel platformda birleştirilmesi bu ağ işlevlerinin tipik bir uygulamasıdır.

PCF (İngilizce: Politika Kontrol Fonksiyonu - politika kontrol fonksiyonu) - QoS parametreleri ve ücretlendirme kuralları dahil olmak üzere belirli hizmet politikalarını oluşturur ve kullanıcılara atar. Örneğin, bir veya daha fazla trafik türünü iletmek için farklı özelliklere sahip sanal kanallar dinamik olarak oluşturulabilir. Aynı zamanda abonenin talep ettiği hizmetin gereksinimleri, ağ sıkışıklığının düzeyi, tüketilen trafik miktarı vb. dikkate alınabilmektedir.

NEF (İngilizce Ağa Maruz Kalma İşlevi - ağa maruz kalma işlevi) - şunları sağlar:

• Harici platformların ve uygulamaların ağ çekirdeği ile güvenli etkileşiminin organizasyonu.
• Belirli kullanıcılar için QoS parametrelerini ve ücretlendirme kurallarını yönetin.

DENİZ (İngilizce Güvenlik Bağlantı İşlevi - bağlantı güvenlik işlevi) - AUSF ile birlikte, herhangi bir erişim teknolojisiyle ağa kaydolduklarında kullanıcıların kimlik doğrulamasını sağlar.

AUSF (İngilizce Kimlik Doğrulama Sunucusu İşlevi - kimlik doğrulama sunucusu işlevi) - SEAF'tan gelen istekleri alıp işleyen ve bunları ARPF'ye yönlendiren bir kimlik doğrulama sunucusunun rolünü oynar.

ARPF (İngilizce: Kimlik Doğrulama Kimlik Bilgisi Deposu ve İşleme İşlevi - kimlik doğrulama bilgilerinin saklanması ve işlenmesi işlevi) - kişisel gizli anahtarların (KI) ve şifreleme algoritmalarının parametrelerinin depolanmasının yanı sıra 5G-AKA'ya uygun olarak kimlik doğrulama vektörlerinin oluşturulmasını sağlar veya EAP-DİĞER ADIYLA. Ev telekom operatörünün veri merkezinde bulunur, dış fiziksel etkilerden korunur ve kural olarak UDM ile entegredir.

SCMF (İngilizce Güvenlik Bağlamı Yönetim İşlevi - yönetim işlevi güvenlik bağlamı) - 5G güvenlik bağlamı için yaşam döngüsü yönetimi sağlar.

SPCF (İngilizce Güvenlik Politikası Kontrol İşlevi - güvenlik politikası yönetimi işlevi) - belirli kullanıcılarla ilgili olarak güvenlik politikalarının koordinasyonunu ve uygulanmasını sağlar. Bu, ağın yeteneklerini, kullanıcı ekipmanının yeteneklerini ve belirli hizmetin gereksinimlerini dikkate alır (örneğin, kritik iletişim hizmeti ve kablosuz geniş bant İnternet erişim hizmeti tarafından sağlanan koruma seviyeleri farklı olabilir). Güvenlik politikalarının uygulanması şunları içerir: AUSF seçimi, kimlik doğrulama algoritmasının seçimi, veri şifreleme ve bütünlük kontrol algoritmalarının seçimi, anahtarların uzunluğunun ve yaşam döngüsünün belirlenmesi.

SIDF (İngilizce Abonelik Tanımlayıcı Gizleme İşlevi - kullanıcı tanımlayıcı çıkarma işlevi) - bir abonenin kalıcı abonelik tanımlayıcısının (İngilizce SUPI) gizli bir tanımlayıcıdan (İngilizce. SUCI), "Kimlik Doğrulama Bilgisi Talebi" kimlik doğrulama prosedürü talebinin bir parçası olarak alındı.

5G iletişim ağları için temel güvenlik gereksinimleri

Daha fazlaKullanıcı doğrulama: Hizmet veren 5G ağı, kullanıcı ile ağ arasındaki 5G AKA sürecinde kullanıcının SUPI'sini doğrulamalıdır.

Ağ Kimlik Doğrulaması Sunma: Kullanıcının, 5G AKA prosedürü yoluyla elde edilen anahtarların başarılı kullanımı yoluyla elde edilen kimlik doğrulama ile 5G hizmet veren ağ kimliğini doğrulaması gerekir.

