ProHoster > Blog > Ma'muriyat > 5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

Shubhasiz, xavfsizlik mexanizmlari haqida o'ylamasdan yangi aloqa standartini ishlab chiqish juda shubhali va behuda harakatdir.

5G xavfsizlik arxitekturasi -da amalga oshirilgan xavfsizlik mexanizmlari va protseduralari to'plami 5-avlod tarmoqlari va yadrodan radio interfeyslarigacha bo'lgan barcha tarmoq komponentlarini qamrab oladi.

5-avlod tarmoqlari mohiyatan evolyutsiyadir 4-avlod LTE tarmoqlari. Radioga kirish texnologiyalari eng muhim o'zgarishlarga duch keldi. 5-avlod tarmoqlari uchun yangi KALAMUSH (Radio ulanish texnologiyasi) - 5G yangi radio. Tarmoqning yadrosiga kelsak, u bunday jiddiy o'zgarishlarga duch kelmagan. Shu munosabat bilan, 5G LTE standartida qabul qilingan tegishli texnologiyalardan qayta foydalanishga e'tibor qaratgan holda 4G tarmoqlarining xavfsizlik arxitekturasi ishlab chiqildi.

Ammo shuni ta'kidlash kerakki, havo interfeyslari va signalizatsiya qatlamiga hujumlar kabi ma'lum tahdidlarni qayta ko'rib chiqish (signalizatsiya samolyot), DDOS hujumlari, Man-In-The-Middle hujumlari va boshqalar telekommunikatsiya operatorlarini yangi standartlarni ishlab chiqishga va 5-avlod tarmoqlariga mutlaqo yangi xavfsizlik mexanizmlarini integratsiyalashga undadi.

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

Talablar

2015-yilda Xalqaro elektraloqa ittifoqi beshinchi avlod tarmoqlarini rivojlantirish bo‘yicha o‘ziga xos birinchi global rejani tuzdi, shu sababli 5G tarmoqlarida xavfsizlik mexanizmlari va tartiblarini ishlab chiqish masalasi ayniqsa keskinlashdi.

Yangi texnologiya haqiqatdan ham ta’sirchan ma’lumotlarni uzatish tezligini (1 Gbit/s dan ortiq), 1 ms dan kam kechikish va bir vaqtning o‘zida 1 km1 radiusda 2 millionga yaqin qurilmani ulash imkoniyatini taqdim etdi. 5-avlod tarmoqlariga qo'yiladigan bunday eng yuqori talablar ularni tashkil etish tamoyillarida ham o'z aksini topgan.

Asosiysi markazsizlashtirish edi, bu ko'plab mahalliy ma'lumotlar bazalari va ularni qayta ishlash markazlarini tarmoqning periferiyasida joylashtirishni nazarda tutadi. Bu kechikishlarni minimallashtirishga imkon berdi M2M-ko'p sonli IoT qurilmalariga xizmat ko'rsatish hisobiga aloqa va tarmoq yadrosini yengillashtirish. Shunday qilib, yangi avlod tarmoqlarining chekkasi bazaviy stansiyalargacha kengayib, mahalliy aloqa markazlarini yaratish va bulutli xizmatlarni muhim kechikishlar yoki xizmat ko'rsatishdan bosh tortish xavfisiz taqdim etish imkonini berdi. Tabiiyki, tarmoqqa va mijozlarga xizmat ko‘rsatishga o‘zgargan yondashuv tajovuzkorlarni qiziqtirdi, chunki bu ularga xizmat ko‘rsatishni rad etish yoki operatorning hisoblash resurslarini tortib olish maqsadida foydalanuvchi maxfiy ma’lumotlariga ham, tarmoq komponentlarining o‘ziga ham hujum qilish uchun yangi imkoniyatlar ochdi.

5-avlod tarmoqlarining asosiy zaif tomonlari

Katta hujum yuzasi

Nizom3 va 4-avlod telekommunikatsiya tarmoqlarini qurishda aloqa operatorlari odatda apparat va dasturiy ta'minot to'plamini darhol etkazib beradigan bir yoki bir nechta sotuvchilar bilan ishlash bilan chegaralangan. Ya'ni, hamma narsa, ular aytganidek, "qutidan tashqarida" ishlashi mumkin edi - sotuvchidan sotib olingan uskunani o'rnatish va sozlash kifoya edi; xususiy dasturiy ta'minotni almashtirish yoki to'ldirishga hojat yo'q edi. Zamonaviy tendentsiyalar ushbu "klassik" yondashuvga zid bo'lib, tarmoqlarni virtualizatsiya qilishga, ularning qurilishiga ko'p sotuvchili yondashuvga va dasturiy ta'minot xilma-xilligiga qaratilgan. kabi texnologiyalar SDN (Ingliz tilida dasturiy ta'minot aniqlangan tarmoq) va NFV (English Network Functions Virtualization), bu esa aloqa tarmoqlarini boshqarish jarayonlari va funksiyalariga ochiq kodli kodlar asosida qurilgan katta hajmdagi dasturiy ta'minotni kiritishga olib keladi. Bu tajovuzkorlarga operator tarmog'ini yaxshiroq o'rganish va ko'proq zaifliklarni aniqlash imkoniyatini beradi, bu esa, o'z navbatida, hozirgilariga nisbatan yangi avlod tarmoqlarining hujum maydonini oshiradi.