Kullanıcı yetkilendirmesi: Hizmet veren ağ, ev telekom operatörünün ağından alınan kullanıcı profilini kullanarak kullanıcıya yetki vermelidir.

Servis ağının ev operatörü ağı tarafından yetkilendirilmesi: Kullanıcıya, ev operatör ağı tarafından hizmet sağlamak üzere yetkilendirilmiş bir hizmet ağına bağlı olduğuna dair onay sağlanmalıdır. Yetkilendirme, 5G AKA prosedürünün başarıyla tamamlanmasıyla sağlanması anlamında zımnidir.

Erişim ağının ev operatörü ağı tarafından yetkilendirilmesi: Kullanıcıya, hizmet sağlamak üzere ev operatörü ağı tarafından yetkilendirilen bir erişim ağına bağlı olduğuna dair onay sağlanmalıdır. Yetkilendirme, erişim ağının güvenliğinin başarıyla kurulmasıyla uygulanması anlamında örtülüdür. Bu tür yetkilendirme her türlü erişim ağı için kullanılmalıdır.

Kimliği doğrulanmamış acil servisler: Bazı bölgelerdeki mevzuat gerekliliklerini karşılamak amacıyla 5G ağlarının acil durum hizmetlerine kimlik doğrulamasız erişim sağlaması gerekir.

Ağ çekirdeği ve radyo erişim ağı: 5G ağ çekirdeği ve 5G radyo erişim ağı, güvenliği sağlamak için 128 bit şifreleme ve bütünlük algoritmalarının kullanımını desteklemelidir AS и NAS. Ağ arayüzleri 256 bit şifreleme anahtarlarını desteklemelidir.

Kullanıcı ekipmanı için temel güvenlik gereksinimleri

Daha fazla

• Kullanıcı ekipmanı, kendisiyle radyo erişim ağı arasında iletilen kullanıcı verileri için şifrelemeyi, bütünlük korumasını ve tekrar saldırılarına karşı korumayı desteklemelidir.
• Kullanıcı ekipmanı, radyo erişim ağının yönlendirdiği şekilde şifreleme ve veri bütünlüğü koruma mekanizmalarını etkinleştirmelidir.
• Kullanıcı ekipmanı, RRC ve NAS sinyalleşme trafiği için şifrelemeyi, bütünlük korumasını ve tekrar saldırılarına karşı korumayı desteklemelidir.
• Kullanıcı ekipmanı aşağıdaki şifreleme algoritmalarını desteklemelidir: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
• Kullanıcı ekipmanı aşağıdaki şifreleme algoritmalarını destekleyebilir: 128-NEA3, 128-NIA3.
• Kullanıcı ekipmanı aşağıdaki şifreleme algoritmalarını desteklemelidir: E-UTRA radyo erişim ağına bağlantıyı destekliyorsa 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2.
• Kullanıcı ekipmanı ile radyo erişim ağı arasında iletilen kullanıcı verilerinin gizliliğinin korunması isteğe bağlıdır, ancak düzenlemenin izin verdiği durumlarda sağlanmalıdır.
• RRC ve NAS sinyalleşme trafiği için gizlilik koruması isteğe bağlıdır.
• Kullanıcının kalıcı anahtarı, kullanıcı ekipmanının iyi korunan bileşenlerinde korunmalı ve saklanmalıdır.
• Bir abonenin kalıcı abonelik tanımlayıcısı, doğru yönlendirme için gerekli bilgiler (örneğin) dışında radyo erişim ağı üzerinden açık metin olarak iletilmemelidir. MM и MNC).
• Ev operatörünün ağ genel anahtarı, anahtar tanımlayıcısı, güvenlik planı tanımlayıcısı ve yönlendirme tanımlayıcısı, USİM.

Her şifreleme algoritması bir ikili sayıyla ilişkilendirilir:

• "0000": NEA0 - Boş şifreleme algoritması
• "0001": 128-NEA1 - 128-bit KAR 3G tabanlı algoritma
• "0010" 128-NEA2 - 128-bit AES tabanlı algoritma
• "0011" 128-NEA3 - 128-bit ZUC tabanlı algoritma

128-NEA1 ve 128-NEA2 kullanarak veri şifreleme

PS Devre ödünç alınmıştır TS 133.501

Bütünlüğü sağlamak için 128-NIA1 ve 128-NIA2 algoritmaları ile simüle edilmiş kesici uçların oluşturulması

PS Devre ödünç alınmıştır TS 133.501

5G ağ işlevleri için temel güvenlik gereksinimleri

Daha fazla

• AMF, SUCI kullanarak birincil kimlik doğrulamayı desteklemelidir.
• SEAF, SUCI kullanarak birincil kimlik doğrulamayı desteklemelidir.
• UDM ve ARPF, kullanıcının kalıcı anahtarını saklamalı ve hırsızlığa karşı korunmasını sağlamalıdır.
• AUSF, yalnızca SUCI kullanılarak başarılı bir ilk kimlik doğrulama sonrasında yerel hizmet ağına SUPI sağlayacaktır.
• NEF, gizli çekirdek ağ bilgilerini operatörün güvenlik alanı dışına iletmemelidir.

Temel Güvenlik Prosedürleri

Etki Alanlarına Güvenin

5. nesil ağlarda öğeler ağ çekirdeğinden uzaklaştıkça ağ öğelerine olan güven azalmaktadır. Bu kavram, 5G güvenlik mimarisinde uygulanan kararları etkilemektedir. Böylece 5G ağlarının ağ güvenlik mekanizmalarının davranışını belirleyen bir güven modelinden bahsedebiliriz.

Kullanıcı tarafında güven alanı UICC ve USIM tarafından oluşturulur.

Ağ tarafında güven alanı daha karmaşık bir yapıya sahiptir.

Radyo erişim ağı iki bileşene ayrılmıştır: DU (İngilizce Dağıtılmış Birimlerden - dağıtılmış ağ birimlerinden) ve CU (İngiliz Merkezi Birimlerinden - ağın merkezi birimlerinden). Birlikte oluşurlar gNB — 5G ağ baz istasyonunun radyo arayüzü. DU'ların, korumasız altyapı segmentlerine dağıtılabilmeleri nedeniyle kullanıcı verilerine doğrudan erişimi yoktur. AS güvenlik mekanizmalarından gelen trafiğin sonlandırılmasından sorumlu oldukları için CU'ların korumalı ağ segmentlerine dağıtılması gerekir. Ağın merkezinde yer alır AMFNAS güvenlik mekanizmalarından gelen trafiği sonlandıran. Mevcut 3GPP 5G Aşama 1 spesifikasyonu, kombinasyonu açıklamaktadır AMF güvenlik fonksiyonlu DENİZZiyaret edilen (hizmet veren) ağın kök anahtarını ("bağlantı anahtarı" olarak da bilinir) içerir. AUSF Başarılı kimlik doğrulamanın ardından elde edilen anahtarın saklanmasından sorumludur. Kullanıcının aynı anda birden fazla radyo erişim ağına bağlı olduğu durumlarda yeniden kullanılması gerekir. ARPF kullanıcı kimlik bilgilerini saklar ve aboneler için USIM'in bir benzeridir. UDR и UDM Kimlik bilgilerinin, kullanıcı kimliklerinin oluşturulması, oturum sürekliliğinin sağlanması vb. için mantığı belirlemek için kullanılan kullanıcı bilgilerini saklar.

Anahtarların hiyerarşisi ve dağıtım şemaları

5. nesil ağlarda, 4G-LTE ağlarından farklı olarak kimlik doğrulama prosedürünün iki bileşeni vardır: birincil ve ikincil kimlik doğrulama. Ağa bağlanan tüm kullanıcı cihazları için birincil kimlik doğrulama gereklidir. Abonenin harici ağlara bağlanması durumunda, talep üzerine ikincil kimlik doğrulama gerçekleştirilebilir.

Birincil kimlik doğrulamanın başarıyla tamamlanmasından ve kullanıcı ile ağ arasında paylaşılan bir K anahtarının geliştirilmesinden sonra, KSEAF, hizmet veren ağın özel bir bağlantı (kök) anahtarı olan K anahtarından çıkarılır. Daha sonra, RRC ve NAS sinyalleşme trafik verilerinin gizliliğini ve bütünlüğünü sağlamak için bu anahtardan anahtarlar oluşturulur.