IoT qurilmalarining katta soni

Nizom2021 yilga kelib, 57G tarmoqlariga ulangan qurilmalarning taxminan 5 foizi IoT qurilmalari bo‘ladi. Bu shuni anglatadiki, ko'pchilik xostlar cheklangan kriptografik imkoniyatlarga ega bo'ladi (2-bandga qarang) va shunga mos ravishda hujumlarga qarshi himoyasiz bo'ladi. Bunday qurilmalarning ko'pligi botnetlarning tarqalish xavfini oshiradi va yanada kuchli va tarqalgan DDoS hujumlarini amalga oshirishga imkon beradi.

IoT qurilmalarining cheklangan kriptografik imkoniyatlari

NizomYuqorida aytib o'tilganidek, 5-avlod tarmoqlari periferik qurilmalardan faol foydalanadi, bu esa tarmoq yadrosidan yukning bir qismini olib tashlash va shu bilan kechikishni kamaytirish imkonini beradi. Bu uchuvchisiz transport vositalarini boshqarish, favqulodda vaziyatlardan ogohlantirish tizimi kabi muhim xizmatlar uchun zarur IMS va boshqalar, ular uchun minimal kechikishni ta'minlash juda muhim, chunki inson hayoti bunga bog'liq. Kichik o‘lchamlari va kam quvvat iste’moli tufayli juda cheklangan hisoblash resurslariga ega bo‘lgan ko‘p sonli IoT qurilmalarining ulanishi tufayli 5G tarmoqlari bunday qurilmalarni nazorat qilishni va keyinchalik manipulyatsiya qilishni to‘xtatishga qaratilgan hujumlarga nisbatan zaif bo‘lib qoladi. Masalan, tizimning bir qismi bo'lgan IoT qurilmalari yuqadigan stsenariylar bo'lishi mumkin "aqlli uy", kabi zararli dasturlarning turlari Ransomware va ransomware. Bulut orqali buyruqlar va navigatsiya ma'lumotlarini oladigan uchuvchisiz transport vositalarining boshqaruvini ushlab turish stsenariylari ham mumkin. Rasmiy ravishda, bu zaiflik yangi avlod tarmoqlarini markazsizlashtirish bilan bog'liq, ammo keyingi xatboshida markazsizlashtirish muammosi aniqroq tavsiflanadi.

Tarmoq chegaralarini markazsizlashtirish va kengaytirish

NizomMahalliy tarmoq yadrolari rolini o'ynaydigan periferik qurilmalar foydalanuvchi trafigini marshrutlashni, so'rovlarni qayta ishlashni, shuningdek, foydalanuvchi ma'lumotlarini mahalliy keshlash va saqlashni amalga oshiradi. Shunday qilib, 5-avlod tarmoqlarining chegaralari yadrodan tashqari, mahalliy ma'lumotlar bazalari va 5G-NR (5G New Radio) radio interfeyslarini o'z ichiga olgan periferiyaga kengaymoqda. Bu tarmoq yadrosining markaziy tugunlariga qaraganda apriori himoyalangan mahalliy qurilmalarning hisoblash resurslariga hujum qilish imkoniyatini yaratadi, bu esa xizmat ko'rsatishdan bosh tortishni keltirib chiqaradi. Bu butun hududlar uchun Internetga ulanishning uzilishiga, IoT qurilmalarining noto'g'ri ishlashiga (masalan, aqlli uy tizimida), shuningdek, IMS favqulodda ogohlantirish xizmatining mavjud emasligiga olib kelishi mumkin.

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

Biroq, ETSI va 3GPP hozirda 10G tarmoq xavfsizligining turli jihatlarini qamrab oluvchi 5 dan ortiq standartlarni nashr etdi. U erda tasvirlangan mexanizmlarning aksariyati zaifliklardan himoya qilishga qaratilgan (shu jumladan yuqorida tavsiflanganlar). Asosiylaridan biri standartdir TS 23.501 15.6.0 versiyasi, 5-avlod tarmoqlarining xavfsizlik arxitekturasini tavsiflovchi.

5G arxitekturasi

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya
Birinchidan, 5G tarmoq arxitekturasining asosiy tamoyillariga murojaat qilaylik, bu esa har bir dasturiy modul va har bir 5G xavfsizlik funksiyasining ma’nosi va mas’uliyat sohalarini yanada to‘liq ochib beradi.

  • Tarmoq tugunlarini protokollarning ishlashini ta'minlovchi elementlarga bo'linishi maxsus samolyot (ingliz tilidan UP - User Plane dan) va protokollarning ishlashini ta'minlaydigan elementlar boshqaruv tekisligi (ingliz tilidan CP - Control Plane dan), bu tarmoqni masshtablash va joylashtirish nuqtai nazaridan moslashuvchanlikni oshiradi, ya'ni alohida komponentli tarmoq tugunlarini markazlashtirilgan yoki markazlashtirilmagan joylashtirish mumkin.
  • Mexanizmni qo'llab-quvvatlash tarmoqni kesish, oxirgi foydalanuvchilarning muayyan guruhlariga taqdim etiladigan xizmatlarga asoslangan.
  • Shaklda tarmoq elementlarini amalga oshirish virtual tarmoq funktsiyalari.
  • Markazlashtirilgan va mahalliy xizmatlarga bir vaqtning o'zida kirishni qo'llab-quvvatlash, ya'ni bulutli tushunchalarni amalga oshirish (ingliz tilidan. tuman hisoblash) va chegara (ingliz tilidan. chekka hisoblash) hisob-kitoblar.
  • Реализация konvergent turli turdagi kirish tarmoqlarini birlashtirgan arxitektura - 3GPP 5G New Radio va 3GPP bo'lmagan (Wi-Fi va boshqalar) - bitta tarmoq yadrosi bilan.
  • Kirish tarmog'ining turidan qat'i nazar, yagona algoritmlar va autentifikatsiya protseduralarini qo'llab-quvvatlash.
  • Hisoblangan resurs resurs do'konidan ajratilgan fuqaroligi bo'lmagan tarmoq funktsiyalarini qo'llab-quvvatlash.
  • Uy tarmog'i orqali (inglizcha uy-roumingdan) va mehmon tarmog'ida mahalliy "qo'nish" (inglizcha mahalliy uzilishdan) bilan trafik marshruti bilan roumingni qo'llab-quvvatlash.
  • Tarmoq funktsiyalari o'rtasidagi o'zaro ta'sir ikki shaklda ifodalanadi: xizmat ko'rsatishga yo'naltirilgan и interfeys.

5-avlod tarmoq xavfsizligi kontseptsiyasi o'z ichiga oladi:

  • Tarmoqdan foydalanuvchi autentifikatsiyasi.
  • Foydalanuvchi tomonidan tarmoq autentifikatsiyasi.
  • Tarmoq va foydalanuvchi uskunalari o'rtasida kriptografik kalitlar bo'yicha muzokaralar olib borish.
  • Signal trafigining shifrlanishi va yaxlitligini nazorat qilish.
  • Foydalanuvchi trafigining yaxlitligini shifrlash va nazorat qilish.
  • Foydalanuvchi ID himoyasi.
  • Tarmoq xavfsizligi domeni kontseptsiyasiga muvofiq turli tarmoq elementlari orasidagi interfeyslarni himoya qilish.
  • Mexanizmning turli qatlamlarini izolyatsiya qilish tarmoqni kesish va har bir qatlamning xavfsizlik darajasini aniqlash.
  • Yakuniy xizmatlar (IMS, IoT va boshqalar) darajasida foydalanuvchi autentifikatsiyasi va trafikni himoya qilish.

Asosiy dasturiy modullar va 5G tarmoq xavfsizligi xususiyatlari

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya AMF (Ingliz tilidan Access & Mobility Management Function - kirish va harakatchanlikni boshqarish funktsiyasi) - quyidagilarni ta'minlaydi:

  • Tekshirish tekisligi interfeyslarini tashkil qilish.
  • Signal trafik almashinuvini tashkil etish RRC, shifrlash va uning ma'lumotlarining yaxlitligini himoya qilish.
  • Signal trafik almashinuvini tashkil etish NAS, shifrlash va uning ma'lumotlarining yaxlitligini himoya qilish.
  • Tarmoqdagi foydalanuvchi uskunalarini ro'yxatga olishni boshqarish va ro'yxatga olishning mumkin bo'lgan holatlarini kuzatish.
  • Foydalanuvchi uskunasining tarmoqqa ulanishini boshqarish va mumkin bo'lgan holatlarni kuzatish.
  • CM-IDLE holatida tarmoqdagi foydalanuvchi uskunasining mavjudligini nazorat qilish.
  • CM-CONNECTED holatida tarmoqdagi foydalanuvchi uskunasining harakatchanligini boshqarish.
  • Foydalanuvchi uskunalari va SMF o'rtasida qisqa xabarlarni uzatish.
  • Joylashuv xizmatlarini boshqarish.
  • Mavzu identifikatorini ajratish EPS EPS bilan o'zaro aloqada bo'lish.

SMF (inglizcha: Session Management Function - sessiyani boshqarish funktsiyasi) - quyidagilarni ta'minlaydi:

  • Aloqa seansini boshqarish, ya'ni seanslarni yaratish, o'zgartirish va chiqarish, shu jumladan kirish tarmog'i va UPF o'rtasidagi tunnelni saqlash.
  • Foydalanuvchi uskunasining IP manzillarini taqsimlash va boshqarish.
  • Foydalanish uchun UPF shlyuzini tanlash.
  • PCF bilan o'zaro aloqani tashkil etish.
  • Siyosat ijrosini boshqarish QoS.
  • DHCPv4 va DHCPv6 protokollari yordamida foydalanuvchi uskunasining dinamik konfiguratsiyasi.
  • Tarif ma'lumotlarini to'plashni nazorat qilish va billing tizimi bilan o'zaro hamkorlikni tashkil etish.
  • Xizmatlarni uzluksiz taqdim etish (ingliz tilidan. SSC - Sessiya va xizmatning uzluksizligi).
  • Roumingda mehmon tarmoqlari bilan o'zaro aloqa.

UPF (Inglizcha User Plane Function - foydalanuvchi tekisligi funksiyasi) - quyidagilarni ta'minlaydi:

  • Tashqi ma'lumotlar tarmoqlari, shu jumladan global Internet bilan o'zaro aloqa.
  • Foydalanuvchi paketlarini marshrutlash.
  • QoS siyosatiga muvofiq paketlarni markalash.
  • Foydalanuvchi paketi diagnostikasi (masalan, imzoga asoslangan ilovalarni aniqlash).
  • Trafikdan foydalanish bo'yicha hisobotlarni taqdim etish.
  • UPF, shuningdek, turli xil radio ulanish texnologiyalari ichida va o'rtasida harakatchanlikni qo'llab-quvvatlash uchun asosiy nuqtadir.