Açıklamalı diyagram
belirtme:
CK Şifre Anahtarı
IK (Türkçe: Bütünlük Anahtarı) - veri bütünlüğünü koruma mekanizmalarında kullanılan bir anahtar.
CK' (eng. Şifre Anahtarı) - EAP-AKA mekanizması için CK'den oluşturulan başka bir şifreleme anahtarı.
IK' (İngilizce Bütünlük Anahtarı) - EAP-AKA için veri bütünlüğü koruma mekanizmalarında kullanılan başka bir anahtar.
KAUSF - ARPF işlevi ve kullanıcı ekipmanı tarafından oluşturulur CK и IK 5G AKA ve EAP-AKA sırasında.
KSEAF - AUSF işlevi tarafından anahtardan elde edilen bağlantı anahtarı KAMFAUSF.
KAMF - SEAF işlevi tarafından anahtardan elde edilen anahtar KSEAF.
KNASint, KNASenc - AMF işlevi tarafından anahtardan elde edilen tuşlar KAMF NAS sinyal trafiğini korumak için.
KRRCint, KRRCenc - AMF işlevi tarafından anahtardan elde edilen tuşlar KAMF RRC sinyal trafiğini korumak için.
KUPint, KUPenc - AMF işlevi tarafından anahtardan elde edilen tuşlar KAMF AS sinyal trafiğini korumak için.
NH - AMF işlevi tarafından anahtardan elde edilen ara anahtar KAMF Devir teslim sırasında veri güvenliğini sağlamak.
KgNB - AMF işlevi tarafından anahtardan elde edilen anahtar KAMF Hareketlilik mekanizmalarının güvenliğini sağlamak.

SUPI'den SUCI üretmeye yönelik şemalar ve bunun tersi

SUPI ve SUCI'yi elde etmeye yönelik programlar

SUPI'den SUCI ve SUCI'den SUPI üretimi:

kimlik doğrulama

Birincil kimlik doğrulama

5G ağlarında EAP-AKA ve 5G AKA standart birincil kimlik doğrulama mekanizmalarıdır. Birincil kimlik doğrulama mekanizmasını iki aşamaya ayıralım: Birincisi kimlik doğrulamanın başlatılmasından ve bir kimlik doğrulama yönteminin seçilmesinden sorumludur, ikincisi ise kullanıcı ile ağ arasındaki karşılıklı kimlik doğrulamasından sorumludur.

Başlatma

Kullanıcı, SEAF'a, kullanıcının gizli abonelik kimliğini (SUCI) içeren bir kayıt isteği gönderir.

SEAF, AUSF'ye SNN (Sunum Ağı Adı) ve SUPI veya SUCI'yi içeren bir kimlik doğrulama isteği mesajı (Nausf_UEAuthentication_Authenticate İsteği) gönderir.

AUSF, SEAF kimlik doğrulama talebinde bulunan kişinin verilen SNN'yi kullanmasına izin verilip verilmediğini kontrol eder. Hizmet veren ağ, bu SNN'yi kullanma yetkisine sahip değilse, AUSF, "Sunucu ağ yetkili değil" (Nausf_UEAuthentication_Authenticate Response) yetkilendirme hata mesajıyla yanıt verir.

Kimlik doğrulama bilgileri AUSF tarafından SUPI veya SUCI ve SNN aracılığıyla UDM, ARPF veya SIDF'ye talep edilir.

SUPI veya SUCI ve kullanıcı bilgilerine dayanarak UDM/ARPF, bir sonraki kullanılacak kimlik doğrulama yöntemini seçer ve kullanıcının kimlik bilgilerini verir.

Karşılıklı kimlik doğrulama

Herhangi bir kimlik doğrulama yöntemini kullanırken, UDM/ARPF ağ işlevlerinin bir kimlik doğrulama vektörü (AV) oluşturması gerekir.

EAP-AKA: UDM/ARPF önce AMF = 1 ayırma bitine sahip bir kimlik doğrulama vektörü oluşturur, ardından CK' и IK' arasında CK, IK ve SNN'dir ve yeni bir AV kimlik doğrulama vektörü oluşturur (RAND, AUTN, XRES*, CK', IK'), yalnızca EAP-AKA için kullanılmasına yönelik talimatlarla birlikte AUSF'ye gönderilir.

5G AKA: UDM/ARPF anahtarı alıyor KAUSF arasında CK, IK ve SNN, ardından 5G HE AV üretir. 5G Ev Ortamı Kimlik Doğrulama Vektörü). 5G HE AV kimlik doğrulama vektörü (RAND, AUTN, XRES, KAUSF) yalnızca 5G AKA için kullanılmasına yönelik talimatlarla birlikte AUSF'ye gönderilir.