UDM (inglizcha Unified Data Management - yagona ma'lumotlar bazasi) - quyidagilarni ta'minlaydi:

  • Foydalanuvchi profili ma'lumotlarini boshqarish, shu jumladan foydalanuvchilar uchun mavjud bo'lgan xizmatlar ro'yxatini va ularning mos parametrlarini saqlash va o'zgartirish.
  • Boshqarish SUPI
  • 3GPP autentifikatsiya ma'lumotlarini yarating AKA.
  • Profil ma'lumotlariga asoslangan kirish avtorizatsiyasi (masalan, rouming cheklovlari).
  • Foydalanuvchilarni ro'yxatga olishni boshqarish, ya'ni AMFga xizmat ko'rsatishni saqlash.
  • Uzluksiz xizmat ko'rsatish va aloqa seanslarini qo'llab-quvvatlash, ya'ni joriy aloqa seansiga tayinlangan SMFni saqlash.
  • SMS yetkazib berishni boshqarish.
  • Bir nechta turli UDMlar bir xil foydalanuvchiga turli tranzaktsiyalarda xizmat qilishi mumkin.

UDR (inglizcha Unified Data Repository - birlashtirilgan ma'lumotlarni saqlash) - turli xil foydalanuvchi ma'lumotlarini saqlashni ta'minlaydi va aslida barcha tarmoq abonentlarining ma'lumotlar bazasi hisoblanadi.

UDSF (inglizcha Unstructured Data Storage Function - strukturasiz ma'lumotlarni saqlash funksiyasi) - AMF modullari ro'yxatdan o'tgan foydalanuvchilarning joriy kontekstlarini saqlashini ta'minlaydi. Umuman olganda, bu ma'lumot noaniq tuzilmaning ma'lumotlari sifatida taqdim etilishi mumkin. Foydalanuvchi kontekstlari abonent seanslarining uzluksiz va uzluksiz ishlashini ta'minlash uchun AMFlardan birini xizmatdan rejalashtirilgan olib tashlash paytida ham, favqulodda vaziyatlarda ham foydalanish mumkin. Ikkala holatda ham zaxira AMF USDFda saqlangan kontekstlardan foydalangan holda xizmatni "olib oladi".

UDR va UDSFni bir xil jismoniy platformada birlashtirish bu tarmoq funksiyalarining odatiy amalga oshirilishi hisoblanadi.

PCF (Inglizcha: Policy Control Function - siyosatni boshqarish funksiyasi) - foydalanuvchilarga ma'lum xizmat siyosatlarini, jumladan QoS parametrlari va zaryadlash qoidalarini yaratadi va tayinlaydi. Masalan, u yoki bu turdagi trafikni uzatish uchun dinamik ravishda har xil xususiyatlarga ega virtual kanallar yaratilishi mumkin. Bunda abonent so‘ragan xizmat talablari, tarmoq tiqilib qolish darajasi, iste’mol qilinadigan trafik miqdori va hokazolarni hisobga olish mumkin.

NEF (Inglizcha Network Exposure Function - tarmoqqa ta'sir qilish funksiyasi) - quyidagilarni ta'minlaydi:

  • Tashqi platformalar va ilovalarning tarmoq yadrosi bilan xavfsiz o'zaro ta'sirini tashkil etish.
  • Muayyan foydalanuvchilar uchun QoS parametrlarini va zaryadlash qoidalarini boshqaring.

DENGIZ (Inglizcha Security Anchor Function - anchor security function) - AUSF bilan birgalikda har qanday kirish texnologiyasi bilan tarmoqda ro'yxatdan o'tgan foydalanuvchilarning autentifikatsiyasini ta'minlaydi.

AUSF (inglizcha Authentication Server Function – autentifikatsiya server funksiyasi) – SEAF dan so‘rovlarni qabul qiluvchi va qayta ishlovchi hamda ularni ARPF ga yo‘naltiruvchi autentifikatsiya serveri rolini o‘ynaydi.

ARPF (Inglizcha: Authentication Credential Repository and Processing Function – autentifikatsiya hisob ma’lumotlarini saqlash va qayta ishlash funksiyasi) – shaxsiy maxfiy kalitlarni (KI) va kriptografik algoritmlar parametrlarini saqlashni, shuningdek, 5G-AKA yoki ga muvofiq autentifikatsiya vektorlarini yaratishni ta’minlaydi. VA AP-AKA. U uy aloqa operatorining ma'lumotlar markazida joylashgan, tashqi jismoniy ta'sirlardan himoyalangan va, qoida tariqasida, UDM bilan birlashtirilgan.

SCMF (Inglizcha Xavfsizlik kontekstini boshqarish funktsiyasi - boshqaruv funktsiyasi xavfsizlik konteksti) - 5G xavfsizlik konteksti uchun hayot aylanishini boshqarishni ta'minlaydi.

SPCF (inglizcha Security Policy Control Function - xavfsizlik siyosatini boshqarish funksiyasi) - muayyan foydalanuvchilarga nisbatan xavfsizlik siyosatini muvofiqlashtirish va qo'llashni ta'minlaydi. Bu tarmoq imkoniyatlarini, foydalanuvchi uskunasining imkoniyatlarini va muayyan xizmat talablarini hisobga oladi (masalan, muhim aloqa xizmati va simsiz keng polosali Internetga kirish xizmati tomonidan taqdim etilgan himoya darajalari farq qilishi mumkin). Xavfsizlik siyosatini qo'llash quyidagilarni o'z ichiga oladi: AUSF ni tanlash, autentifikatsiya algoritmini tanlash, ma'lumotlarni shifrlash va yaxlitlikni boshqarish algoritmlarini tanlash, kalitlarning uzunligi va hayot aylanishini aniqlash.

SIDF (Inglizcha Subscription Identifier De-concealing Function - foydalanuvchi identifikatorini chiqarish funksiyasi) - yashirin identifikatordan (inglizcha) abonentning doimiy obuna identifikatorini (inglizcha SUPI) ajratib olishni ta'minlaydi. SUCI), autentifikatsiya protsedurasi so'rovining bir qismi sifatida olingan "Auth Info Req".

5G aloqa tarmoqlari uchun asosiy xavfsizlik talablari

NizomFoydalanuvchi autentifikatsiyasi: Xizmat ko‘rsatuvchi 5G tarmog‘i foydalanuvchi va tarmoq o‘rtasidagi 5G AKA jarayonida foydalanuvchining SUPI-ni autentifikatsiya qilishi kerak.

Tarmoq autentifikatsiyasiga xizmat ko'rsatish: Foydalanuvchi 5G xizmat ko‘rsatuvchi tarmoq identifikatorini autentifikatsiya qilishi kerak, autentifikatsiya esa 5G AKA protsedurasi orqali olingan kalitlardan muvaffaqiyatli foydalanish orqali amalga oshiriladi.

Foydalanuvchi avtorizatsiyasi: Xizmat ko'rsatuvchi tarmoq foydalanuvchiga uy aloqa operatori tarmog'idan olingan foydalanuvchi profilidan foydalanishga ruxsat berishi kerak.

Uy operatori tarmog'i tomonidan xizmat ko'rsatuvchi tarmoqni avtorizatsiya qilish: Foydalanuvchiga uy operatori tarmog'i tomonidan xizmatlar ko'rsatishga ruxsat berilgan xizmat ko'rsatish tarmog'iga ulanganligi haqidagi tasdiqnoma taqdim etilishi kerak. Avtorizatsiya 5G AKA protsedurasining muvaffaqiyatli yakunlanishi bilan ta'minlanganligi ma'nosida yashirindir.

Uy operatori tarmog'i tomonidan kirish tarmog'ini avtorizatsiya qilish: Foydalanuvchiga xizmatlar ko'rsatish uchun uy operatori tarmog'i tomonidan ruxsat etilgan kirish tarmog'iga ulanganligini tasdiqlovchi hujjat taqdim etilishi kerak. Avtorizatsiya kirish tarmog'ining xavfsizligini muvaffaqiyatli o'rnatish orqali amalga oshiriladi degan ma'noda yashirindir. Ushbu turdagi avtorizatsiya har qanday kirish tarmog'i uchun ishlatilishi kerak.

Tasdiqlanmagan favqulodda xizmatlar: Ba'zi hududlarda tartibga solish talablariga javob berish uchun 5G tarmoqlari favqulodda xizmatlar uchun autentifikatsiya qilinmagan kirishni ta'minlashi kerak.

Tarmoq yadrosi va radioga kirish tarmog'i: 5G tarmog'ining yadrosi va 5G radio ulanish tarmog'i xavfsizlikni ta'minlash uchun 128 bitli shifrlash va yaxlitlik algoritmlaridan foydalanishni qo'llab-quvvatlashi kerak AS и NAS. Tarmoq interfeyslari 256 bitli shifrlash kalitlarini qo'llab-quvvatlashi kerak.

Foydalanuvchi jihozlari uchun asosiy xavfsizlik talablari

Nizom

  • Foydalanuvchi uskunasi shifrlashni, yaxlitlikni himoya qilishni va u va radioga kirish tarmog'i o'rtasida uzatiladigan foydalanuvchi ma'lumotlarini takroriy hujumlardan himoya qilishni qo'llab-quvvatlashi kerak.
  • Foydalanuvchi uskunasi shifrlash va ma'lumotlar yaxlitligini himoya qilish mexanizmlarini radioga kirish tarmog'i ko'rsatgan tarzda faollashtirishi kerak.
  • Foydalanuvchi uskunalari shifrlashni, yaxlitlikni himoya qilishni va RRC va NAS signalizatsiya trafigi uchun takroriy hujumlardan himoya qilishni qo'llab-quvvatlashi kerak.
  • Foydalanuvchi uskunasi quyidagi kriptografik algoritmlarni qo‘llab-quvvatlashi kerak: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
  • Foydalanuvchi uskunalari quyidagi kriptografik algoritmlarni qo'llab-quvvatlashi mumkin: 128-NEA3, 128-NIA3.
  • Foydalanuvchi uskunasi quyidagi kriptografik algoritmlarni qoʻllab-quvvatlashi kerak: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, agar u E-UTRA radio kirish tarmogʻiga ulanishni qoʻllab-quvvatlasa.
  • Foydalanuvchi uskunasi va radioga kirish tarmog'i o'rtasida uzatiladigan foydalanuvchi ma'lumotlarining maxfiyligini himoya qilish ixtiyoriydir, lekin qonun hujjatlarida ruxsat etilgan hollarda ta'minlanishi kerak.
  • RRC va NAS signalizatsiyasi uchun maxfiylikni himoya qilish ixtiyoriy.
  • Foydalanuvchining doimiy kaliti himoyalangan bo'lishi va foydalanuvchi uskunasining yaxshi himoyalangan komponentlarida saqlanishi kerak.
  • Abonentning doimiy obuna identifikatori to'g'ri marshrutlash uchun zarur bo'lgan ma'lumotlardan tashqari, radioga kirish tarmog'i orqali aniq matnda uzatilmasligi kerak (masalan, mm и MNC).
  • Uy operatorining tarmoq ochiq kaliti, kalit identifikatori, xavfsizlik sxemasi identifikatori va marshrutlash identifikatori quyidagi manzilda saqlanishi kerak. USIM.