Bu AUSF'den sonra bağlantı anahtarı elde edilir KSEAF anahtardan KAUSF ve RAND, AUTN ve RES*'yi de içeren "Nausf_UEAuthentication_Authenticate Response" mesajıyla SEAF "Challenge"a bir istek gönderir. Daha sonra RAND ve AUTN, güvenli bir NAS sinyal mesajı kullanılarak kullanıcı ekipmanına iletilir. Kullanıcının USIM'si, alınan RAND ve AUTN'den RES*'i hesaplar ve bunu SEAF'a gönderir. SEAF, doğrulama için bu değeri AUSF'ye iletir.

AUSF, içinde depolanan XRES* ile kullanıcıdan alınan RES*'i karşılaştırır. Bir eşleşme varsa, operatörün ev ağındaki AUSF ve UDM, başarılı kimlik doğrulama konusunda bilgilendirilir ve kullanıcı ve SEAF bağımsız olarak bir anahtar oluşturur. KAMF arasında KSEAF ve daha fazla iletişim için SUPI.

İkincil kimlik doğrulama

5G standardı, kullanıcı ekipmanı ile harici veri ağı arasında EAP-AKA'ya dayalı isteğe bağlı ikincil kimlik doğrulamayı destekler. Bu durumda SMF, EAP kimlik doğrulayıcısı rolünü oynar ve çalışmaya güvenir. AAA-Kullanıcının kimliğini doğrulayan ve yetkilendiren harici bir ağ sunucusu.

• Ev ağında zorunlu ilk kullanıcı kimlik doğrulaması gerçekleşir ve AMF ile ortak bir NAS güvenlik bağlamı geliştirilir.
• Kullanıcı, bir oturum oluşturmak için AMF'ye bir istek gönderir.
• AMF, SMF'ye kullanıcının SUPI'sini belirten bir oturum kurma isteği gönderir.
• SMF, sağlanan SUPI'yi kullanarak kullanıcının UDM'deki kimlik bilgilerini doğrular.
• SMF, AMF'den gelen talebe bir yanıt gönderir.
• SMF, harici ağdaki AAA sunucusundan oturum kurma izni almak için EAP kimlik doğrulama prosedürünü başlatır. Bunu yapmak için SMF ve kullanıcı, prosedürü başlatmak üzere mesaj alışverişinde bulunur.
• Kullanıcı ve harici ağ AAA sunucusu daha sonra kullanıcının kimliğini doğrulamak ve yetkilendirmek için mesaj alışverişinde bulunur. Bu durumda kullanıcı SMF'ye mesaj gönderir ve SMF de UPF aracılığıyla harici ağ ile mesaj alışverişinde bulunur.

Sonuç

5G güvenlik mimarisi her ne kadar mevcut teknolojilerin yeniden kullanılmasına dayansa da tamamen yeni zorluklar ortaya çıkarıyor. Çok sayıda IoT cihazı, genişletilmiş ağ sınırları ve merkezi olmayan mimari öğeleri, siber suçluların hayal gücünü serbest bırakan 5G standardının temel ilkelerinden yalnızca birkaçıdır.

5G güvenlik mimarisinin temel standardı TS 23.501 versiyon 15.6.0 — güvenlik mekanizmalarının ve prosedürlerinin işleyişine ilişkin kilit noktaları içerir. Özellikle, kullanıcı verilerinin ve ağ düğümlerinin korunmasının sağlanmasında, kripto anahtarlarının oluşturulmasında ve kimlik doğrulama prosedürünün uygulanmasında her bir VNF'nin rolünü açıklar. Ancak bu standart bile, yeni nesil ağların daha yoğun bir şekilde geliştirilip işletmeye alınmasıyla telekom operatörlerinin daha sık karşılaştığı acil güvenlik sorunlarına yanıt vermiyor.

Bu bağlamda, 5. nesil ağların işletilmesi ve korunmasındaki zorlukların, bir anne arkadaşının oğlu gibi iletim hızları ve tepkileri vaat edilen ve zaten tüm bunları denemek için can atan sıradan kullanıcıları hiçbir şekilde etkilemeyeceğine inanıyorum. yeni nesil ağların beyan edilen yetenekleri.

Faydalı linkler

3GPP Spesifikasyon serisi
5G güvenlik mimarisi
5G sistem mimarisi
5G Viki
5G mimarisi notları
5G güvenliğe genel bakış

Kaynak: habr.com