Har bir shifrlash algoritmi ikkilik raqam bilan bog'langan:

  • "0000": NEA0 - Null shifrlash algoritmi
  • "0001": 128-NEA1 - 128-bit QARSh 3G asosidagi algoritm
  • "0010" 128-NEA2 - 128-bit AES asoslangan algoritm
  • "0011" 128-NEA3 - 128-bit ZUC asoslangan algoritm.

128-NEA1 va 128-NEA2 yordamida ma'lumotlarni shifrlash5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

PS O'chirish sxemasidan olingan TS 133.501

Butunlikni ta'minlash uchun 128-NIA1 va 128-NIA2 algoritmlari bo'yicha simulyatsiya qilingan qo'shimchalarni yaratish5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

PS O'chirish sxemasidan olingan TS 133.501

5G tarmoq funksiyalari uchun asosiy xavfsizlik talablari

Nizom

  • AMF SUCI yordamida birlamchi autentifikatsiyani qo'llab-quvvatlashi kerak.
  • SEAF SUCI yordamida birlamchi autentifikatsiyani qo‘llab-quvvatlashi kerak.
  • UDM va ARPF foydalanuvchining doimiy kalitini saqlashi va uning o'g'irlikdan himoyalanganligini ta'minlashi kerak.
  • AUSF mahalliy xizmat ko'rsatish tarmog'iga SUPI ni faqat SUCI yordamida muvaffaqiyatli dastlabki autentifikatsiyadan so'ng beradi.
  • NEF maxfiy asosiy tarmoq ma'lumotlarini operatorning xavfsizlik domenidan tashqariga uzatmasligi kerak.

Asosiy xavfsizlik tartib-qoidalari

Ishonchli domenlar

5-avlod tarmoqlarida elementlar tarmoq yadrosidan uzoqlashganda tarmoq elementlariga ishonch kamayadi. Ushbu kontseptsiya 5G xavfsizlik arxitekturasida amalga oshirilgan qarorlarga ta'sir qiladi. Shunday qilib, biz tarmoq xavfsizligi mexanizmlarining xatti-harakatlarini belgilaydigan 5G tarmoqlarining ishonchli modeli haqida gapirishimiz mumkin.

Foydalanuvchi tomonidan ishonchli domen UICC va USIM tomonidan shakllantiriladi.

Tarmoq tomonida ishonchli domen yanada murakkab tuzilishga ega.

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya Radio kirish tarmog'i ikkita komponentga bo'lingan - DU (ingliz tilidan Distributed Units - taqsimlangan tarmoq birliklari) va CU (inglizcha markaziy birliklardan - tarmoqning markaziy birliklari). Ular birgalikda shakllanadi gNB — 5G tarmoq tayanch stantsiyasining radio interfeysi. DU-lar foydalanuvchi ma'lumotlariga to'g'ridan-to'g'ri kirish imkoniga ega emas, chunki ular himoyalanmagan infratuzilma segmentlarida joylashtirilishi mumkin. CUlar himoyalangan tarmoq segmentlarida joylashtirilishi kerak, chunki ular AS xavfsizlik mexanizmlaridan trafikni to'xtatish uchun javobgardir. Tarmoqning asosiy qismida joylashgan AMF, bu NAS xavfsizlik mexanizmlaridan trafikni to'xtatadi. Joriy 3GPP 5G Phase 1 spetsifikatsiyasi kombinatsiyani tavsiflaydi AMF xavfsizlik funktsiyasi bilan DENGIZ, tashrif buyurilgan (xizmat ko'rsatuvchi) tarmoqning ildiz kalitini (shuningdek, "langar kaliti" sifatida ham tanilgan) o'z ichiga oladi. AUSF muvaffaqiyatli autentifikatsiyadan so'ng olingan kalitni saqlash uchun javobgardir. Foydalanuvchi bir vaqtning o'zida bir nechta radio ulanish tarmoqlariga ulangan hollarda qayta foydalanish uchun zarur. ARPF foydalanuvchi hisob ma'lumotlarini saqlaydi va obunachilar uchun USIM analogidir. UDR и UDM hisob ma'lumotlarini, foydalanuvchi identifikatorlarini yaratish, seansning uzluksizligini ta'minlash va hokazolar mantiqini aniqlash uchun foydalaniladigan foydalanuvchi ma'lumotlarini saqlash.

Kalitlar ierarxiyasi va ularni taqsimlash sxemalari

5-avlod tarmoqlarida, 4G-LTE tarmoqlaridan farqli o'laroq, autentifikatsiya protsedurasi ikkita komponentdan iborat: asosiy va ikkilamchi autentifikatsiya. Birlamchi autentifikatsiya tarmoqqa ulangan barcha foydalanuvchi qurilmalari uchun talab qilinadi. Ikkilamchi autentifikatsiya tashqi tarmoqlarning so'roviga binoan, agar abonent ularga ulansa, amalga oshirilishi mumkin.

Birlamchi autentifikatsiya muvaffaqiyatli yakunlangandan va foydalanuvchi va tarmoq o'rtasida umumiy K kaliti ishlab chiqilgandan so'ng, KSEAF xizmat ko'rsatuvchi tarmoqning maxsus langar (ildiz) kaliti K kalitidan chiqariladi. Keyinchalik, RRC va NAS signalizatsiya trafik ma'lumotlarining maxfiyligi va yaxlitligini ta'minlash uchun ushbu kalitdan kalitlar yaratiladi.

Tushuntirishlar bilan diagramma5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya
Notation:
CK Shifr kaliti
IK (inglizcha: Integrity Key) - ma'lumotlar yaxlitligini himoya qilish mexanizmlarida qo'llaniladigan kalit.
CK' (eng. Cipher Key) - EAP-AKA mexanizmi uchun CK dan yaratilgan yana bir kriptografik kalit.
IK' (English Integrity Key) - EAP-AKA uchun ma'lumotlar yaxlitligini himoya qilish mexanizmlarida qo'llaniladigan yana bir kalit.
KAUSF - ARPF funktsiyasi va foydalanuvchi uskunasi tomonidan yaratilgan CK и IK 5G AKA va EAP-AKA davomida.
KSEAF - kalitdan AUSF funktsiyasi tomonidan olingan ankraj kaliti KAMFAUSF.
KAMF — kalitdan SEAF funksiyasi tomonidan olingan kalit KSEAF.
KNASint, KNASenc — kalitdan AMF funksiyasi tomonidan olingan kalitlar KAMF NAS signalizatsiya trafigini himoya qilish uchun.
KRRCint, KRRCenc — kalitdan AMF funksiyasi tomonidan olingan kalitlar KAMF RRC signalizatsiya trafigini himoya qilish uchun.
KUPint, KUPenc — kalitdan AMF funksiyasi tomonidan olingan kalitlar KAMF AS signalizatsiya trafigini himoya qilish uchun.
NH — kalitdan AMF funksiyasi tomonidan olingan oraliq kalit KAMF topshirish paytida ma'lumotlar xavfsizligini ta'minlash.
KgNB — kalitdan AMF funksiyasi tomonidan olingan kalit KAMF harakatlanish mexanizmlarining xavfsizligini ta'minlash.

SUPI dan SUCI ni yaratish sxemalari va aksincha

SUPI va SUCI olish sxemalari

SUPI dan SUCI va SUCI dan SUPI ishlab chiqarish:
5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

Autentifikatsiya

Birlamchi autentifikatsiya

5G tarmoqlarida EAP-AKA va 5G AKA standart birlamchi autentifikatsiya mexanizmlari hisoblanadi. Birlamchi autentifikatsiya mexanizmini ikki bosqichga ajratamiz: birinchisi autentifikatsiyani boshlash va autentifikatsiya usulini tanlash uchun javob beradi, ikkinchisi foydalanuvchi va tarmoq o‘rtasidagi o‘zaro autentifikatsiya uchun javob beradi.

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

Boshlash

Foydalanuvchi SEAFga ro‘yxatdan o‘tish so‘rovini yuboradi, unda foydalanuvchining yashirin obuna identifikatori SUCI mavjud.

SEAF AUSFga autentifikatsiya soʻrovi xabarini (Nausf_UEAuthentication_Authenticate Request) yuboradi, unda SNN (Xizmat koʻrsatuvchi tarmoq nomi) va SUPI yoki SUCI mavjud.

AUSF SEAF autentifikatsiya so‘rovchisiga berilgan SNNdan foydalanishga ruxsat berilganligini tekshiradi. Agar xizmat ko'rsatuvchi tarmoq ushbu SNNdan foydalanishga ruxsat berilmagan bo'lsa, AUSF avtorizatsiya xatosi xabari bilan javob beradi "Xizmat ko'rsatish tarmog'iga ruxsat berilmagan" (Nausf_UEAuthentication_Authenticate Response).

Autentifikatsiya ma'lumotlari AUSF tomonidan SUPI yoki SUCI va SNN orqali UDM, ARPF yoki SIDFga so'raladi.

SUPI yoki SUCI va foydalanuvchi maʼlumotlariga asoslanib, UDM/ARPF keyingi foydalanish uchun autentifikatsiya usulini tanlaydi va foydalanuvchi hisob maʼlumotlarini chiqaradi.

O'zaro autentifikatsiya

Har qanday autentifikatsiya usulidan foydalanganda UDM/ARPF tarmoq funksiyalari autentifikatsiya vektorini (AV) yaratishi kerak.

EAP-AKA: UDM/ARPF avval AMF = 1 ajratuvchi bit bilan autentifikatsiya vektorini yaratadi, keyin esa CK' и IK' dan CK, IK va SNN va yangi AV autentifikatsiya vektorini tashkil qiladi (RAND, AUTN, XRES*, CK', IK'), uni faqat EAP-AKA uchun ishlatish bo'yicha ko'rsatmalar bilan AUSFga yuboriladi.

5G AKA: UDM/ARPF kalitni oladi KAUSF dan CK, IK va SNN, shundan so'ng u 5G HE AV ni yaratadi. 5G uy muhiti autentifikatsiya vektori). 5G HE AV autentifikatsiya vektori (RAND, AUTN, XRES, KAUSF) faqat 5G AKA uchun foydalanish bo'yicha ko'rsatmalar bilan AUSFga yuboriladi.

Ushbu AUSF dan so'ng langar kaliti olinadi KSEAF kalitdan KAUSF va RAND, AUTN va RES* ni o'z ichiga olgan “Nausf_UEAuthentication_Authenticate Response” xabarida “Challenge” SEAFga so'rov yuboradi. Keyinchalik, RAND va AUTN xavfsiz NAS signalizatsiya xabari yordamida foydalanuvchi uskunasiga uzatiladi. Foydalanuvchining USIMi qabul qilingan RAND va AUTN dan RES* ni hisoblab chiqadi va uni SEAFga yuboradi. SEAF bu qiymatni tekshirish uchun AUSF ga uzatadi.

AUSF unda saqlangan XRES* va foydalanuvchidan olingan RES*ni solishtiradi. Agar mos keladigan bo'lsa, operatorning uy tarmog'idagi AUSF va UDM muvaffaqiyatli autentifikatsiya haqida xabardor qilinadi va foydalanuvchi va SEAF mustaqil ravishda kalit yaratadi. KAMF dan KSEAF va keyingi aloqa uchun SUPI.

Ikkilamchi autentifikatsiya

5G standarti foydalanuvchi uskunasi va tashqi maʼlumotlar tarmogʻi oʻrtasida EAP-AKA asosidagi ixtiyoriy ikkilamchi autentifikatsiyani qoʻllab-quvvatlaydi. Bunday holda, SMF EAP autentifikatori rolini o'ynaydi va ishga tayanadi AAA-foydalanuvchini autentifikatsiya qiluvchi va avtorizatsiya qiluvchi tashqi tarmoq serveri.

5G xavfsizlik arxitekturasiga kirish: NFV, kalitlar va 2 autentifikatsiya

  • Uy tarmog'ida majburiy dastlabki foydalanuvchi autentifikatsiyasi sodir bo'ladi va AMF bilan umumiy NAS xavfsizlik konteksti ishlab chiqiladi.
  • Foydalanuvchi AMFga sessiya o'rnatish uchun so'rov yuboradi.
  • AMF foydalanuvchining SUPI-ni ko'rsatuvchi SMFga sessiya o'rnatish uchun so'rov yuboradi.
  • SMF taqdim etilgan SUPI yordamida foydalanuvchining UDMdagi hisob ma'lumotlarini tasdiqlaydi.
  • SMF AMFning so'roviga javob yuboradi.
  • SMF tashqi tarmoqdagi AAA serveridan seans o'rnatish uchun ruxsat olish uchun EAP autentifikatsiya protsedurasini boshlaydi. Buning uchun SMF va foydalanuvchi protsedurani boshlash uchun xabar almashadilar.
  • Keyin foydalanuvchi va tashqi tarmoq AAA serveri foydalanuvchini autentifikatsiya qilish va avtorizatsiya qilish uchun xabar almashadi. Bunday holda, foydalanuvchi SMF ga xabarlarni yuboradi, u o'z navbatida UPF orqali tashqi tarmoq bilan xabar almashadi.

xulosa

5G xavfsizlik arxitekturasi mavjud texnologiyalarni qayta ishlatishga asoslangan bo'lsa-da, u mutlaqo yangi muammolarni keltirib chiqaradi. Ko'p sonli IoT qurilmalari, kengaytirilgan tarmoq chegaralari va markazlashtirilmagan arxitektura elementlari 5G standartining asosiy tamoyillaridan faqat bir nechtasi bo'lib, ular kiberjinoyatchilarning tasavvuriga erkinlik beradi.

5G xavfsizlik arxitekturasining asosiy standarti TS 23.501 15.6.0 versiyasi — xavfsizlik mexanizmlari va protseduralari ishlashining asosiy nuqtalarini o'z ichiga oladi. Xususan, u har bir VNF ning foydalanuvchi maʼlumotlari va tarmoq tugunlari himoyasini taʼminlash, kriptokalitlarni yaratish va autentifikatsiya protsedurasini amalga oshirishdagi rolini tavsiflaydi. Biroq, hatto ushbu standart telekommunikatsiya operatorlari tez-tez yangi avlod tarmoqlari jadal rivojlanib, foydalanishga topshiriladigan dolzarb xavfsizlik muammolariga javob bermaydi.

Shu munosabat bilan, men 5-avlod tarmoqlarini ishlatish va himoya qilishdagi qiyinchiliklar onaning do'stining o'g'li kabi uzatish tezligi va javoblari va'da qilingan oddiy foydalanuvchilarga hech qanday ta'sir ko'rsatmasligiga ishonmoqchiman. yangi avlod tarmoqlarining e'lon qilingan imkoniyatlari.

Foydali havolalar

3GPP spetsifikatsiyasi seriyasi
5G xavfsizlik arxitekturasi
5G tizimi arxitekturasi
5G Wiki
5G arxitektura eslatmalari
5G xavfsizligiga umumiy nuqtai

Manba: www.habr.com

a Izoh qo'shish